※本記事はベータ版段階での情報です。RTM後変更される可能性があることをご了承ください。

週末のオープンソースカンファレンスの準備を完了せねばならないため、ひとまず、この投稿が今週最後になるかな..と思っております。

過去の Active Directory Recycle Bin に関する投稿記事の一覧
Windows Server 2008 R2 - Active Directory Recycle Bin に関する投稿

Active Directory Recycle Bin は大変に有用な機能ですが、運用に関する考慮事項が増えたことを無視するわけにはいきません。

2つの考慮事項があります。

• ADから削除したオブジェクトが未来永劫、復活可能なわけではない
• Deleted 状態では ガベージコレクションの対象外である（DBの容量は減らない）

以下の図にも示すとおり、削除したオブジェクトは段階的に状態を変えます。

Deleted 状態が保持されるのは、規定で180日です。つまり、削除してから180日以内であれば、属性値を失うことなく復活することが可能です。

180日が経過すると Recycled 状態となり多くの属性が消去されます。

そして、さらに180日後に 物理的に削除されます。

これらの期間（LifeTime）は変更することが可能です。

1点目の留意事項については、LifeTime の変更で運用にあわせることが可能ですが、それによって2点目の問題について考慮しなければなりません。

不必要に長く保存することが必ずしもよいわけではないと言うことをご理解ください。

さて、それでは実践です。

Deleted 状態の継続期間を決めるのは msDS-DeletedObjectLifeTime 属性であり、Recycled 状態の継続期間を決めるのは tombstoneLifetime 属性です。

この属性はユーザーに紐づいたものではなく、以下のオブジェクトの属性として定義されます。

“CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=mydomain,DC=com”

つまり、システムで一意の値となります。

これらの属性は lpd.exe や ADSI Edit  で確認することができます。以下の画面は、使い慣れた ADSI Edit で確認したものです。

ご覧の通り、msDS-DeletedObjectLifeTime には規定で Null が設定されており、tombstoneLifeCycle には 180（日）が設定されていることがわかります。

実は、msDS-DeletedObjectLifeTime = Null の場合、tombstoneLifeCycle の値が継承されるため、結果的に規定値が180日となります。tombstoneLifeCycle = 365 と設定されていれば、msDS-DeletedObjectLifeTime も 365 になります。

この値を変更する方法として ステップバイステップ で紹介されているのは、

• PowerShell で Set-ADObject コマンドレットを使用する
• lpd.exe を使用する

ですが、

• ADSI Edit を使用する

ことでも変更できます。

せっかくですので、ステップバイステップに書かれていない、かつ使い慣れた ADSI Edit で変更する手順について説明します。

1) ADSI Edit を起動

2) [操作] - [接続] を選択して、[既知の名前付けコンテキストを選択する] で [構成] を選択し、[OK]

3) 以下のパスを開く

“CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=mydomain,DC=com”

4) CN=Directory Service のプロパティを開く

5) msDS-DeletedObjectLifeTime の値を入力する（単位は"日"）

ステップバイステップによれば、最小単位は 3（日）とのことですが...私が試したところでは 1日 でも Recycled 状態に移行されたようです...

この辺りの仕様は、まだ fix していないのかな...。

それにしても...Active Directory Recycle Bin を使うと、AD統合認証環境でのプロビジョニングに大きな可能性が見えてきますね。

このあたりは、Tech Fielders のエバンジェリストコラムにでも書いてみようかと思います。

やっと2月21日のオープンソースカンファレンスのデモ環境ができあがりました。

...といっても、Windowsに詳しい方にとってはたいしたデモじゃないんですが...

もし、あまりWindowsになじみが無く、「Active Directory ってじゃんじゃそら？」という方がいらっしゃいましたら、ぜひともいらしてください。

こんな内容を予定しています。

タイトル

「Active なんとか」でいいことあるかな？（仮称）

ストーリー

ひょんなことから Linux だけの環境に Windows Server がやってきた！敵機来襲!?

OS だけ消して SUSEに入れ替えちまえ！と言いたい所だけど、上司からは「使い道を考えろ」とのこと。

だったら、なんで買ったんだよ...orz と文句のひとつも言いたいところだが、そこはプロのエンジニア。

ぐっと我慢して妄想モード...。

まぁ、ファイルサーバーとして使うのがひとまず一般的だよな。ディスクもたんまりついているみたいだし。

いやいや、まてよ...そんな案を出したら...「俺でも思いつくわ！」と課長にどやされるかな...。

あ、そういえば、Windows Server には Active なんとか という認証サーバーがあったっけな...どこかの雑誌で読んだ気がする。

認証環境を Active なんとかで統合したら、いままで「認証できないから使用禁止」だったWindowsも社内で使えるようになるんじゃないか？

Windows 7だか8だかも出るみたいだし、ちょっくらトライしてみますか...。

内容

• 「Active なんとか」とは？
• Active なんとか でLinux を認証
• アカウントポリシー、パスワードポリシー の一元管理
• Kerberos だから SSH も簡単に接続

