Active Directoryのバックアップとリストアで失敗しないための重要ポイント

社内のWindows Serverを運用していると、
一度は気になるのが「Active Directoryのバックアップって本当に必要なのか？」という問題です。

私自身、最初はそこまで重要視していませんでした。
「障害なんてそうそう起きないだろう」
正直、そんな感覚だったんです。

ですが、実際にActive Directory関連のトラブルを経験してから、考え方が大きく変わりました。

この記事では、私自身が実際に試した経験をもとに、Active Directoryのバックアップとリストアについて、初心者の方でもわかりやすいように解説していきます。

「これから設定したい」
「障害対策を考えたい」
「復元できるか不安」

そんな方の参考になればうれしいです。

Active Directoryのバックアップとリストアとは？

まず、Active Directoryを簡単に説明すると、会社のユーザー情報をまとめて管理する仕組みです。

たとえば、

• 社員アカウント
• パスワード
• パソコン情報
• アクセス権限
• グループポリシー

こういった重要な情報を管理しています。

つまり、Active Directoryに障害が起きると、

• ログインできない
• 共有フォルダへアクセスできない
• 社内システムが使えない

といった問題につながる可能性があります。

そこで重要になるのが、「バックアップ」と「リストア」です。
バックアップは現在の状態を保存しておくこと。
リストアは、問題が起きた時に保存データから復旧することです。

スマホのデータ保存と似ていますが、Active Directoryの場合は会社全体に影響するため、重要度がまったく違います。

Active Directoryのバックアップとリストアを行うメリット

実際に運用して感じた最大のメリットは、「精神的な安心感」です。

以前、不要アカウント整理をしていた際、誤って必要なOUを削除してしまったことがありました。
OUというのは、ユーザーやPCを整理するフォルダのようなものです。
削除した瞬間、本当に血の気が引きました。

しかも、そのOUの中には複数部署のアカウントが入っていました。
ただ、その時は事前にSystem State Backupを取得していたため、最悪の状況は回避できました。
もちろん完全復旧までには時間がかかりましたが、「バックアップがある」というだけで冷静に対応できたんです。

また、設定変更時の心理的ハードルも下がりました。

Active Directoryは少しの変更が大きな影響につながることがあります。
特にグループポリシー周りは慎重になります。

ですが、バックアップがあることで、
「万が一でも戻せる」
という安心感が生まれます。

これは実際に運用してみると、かなり大きいです。

Active Directoryのバックアップ手順

※ 画像上の赤枠は説明のために付与しています。
※ 画像を選択すると拡大表示できます。

私が実際によく使っているのは、Windows Server標準機能の「Windows Server バックアップ」です。
追加ソフト不要なので、まずはこれで十分だと思います。

「Windows Server バックアップ」の準備（インストール）手順については、ここでは説明を省いています。作業を始める前に、まずは「役割と機能の追加ウィザード」から、この機能がインストール済みであることを確認してください。

インストールが終わっていることを確認できたら、以下の手順で進めていきましょう。

保存先は、可能であれば別ディスクやNASがおすすめです。
同じサーバー内だけに保存すると、サーバー障害時に一緒に消える可能性があります。

Active Directoryのリストア手順

※ 画像上の赤枠は説明のために付与しています。
※ 画像を選択すると拡大表示できます。

リストア作業は、正直かなり緊張しました。
まずサーバーを「DSRM（Directory Services Restore Mode）」で起動します。

① DSRM（ディレクトリサービス修復モード）での起動

Active Directoryの復元を行うために、まずはサーバーを専用の修復モードで再起動します。

② システム状態のリストア（復元）

Windows Server バックアップを使用して、Authoritative Restore（権限のある復元）を実行します。

③ DSRM起動解除と通常起動への復帰

復元が完了した後、通常の運用モードに戻すための設定を行います。

復旧後は、

• イベントログ確認
• ユーザーログイン確認
• DNS確認
• レプリケーション確認

ここまで実施しました。

ここまで確認して、ようやく安心できます。

トラブルシューティング（Q&A）

バックアップだけ取れば安心？

実は違います。

私も最初は「取得してるから大丈夫」と思っていました。

ですが、本当に重要なのは「復元できるか」です。

バックアップファイルが壊れていたら意味がありません。

可能ならテスト環境で復元確認をおすすめします。

System State Backupだけで十分？

小規模環境ならかなり有効です。

ただし、DNSやDHCPも同じサーバーにある場合は、それらも含めた確認が必要です。

リストア後にログインできない場合は？

私の場合、DNS関連が原因でした。

Active DirectoryはDNSとの関係がかなり重要です。

イベントビューアー確認は本当に大事だと感じました。

実際に使ってみた感想

実際に運用してみると、「もっと早く設定しておけばよかった」と感じました。
特に良かったのは、やはり安心感です。

Active Directoryは普段は安定しています。
ですが、問題が起きる時は突然です。
しかも影響範囲が大きい。

だからこそ、バックアップがあるだけで精神的負担がかなり減ります。

また、Windows標準機能だけでも十分実用的でした。
小〜中規模環境なら、まずは標準機能から始めるだけでもかなり違うと思います。

一方で、リストア作業は慣れていないと不安になります。
特にDSRM起動は、最初かなり緊張しました。

なので、本番で初めて試すのではなく、事前検証は本当に重要だと思います。

まとめ

Active Directoryのバックアップとリストアで失敗しないための重要ポイントについて紹介させて頂きました。

Active Directoryは、社内システムの中心とも言える存在です。

だからこそ、「壊れてから考える」では遅いと実感しました。

実際に運用して感じた重要ポイントは、

• 定期的にバックアップを取る
• 必ずSystem Stateを含める
• リストア検証まで実施する

この3つです。

障害は突然起きます。
ですが、事前準備しているだけで、復旧スピードも安心感も大きく変わります。

もしまだActive Directoryのバックアップ設定をしていないなら、一度試してみることをおすすめします。