windows server “8” beta active directory 移行ガイド 4 はじめに本書の内容 windows...

Windows Server “8” Beta Active Directory 移行ガイド

2012年5月15日

1.1版

NEC

Windows Platform Engineering Center

改定履歴

▌2012.4.13 1.0版初版発行

▌2012.5.15 1.1版お客様公開用に改版

© NEC Corporation 2012

目次

はじめに

AD DS 導入のポイント

第1章 Windows Server 2008 R2からWindows Server “8” Betaへ移

行するメリット

第2章移行方式の検討と注意点

第3章ケーススタディ

付録


はじめに

本書の内容

Windows Server 2008 R2 Active Directory Domain Service環境から、次期バージョンOS(Windows Server 2012)の開発途上版である Windows Server “8” Beta 環境への移行技術についての紹介

旧バージョン(2008 R2→Windows Server “8” Beta）からの変更点 Windows Server “8”からの追加機能の紹介

インプレースアップグレードの2008 R2→Windows Server “8” Beta 対応手順

スイング方式(ADMT)に対応した移行手順（概要のみ記載）

※本ガイドでは、Windows Server “8” Betaで検証を行っているため、製品版(Windows Server 2012)では機能が異なる可能性があります。また、スイング方式に利用するADMTについては、Windows Server “8” Beta対応版がリリースされていないため、詳細な機能調査や移行手順は含んでおらず、机上検討で、本ガイドのみの提供となります。

※本ガイドでは、以下の略称を使用している箇所があります。

Active Directory : ＡＤ Active Directory ドメインサービス：ＡＤＤＳ

ドメインコントローラー：ＤＣ Active Directory Migration tool：ＡＤＭＴ

グループポリシーオブジェクト：ＧＰＯ

また、Windows Server “8” Beta について、「Beta」の表記を省略させていただきます。

Page 4 © NEC Corporation 2012

Windows Server “8” AD DS 導入のポイント

▌導入

新機能を使用しなければ、2003や2008 R2の設計手法と大きな変更はない

→新機能を利用するシナリオにマッチするかどうかがポイント

▌移行

2003→2008や2008→2008 R2の移行設計の考え方と大きな変更はない

▌運用

運用関連ツール類の改善や仮想化対応の強化

仮想マシン上でのスナップショットバックアップ/リストア

Active Directory昇格時の前提条件の診断機能追加

ごみ箱の強化（ＧＵＩ版）など詳細は、第１章参照


Windows Server “8” Betaへ移行するメリット

第1章

Microsoft社セキュリティHOTFIX停止後の問題

▌Windows 2000 Server のサポートはすでに終了

▌Windows Server 2003 もすでに延長サポートに入っている

▌Windows Server 2008/2008 R2も2013年には延長サポートへ

延長サポートの場合は、致命的な丌具合の修正しかされない

サポート終了の場合は、原則的に修正モジュールは提供されない

たとえ、社内ＬＡＮをインターネットに接続しないシステムで

あっても、ウィルス等に感染した記憶メディアを持ち込んだり、

誰かが個人ＰＣを社内ＬＡＮに接続したまま、インターネット

にダイヤルアップ接続等したりすると、外部からの攻撃を受

ける危険がある

2000サーバ

テンポラリ接続ＰＣ

社内ＬＡＮ

インターネット

記憶メディア


AD DS関連の新機能および強化された機能

▌Windows Server “8”で追加/強化された機能

▌ 新機能


仮想ドメインコントローラの複製による展開の短期間化

Active Directory ごみ箱がGUIから利用可能

強化機能

ユーザのメインPCを識別するための”PrimaryComputer” 属性の追加

Active Directory昇格時の前提条件の診断機能追加

ドメインコントローラ展開の自動化（PowerShellによる自動化）

細かな設定が可能なパスワードポリシー(GUI化)

Windows PowerShell Histroy Viewer(GUI操作をPowerShellコマンドで表示)