といったかんじです。

後日、デモ環境等のご紹介を、このBLOGで行います。

※本記事はベータ版段階での情報です。RTM後変更される可能性があることをご了承ください。

今日、「英雄の書」という本の上下巻 を買ったのですが、新書で重たいので「上巻だけ」をカバンに入れ、電車の中で読み始めようとしたら 下巻 でした。

仕方が無いので Windows 7 のグループポリシーを読んでいたら...面白いものを発見しました。

そうです。ポリシーベースのQoS で、URL による制御ができるようになるのですね。

以前、以下の投稿をしましたので、こちらもご覧ください。

【Management】ポリシーベースの QoS で遊んでみる

Vista/2008 では、IPアドレスやアプリケーションによる制御が可能でした。でもアプリケーションが「WEBアプリ」だと、ブラウザ全体をQoSの対象にする必要がありました。

でも、Windows 7 ではURLによる帯域制御やパケットスケジューリングができるので、たとえばビデオが流れるトレーニングサイトとかのトラフィックを制御できるようになるのですね。

ま、でも、ペイントの「以前の保存先記憶テクノロジー」にくらべればたいしたことはありませんけどね。

-----

そういえば、本日 2月20日からは Future Technology Days ですね（わたしは オープンソースカンファレンスですが）。

登壇者である高添は、朝の4時30分からリハだそうで....出会った方は、是非ともねぎらってあげてくださいませ...。

彼は今頃、ホテルの部屋でがんばっているはずです。

ちょいとお茶濁し系の話題ですみません。オープンソースカンファレンス直後から、いろいろまとめなければならない資料が多くて...

つなぎの話題にもなりませんが、ちょいと軽い話を。

TechNet サブスクリプションはご存知だと思います。

年間契約で、開発ツール以外のMS製品を「評価を目的として」使用できるという、お得なアレですね。

評価版のように、3ヶ月限定とかという期限がありませんので、ゆっくりと評価していただくことができますし、製品を購入するよりはるかに安価です。

「お客様先のシステムと同じ環境を作って評価したい...でも買うのは...」

「Windows Server 2003 R2 のメディア販売が終了してしまいそう！いちおう買っておいたほうがよいだろうか...」

「あぁ、昔のアレが使いたい！」

そんなときには、TechNet サブスクリプションです。

＃古い製品がすべて提供されているわけではありませんのでご注意ください

Tech Fieldersセミナーに参加すると、ときとして秘密のキャンペーンコードなどといったものが告知される場合もあり、それによって2割～3割程度安くなりますので、個人でも十分購入いただける価格になります（2、3回 飲み会を我慢していただければ...）

で、今回は何をお伝えしたいかというと、「言語切り替え」と「RSS」についてです。

＃そんなの知ってるよと..という方も当然いらっしゃるかと思うので、読み流してください

まずは言語切り替え機能について

左側のメニューから製品をクリックしても、右側にダウンロード可能なバージョンが出てこない場合がありますね。

そんなときは、言語を切り替えてみてください。日本語には無くても、英語版はある可能性が大きいです。

顕著な例としては、「テクニカルトレーニング」ですね。日本語には残念ながら登録されていませんが、英語にはたんまりと登録されています。

 

次に、RSSについて

新しいダウンロード情報をいち早く知りたい！場合にはメニューバーの「最新のダウンロード」をクリックしてください。

RSS を購読できます。

ちなみに、2009年2月26日時点では、以下の製品が登録されています。

もっとも新しいところでは、Windows Server 2008 SP2（Beta）適用済み ISOファイルなどというものも提供されており、手間が省けてよいですよね。

