マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

移行方式

移行方式の概要

以下のサイトから、以下の3つの
Active Directory移行方式があることが解る。

インプレース・アップグレード

  • 別のハードの準備が不要
  • 一時的にサービスが停止する。

パラレル・インストール(ローリング・アップグレード

  • レプリケーションによる移行
  • 別のハードの準備が必要
  • サービスが停止しない。

新規構築(ドメインごと新規構築)

  • ユーザー移行
    • マイクロソフトが無償で配布しているADMT(Active Directory Migration Tool)
    • NetIQ社の移行ツール「Domain Migration Administrator(DMA)」

Windows Q&A : Active Directory

Windows Q&A~Windows管理者の気になる疑問に答える~Active Directory

Windows NT PDCをWindows 2000にアップグレード

Windows Server 2008導入実践ナビ

'- 第1回 Active Directoryアップグレード方法論:ITpro
http://itpro.nikkeibp.co.jp/article/COLUMN/20080701/309864/

Windows Server 2000およびWindows Server 2003ベースの
Active Directoryのアップグレードの考え方と作業内容について記載。
(2000/2003 → 2008ベースのActive Directoryにアップグレード)

各移行方式の評価

上記のサイトを参照のこと。

ローリング・アップグレードの作業概要

基本的なローリング・アップグレードの作業タスクは、以下の通りである。

  1. 既存Active Directoryのスキーマ拡張
  2. Windows Server 2008が動作するドメイン・コントローラの追加
  3. FSMO*2役割の移動
  4. Windows Server 2000/2003が動作するドメイン・コントローラの削除
  5. フォレスト、ドメインの機能レベルの変更
  6. SYSVOL複製方法の変更

移行手順

富士通さん

(2003)

Windows Server 2003 Active Directory移行ガイド
http://jp.fujitsu.com/platform/server/primergy/technical/construct/ad_guid/pdf/migration_guid.pdf

  • NT4.0ドメインからの移行
    • (上記で言うところの)新規構築。
    • 手順はNT4.0→2003への移行手順となっている。

について説明している。

(NT4.0/2000 → 2003ベースのActive Directoryにアップグレード)

(2008/2008R2)

Windows Server 2008/2008 R2 Active Directory 移行の手引き
~Windows 2000 ドメインからの移行~
http://jp.fujitsu.com/platform/server/primergy/technical/construct/pdf/win2008-active-directory03.pdf

  • 同一ドメインでの移行(推奨)
    • (上記で言うところの)ローリング・アップグレード
    • 資料中では「既存ドメインのバージョンアップ」となっている。
    • 手順は2000→2008R2への移行手順となっている。
  • 別ドメインへの移行
    • (上記で言うところの)新規構築。
    • 資料中では「新規ドメイン構築&アカウント移行」となっている。
    • 段階的移行が必要な場合や、既存ドメインへの統合が問題となる場合に選択。
    • 手順は2000→2008への移行手順となっている。
      これは、当時2008R2対応のADMTがリリースされていなかったため。

について説明している。

(2000 → 2008/2008R2ベースのActive Directoryにアップグレード)

(2012)

2012用ADMTがリリースされていないため同一ドメインでの移行(推奨)のみの記載。
(2003/2008/2008R2 → 2012ベースのActive Directoryにアップグレード)

  • 別ドメインへの移行
    • (上記で言うところの)新規構築。
    • 資料中では「再構築による移行」となっている。

について説明している。

(2003 → 2008R2ベースのActive Directoryにアップグレード)

Microsoftさん

Active Directory ドメイン サービスおよび DNS サーバーの移行ガイド

  • Active Directory ドメイン サービスおよび DNS サーバーの移行ガイド
    http://technet.microsoft.com/ja-jp/library/dd379558(v=ws.10).aspx
    • AD DS および DNS サーバーの移行: 移行の準備
    • AD DS および DNS サーバーの移行 : AD DS および DNS サーバーの役割の移行
    • AD DS および DNS サーバーの移行 : 移行の検証
    • AD DS および DNS サーバーの移行 : 移行後のタスク
    • AD DS および DNS サーバーの移行 : 付録 A - 移行データ収集ワークシート
    • AD DS および DNS サーバーの移行 : 付録 B - 移行確認ワークシート
    • AD DS および DNS サーバーの移行 : 付録 C - スタンドアロン DNS の移行
  • 同一ドメインでの移行
    あり
  • 別ドメインへの移行
    なし

Active Directory 移行ツール(ADMT) ガイド

マイクロソフト公式ダウンロード センターから

をダウンロード

(2000/2003 → 2008/2008R2ベースのActive Directoryにアップグレード)

