windows server 2012 active directory...

Copyright 2012-2018 FUJITSU LIMITED

第 2.4 版

2018 年 2 月

富士通株式会社

Windows Server 2012/2012 R2 Active Directory 移行の手引き



はじめに

本書は、Microsoft® Windows Server® 2003 Active Directory®のドメイン、Microsoft® Windows

Server® 2008 Active Directory®のドメイン、Microsoft® Windows Server® 2008 R2 Active

Directory®のドメインから、Microsoft® Windows Server® 2012 Active Directory®のドメインまたは

Microsoft® Windows Server® 2012 R2 Active Directory®のドメインへの移行手順を紹介します。

ドメインの移行方式には、「既存ドメインのバージョンアップ」、「新規ドメイン構築&アカウント移行」の

2 種類が用意されており、お客様の移行環境や要件に合わせて移行方式を選択する必要があります。

ドメインの移行方式や移行手順を考える際の基礎情報としてご活用ください。

本書を利用するにあたっての前提知識

以下の技術情報についての知識が必要となります。

Active Directory®およびネットワークの基礎知識

想定する対象読者

以下の方を対象に記載しています。

Microsoft® Windows Server® 2003 Active Directory®のドメイン、Microsoft® Windows

Server® 2008 Active Directory®のドメイン、Microsoft® Windows Server® 2008 R2 Active

Directory®のドメインを使用中のお客様

近い将来にドメイン移行を予定のお客様/SE

知識としてドメイン移行の進め方を確認されたいお客様/SE/営業

参考資料

本書以外の Windows Server 技術情報は、以下のサイトで公開しています。

・Windows システム構築ガイド

http://jp.fujitsu.com/platform/server/primergy/technical/construct/

http://jp.fujitsu.com/platform/server/primergy/technical/construct/



本書では、以下の略称を使用しています。

正式名称略称

製品名 Microsoft® Windows Server® 2003 Windows Server 2003

Microsoft® Windows Server® 2008 Windows Server 2008

Microsoft® Windows Server® 2008 R2 Windows Server 2008 R2

Microsoft® Windows Server® 2012 Windows Server 2012

Microsoft® Windows Server® 2012 R2 Windows Server 2012 R2

Microsoft® Windows® XP Windows XP

Windows® Vista Windows Vista

Windows® 7 Windows 7

Windows® 8 Windows 8

ドメイン Microsoft® Windows Server® 2003 Active

Directory®のドメイン

Windows 2003 ドメイン

Microsoft® Windows Server® 2008 Active



Microsoft® Windows Server® 2008 R2

Active Directory®のドメイン

Windows 2008 R2 ドメイン

Microsoft® Windows Server® 2012 Active



Microsoft® Windows Server® 2012 R2

Active Directory®のドメイン

Windows 2012 R2 ドメイン

ドメインコントローラー DC

Active Directory® AD

Active Directory®ドメインサービス ADDS

Active Directory®移行ツール ADMT

その他 Windows PowerShell® Windows PowerShell

注意事項

本ドキュメントを輸出または第三者へ提供する場合は、お客様が居住する国および米国輸出

管理関連法規等の規制をご確認のうえ、必要な手続きをおとりください。

本書に記載されたデータの使用に起因する、第三者の特許権およびその他の権利の侵害に

ついては、当社はその責を負いません。



改版履歴

改版日時版数改版内容

2012.09 1.0 ・新規作成

2013.04 1.1 ・誤字修正

2013.10 2.0 ・Windows Server 2012 R2 に対応

2014.03 2.1 ・ADMT の Windows Server 2012/2012 R2 対応状況を更新

2014.12 2.2 ・ADMT ツールの Windows Server 2012/2012 R2 対応に伴い、

記載を修正

2015.03 2.3 ・ADMT ツールを使用した移行手順として 5 章を追加

・「3.2 移行手順」に重要な注意事項を追加

2018.02 2.4 ・ADMT ツールのサポート方針変更に伴い、注釈を追加。



目次

1 なぜ、今 Windows 2012/2012 R2 ドメインに移行するのか？ ...................... 1

2 ドメイン移行の概要 ...................................................................................... 2 2.1 ドメイン移行作業の流れ ................................................................................................. 2

2.2 移行方式概要 ................................................................................................................ 3

2.2.1 既存ドメインのバージョンアップ ................................................................................ 4

2.2.2 新規ドメイン構築&アカウント移行 ............................................................................. 6

3 既存ドメインのバージョンアップ手順 (Windows 2003 ドメイン) .................... 8 3.1 移行環境 ........................................................................................................................ 8

3.2 移行手順 ...................................................................................................................... 10

3.2.1 ドメイン/フォレストの機能レベルの変更 ................................................................... 11

3.2.2 Windows Server 2012 R2 のDC追加 .................................................................... 14

3.2.3 FSMOの転送 ......................................................................................................... 20

3.2.4 Windows Server 2003 DCの降格 .......................................................................... 29


3.2.6 SYSVOL複製方式の変更 ...................................................................................... 34

4 既存ドメインのバージョンアップ手順 (Windows 2008/2008 R2 ドメイン) .... 42 4.1 移行環境 ...................................................................................................................... 42

4.2 移行手順 ...................................................................................................................... 44


4.2.2 Windows Server 2012 R2 のDC追加 .................................................................... 47

4.2.3 FSMOの転送 ......................................................................................................... 54

4.2.4 Windows Server 2008 DCの降格 .......................................................................... 62


5 新規ドメイン構築&アカウント移行手順 ........................................................ 68 5.1 移行環境 ...................................................................................................................... 68

5.2 移行手順 ...................................................................................................................... 70

5.2.1 新規ドメインの構築 ................................................................................................ 70

5.2.2 信頼関係の構築 .................................................................................................... 70

5.2.3 ADMTサーバの構築 ............................................................................................... 84

5.2.4 移行用アカウントの作成 ......................................................................................... 90

5.2.5 ADMT使用前の初期設定 ....................................................................................... 97

5.2.6 暗号化ツールのインストールと設定 ......................................................................103

5.2.7 アカウントの移行..................................................................................................108



5.2.8 既存ドメインの破棄 ..............................................................................................127

6 おわりに .................................................................................................. 134



図表目次

図 1 「既存ドメインのバージョンアップ」の移行環境 ............................................................... 8

図 2 「既存ドメインのバージョンアップ」の移行環境 ............................................................. 42

図 3 「既存ドメインのバージョンアップ」の移行環境 ............................................................. 68

表 1 DC サーバの設定内容 .................................................................................................. 8

表 2 ドメインメンバサーバ/クライアントの設定内容 ................................................................ 9

表 3 IP アドレスの変更 ........................................................................................................ 31

表 4 IP アドレスの変更方法 ................................................................................................ 32

表 5 DC サーバの設定内容 ................................................................................................ 43

表 6 ドメインメンバサーバ/クライアントの設定内容 .............................................................. 43

表 7 IP アドレスの変更 ........................................................................................................ 64

表 8 IP アドレスの変更方法 ................................................................................................ 65

表 9 DC サーバの設定内容 ................................................................................................ 69

表 10 ドメインメンバサーバ/クライアントの設定内容 ............................................................ 70

表 11 ADMT のウィザードで変換可能な項目 ................................................................... 108


- 1 - Copyright 2012-2018 FUJITSU LIMITED

1 なぜ、今 Windows 2012/2012 R2 ドメインに移行するのか？富士通における過去のドメイン移行商談の傾向から、Windows 2012/2012 R2ドメインへの移行を検討する

きっかけとして、大きく以下の 2 通りが考えられます。

①最新のテクノロジーの恩恵を受けるため ●展開作業の簡略化

・DC に昇格するコマンド（DCpromo）が廃止され、DC への昇格はサーバーマネー

ジャーに統合されたため、DC 昇格時の操作が簡略化されます。・既存ドメインにDCを追加する際、自動的にスキーマが拡張されるため、既存DC上で実

施していたスキーマ拡張の操作（ADprep）が不要になり、DCの展開が容易になります。 ●管理性の向上

・Windows PowerShell 等での設定が必要だった Active Directory ごみ箱機能でのオブ

ジェクトの復元が、Active Directory 管理センターの GUI からできるようになり、削除した

オブジェクトの復元が容易になります。・設定が非常に煩雑だった、細かい設定が可能なパスワードポリシーの設定や適用が

Active Directory 管理センターの GUI から簡単に行えるようになり、操作性が大幅に向

上しています。・Active Directory 管理センターから実施した操作を Windows PowerShell の履歴として

参照することができるため、スクリプトによる自動化などを容易に行うことができます。 ●仮想化環境への対応

・DC として動作している仮想マシン（VHD）を、Sysprep での汎用化を行わずにクローン

（コピー）を作成して、追加のDCとして構築することができるようになり、仮想環境におけ

る DC の展開が容易になります。・スナップショットからの復元等により USN（※）ロールバックが発生した場合、自動的に回

復処理が行われるため、仮想環境での DC の運用が容易になります。 ※ オブジェクトの変更状態の管理に使用する一意の識別名を更新シーケンス番号

（USN：Update Sequence Number）といいます。

②ハードウェア・ソフトウェアの老朽化のため ●ハードウェア

主にサーバ部品の保守期間終了の問題があります。サーバの各部品にも寿命があり、

定期的に、または故障時に交換する必要があります。古いサーバは順次保守サポート切

れを迎え、サポート終了後には各部品の入手が困難になります。 ●ソフトウェア（OS）

Microsoft®製品には、サポート期間が決められています。サポート期間が終了すると、セ

キュリティパッチや修正モジュールが提供されなくなります。本書ではこのような背景から、Windows 2003 ドメイン、Windows 2008/2008 R2 ドメインから、Windows 2012/2012 R2 ドメインへの移行を中心に記載しております。



2 ドメイン移行の概要本章では、Windows 2012/2012 R2 ドメインへの移行の進め方と、移行方式について紹介します。 2.1 ドメイン移行作業の流れドメイン移行に必要な作業を簡単に紹介します。ドメイン移行では、以下の流れに従って移行の計画から実

施・確認まで作業を進めます。

■計画、既存環境の調査■ 移行対象となるドメイン環境について調査を行います。DC だけでなくメンバコンピュータや

ネットワーク環境など影響範囲全般が調査対象となります。

Windows 2012/2012 R2 ドメインへの移行では、既存ドメイン内のすべての DC が

“Windows Server 2003”以降である必要があります。またドメイン/フォレストの機能レ

ベルが”Windows Server 2003”以上である必要があります。AD の移行では、DNS、DHCP、WINS など関連するネットワークサービスを考慮する必要があります。

■ハードウェア・ソフトウェアの手配■ 移行に必要なハードウェア・ソフトウェアの手配を行います。

発注してから搬入されるまでの時間を考慮し、余裕をもって手配します。

■移行手順の確立/検証■ 移行手順を確立します。移行過程でトラブルが発生した場合を想定して、ロールバック計

画をあわせて検討してください。

ドメイン移行は、ドメイン内のメンバコンピュータや、ディレクトリサービスを利用するアプ

リケーションなど様々なところに影響を与える可能性があります。移行を行う際は、それ

らを洗い出し、移行手順の確認だけでなく、インフラ全体への影響有無について事前検

証を行うことが、移行後のトラブルを未然に防ぐことに繋がります。

POINT!

POINT!

POINT!



■移行の実施■

検証で確立した手順をもとに、本番環境の移行を行います。本書では、このフェーズを中心に紹介します。

移行作業を開始する前には、必ず既存 DC のバックアップを実施してください。移行を

実施する時期によっては、新たにサービスパックや修正モジュールなどが発表され、本

書の手順に変更を要する可能性があります。マイクロソフト社の最新の情報を確認して

ください。

■稼働の確認■ ドメイン移行完了後に、稼働状況の確認を行います。正常に稼働していることを確認して、

ドメイン移行を完了とします。ドメイン移行は、実際の移行作業以上に、事前の調査・計画・準備などに多くの時間を必要とします。ドメイン

移行を行う際は、移行期間に余裕をもって計画を進めてください。 2.2 移行方式概要 Windows 2012/2012 R2 ドメインへの移行方式は、以下の 2 つの方式が考えられます。・既存ドメインのバージョンアップ

既存ドメインの構成/情報を保持したまま、ドメインのバージョンアップを行う方式・新規ドメイン構築&アカウント移行

Active Directory 移行ツール（ADMT）を利用して、新規に構築したドメインへ既存のアカウント情報を

移行する方式富士通では、エンドユーザへの影響が少ない『既存ドメインのバージョンアップ』での移行を推奨しています。

移行を機にドメイン環境を一新したい場合や、以下のような特別な要件がある場合には、『新規ドメイン構築

&アカウント移行』を選択します。・互換性確認が必要な既存サーバが多いため、既存ドメインを残しつつ、段階的に移行を行いたい。・ M&A に伴いドメイン環境を統合したいなど、既存ドメインをそのまま使用したくない事情がある。

2017年6月、ADMTは開発が終了し、マイクロソフト社によるサポートは限定的な提供となることがア

ナウンスされました。そのため、ADMT を使用した移行方法は推奨いたしません。詳細は次の情報を

ご参照ください。 Windows 10/Windows Server 2016 の環境における ADMT を使用する場合の対応状況について https://blogs.technet.microsoft.com/jpntsblog/2017/06/02/windows-10windows-server-2016-%e3%81%ae%e7%92%b0%e5%a2%83%e3%81%ab%e3%81%8a%e3%81%91%e3%82%8b-admt-%e3%82%92%e4%bd%bf%e7%94%a8%e3%81%99%e3%82%8b%e5%a0%b4%e5%90%88%e3%81%ae%e5%af%be%e5%bf%9c%e7%8a%b6/

「既存ドメインのバージョンアップ」と「新規ドメイン構築&アカウント移行」の移行イメージを紹介します。

POINT!

