Active Directoryのバックアップと復元設定

バックアップ設定
復元設定
アーカイブの設定

ADManager Plusに設定されている各ドメインに対して、バックアップ実施に必要な設定をすべて完了させてください。

ADManager Plusを初めてインストールするときには、以下の情報が登録されます。

バックアップされるドメイン中のOU
バックアップされるオブジェクトタイプとそれに関連付けられた属性

［ドメイン/テナントの設定］配下で新しいドメインが追加された際、［バックアップ設定］配下のリストに対応する見出しが作成されます。バックアップ設定がされたドメインに対しては、［バックアップ設定］配下のリストにドメイン名、選択されたOUとオブジェクト、バックアップ頻度が表示されます。

メモ
Active Directoryのバックアップをとったとき、Elasticsearchがダウンロードされ、ADManager Plusのバックアップデータと同じ場所に自動で保存されます。

ドメインの既存のバックアップ設定を修正する方法は以下のとおりです。

対象のドメインの「操作」列にある鉛筆アイコンをクリックします。
「バックアップするOUを選択」フィールドで、バックアップするOUを選択します。親OUのノードを展開すると、子OUを表示できます。
メモ
親OUの内容のみをバックアップし、ネストされたコンテナーの内容をバックアップしない場合は、右下の「子OUを除外」をクリックします。
「バックアップするオブジェクトの種類を選択」フィールドで、［＋］アイコンをクリックします。ポップアップウィンドウで、バックアップ対象のオブジェクトと属性を選択します。
メモ
ユーザーが作成したすべてのカスタム属性を選択できます。カスタム属性が見つからなければ、［属性を追加］をクリックし、その属性のLDAP名を入力して、属性を検索してください。
「完全パックアップのスケジューラー」で、毎月のバックアップを行う日時を指定します。
「増分バックアップのスケジューラー」で、バックアップ頻度を［毎週］、［毎日］から指定します。

［毎週］を選択した場合は「バックアップ日」で増分バックアップを行う曜日を選択します。

「バックアップ時刻の選択」で、増分バックアップの時間を指定します。
保持する完全バックアップの数を入力し、［詳細設定］をクリックして以下のオプションの設定をします。
- 「削除されたオブジェクトの有効性」（このオプションでは、削除した Active Directoryオブジェクトを保存する年数を指定します）
- 「PAExecを使用してGPOをバックアップ」
- 「複製を強制」（有効にすると、バックアップ前にドメインコントローラー間で変更がレプリケーション（複製）されます）
- 「バックアップ無効オブジェクト」（無効化されたユーザーアカウントとコンピューターアカウントをバックアップします）
メモ
レポジトリの完全バックアップの数が保持できる制限を超えたとき、もっとも古い完全バックアップが後続する増分バックアップと共に削除されます。
バックアップを保持しない場合、保持期間を0に設定するか、空にします。
［保存］をクリックします。

［バックアップ］タブ→［Active Directory］→［設定］→［復元設定］に移動すると、ドメインでActive Directoryオブジェクトが復元される際のオプション（以下「復元オプション」）を設定できます。
復元オプションは以下のとおりです。

既定のパスワード
オブジェクトのパスワードの復元
複製の強制
トゥームストーン失効オブジェクトの復元

このセクションでは復元オプションの設定を説明します。

既定のパスワード

当オプションでは、削除したユーザーアカウントを復元するときのために既定のパスワード（デフォルトパスワード）を設定できます。
以下、この機能の利用方法です。

ADManager Plusにログインして、［バックアップ］タブをクリックします。
［Active Directory］→［設定］→［復元設定］に移動します。

［パスワードを表示する］オプションをクリックして、ユーザーアカウントが復元されたときの既定のパスワードを表示します。
既定のパスワードを変更するには、鉛筆アイコン→［変更］の順にクリックし、新しいパスワードを入力して、［保存］をクリックします。

オブジェクトパスワードの復元

「オブジェクトパスワードを保存」オプションを選択すると、ユーザーがActive Directoryで最後に設定したパスワードが保存され、ユーザーアカウント復元の際に最後に設定されたパスワードも同時に復元されます。
以下、この機能の有効化方法です。

