タイトルの通り。やり方をひょんなことで知ったのでやってみました。

※ というか知識がWindows Server 2003で止まってるからナー。。

昔の知識だとブート時にF8押して～とかなんですが、いやいやbcdeditで既定のブートかえればいいじゃんという話でした。あとWindows Server 2008からかどうか知らないんですが、ディレクトリサービス復元モードでもRDP使えるみたいですね。

というわけで以下のようなコマンドを実行して再起動してみます。

bcdedit /set safeboot dsrepair

さてしばらくしてからRDPで繋いでみましょう。

普通につながりました。ちゃんとセーフモードですね。
※ アカウントがAdministratorになるんですね。ちょっと認証で悩みました。

あとは普通にNTDSUtil使うなりWindows Server Backupから戻すなりお好きなようにどうぞ。

作業が終わったら通常起動するようにbcdeditで戻します。

bcdedit /deletevalue safeboot

まぁなんかWindows Server 2008からは以下のサービス止めるだけでもOKらしいですけど。

• Active Directory Domain Services
• Kerberos Key Distribution Center
• Intersite Messaging
• DNS Server
• DFS Replication

知っておいて損は無いかな。

というわけで、仮想マシン上のActive Directory Domain Serviceもこれでばっちり安心ですね。バックアップはデータディスクをマウントしてWindows Server Backupとかで吐き出しておけばいいんじゃないですかね？

※Azure Backupはシステム状態とか取れない

ベアメタル回復は仮想マシンのスナップショットでいいと思いますが、戻しがちょっと面倒くさいのとボリュームID変わったりするっぽいので、ちゃんと動作するかは先に検証しておきましょうね。

※面倒くさいところはAzure PowerShellとかでそもそも半自動化しとけばいいと思いますけど

まぁドメインコントローラー1台だけとかそうそうないでしょうし、1台ぐらい壊れてもまぁ大丈夫デスヨ

という感じで仮想マシン上で普通に運用できると思うので、Azure上の仮想マシンだけでActive Directoryドメインの運用もばっちりですね。マルチサイトなS2S VPNもできるし、たいがいのシナリオはOKなんじゃないでしょうか。