はじめに

Active Directory Domain Serviceのサーバ（ドメインコントローラー）のバックアップ/リストア周りで気をつけないといけないことがいつもごちゃごちゃするので整理。
なお前提として全ドメインコントローラーの復旧ではなく、特定ドメインコントローラーの非Authoritative Restoreを想定してます。

バックアップの有効期限的なもの

TombstoneLifetime

TombstoneLifetimeの設定値よりも古いバックアップデータからリストアはできない。
TombstoneLifetimeはドメイン内で一意の値で、Windows 2003までは60日、Windows 2008以降は180日がデフォルト値。
AD環境ってローリングアップデートして更新していると思うので、意外と60日になっていることがあるかも。一応値の変更は可能。（あんまり大きくしすぎるとADのDBが肥大化したりして影響あったりするかも）
ADSIエディタとかPowerShellでこの値を確認することができる。

セキュアチャネル

2020年にかなりヤバめの脆弱性があったセキュアチャネルだが、このパスワード更新期間（30日がデフォルト値）も注意が必要。
バックアップ採取後にパスワード更新が行われ、そのバックアップデータからリストアするとセキュアチャネル破損^[1]が発生し、ドメインコントローラ間の複製停止といった影響がでる可能性あり。（ドメインコントローラーでは1世代しかパスワード保持しない。）その場合、強制降格、再昇格をすることで復旧が可能。
なお、メンバーサーバ側はパスワードを2世代保持しているので、ドメインコントローラーのリストアした時点が1世代前のパスワードであれば、セキュアチャネル破損は発生しないため、メンバーサーバのドメイン再参加といった対応は不要。
ちなみにこのパスワード更新期間を無効にするという設定も可能だが、セキュリティ的に無効にはしない方がよさそう。

仮想環境特有のもの

スナップショットからの復旧

vSphere ESXi上の仮想マシンとしてドメインコントローラーを立ててる場合、スナップショットから復旧させることは可能。
ただし、Windows 2012以降であること^[2]とvSphere 6以上であること^[3]が条件。この条件を満たしていない場合、USNロールバックの問題とかがあるため、スナップショットからは復旧してはいけない。なお、バックアップの文脈でスナップショットに触れてしまっているが、スナップショット単体ではあくまで短期的な復旧ポイントの確保であり、バックアップの代替にはならない。

仮想マシンの時刻同期無効化

VMwareの場合、VMwareToolsの設定でESXiサーバとの時刻同期を無効にすることができるが、特定操作をするとESXiサーバと時刻同期してしまうことがある。確実に時刻同期を無効にする場合は以下KBを参考にvmxファイルの設定を変更する。なお、KBだと0にすると記載があるが、Docsの方が正しくFalseを設定する。
https://kb.vmware.com/s/article/1189?lang=ja
https://docs.vmware.com/jp/VMware-Tools/12.0.0/com.vmware.vsphere.vmwaretools.doc/GUID-678DF43E-5B20-41A6-B252-F2E13D1C1C49.html
仮想マシンの「設定の編集」からでも設定は可能だが、設定値を確認する際はvmxファイルを直接見たほうが良い。（確かtools.syncTimeだけ設定の編集から確認できなかったと思う。）また、VMwareToolsの時刻同期設定状態は仮想マシン上から以下コマンドで確認可能。

VMwareToolboxCmd timesync status

仮想マシンをドメコンとする場合、不要な時刻同期は排除したいので、この設定はよくしてた。また、VADP連携のバックアップをすると、処理の一環でスナップショット作成するので、この設定してないと、バックアップ時に意図せずESXiと時刻同期されてしまうなんてことが起きちゃうかも。

おわりに

有効期限的なものを考えると、毎日バックアップするに越したことはないが、少なくとも1ヶ月に1回、なるべく1週間に1回はバックアップするのがベターそう。なお、今回非Authoritative Restoreということで、リストアに時間がかかるような場合は作り直した方が早い気もしなくはない。リストアしても強制降格しないといけないこともありそうなので、あらかじめその手順を確認しておいた方がよいということはよくわかった。