- PR -

削除したコンピュータアカウントの復元

1
投稿者投稿内容
アレック
常連さん
会議室デビュー日: 2005/09/16
投稿数: 29
投稿日時: 2009-03-19 20:38
大変おせわになります。

誤ってAD上からコンピュータアカウントを削除してしまったときの復旧方法について質問させて下さい。

AD復元モードではいり、ntdusuitlでオブジェクトを復旧するのは大事なので、sysinternals のadrestoreを使用してテストしております。
一旦AD上から削除コンピュータアカウントを、adrestoreで復元するところまでは簡単に出来るのですが、AD上に復元したあとでも該当のPCからドメインにログオンすることができません。コンピュータアカウントがAD上にない旨のエラーがでます。

コンピュータアカウントのパスワードの値は、デフォルトではTombstoneに入らないようなので、adrestoreで復元したあとに、アカウントを有効にし、AD上から、netdom reset コンピュータ名 /UserO:Administrator /PasswordO:* で該当PCのパスワードをリセットしようとするのですが、なぜか毎回、Access is deniedのエラーになりリセットできません。また、netdom /verifyでも同じエラーになります。 ユーザ名とパスワードを指定せずに、netdom /resetだけでも、Access Deniedのエラーになるので、ユーザ名、パスワードの問題ではないようです。

また、まったく同じ状況で、netdom remove コンピュータ名 /Domain:ドメイン名 /UserD:Administrator /PasswordD:* /UserO:Administrator /PasswordO:*を実行するとうまく処理されます。またjoinコマンドもうまくいきました。
また、join、再起動後だと該当PCからドメインにログオンすることが出来ました。

質問なのですが、adrestore後に、netdom resetを実行してパスワードをリセットする必要はあるのでしょうか。これは正しい処理でしょうか。
また、なぜ常にAccess Deniedのエラーなってしまうのでしょう。

また、みなさんは謝ってコンピュータアカウントを削除されてしまったときは、どのように対処されてますでしょうか。やはり、ドメインの再追加でしょうか。

DCは、Windows 2003 SP1
Netodm は、SP2のサポートツールを使用しております。

どうぞよろしくお願い致します。
試験問題作成委員会
ベテラン
会議室デビュー日: 2009/01/04
投稿数: 54
投稿日時: 2009-03-20 09:27
ご質問の件については、翔泳社のしたの書籍のP370〜P372に書かれています。
http://www.amazon.co.jp/gp/product/4798106992/ref=cm_rdp_product
オブジェクト(OU、コンピュータなど)の誤った削除が他のドメインコントローラに
リプリケートされてしまっていれば「Authoritative Restore」を実行して復旧させるのが原則論です。

MS関係サイトではしたなどにあります。(「Authoritative Restore」のキーワードでWeb検索するとよいでしょう。)
http://technet.microsoft.com/ja-jp/library/cc736611.aspx
http://www.microsoft.com/windows/windows2000/ja/server/help/ntbackup_authoritative_restore.htm

ただし、ドメインコントローラの最新のシステム状態のバックアップを取っておくことが条件です。
http://technet.microsoft.com/ja-jp/library/cc781353.aspx
アレック
常連さん
会議室デビュー日: 2005/09/16
投稿数: 29
投稿日時: 2009-03-20 22:42
試験問題作成委員会さん、

ご返答頂きまして、ありがとうございます。
Authoritative Restoreの復旧はADを一旦停止しての作業になってしまうので、もう少し手軽な方法(adrestoreかldp)での復元を目指しております。

ちなみに、Windows 2008 R2では、ADオブジェクトのごみ箱があるそうです。
試験問題作成委員会
ベテラン
会議室デビュー日: 2009/01/04
投稿数: 54
投稿日時: 2009-03-21 04:33
AdrestoreについてはMS関係サイトではしたにKBがあります。
http://technet.microsoft.com/ja-jp/magazine/2007.09.tombstones.aspx
http://support.microsoft.com/kb/840001/ja

MS関係サイト以外ではしたのページがわかりやすいと思います。
http://pnpk.net/cms/archives/199

ただし、既定でオブジェクトを復元させると無効になってしまうようです

アレック
常連さん
会議室デビュー日: 2005/09/16
投稿数: 29
投稿日時: 2009-03-23 12:17
試験問題作成委員会さん、

ご返答頂きまして、ありがとうございます。
実はもともとこちらの Technetを参照ながらテストしていたのですが、ユーザの復元方法しか記載されておりませんでした。

ユーザアカウントであれば、復元してアカウントを有効にしてパスワードをリセットすれば良いのですが、コンピュータアカウントはそう簡単には、いかないようです。
単純に、netdom で、コンピュータのセキュアチャンネルをリセットすればよいと思ったのですが、なぜか、アクセス拒否でうまくいきません。netdom resetコマンドはもともとセキュアチャンネルが確立している状態でないと実行できないのかとも思います。
また、コンピュータパスワードのリセットを実行しても該当PCからはうまくログオン出来ませんでした。

コンピュータアカウント復元後の処理として、アカウントを有効にしてパスワードをリセットする以外に必要なことってあるのでしょうか・・・

また、ドメインに何百台もクライアントPCがあると、掃除したりするときに、間違って削除することはあるかと思うのですが、みなさんどのように対処なさっておられるのでしょうか。

どうぞよろしくお願い致します。
試験問題作成委員会
ベテラン
会議室デビュー日: 2009/01/04
投稿数: 54
投稿日時: 2009-03-23 13:14
したのページにあるように該当のコンピュータアカウントをリセットして、すべてのドメインコントローラに複製が完了してから、再度ドメイン参加させてみるのが一般的なのですが。
http://www.atmarkit.co.jp/fwin2k/win2ktips/253atdomain/atdomain.html

Netdom reset コマンドの使い方はしたのようなページに図解入りで解説されています。
http://itpro.nikkeibp.co.jp/article/COLUMN/20071219/289843/
http://itpro.nikkeibp.co.jp/article/COLUMN/20071207/289082/?ST=nettech&P=2

MS関係のKBはしたにあります。
http://support.microsoft.com/kb/216393/ja
http://technet.microsoft.com/ja-jp/library/cc788073.aspx

また、有識者からの回答を待ってみてください。


[ メッセージ編集済み 編集者: 試験問題作成委員会 編集日時 2009-03-23 14:33 ]
アレック
常連さん
会議室デビュー日: 2005/09/16
投稿数: 29
投稿日時: 2009-03-24 10:09
試験問題作成委員会さん、

ご返答頂きまして、ありがとうございます。
頂いたリンク先も含めて、検索エンジンにかかるページは全て既にチェックしていたのですが、コンピュータアカウント復元後の作業がどこを探しても見つかりませんでした。
もう少し、有識者の方のアドバイスを、待つようにします。
1

スキルアップ/キャリアアップ(JOB@IT)