ADのバックアップでAuthoritativeリストアを選択する条件についてわかりやすく説明が書かれた情報があったので、シェアします。
通常、ADが使えなくなると困るので、冗長構成にしていると思いますが、障害発生などで、復旧が難しい場合にバックアップからリストアすることになりますが、その場合にリストアする方法が複数あり、どういったケースでどれを選ぶかというところで、ADのバックアップでAuthoritativeリストアを選択する条件が以下になります。
情報元はこちら。
以下は質問内容の抜粋です。
正ドメインコントローラの故障対応時の同期について以下条件時の挙動が気になったためお伺いさせてください。
■条件・正副は前日バックアップあり
・FSMOは正に存在
・正ドメコンエラー多発(例えばFSMO関連等)のためバックアップから復元復旧したとする。
この場合折角エラーのない状態に正を切り戻ししたとしても正副同期による最新化(副の設定で同期してしまう)は防げないのでしょうか
確かにADは障害ケースによって復旧方法を検討しないといけないので、判断が難しいですよね。
回答内容です。
ご認識されている非Authoritativeリストアは複数のADサーバが存在していて1台のADサーバーだけリストアした際に、他のADサーバーのDB情報を同期してきます。
※ADの状態ではなくてWindowsServerの状態をリストアしたいとき等に利用します。一方でAuthoritativeリストアというのはバックアップを取得した状態のDB情報を他のADサーバに同期することができます。
※こちらはADの状態がおかしいときに利用することがあります。上記のことから正副同期による最新化を防ぎたい場合はAuthoritativeリストアにて復元することで、回避できるかと思います。
例えば、障害が発生していないサーバーが正常であれば、異常なサーバを非Authoritativeリストアすることになると思います。
この件ですが、「エラーの内容・原因」をきちんと見極めてから、対応することをお奨めします。一般に、正常に動いているActive Directory情報は、ユーザーのパスワード変更など、任意に情報が書き換わり、むやみにAuthoritative Restoreを行った場合、情報が過去のものに戻ってしまい、逆に問題を引き起こすことがあります。
実際のエラーメッセージを正しくコミュニティに知らせることで、最初にするべきトラブルシュートが明らかになると思います。
ちなみに、現状では質問者さんが副と呼んでいるドメインコントローラーがかえって正常な情報を持っている可能性が高いです。エラーが発生した場合、エラーが発生したドメインコントローラ情報を既存環境に複製させないことで、既存の情報の正しさを保護する仕様になっているからです。
これまで何度かADを構築してきましたが、バックアップからリストアしなければならない状況に遭遇したことがない為、いざとなったとき、参考にさせてもらおうと思います。
