この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
しばたです。
以前から気になっていたAWS Managed Microsoft ADのバックアップとリストアに関して実際に試してみることにしました。
検証環境
今回AWS Managed Microsoft AD環境には以前の記事で作ったディレクトリ環境をそのまま使います。
改めて概要を記載すると、
- 東京リージョン
- Standard Edtion
- OSはWindows Server 2019
- ドメイン名は
corp.contoso.com
となります。
このActive Directory環境のドメインコントローラーは以下の通りとなっています。
| コンピューター名 | IPアドレス | 備考 |
|---|---|---|
| IP-C61301B0 | 10.0.21.119 | DNSサーバー兼務 |
| IP-C613025C | 10.0.22.189 | DNSサーバー兼務 |
また、テスト用にuser01 - user10までのテストユーザーを追加しています。
ユーザー情報の詳細は以下の通りです。
PS C:\> Get-ADUser -Filter 'Name -like "User*"' | Select-Object Name, ObjectGUID, SID
Name ObjectGUID SID
---- ---------- ---
user01 044bb254-41df-42da-afd5-4a7666aed5d9 S-1-5-21-3058870169-3566082414-3748809332-1155
user02 0cf4a050-1eab-4365-a9fb-f3ccfe4653a5 S-1-5-21-3058870169-3566082414-3748809332-1156
user03 bb53912f-c281-463e-831a-e72f117cbe5f S-1-5-21-3058870169-3566082414-3748809332-1157
user04 dc1e6f8c-50b2-44bf-be0a-0b4e3cb2bfe8 S-1-5-21-3058870169-3566082414-3748809332-1158
user05 39a15bdc-3072-427c-9e62-af3f3b155402 S-1-5-21-3058870169-3566082414-3748809332-1159
user06 676a03d7-cfc4-490a-ac74-04b6984c74dd S-1-5-21-3058870169-3566082414-3748809332-1160
user07 e448ad98-e3b2-4562-8c91-359c071a5dd8 S-1-5-21-3058870169-3566082414-3748809332-1161
user08 15338b0f-2f1e-4559-aee7-dc0ac264e434 S-1-5-21-3058870169-3566082414-3748809332-1162
user09 faf9ab07-f262-4f33-a5b1-effe5c603eb4 S-1-5-21-3058870169-3566082414-3748809332-1163
user10 c14dfafa-9467-401c-ae3c-33cce555404a S-1-5-21-3058870169-3566082414-3748809332-1164ディレクトリのバックアップ
AWS Managed Microsoft ADは「スナップショット」という形でActive Directory全体のバックアップが取得されます。
このスナップショットはAWSにより定期的に自動取得されますが、手動でも取得可能です。
自動取得の間隔は明記されれていませんが、大体1日1回取得される様です。
そして一般的なActive Directoryのバックアップ同様に180日間の有効期限があります。 *1
スナップショットの情報はマネジメントコンソールの「メンテナンス」タブから確認できます。
既に自動バックアップが幾つかありますが、手動バックアップを取る場合は画面右上の「アクション」から「スナップショットを作成」を選択します。
確認ダイアログが表示されるので「作成」ボタンをクリックするとスナップショットが取得されます。
スナップショットの取得中はディレクトリの状態が「メンテナンス中」という扱いになります。
Active Directoryの操作は問題なく使えますが、AWS上の操作が一時的に制限されるそうです。
スナップショット取得中の状態はこんな感じです。
今回は約30分でスナップショットの取得が完了しました。
こちらは環境によって多少変わると思われます。
スナップショット取得直後のActive Directoryの状態
今回、Active Directoryの状態を確認するために以下のコマンドを使うことにしました。
# ドメインコントローラーのIPとUSNを取得
Import-Module ActiveDirectory
([DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()).DomainControllers |
Select-Object Name, IPAddress, HighestCommittedUsn |
Sort-Object IPAddress
# 各ドメインコントローラーのレプリケーション状態を取得
repadmin /showrepl /repsto IP-C61301B0
repadmin /showrepl /repsto IP-C613025Cこれらのコマンドはその時点の
- 各ドメインコントローラーの更新シーケンス番号 (USN)
- 各ドメインコントローラーのレプリケーション状態
