windows server “8” beta active directory 移行ガイド 4 はじめに 本書の内容 windows...
TRANSCRIPT
Windows Server “8” Beta Active Directory 移行ガイド
2012年5月15日
1.1版
NEC
Windows Platform Engineering Center
改定履歴
▌2012.4.13 1.0版 初版発行
▌2012.5.15 1.1版 お客様公開用に改版
Page 2 © NEC Corporation 2012
目次
はじめに
AD DS 導入のポイント
第1章 Windows Server 2008 R2からWindows Server “8” Betaへ移
行するメリット
第2章 移行方式の検討と注意点
第3章 ケーススタディ
付録
Page 3 © NEC Corporation 2012
Page 4
はじめに
本書の内容
Windows Server 2008 R2 Active Directory Domain Service環境から、次期バージョンOS(Windows Server 2012)の開発途上版である Windows Server “8” Beta 環境への移行技術についての紹介
旧バージョン(2008 R2→Windows Server “8” Beta)からの変更点 Windows Server “8”からの追加機能の紹介
インプレースアップグレードの2008 R2→Windows Server “8” Beta 対応手順
スイング方式(ADMT)に対応した移行手順(概要のみ記載)
※本ガイドでは、Windows Server “8” Betaで検証を行っているため、製品版(Windows Server 2012)では機能が異なる可能性があります。また、 スイング方式に利用するADMTについては、Windows Server “8” Beta対応版がリリースされていないため、詳細な機能調査や移行手順は含んでおらず、机上検討で、本ガイドのみの提供となります。
※本ガイドでは、以下の略称を使用している箇所があります。
Active Directory : AD Active Directory ドメインサービス:ADDS
ドメインコントローラー:DC Active Directory Migration tool:ADMT
グループポリシーオブジェクト:GPO
また、Windows Server “8” Beta について、「Beta」の表記を省略させていただきます。
Page 4 © NEC Corporation 2012
Windows Server “8” AD DS 導入のポイント
▌導入
新機能を使用しなければ、2003や2008 R2の設計手法と大きな変更はない
→新機能を利用するシナリオにマッチするかどうかがポイント
▌移行
2003→2008や2008→2008 R2の移行設計の考え方と大きな変更はない
▌運用
運用関連ツール類の改善や仮想化対応の強化
仮想マシン上でのスナップショットバックアップ/リストア
Active Directory昇格時の前提条件の診断機能追加
ごみ箱の強化(GUI版) など 詳細は、第1章参照
Page 5 © NEC Corporation 2012
Windows Server “8” Betaへ移行するメリット
第1章
Microsoft社セキュリティHOTFIX停止後の問題
▌Windows 2000 Server のサポートはすでに終了
▌Windows Server 2003 もすでに延長サポートに入っている
▌Windows Server 2008/2008 R2も2013年には延長サポートへ
延長サポートの場合は、致命的な丌具合の修正しかされない
サポート終了の場合は、原則的に修正モジュールは提供されない
たとえ、社内LANをインターネットに接続しないシステムで
あっても、ウィルス等に感染した記憶メディアを持ち込んだり、
誰かが個人PCを社内LANに接続したまま、インターネット
にダイヤルアップ接続等したりすると、外部からの攻撃を受
ける危険がある
2000サーバ
テンポラリ接続PC
社内LAN
インターネット
記憶メディア
Page 7 © NEC Corporation 2012
Page 8
AD DS関連の新機能および強化された機能
▌Windows Server “8”で追加/強化された機能
▌ 新機能
仮想マシン上でのスナップショットバックアップ/リストア
仮想ドメインコントローラの複製による展開の短期間化
Active Directory ごみ箱がGUIから利用可能
強化機能
ユーザのメインPCを識別するための”PrimaryComputer” 属性の追加
Active Directory昇格時の前提条件の診断機能追加
ドメインコントローラ展開の自動化(PowerShellによる自動化)
細かな設定が可能なパスワードポリシー(GUI化)
Windows PowerShell Histroy Viewer(GUI操作をPowerShellコマンドで表示)
Page 8 © NEC Corporation 2012
