Windows Server 2012におけるAD DSのTombstone Lifetimeについて

スポンサーリンク
Microsoft Public Affiliate Program (JP)(マイクロソフトアフィリエイトプログラム)

Active Directoryドメイン サービス (AD DS) およびライトウェイト ディレクトリ サービス (AD LDS) のユーザーが、Active Directory オブジェクトを誤って削除してしまった場合、バックアップから廃棄済みオブジェクト (Tombstone) を復元することで、削除したActive Directoryオブジェクトを回復することが可能です。

復元するためには、バックアップ取得時からTombstone Lifetimeの期間内である必要がありますが、AD DS (2003まではActive Directory)を構築したOSのバージョンによっては「60日」であったり、「180日」であったりしました。

  • Windows Server 2003 SP1適用以前のサーバーで構築した場合は、60日
  • Windows Server 2003 SP1適用以降のサーバーで構築した場合は、180日

Windows Server 2012ではTombstone Lifetimeの値がどうなっているか気になったので、確認してみました。

確認した結果としては、Windows Server 2003 SP1適用以降 (2003 SP2、2008、2008 SP2、2008 R2、2008R2 SP1) と同様に「180日」でした。

[確認手順]

  1. AD DSがインストールされたサーバー上で、[サーバー マネージャー]を起動し、[ツール] – [ADSI エディター]を選択、起動します。
  2. 左ペインにある[ADSI エディター]を選択、右クリックし、[接続]を選択、クリックします。
  3. [識別名または名前付けコンテキストを選択または入力する]ダイアログボックス内に以下を入力、[OK]ボタンをクリックします。

    CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<ドメイン名>

    tedomain.localの場合は、「CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=tedomain,DC=local」と入力します。

  4. 左ペインに表示されている、3.で入力した識別名を選択、右クリックし、[プロパティ]を選択、クリックします。
  5. 属性で、「tombstoneLifetime」の値を確認します。

[補足]

PowerShellからGet-ADObjectコマンドレットを用いて確認することが可能です。

以下の例では、tedomain.localのtombstone Lifetimeを確認しています。

Import-Module -Name ActiveDirectory
(Get-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=tedomain,DC=local" -Properties *).tombstoneLifetime

[参考]