![[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?](https://image.slidesharecdn.com/sc03-170614044149/85/SC03-Active-Directory-DR-IT-1-320.jpg)
![[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?](https://image.slidesharecdn.com/sc03-170614044149/85/SC03-Active-Directory-DR-IT-2-320.jpg)
![[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?](https://image.slidesharecdn.com/sc03-170614044149/85/SC03-Active-Directory-DR-IT-3-320.jpg)
![[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?](https://image.slidesharecdn.com/sc03-170614044149/85/SC03-Active-Directory-DR-IT-4-320.jpg)
![[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?](https://image.slidesharecdn.com/sc03-170614044149/85/SC03-Active-Directory-DR-IT-5-320.jpg)
![[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?](https://image.slidesharecdn.com/sc03-170614044149/85/SC03-Active-Directory-DR-IT-6-320.jpg)
![[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?](https://image.slidesharecdn.com/sc03-170614044149/85/SC03-Active-Directory-DR-IT-9-320.jpg)
![[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?](https://image.slidesharecdn.com/sc03-170614044149/85/SC03-Active-Directory-DR-IT-10-320.jpg)
![[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?](https://image.slidesharecdn.com/sc03-170614044149/85/SC03-Active-Directory-DR-IT-11-320.jpg)
![[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?](https://image.slidesharecdn.com/sc03-170614044149/85/SC03-Active-Directory-DR-IT-12-320.jpg)
![[DPM] コンピューター パスワードの更新を意識したベアメタル リカバリー (BMR)
https://blogs.technet.microsoft.com/systemcenterjp/2012/12/06/dpm-3/
Netdom.exe を使用して Windows Server ドメイン コントローラーのコンピューター アカウントのパスワードをリセットする方法
https://support.microsoft.com/ja-jp/help/325850/how-to-use-netdom.exe-to-reset-machine-account-passwords-of-a-windows-server-domain-controller
【セキュアチャネル破損時の対応】
• クライアント…Active Directoryから離脱して再復帰
• ドメインコントローラー…Netdomコマンドで強制リセット](https://image.slidesharecdn.com/sc03-170614044149/85/SC03-Active-Directory-DR-IT-20-320.jpg)
![[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?](https://image.slidesharecdn.com/sc03-170614044149/85/SC03-Active-Directory-DR-IT-21-320.jpg)
![[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?](https://image.slidesharecdn.com/sc03-170614044149/85/SC03-Active-Directory-DR-IT-22-320.jpg)
![[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?](https://image.slidesharecdn.com/sc03-170614044149/85/SC03-Active-Directory-DR-IT-24-320.jpg)
![フェデレーションの無効化
Set-MsolDomainAuthentication -Authentication Managed [ドメイン名]
反映までに時間がかかる(1時間に1回)、反映まで利用不可
フェデレーションの再有効化
Convert-MsolDomainToFederated -DomainName [ドメイン名]
(有効化)](https://image.slidesharecdn.com/sc03-170614044149/85/SC03-Active-Directory-DR-IT-30-320.jpg)
![[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?](https://image.slidesharecdn.com/sc03-170614044149/85/SC03-Active-Directory-DR-IT-31-320.jpg)
![[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?](https://image.slidesharecdn.com/sc03-170614044149/85/SC03-Active-Directory-DR-IT-32-320.jpg)
![[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?](https://image.slidesharecdn.com/sc03-170614044149/85/SC03-Active-Directory-DR-IT-33-320.jpg)
![PowerShellを起動して以下のコマンドを実行
Move-ADDirectoryServerOperationMasterRole
[DC名] -OperationMasterRole 0,1,2,3,4 -Force
可能であれば定期的な訓練
コマンドプロンプトを起動
ntdsutil を起動し、以下のコマンドを実行
roles
connections
connect to server [DC名]
quit
seize schema master
seize domain naming master
seize pdc
seize rid master
seize infrastructure master
quit
quit](https://image.slidesharecdn.com/sc03-170614044149/85/SC03-Active-Directory-DR-IT-34-320.jpg)
![[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?](https://image.slidesharecdn.com/sc03-170614044149/85/SC03-Active-Directory-DR-IT-36-320.jpg)