仮想マシン上でのスナップショットバックアップ/リストア
▌ドメインコントローラの仮想化は、現状でも正式サポートされていますが、運用する上で
、注意点がありました。特に、スナップショットバックアップ/リストア機能を利用すると、
更新シーケンス番号(USN)がロールバックする問題がありました。
▌Windows Server “8”のドメインコントローラは、Hyper-V内で仮想マシンが実行されて
いる場合、スナップショットのバックアップ/リストアに対応します。
※ Hyper-VホストもWindows Server “8”である必要があります。
スナップショットバックアップ前のRIDプールがスナップショットリストア後に初期化され、新規に新しいプールが払い出される。これにより、USNのロールバック問題を回避。
スナップショットバックアップ/リストア前
スナップショットリストア後
Page 9 © NEC Corporation 2012
Page 10
仮想ドメインコントローラの複製による展開の短期間化
▌Windows Server “8”では、仮想化されたドメインコントローラの複製により、スケールアウトやテスト環境構築時のドメインコントローラの早期展開が可能です。
複製されたDCに対し、Sysprepを実行する必要はありません。
複製先DCのホスト名・NW情報は後述のXMLファイルに記載して複製元DCが保持します。
既存の仮想ドメインコントローラのイメージを複製するため、DC構築時のデータ
レプリケーションを抑えられます。特に大規模環境のDC追加に効果的です。 ※ 複製元・複製先仮想DCを動作させる仮想化基盤(ハイパーバイザ)は、Windows Server “8” のHyper-V 3.0
もしくはVM-Generation IDをサポートしている3rdパーティ製品である必要があります。
※ PDCエミュレータの役割を保持しているDCのOSは、Windows Server “8”である必要があります。
※ 複製元DCはPDCエミュレータを保持していないDCが対象となります。 PDCエミュレータを保持している場合は、
複製前に他DCに役割を転送する必要があります。
既存DC
DB複製
SysprepイメージをからOS展開 もしくはOS新規インストール
DC昇格、DBフルレプリケーション
昇格
従来のDC追加作業
追加DC
OSのSysprep処理、DC昇格作業、DBフルレプリケーションが丌要
Windows Server “8”のDC複製による追加
複製による
追加DC
Hyper-V ホスト
(Windows Server ”8”)
DC複製
既存DC
(PDCエミュレータ
以外)
構成情報 を記述
Page 10 © NEC Corporation 2012
Page 11
仮想ドメインコントローラの複製による展開の短期間化(手順1/2)
▌以下の手順にて、仮想ドメインコントローラを複製します。
“Cloneable Domain Controllers”グループに、複製元DCのコンピュータ
アカウントを追加します。
DITが存在するディレクトリ(既定ではWindows¥NTDS)
に、”DCCloneConfig.xml”(複製するDCの設定情報) を作成します。
複製元DCにて ”Get-ADDCCloningExcludedApplicationList”
PowerShellコマンドを実行し、 DC複製時明示的に複製を許可する必要の
あるプログラム・サービスを出力します。
Page 11 © NEC Corporation 2012
Page 12
”DCCloneConfig.xml”と同じ場所に、 ”CustomDCCloneAllowList.xml”
を作成し、前コマンドで出力されたプログラム・サービスを記載します。 ※ DCCloneConfig.xml、 CustomDCCloneAllowList.xmlの記述内容は以下URLを参照
http://technet.microsoft.com/ja-jp/library/hh831734.aspx
複製元の仮想マシンをシャットダウンしてエクスポートします。
複製先DCとなる新しい仮想マシンとしてインポートし、起動すると複製先DCで構成情報
の適用等の処理が実行され、起動時にはDCとして構成されます。
複製により追加したDC起動と同時に、 最初からDCとして登録されている
複製したDC起動時に処理が実行される
仮想ドメインコントローラの複製による展開の短期間化(手順2/2)
Page 12 © NEC Corporation 2012
Page 13
Active Directory ごみ箱がGUIから利用可能
▌Windows 2008 R2よりゴミ箱機能は存在しておりましたが、GUIでの操作はできず、
PowerShellを利用した面倒な操作が必要でした。Windows Server “8”では、Active
Diretory管理センターより、以下のようにGUIで簡単にオブジェクトを復旧可能です。
※ フォレストレベルは、Windows Server 2008 R2以上である必要があります。
※ ゴミ箱から復元できる期限は、デフォルトで180日です。
