こんにちは、テクニカルサポート課の荒川です。
2024年7月19日に発生した Windows サーバーの障害について、AWS ナレッジセンターに回復手順が公開されました。 本記事ではルートボリュームを置き換えについての手順箇所について実行した手順を記載いたします。 repost.aws
- 既に回復方法について弊社検証記事があります。同作業の画面キャプチャ等については割愛いたします
- 本記事の執筆環境では、CrowdStrikeがインストールされているWindowsマシンを用意できなかったため、削除対象のファイルがない状態で手順を実施しています
- 復旧対象の Windows インスタンスデスクトップにtest.txt ファイルを事前に作成して作業を実施しました
1. インスタンスの EBS ルートボリュームのスナップショットを作成します。
2. 同じアベイラビリティーゾーンのスナップショットから新しい EBS ボリュームを作成します。
以下ブログ記事と同じになりますので割愛いたします。 blog.serverworks.co.jp
3. 同じアベイラビリティーゾーンで新しい Windows インスタンスを起動します。
記事に復旧対象と違うバージョンと記載が無かったため、同じバージョンの Windows インスタンスを起動しました。
昨日検証された山本のブログ手順と異なる箇所となります。
※結果から申し上げると同じバージョンの Windows インスタンスで問題なく手順を実行することが出来ました
4.新しい EBS ボリュームをデータ ボリュームとして新しいインスタンスに接続します。
以下ブログ記事と同じになりますので割愛いたします。 blog.serverworks.co.jp
5. EC2Rescue for Windows Serverツールをヘルパーインスタンスにダウンロードします。
ダウンロードの手順は以下に公開されております。
以下 PowerShell コマンドでダウンロードを行いました。
Invoke-WebRequest https://s3.amazonaws.com/ec2rescue/windows/EC2Rescue_latest.zip -OutFile $env:USERPROFILE\Desktop\EC2Rescue_latest.zip
デスクトップにダウンロードされたファイルが確認できました。
6. EC2Rescue.exe を右クリックし、[管理者として実行]を選択します。
以下手順で実行を行います。
[オフラインインスタンス]を選択します。
オフラインディスクを選択し、[次へ]を選択します。
EC2 Rescue は実行したままにします。
ここまでの操作でアタッチしたディスクがオンラインになっていることを確認できました。
検証作業前に作成していた test.txtファイルがあることを確認しました。
7.アタッチされたボリュームのX:\Windows\System32\drivers\CrowdStrike\フォルダに移動し、C-00000291*.sysを削除します。
CrowdStrikeがインストールされているWindowsマシンを用意できなかったため、削除作業が出来ないことをご了承願います。
また本手順を実施した後の確認のため、 オンラインになった D ドライブの一番上の階層に test2.txt ファイル を作成しておきます。
8.EC2 Rescue に戻ります。
[ディスク署名の修正]がグレー表示されていることを確認しました。
ここまでの操作で D ドライブがオフラインになったことを確認しました。
9 新しいインスタンスからEBS ボリュームをデタッチします。
10. デタッチされた EBS ボリュームのスナップショットを作成します。
以下ブログ記事と同じになりますので割愛いたします。 blog.serverworks.co.jp
11.影響を受けるインスタンスと同じボリュームタイプ (gp2 や gp3 など) を選択し、スナップショットからAmazon マシンイメージ (AMI) を作成します。
12.元の EC2 インスタンスのルートボリュームを置き換え、AMI を指定します。
インスタンス画面のアクションボタンからルートボリュームを置き換えを実行します。
11 で作成したAmazon マシンイメージ (AMI) を選択します。
上記作業完了後、復旧対象D ドライブの一番上の階層に test2.txt ファイル を確認しました。
まとめ
今回はAWS ナレッジセンターに公開された手順でルートボリューム置き換えによる回復を実施しました。 この記事がどなたかの参考になれば幸いです。
荒川 将吾(記事一覧)
マネージドサービス部・テクニカルサポート課
