Microsoft Entra Connect(旧称 Azure AD Connect)は、オンプレミスの Active Directory(AD)と Microsoft Entra ID(旧 Azure AD)を連携させる要となるツールです。
その Entra Connect をアップグレードする際、万が一失敗した場合に「切り戻しは可能なのか?」「どう復旧すべきか?」とお困りではありませんか?
本記事では、アップグレード失敗時の正しい対応方法と、
事前に検討すべきバックアップ/復旧戦略をわかりやすく解説します。
Entra Connect のアップグレード失敗時、切り戻しはできるのか?
結論から言うと、
Entra Connect におけるアップグレード失敗時の「切り戻し(ロールバック)」は公式ではサポートされていません。
そのため、復旧方法としてはサーバーのバックアップからの復元ではなく、
**Microsoft Entra Connect の再インストール(再構築)**を基本方針とすることをおすすめします。
Entra Connect の公式な復旧方式は3つ
Microsoft は以下3つの復旧手段を公式にサポートしています。
1. 必要に応じて再構築する(標準方式)
もっとも標準的な方法です。Entra Connect を一から再インストールし、再設定することで復旧します。
- インプレースアップグレードが失敗した場合、再構築が最も推奨される対応です。
- 再構築時に、オンプレミス AD の「現時点の情報」が Entra ID に同期されます。
※AD自体もリストアを行う場合は要注意です(後述)。
2. スタンバイ サーバーを用意しておく(ステージング モード)
事前に冗長構成を取っておく方法です。
- スタンバイ サーバーを「ステージング モード」で構築しておけば、メインのサーバーに障害が発生しても迅速に切り替えが可能です。
- アップグレード時のリスク低減にも役立ちます。
参考情報:
3. 仮想マシン環境を利用する(ライブマイグレーションなど)
Hyper-V などの仮想化基盤を活用し、仮想マシン単位で Entra Connect を保護する方法です。
- スナップショットによる復元も技術的には可能ですが、構成整合性の保証が難しく、推奨はされていません。
- バックアップからの切り戻しよりも、再構築のほうが安定的です。
再構築時に注意すべき点:AD リストアとの関係
Entra Connect の再構築は、オンプレミス AD の「現在の状態」をもとに再同期を行います。
つまり、万が一 AD を過去のバックアップからリストアした状態で再構築を行った場合、
Entra ID 上との整合性に注意が必要です。
- 過去に Entra ID 側と同期されていたアカウントが AD 上に存在しない状態で再構築した場合:
- Entra ID 上のアカウントは削除されず、残存することになります(「孤立アカウント」のような状態)。
そのため、AD のリストアは行わず、Entra Connect のみ再構成することを推奨します。
まとめ
Microsoft Entra Connect のアップグレードに失敗した場合は、以下のポイントを押さえて対応しましょう。
- 切り戻しはサポートされていない:バックアップリストアではなく、再インストールが基本
- 復旧方法は3つ:
- ① 再構築(標準)
- ② スタンバイ構成(ステージングモード)
- ③ 仮想化による対応
- AD のリストアを避ける:AD と Entra ID の不整合に要注意
Entra Connect は認証基盤の根幹を担う重要なサービスです。
アップグレード前に適切なバックアップとリスク回避策(ステージング構成など)を整えておくことで、
トラブル時の復旧もスムーズになります。
コメント