背景
本記事は、ガッツリ書いておらず、ざっとまとめたメモレベルの内容です。
このたび、長年検証で動かしている PoC の AD が、意外と重要になってきたので、バックアップを取ることにしました。
筆者は、業務では、Windows Server 2003 の時代から、Windows Backup を使って システム状態 のバックアップを取得して、複雑な リカバリなども経験したこともあります。
今回、初めて Azure VM で AD のバックアップを取ろうと思ったのですが、従来の知見で システム状態 を取得すれば良いんじゃね・・と思って、やろうと思ったのですが、結果が違ったので、メモとしてまとめておきました。
情報の整理
1次ソースです。
公開情報:Azure Backup を使用した Active Directory ドメイン コントローラーのバックアップと復元
https://learn.microsoft.com/ja-jp/azure/backup/active-directory-backup-restore?wt.mc_id=MVP_407731
(上記より、抜粋)
公開情報:ドメイン コントローラーのバックアップ
https://learn.microsoft.com/ja-jp/azure/backup/active-directory-backup-restore?tabs=azure-vm?wt.mc_id=MVP_407731#back-up-domain-controllers
どうやら、Azure VM であれば、従来の システム状態 を使わなくても良いのではないか?
Azure VM の場合
オンプレミスの場合
Azure VM Backup について
公開情報:Azure VM を Recovery Services ボルトにバックアップする
https://learn.microsoft.com/ja-jp/azure/backup/backup-azure-arm-vms-prepare?wt.mc_id=MVP_407731
Support Blog : ドメインに参加しているVMのAzure VM Backupリストアについて
https://jpabrs-scem.github.io/blog/AzureVMBackup/ActiveDirectory_backup/
(上記より抜粋)
Azure VM Backupにて保護することを前提とすると、「ドメインに参加している Azure 仮想マシンを、Azure VM Backup にてバックアップ・リストアする場合の考慮事項」というのは特にございません。
→ ここでも、Azure VM Backup を使う場合、特に注意事項は無し・・と書かれている。
Support Blog : ドメイン コントローラーのバックアップとリストアについて
https://jpwinsup.github.io/blog/2023/04/24/ActiveDirectory/PromotionAndDemotion/backup-and-restore/
(上記より抜粋)
→ この部分、あれ やっぱり システム状態 を取得しないとダメなんじゃないか? という気がしますが、Azure VM Backup は、スナップショット とは違います。あくまで Disk のスナップショットを取得する方法ではダメだけど、VM-Generation ID が利用できる環境であれば、ドメイン コントローラーのスナップショットからのリストアはサポートされています。 と説明されている方が優先されて、OK なはずです。
MARS Agent(オンプレミス Windows のバックアップ手法)
こちらで、MARSエージェントを使うと システム状態 のバックアップが可能。
公開情報:Azure Backup Windows使用してシステム状態をAzureにバックアップする
https://learn.microsoft.com/ja-jp/azure/backup/backup-azure-system-state?wt.mc_id=MVP_407731
→ この方法は 物理の Windows Server の場合の方法で、なじみがある感じ。
結論
Azure VM 上の AD は、Azure VM Backup を実施すれば十分との見解。
操作手順
Recovery Services コンテナー を作る
公開情報:Recovery Services コンテナーを作成する
https://learn.microsoft.com/ja-jp/azure/backup/backup-azure-arm-vms-prepare#create-a-recovery-services-vault?wt.mc_id=MVP_407731
Azure VM なので左側
業務だったら Geo冗長だけど、個人PoC なので ローカル冗長で十分
保護の構成
以下の画面の コンテナーの選択 のところで、事前に作成しておいた コンテナーを選択する。
事前に作っておかないと、先へ進めない。
Enhanced と Standard の違い
Copilot で調べたところ、この2つに料金設定があるわけでは無い。
単に、バックアップ頻度と リテンションが違うため、結果として 消費する容量に違いがdる。
コストは、容量に対して掛かるので、結果的に Enhanced の方が高くなる。
今回、AD サーバーのバックアップなので、Enhanced を選択しました。
バックアップが取れた。あとは、放置しておけば 定期的にバックアップがとられます。安心。
復元
テストしてません。
まあ、経験上 なんとかなるんじゃないか・・・
公開情報:Active Directory の復元
https://learn.microsoft.com/ja-jp/azure/backup/active-directory-backup-restore?wt.mc_id=MVP_407731#restore-active-directory
Copilot リサーチツール によるファクトチェック
プロンプト
→ 記事の内容を丸投げで ファクトチェックを依頼
これ以降は、Copilot ファクトチェックの回答です。
本記事は、Azure VM 上で稼働する Active Directory(AD)ドメイン コントローラー(DC)のバックアップについて、
最新の Microsoft Learn および公式サポート情報を一次ソースとしてファクトチェックした内容を、ブログ掲載用に整理したものです。
結論(サマリー)
Azure VM 上の AD は、Azure VM Backup を実施すれば十分
(Windows Server バックアップによる「システム状態」を別途取得する必要はない)