POINT!

https://blogs.technet.microsoft.com/jpntsblog/2017/06/02/windows-10windows-server-2016-%e3%81%ae%e7%92%b0%e5%a2%83%e3%81%ab%e3%81%8a%e3%81%91%e3%82%8b-admt-%e3%82%92%e4%bd%bf%e7%94%a8%e3%81%99%e3%82%8b%e5%a0%b4%e5%90%88%e3%81%ae%e5%af%be%e5%bf%9c%e7%8a%b6/





2.2.1 既存ドメインのバージョンアップ移行方式「既存ドメインのバージョンアップ」による、ドメイン移行イメージを紹介します。

① 既存ドメインに新規 DC を追加します。

② 新規 DC を追加すると自動的にスキーマが拡張されます。

Windows Server 2012/2012 R2 の ADDS では、既存のドメインに DC を追加

する際に、自動的にスキーマの拡張を行います。そのため、既存 DC 上にてコ

マンドで実施していたスキーマの拡張操作が不要になります。

POINT!



③ FSMO を新規 DC に転送します

④ 既存 DC をメンバサーバへ降格します。既存 DC をネットワークから撤去します。

⑤ 機能レベルを “Windows Server 2012”もしくは”Windows Server 2012 R2”に変

更します。

Windows 2003 ドメインを Windows 2012 R2 ドメインへ移行する手順は、「3 既存ドメインのバージョンアッ

プ手順 (Windows 2003 ドメイン)」を参照してください。 Windows 2008 ドメイン/2008 R2 ドメインを Windows 2012 R2 ドメインへ移行する手順は、「4 既存ドメイ

ンのバージョンアップ手順 (Windows 2008/2008 R2 ドメイン)」を参照してください。



2.2.2 新規ドメイン構築&アカウント移行移行方式「新規ドメイン構築&アカウント移行」による、ドメイン移行イメージを紹介します。

① 新規に Windows 2012/2012 R2 ドメインを構築します。

② 既存ドメインと新規ドメインの双方向信頼関係を作成します。



③ ADMT を使用し、既存ドメインから新規ドメインへアカウントを移行します。

④ クライアント、メンバサーバ等のリソース移行完了後に、信頼関係を破棄します。

⑤ 既存ドメイン環境を破棄します。

Windows 2003 ドメインを Windows 2012 R2 ドメインへ移行する手順は、「5 新規ドメイン構築&アカウント

移行手順」を参照してください。



3 既存ドメインのバージョンアップ手順 (Windows 2003 ドメイン) 本章では、富士通が推奨する移行方式「既存ドメインのバージョンアップ」を選択して、Windows 2003 ドメイ

ンから Windows 2012 R2 ドメインへ移行する手順を紹介します。

本書では、Windows 2012 R2 ドメインへの移行手順を紹介していますが、Windows 2012 ドメインへ

の移行手順も同様となります。 3.1 移行環境本章で紹介する移行手順は、以下の環境における移行を想定しています。

図 1 「既存ドメインのバージョンアップ」の移行環境図 1 のサーバ/クライアントの設定内容を、次の表に示します（表 1、表 2）。

表 1 DC サーバの設定内容番号項目内容 ① コンピュータ名 2003DC-1

IP アドレス 192.168.1.11 OS、SP Windows Server 2003 R2 DNS 127.0.0.1(優先)、192.168.1.12(代替)

POINT!



番号項目内容役割 DC(FSMO、GC)、DNS(fujitsu.local ゾーン)

② コンピュータ名 2003DC-2 IP アドレス 192.168.1.12 OS、SP Windows Server 2003 R2 DNS 127.0.0.1 (優先)、192.168.1.11(代替) 役割 DC(GC)、DNS(fujitsu.local ゾーン)

③ コンピュータ名 2012R2DC-1 IP アドレス 192.168.1.1 OS、SP Windows Server 2012 R2 DNS 127.0.0.1 (優先)、192.168.1.12(代替) 役割 DC(FSMO、GC)、DNS(fujitsu.local ゾーン)

④ コンピュータ名 2012R2DC-2 IP アドレス 192.168.1.2 OS、SP Windows Server 2012 R2 DNS 127.0.0.1 (優先)、192.168.1.11(代替) 役割 DC(GC)、DNS(fujitsu.local ゾーン)

表 2 ドメインメンバサーバ/クライアントの設定内容

番号項目内容 ⑤ コンピュータ名 2008R2File

IP アドレス 192.168.1.50 OS、SP Windows Server 2008 R2 DNS 192.168.1.11(優先)、192.168.1.12(代替) 役割ファイルサーバ

⑥ コンピュータ名 WinVista IP アドレス 192.168.1.101 OS、SP Windows Vista SP2 DNS 192.168.1.11(優先)、192.168.1.12(代替) 役割なし

⑦ コンピュータ名 Win7 IP アドレス 192.168.1.102 OS、SP Windows 7 SP1 DNS 192.168.1.11(優先)、192.168.1.12(代替) 役割なし

⑧ コンピュータ名 Win8 IP アドレス 192.168.1.103 OS、SP Windows 8 DNS 192.168.1.11(優先)、192.168.1.12(代替) 役割なし



3.2 移行手順移行方式「既存ドメインのバージョンアップ」による、ドメインの移行の詳細手順を紹介します。

Windows 2003 ドメインに Windows Server 2012 R2 の DC を追加した場合、コンピュータアカウント

のパスワードが変更された後にログオンができなくなるという問題が発生します。詳細は以下のマイクロソフト社のサポート技術情報を参照してください。「Windows Server 2012 R2 と Windows Server 2003 の混在環境でのコンピューターアカウント

のパスワードを変更した後にログオンできない」 https://support.microsoft.com/ja-jp/help/2989971/can-t-log-on-after-changing-machine-account-password-in-mixed-windows この問題を未然に防ぐためには、Windows Server 2012 R2をDCとして追加する前に以下のいずれ

かの対処を行う必要があります。・対処 1 (サポート技術情報 2989971 の修正プログラムを適用)

DC として追加する Windows Server 2012 R2 に AD DS の役割を追加後、サポート技術情報

2989971 の修正プログラムを適用してから DC に昇格します。 ※サポート技術情報 2989971 の修正プログラムは、AD DS の役割を追加することで適用できま

す。

・対処 2 (サポート技術情報 2984006 の修正プログラムを適用) DC として追加する Windows Server 2012 R2 にサポート技術情報 2984006 の修正プログラムを

適用してから DC に昇格します。この修正プログラムは AD DS の役割を追加する前の状態でも適用できます。 ※サポート技術情報 2984006 は更新プログラムのロールアップ(2014 年 9 月)となり、サポート技

術情報 2989971 の修正プログラムが含まれています。詳細は以下のサポート技術情報を参照してください。「Windows RT 8.1、Windows 8.1 および Windows Server 2012 R2 用の 2014 年 9 月付

更新プログラムのロールアップ」 https://support.microsoft.com/ja-jp/help/2984006/september-2014-update-rollup-for-windows-rt-8-1-windows-8-1-and-window

上記の対処 1 および対処 2 を行うには、サポート技術情報 2919355 の修正プログラムが適用されて

いる必要があります。詳細は以下のサポート技術情報を参照してください。「Windows RT 8.1、Windows 8.1、および Windows Server 2012 R2 の更新プログラム: 2014 年 4 月」 https://support.microsoft.com/ja-jp/help/2919355/windows-rt-8-1-windows-8-1-and-windows-server-2012-r2-update-april-201 導入を行う前には、必ずマイクロソフト社の最新情報を確認してください。

https://support.microsoft.com/ja-jp/help/2989971/can-t-log-on-after-changing-machine-account-password-in-mixed-windows

https://support.microsoft.com/ja-jp/help/2989971/can-t-log-on-after-changing-machine-account-password-in-mixed-windows

https://support.microsoft.com/ja-jp/help/2984006/september-2014-update-rollup-for-windows-rt-8-1-windows-8-1-and-window

https://support.microsoft.com/ja-jp/help/2984006/september-2014-update-rollup-for-windows-rt-8-1-windows-8-1-and-window

https://support.microsoft.com/ja-jp/help/2919355/windows-rt-8-1-windows-8-1-and-windows-server-2012-r2-update-april-201

https://support.microsoft.com/ja-jp/help/2919355/windows-rt-8-1-windows-8-1-and-windows-server-2012-r2-update-april-201



3.2.1 ドメイン/フォレストの機能レベルの変更 Windows Server 2012 R2 の DC を既存ドメインに追加するには、ドメインおよびフォレストの機能レベル

が”Windows Server 2003”以上である必要があります。以下の手順を実施し、ドメインおよびフォレストの機

能レベルを”Windows Server 2003”に上げてください。既存ドメインのドメインおよびフォレストの機能レベルが”Windows Server 2003”以上である場合には、

「3.2.2 Windows Server 2012 R2 の DC 追加」へ進んでください。 ① ドメインの機能レベルを上げる

本手順は、2003DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2 「スタート」→「管理ツール」→「Active

Directory ドメインと信頼関係」をクリック

します。

3 「Active Directory ドメインと信頼関係」

が表示されます。左ペインの「<ドメイン

名>」を右クリックし、「ドメインの機能レベ

ルを上げる」をクリックします。

4 「ドメインの機能レベルを上げる」が表示

されます。「Windows Server 2003」を選

択します。「上げる」をクリックします。

5 「右のメッセージが表示されます。「OK」

をクリックします。



6 「右のメッセージが表示されます。「OK」をクリックします。

7 再度、手順 3を実施し、ドメインの機能レ

ベルが”Windows Server 2003”になって

いることを確認します。

② フォレストの機能レベルを上げる

本手順は、2003DC-1 で行います。 1 「スタート」→「管理ツール」→「Active


します。


が表示されます。「Active Directory ドメインと信頼関係」を右クリックし、「フォレ

ストの機能レベルを上げる」をクリックし

ます。

3 「フォレストの機能レベルを上げる」が表

示されます。「Windows Server 2003」を選択します。「上げる」をクリックします。






6 再度、手順 2を実施し、フォレストの機能

レベルが”Windows Server 2003”になっ

ていることを確認します。



3.2.2 Windows Server 2012 R2 の DC 追加 ① Active Directory ドメインサービスのインストール

本手順は、2012R2DC-1、2012R2DC-2 で行います。

事前に Windows Server 2012 R2 の OS インストールが完了していることを前提とします。なお、

DC 追加前に DNS サーバの役割をインストールしないでください。

1 ローカル管理者権限でログオンします。 2 「サーバーマネージャー」を起動しま

す。「ダッシュボード」を選択し、「役割と機能

の追加」をクリックします。

3 「役割と機能の追加ウィザード」が表示さ

れます。「次へ」をクリックします。

4 「インストールの種類の選択」が表示さ

れます。「役割ベースまたは機能ベース

のインストール」を選択し、「次へ」をク

リックします。

POINT!



5 「対象サーバーの選択」が表示されま

す。「サーバープールからサーバーを

選択」を選択します。「サーバープー

ル」から「2012R2DC-1」を選択し、「次

へ」をクリックします。

6 「サーバーの役割の選択」が表示されま

す。「Active Directory ドメインサービ

ス」にチェックを入れます。「Active Directory ドメインサービスに

必要な機能を追加しますか？」のダイア

ログが表示されるので、「機能の追加」を

クリックします。ダイアログが閉じたら、「次へ」をクリック

します。

7 「機能の選択」が表示されます。「次へ」




8 「Active Directory ドメインサービス」

が表示されます。「次へ」をクリックしま

す。

9 「インストールオプションの確認」が表

示されます。「インストール」をクリックし

ます。

10 Active Directory ドメインサービスのイ

ンストールが開始します。完了するまで

待機します。


ンストールが完了すると、「構成が必要

です。 <サーバ名>でインストールが正

常に完了しました。」というメッセージが

表示されます。「このサーバーをドメインコントローラー

に昇格する」をクリックします。



② ドメインコントローラーへの昇格

本手順は、2012R2DC-1、2012R2DC-2 で行います。 1 Active Directory ドメインサービス構

成ウィザードが開始し、「配置構成」が表

示されます。「既存のドメインにドメインコントロー

ラーを追加する」を選択します。次にドメインコントローラーを追加するド

メインを選択します。「選択」をクリックし

ます。

手順①- 11 で「役割と機能の追加

ウィザード」を閉じた場合は、「サー

バーマネージャー」の「通知」アイコ

ンをクリックし、「このサーバーをド

メインコントローラーに昇格する」


2 「Windows セキュリティ」が表示されま

す。追加先ドメインのドメイン管理者権限

をもつアカウントとパスワードを入力しま

す。「OK」をクリックします。

3 「フォレストからのドメインの選択」が表

示されます。ドメインを選択し、「OK」をク


POINT!



4 ドメイン名と資格者情報が入力されたこ

とを確認し、「次へ」をクリックします。

5 「ドメインコントローラーオプション」が

表示されます。「ドメインネームシステム

(DNS) サーバー」、「グローバルカタロ

グ(GC)」のチェックをオンにします。「サイト名」では、リストからサイト名を選

択します。ディレクトリサービス復元モード(DSRM)のパスワードを入力します。すべての設定が完了したら、「次へ」をク


本シナリオでは、Windows Server 2012 R2 の DC すべてを DNS サー

バ、グローバルカタログとして構築し

ます。

6 「DNS オプション」が表示されます。「次へ」をクリックします。

POINT!



