Windows Server 2012におけるAD DSのTombstone Lifetimeについて

ブログ エントリ内にアフィリエイト広告が含まれています

Active Directoryドメイン サービス (AD DS) およびライトウェイト ディレクトリ サービス (AD LDS) のユーザーが、Active Directory オブジェクトを誤って削除してしまった場合、バックアップから廃棄済みオブジェクト (Tombstone) を復元することで、削除したActive Directoryオブジェクトを回復することが可能です。

復元するためには、バックアップ取得時からTombstone Lifetimeの期間内である必要がありますが、AD DS (2003まではActive Directory)を構築したOSのバージョンによっては「60日」であったり、「180日」であったりしました。

  • Windows Server 2003 SP1適用以前のサーバーで構築した場合は、60日
  • Windows Server 2003 SP1適用以降のサーバーで構築した場合は、180日

Windows Server 2012ではTombstone Lifetimeの値がどうなっているか気になったので、確認してみました。

確認した結果としては、Windows Server 2003 SP1適用以降 (2003 SP2、2008、2008 SP2、2008 R2、2008R2 SP1) と同様に「180日」でした。

[確認手順]

  1. AD DSがインストールされたサーバー上で、[サーバー マネージャー]を起動し、[ツール] – [ADSI エディター]を選択、起動します。
  2. 左ペインにある[ADSI エディター]を選択、右クリックし、[接続]を選択、クリックします。
  3. [識別名または名前付けコンテキストを選択または入力する]ダイアログボックス内に以下を入力、[OK]ボタンをクリックします。

    CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<ドメイン名>

    tedomain.localの場合は、「CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=tedomain,DC=local」と入力します。

  4. 左ペインに表示されている、3.で入力した識別名を選択、右クリックし、[プロパティ]を選択、クリックします。
  5. 属性で、「tombstoneLifetime」の値を確認します。

[補足]

PowerShellからGet-ADObjectコマンドレットを用いて確認することが可能です。

以下の例では、tedomain.localのtombstone Lifetimeを確認しています。

Import-Module -Name ActiveDirectory
(Get-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=tedomain,DC=local" -Properties *).tombstoneLifetime

[参考]

タイトルとURLをコピーしました