以下をご覧になって「そんな製品も使えるんだ！」と思った方、いまが買い時です！

Microsoft Dynamics (23)
- Dynamics AX 2009
- Dynamics AX 4.0
- Dynamics Axapta 3.0
- Dynamics CRM 1.0
- Dynamics CRM 1.2
- Dynamics CRM 3.0
- Dynamics CRM 4.0
- Dynamics GP 10.0
- Dynamics GP 7.5
- Dynamics GP 8.0
- Dynamics GP 9.0
- Dynamics NAV 4.0
- Dynamics NAV 5.0
- Point of Sale 1.0
- Small Business Accounting
- Small Business Manager Financials 7.5
- Small Business Manager Financials 8.0
- Small Business Manager Financials 9.0
- Solomon 5.5
- Solomon 6.0
- Solomon 6.5
- Solomon 7.0
- Solomon FRx
TechNet テクニカル トレーニング (4)
- Technet Briefings
- TechNet Webcasts
- Windows Server 2008 Training
- Windows Vista Training
TechNet テクニカル ライブラリ (1)
- TechNet Technical Library
アプリケーション (47)
- Access 2003
- Access 2007
- Accounting
- Business Contact Manager
- Business ScoreCard Manager
- Front Page
- Groove 2007
- Hyper-V Server 2008
- Hyper-V Server 2008 R2
- InfoPath 2003
- InfoPath 2007
- Interconnect 2004
- Interconnect 2007
- Internet Explorer 6.0
- Office 2003
- Office 2007
- Office Communicator 2005
- Office Communicator 2007
- Office Communicator 2007 R2
- Office Communicator Web Access
- Office Servers 2007
- Office XP
- OneNote 2003
- OneNote 2007
- Outlook 2003
- Outlook 2007
- PerformancePoint Server
- ProClarity
- Project 2002
- Project 2003
- Project 2003 Server
- Project 2007
- Project Portfolio Server 2006
- Project Portfolio Server 2007
- Publisher 2003
- Publisher 2007
- SharePoint Designer 2007
- Small Business Accounting(App)
- Virtual PC 2004
- Virtual PC 2007
- Virtual PC for Mac 6.1
- Virtual PC for Mac 7.0
- Virtual Server 2005
- Virtual Server 2005 R2
- Visio 2002
- Visio 2003
- Visio 2007
オペレーティング システム (26)
- Compute Cluster Pack
- MS-DOS
- Small Business Server 2003
- Small Business Server 2003 R2
- Windows 3.1 (16-bit)
- Windows 3.11
- Windows 3.2
- Windows 7
- Windows Advanced Server
- Windows CE DirectX Kit
- Windows CE Toolkit Visual C++ 6.0
- Windows Essential Business Server 2008
- Windows Internet Explorer 7
- Windows Internet Explorer 8
- Windows Server 2003
- Windows Server 2003 R2
- Windows Server 2008
- Windows Server 2008 R2
- Windows Services for UNIX 1.0
- Windows Services for UNIX 2.0
- Windows Services for UNIX 3.0
- Windows Services for UNIX 3.5
- Windows Small Business Server 2008
- Windows Vista
- Windows XP
サーバー (57)
- Antigen
- Application Virtualization for Terminal Services
- BizTalk Server 2002
- BizTalk Server 2004
- BizTalk Server 2006
- BizTalk Server 2006 R2
- BizTalk Server Accelerators and Adapters
- Commerce Server 2002
- Commerce Server 2007
- Connected Services Framework
- Content Management Server
- Customer Care Framework 2005
- Customer Care Framework 2008
- Customer Care Framework 2009
- Desktop Optimization Pack
- Exchange Server 2003
- Exchange Server 2007
- Forefront Client Security
- Forefront Client Security Beta
- Forefront Security for Exchange Server
- Forefront Security for SharePoint
- Forefront Server Security Management Console
- Forms Server
- Groove Server
- Host Integration Server 2000
- Host Integration Server 2004
- Host Integration Server 2006
- Identity Integration Server 2003
- Identity Lifecycle Manager 2007
- ISA Server 2004
- ISA Server 2006
- Live Communications Server 2003
- Live Communications Server 2005
- Office Communications Server 2007
- Office Communications Server 2007 R2
- Operations Manager 2000
- Operations Manager 2005
- Project Server
- Search Server 2008
- SharePoint Server 2001
- SharePoint Server 2003
- SharePoint Server 2007
- SharePoint Server 2007 Search
- Speech Server 2004
- SQL Server 2000
- SQL Server 2005
- SQL Server 2008
- System Center Capacity Planner
- System Center Configuration Manager
- System Center Data Protection Manager
- System Center Essentials 2007
- System Center Mobile Device Manager
- System Center Operations Manager
- System Center Reporting Manager 2006
- System Center Virtual Machine Manager
- Systems Management Server 2003
- Systems Management Server 2003 R2
ツールとリソース (29)
- .NET Compact Framework 1.0
- .NET Compact Framework 2.0
- .NET Framework 1.0
- .NET Framework 1.1
- .NET Framework Redistributable 1.0
- .NET Framework Redistributable 2.0
- .NET Framework Redistributable 3.0
- Application Compatibility
- Baseline Security Analyzer 2.0.1
- Bookshelf Symbol 7
- CRC 3.05
- Data Analyzer 2002
- IIS
- ILMerge
- Internet Security and Acceleration
- Log Parser
- MSXML 4.0
- Office Resource Kit
- Services for Netware
- Solver Foundation
- SQL Server Migration Assistant
- SQL Server Tool (SQLH2)
- Translation Glossaries
- Windows Hardware Compatibility
- Windows Installer
- Windows Server Update
- Windows Vista Upgrade Advisor 1.0
- WinFS
- XML Parser 3.0
開発者向けツール (1)
- Robotics Studio