7 「追加オプション」が表示されます。レプリケート元では「任意のドメインコン

トローラー」を選択し、「次へ」をクリックし

ます。

8 「パス」が表示されます。

「次へ」をクリックします。

9 「準備オプション」が表示されます。


10 「オプションの確認」が表示されます。




11 「前提条件のチェック」が表示されます。チェックが完了するまで待機します。

12 チェックに問題がなければ、「すべての

前提条件のチェックに合格しました。[インストール]をクリックしてインストールを

開始してください。」というメッセージが表

示されます。「インストール」をクリックします。

13 「インストール」が表示されます。

Active Directory ドメインサービスの

構成が完了すると、サーバは自動的に

再起動します。

3.2.3 FSMO の転送 ① スキーママスタの転送

本手順は、2003DC-1 で行います。 1 Schema Admins グループに所属するメンバか、またはそれと同等の権限をもつメンバ

でログオンします。 2 「スタート」→「ファイル名を指定して実

行」をクリックします。「 regsvr32 schmmgmt.dll」と入力しま




3 右のメッセージが表示されます。「OK」をクリックします。

4 「スタート」→「ファイル名を指定して実

行」をクリックします。「mmc」と入力します。「OK」をクリックし

ます。

5 「コンソール 1」が表示されます。「ファイ

ル」メニューから、「スナップインの追加と

削除」をクリックします。

6 「スナップインの追加と削除」が表示され

ます。「追加」をクリックします。



7 「スタンドアロンスナップインの追加」が

表示されます。「Active Directory スキーマ」をクリックします。「追加」をクリッ

クします。「閉じる」をクリックします。

8 「スナップインの追加と削除」で、「OK」を

クリックします。

9 「コンソール１」に、「Active Directory ス

キーマ」が表示されます。「コンソールルート」→「Active Directory スキーマ [<サーバ名>]」を右クリックし、「ドメインコントローラの変更」をクリックします。

10 「ドメインコントローラの変更」が表示さ

れます。「名前の指定」で、

2012R2DC-1 の FQDN を入力します。

「OK」をクリックします。



11 「コンソール１」で、「コンソールルート」

→「Active Directory スキーマ [<サー

バ名>]」を右クリックし、「操作マスタ」を


12 「スキーママスタの変更」が表示されま

す。「変更」をクリックします。

13 右のメッセージが表示されます。「はい」


14 右のメッセージが表示されます。「OK」を


15 「スキーママスタの変更」で、「閉じる」を




② ドメイン名前付け操作マスタの転送

本手順は、2003DC-1 で行います。 1 ドメイン管理者権限でログオンします。 2 「スタート」→「管理ツール」→「Active


します。


が表示されます。「Active Directory ドメインと信頼関係」を右クリックし、「ドメイ

ンコントローラに接続」をクリックしま

す。

4 「ドメインコントローラに接続」が表示さ

れます。「2012R2DC-1.fujitsu.local」を選択します。「OK」をクリックします。




で「Active Directory ドメインと信頼関

係」を右クリックし、「操作マスタ」をクリッ

クします。

6 「操作マスタの変更」が表示されます。

「変更」をクリックします。





9 「操作マスタの変更」で、「閉じる」をク




③ インフラストラクチャマスタ、PDC マスタ、RID マスタの転送


Directory ユーザーとコンピュータ」をク


3 「 Active Directory ユーザーとコン

ピュータ」が表示されます。「Active Directory ユーザーとコンピュータ」→「<ドメイン名>」を右クリックし、「ドメインコントローラに接続」をクリックします。

4 「ドメインコントローラに接続」が表示さ

れます。「2012R2DC-1.fujitsu.local」を選択します。「OK」をクリックします。




ピュータ」で「Active Directory ユーザー

とコンピュータ」→「<ドメイン名>」を右ク

リックし、「操作マスタ」をクリックします。

6 「操作マスタ」が表示されます。「インフラ

ストラクチャ」タブをクリックします。「変

更」をクリックします。



ドメイン内の全ての DC が、グローバ

ルカタログであるため、右のメッセー

ジが表示されても問題ありません。


POINT!



9 「操作マスタ」で、「PDC」タブをクリックし

ます。「変更」をクリックします。





12 「操作マスタ」で、「RID」タブをクリックし








15 「操作マスタ」で、「閉じる」をクリックしま

す。

3.2.4 Windows Server 2003 DC の降格 ① 既存 DC の降格

本手順は、2003DC-1、2003DC-2 で行います。

既存 DC の降格を行う場合、優先 DNS サーバのアドレスに新規 DC の IP アドレスを設定するよ

うに変更してください。既存 DC を設定したままの状態では、DC の降格に失敗する場合があります。

1 ドメイン管理者権限でログオンします。 2 2003DC-1 で、「スタート」→「ファイル名

を指定して実行」を選択します。「dcpromo」と入力します。「OK」をクリッ

クします。

3 「Active Directory のインストールウィ

ザードの開始」が表示されます。「次へ」






5 「Active Directory の削除」が表示され

ます。「このサーバーはドメインの最後の

ドメインコントローラです」のチェックが

オフになっていることを確認します。「次


6 「Administrator のパスワード」が表示さ

れます。パスワードを入力します。「次


7 「概要」が表示されます。「次へ」をクリッ

クします。

8 AD のアンインストールが実行されます。


ザードの完了」が表示されます。「完了」




10 右のメッセージが表示されます。「再起

動する」をクリックし、再起動します。

11 再起動後、2003DC-1 をドメインメンバーから外し、ネットワーク上から撤去します。 12 手順 1～手順 11 と同様の手順で、2003DC-2 を降格します。

② IP アドレスの変更


DC サーバでは、ほとんどの場合 DNS サーバの役割を兼務します。DC 兼 DNS サーバをドメインメン

バサーバに降格した場合、ドメインメンバコンピュータの TCP/IP 設定によっては参照する DNS が存在

しない状況になります。このような場合、ドメインメンバコンピュータは Active Directory での認証要求が

行えなくなります。本手順では、移行前の DC で使用していた IP アドレスを、Windows Server 2012 R2 DC の IP アドレ

スとすることで、これらの問題を解決します。以下のサーバで IP アドレスの変更を行います。

表 3 IP アドレスの変更サーバ変更前の IP アドレス変更後の IP アドレス 2012R2DC-1 192.168.1.1 192.168.1.11(移行前の DC で使用していた IP ア

ドレス) 2012R2DC-2 192.168.1.2 192.168.1.12(移行前の DC で使用していた IP ア

ドレス)

DC の降格と IP アドレスの変更作業は、ドメインメンバコンピュータへの影響が少ない業務時間外に実

施することを推奨します。

DC 降格後に IP アドレスを変更する方法は、表 4 の方法が考えられます。お客様の環境や要件に合わせて変更方法を選択してください。

POINT!



表 4 IP アドレスの変更方法

IP アドレス変更方法説明 ①新規 DC の IP アドレスを変更新規 DC の IP アドレスを、移行前の DC で使用していた

IP アドレスに変更します。ドメインメンバコンピュータの

TCP/IP 設定を変更する必要がないため、大規模な環境

に最適な方法です。 ②ドメインメンバコンピュータの

TCP/IP 設定を変更ドメインメンバコンピュータの TCP/IP の設定で、DNSサーバの IPアドレスを新規DCのアドレスに変更します。

全ドメインメンバコンピュータの設定変更が必要になりま

す。静的に DNS の IP アドレスを

設定している場合ドメイン内の全ドメインメンバコンピュータの TCP/IP 設定

を手動で変更する必要があります。 DHCP サーバで DNS サーバ

の IP アドレスを配布している

場合

DHCP サーバのネットワークオプションで、DNS サーバ

の IPアドレス情報を変更します。ドメインメンバコンピュー

タでは、DHCP サーバから DNS サーバの IP アドレス情

報を再取得する必要があります。 3.2.5 ドメイン/フォレストの機能レベルの変更 ① ドメイン機能レベルの変更

本手順は、2012R2DC-1 で行います。 1 ドメイン管理者権限でログオンします。 2 「サーバーマネージャー」を起動し、

「ツール」をクリックします。「Active Directory 管理センター」をクリックしま

す。

3 「Active Directory 管理センター」が表

示されます。「<ドメイン名> (ローカル)」を選択し、「ドメインの機能レベルの昇

格」をクリックします。



4 「ドメインの機能レベルの昇格」が表示さ

れます。「利用可能なドメインの機能レベ

ルを選択してください」で、「Windows Server 2012 R2」を選択します。「OK」をクリックします。





7 再度、手順 3を実行し、ドメインの機能レ

ベルが「Windows Server 2012 R2」になっていることを確認します。「キャンセル」をクリックします。

② フォレスト機能レベルの変更

本手順は、2012R2DC-1 で行います。 1 Enterprise Admins グループに所属するメンバか、またはそれと同等の権限をもつメン

バでログオンします。 2 「サーバーマネージャー」を起動し、


す。




示されます。「<ドメイン名> (ローカル)」を選択し、「フォレストの機能レベルの昇


4 「フォレストの機能レベルの昇格」が表示

されます。「利用可能なフォレストの機能

レベルを選択してください」で、

「Windows Server 2012 R2」を選択しま






7 再度、手順 3を実行し、フォレストの機能

レベルが「Windows Server 2012 R2」になっていることを確認します。「キャンセル」をクリックします。

3.2.6 SYSVOL 複製方式の変更 Windows 2003 ドメインでは、FRS(File Replication Service)を使用して SYSVOL を複製します。Windows Server 2008 以降の DC では、FRS の後継にあたるDFSR(Distributed File System Replication)を使用可

能ですが、Windows 2003 ドメインから Windows 2012 R2 ドメインに移行した場合、SYSVOL の複製には

引き続き FRS が使用されます。DFSR を使用するためには、コマンドラインツールを使用して手動で変更す

る必要があります。 DFSR を使用することで複製によるネットワーク負荷を下げ、より高速に SYSVOL の複製が可能になりま

す。

本手順は、2012R2DC-1 で行います。



1 現在の DFSR 移行のグローバル状態を

取得します。コマンドプロンプトで、以下を実行しま

す。

dfsrmig /GetGlobalState

実行すると、右のメッセージが表示され

ます。

DFSR 移行がまだ初期化されていません。

移行を開始するには、グローバル状態を目

的の値に設定してください。

2 DFSR 移行のグローバル状態を「開始」

に設定します。コマンドプロンプトで、以下を実行しま

す。

dfsrmig /SetGlobalState 0


ます。 AD に、DFSR に必要なオブジェクトやク

ラスが作成されます。

DFSR の現在のグローバル状態： ’開始’ 新しい DFSR のグローバル状態： ’開始’ 無効な状態変更が要求されました。

3 現在の DFSR 移行のグローバル状態を

取得します。コマンドプロンプトで、以下を実行しま

す。

dfsrmig /GetGlobalState


ます。

DFSR の現在のグローバル状態： ’開始’ 成功しました。

4 グローバル状態が「開始」になっている

ことを確認します。コマンドプロンプトで、以下を実行しま

す。

dfsrmig /GetMigrationState


ます。他のドメインコントローラーと整合性がと

れていることを確認します。

すべてのドメインコントローラーがグローバ

ル状態（’開始’）に移行しました。移行状態が、すべてのドメインコントロー

ラー上で整合性のとれた状態になりました。成功しました。



5 DFSR 移行のグローバル状態を「準備

完了」に設定します。コマンドプロンプトで、以下を実行しま

す。



ます。

DFSR の現在のグローバル状態： ’開始’ 新しい DFSR のグローバル状態： ’準備完

了’ ’準備完了’状態に移行します。DFSR サービ

スによって SYSVOL が SYSVOL_DFSRフォルダーにコピーされます。いずれかの DC で移行を開始できない場合

は、手動ポーリングを試行してください。移行は 15 分から 1 時間までの任意の時

点で開始できます。成功しました。

6 移行の準備状態をイベントログで確認し

ます。「サーバーマネージャー」を起動し、

「ツール」をクリックします。「イベントビューアー」をクリックします。



7 「イベントビューアー」が表示されます。

「イベントビューアー (ローカル)」→「ア

プリケーションとサービスログ」→「DFS Replication」をクリックします。イベント ID 8010（移行準備開始）、8014（移行準備完了）が表示されることを確

認します。

8 すべてのドメインコントローラーが移行準

備完了になっているか確認します。コマンドプロンプトで、以下を実行しま

す。



ます。移行準備が完了すると、C:¥Windows 配下に SYSVOL_DFSR フォルダが作

成され、C:¥Windows¥SYSVOL から

C:¥Windows¥SYSVOL_DFSR フォル

ダに、必要なファイルが複製されます。


ル状態（’準備完了’）に移行しました。移行状態が、すべてのドメインコントロー

ラー上で整合性のとれた状態になりました。成功しました。



9 DFSR 移行のグローバル状態を「リダイ

レクト済み」に設定します。コマンドプロンプトで、以下を実行しま

す。



ます。

DFSR の現在のグローバル状態： ’準備完

了’ 新しい DFSR のグローバル状態： ’リダイ

レクト済み’ ’リダイレクト済み ’状態に移行します。 SYSVOL 共有が、DFSR を使用してレプリ

ケートされた SYSVOL_DFSR フォルダーに

変更されます。成功しました。



10 リダイレクトの状況をイベントログで確認

します。「イベントビューアー (ローカル)」→「ア

プリケーションとサービスログ」→「DFS Replication」をクリックします。イベント

ID 8015（リダイレクト処理開始）、8017（リダイレクト処理完了）が表示されるこ

とを確認します。リダイレクト処理が完了すると、DFSRの複製が開始され、C:Windows ¥SYSVOL_DFSR を複製します。 DFSR のグローバル状態が「削除済み」