を取得し、Active Directoryのデータベースが今どこまで進んでいるかをチェックするものとなります。
もしかしたらもっと適切な指標があるかもしれませんが、ちょっと思いつかなかったので今回はこれで行きます。
手動バックアップが完了した直後の結果は以下の通りです。
IP-C61301B0 (10.0.21.119)のUSNが44735、IP-C613025C (10.0.22.189)のUSNが48212となっており、内部的な更新処理がされる毎にこの値が増えていきます。
PS C:\> ([DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()).DomainControllers |
>> Select-Object Name, IPAddress, HighestCommittedUsn |
>> Sort-Object IPAddress
Name IPAddress HighestCommittedUsn
---- --------- -------------------
IP-C61301B0.corp.contoso.com 10.0.21.119 44735
IP-C613025C.corp.contoso.com 10.0.22.189 48212
PS C:\> repadmin /showrepl /repsto IP-C61301B0
Default-First-Site-Name\IP-C61301B0
DSA オプション: IS_GC
サイト オプション: (none)
DSA オブジェクト GUID: 42f7e8cc-7b12-421b-8da1-aedeb9239598
DSA 起動 ID: 42f7e8cc-7b12-421b-8da1-aedeb9239598
==== 入力方向の近隣サーバー======================================
DC=corp,DC=contoso,DC=com
Default-First-Site-Name\IP-C613025C (RPC 経由)
DSA オブジェクト GUID: 79f6d74d-f2cf-4e60-8c11-f80b74f0e776
2023-01-04 05:53:52 の最後の試行は成功しました。
# ・・・後略・・・
==== 変更通知のための出力方向の近隣サーバー============
DC=corp,DC=contoso,DC=com
Default-First-Site-Name\IP-C613025C (RPC 経由)
DSA オブジェクト GUID: 79f6d74d-f2cf-4e60-8c11-f80b74f0e776
2023-01-04 05:41:26 の最後の試行は成功しました。
# ・・・後略・・・
PS C:\> repadmin /showrepl /repsto IP-C613025C
Default-First-Site-Name\IP-C613025C
DSA オプション: IS_GC
サイト オプション: (none)
DSA オブジェクト GUID: 79f6d74d-f2cf-4e60-8c11-f80b74f0e776
DSA 起動 ID: ed204bcd-ae47-43d5-98ea-2acf582f6e0a
==== 入力方向の近隣サーバー======================================
DC=corp,DC=contoso,DC=com
Default-First-Site-Name\IP-C61301B0 (RPC 経由)
DSA オブジェクト GUID: 42f7e8cc-7b12-421b-8da1-aedeb9239598
2023-01-04 06:26:18 の最後の試行は成功しました。
# ・・・後略・・・
==== 変更通知のための出力方向の近隣サーバー============
DC=corp,DC=contoso,DC=com
Default-First-Site-Name\IP-C61301B0 (RPC 経由)
DSA オブジェクト GUID: 42f7e8cc-7b12-421b-8da1-aedeb9239598
2023-01-04 05:46:07 の最後の試行は成功しました。
# ・・・後略・・・リストア前処理 (ユーザー削除)
これからこの手動スナップショットをリストアに使う予定ですが、結果を確認しやすくするために事前にテスト用ユーザーを削除しておきます。
ただ、AWS Managed Microsoft ADはデフォルトでごみ箱機能が有効なため、実際には削除されたユーザーはごみ箱にいます。
ごみ箱から完全に削除させるには時間経過を待つしかないため、今回は完全に削除されたつもりでリストア処理を進めていきます。
(本番環境で間違ってユーザーを削除してしまった場合はごみ箱から復元してください。)
リストア直前のActive Directoryの状態
テストユーザーを削除し、少し間を置いた後のActive Directoryの状態は以下の通りです。
IP-C61301B0 (10.0.21.119)のUSNが44806、IP-C613025C (10.0.22.189)のUSNが48315と少し更新されています。
PS C:\> ([DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()).DomainControllers |
>> Select-Object Name, IPAddress, HighestCommittedUsn |
>> Sort-Object IPAddress
Name IPAddress HighestCommittedUsn
---- --------- -------------------
IP-C61301B0.corp.contoso.com 10.0.21.119 44806
IP-C613025C.corp.contoso.com 10.0.22.189 48315