▌ドメインコントローラの仮想化は、現状でも正式サポートされていますが、運用する上で

、注意点がありました。特に、スナップショットバックアップ／リストア機能を利用すると、

更新シーケンス番号(USN)がロールバックする問題がありました。

▌Windows Server “8”のドメインコントローラは、Hyper-V内で仮想マシンが実行されて

いる場合、スナップショットのバックアップ／リストアに対応します。

※ Hyper-VホストもWindows Server “8”である必要があります。

スナップショットバックアップ前のRIDプールがスナップショットリストア後に初期化され、新規に新しいプールが払い出される。これにより、USNのロールバック問題を回避。

スナップショットバックアップ／リストア前

スナップショットリストア後


仮想ドメインコントローラの複製による展開の短期間化

▌Windows Server “8”では、仮想化されたドメインコントローラの複製により、スケールアウトやテスト環境構築時のドメインコントローラの早期展開が可能です。

複製されたDCに対し、Sysprepを実行する必要はありません。

複製先DCのホスト名・NW情報は後述のXMLファイルに記載して複製元DCが保持します。

既存の仮想ドメインコントローラのイメージを複製するため、DC構築時のデータ

レプリケーションを抑えられます。特に大規模環境のDC追加に効果的です。 ※ 複製元・複製先仮想DCを動作させる仮想化基盤（ハイパーバイザ）は、Windows Server “8” のHyper-V 3.0

もしくはVM-Generation IDをサポートしている3rdパーティ製品である必要があります。

※ PDCエミュレータの役割を保持しているDCのOSは、Windows Server “8”である必要があります。

※ 複製元DCはPDCエミュレータを保持していないDCが対象となります。 PDCエミュレータを保持している場合は、

複製前に他DCに役割を転送する必要があります。

既存DC

DB複製

SysprepイメージをからOS展開もしくはOS新規インストール

DC昇格、DBフルレプリケーション

昇格

従来のDC追加作業

追加DC

OSのSysprep処理、DC昇格作業、DBフルレプリケーションが丌要

Windows Server “8”のDC複製による追加

複製による

追加DC

Hyper-V ホスト

(Windows Server ”８”)

DC複製

既存DC

（PDCエミュレータ

以外）

構成情報を記述


仮想ドメインコントローラの複製による展開の短期間化（手順1/2）

▌以下の手順にて、仮想ドメインコントローラを複製します。

“Cloneable Domain Controllers”グループに、複製元DCのコンピュータ

アカウントを追加します。

DITが存在するディレクトリ（既定ではWindows¥NTDS）

に、”DCCloneConfig.xml”（複製するDCの設定情報）を作成します。

複製元DCにて ”Get-ADDCCloningExcludedApplicationList”

PowerShellコマンドを実行し、 DC複製時明示的に複製を許可する必要の

あるプログラム・サービスを出力します。


”DCCloneConfig.xml”と同じ場所に、 ”CustomDCCloneAllowList.xml”

を作成し、前コマンドで出力されたプログラム・サービスを記載します。 ※ DCCloneConfig.xml、 CustomDCCloneAllowList.xmlの記述内容は以下URLを参照

