Active Directory(AD)サーバのバックアップって取っています?
方法を挙げるとどうでしょう?
・WindowsServerバックアップ機能を使う
・パッケージソフトを使う
仮想環境となれば
・ストレージのデータレプリケーション機能を使う
・イメージとして書き出す
・NutanixならAsync DRを使う
・スナップショットで満足する(だめなお作法)
今回は検証もしつつなので、追加料金もかからない
・WindowsServerバックアップ機能を使う
・スナップショット
で試したのですが・・・・?
うん。AD、壊れたわ
動作確認をしていると、
・既存のADアカウントを使ってドメインメンバーの端末、サーバーからドメインにログイン
・DNSを使った名前解決
・その他、構築してあった他の機能
このあたりは動作するのですが、
・ADアカウントを追加
・グループポリシーを更新
上記をプライマリのDCで行っても、セカンダリのDCに反映されない。
いくら待っても動作しない!!!
“権限のある復元”(棒読み)を行っていても変化なし。
やはり横着したらダメだね。ちゃんとしたバックアップソフトを使おう!
はいっ!おしまいっ!
いやいや。もう少し調べましょうよ。
上記の事象からSYSVOLのレプリケーションが怪しいのでDFSR周りのイベントログを見てみる。
特にエラーは出てない・・・
システム全体でイベントログを見てみると
「君はFSMOマスターだけどレプリケーションしてないねwwwww」みたいな煽ってくる警告ログが出ているくらいでした。
次に、SYSVOLのステータスを確認してみることに。
下記のコマンドを実行。
For /f %i IN ('dsquery server -o rdn') do @echo %i && @wmic /node:"%i" /namespace:\root\microsoftdfs path dfsrreplicatedfolderinfo WHERE replicatedfoldername='SYSVOL share' get replicationgroupname,replicatedfoldername,state
そうすると、ステータスが2と出力される。
正常であればここが「4」であるので、やはり何かがおかしい。
調べると「初期同期」状態らしい。じゃあ待てば良いのか?と一晩放置するもの事象は変わらず。
ステータス2を頼りGoogle先生に聞くと、FWやNW周りを疑ったらどうでしょう?とか、
SYSVOL共有そのものが表示できない。と今回の事象より酷い状態。
条件が微妙に違うんですよね。
Microsoftのドキュメントを読んでも、このイベントログが出力されている場合…というもので、
やはり…ちょっと事象が違う…
https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/networking/troubleshoot-missing-sysvol-and-netlogon-shares
まぁ…でも。壊れてもいい環境だし横着してみるか!ということで、
上記のドキュメントで、この状況(合っていない)の場合はこの手順で試してみてね。
というものをやってみることに
https://learn.microsoft.com/ja-JP/troubleshoot/windows-server/group-policy/force-authoritative-non-authoritative-synchronization
DCが全体的に壊れているので「DFSR レプリケートされた sysvol レプリケーションの権限のある同期を実行する方法 (D4 for FRS など)」の方でお試し。
結果を最初にお伝えするとこれで治りました。
簡単にまとめると、
① 各DCでDFSレプリケーションサービスを停止させる
② ADSIエディタから下記のDNの属性を修正する
CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<ドメインコントローラーのhost name>,OU=Domain Controllers,DC=<ドメイン名>
■プライマリとなるDCで変更する属性
msDFSR-Enabled=FALSE
msDFSR-options=1
■セカンダリとなるDCで変更する属性
msDFSR-Enabled=FALSE
③ 全DCでADレプリケーションを実施する
④ プライマリとなるDCのDFSレプリケーションサービスを再開する
⑤ プライマリとなるDCのイベントログでID4114が記録されていることを確認する
⑥ プライマリとなるDCで先程修正した属性「msDFSR-Enabled」を「TRUE」に戻す
⑦ 全DCでADレプリケーションを実施する
⑧ プライマリとなるDCで下記のコマンドを実施する
DFSRDIAG POLLAD
⑨ プライマリとなるDCのイベントログでID4602が記録されていることを確認する
⑩ セカンダリとなるDCのDFSRレプリケーションサービスを再開する
⑪ セカンダリとなるDCのイベントログでID4114が記録されていることを確認する
⑫ セカンダリとなるDCで先程修正した属性「msDFSR-Enabled」を「TRUE」に戻す
⑬ プライマリとなるDCで下記のコマンドを実施する
DFSRDIAG POLLAD
⑭ SYSVOLのステータス確認をする
→「4」と出力される
上記の操作を行うことで、SYSVOLの初期化がかかってキレイになるよ。という認識であっていますでしょうか。
初期化と言っていますが、SYSVOL共有のデータが消えることはありませんでしたが…
もし試される場合は、そこ単体のバックアップはお忘れなくですね。
最も、ちゃんとしたバックアップ思想を持って設計してテストを行っていれば、
遭遇しない事象でしょう。というか遭遇したくない。
これで完全に復旧しましたか?と聞かれても証明するのは難しいですからね。
悪魔の証明。Microsoftのプレミアムサポートに訊け!と言いたいもんです(暴言)