Software Disign 2009年3月号 からいらしたみなさん、こんにちは。

Appendix 「Active Directory の基礎知識」の「UNIX用ID管理」のインストール手順を、このページで補足いたします。

# Appendix というのが...なんか疎外感を感じますね（笑）

まず、本誌の手順に従ってActive Directory をインストールしておいてください。

Active Directory のインストールが完了したら、いよいよ UNIX用ID管理 をインストールします。

1) [スタート] - [サーバー マネージャ] を起動します

2) 左側のツリーから、[役割] を展開し、[Active Directory ドメイン サービス] を右クリックして[役割サービスの追加]を選択

3) [役割サービスの追加]ウィザードで、[UNIX用ID管理]配下をすべて追加し、[次へ]

4) [インストール]をクリック

これで、作業は完了です。

[再起動]を促すダイアログが出てきたら再起動しましょう。

UNIX用ID管理 をインストールすると、ユーザーのプロパティに「UNIX属性」タブが追加されます。

UNIX用ID管理を使用すると、UNIX属性 の管理以外に、以下の機能が使用されます。

• Server for NIS
• パスワード同期機能

詳細は、以下を記事を参考にしてください。

• 【IDM】パスワード同期機能の有効活用 その1 ～ パスワード同期機能とは
• 【IDM】パスワード同期機能の有効活用 その2 ～ Windows Server 2008 でのパスワード同期機能のセットアップ
• 【IDM】パスワード同期機能の有効活用 その3 ～ unixUserPassword 属性から暗号化されたパスワードを取得する
• 【IDM】Active Directory から OpenLDAP への パスワードの同期 その1 ～ パスワードを SHA1 で暗号化
• 【IDM】Active Directory から OpenLDAP への パスワードの同期 その2 ～ ADSI でパスワードを同期する
• 【IDM】Active Directory から OpenLDAP への パスワードの同期 その3 ～（余談）Fedora 8 を Hyper-V上で動作させる  
• 【IDM】Active Directory から OpenLDAP への パスワードの同期 その 4 ～Ldap ブラウザでパスワードの変更結果を検証する

最後に、このページを参照されている方にお願いがあります。

ADとの相互運用について、「こんな実験をしてみたい」「こんなことできないかな？」といったことがありましたら、一緒に実験しませんか？

私は、みなさんにくらべてLinuxに詳しいわけではないので、私のADの知識と、みなさんのLinux（もしくはその他のオープンソース）の知識を結合して、面白い実験をできたらと思っています。

マイクロソフトの会議室を取りますので、そこにマシンをもちよって、アレができないか、これができないかなどといったこと、カジュアルな感じで議論しながらやってみるというのはどうでしょう？土日でももちろんかまいません。むしろ土日のほうがうれしいです。

興味のある方、是非コンタクトをください！

先日ある方から頂いた質問です。

DFSはファイルのミラーができてよいが、分散されたファイルサーバーのそれぞれでファイルが開けてしまう。片方が開いたら、他のサーバー上の同じファイルをロックできないか？

Distributed File Locking ってやつですね。残念ながら、OSには実装されていません。Windows Server 2008 R2 でもロック機能そのものが実装される予定はありません。

DFS（正確にはDFS-R）では同じファイルを複数の人が編集するというシナリオを想定しておらず、このご質問に対する回答は「是非とも SharePoint を使ってください」...となります。SharePointならば、チェックイン/チェックアウトの機能や、バージョニングの機能が実装されているので、複数ユーザーでの編集を想定した厳密な運用が可能です。ホームディレクトリの複製ならば、複数の人が同時に編集することは無いですしね...。

だったら、せめて編集できないようにしてくれよ

というご意見は当然のごとくアリますね。

実は、これについては、Windows Server 2008 R2 で「Read-Only Replicated Folder」という機能が実装される予定です。中央のサーバーでのみ編集が可能であり、複製先では読み取り専用となります。この機能の配下で使用していただければ編集は1つのサーバー上に集中するため、ロックが働きます。

DFS Replication: What’s new in Windows Server™ 2008 R2（英語）
http://blogs.technet.com/filecab/archive/2009/01/19/dfs-replication-what-s-new-in-windows-server-2008-r2.aspx

Read-Only replicated folders 機能については以下の方が詳しいです。

Read-only replicated folders on Windows Server 2008 R2（英語）
http://blogs.technet.com/filecab/archive/2009/01/21/read-only-replicated-folders-on-windows-server-2008-r2.aspx

※上の記事、面白いので、あとで日本語にして掲載します

こうした比較的ニッチな分野については、多くの場合社外ソリューションがあるものです。

Peer Software社の PeerLock Server V2.0 （DFS File Locking）
http://www.peersoftware.com/solutions/high_availability/dfs_file_locking.aspx

価格は、1サーバーあたり1399ドル。

サポートしているのは、Windows 2000 Server/Server 2003/Server 2008。注意事項として「メモ帳とワードパッドはロックできない」と書かれています。これはこれらのアプリケーションの性質のようです。