となっていないため、FRS 複製も実行さ

れています。



11 DFSR のグローバル状態を「削除済み」

にします。コマンドプロンプトで、以下を実行しま

す。


このコマンドを実行後は、複製フォルダ

を元に戻すことはできません。


ます。

DFSR の現在のグローバル状態： ’リダイレ

クト済み’ 新しい DFSR のグローバル状態：’削除済

み’ ’削除済み’状態に移行します。このステップを

元に戻すことはできません。いずれかの RODC が長時間にわたって ’削除済み ’ 状態になっている場合は、 /DeleteRoNtfrsMembers オプションを指定

して実行してください。成功しました。



12 削除済みになったことを、イベントログで

確認します。「イベントビューアー (ローカル)」→「ア

プリケーションとサービスログ」→「DFS Replication」をクリックします。イベント

ID 8018（削除済み開始）、8019（削除済

みリダイレクト処理完了）が表示されるこ

とを確認します。

13 以下のコマンドを実行し、他のドメインコ

ントローラーも「削除済み」になったかど

うかを確認します。コマンドプロンプトで、以下を実行しま

す。



ます。


ル状態（’削除済み’）に移行しました。移行状

態が、すべてのドメインコントローラー上で

整合性のとれた状態になりました。成功しました。

以上でドメイン移行作業は完了です。移行完了後は稼働確認を行ってください。



4 既存ドメインのバージョンアップ手順 (Windows 2008/2008 R2 ドメイ

ン) 本章では、富士通が推奨する移行方式「既存ドメインのバージョンアップ」を選択して、Windows 2008/2008 R2 ドメインから Windows 2012 R2 ドメインへ移行する手順を紹介します。

本書では、Windows 2012 R2 ドメインへの移行手順を紹介していますが、Windows 2012 ドメインへ

の移行手順も同様となります。また、既存ドメインは Windows 2008 ドメインでの手順を紹介していま

すが、Windows 2008 R2 ドメインでも同様の手順となります。 4.1 移行環境本章で紹介する移行手順は、以下の環境における移行を想定しています。

図 2 「既存ドメインのバージョンアップ」の移行環境

POINT!



図 2 のサーバ/クライアントの設定内容を、次の表に示します（表 5、表 6）。


IP アドレス 192.168.1.21 OS、SP Windows Server 2008 DNS 127.0.0.1(優先)、192.168.1.22(代替) 役割 DC(FSMO、GC)、DNS(fujitsu.local ゾーン)

② コンピュータ名 2008DC-2 IP アドレス 192.168.1.22 OS、SP Windows Server 2008 DNS 127.0.0.1 (優先)、192.168.1.21(代替) 役割 DC(GC)、DNS(fujitsu.local ゾーン)

③ コンピュータ名 2012R2DC-1 IP アドレス 192.168.1.1 OS、SP Windows Server 2012 R2 DNS 127.0.0.1 (優先)、192.168.1.22(代替) 役割 DC(FSMO、GC)、DNS(fujitsu.local ゾーン)

④ コンピュータ名 2012R2DC-2 IP アドレス 192.168.1.2 OS、SP Windows Server 2012 R2 DNS 127.0.0.1 (優先)、192.168.1.21(代替) 役割 DC(GC)、DNS(fujitsu.local ゾーン)



IP アドレス 192.168.1.50 OS、SP Windows Server 2008 R2 DNS 192.168.1.21(優先)、192.168.1.22(代替) 役割ファイルサーバ

⑥ コンピュータ名 WinVista IP アドレス 192.168.1.10１ OS、SP Windows Vista SP2 DNS 192.168.1.21(優先)、192.168.1.22(代替) 役割なし

⑦ コンピュータ名 Win7 IP アドレス 192.168.1.102 OS、SP Windows 7 SP1 DNS 192.168.1.21(優先)、192.168.1.22(代替) 役割なし

⑧ コンピュータ名 Win8 IP アドレス 192.168.1.103 OS、SP Windows 8 DNS 192.168.1.21(優先)、192.168.1.22(代替) 役割なし



4.2 移行手順移行方式「既存ドメインのバージョンアップ」による、ドメインの移行の詳細手順を紹介します。 4.2.1 ドメイン/フォレストの機能レベルの変更 Windows Server 2012 R2 の DC を既存ドメインに追加するには、ドメインおよびフォレストの機能レベル

が”Windows Server 2003”以上である必要があります。以下の手順を実施し、ドメインおよびフォレストの機

能レベルを”Windows Server 2008”に上げてください。既存ドメインのドメインおよびフォレストの機能レベルが”Windows Server 2003”以上である場合には、

「4.2.2 Windows Server 2012 R2 の DC 追加」へ進んでください。 ① ドメインの機能レベルを上げる



します。


が表示されます。左ペインの「<ドメイン

名>」を右クリックし、「ドメインの機能レベ

ルを上げる」をクリックします。

4 「ドメインの機能レベルを上げる」が表示

されます。「Windows Server 2008」を選

択します。「上げる」をクリックします。






7 再度、手順 3を実施し、ドメインの機能レ

ベルが”Windows Server 2008”になって

いることを確認します。

② フォレストの機能レベルを上げる

本手順は、2008DC-1 で行います。 1 「スタート」→「管理ツール」→「Active


します。


が表示されます。「Active Directory ドメインと信頼関係」を右クリックし、「フォレ

ストの機能レベルを上げる」をクリックし

ます。



3 「フォレストの機能レベルを上げる」が表

示されます。「Windows Server 2008」を選択します。「上げる」をクリックします。





6 再度、手順 2を実施し、フォレストの機能

レベルが”Windows Server 2008”になっ

ていることを確認します。



4.2.2 Windows Server 2012 R2 の DC 追加 ① Active Directory ドメインサービスのインストール


事前に Windows Server 2012 R2 の OS インストールが完了していることを前提とします。なお、

DC 追加前に DNS サーバの役割をインストールしないでください。

1 ローカル管理者権限でログオンします。 2 「サーバーマネージャー」を起動しま

す。「ダッシュボード」を選択し、「役割と機能

の追加」をクリックします。

3 「役割と機能の追加ウィザード」が表示さ


4 「インストールの種類の選択」が表示さ

れます。「役割ベースまたは機能ベース

のインストール」を選択し、「次へ」をク


POINT!



5 「対象サーバーの選択」が表示されま

す。「サーバープールからサーバーを

選択」を選択します。「サーバープー

ル」から「2012R2DC-1」を選択し、「次


6 「サーバーの役割の選択」が表示されま

す。「Active Directory ドメインサービ

ス」にチェックを入れます。「Active Directory ドメインサービスに

必要な機能を追加しますか？」のダイア

ログが表示されるので、「機能の追加」を

クリックします。ダイアログが閉じたら、「次へ」をクリック

します。

7 「機能の選択」が表示されます。「次へ」




8 「Active Directory ドメインサービス」

が表示されます。「次へ」をクリックしま

す。

9 「インストールオプションの確認」が表

示されます。「インストール」をクリックし

ます。


ンストールが開始します。完了するまで

待機します。


ンストールが完了すると、「構成が必要

です。 <サーバ名>でインストールが正

常に完了しました。」というメッセージが

表示されます。「このサーバーをドメインコントローラー

に昇格する」をクリックします。



② ドメインコントローラーへの昇格

本手順は、2012R2DC-1、2012R2DC-2 で行います。 1 Active Directory ドメインサービス構

成ウィザードが開始し、「配置構成」が表

示されます。「既存のドメインにドメインコントロー

ラーを追加する」を選択します。次にドメインコントローラーを追加するド

メインを選択します。「選択」をクリックし

ます。

手順①-11 で「役割と機能の追加ウィ

ザード」を閉じた場合は、「サーバー

マネージャー」の「通知」アイコンをク

リックし、「このサーバーをドメインコントローラーに昇格する」をクリックし

ます。

2 「Windows セキュリティ」が表示されま

す。追加先既存ドメインのドメイン管理者

権限をもつアカウントとパスワードを入

力します。「OK」をクリックします。

3 「フォレストからのドメインの選択」が表

示されます。ドメインを選択し、「OK」をク


POINT!



4 ドメイン名と資格者情報が入力されたこ

とを確認し、「次へ」をクリックします。

5 「ドメインコントローラーオプション」が

表示されます。「ドメインネームシステ

ム (DNS) サーバー」、「グローバルカタ

ログ(GC)」のチェックをオンにします。「サイト名」では、リストからサイト名を選

択します。ディレクトリサービス復元モード(DSRM)のパスワードを入力します。すべての設定が完了したら、「次へ」をク


本シナリオでは、Windows Server 2012 R2 の DC すべてを DNS サー

バ、グローバルカタログとして構築し

ます。

6 「DNS オプション」が表示されます。「次へ」をクリックします。

POINT!



7 「追加オプション」が表示されます。レプリケート元では「任意のドメインコン

トローラー」を選択し、「次へ」をクリックし

ます。

8 「パス」が表示されます。


9 「準備オプション」が表示されます。


10 「オプションの確認」が表示されます。




11 「前提条件のチェック」が表示されます。チェックが完了するまで待機します。

12 チェックに問題がなければ、「すべての

前提条件のチェックに合格しました。[インストール]をクリックしてインストールを

開始してください。」というメッセージが表

示されます。「インストール」をクリックします。

13 「インストール」が表示されます。

Active Directory ドメインサービスの

構成が完了すると、サーバは自動的に

再起動します。



4.2.3 FSMO の転送 ① スキーママスタの転送

本手順は、2008DC-1 で行います。 1 Schema Admins グループに所属するメンバか、またはそれと同等の権限をもつメンバ

でログオンします。 2 「スタート」→「ファイル名を指定して実

行」をクリックします。「regsvr32 schmmgmt.dll」と入力しま


3 右のメッセージが表示されます。


4 「スタート」→「ファイル名を指定して実

行」をクリックします。「mmc」と入力します。「OK」をクリックし

ます。

5 「コンソール 1」が表示されます。「ファイ

ル」メニューから、「スナップインの追加と

削除」をクリックします。



6 「スナップインの追加と削除」が表示され

ます。「Active Directory スキーマ」を選

択し、「追加」をクリックします。

7 「選択されたスナップイン」に「Active

Directory スキーマ」が追加されたことを

確認します。「OK」をクリックします。

8 「コンソールルート」→「Active

Directory スキーマ [<サーバ名>]」を右

クリックし、「Active Directory ドメインコントローラの変更」をクリックします。

9 「ディレクトリサーバーの変更」が表示さ

れます。「変更先：」で「次のドメインコン

トローラまたは AD LDS インスタンス」

を選択します。 2012R2DC-1 を選択し、「OK」をクリック

します。

10 「OK」をクリックします。



11 「コンソールルート」→「Active Directory スキーマ [<サーバ名>]」を右

クリックし、「操作マスタ」をクリックしま

す。

12 「スキーママスタの変更」が表示されま

す。「変更」をクリックします。





15 「スキーママスタの変更」で、「閉じる」を




② ドメイン名前付け操作マスタの転送



します。


が表示されます。「Active Directory ドメインと信頼関係」を右クリックし、「Active Directory ドメインコントローラの変更」






します。


を右クリックし、「操作マスタ」をクリックし

ます。



6 「操作マスタ」が表示されます。「変更」をクリックします。






す。

③ インフラストラクチャマスタ、PDC マスタ、RID マスタの転送







ピュータ」が表示されます。「Active Directory ユーザーとコンピュータ」→「<ドメイン名>」を右クリックし、「ドメインコントローラの変更」をクリックします。





します。


ピュータ」で「Active Directory ユーザー

とコンピュータ」→「<ドメイン名>」を右ク

リックし、「操作マスタ」をクリックします。

6 「操作マスタ」が表示されます。「インフラ

ストラクチャ」タブをクリックします。「変

更」をクリックします。





ドメイン内の全ての DC が、グローバ

ルカタログであるため、右のメッセー

ジが表示されても問題ありません。


9 「操作マスタ」で、「PDC」タブをクリックし






POINT!



12 「操作マスタ」で、「RID」タブをクリックし







す。



4.2.4 Windows Server 2008 DC の降格 ① 既存 DC の降格

本手順は、2008DC-1、2008DC-2 で行います。 1 ドメイン管理者権限でログオンします。 2 2008DC-1 で、「スタート」→「ファイル名

を指定して実行」を選択します。「dcpromo」と入力します。「OK」をクリッ

クします。

3 「Active Directory ドメインサービスイ

ンストールウィザードの開始」が表示さ




5 「ドメインの削除」が表示されます。「この

サーバーはドメインの最後のドメインコントローラなので、ドメインを削除する」

のチェックが入っていないことを確認しま

す。「次へ」をクリックします。



6 「Administrator のパスワード」が表示さ

れます。パスワードを入力します。「次へ」をクリックします。

7 「概要」が表示されます。「次へ」をクリッ

クします。

8 AD のアンインストールが実行されます。


ザードの完了」が表示されます。「完了」




10 右のメッセージが表示されます。「再起

動する」をクリックし、再起動します。

11 再起動後、2008DC-1 をドメインメンバーから外し、ネットワーク上から撤去します。 12 手順 1～手順 11 と同様の手順で、2008DC-2 を降格します。

② IP アドレスの変更


DC サーバでは、ほとんどの場合 DNS サーバの役割を兼務します。DC 兼 DNS サーバをドメインメン

バサーバに降格した場合、ドメインメンバコンピュータの TCP/IP 設定によっては参照する DNS が存在

しない状況になります。このような場合、ドメインメンバコンピュータは Active Directory での認証要求が

行えなくなります。本手順では、移行前の DC で使用していた IP アドレスを、Windows Server 2012 R2 DC の IP アドレ

スとすることで、これらの問題を解決します。以下のサーバで IP アドレスの変更を行います。

表 7 IP アドレスの変更サーバ変更前の IP アドレス変更後の IP アドレス 2012R2DC-1 192.168.1.1 192.168.1.21(移行前の DC で使用していた IP ア

ドレス) 2012R2DC-2 192.168.1.2 192.168.1.22(移行前の DC で使用していた IP ア

ドレス)

DC の降格と IP アドレスの変更作業は、ドメインメンバコンピュータへの影響が少ない業務時間外に実

施することを推奨します。

DC 降格後に IP アドレスを変更する方法は、表 8 の方法が考えられます。お客様の環境や要件に合わせて変更方法を選択してください。

POINT!