PS C:\> repadmin /showrepl /repsto IP-C61301B0
Default-First-Site-Name\IP-C61301B0
DSA オプション: IS_GC
サイト オプション: (none)
DSA オブジェクト GUID: 42f7e8cc-7b12-421b-8da1-aedeb9239598
DSA 起動 ID: 42f7e8cc-7b12-421b-8da1-aedeb9239598
==== 入力方向の近隣サーバー======================================
DC=corp,DC=contoso,DC=com
Default-First-Site-Name\IP-C613025C (RPC 経由)
DSA オブジェクト GUID: 79f6d74d-f2cf-4e60-8c11-f80b74f0e776
2023-01-04 07:01:46 の最後の試行は成功しました。
# ・・・後略・・・
==== 変更通知のための出力方向の近隣サーバー============
DC=corp,DC=contoso,DC=com
Default-First-Site-Name\IP-C613025C (RPC 経由)
DSA オブジェクト GUID: 79f6d74d-f2cf-4e60-8c11-f80b74f0e776
2023-01-04 06:43:37 の最後の試行は成功しました。
# ・・・後略・・・
PS C:\> repadmin /showrepl /repsto IP-C613025C
Default-First-Site-Name\IP-C613025C
DSA オプション: IS_GC
サイト オプション: (none)
DSA オブジェクト GUID: 79f6d74d-f2cf-4e60-8c11-f80b74f0e776
DSA 起動 ID: ed204bcd-ae47-43d5-98ea-2acf582f6e0a
==== 入力方向の近隣サーバー======================================
DC=corp,DC=contoso,DC=com
Default-First-Site-Name\IP-C61301B0 (RPC 経由)
DSA オブジェクト GUID: 42f7e8cc-7b12-421b-8da1-aedeb9239598
2023-01-04 07:08:24 の最後の試行は成功しました。
# ・・・後略・・・
==== 変更通知のための出力方向の近隣サーバー============
DC=corp,DC=contoso,DC=com
Default-First-Site-Name\IP-C61301B0 (RPC 経由)
DSA オブジェクト GUID: 42f7e8cc-7b12-421b-8da1-aedeb9239598
2023-01-04 06:46:34 の最後の試行は成功しました。
# ・・・後略・・・ディレクトリのリストア
ここからスナップショットをリストアします。
ディレクトリのリストア時は「約90分にわたりディレクトリが使用不可になる」とされています。
システム停止が発生するので実際の環境で試す際は慎重に判断してください。
リストアしたいスナップショットを選択し「アクション」から「スナップショットを復元」を選びます。
確認ダイアログが表示されるので「復元」をクリックするとリストアが開始されます。
リストア中はディレクトリのステータスが「リストア中」になります。
各ドメインコントローラーの状態も以下の通りです。
リストア中の疎通確認
ここから約90分のリストア作業が行われるのですが、その間に以下のコマンドで疎通確認を行ってみました。
シンプルにPingと幾つかのTCPポート(DNS, LDAP, SMB)に対するポートスキャンを行っています。
# リストア中に確認するPingコマンド
ping -t 10.0.21.119
ping -t 10.0.22.189
# 一部TCPポートも併せてチェック
Test-NetConnection -ComputerName 10.0.21.119 -Port 53 | Select-Object ComputerName, RemotePort, TcpTestSucceeded
Test-NetConnection -ComputerName 10.0.21.119 -Port 389 | Select-Object ComputerName, RemotePort, TcpTestSucceeded
Test-NetConnection -ComputerName 10.0.21.119 -Port 445 | Select-Object ComputerName, RemotePort, TcpTestSucceeded
Test-NetConnection -ComputerName 10.0.22.189 -Port 53 | Select-Object ComputerName, RemotePort, TcpTestSucceeded
Test-NetConnection -ComputerName 10.0.22.189 -Port 389 | Select-Object ComputerName, RemotePort, TcpTestSucceeded
Test-NetConnection -ComputerName 10.0.22.189 -Port 445 | Select-Object ComputerName, RemotePort, TcpTestSucceededリストア中の状況変化
ここからリストア中の状況変化について触れていきます。
1. リストア開始直後
リストア処理を開始して直ちにAWS上の状態は「リストア中」になりましたが、しばらくは各ドメインコントローラーへの疎通は可能でした。