おもしろそうなので、日本語環境でも使えるかどうか試してみましたが...うーん、私の使い方が悪いのでしょうか、うまくロックがかかりませんでした。

どなたか、「うまくったよ！」という方はご連絡を！

スクリプトから簡単にファイルオープンを監視できないか調べていたのですが、CIM_DATAFILE の InUseCount が正しく情報を返してくれないため、挫折中です...（Win7でもだめでした）。なので、現実逃避。

私はMSPAINTが大好きです。A社のアレとかよりもMSPAINTが好きなのです。あと、メモ帳も。

でも、Windows 2000以降のMSPAINTには嫌いな点が１つありました。

それは、保存場所を覚えておいてくれないっ！

先ほど、Windows7 Beta の mspaint をさわったところ、なんと以前の保存場所を覚えておいてくれるじゃないですか！

上の画面ショットのように、7のペイントはツールバーがリボンになり、さらにいろんな機能が追加されました。

が、そんなものはどうでもいいです。

保存場所を覚えておいてくれるだけで、私には十分導入の動機になります。

まだ現実逃避中です...

以前、以下の記事を投稿しました。

【Windows Server 2008】（小技）RegEdit で「値」を選択すると「パス」がわからなくなる場合の対処
http://blogs.technet.com/junichia/archive/2008/03/05/windows-server-2008-regedit.aspx

これがWindows7 Beta でどうなったかなぁと思って確認したところ...

なんと、今度はちゃんと現在のパスがわかるように直っていました。

す、すいません...それだけです。

ちょっとはまったので、回避策をご紹介します。

Windows Server 2008 （私の環境は x64）で、グループポリシーを新規に作成しようとすると以下のエラーが出ます。

再解析ポイント バッファにあるデータは無効です

英語版では、以下のメッセージです。

The data present in the reparse point buffer is invalid.

この現象以外にも、既存のグループポリシーを編集後、以下のメッセージが表示されて保存に失敗します。

拡張エラーが発生しました。
保存に失敗しました。

原因ですが、これは FSRM（File Server Resource Manager）の「ファイルスクリーン」機能が悪さをしているようです。

グループポリシーが保存されている（保存される） SYSVOL と同じドライブ（通常はC:）にファイルスクリーンを仕掛けてあると発生するとのこと。

回避が急務という方は、お手数ですが、FSRMをアンインストールするか、SYSVOLと同じドライブに適用してあるファイルスクリーンを削除して、以下のコマンドを入力してみてください。以下のコマンド中の c: は、ファイルスクリーン（Datascrn）を解除（detach）したいドライブです。

fltmc detach Datascrn c:

サムネイル機能のことかって？

いえいえ、そんなのどうでもいいです。

そんなことよりも以下をご覧ください。

OUTLOOKのアイコンに注目です。

↓

↓

わかります？タスクバー内のアイコンが移動できるんです！

超うれしいです。

しかもですよ。同じ種類のアイコンは、必ず隣り合わせになり、アイコンの移動も一緒です。

あーうれしぃ。

グループポリシーに関して、こんな質問をいただきました。

質問1
Vista/2008ではポリシーテンプレートとしてADMXファイルが使用されているが、ADMXファイルから生成したGPOはWindows XPやWindows Server 2003に適用できるのか？

この質問は、以下のように言い換えることができます。

Windows Server 2008 で作成したグループポリシーは、Windows XPやWindows Server 2003 にも適用できるのか？

答えは Yes です。ADMファイルから生成したGPOも、ADMXから生成したGPOも、問題なくWindows XPに適用できます。

Windows.admx というファイルを見ていただくとわかるのですが、ここには有効なポリシーのバージョン管理をするための設定が書かれています。以下は、Windows.admx の一部です。

<!--At least Microsoft Windows 2000-->
<definition name="SUPPORTED_Win2k" displayName="$(string.SUPPORTED_Win2k)">
  <or>
    <range ref="products:MicrosoftWindows" minVersionIndex="1"/>
  </or>
</definition>

<!--Microsoft Windows 2000 only-->
<definition name="SUPPORTED_Win2kOnly" displayName="$(string.SUPPORTED_Win2kOnly)">
  <or>
    <reference ref="products:MicrosoftWindows2000"/>
  </or>
</definition>

では、逆に、

Windows Server 2008 に adm ファイルを読み込ませて生成した GPOは、VistaやWindows Server 2008には適用されるでしょうか？

これも Yes です。

よって、管理者の方が気をつけなければならないのは以下の2点です。

• ADMXを使用してGPOを編集できるのは Vista または Windows Server 2008のみである
• ただし、生成したGPOはVista/2008だけでなく以前のバージョンのWindowsにも適用できる

