このトピックでは、Managed Service for Microsoft Active Directory で次のタスクを行う方法について説明します。
- ドメインの現在の状態を保存する既存ドメインのバックアップを取る。
- ドメインの利用可能なバックアップを一覧表示する。
- バックアップを使用して、ドメインを以前の状態に復元する。
- 特定のバックアップに関するメタデータ情報を取得する。
- バックアップのラベルを更新する。
- 不要になったバックアップを削除する。
概要
Managed Microsoft AD は、ドメインのバックアップと復元をサポートしています。使用できるバックアップには、次の 3 種類があります。
- オンデマンド バックアップ: マネージド Microsoft AD では、いつでもドメインのバックアップをオンデマンドで取得できます。オンデマンド バックアップは最大 5 つ作成できます。ドメインにすでに 5 つのオンデマンド バックアップがある場合は、新しいバックアップを作成する前に既存のバックアップを削除する必要があります。
- スケジュール バックアップ: スケジュール バックアップは 12 時間ごとに自動で作成されます。
- スキーマ拡張バックアップ: マネージド Microsoft AD は、スキーマ拡張が開始されると自動的にバックアップを作成します。1 つのドメインには、任意の時点で最大 10 個のスキーマ拡張バックアップを作成できます。ドメインにすでに 10 個のスキーマ拡張バックアップがある場合、スキーマ拡張を開始すると、マネージド Microsoft AD は既存のスキーマ拡張バックアップを時系列で削除してから、新しいバックアップを作成します。
これらのバックアップ タイプのいずれかを使用して、信頼できる復元を実行し、ドメインを以前の時点に戻すことができます。
バックアップ オペレーションは、プライマリ リージョン ドメイン コントローラからバックアップを取得します。復元されると、すべてのリージョンに自動的に複製されます。
復元中はドメインを使用できません。
始める前に
- Managed Microsoft AD ドメインを作成したことを確認してください。
次のいずれかの IAM ユーザーロールがあることを確認します。
- Google Cloud Managed Identities バックアップ管理者(
roles/managedidentities.backupAdmin) - Google Cloud Managed Identities ドメイン管理者(
roles/managedidentities.domainAdmin)
詳細については、Cloud Managed Identities のロールをご覧ください。
ユーザーに IAM ロールを割り当てる方法については、アクセス権の付与をご覧ください。
- Google Cloud Managed Identities バックアップ管理者(
情報を収集する
バックアップを操作するには、次の情報が必要です。
- ドメイン名: マネージド Microsoft AD ドメインの名前。例:
my-domain.example.com。 バックアップ名: バックアップの名前は、次のルールに従う必要があります。
- 先頭は英文字でなければなりません。
- 1~63 文字でなければなりません。
- 末尾が数字または英字でなければなりません。
- ドメイン内で一意にする必要があります。
オンデマンド バックアップを操作する
ドメインのオンデマンド バックアップを作成して、そのラベルを更新できます。マネージド Microsoft AD ドメインを作成したプロジェクトから、次の gcloud CLI コマンドを実行できます。
オンデマンド バックアップの作成
ドメインのオンデマンド バックアップを作成するには、次の gcloud CLI コマンドを実行します。
gcloud active-directory domains backups create BACKUP_NAME \ --domain=DOMAIN_NAME \ --project=DOMAIN_RESOURCE_PROJECT_ID
以下を置き換えます。
BACKUP_NAME: ドメインのオンデマンド バックアップの名前。例:my-domain-backupDOMAIN_NAME: マネージド Microsoft AD ドメインの名前。例:my-domain.example.com。DOMAIN_RESOURCE_PROJECT_ID: ドメイン リソース プロジェクトのプロジェクト ID。例:my-project
バックアップの作成が開始されたことを知らせる次の応答が届きます。
Create request issued for: [BACKUP_NAME] Waiting for operation [OPERATION_ID] to complete...