だいたい4分後くらいに一台のドメインコントローラー(10.0.21.119)に対しPing疎通不可になりその他のポートへのアクセスもできなくなりました。さらに4分後(8分経過)くらいからPing疎通が出来る時と出来ない時がバラバラに発生していました。
雰囲気としてはマシン全体をリストアしている感じでした。
もう一台(10.0.22.189)の方はだいたい9分後くらいからPing疎通不可になり、TCP通信も不可になりました。
10分経過したあたりから二台ともPingのみ通る様になりTCP通信は全て不可となります。
ここからしばらくこの状態で安定します。
Pingは通るもののDNSやLDAP通信が全滅するのでシステムとしては完全停止状態になります。
2. 一台目のドメインコントローラーが復旧 (AWS上はリストア中)
AWSがリストア方法を公開しておらず、私としては2台同時に復旧するのかと予想していたのですが実際の動作は異なっていました。
40分程度経過した時点で一台目のドメインコントローラー(10.0.21.119)が疎通可能になりました。
このためActive Directoryの状態を確認してみると以下の様な感じで一台だけのActive Direcotry環境として復元されていました。
(この時点でユーザーオブジェクトが復元している)
# 復元後のユーザー情報もちゃんと同一
PS C:\> Get-ADUser -Filter 'Name -like "User*"' | Select-Object Name, ObjectGUID, SID
Name ObjectGUID SID
---- ---------- ---
user01 044bb254-41df-42da-afd5-4a7666aed5d9 S-1-5-21-3058870169-3566082414-3748809332-1155
user02 0cf4a050-1eab-4365-a9fb-f3ccfe4653a5 S-1-5-21-3058870169-3566082414-3748809332-1156
user03 bb53912f-c281-463e-831a-e72f117cbe5f S-1-5-21-3058870169-3566082414-3748809332-1157
user04 dc1e6f8c-50b2-44bf-be0a-0b4e3cb2bfe8 S-1-5-21-3058870169-3566082414-3748809332-1158
user05 39a15bdc-3072-427c-9e62-af3f3b155402 S-1-5-21-3058870169-3566082414-3748809332-1159
user06 676a03d7-cfc4-490a-ac74-04b6984c74dd S-1-5-21-3058870169-3566082414-3748809332-1160
user07 e448ad98-e3b2-4562-8c91-359c071a5dd8 S-1-5-21-3058870169-3566082414-3748809332-1161
user08 15338b0f-2f1e-4559-aee7-dc0ac264e434 S-1-5-21-3058870169-3566082414-3748809332-1162
user09 faf9ab07-f262-4f33-a5b1-effe5c603eb4 S-1-5-21-3058870169-3566082414-3748809332-1163
user10 c14dfafa-9467-401c-ae3c-33cce555404a S-1-5-21-3058870169-3566082414-3748809332-1164
(単体ドメインコントローラー構成になっている)
USN番号も49526と結構進んでおり、おそらくですが一般的なActive Directoryのリストア処理が行われたものと推測されます。
PS C:\> ([DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()).DomainControllers |
>> Select-Object Name, IPAddress, HighestCommittedUsn |
>> Sort-Object IPAddress
Name IPAddress HighestCommittedUsn
---- --------- -------------------
IP-C61301B0.corp.contoso.com 10.0.21.119 49526
PS C:\> repadmin /showrepl /repsto IP-C61301B0
Default-First-Site-Name\IP-C61301B0
DSA オプション: IS_GC
サイト オプション: (none)
DSA オブジェクト GUID: 42f7e8cc-7b12-421b-8da1-aedeb9239598
DSA 起動 ID: 36cdcbdf-350d-4bee-8baf-1950d38bd2d3なお、この時点ではまだリストア処理は終わっておらずAWS側のステータスは「リストア中」のままです。
この時点でDNSは普通に使える様になっていましたが、それをアテにしてシステム停止時間を短く見積もらない方が良いでしょう。
3. 二台目の復元開始 (AWS上はリストア中)
リストア開始から60分程度経過した時点で二台目(10.0.22.189)に対するPing疎通ができなくなり、それに合わせる形で二台目のドメインコントローラーが追加されはじめました。
ホスト名はIP-C613025CからIP-6130276に変わっています。
この時点ではDomain ControllersOUにいるものの、まだドメインコントローラーとしては認識されていませんでした。
しばらく待つとドメインコントローラーに昇格して2台構成になります。
この時点では二台目へのPingは通らないタイミングの方が多い感じです。