http://technet.microsoft.com/ja-jp/library/hh831734.aspx

複製元の仮想マシンをシャットダウンしてエクスポートします。

複製先DCとなる新しい仮想マシンとしてインポートし、起動すると複製先DCで構成情報

の適用等の処理が実行され、起動時にはDCとして構成されます。

複製により追加したDC起動と同時に、最初からDCとして登録されている

複製したDC起動時に処理が実行される

仮想ドメインコントローラの複製による展開の短期間化（手順2/2）


Active Directory ごみ箱がGUIから利用可能

▌Windows 2008 R2よりゴミ箱機能は存在しておりましたが、GUIでの操作はできず、

PowerShellを利用した面倒な操作が必要でした。Windows Server “8”では、Active

Diretory管理センターより、以下のようにGUIで簡単にオブジェクトを復旧可能です。

※ フォレストレベルは、Windows Server 2008 R2以上である必要があります。

※ ゴミ箱から復元できる期限は、デフォルトで180日です。


”PrimaryComputer” 属性の追加

▌ユーザのメインPCを識別するために利用するPrimaryComputer属性が追加され

ます。この属性を利用すると、移動プロファイル／フォルダリダイレクトの動作を

特定のコンピュータ利用時にのみに限定することができます。出先やミーティング

ルームなどの環境でのセキュリティやログオンパフォーマンスの向上が図れます。

※Windows 8クライアントのみが利用できます。


Active Directory昇格時の機能強化

▌新機能

Active Directory昇格時の前提条件の診断機能追加が追加され、より安全に

昇格が可能になります。

従来の昇格コマンド dcpromoが廃止され、すべての操作がサーバマネージャ

より実施可能になります。

adprep(スキーマ拡張)を昇格時に自動的に実行するようになります。

前提条件のチェック

昇格時にスキーマアップデート

※Windows Server “8”の最初のADサーバ昇格時には、Enterprise AdminおよびSchema Adminの権限が必要になります。


細かな設定が可能なパスワードポリシー(GUI化)

▌細かな設定が可能なパスワードポリシー(PSO)は、Windows 2008より実現可能

ですが、ADSI Editにて特殊な属性をセットするもので、設定が複雑でした。

Windows Server “8”では、GUIより簡単に設定できます。

※ドメイン機能レベルがWindows 2008以降である必要があります。


Windows PowerShell History View

▌Active Directory管理センターを利用した際のActive Directoryの操作

内容をPowerShellで表示可能となりました。これにより、大量にユーザを

作成するなどのPowerShellスクリプトが簡単に作成できるようになります。

ユーザ作成時のPowerShellスクリプト


移行方式の検討と注意点

第2章

主な移行方式

既存ドメイン

追加降格

Windows Server 2008 R2 Windows Server “8”

◆インプレースアップグレード方式

既存のドメインに新規でWindows Server “8”のドメインコントローラーを新規で追加し、既存のWindows Server 2008 R2 のドメインコントローラーを降格、撤去する方式

既存ドメイン

新規ドメイン

Windows Server 2008 R2

Windows Server “8”

移行ツールによる

オブジェクトの移行

◆スイング方式

Windows Server “8”で新規ドメインを構築し、移行ツール(ADMT)を使用して既存のWindows Server 2008 R2 ドメインからオブジェクトの移行を実施する方式


インプレースアップグレード方式①

STEP 1

サーバの更改中に新ＡＤサーバへクライアントからの認証があり、問題とならないよう、移行用サイトを作成する。

STEP 2 移行元ドメインにWindows Server “8”を新規DCとして追加する。移行元サーバにFSMOの役割がある場合は転送する。

STEP 3 既存のDCをドメインから降格し、撤去する。サーバの台数分 STEP2-3を繰り返す。


インプレースアップグレード方式②

▌メリット Active Directoryの再構築を必要としないため、アクセス制御や各オブジェクトの再設定は丌要

フォレスト・ドメイン・OU・サイトなどは、以前の設定を引き継ぐことが可能

ドメイン環境は変わらないため、端末の設定は丌要

（AD移行により、DNSのアドレスが変わった場合などを除く）

スイング方式と比べ、短時間での移行が可能

▌デメリット以前の状態を引き継ぐので、移行の中ではドメイン名の変更などの設計の変更はできない

ドメイン統合の処理は行えない

現行環境に直接手を加える為、障害が生じた場合は業務に影響する

移行に失敗した場合はサーバのリストアが必要

ゆるやかな移行ができない


スイング方式①


STEP 1 Windows Server “8”で新規ドメインを構築し、移行元ドメインと信頼関係を結ぶ

STEP 2 移行ツール（ADMT）を使用してオブジェクトを移行する

STEP 3 オブジェクトの移行完了後に、移行元ドメインを削除する




スイング方式②

▌メリット既存の業務環境と平行運用が可能

ネーミングルールなどを新しく再構築できる

移行範囲を限定し、徐々に移行を行うことができる

移行に失敗した場合は従来の環境を継続利用可能

▌デメリットインプレースアップグレードと比べると、工数がかかり移行に時間がかかる

クライアントを自動で移行先ドメインに参加させる場合や、ユーザプロファイルを移行する場合、

各クライアントにて移行先のDNSを登録するなどの設定変更が必要、また移行時にクライアントが

オンライン状態でログオフしておく必要がある

※ユーザプロファイルの移行が発生しない場合は、端末の移行準備が必要となり、全台の移行が

保障できない為、クライアント側のドメイン再参加やドメイン移行後の設定変更は、お客様にて

（手動で）実施していただくのが現実的である

移行期間中の長期にわたりクライアントサポート要員が必要

ADMT用サーバを用意する必要がある

（Windows Server “8”に対応したADMTが提供されれば、Windows Server “8”のADサーバ上に

相乗りも可能)