Page 13 © NEC Corporation 2012
Page 14
”PrimaryComputer” 属性の追加
▌ユーザのメインPCを識別するために利用するPrimaryComputer属性が追加され
ます。この属性を利用すると、移動プロファイル/フォルダリダイレクトの動作を
特定のコンピュータ利用時にのみに限定することができます。出先やミーティング
ルームなどの環境でのセキュリティやログオンパフォーマンスの向上が図れます。
※Windows 8クライアントのみが利用できます。
Page 14 © NEC Corporation 2012
Page 15
Active Directory昇格時の機能強化
▌新機能
Active Directory昇格時の前提条件の診断機能追加が追加され、より安全に
昇格が可能になります。
従来の昇格コマンド dcpromoが廃止され、すべての操作がサーバマネージャ
より実施可能になります。
adprep(スキーマ拡張)を昇格時に自動的に実行するようになります。
前提条件のチェック
昇格時にスキーマアップデート
※Windows Server “8”の最初のADサーバ昇格時には、Enterprise AdminおよびSchema Adminの権限が必要になります。
Page 15 © NEC Corporation 2012
Page 16
細かな設定が可能なパスワードポリシー(GUI化)
▌細かな設定が可能なパスワードポリシー(PSO)は、Windows 2008より実現可能
ですが、ADSI Editにて特殊な属性をセットするもので、設定が複雑でした。
Windows Server “8”では、GUIより簡単に設定できます。
※ドメイン機能レベルがWindows 2008以降である必要があります。
Page 16 © NEC Corporation 2012
Page 17
Windows PowerShell History View
▌Active Directory管理センターを利用した際のActive Directoryの操作
内容をPowerShellで表示可能となりました。これにより、大量にユーザを
作成するなどのPowerShellスクリプトが簡単に作成できるようになります。
ユーザ作成時のPowerShellスクリプト
Page 17 © NEC Corporation 2012
移行方式の検討と注意点
第2章
主な移行方式
既存ドメイン
追加 降格
Windows Server 2008 R2 Windows Server “8”
◆インプレースアップグレード方式
既存のドメインに新規でWindows Server “8”のドメインコントローラーを新規で追加し、既存のWindows Server 2008 R2 のドメインコントローラーを降格、撤去する方式
既存ドメイン
新規ドメイン
Windows Server 2008 R2
Windows Server “8”
移行ツールによる
オブジェクトの移行
◆スイング方式
Windows Server “8”で新規ドメインを構築し、移行ツール(ADMT)を使用して既存のWindows Server 2008 R2 ドメインからオブジェクトの移行を実施する方式
Page 19 © NEC Corporation 2012
インプレースアップグレード方式①
STEP 1
サーバの更改中に新ADサーバへクライアントからの認証があり、問題とならないよう、移行用サイトを作成する。
STEP 2 移行元ドメインにWindows Server “8”を新規DCと して追加する。移行元サーバにFSMOの役割がある場合 は転送する。
STEP 3 既存のDCをドメインから降格し、撤去する。 サーバの台数分 STEP2-3を繰り返す。
Page 20 © NEC Corporation 2012
インプレースアップグレード方式②
▌メリット Active Directoryの再構築を必要としないため、アクセス制御や各オブジェクトの再設定は丌要
フォレスト・ドメイン・OU・サイトなどは、以前の設定を引き継ぐことが可能
ドメイン環境は変わらないため、端末の設定は丌要
(AD移行により、DNSのアドレスが変わった場合などを除く)
スイング方式と比べ、短時間での移行が可能
▌デメリット 以前の状態を引き継ぐので、移行の中ではドメイン名の変更などの設計の変更はできない
ドメイン統合の処理は行えない
現行環境に直接手を加える為、障害が生じた場合は業務に影響する
移行に失敗した場合はサーバのリストアが必要
ゆるやかな移行ができない
Page 21 © NEC Corporation 2012
スイング方式①
Windows Server “8”
STEP 1 Windows Server “8”で新規ドメインを構築し、移行 元ドメインと信頼関係を結ぶ
STEP 2 移行ツール(ADMT)を使用してオブジェクトを移行する
STEP 3 オブジェクトの移行完了後に、移行元ドメインを削除する
Windows Server “8”
Windows Server “8”
Page 22 © NEC Corporation 2012
スイング方式②
▌メリット 既存の業務環境と平行運用が可能