Windows7の些細な機能にスポットをあてて、真夜中にニヤリとするシリーズです。

いろんなユーザーをサポートしている方々には悩みがあります。

それは、「指示通りに操作してくれない」ということ。

「シャットダウンしてください」とお願いしても、「スリープ」して帰ってしまうとか。

「今日はシャットダウンしないでください」とお願いしても「シャットダウン」して帰ってしまうとか...。

悩みは尽きません。

＃たいしたことじゃない..とお思いの方も多いと思いますが、これが案外面倒なのですね

この解決策の1つとして、Windows Vista 以降では、電源ボタンを押されたときの規定の動作をグループポリシーで制御することができるようになりました。

いまさらですが、「グループポリシー」の醍醐味の1つは、規定の動作を設定できる点です。

# 以下はWindows7のグループポリシー管理コンソールです。

が、操作するのは電源ボタンだけじゃないですよね。[スタートメニュー]から操作することも大いに考えられます。

Windows7/2008R2 では、この機能がさらに強化され、スタートメニューに規定の「電源ボタンの操作」が表示されるようになりました。

ただ...上の設定画面とグループポリシーの設定画面を見比べていただくとわかるのですが、グループポリシーの設定ではログオフやロックが選択できないんですよね。

ためしに、ADMXファイルを見てみたら、やはり定義されていませんでした。

ベータのせいだとは思うのですが...うーん、現時点では不明です。期待しています。

※本記事はベータ版段階での情報です。RTM後変更される可能性があることをご了承ください。

こんにちは。ようやく心にも体にも余裕が出てきたので、これから本格的にWindows Servevr 2008 R2 の検証に入ろうと思っています。ちょいと出遅れていますが（恥）。

まずは情報収集ということで、TechNet に行ってみました。

Changes in Functionality from Windows Server 2008 to Windows Server 2008 R2 (Beta)（英語です）
http://technet.microsoft.com/ja-jp/library/dd391932(en-us).aspx

そしたら、あるわあるわ、2008 R2 の新機能に関する情報が目白押しです。

中でも、「ようやく実装してくれたか！」という機能が、「Active Directory Recycle Bin」です。

名前から想像がつくと思いますが、そうです、ADのゴミ箱です。もちろん、Undelete ができます。

What's New in AD DS: Active Directory Recycle Bin（すみません、英語です）
http://technet.microsoft.com/ja-jp/library/dd391916(en-us).aspx

いやー長かったですね（涙）。この日をどれだけ待ち焦がれていたことか。

現行の Windows Server 2008 を含め、以前は、削除してしまったオブジェクトを復旧するには2通りの方法が用意されていました。それはADのバックアップを使用してAuthoritative Restore する方法、そしてTombstone を使用して復元する方法です。Authoritative Restore はADを停止して回復モードで起動する必要なため、回復処理中は外部からの認証依頼を受け付けることができません。これに対して、Tombstone を使用する方法はADをオフラインにすることなく復旧することができます。

Authoritative Restore と Tombstone を使用した回復方法については、以下の記事がわかりやすくてよいでしょう。

障害回復: Active Directory ユーザーとグループ
http://technet.microsoft.com/ja-jp/magazine/2007.04.adrecovery.aspx

Active Directory の廃棄済みオブジェクト（tombstone object）を復元する（reanimate）
http://technet.microsoft.com/ja-jp/magazine/2007.09.tombstones.aspx

さて、これに対してWindows Server 2008 R2 からサポートされる Active Directory Recycle Bin にはどのようなメリットがあるのでしょう。

従来のTombstone を使用した方法には欠点がありました。それは、所属グループ情報などの「link-valued attribute」と呼ばれる属性や、多くの non-link-valued attribute がクリアされます（詳細は、http://technet.microsoft.com/ja-jp/magazine/2007.09.tombstones.aspx の図1 を参照してください）。

これに対し、2008 R2 のActive Directory Recycle Bin を使用すると、回復時にADのダウンタイムがなくなるだけでなく、link / non-link を問わず属性が保存されるため、容易に削除前の状態に戻すことができます。

ただ、ただですね...こんなに便利な機能を使うには、やはりなんらかのトレードオフが発生するわけで...フォレストの機能レベルが2008 R2でなければなりません。つまり、すべてのドメインコントローラが Windows Server 2008 R2 で構成されている必要があります。もちろん、従来のドメインから 2008 R2 レベルにアップグレードすることもできますので、古いドメインを捨てなければならない！なんてことはありません。

以下の図をご覧ください。これはTechNetにも掲載されている図ですが、削除されたActive Directoryオブジェクトの状態遷移図です。

Recycle Bin 機能により、「Recycled」状態への猶予期間が与えられます。Recycled 状態になるまでに復旧すれば、失うものも無く元の状態に戻すことができるというわけです。

どうやら、この機能に関する各種設定、および復旧の操作は、R2から新しく実装されたコマンドレットを使用して、 PowerShell経由で行うことになりそうです（まだベータ版なのでなんともですが...）。