4. 二台目の復元完了 (AWS上もリストア完了)
リストア開始から70分程度経過した時点で二台目(10.0.22.189)へのPingが安定して通る様になり、TCP関連の通信も可能となりました。
このタイミングでAWS側のステータスも「アクティブ」に変わり、一応リストア完了という扱いになります。
ただ、ドメインコントローラーの状態を取得してみると二台目のドメインコントローラーについてはIPも異なりUSNも取得できませんでした。
レプリケーション処理もエラーが出ており、まだActive Directory側の復旧処理は続いている雰囲気でした。
# すぐにはUSNの状態を取れなかった
PS C:\> ([DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()).DomainControllers |
>> Select-Object Name, IPAddress, HighestCommittedUsn |
>> Sort-Object IPAddress
Name IPAddress HighestCommittedUsn
---- --------- -------------------
IP-C61301B0.corp.contoso.com 10.0.21.119 53473
IP-C6130276.corp.contoso.com 198.19.2.118
PS C:\> repadmin /showrepl /repsto IP-C61301B0
Default-First-Site-Name\IP-C61301B0
DSA オプション: IS_GC
サイト オプション: (none)
DSA オブジェクト GUID: 42f7e8cc-7b12-421b-8da1-aedeb9239598
DSA 起動 ID: 36cdcbdf-350d-4bee-8baf-1950d38bd2d3
==== 入力方向の近隣サーバー======================================
DC=corp,DC=contoso,DC=com
Default-First-Site-Name\IP-C6130276 (RPC 経由)
DSA オブジェクト GUID: 1b3cd626-8899-49df-aefc-ae5eacc02ec1
2023-01-04 08:26:07 の最後の試行は成功しました。
# ・・・後略・・・
==== 変更通知のための出力方向の近隣サーバー============
DC=corp,DC=contoso,DC=com
Default-First-Site-Name\IP-C6130276 (RPC 経由)
DSA オブジェクト GUID: 1b3cd626-8899-49df-aefc-ae5eacc02ec1
2023-01-04 08:13:06 の最後の試行は、失敗しました。結果は 5 (0x5):
アクセスが拒否されました。
1 回連続で失敗しました。
最後に成功したのは 2023-01-04 08:12:49 です。
# ・・・後略・・・
# リストア後はコンピューター名が違う
PS C:\> repadmin /showrepl /repsto IP-C6130276
次のエラーのため、repadmin で "ホーム サーバー"に接続できません。
/homeserver:[DNS 名] オプションで、別のホーム サーバーを指定してみてください。
エラー: LDAP 参照の操作が失敗しました。エラーは次のとおりです:
LDAP エラー 81(0x51): サーバーがダウンしています
サーバー Win32 エラー 0(0x0):
拡張情報:5. 真のリストア完了?
最終的にリストア開始から90分程度経過した時点でドメインコントローラーの状態が期待したものになりました。
一台目IP-C61301B0 (10.0.21.119)のUSNが53492とだいぶ進み、二台目はコンピューター名がIP-C6130276 (10.0.22.189)に変わりUSNも12525とかなり少ない値になっていることから新規にレプリケーションし直されている雰囲気を感じます。
PS C:\> ([DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()).DomainControllers |
>> Select-Object Name, IPAddress, HighestCommittedUsn |
>> Sort-Object IPAddress
Name IPAddress HighestCommittedUsn
---- --------- -------------------
IP-C61301B0.corp.contoso.com 10.0.21.119 53492
IP-C6130276.corp.contoso.com 10.0.22.189 12525
PS C:\> repadmin /showrepl /repsto IP-C61301B0
Default-First-Site-Name\IP-C61301B0
DSA オプション: IS_GC
サイト オプション: (none)
DSA オブジェクト GUID: 42f7e8cc-7b12-421b-8da1-aedeb9239598
DSA 起動 ID: 36cdcbdf-350d-4bee-8baf-1950d38bd2d3
==== 入力方向の近隣サーバー======================================
DC=corp,DC=contoso,DC=com
Default-First-Site-Name\IP-C6130276 (RPC 経由)
DSA オブジェクト GUID: 1b3cd626-8899-49df-aefc-ae5eacc02ec1
2023-01-04 08:26:07 の最後の試行は成功しました。
# ・・・後略・・・
==== 変更通知のための出力方向の近隣サーバー============