移行方式の検討

工数の少ないインプレースアップグレード方式を推奨

ドメインの統合やオブジェクトの整理が必要な場合はスイング方式、

または双方の組み合わせにて行う。

クライアントの台数が多い場合にスイング方法の移行ツールでクライア

ントの設定変更を行うのは現実的ではない

→現環境を継続運用し、クライアントリプレースのタイミングで切り替え

るなどの工夫が必要

スイング方式の場合、ツールの選択・ツールのインストール場所・他段階

移行の考慮などが必要


ケーススタディ

第3章

ケース① ～インプレースアップグレード方式～

▌移行のシナリオ

現行のAD環境を構築しているハードウェアが老朽化し、ハードウェアリプレース

を行いたい

＜要件＞

Windows Server 2008 R2 AD環境からWindows Server “8” AD環境への移行

を考えている

現在のドメイン名を引き続き使用したい

クライアントでの操作を極力減らすため、リプレースしたDCにはリプレース前のDCと

同じコンピュータ名、IPアドレスを使用する

Windows Server “8” AD環境でも運用中のアプリケーションに影響が無いことは

確認済み


インプレースアップグレード移行前環境

AD-01(FSMO) Windows Server 2008 R2 SP1 10.10.x.x AD-02 Windows Server 2008 R2 SP1 10.10.x.y Client : Windows 7 SP1 機能レベルドメイン：Windows Server 2008 R2 フォレスト：Windows Server 2008 R2

Windows 7

WPEC.local

移行前環境

AD-01 AD-02



インプレースアップグレード移行後環境

AD-01

WPEC.local

移行後環境

AD-02

移行に伴いクライアントの設定を変更しないでいいように、DCのホスト名やIPアドレスは移行前後で同じものを使用するようにする。

AD-01(FSMO) Windows Server “8” Beta 10.10.x.x AD-02 Windows Server “8” Beta 10.10.x.y Client : Windows 7 SP1 機能レベルドメイン：Windows Server “8” フォレスト：Windows Server “8”

Windows 7



インプレースアップグレード手順の流れ

▌移行準備

移行用サイトの作成

スキーマ拡張、ドメイン情報の更新（ForestPrep,DomainPrep)

