【WS2008 R2】Active Directory にも Recycle Bin が用意される時代に


※本記事はベータ版段階での情報です。RTM後変更される可能性があることをご了承ください。

こんにちは。ようやく心にも体にも余裕が出てきたので、これから本格的にWindows Servevr 2008 R2 の検証に入ろうと思っています。ちょいと出遅れていますが(恥)。

まずは情報収集ということで、TechNet に行ってみました。

Changes in Functionality from Windows Server 2008 to Windows Server 2008 R2 (Beta)(英語です)
http://technet.microsoft.com/ja-jp/library/dd391932(en-us).aspx

そしたら、あるわあるわ、2008 R2 の新機能に関する情報が目白押しです。

中でも、「ようやく実装してくれたか!」という機能が、「Active Directory Recycle Bin」です。

名前から想像がつくと思いますが、そうです、ADのゴミ箱です。もちろん、Undelete ができます。

What's New in AD DS: Active Directory Recycle Bin(すみません、英語です)
http://technet.microsoft.com/ja-jp/library/dd391916(en-us).aspx

いやー長かったですね(涙)。この日をどれだけ待ち焦がれていたことか。

現行の Windows Server 2008 を含め、以前は、削除してしまったオブジェクトを復旧するには2通りの方法が用意されていました。それはADのバックアップを使用してAuthoritative Restore する方法、そしてTombstone を使用して復元する方法です。Authoritative Restore はADを停止して回復モードで起動する必要なため、回復処理中は外部からの認証依頼を受け付けることができません。これに対して、Tombstone を使用する方法はADをオフラインにすることなく復旧することができます。

Authoritative Restore と Tombstone を使用した回復方法については、以下の記事がわかりやすくてよいでしょう。

障害回復: Active Directory ユーザーとグループ
http://technet.microsoft.com/ja-jp/magazine/2007.04.adrecovery.aspx

Active Directory の廃棄済みオブジェクト(tombstone object)を復元する(reanimate)
http://technet.microsoft.com/ja-jp/magazine/2007.09.tombstones.aspx

さて、これに対してWindows Server 2008 R2 からサポートされる Active Directory Recycle Bin にはどのようなメリットがあるのでしょう。

従来のTombstone を使用した方法には欠点がありました。それは、所属グループ情報などの「link-valued attribute」と呼ばれる属性や、多くの non-link-valued attribute がクリアされます(詳細は、http://technet.microsoft.com/ja-jp/magazine/2007.09.tombstones.aspx の図1 を参照してください)。

これに対し、2008 R2 のActive Directory Recycle Bin を使用すると、回復時にADのダウンタイムがなくなるだけでなく、link / non-link を問わず属性が保存されるため、容易に削除前の状態に戻すことができます。

ただ、ただですね...こんなに便利な機能を使うには、やはりなんらかのトレードオフが発生するわけで...フォレストの機能レベルが2008 R2でなければなりません。つまり、すべてのドメインコントローラが Windows Server 2008 R2 で構成されている必要があります。もちろん、従来のドメインから 2008 R2 レベルにアップグレードすることもできますので、古いドメインを捨てなければならない!なんてことはありません。

image

以下の図をご覧ください。これはTechNetにも掲載されている図ですが、削除されたActive Directoryオブジェクトの状態遷移図です。

image

Recycle Bin 機能により、「Recycled」状態への猶予期間が与えられます。Recycled 状態になるまでに復旧すれば、失うものも無く元の状態に戻すことができるというわけです。

どうやら、この機能に関する各種設定、および復旧の操作は、R2から新しく実装されたコマンドレットを使用して、 PowerShell経由で行うことになりそうです(まだベータ版なのでなんともですが...)。

具体的な操作手順については、以下のステップバイステップに紹介されています。

Active Directory Recycle Bin Step-by-Step Guide
http://technet.microsoft.com/en-us/library/dd392261.aspx

次回、上のステップバイステップに沿って、実際に使ってみたところを紹介します。

 

Comments (3)

  1. 匿名 より:

    投稿順 【WS2008 R2】Active Directory にも Recycle Bin が用意される時代に 【WS2008 R2】Active Directory Recycle Bin を使ってみる

  2. 匿名 より:

    前回は Active Directory Recycle Bin の環境設定について書きました。 【WS2008 R2】Active Directory にも Recycle Bin が用意される時代に

  3. 匿名 より:

    ※本記事はベータ版段階での情報です。RTM後変更される可能性があることをご了承ください。 前投稿の続きです。Active Directory Recycle Bin の機能概要については、前回の投稿をご覧ください。

Skip to main content