- 0
- 0
- 2
質問
-
Active Directoryの全損経験
質問
Active Directoryサーバーの復旧ですが、全く何もないところからは
不可能と思います。
バックアップDCが、どこかに残っていればKEYがあります。
KEY自体がセキュアな単一文字列で再生成出来ないはずです。
例として、同一名のAD名、xxxx.localを別LAN内で
構築した場合、全く異なるADのKEYが出来ます
ゆえに、一旦構築したADの復旧にはPDCかBDCが
必須です。
P.S:この内容が違っていると、企業内のAD名が
漏れるだけで、第三者がLAN内に持ち込んだ
管理者権限のPCから情報が取れることになり
ワークグループ同等のセキュアベースが低くなります。
コメント(1)の方もおっしゃっていますが、「Active Directoryサーバーの全損を防ぐ」ための対応策が重要だと思われます。
Windows Server 2008 以降であれば、サーバー自体にシステムバックアップ機能が追加されています。まずは、こちらを使用してバックアップイメージを作成して、それを遠隔地などに保管すると言う方法が考えられます。(週一でも十分かも?)
同様に、Active Directoryサーバーの1台を仮想マシンとしておいて、バックアップを取っておけば、復旧の際にハードウェアを選ばずに簡単に復旧出来るようになるはずです。
上記は、まだ構想段階で実現していない、障害対策です。(泣)
お役に立ちましたか?他にもたくさんの ノウハウが共有されています。
質問
単純に経験された方がいるのかお聞きしたいのですが、Active Directoryサーバーが全部故障したなど(他の場合も含み)で、バックアップからリストアしたことはありますでしょうか?
なぜお聞きしているかと申しますと、復旧手順書を作成しているなかでActive Directoryサーバーが残っている場合と、全て無くなった場合を記述しているのですが、もし全て無くなるような障害が発生しましたら、社内などへの影響が大きすぎると感じたので、そういった経験が知りたくなったからです。