SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

Active Directory の Tombstone の設定値について

leave a comment

AD を専門にされている方は周知のことかと思いますが、私はよく忘れてしまうのでメモ。

AD のバックアップには Tombstone 期間が設定されており、この期間を過ぎると適切な
バックアップとしてみなされなくなります。
# 実際に期間を過ぎて戻したことはないので戻そうとするとどうなるかは後で調べなくては…。
  以前、情報を見た記憶があるのですがすっかり忘れています。

Windows Server 2003 SP1 以前ではこの期間は [60 日] として設定されています。
Windows Server 2003 SP1 以降では [180 日] として設定されています。

ただし、この設定は Windows Server 2003 SP1 以降をインストールした際に自動的に
変更されるのではなく、1 台めのドメインコントローラを 2003 SP1 以降で構築した場合に
180 日で設定されています。

また、この設定はエンタープライズの構成情報 (AD の構成パーティション) に含まれているため、
フォレスト内で共通の設定となっています。

新規にフォレストを構築した場合は、初期導入したドメインコントローラのバージョンに依存しますので
設定値はわかりやすいと思いますが、企業で使用しているドメインコントローラは

  • NT ドメイン
  • Windows 2000 Server AD ドメイン
  • Windows Server 2003 AD ドメイン
  • Windows Server 2008 AD ドメイン

と、段階的にアップグレードしていることが多そうですので運用担当者が固定化されていないと
実際の設定値がわからないこともあるかと。
# ADMT でマイグレーションする場合と、アップグレードする場合はどちらが多いんでしょね??

以下の KB にどこを確認すればよいか掲載されています。
Active Directory のシステム状態のバックアップの有効期間について..

[ldp.exe] または [adsiedit.msc] で以下のコンテナを開くと確認できます。
# Windows Server 2008 では標準でインストールされていますが、それ以前のバージョンでは
  サポートツールをインストールする必要があります。

  • [CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=ドメイン名]
    • [tombstoneLifeTime]  の値を確認

LDP.EXE

image

ADSIEDIT.MSC

image

ldp で検索する場合は以下のような検索条件で。
Filter と Options の Attributes を設定しています。

image 
image

上記の画像は Windows Server 2003 のサポートツールを使用しているため UI が英語表記ですが、
Windows Server 2008 になると UI が日本語化されています。

Written by masayuki.ozawa

6月 14th, 2009 at 11:19 pm

Posted in Active Directory

Leave a Reply

*