✅ 判定:正確
Microsoft の公式ドキュメントでは、
- Azure VM 上の DC → Azure VM Backup を使用
- オンプレミス DC → システム状態(System State)をバックアップ
という使い分けが明確に示されています。
主張ごとのファクトチェック
1. Azure VM 上の DC は Azure VM Backup だけで十分か?
主張
Azure VM 上のドメイン コントローラーには、Azure VM Backup を実施すれば十分であり、
Windows Server バックアップの「システム状態」を個別に取得する必要はない。
判定
✅ 正確
根拠(一次情報)
- Microsoft Learn
Azure Backup を使用した Active Directory ドメイン コントローラーのバックアップと復元
https://learn.microsoft.com/ja-jp/azure/backup/active-directory-backup-restore
補足
- Azure VM Backup は ゲスト OS 内の VSS(Volume Shadow Copy Service) を利用
- AD DS データベース、SYSVOL を含めた 一貫性のあるバックアップ を取得可能
- 自動スケジュール、世代管理が可能
- AD オブジェクト単位の復元は不可(AD ごみ箱 or ntdsutil が必要)
2. VM-Generation ID により DC のスナップショット復元は安全か?
主張
Windows Server 2012 以降では VM-Generation ID により、
仮想マシンのスナップショットからの DC 復元がサポートされている。
判定
✅ 正確
根拠
- Microsoft Japan Windows Technology Support Blog
ドメイン コントローラーのバックアップとリストアについて
https://jpwinsup.github.io/blog/2023/04/24/ActiveDirectory/PromotionAndDemotion/backup-and-restore/
補足
- Azure VM(Hyper-V)では VM-Generation ID が利用可能
- 復元時に変更を検知すると 非権限(Nonauthoritative)復元 が自動実行
- USN ロールバックを防止し、他 DC から正常に再複製される
3. 「VM スナップショット」はバックアップとして使えるか?
主張
DC のバックアップとして、単純な VM スナップショットの利用は推奨されない。
判定
✅ 正確
根拠
- Microsoft 公式見解では スナップショットはバックアップ用途として非推奨
- 世代管理や定期取得に向いていない
整理
| 手法 | 推奨 |
|---|---|
| Hyper-V / Azure の単純スナップショット | ❌ 非推奨 |
| Windows Server Backup(System State) | ✅(オンプレミス) |
| Azure VM Backup | ✅(Azure VM) |
4. Azure VM Backup の Standard / Enhanced ポリシーの違い
主張
Standard / Enhanced は料金差がなく、単に頻度や保持期間の違いだけ。
判定
⚠️ 要補足(一部正確)
事実
- 保護インスタンス料金・バックアップストレージ料金は同一
- スナップショット課金方法が異なる
参考
- Japan CSS ABRS Support Blog
Standard バックアップ ポリシーと Enhanced バックアップ ポリシーの料金の違い
https://jpabrs-scem.github.io/blog/AzureVMBackup/VM_Backup_billing/
要点
- Enhanced:高頻度バックアップ、柔軟な保持設定が可能
- AD の整合性・復元可否に差はない
- DC バックアップ用途では どちらでも問題なし
5. MARS Agent(System State バックアップ)の位置づけ
主張
MARS Agent によるシステム状態バックアップはオンプレミス向けであり、
Azure VM 上の DC では通常不要。
判定
✅ 正確
根拠
- Microsoft Learn
Azure Backup Windows 使用してシステム状態を Azure にバックアップする
https://learn.microsoft.com/ja-jp/azure/backup/backup-azure-system-state
整理
| 環境 | 推奨手法 |
|---|---|
| Azure VM | Azure VM Backup |
| オンプレミス | MARS Agent / Windows Server Backup |
復元シナリオ別のサポート整理
| シナリオ | Azure VM Backup での対応 | 備考 |
|---|---|---|
| DC が複数台、1 台のみ復元 | ✅ サポート | 非権限復元が基本 |
| DC が全台消失 | ✅ サポート | フォレストリカバリー手順必須 |
| マルチドメイン / フォレスト | ✅ 条件付き | PowerShell 手順推奨 |
| AD オブジェクト単体復元 | ❌ 非対応 | AD ごみ箱 / ntdsutil |
最終まとめ
- ✅ Azure VM 上の AD は Azure VM Backup で十分
- ✅ System State バックアップはオンプレミス向け
- ✅ VM-Generation ID により DC 復元は安全
- ⚠️ 復元設計(TSL、フォレスト復旧手順)は事前に理解が必要
PoC や検証用途でも、
本番と同じ設計思想で Azure VM Backup を構成しておくことが重要です。