具体的な操作手順については、以下のステップバイステップに紹介されています。

Active Directory Recycle Bin Step-by-Step Guide
http://technet.microsoft.com/en-us/library/dd392261.aspx

次回、上のステップバイステップに沿って、実際に使ってみたところを紹介します。

※2009.11.18 記載ミスに気づき訂正
※2009.03.03 IsDisable と IsDisableable を読み違えていたので修正（はずかしい...）

前投稿の続きです。Active Directory Recycle Bin の機能概要については、前回の投稿をご覧ください。

【WS2008 R2】Active Directory にも Recycle Bin が用意される時代に

ここでは実際に Active Directory Recycle Bin を使用してみます。

# まだ Active Directory Recycle Bin の略称がどこにも書かれていないので、フルの名称で通します

参考にしているのは以下の資料です。

Active Directory Recycle Bin Step-by-Step Guide
http://technet.microsoft.com/en-us/library/dd392261.aspx

まずは Active Directory Recycle Bin が使えるように準備しましょう。

# Active Directory Recycle Bin は AD LDSでも有効ですが、今回はAD DSのみで行います。 

■スキーマの拡張

2008R2 を素の状態からインストールして dcpromo した場合には必要ありません。

既存の2003/2008ドメインに 2008R2 をDCとして追加した場合には、以下のコマンドでスキーマを拡張してください。adprep コマンドは 2008R2 DVDの \support\adprep フォルダにあります。

• adprep /forestprep （スキーママスターで実施）
• adprep /domainprep /gpprep（インフラストラクチャマスター で実施）
• adprep /rodcprep（RODCが存在している場合に実施）

■フォレスト機能レベルの変更

すべてのドメインコントローラが2008 R2であることを確認し、フォレストの機能レベルを Windows Server 2008 R2 に変更します。

フォレストの機能レベルの上げ方は、従来通り[Active Directory ドメインと信頼関係]から行えますが、新しくPowerShellのコマンドレットもサポートされるようになりました。

PowerShellを使用するには、[管理ツール]ー[Active Directory PowerShell] から、以下のように入力します。

Set-ADForestMode -Identity contoso.com -ForestMode Windows2008R2Forest

このほかに、「Active Directory 管理センター」という新しいツールも提供されています。
 

■Active Directory Recycle Bin を有効にする

Active Directory Recycle Binを有効にするには、やはりPowerShellのコマンドレットを使用します。使用するコマンドレットは、Enable-ADOptionalFeature です。これは、Active Directory のオプション機能を有効にするためのコマンドレットで、Active Directory Recycle Bin は "Licycle Bin Feature" という名前で識別されています。

ひとまず、現時点の オプション機能の状態を見てみましょう。この場合には、Get-ADOptionalFeature を使用します。

[管理ツール]-[Active Directory PowerShell] を起動して、以下のように入力します。

Get-ADOptionalFeature -Filter 'Name -like "*" '

オプション機能として有効なのは、"Lifecycle Bin Feature" のみであり、IsDisabled IsDisableable = False であることから、すでに有効になっていることがわかります 一度有効にしたら無効にできないことがわかります。

※実はWindows Server 2003 モードでインストールして上記コマンドで確認したのですが、表示が同様に「IsDisable = False」でした...。この辺り、まだ障害が残っているみたいですね...。

Windows Server 2003/2008 ドメインからアップグレードした場合など、まだ有効でない場合には以下のように入力します。

Enable-ADOperationFeature 'Recycle Bin Feature' -Scope Forest ForestOrConfigurationSet -Target 'contoso.com'
 

これで、Active Directory Recycle Bin は有効になりました。

-----------------------

ここからは余談で、かつあくまで私見ですが...おそらく...「Active Directory 管理センター」からも有効にできるようになるのだと思われます。というのも、以下の画面をご覧ください。

この画面の赤枠には「Protect from accidential deletion」とかかれており、チェックボックスになっています。

※以下のチェックボックスはオブジェクトを誤って削除しないようにするための保護機能ですRecycle Binとは関係ありませんので、訂正いたします。

ためしに、Windows Server 2003 モードで Active Directory をインストールしてみたのですが、状態は上の画面と同じく、「Protect from accidential deletion」がチェックされた状態でした。もちろん、フォレストモードは 2003 なのでRecycle Bin による復元はできず、従来の tombstone による復元となりました。

----------

次回、実際にオブジェクトを削除してそれが復旧できるかどうか見てみましょう。

前回は Active Directory Recycle Bin の環境設定について書きました。

• 【WS2008 R2】Active Directory にも Recycle Bin が用意される時代に
• 【WS2008 R2】Active Directory Recycle Bin を使ってみる その１~ 準備編