ネーミングルールなどを新しく再構築できる
移行範囲を限定し、徐々に移行を行うことができる
移行に失敗した場合は従来の環境を継続利用可能
▌デメリット インプレースアップグレードと比べると、工数がかかり移行に時間がかかる
クライアントを自動で移行先ドメインに参加させる場合や、ユーザプロファイルを移行する場合、
各クライアントにて移行先のDNSを登録するなどの設定変更が必要、また移行時にクライアントが
オンライン状態でログオフしておく必要がある
※ユーザプロファイルの移行が発生しない場合は、端末の移行準備が必要となり、全台の移行が
保障できない為、クライアント側のドメイン再参加やドメイン移行後の設定変更は、お客様にて
(手動で)実施していただくのが現実的である
移行期間中の長期にわたりクライアントサポート要員が必要
ADMT用サーバを用意する必要がある
(Windows Server “8”に対応したADMTが提供されれば、Windows Server “8”のADサーバ上に
相乗りも可能)
Page 23 © NEC Corporation 2012
Page 24
移行方式の検討
工数の少ないインプレースアップグレード方式を推奨
ドメインの統合やオブジェクトの整理が必要な場合はスイング方式、
または双方の組み合わせにて行う。
クライアントの台数が多い場合にスイング方法の移行ツールでクライア
ントの設定変更を行うのは現実的ではない
→現環境を継続運用し、クライアントリプレースのタイミングで切り替え
るなどの工夫が必要
スイング方式の場合、ツールの選択・ツールのインストール場所・他段階
移行の考慮などが必要
Page 24 © NEC Corporation 2012
ケーススタディ
第3章
ケース① ~インプレースアップグレード方式~
▌移行のシナリオ
現行のAD環境を構築しているハードウェアが老朽化し、ハードウェアリプレース
を行いたい
<要件>
Windows Server 2008 R2 AD環境からWindows Server “8” AD環境への移行
を考えている
現在のドメイン名を引き続き使用したい
クライアントでの操作を極力減らすため、リプレースしたDCにはリプレース前のDCと
同じコンピュータ名、IPアドレスを使用する
Windows Server “8” AD環境でも運用中のアプリケーションに影響が無いことは
確認済み
Page 26 © NEC Corporation 2012
インプレースアップグレード 移行前環境
AD-01(FSMO) Windows Server 2008 R2 SP1 10.10.x.x AD-02 Windows Server 2008 R2 SP1 10.10.x.y Client : Windows 7 SP1 機能レベル ドメイン:Windows Server 2008 R2 フォレスト:Windows Server 2008 R2
Windows 7
WPEC.local
移行前環境
AD-01 AD-02
Windows Server 2008 R2
Page 27 © NEC Corporation 2012
インプレースアップグレード 移行後環境
AD-01
WPEC.local
移行後環境
AD-02
移行に伴いクライアントの設定を変更しないでいいように、DCのホスト名やIPアドレスは移行前後で同じものを使用するようにする。
AD-01(FSMO) Windows Server “8” Beta 10.10.x.x AD-02 Windows Server “8” Beta 10.10.x.y Client : Windows 7 SP1 機能レベル ドメイン:Windows Server “8” フォレスト:Windows Server “8”
Windows 7
Windows Server “8”
Page 28 © NEC Corporation 2012
インプレースアップグレード手順の流れ
▌移行準備
移行用サイトの作成
スキーマ拡張、ドメイン情報の更新(ForestPrep,DomainPrep)
※ ForestPrep,DomainPrepともに、Windows Server “8”からは、昇格時に
自動的に実行されます。
▌新規 追加 FSMOの機能を持たない既存DCの降格・停止
新規サーバ構築、DC昇格、FSMO機能の移行
※コンピュータ名、IPなどは降格させたDCの設定を引き継ぐ
▌2台目以降 1台目と同様の作業を残りのサーバ台数分実施する
※最終的にFSMOの役割をどのサーバに持たせるか確認する
※詳細は別紙(記載予定)のインプレースアップグレード移行手順書に記載します。
Page 29 © NEC Corporation 2012
Page 30
WPEC.local
AD-01
AD-02
Default-First-Site-Name
移行用サイト
サーバの更改中に、新ADサーバへクライアントからの認証/名前解決があり、問題とならないように、次の①~⑦の作業を行います。
①移行用のサイトを作成します。
②AD-02を降格し、ドメインから撤去します。
(コンピュータアカウントも削除します。)
③新サーバのAD-02をドメイン参加します。