表 8 IP アドレスの変更方法

IP アドレス変更方法説明 ①新規 DC の IP アドレスを変更新規 DC の IP アドレスを、移行前の DC で使用していた

IP アドレスに変更します。ドメインメンバコンピュータの

TCP/IP 設定を変更する必要がないため、大規模な環境

に最適な方法です。 ②ドメインメンバコンピュータの

TCP/IP 設定を変更ドメインメンバコンピュータの TCP/IP の設定で、DNSサーバの IPアドレスを新規DCのアドレスに変更します。

全ドメインメンバコンピュータの設定変更が必要になりま

す。静的に DNS の IP アドレスを

設定している場合ドメイン内の全ドメインメンバコンピュータの TCP/IP 設定

を手動で変更する必要があります。 DHCP サーバで DNS サーバ

の IP アドレスを配布している

場合

DHCP サーバのネットワークオプションで、DNS サーバ

の IPアドレス情報を変更します。ドメインメンバコンピュー

タでは、DHCP サーバから DNS サーバの IP アドレス情

報を再取得する必要があります。 4.2.5 ドメイン/フォレストの機能レベルの変更 ① ドメイン機能レベルの変更

本手順は、2012R2DC-1 で行います。 1 ドメイン管理者権限でログオンします。 2 「サーバーマネージャー」を起動し、


す。


示されます。「<ドメイン名> (ローカル)」を選択し、「ドメインの機能レベルの昇




4 「ドメインの機能レベルの昇格」が表示さ

れます。「利用可能なドメインの機能レベ

ルを選択してください」で、「Windows Server 2012 R2」を選択します。「OK」をクリックします。





7 再度、手順 3を実行し、ドメインの機能レ

ベルが「Windows Server 2012 R2」になっていることを確認します。「キャンセル」をクリックします。

② フォレスト機能レベルの変更

本手順は、2012R2DC-1 で行います。 1 Enterprise Admins グループに所属するメンバか、またはそれと同等の権限をもつメン

バでログオンします。 2 「サーバーマネージャー」を起動し、


す。




示されます。「<ドメイン名> (ローカル)」を選択し、「フォレストの機能レベルの昇


4 「フォレストの機能レベルの昇格」が表示

されます。「利用可能なフォレストの機能

レベルを選択してください」で、

「Windows Server 2012 R2」を選択しま






7 再度、手順 3を実行し、フォレストの機能

レベルが「Windows Server 2012 R2」になっていることを確認します。「キャンセル」をクリックします。

以上でドメイン移行作業は完了です。移行完了後は稼働確認を行ってください。



5 新規ドメイン構築&アカウント移行手順本章では、移行方式「新規ドメイン構築&アカウント移行」を選択して、Windows 2003 ドメインから Windows 2012R2 ドメインへ移行する手順を紹介します。本手順では ADMT を使用しています。ADMT は DC にインストールすることは可能ですが、Server Core イ

ンストールや RODC(Read-Only Domain Controller)として構成したサーバにはインストールすることができ

ません。

・本書では、Windows 2012 R2 ドメインへの移行手順を紹介していますが、Windows 2012 ドメイン

への移行手順も同様となります。

・2017 年 6 月、ADMT は開発が終了し、マイクロソフト社によるサポートは限定的な提供となることが

アナウンスされました。そのため、ADMT を使用した移行方法は推奨いたしません。詳細は次の情

報をご参照ください。 Windows 10/Windows Server 2016 の環境における ADMT を使用する場合の対応状況について https://blogs.technet.microsoft.com/jpntsblog/2017/06/02/windows-10windows-server-2016-%e3%81%ae%e7%92%b0%e5%a2%83%e3%81%ab%e3%81%8a%e3%81%91%e3%82%8b-admt-%e3%82%92%e4%bd%bf%e7%94%a8%e3%81%99%e3%82%8b%e5%a0%b4%e5%90%88%e3%81%ae%e5%af%be%e5%bf%9c%e7%8a%b6/

5.1 移行環境本章で紹介する移行手順は、以下の環境における移行を想定しています。

図 3 「既存ドメインのバージョンアップ」の移行環境既存ドメイン(fujitsu.local)とは別に、新規ドメイン(fujitsu2.co.jp)を別フォレストとして作成し、ユーザアカウン

ト、コンピュータアカウントを移行します。ユーザアカウントの移行時に、SID もあわせて移行することで、新

POINT!






規ドメインに移行したアカウントで、引き続き既存ドメインのリソース(ファイルサーバなど)にアクセスできます。

本書では以下のアカウントを移行対象とします。【ユーザアカウント】【コンピュータアカウント】・User-2008R2File ・2008R2File ・User- Win7 ・Win7 ・User-Win8 ・Win8 図 3 のサーバ/クライアントの設定内容を、次の表に示します（表 9、表 10）。


IP アドレス 192.168.1.11 OS、SP Windows Server 2003 R2 SP2 DNS 127.0.0.1(優先)、192.168.1.12(代替) 役割 DC(FSMO、GC)、DNS(fujitsu.local ゾーン)

② コンピュータ名 2003DC-2 IP アドレス 192.168.1.12 OS、SP Windows Server 2003 R2 SP2 DNS 127.0.0.1 (優先)、192.168.1.11(代替) 役割 DC(GC)、DNS(fujitsu.local ゾーン)

③ コンピュータ名 2012R2DC-1 IP アドレス 192.168.1.1 OS、SP Windows Server 2012 R2 DNS 127.0.0.1 (優先)、192.168.1.2(代替) 役割 DC(FSMO、GC)、DNS(fujitsu2.co.jp ゾーン)

④ コンピュータ名 2012R2DC-2 IP アドレス 192.168.1.2 OS、SP Windows Server 2012 R2 DNS 127.0.0.1 (優先)、192.168.1.1(代替) 役割 DC(GC)、DNS(fujitsu2.co.jp ゾーン)





IP アドレス 192.168.1.50 OS、SP Windows Server 2008 R2 SP1 DNS 192.168.1.11(優先)、192.168.1.12(代替) 役割ファイルサーバ

⑥ コンピュータ名 Win7 IP アドレス 192.168.1.101 OS、SP Windows 7 SP1 DNS 192.168.1.11(優先)、192.168.1.12(代替) 役割なし

⑦ コンピュータ名 Win8 IP アドレス 192.168.1.102 OS、SP Windows 8 DNS 192.168.1.11(優先)、192.168.1.12(代替) 役割なし

⑧ コンピュータ名 2012R2ADMT IP アドレス 192.168.1.150 OS、SP Windows Server 2012 R2 DNS 192.168.1.1(優先)、192.168.1.2(代替) 役割 ADMT サーバ

5.2 移行手順移行方式「新規ドメイン構築&アカウント移行」による、ドメインの移行の詳細手順を紹介します。 5.2.1 新規ドメインの構築

本手順は、2012R2DC-1 で行います。 Windows Server 2012 R2で新規にドメインを構築します。ADMT v3.2を使用した移行では、新規ドメインの

機能レベルが以下のいずれかである必要があります。

・Windows Server 2008

・Windows Server 2008 R2

・Windows Server 2012

・Windows Server 2012 R2

下位の機能レベルは移行期間中に使用するものであり、ドメインまたはフォレスト内に古いバージョンの DCを設置する必要がない場合は、機能レベルを「Windows Server 2012 R2」にすることを推奨します。 5.2.2 信頼関係の構築既存ドメインと新規ドメインの間で信頼関係を構築します。信頼関係を構築するために、既存/新規ドメインの

DNS サーバで以下のゾーン情報をもつ必要があります。・既存ドメインの DNS サーバ：新規ドメインの DNS ゾーン情報・新規ドメインの DNS サーバ：既存ドメインの DNS ゾーン情報

DNS ゾーンは「セカンダリゾーン」として作成し、ゾーン転送を行います。信頼関係は一方向だけでも移行は可能ですが、移行時の手順が煩雑になるため、本書では双方向の信頼

関係を構築する手順を紹介します。



① DNS サーバの指定

TCP/IPの設定で、既存ドメインのDC では新規ドメインのDNSサーバを、新規ドメインのDC では既存

ドメインの DNS サーバを指定します。

本手順は、2003DC-1 で行います。 1 「インターネットプロトコル (TCP/IP)の

プロパティ」を表示します。「代替 DNS サーバー」に、新規ドメインの DNS サー

バの IP アドレスを入力します。

本手順は、2012R2DC-1 で行います。 1 「インターネットプロトコルバージョン 4

(TCP/IPv4)のプロパティ」を表示します。

「代替 DNS サーバー」に、既存ドメイン

の DNS サーバの IP アドレスを入力しま

す。



② 既存ドメインのゾーンの転送の許可設定既存ドメインの DNS サーバでゾーン転送の許可の設定を行います。

本手順は、2003DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2 ローカル管理者権限でサーバにログオ

ンします。「スタート」→「管理ツール」→「DNS」をク


3 「dnsmgmt」が表示されます。左ペイン

の「DNS」-「<DNS サーバ名>」-「前方参

照ゾーン」-「<既存ドメインのゾーン名>」を右クリックし、「プロパティ」をクリックし

ます。

4 「<既存ドメインのゾーン名> のプロパ

ティ」が表示されます。「ゾーンの転送」タ

ブを選択します。「ゾーン転送を許可す

るサーバー」にチェックを入れます。「次

のサーバーのみ」を選択します。「IPアドレス」に新規ドメインのDNSサー

バの IP アドレスを入力し、「追加」をク

リックします。「IP アドレス」の下のテキストボックスに

入力した IP アドレスが表示されたら


③ 新規ドメインのゾーンの転送の許可設定

新規ドメインの DNS サーバでゾーン転送の許可の設定を行います。

本手順は、2012R2DC-1 で行います。



1 ドメイン管理者権限でサーバにログオンします。 2 「サーバーマネージャー」を起動し、

「ツール」をクリックします。

「DNS」をクリックします。

3 「DNS マネージャー」が表示されます。

左ペインの「DNS」-「<DNS サーバ名>」-「前方参照ゾーン」-「<新規ドメインの

ゾーン名>」を右クリックし、「プロパティ」


4 「<新規ドメインのゾーン名> のプロパ



るサーバー」にチェックを入れます。「次

のサーバーのみ」を選択します。「編集」




5 「ゾーン転送を許可する」が表示されま

す。「<ここをクリックして IP アドレスま

たは DNS 名を追加してください>」に既

存ドメインの DNS サーバの IP アドレス

を入力します。「OK」をクリックします。 ※IPアドレス入力後に、一度別の場所を

ポイントしてください。入力した IP アドレ

スの検証が行われ、「OK」がクリック可

能になります。この時点では、検証結果

は NG となりますが、問題ありません。

6 「OK」をクリックします。

④ 既存ドメインの DNS サーバにセカンダリゾーンを作成

既存ドメインの DNS サーバで新規ドメインのセカンダリゾーンを作成します。

本手順は、2003DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。



2 「スタート」→「管理ツール」→「DNS」をク


3 「dnsmgr」が表示されます。左ペインの

「DNS」-「<DNS サーバ名>」-「前方参照

ゾーン」を右クリックし、「新しいゾーン」を


4 「新しいゾーンウィザードの開始」が表

示されます。「次へ」をクリックします。

5 「ゾーンの種類」が表示されます。「セカ

ンダリゾーン」を選択します。「次へ」を




6 「ゾーン名」が表示されます。「ゾーン名」

に新規ドメインのゾーン名を入力しま


7 「マスタ DNS サーバー」が表示されま

す。「IP アドレス」に新規ドメインの DNSサーバの IP アドレスを入力します。「次


8 「新しいゾーンウィザードの完了」が表

示されます。「完了」をクリックします。

9 「dnsmgr」の「DNS」-「<DNS サーバ名

>」-「前方参照ゾーン」に新規ドメインの

ゾーン(セカンダリゾーン)が作成され、

ゾーン情報が転送されていることを確認

します。 ※ゾーン情報が転送されるまで、数分時

間がかかることがあります。

⑤ 新規ドメインの DNS サーバにセカンダリゾーンを作成

新規ドメインの DNS サーバで既存ドメインのセカンダリゾーンを作成します。

本手順は、2012R2DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。



2 「サーバーマネージャー」を起動し、

「ツール」をクリックします。「DNS」をクリックします。


左ペインの「DNS」-「<DNS サーバ名>」-「前方参照ゾーン」を右クリックし、「新し

いゾーン」をクリックします。

4 「新しいゾーンウィザードの開始」が表


5 「ゾーンの種類」が表示されます。「セカ

ンダリゾーン」を選択します。「次へ」を




6 「ゾーン名」が表示されます。「ゾーン名」

に既存ドメインのゾーン名を入力しま


7 「マスター DNS サーバー」が表示され

ます。「 IP アドレス」に既存ドメインの

DNSサーバの IPアドレスを入力します。

「追加」をクリックします。「IP アドレス」の

下のテキストボックスに入力した IP アド

レスが表示されます。「次へ」をクリックし

ます。

8 「新しいゾーンウィザードの完了」が表

示されます。「完了」をクリックします。

9 「DNS マネージャー」の「DNS」-「<DNS

サーバ名>」-「前方参照ゾーン」に既存ド

メインのゾーン(セカンダリゾーン)が作成

され、ゾーン情報が転送されていること

を確認します。 ※ゾーン情報が転送されるまで、数分時

間がかかることがあります。



⑥ 信頼関係の構築

既存ドメインと新規ドメインの間に「外部の信頼」を双方向に構築します。

本手順は、2012R2DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2 「サーバーマネージャー」を起動し、