  • 同一ドメインでの移行
    なし
  • 別ドメインへの移行
    ADMT前提の手順のため、(上記で言うところの)新規構築のみを紹介している。
    ADMTを使用した別ドメインへの移行の手順としては、最も手順が詳細に記述されている。
  • 別フォレストでの移行パターン
    (フォレスト間のActive Directoryドメインの再構築)
    • SID履歴を使用する移行パターン。
      (SID履歴を使用したアカウントの移行)
    • SID履歴を使用しない移行パターン。
      (SID履歴を使用しないアカウントの移行)
  • 同一フォレストでの移行パターン
    (フォレスト内のActive Directoryドメインの再構築)

その他

ポイント(2000/2003 → 2008/2008R2)

同一ドメインでの移行

  • 機能レベル:移行元のドメインの機能レベルをWindows2000ネイティブ以上に上げる
    • 全ての既存DCが Windows 2000 Server SP4 以降である必要がある。
  • フォレストのスキーマ拡張
    • 32bit:adprep32 /forestprep
    • 64bit:adprep /forestprep
  • RODCのためのスキーマ拡張
    • 32bit:adprep32 /rodcprep
    • 64bit:adprep /rodcprep
  • ドメインのスキーマ拡張
    • 32bit:adprep32 /domainprep /gpprep
    • 64bit:adprep /domainprep /gpprep
  • 操作モード(Windows 2000 Server の場合)
    操作モードが混在モードの場合、ネイティブモードに変更。
  • 新しいDC(2008R2)の追加
  • FSMOの転送
    • スキーママスタ
    • ドメイン名前付け操作マスタ
    • インフラストラクチャマスタ
    • PDCマスタ
    • RIDマスタ
  • データの移行
    • GPOの移行はレプリケーションによって行われる。
  • DNS情報の移行は
    • 統合ゾーンの場合、レプリケーションによって行われる。
    • プライマリ/セカンダリの場合、ゾーン転送によって行われる。
  • 古いDC(2000/2003)の降格(レプリケーションの確認は?)
  • IPアドレスの変更
  • 新旧DCのIPを差し替える
  • ドメインメンバPCの設定変更
    • 手動
    • DHCP
  • その他
  • 機能レベルを変更(昇格)
    • ドメインの機能レベルを変更(昇格)
    • フォレストの機能レベルを変更(昇格)
  • SYSVOL複製方式の変更(2000ドメインから変更する場合)
    2003R2以降では、複製方式をFRSからDFRSに変更できる。

別ドメインへの移行

  • 下記のADMTを前提とする。
  • 移行元DC:2000、移行先DC:2008、ツール:ADMT v3.1の場合
    • 移行元ドメインの機能レベルを、Windows 2000 ネイティブ以上に上げる。
  • 移行元DC:2003、移行先DC:2008R2、ツール:ADMT v3.2の場合
    • 移行元ドメインの機能レベルを、Windows 2003 以上に上げる。
  • 信頼関係(双方向)の構築
  • DCの参照するDNS
    • 新規DCの代替DNS設定を既存ドメインのDNSに変更
    • 既存DCの代替DNS設定を新規ドメインのDNSに変更
  • DNSのセカンダ・リゾーン
  • 初めに、ドメインのDNSはゾーン転送を許可しておく。
  • 既存ドメインのDNSは、新規ドメインのセカンダ・リゾーン
    前方参照ゾーン(セカンダリ・リゾーン)を作成。
  • 新規ドメインのDNSは、既存ドメインのセカンダ・リゾーン
    前方参照ゾーン(セカンダリ・リゾーン)を作成し、外部の信頼を双方向に構築。
  • ADMTサーバを構築
    新規ドメインに参加する移行専用サーバとして準備(新規DC上でも可能)。
  • SQL ServerをWindows認証モードでインストール
  • ADMTインストール
  • ADMT初期設定(初回実行時、自動)
    • SID履歴監査のためのグループ登録
    • 監査設定など。
  • 移行用アカウント(MigUser?)の作成
    http://technet.microsoft.com/ja-jp/library/cc974398.aspx
    • 既存ドメイン:Domain Adminsグループ
    • 新規ドメイン:Administratorsグループ(新規DC:built-in)
    • ADMTサーバ:Administratorsグループ(ADMTサーバ:built-in)
  • パスワード移行の準備
    • ADMTサーバ上のコマンドでサーバ暗号化キーのパスワード・エクスポート
    • PESのインストール(上記の暗号化キーをパスワード・インポート)
    • PESサービスの実行アカウントに、上記の移行用アカウントを選択。
    • ADMTでの移行時に、PESサービスを手動起動する。
  • 移行可能なオブジェクトの確認
  • アカウント移行
  • サービス
    エージェントを送り込み、識別のみ行い、
    その後ユーザアカウントとして移行。
    サービスとしてログオンする権限が付与される。
  • グループ
  • ユーザ
    オプションとして、SID履歴、PWD移行、移行元アカウントの無効化.etcなどを選択可能
  • コンピュータ
    オプションとして、各種変換項目を選択可能
    NT互換の暗号化アルゴリズムの有効化が必要(GPO or Reg設定)。
  • オブジェクト変換
    • ユーザ権利
      移行元ドメインのユーザのユーザ権利を
      移行先ドメインのユーザのユーザ権利に変換。
  • アクセス権
    下記オブジェクトのアクセス権に移行先アカウントを含める。
    ファイルとフォルダ、プリンタ、レジストリ、共有
  • ローカルグループ
    ローカルグループに移行先アカウントを含める。
  • プロファイル類
    移行先ドメインのアカウントでも使用可能なように変換。
  • 移行不可能なオブジェクトの確認
    • 連絡先、プリンタ、共有フォルダ
    • OU(個別に作成する必要がある)
    • GPO(下記のGPMCを使用して移行する)
  • 移行作業例
    • 移行元・移行先ドメインの時刻が一致していること。
    • 移行手順は移行パスによって異なるため、詳細はADMTガイドを参照。
  • その他ファイルサーバのリソース移行
    (FSMT等を使用、移行前にEFS暗号化は解除)。
  • 既存ドメインの破棄
    • 双方向の信頼関係の破棄
    • DNSセカンダ・リゾーンの破棄
    • 新規DCの代替DNS設定を既存DNSから変更