バックアップの作成には、最長で 90 分ほどかかる場合があります。または、--async フラグを追加して、バックグラウンドでコマンドを実行することもできます。このプロセスを繰り返して、1 つのドメインに対し最大 5 つの独立したオンデマンド バックアップを作成できます。
オンデマンド バックアップのラベルを更新する
オンデマンド バックアップのラベルを更新するには、次の gcloud CLI コマンドを実行します。
gcloud active-directory domains backups update BACKUP_NAME \ --domain=DOMAIN_NAME \ --project=DOMAIN_RESOURCE_PROJECT_ID \ --update-labels=KEY=VALUE
以下を置き換えます。
BACKUP_NAME: ドメインのオンデマンド バックアップの名前。例:my-domain-backupDOMAIN_NAME: マネージド Microsoft AD ドメインの名前。例:my-domain.example.com。DOMAIN_RESOURCE_PROJECT_ID: ドメイン リソース プロジェクトのプロジェクト ID。例:my-projectKEY、VALUE: ドメインのバックアップに追加する Key-Value ペア。例:backupcount=1
バックアップを管理
すべての種類のバックアップを管理するには、マネージド Microsoft AD ドメインを作成したプロジェクトから、次の gcloud CLI コマンドを実行します。
バックアップを一覧表示する
特定のドメイン用に作成されたバックアップを一覧表示できます。次の gcloud CLI コマンドを実行します。
gcloud active-directory domains backups list \ --domain=DOMAIN_NAME \ --project=DOMAIN_RESOURCE_PROJECT_ID
以下を置き換えます。
DOMAIN_NAME: マネージド Microsoft AD ドメインの名前。例:my-domain.example.com。DOMAIN_RESOURCE_PROJECT_ID: ドメイン リソース プロジェクトのプロジェクト ID。例:my-project
バックアップ情報の取得
ドメイン バックアップに固有のすべての情報を取得できます。次の gcloud CLI コマンドを実行します。
gcloud active-directory domains backups describe BACKUP_NAME \ --domain=DOMAIN_NAME \ --project=DOMAIN_RESOURCE_PROJECT_ID
以下を置き換えます。
BACKUP_NAME: ドメイン バックアップの名前。例:my-domain-backupDOMAIN_NAME: マネージド Microsoft AD ドメインの名前。例:my-domain.example.com。DOMAIN_RESOURCE_PROJECT_ID: ドメイン リソース プロジェクトのプロジェクト ID。例:my-project
バックアップを削除する
バックアップを削除するには、次の gcloud CLI コマンドを実行します。
gcloud active-directory domains backups delete BACKUP_NAME \ --domain=DOMAIN_NAME \ --project=DOMAIN_RESOURCE_PROJECT_ID
以下を置き換えます。
BACKUP_NAME: ドメイン バックアップの名前。例:my-domain-backupDOMAIN_NAME: マネージド Microsoft AD ドメインの名前。例:my-domain.example.com。DOMAIN_RESOURCE_PROJECT_ID: ドメイン リソース プロジェクトのプロジェクト ID。例:my-project
バックアップからドメインを復元する
任意のバックアップを使用して、ドメインを以前の状態に復元できます。
ドメインを復元する前に、次の考慮事項をご確認ください。
ドメインを復元するには、マネージド Microsoft AD ドメインが作成されたプロジェクトから次の gcloud CLI コマンドを実行します。
gcloud active-directory domains restore DOMAIN_NAME \ --backup=BACKUP_NAME \ --project=DOMAIN_RESOURCE_PROJECT_ID
以下を置き換えます。
DOMAIN_NAME: マネージド Microsoft AD ドメインの名前。例:my-domain.example.com。BACKUP_NAME: ドメイン バックアップの名前。例:my-domain-backupDOMAIN_RESOURCE_PROJECT_ID: ドメイン リソース プロジェクトのプロジェクト ID。例:my-project
復元プロセスが開始されたことを知らせる次の応答が届きます。
Request issued for: [DOMAIN_NAME] Waiting for operation [OPERATION_ID] to complete...
ドメインの復元には、最長で 90 分ほどかかる場合があります。別の方法としては、--async フラグを追加して、バックグラウンドでコマンドを実行することもできます。