「ツール」をクリックします。「Active Directory ドメインと信頼関係」



が表示されます。左ペインの「Active Directory ドメインと信頼関係」-「<新規

ドメイン名>」を右クリックし、「プロパティ」


4 「<新規ドメイン名>のプロパティ」が表示

されます。「信頼」タブを選択します。「新

しい信頼」をクリックします。



5 「新しい信頼ウィザードの開始」が表示さ


6 「信頼の名前」が表示されます。「名前」

に既存ドメイン名を入力します。「次へ」


7 「信頼の種類」が表示されます。「外部の

信頼」を選択します。「次へ」をクリックし

ます。

8 「信頼の方向」が表示されます。「双方

向」を選択します。「次へ」をクリックしま

す。



9 「信頼の方向」が表示されます。「このド

メインと指定されたドメインの両方」を選

択します。「次へ」をクリックします。

10 「ユーザー名とパスワード」が表示されま

す。既存ドメインのドメイン管理者アカウ

ントとパスワードを入力します。「次へ」を


11 「出力方向の信頼認証レベル -- ロー

カルドメイン」が表示されます。「ドメイン

全体の認証」を選択します。「次へ」をク


12 「出力方向の信頼認証レベル – 指定さ

れたドメイン」が表示されます。「ドメイン

全体の認証」を選択します。「次へ」をク




13 「信頼の選択の完了」が表示されます。


14 「信頼の作成完了」が表示されます。「次


15 「出力方向の信頼の確認」が表示されま

す。「確認する」を選択します。「次へ」を


16 「入力方向の信頼の確認」が表示されま

す。「確認する」を選択します。「次へ」を




17 「新しい信頼ウィザードの完了」が表示さ

れます。「完了」をクリックします。

18 「Active Directory ドメインサービス」が

表示されます。「OK」をクリックします。

19 「<新規ドメイン名>のプロパティ」で「OK」




5.2.3 ADMT サーバの構築 ADMTは新規ドメインのメンバでWindows Server 2012 R2を実行するサーバにインストールします。DCに

ADMTをインストールすることも可能ですが、本書ではADMT用のメンバサーバを新規に構築する手順を紹

介します。

本手順は、2012R2ADMT で行います。 ① Windows Server 2012 R2 インストールと初期設定

■Windows Server 2012 R2 インストール Windows Server 2012 R2 をインストールします。ADMT は Server Core インストールや

RODC(Read-Only Domain Controller)として構成したサーバにはインストールできません。

■ネットワーク設定 TCP/IP の設定で、既存ドメインと新規ドメインの DNS サーバを設定します。

1 「インターネットプロトコルバージョン 4 (TCP/IPv4)のプロパティ」では、「優先 DNS サーバー」に新規ドメイン

の DNS サーバの IP アドレスを入力しま

す。「代替 DNS サーバー」には既存ドメイ

ンの DNS サーバの IP アドレスを入力し

ます。



■新規ドメインへの参加 1 新規ドメインに参加します。

② SQL Server のインストール

ADMT v3.2 を使用する場合は、基になるデータベースストアとして、SQL Server のインスタンスを事

前に構成しておく必要があります。本書では SQL Server 2012 Express を使用する手順を紹介します。 SQL Server 2012 Express は以下 URL よりダウンロードします。

Microsoft SQL Server 2012 Service Pack 1 (SP1) Express http://www.microsoft.com/ja-JP/download/details.aspx?id=35579

■SQL Server 2012 Express のインストールモジュール Windows Server 2012 R2 にインストールするため、64bit OS 用のインストールモジュール

(SQLEXPR_x64_JPN.exe)をダウンロードします。

1 SQL Server Express のインストールモ

ジュール(SQLEXPR_x64_JPN.exe)を実行します。

http://www.microsoft.com/ja-JP/download/details.aspx?id=35579



■SQL Server のセットアップ SQL Server セットアップでは、セットアップウィザードの指示に従ってインストールしますが、「インスタ

ンスの構成」、「データベースエンジンの構成」では、以下の設定を行います。 1 SQL Server のセットアップの中で「イン

スタンスの構成」が表示されます。「名前付きのインスタンス」を選択し、 SQL Server のインスタンス名(本書では

既定の「SQLEXPRESS」 )を入力しま

す。

2 SQL Server のセットアップの中で「デー

タベースエンジンの構成」が表示されま

す。「認証モード」には「Windows 認証モー

ド」を選択します。「 SQL Server 管理者の指定」に、

ADMT サーバのローカル管理者グルー

プ(2012R2ADMT¥Administrators)を追

加します。 ※”2012R2ADMT¥Administrators”を追

加すると、”BUILTIN¥Administrators”として登録されます。

BUILTIN¥Administrators を SQL Server 管理者として追加しない場合、

移行用アカウント(MigUser)で ADMTを起動できません。



③ ADMT のインストール本手順を実施する前に、「Active Directory 移行ツール v3.2」をダウンロードし ADMT サーバにコピー

します。「Active Directory 移行ツール v3.2」は以下 URL よりダウンロードします。

Windows Server Active Directory Migration Tool(ADMT) https://www.microsoft.com/ja-jp/download/details.aspx?id=56570

1 ローカル管理者権限でサーバにログオンします。 2 Active Directory 移行ツールのインス

トールモジュール(admtsetup32.exe)を実行します。

3 「開いているファイル – セキュリティの

警告」が表示されます。「実行」をクリック

します。

4 「Active Directory 移行ツールのインス

トールの開始」が表示されます。「次へ」


https://www.microsoft.com/ja-jp/download/details.aspx?id=56570



5 「使用許諾契約書」が表示されます。「同

意する」を選択します。「次へ」をクリック

します。

6 「カスタマーエクスペリエンス向上プロ

グラム」が表示されます。「今回はプログ

ラムに参加しません」を選択します。「次


7 「データベースの選択」が表示されます。

データベースには ”② SQL Serverのイ

ンストール” で作成した SQL Server イ

ンスタンスの名前 (本書では既定の

「.¥SQLEXPRESS」)を入力します。データベースは「.¥<インスタンス名>」または「<サーバ名>¥<インスタンス名>」と指定できます。「次へ」をクリックします。

8 「コンポーネントを構成しています」が表

示されます。処理が完了するまで待機し

ます。



9 「データベースのインポート」が表示され

ます。「いいえ、既存のデータベースから

データをインポートしません(既定)」を選

択します。「次へ」をクリックします。

10 「データベースのインポートの進行状況」

が表示されます。処理が完了するまで

待機します。

11 「Active Directory 移行ツールバージョ

ン 3.2 は正常にインストールされまし

た。」が表示されます。「完了」をクリック

します。



5.2.4 移行用アカウントの作成 ADMT を使用して移行を行うには、ドメインやローカルマシンで多くの権限を必要とします。移行をスムーズ

に行うために、移行専用のアカウントを作成します。本書では、既存ドメインに以下の権限をもつ移行用ユーザアカウント「MigUser」を作成します。・既存ドメイン：Domain Admins グループ・新規ドメイン：Administrators グループ・ADMT サーバ：Administrators グループ

移行に必要な権限の詳細は以下 URL を参照してください。・「Establishing Migration Accounts for Your Migration」 https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc974398(v=ws.10)

① 移行用ユーザアカウント作成と既存ドメインでの権限設定




3 「Active Directory ユーザーとコン

ピュータ」が表示されます。左ペインの

「Active Directory ユーザーとコン

ピュータ」-「<既存ドメイン名>」-「Users」を右クリックし、「新規作成」-「ユーザー」


https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc974398(v=ws.10)




4 「新しいオブジェクト –ユーザー」が表示

されます。移行用アカウント(本書では

「MigUser」)の情報を入力します。「次


5 移行用アカウントの「パスワード」を入力

します。「次へ」をクリックします。

6 「完了」をクリックします。

7 「Active Directory ユーザーとコン

ピュータ」の左ペインの「Active Directory ユーザーとコンピュータ」-「<既存ドメイン名>」-「Users」をクリックしま

す。右ペインの「Domain Admins」をダ

ブルクリックします。



8 「Domain Admins のプロパティ」が表示

されます。「メンバ」タブを選択します。

「追加」をクリックします。

9 「ユーザー、連絡先、またはコンピュー

タの選択」が表示されます。「選択するオ

ブジェクト名を入力してください」に移行

用アカウント(MigUser)の名前を入力し

ます。「OK」をクリックします。

10 「Domain Admins のプロパティ」で「OK」




② 新規ドメインでの権限設定


「ツール」をクリックします。「Active Directory ユーザーとコンピューター」を



ピューター」が表示されます。左ペインの

「 Active Directory ユーザーとコン

ピューター」 - 「<新規ドメイン名> 」 -「Builtin」をクリックします。右ペインで

「Administrators」をダブルクリックしま

す。

4 「Administrators のプロパティ」が表示さ

れます。「メンバー」タブを選択します。

「追加」をクリックします。



5 「ユーザー、連絡先、コンピューター、

サービスアカウントまたはグループの選択」が表示されます。「場所」をク


6 「場所」が表示されます。「場所」で既存

ドメイン名をクリックします。「OK」をク


7 「ユーザー、コンピューター、サービスア

カウントまたはグループの選択」で移

行用アカウント(MigUser)を入力します。


8 「Administrators のプロパティ」で「OK」




③ ADMT サーバでの権限設定

本手順は、2012R2ADMT で行います。 1 ドメイン管理者権限でサーバにログオンします。 2 「サーバーマネージャー」を起動し、

「ツール」をクリックします。「コンピュー

ターの管理」をクリックします。

3 「コンピューターの管理」が表示されま

す。左ペインの「コンピューターの管理

(ローカル)」-「システムツール」-「ローカ

ルユーザーとグループ」-「グループ」ク

リックします。右ペインで

「Administrators」をダブルクリックしま

す。


れます。「追加」をクリックします。



5 「ユーザー、コンピューター、サービスアカウントまたはグループの選択」が表

示されます。「場所」をクリックします。

6 「場所」が表示されます。「場所」で既存

ドメイン名をクリックします。「OK」をク


7 「ユーザー、コンピューター、サービスア

カウントまたはグループの選択」で移

行用アカウント(MigUser)を入力します。






5.2.5 ADMT 使用前の初期設定 ADMT を使用してアカウント情報を移行する前に、以下の初期設定を行う必要があります。・SID の履歴監査を行うローカルグループの作成・アカウント管理の監査ポリシーの有効化

① SID の履歴監査を行うローカルグループの作成







ピュータ」-「<既存ドメイン名>」-「Users」を右クリックし、「新規作成」-「グループ」


4 「新しいオブジェクト – グループ」が表

示されます。グループ名に「<既存ドメイ

ンのNetBIOS名>$$$」を入力します。グ

ループの範囲で「ドメインローカル」を選

択します。グループの種類で「セキュリ

ティ」を選択します。「OK」をクリックしま

す。



② アカウント管理の監査ポリシーの有効化(既存ドメイン) 本書では既定のポリシー(Default Domain Controllers Policy)を直接編集する手順で記載しています。既定のポリシーオブジェクトには手を加えない管理ポリシーの場合は、ドメインコントローラコンテナにリ

ンクされた適切なポリシーオブジェクトに読み換えてください。







ピュータ」-「<既存ドメイン名>」-「Domain Controllers」を右クリックし、「プロパ

ティ」をクリックします。

4 「Domain Controllers のプロハティ」が

表示されます。「グループポリシー」タブ

を選択します。「Default Domain Controllers Policy」をクリックし、「編集」をクリックします。



5 「グループポリシーオブジェクトエディ

タ」が表示されます。左ペインの「Default Domain Controllers Policy 」 - 「コン

ピュータの構成」-「Windows の設定」-「セキュリティの設定」-「ローカルポリ

シー」-「監査ポリシー」をクリックします。

右ペインの「アカウント管理の監査」をダ

ブルクリックします。

6 「アカウント管理の監査のプロパティ」が

表示されます。「セキュリティポリシーの

設定」タブを選択します。「これらのポリシーの設定を定義する」に

チェックを入れます。「成功」、「失敗」に

チェックを入れます。「OK」をクリックしま

す。

7 グループポリシーの変更を反映させるた

め、コマンドプロンプトで以下を実行しま

す。

gpupdate /force

実行すると、画像のメッセージが表示さ

れます。

既存ドメインが Windows 2008 以降のドメインの場合、「ディレクトリサービスのアクセスの監査」

のポリシーを有効にする必要があります。「③ アカウント管理の監査ポリシーの有効化(新規ドメイ

ン)」の手順 6、手順 7 を参考に「ディレクトリサービスのアクセスの監査」のポリシーを有効化し、

「成功」にチェックを入れます。

POINT!