![[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?](https://image.slidesharecdn.com/sc03-170614044149/85/SC03-Active-Directory-DR-IT-46-320.jpg)
![[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?](https://image.slidesharecdn.com/sc03-170614044149/85/SC03-Active-Directory-DR-IT-47-320.jpg)
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
- 7. 操作マスターの役割の配置の計画 https://docs.microsoft.com/ja-jp/windows-server/identity/ad-ds/plan/planning-operations-master-role-placement Active Directory FSMO roles in Windows https://support.microsoft.com/en-us/help/197132/active-directory-fsmo-roles-in-windows
- 13. あり あり
- 14. 主な影響範囲
- 15. Azure AD Connect Sync: 操作タスクおよび考慮事項 - ステージングモード https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnectsync-operations 2台目のAzure AD Connect同期サーバを構成する場合、ステージング モードを利用して短時間でサービス復帰可能
- 16. バックアップ取得は
- 17. システム状態 原則、システム状態は同じ インスタンスにのみ復元可 How to restore a Windows installation or move it to different hardware https://support.microsoft.com/ja-jp/help/249694/how-to-restore-a-windows-installation-or-move-it-to-different-hardware
- 18. 運用上、頻繁には実施が難しい
- 19. Active Directory のシステム状態のバックアップの有効期間について https://support.microsoft.com/ja-jp/help/216993/useful-shelf-life-of-a-system-state-backup-of-active-directory 180日以上への変更を推奨 • ドメインコントローラをオフラインにできる期間 • 複製に問題があるドメインコントローラーが正常に復帰できる期間
- 20. [DPM] コンピューター パスワードの更新を意識したベアメタル リカバリー (BMR) https://blogs.technet.microsoft.com/systemcenterjp/2012/12/06/dpm-3/ Netdom.exe を使用して Windows Server ドメイン コントローラーのコンピューター アカウントのパスワードをリセットする方法 https://support.microsoft.com/ja-jp/help/325850/how-to-use-netdom.exe-to-reset-machine-account-passwords-of-a-windows-server-domain-controller 【セキュアチャネル破損時の対応】 • クライアント…Active Directoryから離脱して再復帰 • ドメインコントローラー…Netdomコマンドで強制リセット
- 25. イントラネット
- 26. イントラネット ① DC#3 に発生している障害を取り除く ② 他の健全な DC から DC#3 に同期
- 27. イントラネット ① DC#2 に FSMO を強制転送 ② DC#1 の情報を削除 (Metadata Cleanup) ③ DC#1 を再度セットアップし DC に昇格して同期 ④ DC#1 に FSMO を転送
- 28. イントラネット ① 復元のマスターを決定しバックアップから復元 ② 他の DC の情報を削除 (Metadata Cleanup) ③ 他の DC を再度セットアップし DC に昇格して同期
- 29. イントラネット ① (誤削除の場合) Active Directory ごみ箱から復元 (それ以外の場合)任意の DC で権限のある復元 ② 他の DC に同期
- 30. フェデレーションの無効化 Set-MsolDomainAuthentication -Authentication Managed [ドメイン名] 反映までに時間がかかる(1時間に1回)、反映まで利用不可 フェデレーションの再有効化 Convert-MsolDomainToFederated -DomainName [ドメイン名] (有効化)
- 34. PowerShellを起動して以下のコマンドを実行 Move-ADDirectoryServerOperationMasterRole [DC名] -OperationMasterRole 0,1,2,3,4 -Force 可能であれば定期的な訓練 コマンドプロンプトを起動 ntdsutil を起動し、以下のコマンドを実行 roles connections connect to server [DC名] quit seize schema master seize domain naming master seize pdc seize rid master seize infrastructure master quit quit
- 35. ~秘伝の Active Directory からの脱却~
- 38. 発見の契機 システムアカウントがロックアウトする 事象の詳細 • 複数のアカウントがロックアウト • 時間は不定期 • Active DirectoryのログからAD FSが原因 • AD FS Proxy経由
- 39. 原因 外部からのアタック ExtranetLockout を有効化 Enabling AD FS 2012 R2 Extranet Lockout Protection https://blogs.technet.microsoft.com/rmilne/2014/05/05/enabling-adfs-2012-r2-extranet-lockout-protection/ 本格対処として、Azure AD Premiumへの切り替えを検討
- 40. 発見の契機 全ドメインコントローラーが高負荷 事象の詳細 • 性能不足と想定して増設を試行 • 増設先でも同様に高負荷 • ネットワークから切り離して調査依頼
- 42. 発見の契機 Exchange Server利用不可 事象の詳細 • メールが利用できないというユーザー申告 • Exchange Serverから多数のアラート • 「設定が読み込めない」などのエラー
- 44. 発見の契機 海外(ヨーロッパ)拠点からのアクセス増 事象の詳細 • VPN接続した海外拠点からのアクセス増 • 海外からのドメインコントローラへの接続 が増える
- 48. セッションアンケートにご協力ください ➢ 専用アプリからご回答いただけます。 decode 2017 ➢ スケジュールビルダーで受講セッションを 登録後、アンケート画面からご回答ください。 ➢ アンケートの回答時間はたったの 15 秒です!
- 49. Ask the Speaker のご案内 本セッションの詳細は『Ask the Speaker Room』各コーナーカウンタにて ご説明させていただきます。是非、お立ち寄りください。
- 50. © 2017 Microsoft Corporation. All rights reserved. 本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。