※ ForestPrep,DomainPrepともに、Windows Server “8”からは、昇格時に

自動的に実行されます。

▌新規追加 FSMOの機能を持たない既存DCの降格・停止

新規サーバ構築、DC昇格、FSMO機能の移行

※コンピュータ名、IPなどは降格させたDCの設定を引き継ぐ

▌２台目以降１台目と同様の作業を残りのサーバ台数分実施する

※最終的にFSMOの役割をどのサーバに持たせるか確認する

※詳細は別紙（記載予定）のインプレースアップグレード移行手順書に記載します。


WPEC.local

AD-01

AD-02

Default-First-Site-Name

移行用サイト

サーバの更改中に、新ＡＤサーバへクライアントからの認証／名前解決があり、問題とならないように、次の①～⑦の作業を行います。

①移行用のサイトを作成します。

②AD-02を降格し、ドメインから撤去します。

（コンピュータアカウントも削除します。）

③新サーバのAD-02をドメイン参加します。

④AD-02をADサーバへ昇格します。

①移行用サイトの作成

③④ドメイン参加、昇格

②ドメイン降格

AD-02

新規Windows Server “8” DCの追加（1台目）


2008 R2


WPEC.local

AD-01

Default-First-Site-Name

移行用サイト

⑤DNSコンポーネントのインストール

⑥AD診断ツールの実行

⑦AD-02サーバをサイト移動（現用系サイトへ）

⑦サイト移動

⑤DNSインストール

⑥ADサーバ診断

AD-02

AD-02

新規Windows Server “8” DCの追加（1台目）


2008 R2


FSMOの役割転送

WPEC.local

AD-01

ＦＳＭＯ

2008 R2

AD-02

ＦＳＭＯ


既存FSMOサーバを降格・停止させるために、新規で昇格させたWindows Server “8”へFSMOの役割を転

送します。

① 新規サーバへFSMOの機能を転送します。

※FSMOの転送はGUIで実施する方法と、CUIで実施する方法の２種類があります。

①FSMOの役割転送


新規Windows Server “8” DCの追加（２台目）

WPEC.local

AD-01

2008 R2

AD-01


AD-02

①既存サーバの降格・停止

③新規サーバのＤＣ昇格

②コンピュータアカウントの削除

２台目の新規ＤＣの追加を行います。

①ＦＳＭＯの機能を転送したＤＣを降格・停止します。

②停止させたＤＣのアカウントを削除します。

③新規でWindows Server “8”をインストールした

サーバに設定を実施し、ＤＣへ昇格させます。


ＦＳＭＯ


新規Windows Server “8” DCの追加（２台目）

WPEC.local

ＦＳＭＯ

AD-01


AD-02

④DNSコンポーネントのインストールします。

⑤FSMOを元のサーバに転送します。

⑥ADサーバ診断をします。

⑦移行用サイトの削除します。


ＦＳＭＯ

⑤FSMOの転送

④DNSインストール

移行用サイト

⑦移行用サイトの削除

⑥ADサーバ診断


移行後の確認

▌フォレストの各ドメインで確認

ＦＳＭＯが正しく機能しているか、配置に問題は無いか

イベントログに複製、トポロジ、その他障害イベントが記録されていないか

▌ＤＣの複製状態

停止しているＤＣが存在していないか

複製できていないＤＣが存在していないか

Repadmin /replsum などでレプリケーションが正常に動作していることを確認

して下さい。


ケース② ～スイング方式～

▌移行のシナリオ

社名変更に伴いドメイン名を変更しなければならなくなったが、現在のドメイン

環境を引き継ぎたい。

＜要件＞

ドメイン名変更と同時にWindows Server 2008 R2 AD DS環境からWindows Server

“8” 環境への移行を考えている。

ユーザアカウントやグループアカウントを移行して使用したい。パスワードやユーザプロ

ファイルを引き継ぎ使用したい。

クライアント側で移行の操作を行わずに、コンピューターアカウントを移行したい。

Windows Server “8”のドメインへ移行にあたり、ＧＰＯの見直しを行いたい。

移行期間を設けて段階的に移行を実施したい。


スイング移行前・移行後環境


移行元（旧DC）


移行先（新DC）

Windows 7 Windows 7

新ドメイン（new.local）旧ドメイン（old.local）

移行後

降格･停止


ADのデータを新ドメインへ移行

クライアントを

新ドメインへ移行

2008 R2

10.10.x.x/x


10.10.x.x/x

ADMT 2008R2

10.10.x.x/x

ADMTサーバ


スイング方式移行手順の流れ

▌移行計準備

移行スケジュールを計画

移行するオブジェクトの決定決める

▌移行先ドメイン環境の作成

新規サーバを構築し、新規ドメインを構築する

▌ADMTサーバを構築する

移行元・移行先ドメインにてADMTをインストールするための準備をする

ADMT用サーバを作成し、移行先ドメインへ参加する

SQL Server およびADMT v3.2をインストールする

▌ADMTを使用してオブジェクトの移行を実施する

計画した移行項目に従って、オブジェクトの移行を実施する


スイング移行手順① （移行先ドメインの作成）

new.local