今回は実際に削除したオブジェクトを復旧してみたいと思いますが、流れを見やすくするために GUIツールである ldp.exe を使用したいと思います。

PowerShell を使用した方法は後ほど。

-----------------

1) テストユーザーを作成する

いま、以下のように user01 というアカウントをADに新規作成したとします。User01は Group01 にも所属しています。

従来の Tombstone を使用した復旧であれば、上の図に表示されている属性はすべてクリアされてしまいますが、Active Directory Recycle Bin を使用することでこれらを失わずに復旧することができるはずです。

2) テストユーザーを削除する

せっかく作成したユーザーですが、削除してしまいましょう。削除の方法はなんでもかまいません。

3) lpd.exe を起動

メニューには無いので、「ファイル名を指定して実行」等から起動してください。

初めて使う場合には、画面は真っ白のはずです。

4) 「Retuen Deleted Object」をチェックインする

なんのことやら？ですよね。

規定では削除されたオブジェクトは表示されないため、ここで表示するように設定するわけです。

lpd.exe の [オプション]－[コントロール]  を選択し、[次の規定の定義を読み込む] から [Retuen Deleted Object] を選択して[OK]をクリックしてください。

[アクティブコントロール] に 1.2.840.113556.1.4.417 が表示されればチェックイン完了です。

 

ちなみに、Deleted 状態 から Recycled 状態に切り替わったオブジェクトを表示するには、[Return Recycled Object] を選択します。

Deleted 状態と Recycled 状態 については、以前投稿した こちらの図 を参照してください。

5) ADに接続する

[接続] から [接続] を選択し、表示された [接続] ダイアログボックスの [OK] をクリック。

規定では、ローカルホストの接続するので、特に何も指示する必要は無いのです。

6) バインドする

[接続] メニューから [バインド] を選択し、ADにバインドします。管理者アカウントでログオンしているでしょうから、規定値のままでOKです。

7) LDAPツリーを表示する

[表示] メニューから [ツリー] を選択します。

[ツリー表示] ボックスが出てくるので、ベースDNは空白のまま [OK] してください。規定で、ドメインツリーが表示されます。

8) CN=Deleted Objects を展開して削除されたオブジェクトを探す

ツリーの中から、CN=Deleted Objects を探して、展開してください。

Deletec Object コンテナ配下には、Deleted 状態のオブジェクトおよびRecycled状態のオブジェクトが格納されています。

（ただし、4) で retuen Recycled Object をチェックインしていない場合には Recycled状態のオブジェクトは表示されません）

配下に、CN=User01\0ADEL:xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx というオブジェクトがあることがわかります。

これが削除された User01 です。これをダブルクリックすると、右側の詳細ペインに 削除されたUser01の主な属性が表示されます。

IsDeleted 属性が True に設定されていることに注目してください。

ちなみに、Recycled 状態となったオブジェクトは、IsDeleted = True に加えて、IsRecycled = Trueとなります。

User01 は、まだ Deleted 状態なので Recycled 属性に値が設定されておらず、ここには表示されていません。

また、lastKnownParent 属性の値にも注目しておきましょう。この値は、削除される直前のコンテナで、復旧時にはこの情報が必要となります。

9) オブジェクトを復旧する

Deleted 状態のオブジェクトを復旧するには2つの操作を行います。

• IsDeleted 属性を削除する
• DistinguishdName 属性を元に戻す

さっそく操作してみます。

初めての方には少々複雑な操作なので、混乱を招かないために、すこしずつ進みましょう。

まずは IsDeleted 属性を削除するための準備です。

① 削除された User01 を右クリックして、コンテキストメニューから [変更] を選択

② [エントリの編集] にある [属性] に 「IsDeleted」 と入力

③ [値] には何も入力しない

④ [操作] から [削除] を選択

⑤ [入力] をクリック

[エントリ一覧] に 「[Delete]IsDeleted」と表示されましたか？

次に、DistinguishedName を元に戻すための準備です。

⑥ [エントリの編集] にある [属性] に 「DistinguishedName」 と入力

⑦ [値] には、以前のDN を入力する。今回の場合は「CN=User01,CN=Users,DC=contoso-r2,DC=com」。

⑧ [操作] から [置換] を選択

⑨ [入力] をクリック

エントリ一覧に「[Replace]DistinguishedName:........]」が表示されましたか？

最後に、[同期]と[拡張]チェックボックスがチェックされていることを確認し、[実行] をクリックしてください。

右側の詳細ペインに、エラーが表示されなければ復旧は成功です。

復旧したユーザーを確認してみてください。

属性はすべて保持され、グループのメンバーシップも復活していることがわかります。

最初は操作に戸惑いますが、慣れたらなんてことありません。

ただ、問題は、OUごと削除してしまったとか、大量に削除してしまった場合ですね。

そんなときに、今回のような手作業を行っていたのでは体が持ちません、。

そんなときには PowerShell を使うことができます。これについては後ほど。

投稿順