ADManager Plusにログインし、［バックアップ］タブをクリックします。
［Active Directory］→［設定］→［復元設定］に移動します。
鉛筆アイコンをクリックします。
「オブジェクトパスワードを保存」のチェックボックスをマークします。
［保存］をクリックします。

メモ
ADManager Plusではユーザーのパスワードは保存されません。このオプションが選択されていると、ADManager PlusによってActive Directoryのスキーマが変更され、ユーザーが削除されたときにActive DirectoryでADUnicode-Pwd属性が保存されます。そして削除したユーザーが復元されるときには、ユーザーの他の属性とともにUnicode-Pwd属性が復元されます（つまり、ユーザーが最後に設定したパスワードも復元されます）。

複製の強制

「複製を強制」オプションを有効化すると、復元/ロールバック時の変更はドメイン内の全ドメインコントローラー間ですぐにレプリケーション（複製）されます。
以下、この機能の有効化方法です。

ADManager Plusにログインし、［バックアップ］タブをクリックします。
［Active Directory］→［設定］→［復元設定］に移動します。
鉛筆アイコンをクリックします。
「複製を強制」のチェックボックスをマークします。
［保存］をクリックします。

トゥームストーン失効オブジェクトの復元

トゥームストーン（削除された項目に付けられる標識）の有効期限が切れて削除されたオブジェクトを、復元するためのオプションです。
以下、このオプションの有効化方法です。

ADManager Plusにログインし、［バックアップ］タブをクリックします。
［Active Directory］→［設定］→［復元設定］に移動します。
鉛筆アイコンをクリックします。
「復元トゥームストーン失効オブジェクト」のチェックボックスをマークします。
［保存］をクリックします。

バックアップのアーカイブによって、バックアップファイルの長期保管用のコピーが作成されます。

一定期間経過後のバックアップ消失を避けるため、また、データ消失やシステム障害、災害の際にもデータの可用性やアクセシビリティを確保するため、アーカイブが必要になります。

インデックスデータとは
アーカイブデータとは
アーカイブ設定の編集方法
インデックスする（/インデックス解除する）方法

インデックスデータとは

インデックスデータは復元時に即時利用できるバックアップデータです。
インデックスデータの保持期間はデフォルトで6か月です。インデックスデータの保持期間は手動で設定できます（最小保持期間は3か月で、最長保持期間は12か月です）。

アーカイブデータとは

アーカイブデータはストレージに格納されるバックアップデータです。Active Directoryの復元を行うためには、アーカイブデータをインデックスデータに変更する必要があります。変更はいつでも可能です。
完全バックアップが完了するごとに、以前の完全バックアップのスナップショットがアーカイブレポジトリーへ格納されます。ただし、最新の完全バックアップは格納されません。
アーカイブデータの保持期間はデフォルトで24か月です。アーカイブデータの保持期間は手動で設定できます（最小保持期間は12か月で、最長保持期間は60か月です）。

アーカイブ設定の編集方法

［バックアップ］タブ→［Active Directory］→［設定］→［アーカイブの設定］に移動します。
「次のアーカイブ格納データを保持」フィールドで、アーカイブデータの保持期間（月数）を設定します。
「次のインデックスデータを保持」フィールドで、インデックスデータの保持期間（月数）を設定します。
［保存］をクリックします。

インデックスする（/インデックス解除する）方法

以下、アーカイブデータをインデックスデータに変更する方法です。

［バックアップ］タブ→［Active Directory］→［設定］→［アーカイブの設定］に移動します。
右上の［アーカイブを表示］をクリックします。以下の情報が画面に表示されます。

「アーカイブ数」
アーカイブレポジトリー中のアーカイブデータの総数
「合計アーカイブサイズ」
アーカイブデータが占める総容量
「インデックスアーカイブ数」
インデックスデータの総数。
「合計インデックスアーカイブサイズ」
インデックスデータが占める総容量

インデックスデータに変更するアーカイブデータを選択し、［アーカイブをインデックス］ボタンをクリックします。

インデックスデータにアーカイブデータに変更するときは、対象のインデックスデータを選択し、［アーカイブをインデックス解除］ボタンをクリックします。