USN ロールバックの回避

ドメインに複数のドメイン コントローラがあり、いずれかのコントローラまたはそのデータベースを復元する必要がある場合、USN ロールバックに対処することを検討してください。

VSS ベースのディスクレベルのバックアップからドメイン コントローラ全体を復元すれば、USN ロールバックが発生する可能性は低くなります。

次のいずれかが当てはまる場合は、USN ロールバックが発生する可能性が高くなります。

• ドメイン コントローラが部分的に復元された場合。たとえば、一部のディスクまたはボリュームが復元されなかった、または Active Directory データベースのみが復元された場合。
• ドメイン コントローラが VSS を使用せずに作成されたバックアップから復元された場合。たとえば、ブータブル メディアを使用してバックアップが作成された、[VSS を使用する] オプションが無効だった、または VSS プロバイダが正しく動作しなかったなどの場合。

いくつかの簡単な手順で USN ロールバックを回避するのに役立つ情報を、以下に示します。

レプリケーションと USN

Active Directory データは、ドメイン コントローラ間で頻繁にレプリケートされます。特定の時点で、同じ Active Directory オブジェクトの新しいバージョンが 1 つのドメイン コントローラ上に存在し、別のドメイン コントローラ上に古いバージョンが存在することがあります。競合や情報の損失を防ぐために、Active Directory は各ドメイン コントローラ上のオブジェクトのバージョンを追跡し、古くなったバージョンを最新バージョンに置き換えます。

Active Directory は、オブジェクトのバージョンを追跡するために、更新シーケンス番号（USN）と呼ばれる番号を使用します。Active Directory オブジェクトのバージョンが新しいほど、それに対応する USN は大きくなります。各ドメイン コントローラは、他のすべてのドメイン コントローラの USN を保持します。

USN ロールバック

ドメインコントローラまたはデータベースの権限のない復元を実行した後に、そのドメイン コントローラの現在の USN が古い（小さい）USN に置き換えられます。しかし、他のドメイン コントローラはこの変更を認識しません。それらのドメイン コントローラは依然として、そのドメイン コントローラの最新の既知の（大きい）USN を保持しています。

結果として、次のような問題が発生します。

• 復元されたドメイン コントローラは新しいオブジェクトに対して古い USN を再利用し、バックアップから取得した古い USN を使用して処理を開始します。
• 他のドメイン コントローラーは、認識している USN よりも USN が小さい場合、復元されたドメイン コントローラから新しいオブジェクトをレプリケートしません。
• Active Directory 内に、同じ USN に対応する異なるオブジェクトが含まれるようになり、整合性がなくなります。この状況は USN ロールバックと呼ばれます。

USN ロールバックを回避するには、復元されたという事実をドメイン コントローラに通知する必要があります。

USN ロールバックを回避するには、次の手順を実行します。

1. ドメイン コントローラまたはそのデータベースを復元した直後に、復元されたドメイン コントローラを起動し、起動中に F8 キーを押します。
2. [詳細ブート オプション] 画面で、[ディレクトリ サービス復元モード] を選択し、ディレクトリ サービス復元モード（DSRM）にログオンします。
3. レジストリ エディターを開いて、次のレジストリ キーを展開します。

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

4. そのレジストリ キーで DSA Previous Restore Count の値を調べます。この値が存在する場合は、その設定をメモします。この値がない場合に値を追加しないでください。
5. そのレジストリ キーに次の値を追加します。
   • 値の種類: DWORD（32 ビット）値
   • 値の名前: Database restored from backup
   • 値のデータ: 1
6. ドメイン コントローラをノーマル モードで再起動します。
7. （オプション）ドメイン コントローラを再起動した後でイベント ビューアを開き、[アプリケーションとサービス ログ] を展開し、[ディレクトリ サービス] ログを選択します。[ディレクトリ サービス] ログで、イベント ID 1109 の最新のエントリを探します。このエントリが見つかったら、ダブルクリックして、起動 ID 属性が変更されていることを確認します。これは、Active Directory データベースが更新されていることを示します。
8. レジストリ エディタを開き、DSA Previous Restore Count 値の設定が、手順 4 と比べて 1 増加していることを確認します。手順 4 で DSA Previous Restore Count 値がなかった場合は、この時点で値が存在し、1 に設定されていることを確認します。

   異なる設定が表示される場合（およびイベント ID 1109 のエントリが見つからない場合）、復元されたドメイン コントローラに最新のサービス パックが適用されていることを確認し、すべての手順を繰り返します。

USN および USN ロールバックの詳細については、http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv.aspx の Microsoft Technet の記事を参照してください。