バックアップの有効期限についての考察をしてみます
参考:
削除された Active Directory オブジェクトを復元するシナリオの概要
http://technet.microsoft.com/ja-jp/library/dd379542(WS.10).aspx
バックアップ有効期間の値は、削除されたオブジェクトの有効期間が格納されている msDS-deletedObjectLifetime 属性と、リサイクルされたオブジェクトの有効期間が格納されている tombstoneLifetime 属性の 2 つの属性の小さい方の値になります。
よって、デフォルトでは180日がバックアップの有効期間ということになります。(ここでいう有効期間とはマイクロソフトがサポートするという意味)
しかし、裏技的な方法で180日が経過したバックアップでも復元は可能です。それは国井さんのブログで紹介されていますのでそちらにお任せいたします。
Active Directory Recycle Binで救えなかったオブジェクトを救出する
例えば Deleted Object Lifetime =3 と Tombstone Lifetime=180 の場合、削除して 4 日たったオブジェクトは既に isRecycled=TRUE であり、バックアップから復元しても本属性値は変更されません。そのため、バックアップの有効期限は 3 日となります。
逆にDeleted Object Lifetime =180 と Tombstone Lifetime=3 の場合、採取後 3 日以上のバックアップは、以前までの動作と同じ理由で有効なバックアップではありません。
ごみ箱を有効にした場合マイクロソフトとしては、Deleted Object Lifetime 期間の間に復元することを想定しているので、その期間を超えたオブジェクトの復元は推奨していないということになります。
*Authoritative restoreには「Toggle recycled objects flag」コマンドが新設されていているので、上の例として挙げた Deleted Object Lifetime =3 と Tombstone Lifetime=180 の場合においては、このコマンドを利用することで、isRecycled 属性値を変更することでバックアップからの復元が可能と考えられます。ただし、このコマンドは利用を推奨しないコマンドとしての連絡がありました~
Active Directory Recycle Binに関してのまとめ
- Active Directory Recycle Binを有効にするとデフォルトでは180日間は全ての属性値が入った状態でのデータベースからの復元が可能
- 180日以後のデータベースおよびバックアップからの復元は想定していない
- バックアップの有効期間はデフォルト180日
- マイクロソフトでは180日以上たったバックアップからの復元は推奨していない
ということかな
特に1番が大きなメリットになります。今までは全ての属性値を含んだオブジェクトを復元しようとすると、Authoritative restoreを実行するためにディレクトリ サービス復元モード (DSRM) による起動が必要だったのでそのためのダウンタイムと、復元オブジェクトが存在するバックアップデータが必要でした。これらの作業を行うことなしに完全復旧ができるのはいいですね。
ふ~、これでActive Directory Recycle Binの話題は一旦終了します。