④AD-02をADサーバへ昇格します。
①移行用サイトの作成
③④ドメイン参加、昇格
②ドメイン降格
AD-02
新規Windows Server “8” DCの追加(1台目)
Windows Server “8”
2008 R2
Page 30 © NEC Corporation 2012
WPEC.local
AD-01
Default-First-Site-Name
移行用サイト
⑤DNSコンポーネントのインストール
⑥AD診断ツールの実行
⑦AD-02サーバをサイト移動(現用系サイトへ)
⑦サイト移動
⑤DNSインストール
⑥ADサーバ診断
AD-02
AD-02
新規Windows Server “8” DCの追加(1台目)
Windows Server “8”
2008 R2
Page 31 © NEC Corporation 2012
Page 32
FSMOの役割転送
WPEC.local
AD-01
FSMO
2008 R2
AD-02
FSMO
Windows Server “8”
既存FSMOサーバを降格・停止させるために、新規で昇格させたWindows Server “8”へFSMOの役割を転
送します。
① 新規サーバへFSMOの機能を転送します。
※FSMOの転送はGUIで実施する方法と、CUIで実施する方法の2種類があります。
①FSMOの役割転送
Page 32 © NEC Corporation 2012
新規Windows Server “8” DCの追加(2台目)
WPEC.local
AD-01
2008 R2
AD-01
Windows Server “8”
AD-02
①既存サーバの降格・停止
③新規サーバのDC昇格
②コンピュータアカウントの削除
2台目の新規DCの追加を行います。
①FSMOの機能を転送したDCを降格・停止します。
②停止させたDCのアカウントを削除します。
③新規でWindows Server “8”をインストールした
サーバに設定を実施し、DCへ昇格させます。
Windows Server “8”
FSMO
Page 33 © NEC Corporation 2012
Page 34
新規Windows Server “8” DCの追加(2台目)
WPEC.local
FSMO
AD-01
Windows Server “8”
AD-02
④DNSコンポーネントのインストールします。
⑤FSMOを元のサーバに転送します。
⑥ADサーバ診断をします。
⑦移行用サイトの削除します。
Windows Server “8”
FSMO
⑤FSMOの転送
④DNSインストール
移行用サイト
⑦移行用サイトの削除
⑥ADサーバ診断
Page 34 © NEC Corporation 2012
移行後の確認
▌フォレストの各ドメインで確認
FSMOが正しく機能しているか、配置に問題は無いか
イベントログに複製、トポロジ、その他障害イベントが記録されていないか
▌DCの複製状態
停止しているDCが存在していないか
複製できていないDCが存在していないか
Repadmin /replsum などでレプリケーションが正常に動作していることを確認
して下さい。
Page 35 © NEC Corporation 2012
ケース② ~スイング方式~
▌移行のシナリオ
社名変更に伴いドメイン名を変更しなければならなくなったが、現在のドメイン
環境を引き継ぎたい。
<要件>
ドメイン名変更と同時にWindows Server 2008 R2 AD DS環境からWindows Server
“8” 環境への移行を考えている。
ユーザアカウントやグループアカウントを移行して使用したい。パスワードやユーザプロ
ファイルを引き継ぎ使用したい。
クライアント側で移行の操作を行わずに、コンピューターアカウントを移行したい。
Windows Server “8”のドメインへ移行にあたり、GPOの見直しを行いたい。
移行期間を設けて段階的に移行を実施したい。
Page 36 © NEC Corporation 2012
スイング移行前・移行後環境
Windows Server 2008 R2
移行元(旧DC)
Windows Server “8”
移行先(新DC)
Windows 7 Windows 7
新ドメイン(new.local) 旧ドメイン(old.local)
移行後
降格・停止
Windows Server 2008 R2
ADのデータを新ドメインへ移行
クライアントを
新ドメインへ移行
2008 R2
10.10.x.x/x
Windows Server “8”
10.10.x.x/x
ADMT 2008R2
10.10.x.x/x
ADMTサーバ
Page 37 © NEC Corporation 2012
スイング方式移行手順の流れ
▌移行計準備
移行スケジュールを計画
移行するオブジェクトの決定決める
▌移行先ドメイン環境の作成
新規サーバを構築し、新規ドメインを構築する
▌ADMTサーバを構築する
移行元・移行先ドメインにてADMTをインストールするための準備をする
ADMT用サーバを作成し、移行先ドメインへ参加する
SQL Server およびADMT v3.2をインストールする