③ アカウント管理の監査ポリシーの有効化(新規ドメイン)


「ツール」をクリックします。「グループポリシーの管理」をクリックします。

3 「グループポリシーの管理」が表示され

ます。左ペインの「グループポリシーの

管理」-「フォレスト: <新規フォレスト名>」-「ドメイン」-「<ドメイン名>」-「グループポリシーオブジェクト」 - 「 Default Domain Controllers Policy」を右クリッ

クし、「編集」をクリックします。

4 「グループポリシー管理エディター」が

表示されます。左ペインの「コンピュー

ターの構成」-「ポリシー」-「Windows の設定」-「セキュリティの設定」-「ローカルポリシー」-「監査ポリシー」をクリックしま

す。右ペインの「アカウント管理の監査」

をダブルクリックします。





設定」タブを選択します。「これらのポリシーの設定を定義する」に

チェックを入れます。「成功」と「失敗」に

チェックを入れます。「OK」をクリックしま

す。

6 右ペインの「ディレクトリサービスのアク

セスの監査」をダブルクリックします。

7 「ディレクトリサービスのアクセスの監

査のプロパティ」が表示されます。「セ

キュリティポリシーの設定」タブを選択し

ます。「これらのポリシーの設定を定義する」に

チェックを入れます。「成功」にチェックを

入れます。「OK」をクリックします。





す。

gpupdate /force


れます。



5.2.6 暗号化ツールのインストールと設定 ADMT では、PES(Password Export Server)サービスを使用することでパスワードの移行が可能になりま

す。 PES は以下の URL からダウンロードします。

Password Export Server version 3.1 x64 : https://www.microsoft.com/en-us/download/details.aspx?id=1838 x86 : https://www.microsoft.com/en-us/download/details.aspx?id=10370

※ 以下では日本語版 PES を用いて説明しますが、2018 年 2 月時点で日本語版の PES は公開が

終了しています。

① PES 暗号化キーの作成

本手順は、2012R2ADMT で行います。 1 ローカル管理者権限でサーバにログオンします。 2 スタートボタンを右クリックし、「コマンド

プロンプト(管理者)」をクリックします。

3 「管理者：コマンドプロンプト」が表示さ

れます。以下のコマンドを実行します。

admt key /option:create /sourcedomain:<既存ドメイン名> /keyfile:C:\share\key.pes /keypassword:<パスワード>

本書では、事前に作成した

「C:¥share」フォルダに「key.pes」というファイル名でパスワードエクス

ポートサーバー暗号化キーを出力

します。実行すると、画像のメッセージが表示さ

れます。

POINT!

https://www.microsoft.com/en-us/download/details.aspx?id=1838

https://www.microsoft.com/en-us/download/details.aspx?id=10370



② PES サービスの構成事前に「① PES暗号化キーの作成」で作成したPES暗号化キーを2003DC-1サーバの任意のローカ

ルフォルダ(本書では C:¥share)にコピーします。

本手順は、2003DC-1 で行います。 1 移行用アカウントでサーバにログオンします。 2 PES のインストールモジュール(ja-JP

pwdmig_x86.msi)を実行します。

3 「開いているファイル – セキュリティの

警告」が表示されます。「実行」をクリック

します。

4 「ADMT パスワード移行 DLL インス

トールウィザードの開始」が表示されま




5 「使用許諾契約書」が表示されます。「使

用許諾契約書に同意します」を選択しま


6 「暗号化ファイル」が表示されます。「参

照」をクリックします。

7 「ファイルを開く」が表示されます。「①

PES 暗号化キーの作成」で作成したパ

スワード暗号化ファイル(pes ファイル)を選択します。「開く」をクリックします。

8 「暗号化ファイル」で「次へ」をクリックし

ます。



9 「暗号化キーのパスワードを指定してく

ださい」が表示されます。「① PES 暗号

化キーの作成手順 3」で設定したパス

ワードを入力します。「次へ」をクリックし

ます。

10 「インストールの開始」が表示されます。


11 「システムの更新」が表示されます。

12 「パスワードエクスポートサーバー

サービスはローカルシステムアカウン

トまたは指定されたユーザーアカウント

で実行できます。」が表示されます。「ロ

グオン」を選択し、移行用アカウントとパ

スワードを入力します。「OK」をクリックし

ます。

13 「アカウント’(移行用アカウント)’はサービ

スとしてログオンする権利を付与されま

した。」が表示されます。「OK」をクリック

します。



14 「ADMT パスワード移行 DLL のインス

トールの完了」が表示されます。「完了」


15 「インストーラ情報」が表示されます。「は

い」をクリックします。サーバが再起動し

ます。

PES サービスは既定で停止しています。ADMT を使用してパスワードを移行する際にPES サービス

を手動で起動してください。また、パスワード移行後は PES サービスを手動で停止してください。

1 「スタート」→「管理ツール」→「サービス」

をクリックして、「サービス」を表示しま

す。

「パスワードエクスポートサーバー

サービス」を選択して、「サービスの開

始」をクリックします。

POINT!



5.2.7 アカウントの移行 ADMT のウィザードを使用して既存ドメインのアカウントを新規ドメインへ移行します。ADMT では以下のドメ

インオブジェクトの移行が可能です。・ユーザアカウント・コンピュータアカウント・グループアカウント

※本書では「ユーザ」「コンピュータ」の移行手順を紹介します。

・「連絡先」、「プリンタ」、「共有フォルダー」などのドメインオブジェクトはADMT を使用して移行できませ

ん。新規ドメインにドメインオブジェクトを新規作成する必要があります。・「OU」はADMTを使用して移行できません。既存ドメインと新規ドメインを同じOU構成にする場合は、

既存ドメインと同じ構成で新規ドメインに OU を作成し、ADMT の移行ウィザードを使用して OU 内の

ドメインオブジェクトを適宜移行します。・「グループポリシー」はADMT を使用して移行できません。グループポリシーは、ドメイン移行を機に見

直しを兼ねて新規作成するケースが多くあります。・グループポリシーの移行を行う場合は、「グループポリシー管理エディター」を使用して既存ドメイン

のグループポリシーを新規ドメインにコピーします。詳細な手順は以下 URL 参照してください。「Back Up, Restore, Import, and Copy Group Policy Objects」 https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc754760(v=ws.10)

表 11 ADMT のウィザードで変換可能な項目変換項目説明

ファイルとフォルダー移行対象サーバ/コンピュータの左記オブジェクトへのアクセス権

に、新規ドメインのアカウントを含めます。プリンターレジストリ共有ローカルグループ移行対象サーバ/コンピュータのローカルグループメンバに、新規ド

メインのアカウントを含めます。ユーザープロファイル既存ドメインのユーザアカウントで使用していたユーザプロファイル

を新規のドメインユーザアカウントで継続して使用できるよう変換し

ます。ユーザー権利既存ドメインのサーバ/コンピュータに設定されているユーザ権利を

新規ドメインのものに変換します。

POINT!





① ユーザアカウントの移行ユーザアカウントを SID の履歴を含めて移行します。SID の履歴を含めて移行することで、移行前にアクセ

ス可能だった既存ドメインのリソースへ引き続きアクセスできます。本書ではユーザアカウント

「User-2008R2File」「User-WinVista」「User-WinXP」の移行を行います。

・ユーザがグループに所属している場合は、事前に ADMT の「グループアカウントの移行ウィザード」を

使用してグループアカウントを新規ドメインに移行します。ユーザアカウント移行時にユーザアカウン

トが所属するグループアカウントのメンバーシップを自動更新することで、新規ドメインでもユーザアカ

ウントの所属グループが保持されます。・ユーザアカウント移行時にユーザアカウントのパスワードもあわせて移行する場合は、既存ドメインの

DC(2003DC-1)で「パスワードエクスポートサーバーサービス」を手動で起動する必要がありま

す。

本手順は、2012R2ADMT で行います。 1 既存ドメインで作成した移行用アカウントで、新規ドメインにログオンします。 2 「サーバーマネージャー」を起動し、

「ツール」をクリックします。「Active Directory 移行ツール」をクリックしま

す。

3 「Active Directory 移行ツール」が表示

されます。左ペインの「Active Directory 移行ツール」を右クリックし、「ユーザーアカウントの移行ウィザード」をクリックし

ます。

POINT!



4 「ユーザーアカントの移行ウィザードの

開始」が表示されます。「次へ」をクリック

します。

5 「ドメインの選択」が表示されます。「移

行元」では既存ドメインのドメイン名を入

力し、既存ドメインの DC をプルダウンメ

ニューから選択します。「移行先」では新規ドメインのドメイン名

を入力し、新規ドメインの DC をプルダウ

ンメニューから選択します。「次へ」をク


6 「ユーザーの選択オプション」が表示され

ます。「ユーザーをドメインから選択」を

選択します。「次へ」をクリックします。

7 「ユーザーの選択」が表示されます。「追

加」をクリックします。



8 「ユーザーの選択」が表示されます。移

行対象のユーザアカウントを入力しま


9 「ユーザーの選択」で「次へ」をクリックし

ます。

10 「組織単位の選択」が表示されます。「参


11 「コンテナの参照」が表示されます。ユー

ザアカウントの移行先を選択します。


本書では「Users」コンテナに移行し

ます。

POINT!



12 「組織単位の選択」で「次へ」をクリックし

ます。

13 「パスワードオプション」が表示されま

す。移行後のパスワードの指定を行いま


本書では、移行先のユーザパスワー

ドを変更しない設定を行います。パ

スワードを移行する場合は、PESサービスが起動している必要があり

ます。 14 「アカウントの切り替えオプション」が表

示されます。ユーザアカウントの移行

ウィザード実行後の、既存/新規ドメイン

のアカウントの状態を選択します。「ユー

ザー SID を新規ドメインへ移行」に

チェックを入れます。「次へ」をクリックし

ます。

本書では既存ドメインのユーザアカ

ウントを無効に、新規ドメインのユー

ザアカウントを有効にする設定を行

います。また、ユーザアカウントの

SID も移行します。

15 「ユーザーアカウント」が表示されます。

移行用アカウントのユーザー名、パス

ワード、ドメイン名を入力します。「次へ」


POINT!

POINT!



16 「ユーザーオプション」が表示されます。

移行するオプションにチェックを入れま


本書では「ユーザー権利を更新」に

チェックを入れます。

17 「オブジェクトのプロパティの除外」が表


18 「競合の管理」が表示されます。「移行先

ドメインで競合が検出された場合、移行

元オブジェクトを移行しない」を選択しま


19 「ユーザーアカウントの移行ウィザード

の完了」が表示されます。「完了」をク


POINT!



20 「移行の進行状況」が表示されます。

ユーザアカウントの移行が完了すると、

「状態」のステータスが「完了」になりま

す。「エラー」で、エラー数が”0”であるこ

とを確認します。「閉じる」をクリックしま

す。

ファイルサーバ(2008R2File)で使用しているユーザアカウント「User-2008R2File」は移行後も既存ドメ

インで使用するため、上記の手順 15 の「移行元アカウントの無効化」のチェックを外して移行します。

ユーザアカウントを新規ドメインに移行すると、初回のログオンでパスワードの変更が求めらます。

ログオン画面の指示に従い、パスワードを変更してください。 ② コンピュータアカウントの移行

本書ではコンピュータアカウント「2008R2File」「Win7」「Win8」の移行を行います。 ■移行対象コンピュータのファイアウォールの設定変更

本手順は、Win7 で行います。 1 ローカル管理者権限で、クライアントにログオンします。 2 「スタート」→「コントロールパネル」をク


POINT!



3 「コントロールパネル」が表示されます。

「システムとセキュリティ」をダブルクリッ

クします。

4 「システムとセキュリティ」が表示されま

す。「Windows ファイアウォール」の

「Windows ファイアウォールによるプロ

グラムの許可」をダブルクリックします。

5 「許可されたプログラム」が表示されま

す。「設定の変更」をクリックします。

6 「許可されたプログラムおよび機能」から

「ファイルとプリンタの共有」の「ドメイン」

にチェックを入れます。「OK」をクリックし

ます。



本手順は、Win8 で行います。 1 ローカル管理者権限でクライアントにログオンします。 2 画面左下隅にカーソルを合わせて「スター

ト」ボタンが表示されたら右クリックし、「コ

ントロールパネル」をクリックします。

3 「コントロールパネル」が表示されます。

「システムとセキュリティ」をダブルクリッ

クします。

4 「システムとセキュリティ」が表示されま

す。「Windows ファイアウォール」の

「Windows ファイアウォールによるアプリ

ケーションの許可」をダブルクリックしま

す。



5 「許可されたアプリ」が表示されます。

「設定の変更」をクリックします。

6 「許可されたプログラムおよび機能」から

「ファイルとプリンタの共有」の「ドメイン」

にチェックを入れます。「OK」をクリックし

ます。

■移行対象コンピュータの DNS の変更

本手順は、Win7、Win8 で行います。 1 「インターネットプロトコル (TCP/IP)の

プロパティ」を表示します。「代替 DNS

サーバー」に、新規ドメインの DNS サー

バの IP アドレスを入力します。

■コンピュータアカウントの移行コンピュータアカウントの移行を正常に終了するためには、移行対象のコンピュータがログオフした状

態で起動している必要があります。コンピュータアカウント移行完了後、ADMT のエージェントにより

移行対象のコンピュータは自動で再起動されます。

POINT!



