2. Directory Serverのインスタンスと接尾辞
7. Directory Serverのパスワード・ポリシー
8. Directory Serverのバックアップとリストア
9. Directory Serverのグループ、ロールおよびCoS
16. Directory Proxy Serverのツール
17. Directory Proxy Serverのインスタンス
19. Directory Proxy Serverの証明書
20. Directory Proxy Serverのロード・バランシングとクライアント・アフィニティ
22. Directory Proxy Serverによる仮想化
24. Directory Proxy ServerとバックエンドLDAPサーバーの接続
25. クライアントとDirectory Proxy Serverの接続
26. Directory Proxy Serverのクライアント認証
27. Directory Proxy Serverのロギング
28. Directory Proxy Serverの監視とアラート
第3部 Directory Service Control Centerの管理
この項では、ディレクトリ・データのバイナリ・バックアップの実行方法について説明します。この項のバックアップ手順に加えてバイナリ・コピーを作成して、これをレプリケーション・トポロジの接尾辞の初期化に使用します。「バイナリ・コピーを使用したレプリケートされた接尾辞の初期化」を参照してください。
バイナリ・データ・バックアップにより、ディレクトリ・データのコピーを保存することで、後でデータベース・ファイルが破損、またはそれを削除してしまった場合にそのコピーを使用できます。この操作では、データベースのバックアップのみを取り、構成データや証明書など他のデータのバックアップは行いません。障害時リカバリ用にDirectory Server全体のバックアップが必要な場合は、「障害時リカバリ」を参照してください。
注意: バックアップの間隔の最長期間がrepl-purge-delayとrepl-cl-max-ageのうちの短い方を超過しないようにする必要があります。repl-cl-max-ageプロパティは、変更ログで内部パージ操作が実行されるまでの間隔を指定します。変更ログは更新の記録を保持しますが、これはレプリケートが完了している場合もあれば、完了していない場合もあります。次のコマンドを使用して、パージの遅延情報を取得してください。 dsconf get-suffix-prop -h host -p port suffix-DN repl-purge-delay repl-cl-max-age バックアップの実行頻度がパージ遅延を下回る場合、バックアップされる前に変更ログがクリアされることがあります。したがって、バックアップからデータをリストアしようとしても、バックアップ前にクリアされた更新記録は失われています。 コンシューマ・サーバーはレプリケートされた接尾辞の内容に対する更新の内部情報、およびこの情報の保持期間を指定するパージ遅延パラメータrepl-purge-delayを格納します。パージ遅延により、正常なリカバリが可能なコンシューマとマスター間のレプリケーションの中断許容時間がある程度決まります。これはサプライヤ・サーバーの変更ログのrepl-cl-max-ageパラメータと関連します。これら2つのパラメータの短い方により、正常なリカバリが可能な、2つのサーバー間のレプリケーションの無効または停止の許容時間が決まります。ほとんどの場合は、デフォルト値の7日間で十分です。 |
この項で説明するバックアップ手順ではすべて、デフォルトで同じホストにサーバー・ファイルのコピーを格納します。セキュリティを強化するには、別のマシンまたはファイル・システムにバックアップをコピーおよび格納する必要があります。
Directory Serverを停止して、dsadm backupコマンドを実行する必要があります。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dsadm backup [ -f FLAG ] ... INSTANCE_PATH ARCHIVE_DIR
たとえば、次のようになります。
$ dsadm backup /local/dsInst /local/tmp/20091005
注意: デフォルトでは、バイナリ・バックアップ・コマンドはバックアップ・データベース上でデータベース・リカバリを実行します。この動作を無効にするには、「dsadm(1M)」を参照してください。
サーバー稼働中は、コマンドdsconf backupを使用して、ディレクトリ・データをバックアップできます。ただし、バックアップ実行中にディレクトリ・データが変更された場合、適切な復旧には時間がかかります。
バックアップ操作中は、サーバーを停止しないでください。
dsadm backup、dsconf backupコマンドおよびバックアップ・フラグの詳細は、dsadm(1M)およびdsconf(1M)のマニュアル・ページを参照してください。
サーバーをリストアする場合、証明書、スキーマ、プラグインなどのすべての構成データには、サーバーをバックアップしたときと同じ構成情報が含まれる必要があります。次のタスクでは、dse.ldifファイルをバックアップする方法を示しますが、残りの構成情報も同じ方法でバックアップできます。
$ cp instance-path/config/dse.ldif archive-dir
次の操作を実行すると、Directory Serverは自動的にdse.ldif構成ファイルのバックアップをディレクトリinstance-path/configに作成します。
Directory Serverを起動すると、dse.ldifファイルのバックアップがdse.ldif.startOKというファイルに作成されます。
cn=configブランチを変更した場合、サーバーで変更がdse.ldifファイルに書き込まれる前に、このファイルはまずconfigディレクトリのdse.ldif.bakというファイルにバックアップされます。
この手順では、オプションで凍結モード機能を使用します。凍結モードにより、ディスクのデータベース更新は停止するので、ファイル・システムのスナップショットを安全に取得できます。凍結モードは堅牢なバックアップを保証するための追加手法として使用できます。
サーバー・インスタンスが停止している場合、凍結モードは適用できません。
ファイル・システムのバックアップの進行中は、サーバーでディスク上のユーザー・データを書き込まないでください。特定の時間内に更新が行われないことが確実な場合は、この時間内にバックアップを行います。更新が行われないことを保証できない場合は、バックアップを行う前にサーバーを凍結モードにします。
凍結モードのサーバーでは、アクセス・ログとエラー・ログへの書き込みが継続されます。単一サーバーのトポロジでは、凍結モード時に操作を受信すると、LDAPエラーが返されます。ログ記録されるエラー・メッセージはオフラインのデータベースに対する標準的なエラーです。レプリケートされたトポロジでは、リフェラルが返されます。凍結モードを適切に機能させるには、データベース上で他のタスクを実行しないようにしてください。
凍結モードにあるサーバーのデータベースは読取り専用モードのデータベースよりも安定しています。凍結モードとは異なり、読取り専用モードではタスクの作成と構成エントリの変更が認められます。凍結モードがオンの場合、構成されたデータベースはすべてオフラインとなります。進行中の内部操作には、オフラインになるデータベースが通知されます。進行中のLDAP操作が完了すると、データベース環境はフラッシュされます。ユーザー・データ検索などの後続の操作がある場合、凍結モードがオフ設定になるまで拒否されます。ただし、凍結モードがオンでも、構成パラメータの検索はできます。
凍結モードはサーバー稼働中のみアクティブにできます。サーバー・インスタンスを再起動すると、凍結モードはオフにリセットされます。
この手順では部分的ですが、タスクの実行にDSCCを使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。その他の部分の手順では、コマンドラインを使用しなければ実行できません。
$ dsconf set-server-prop -h host -p port read-write-mode:frozen
$ dsconf set-server-prop -h host -p port read-write-mode:read-write
サーバーがレプリケーションの更新を別のサーバーから受け取った場合は、凍結モードがオフになるとすぐにレプリケーションの更新が始まります。
この手順では部分的ですが、タスクの実行にDSCCを使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。その他の部分の手順では、コマンドラインを使用しなければ実行できません。
$ dsadm stop instance-path
$ dsadm start instance-path