▌ADMTを使用してオブジェクトの移行を実施する
計画した移行項目に従って、オブジェクトの移行を実施する
Page 38 © NEC Corporation 2012
スイング移行手順① (移行先ドメインの作成)
new.local
2008 R2
Windows 7
②新規ドメインの作成
Windows Server “8”
①新規サーバ構築
③双方向の外部信頼
①Windows Server “8” サーバを新規構築します。
②新規構築したサーバをDCへ昇格し、新規ドメインを作成します。
③移行元ドメインと移行先ドメインで双方の信頼関係を構築します。
old.local 信頼関係
Page 39 © NEC Corporation 2012
スイング移行手順② (移行環境の作成)
new.local
2008 R2
7
Windows Server “8”
④移行元、移行先ドメインでの事前作業
2008 R2
⑤ADMT用サーバ構築
⑥移行先ドメインへ参加
④各ドメインでADMT用の設定を実施します
⑤Windows Server 2008 R2 でADMT用サーバを新規構築します。
⑥構築したADMT用サーバを移行先ドメインへ参加させます
※現時点では、ADMTがWindows Server “8”に対応おらず、Windows Server 2008 R2対応版が最新のため、ADMT専用サーバを設定しています。
old.local 信頼関係
Page 40 © NEC Corporation 2012
Page 41
スイング移行手順③ (ADMTツールのインストール)
new.local old.local
7
Windows Server “8”
信頼関係
⑦移行用アカウントの作成
⑧各管理者権限の付不
ADMT
PES
2008 R2
2008 R2
⑨ADMTインストール
⑩PESインストール
⑦移行元ドメインにて、移行用アカウントを作成します。
⑧移行用アカウントに必要な権限を付不します。
⑨ADMTサーバにADMTをインストールします。
⑩移行元DCへPES(パスワード暗号化ツール)をインストールします。 ※パスワード移行をする場合は必頇です。
Page 41 © NEC Corporation 2012
new.local old.local
7
Windows Server “8”
信頼関係
PES
2008 R2
2008 R2
ADMT
ユーザー グループ
パスワード ユーザープロファイル
スイング移行手順④ (アカウント移行)
7
・ ローカルユーザプロファイル
・ プリンタ
・ レジストリ
・ 共有
・ etc…
⑫ユーザ・グループアカウントの移行
⑬コンピュータアカウントの移行
⑪移行用ユーザでログオン
⑪ADMT用サーバへ移行用ユーザでログオンする。
⑫ADMTを使用してユーザ・グループアカウントの移行を行う。パスワードや(移動)ユーザプロファイルはオプションで選択可能。
⑬ADMTを使用してコンピュータアカウントの移行を行う。オプションにて、さまざまなオブジェクト変換が可能である。
コンピュータ移行時のオブジェクト変換の例
Page 42 © NEC Corporation 2012
移行後の確認
▌ディレクトリデータベースの移行確認
移行先のドメインで、Active Directory ユーザとコンピュータを起動し、
移行したオブジェクトが存在することを確認する。
ユーザオブジェクトとグループオブジェクトの関連付けや、GPOの関連付けを
確認する。必要があれば修正を実施する。
▌動作確認
移行したユーザとパスワードで移行したクライアントからドメインにログオン
できることを確認する。
ユーザプロファイルの移行を実施した場合は、ユーザプロファイルが移行され
利用できることを確認する。
割り当てられたポリシーが正常に反映されていることを確認する。
Page 43 © NEC Corporation 2012
参考URL
▌Windows Server 2008 R2 Active Directory 公式Web http://www.microsoft.com/japan/windowsserver2008/r2/technologies/ad-main.mspx
▌Windows Server 2008 および 2008R2 ADDS の新機能 http://64.4.11.252/ja-jp/library/cc770946(WS.10).aspx
http://technet.microsoft.com/ja-jp/library/dd378801(WS.10).aspx
▌ADMT ガイド http://technet.microsoft.com/ja-jp/library/cc974332(WS.10).aspx
▌Active Directory 移行ツールガイド : Active Directory ドメインの移行と再構築 http://www.microsoft.com/downloads/ja-jp/details.aspx?familyid=6D710919-1BA5-41CA-B2F3-C11BCB4857AF&displaylang=ja
Page 44 © NEC Corporation 2012