本手順は、2012R2ADMT で行います。 1 既存ドメインで作成した移行用アカウントで、新規ドメインにログオンします。 2 「スタート」→「管理ツール」→「Active

Directory 移行ツール」をクリックしま

す。

3 「Active Directory 移行ツール」が表示

されます。左ペインの「Active Directory 移行ツール」を右クリックし、「コンピュー

ターの移行ウィザード」をクリックします。

4 「コンピューターの移行ウィザードの開

始」が表示されます。「次へ」をクリックし

ます。

5 「ドメインの選択」が表示されます。「移

行元」では既存ドメインのドメイン名を入

力し、既存ドメインの DC をプルダウンメ

ニューから選択します。「移行先」では新規ドメインのドメイン名

を入力し、新規ドメインの DC をプルダウ

ンメニューから選択します。「次へ」をク




6 「コンピューターの選択オプション」が表

示されます。「コンピューターをドメインか

ら選択」を選択します。「次へ」をクリック

します。

7 「コンピューターの選択」が表示されま

す。「追加」をクリックします。

8 「コンピューターの選択」が表示されま

す。移行対象のコンピュータアカウントを

入力します。「OK」をクリックします。

9 「コンピューターの選択」で「次へ」をク




10 「組織単位の選択」が表示されます。「参


11 「コンテナの参照」が表示されます。コン

ピュータアカウントの移行先を選択しま


12 「組織単位の選択」で「次へ」をクリックし

ます。

13 「オブジェクトの変換」が表示されます。

コンピュータアカウント移行時に変換を

行う項目にチェックを入れます。「次へ」


本書では、「ローカルグループ」、

「ユーザー権利」にチェックを入れま

す。

POINT!



14 「セキュリティの変換オプション」が表示

されます。「追加」を選択します。「次へ」


15 「コンピューターオプション」が表示され

ます。「ウィザードが完了してからコン

ピューターを再起動するまでの待ち時

間」を入力します。「次へ」をクリックしま

す。

本書ではウィザード完了後すぐ再起

動するように”0”を入力しています。

16 「オブジェクトのプロパティの除外」が表


17 「競合の管理」が表示されます。「移行先

ドメインで競合が検出された場合、移行

元オブジェクトを移行しない」を選択しま


POINT!



18 「コンピューターの移行ウィザードの完

了」が表示されます。「完了」をクリックし

ます。

19 「移行の進行状況」が表示されます。コ

ンピュータアカウントの移行が完了する

と、「状態」のステータスが「完了」になり

ます。「エラー」で、エラー数が”0”である

ことを確認します。「閉じる」をクリックし

ます。

20 「Active Directory 移行ツールのエー

ジェントダイアログ」が表示されます。

「エージェントの動作」で「事前確認と

エージェントの操作を実行する」を選択し

ます。「開始」をクリックします。

移行対象コンピュータはエージェント

の操作完了後に自動で再起動され

ます。

POINT!



21 「Active Directory 移行ツールのエー

ジェントダイアログ」の「事前確認」がす

べて合格、「エージェントの操作」がすべ

て成功、「事後確認」がすべて合格する

ことを確認します。「閉じる」をクリックし

ます。

既存ドメインでファイルサーバにアクセスする必要がなくなった時点で Windows Server 2008 R2 の

ファイルサーバ(2008R2File)のコンピュータアカウントを新規ドメインへ移行します。



参考:SID の履歴を使用したリソースへのアクセス Windows Server 2003 SP2 以降のドメインコントローラー間でフォレストの信頼関係を構築した場合、SIDフィルターが有効になります。SID の履歴を移行していても、SID フィルターが有効になっていると SID の履

歴を使用した既存リソースへのアクセスが失敗します。 SIDの履歴を使用して新規ドメインから既存ドメインのリソースにアクセスできるようにするには、以下の手順

を実施して SID フィルターを無効にしてください。 ■既存ドメインの管理者グループに新規ドメインの管理者グループを追加 SID フィルターを無効にするため、既存ドメインの管理者グループに新規ドメインの管理者を追加します。

本手順は、2003R2DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2 「スタート」→「管理ツール」→「Active




ピュータ」の左ペインの「 Active Directory ユーザーとコンピュータ」-「<既存ドメイン名>」-「Builtin」をクリックしま

す。右ペインの「Administrators」をダブ

ルクリックします。


れます。「メンバ」タブを選択します。「追

加」をクリックします。



5 「ユーザー、連絡先、コンピュータまた

はグループの選択」が表示されます。

「場所」をクリックします。

6 「場所」が表示されます。「場所」で新規ド

メイン名をクリックします。「OK」をクリッ

クします。

7 「ユーザー、コンピュータまたはグルー

プの選択」で「Domain Admins」を入力

します。「OK」をクリックします。





■SID フィルターを無効に設定します。 Windows Server 2012 R2 の日本語版では下記の Netdom コマンドが正しく動作しないことがあります。 (コマンドの内容が正常に設定できたよう見えて、設定が正しく反映されていません。) そのため、コマンドプロンプトを英語のコードページに変更して Netdom コマンドを実行します。

本手順は、2012R2DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2 コマンドプロンプトを起動して以下のコマ

ンドを実行します。

Chcp 437

3 コマンドプロンプトが英語のコードページ

に変更されます。以下のコマンドを実行

します。

Netdom trust <既存ドメイン名> /domain:<新規ドメイン名> /quarantine:No /userD:<新規ドメイ

ンの管理者アカウント> /passwordD:<新規ドメインの管理

者アカウントのパスワード>

「SID filtering is not enabled for this trust.」と表示されれば、正しく設定が反

映されています。 ※本書の環境では以下のコマンドを実

行します。 Netdom trust fujitsu.local /domain:fujitsu2.co.jp /quarantine:No /userD:fujitsu¥Administrator /passwordD:<fujitsu¥administrator の

パスワード>



5.2.8 既存ドメインの破棄既存ドメインから新規ドメインへのすべての移行が完了した時点で、既存ドメインを破棄します。 ① 信頼関係の破棄

既存ドメインと新規ドメインの信頼関係を破棄します。


「ツール」をクリックします。「Active Directory ドメインと信頼関係」をクリック

します。


が表示されます。左ペインの「Active Directory ドメインと信頼関係」-「<新規

ドメイン名>」を右クリックし、「プロパティ」


4 「<新規ドメイン名>のプロパティ」が表示

されます。「信頼」タブを選択します。「こ

のドメインに信頼されるドメイン (出力方

向の信頼)」から既存ドメインを選択しま

す。「削除」をクリックします。




表示されます。「ローカルドメインと他方

のドメインの両方から信頼を削除する」

を選択します。既存ドメインの管理者ア

カウントとパスワードを入力します。


6 「<既存ドメイン名> ドメインとの出力方

向の信頼を削除しますか?」が表示され

ます。「はい」をクリックします。

7 「<新規ドメイン名>のプロパティ」の「この

ドメインを信頼するドメイン(入力方向の

信頼)」から既存ドメインを選択します。

「削除」をクリックします。


表示されます。「ローカルドメインと他方

のドメインの両方から信頼を削除する」

を選択します。「OK」をクリックします。



9 「<既存ドメイン名> ドメインとの入力方

向の信頼を削除しますか?」が表示され

ます。「はい」をクリックします。

10 「<新規ドメイン名>のプロパティ」で


② DNS セカンダリゾーンの削除

新規ドメインの DNS から既存ドメインのセカンダリゾーンを削除します。また、既存ドメインの DNS に許

可しているゾーン転送の設定を削除します。


「ツール」をクリックします。「DNS」をクリックします。




左ペインの「DNS」-「<DNS サーバ名>」-「前方参照ゾーン」-「(既存ドメインのゾー

ン名)」を右クリックし、「削除」をクリックし

ます。

4 「DNS」が表示されます。「はい」をクリッ

クします。

5 左ペインの「DNS」-「<DNS サーバ名>」-

「前方参照ゾーン」-「<新規ドメインの

ゾーン名>」を右クリックし、「プロパティ」


6 「<新規ドメインのゾーン名> のプロパ



るサーバー」のチェックを外します。




③ DNS の設定変更

本手順は、2012R2DC-1 で行います。 1 ローカル管理者権限でサーバにログオンします。 2 「インターネットプロトコルバージョン 4

(TCP/IPv4)のプロパティ」を表示します。

「代替 DNS サーバー」に、新規ドメイン

(2 台目)の DNS サーバの IP アドレスを

入力します。

メンバサーバ/クライアントで既存ドメインの DNS を設定している場合も変更を行ってください。 ④ アカウント管理の監査ポリシーの無効化


「ツール」をクリックします。「グループポリシーの管理」をクリックします。

POINT!



3 「グループポリシーの管理」が表示され

ます。左ペインの「グループポリシーの

管理」-「フォレスト: <新規フォレスト名>」-「ドメイン」-「<新規ドメイン名>」-「グルー

プポリシーオブジェクト」 -「Default Domain Controllers Policy」を右クリッ

クし、「編集」をクリックします。

4 「グループポリシー管理エディター」が

表示されます。左ペインの「コンピュー

ターの構成」-「ポリシー」-「Windows の設定」-「セキュリティの設定」-「ローカルポリシー」-「監査ポリシー」をクリックしま

す。右ペインの「アカウント管理の監査」

を右クリックし、「プロパティ」をクリックし

ます。



設定」タブを選択します。「これらのポリ

シーの設定を定義する」のチェックを外し

ます。「OK」をクリックします。



6 右ペインの「ディレクトリサービスのアク

セスの監査」を右クリックし、「プロパ

ティ」をクリックします。

7 「ディレクトリサービスのアクセスの監

査」が表示されます。「セキュリティポリ

シーの設定」タブを選択します。「これら

のポリシーの設定を定義する」のチェッ

クを外します。「OK」をクリックします。



す。

gpupdate /force


れます。 ※2008DC-2 でも同様にグループポリ

シーの変更を反映させます。

上記の手順で既存ドメインと新規ドメインを分離した後、Windows Server 2003 の DC を

WORKGROUP へ降格することで、既存ドメインを破棄します。



6 おわりに本書では、Windows 2003、Windows 2008/2008 R2 ドメインから Windows 2012/2012 R2 ドメインへの移

行を予定されている一般的なお客様環境を想定し、移行の全体イメージと詳細な手順を紹介しました。お客

様の実際の環境にあわせて適宜読み替えて活用してください。富士通では、Windows Server 2012 R2 の先行評価、Windows NT 時代から積み上げた豊富なノウハウを

もって確実なドメイン移行をサポート致します。ドメイン移行をお考えの際は、ぜひ富士通にご相談ください。



PC サーバ FUJITSU Server PRIMERGY につきましては、以下の技術情報を参照願います。・PC サーバ FUJITSU Server PRIMERGY（プライマジー） http://www.fujitsu.com/jp/products/computing/servers/primergy/ ・FUJITSU Server PRIMERGY 機種比較表 http://jp.fujitsu.com/platform/server/primergy/products/lineup/select-spec/ ・FUJITSU Server PRIMERGY サーバ選定ガイド http://jp.fujitsu.com/platform/server/primergy/products/lineup/select-model/

PC サーバ FUJITSU Server PRIMERGY のお問い合わせ先。

・PC サーバ FUJITSU Server PRIMERGY お問い合わせ http://www.fujitsu.com/jp/products/computing/servers/primergy/contact/

基幹 IA サーバ FUJITSU Server PRIMEQUEST につきましては、以下の技術情報を参照願います。・基幹 IA サーバ FUJITSU Server PRIMEQUEST（プライムクエスト）

http://www.fujitsu.com/jp/products/computing/servers/primequest/ ・FUJITSU Server PRIMEQUEST 3000 シリーズ製品ラインナップ

http://www.fujitsu.com/jp/products/computing/servers/primequest/products/3000/index.html 基幹 IA サーバ FUJITSU Server PRIMEQUEST のお問い合わせ先。

・本製品のお問い合わせ http://www.fujitsu.com/jp/products/computing/servers/primequest/contact/

http://www.fujitsu.com/jp/products/computing/servers/primergy/

http://jp.fujitsu.com/platform/server/primergy/products/lineup/select-spec/

http://jp.fujitsu.com/platform/server/primergy/products/lineup/select-model/

http://www.fujitsu.com/jp/products/computing/servers/primergy/contact/

http://www.fujitsu.com/jp/products/computing/servers/primequest/

http://www.fujitsu.com/jp/products/computing/servers/primequest/products/3000/index.html

http://www.fujitsu.com/jp/products/computing/servers/primequest/contact/



商標登記について Microsoft、Windows、Windows Server、Active Directory、Windows PowerShell は、米国

Microsoft Corporation の米国およびその他の国における登録商標または商標です。記載されている会社名、製品名は各社の登録商標または商標です。記載されている会社名、製品名等の固有名詞は各社の商号、登録商標または商標です。その他、本資料に記載されている会社名、システム名、製品名等には必ずしも商標表示を付記し

ておりません。免責事項

このドキュメントは単に情報として提供され、内容は予告なしに変更される場合があります。また、発行元

の許可なく、本書の記載内容を複写、転載することを禁止します。このドキュメントに誤りが無いことの保証や、商品性又は特定目的への適合性の黙示的な保証や条件を

含め明示的又は黙示的な保証や条件は一切無いものとします。富士通株式会社は、このドキュメントに

ついていかなる責任も負いません。また、このドキュメントによって直接又は間接にいかなる契約上の義

務も負うものではありません。このドキュメントを形式、手段（電子的又は機械的）、目的に関係なく、富士

通株式会社の書面による事前の承諾なく、複製又は転載することはできません。

windows server 2012 active directory...

Documents