DC=corp,DC=contoso,DC=com
Default-First-Site-Name\IP-C6130276 (RPC 経由)
DSA オブジェクト GUID: 1b3cd626-8899-49df-aefc-ae5eacc02ec1
2023-01-04 08:13:06 の最後の試行は、失敗しました。結果は 5 (0x5):
アクセスが拒否されました。
1 回連続で失敗しました。
最後に成功したのは 2023-01-04 08:12:49 です。
# ・・・後略・・・
# リストア後はコンピューター名が違う
PS C:\> repadmin /showrepl /repsto IP-C6130276
Default-First-Site-Name\IP-C6130276
DSA オプション: IS_GC
サイト オプション: (none)
DSA オブジェクト GUID: 1b3cd626-8899-49df-aefc-ae5eacc02ec1
DSA 起動 ID: f58917b8-d98b-4c18-8f37-752e45eed750
==== 入力方向の近隣サーバー======================================
DC=corp,DC=contoso,DC=com
Default-First-Site-Name\IP-C61301B0 (RPC 経由)
DSA オブジェクト GUID: 42f7e8cc-7b12-421b-8da1-aedeb9239598
2023-01-04 08:36:25 の最後の試行は成功しました。
# ・・・後略・・・
==== 変更通知のための出力方向の近隣サーバー============
DC=corp,DC=contoso,DC=com
Default-First-Site-Name\IP-C61301B0 (RPC 経由)
DSA オブジェクト GUID: 42f7e8cc-7b12-421b-8da1-aedeb9239598
2023-01-04 08:26:07 の最後の試行は成功しました。
# ・・・後略・・・追記 : 出力方向のエラー表示に関して
repadminコマンドの結果を良く見ると出力方向の結果がエラーのままになっていますが、これは時間経過で解決しています。
改めてコマンドを打ち直した結果はこんな感じです。
# 改めてrepadmin コマンドの結果を確認
PS C:\> repadmin /showrepl /repsto IP-C61301B0
Default-First-Site-Name\IP-C61301B0
DSA オプション: IS_GC
サイト オプション: (none)
DSA オブジェクト GUID: 42f7e8cc-7b12-421b-8da1-aedeb9239598
DSA 起動 ID: 36cdcbdf-350d-4bee-8baf-1950d38bd2d3
==== 入力方向の近隣サーバー======================================
DC=corp,DC=contoso,DC=com
Default-First-Site-Name\IP-C6130276 (RPC 経由)
DSA オブジェクト GUID: 1b3cd626-8899-49df-aefc-ae5eacc02ec1
2023-01-05 00:02:36 の最後の試行は成功しました。
# ・・・後略・・・
==== 変更通知のための出力方向の近隣サーバー============
DC=corp,DC=contoso,DC=com
Default-First-Site-Name\IP-C6130276 (RPC 経由)
DSA オブジェクト GUID: 1b3cd626-8899-49df-aefc-ae5eacc02ec1
2023-01-04 23:45:55 の最後の試行は成功しました。
# ・・・後略・・・リストア処理まとめ
リストア処理について実際の動作をまとめると以下の通りです。
- AWSのステータスが更新されるまでに約70分かかった
- AWSのステータス更新後もActive Directory側の処理は続いており、最終的に完了するまで約90分かかった
- リストア処理はドメインコントローラーの「一台目をバックアップからリストア」し「二台目をレプリケーションにより同期」している様に見受けられる (予測)
- リストアによりドメインコントローラーのIPアドレスは変わらない
- リストアによりドメインコントローラーのコンピューター名は変わりうる
- ドメインコントローラーの一台目がリストアされた時点でDNS等は使用可能であった
- とはいえ動作保証されてないのでAWSのステータスが更新されるまではActive Directoryに対する操作はしない方が安全
90分間ずっと完全停止ではない感じでしたが、それでも無停止で行うことはできません。最初のドメインコントローラーが復旧するまでは完全停止時間が発生してしまいます。
AWSのドキュメントでも
警告
スナップショットを復元しようとする場合は、事前に AWS Supportセンターまでお問合せいただくことをお勧めします。スナップショットを復元する必要性を回避できる場合があります。スナップショットから復元した結果、現時点でのデータが失われる場合があります。この復元処理が完了するまで、ディレクトリに関連付けられているすべての DC および DNS サーバーがオフラインになることを、十分に理解しておいてください。
と警告されていますのでリストアの実行は慎重に検討してください。
最後に
以上となります。
実際にリストアを試してみることである程度内部処理を推測することができました。
本記事の内容が皆さんの役に立てば幸いです。
脚注
- 明記されていませんがこの180日はTombstone Lifetimeだと推測され、AWS内部でもWindows標準のバックアップを使用している可能性が高いです。 ↩
3