2008 R2

Windows 7

②新規ドメインの作成


①新規サーバ構築

③双方向の外部信頼

①Windows Server “8” サーバを新規構築します。

②新規構築したサーバをDCへ昇格し、新規ドメインを作成します。

③移行元ドメインと移行先ドメインで双方の信頼関係を構築します。

old.local 信頼関係


スイング移行手順② （移行環境の作成）

new.local

2008 R2

7


④移行元、移行先ドメインでの事前作業

2008 R2

⑤ADMT用サーバ構築

⑥移行先ドメインへ参加

④各ドメインでADMT用の設定を実施します

⑤Windows Server 2008 R2 でADMT用サーバを新規構築します。

⑥構築したADMT用サーバを移行先ドメインへ参加させます

※現時点では、ADMTがWindows Server “8”に対応おらず、Windows Server 2008 R2対応版が最新のため、ADMT専用サーバを設定しています。

old.local 信頼関係


スイング移行手順③ （ADMTツールのインストール）

new.local old.local

7


信頼関係

⑦移行用アカウントの作成

⑧各管理者権限の付不

ＡＤＭＴ

ＰＥＳ

2008 R2

2008 R2

⑨ＡＤＭＴインストール

⑩ＰＥＳインストール

⑦移行元ドメインにて、移行用アカウントを作成します。

⑧移行用アカウントに必要な権限を付不します。

⑨ADMTサーバにADMTをインストールします。

⑩移行元DCへPES(パスワード暗号化ツール）をインストールします。 ※パスワード移行をする場合は必頇です。


new.local old.local

7


信頼関係

ＰＥＳ

2008 R2

2008 R2

ＡＤＭＴ

ユーザーグループ

パスワードユーザープロファイル

スイング移行手順④ （アカウント移行）

7

・ローカルユーザプロファイル

・プリンタ

・レジストリ

・共有

・ etc…

⑫ユーザ・グループアカウントの移行

⑬コンピュータアカウントの移行

⑪移行用ユーザでログオン

⑪ADMT用サーバへ移行用ユーザでログオンする。

⑫ADMTを使用してユーザ・グループアカウントの移行を行う。パスワードや（移動）ユーザプロファイルはオプションで選択可能。

⑬ADMTを使用してコンピュータアカウントの移行を行う。オプションにて、さまざまなオブジェクト変換が可能である。

コンピュータ移行時のオブジェクト変換の例


移行後の確認

▌ディレクトリデータベースの移行確認

移行先のドメインで、Active Directory ユーザとコンピュータを起動し、

移行したオブジェクトが存在することを確認する。

ユーザオブジェクトとグループオブジェクトの関連付けや、GPOの関連付けを

確認する。必要があれば修正を実施する。

▌動作確認

移行したユーザとパスワードで移行したクライアントからドメインにログオン

できることを確認する。

ユーザプロファイルの移行を実施した場合は、ユーザプロファイルが移行され

利用できることを確認する。

割り当てられたポリシーが正常に反映されていることを確認する。


参考URL

▌Windows Server 2008 R2 Active Directory 公式Web http://www.microsoft.com/japan/windowsserver2008/r2/technologies/ad-main.mspx

▌Windows Server 2008 および 2008R2 ADDS の新機能 http://64.4.11.252/ja-jp/library/cc770946(WS.10).aspx

http://technet.microsoft.com/ja-jp/library/dd378801(WS.10).aspx

▌ADMT ガイド http://technet.microsoft.com/ja-jp/library/cc974332(WS.10).aspx

▌Active Directory 移行ツールガイド : Active Directory ドメインの移行と再構築 http://www.microsoft.com/downloads/ja-jp/details.aspx?familyid=6D710919-1BA5-41CA-B2F3-C11BCB4857AF&displaylang=ja


http://www.microsoft.com/japan/windowsserver2008/r2/technologies/ad-main.mspx



http://64.4.11.252/ja-jp/library/cc770946(WS.10).aspx






http://technet.microsoft.com/ja-jp/library/cc974332(WS.10).aspx



http://www.microsoft.com/downloads/ja-jp/details.aspx?familyid=6D710919-1BA5-41CA-B2F3-C11BCB4857AF&displaylang=ja











windows server “8” beta active directory 移行ガイド 4 はじめに 本書の内容 windows...

Documents

windows server “8” beta active directory 移行ガイド 4 はじめに本書の内容 windows...