ツール類

ADMT:Active Directory Migration Tool

別のドメインに

  • ユーザー
  • グループ
  • ユーザー・パスワード
  • コンピュータ・アカウント

などの情報をを移動する移行ツール。

概要

  • オブジェクト別にGUIウィザードを起動する。
  • SID履歴を使いアクセス権を移行する。
  • 難易度が高いため事前の入念なテストが必須である。

機能

  • 移行元ドメインから、指定した
  • ユーザー
    • パスワード
    • 権限
    • ユーザー・プロファイル
  • グループ
    • 権限
  • ユーザー・パスワード
    • 権限
  • コンピュータ・アカウント
    • 権限

を、移行先ドメインへコピーする。

  • レポートを作成する。
  • コマンド・プロンプトで、上記のような作業を行う(バッチ的に実行する場合に便利)

ポイント

  • パスワード移行のためには、
    PES(Password Export Server)を使用する。
  • 移行対象には以下も含まれる。
    • アカウント
      • サービス
      • グループ
      • ユーザ
      • コンピュータ
  • その他
    • ローカル・プロファイル
      セキュリティ変換:追加モードか、置換モードか。
      置換モードの場合は、移行元環境へのロールバックの難易度が上がる。
  • 移動プロファイル
  • Active Directoryのオブジェクトを別ドメインに移行すると、
    オブジェクト内部のSIDは再採番されるため、

例えば

  • 元ドメインのユーザアカウント(SID)を
  • 移行先ドメインで利用する場合、

SID履歴を使用して、新規オブジェクトに旧オブジェクトのSIDを持たせる。

という点である。

その他のアカウント移行ツール

何らかの理由で、SID履歴を使用できない場合、
下記のその他のツールを使用することで移行可能。

FSMT:File Server Migration Toolkit

  • Microsoftファイルサーバー移行ツールキット Technically Impossible
    http://moon.ap.teacup.com/shelter9/127.html

    robocopyより便利

    1. アクセス許可、監査、所有権のコピー
    2. 無効なセキュリティ記述子の解決
    3. 移行元サーバーの共有フォルダの共有停止
    4. 失敗時の再試行、ロール・バック

USMT:User State Migration Tool

展開のシナリオで、クライアントOSの
ユーザーの状態、データ、および設定の移行をサポートする。

  • Windows 7 IT 担当者向けの USMT ガイド
    http://technet.microsoft.com/ja-jp/magazine/jj127984.aspx

    ユーザー状態移行ツール (USMT) 4.0 は、Windows 7 の展開プロジェクトで、
    ユーザーの状態、データ、および設定を移行するのに使用できる無償のツール セットです。

  • USMT で移行されるもの
    • ユーザー補助の設定
    • アドレス帳
    • コマンド プロンプトの設定
    • デスクトップの壁紙 (オフライン バックアップを使用した場合は移行されません)
    • 暗号化ファイル システム (EFS) ファイル
    • お気に入り
    • フォルダーのオプション
    • フォント
    • グループ メンバーシップ
    • Internet Explorer の設定 (オフライン バックアップを使用した場合は移行されません)
    • Microsoft ODBC の設定
    • マウスとキーボードの設定
    • ネットワーク ドライブのマッピング
    • ネットワーク プリンターのマッピング (オフライン バックアップを使用した場合は移行されません)
    • オフライン ファイル (オフライン バックアップを使用した場合は移行されません)
    • 電話とモデムのオプション (オフライン バックアップを使用した場合は移行されません)
    • リモート アクセス サービス (RAS) 接続と電話帳 (.pbk) ファイル
    • 地域設定 (オフライン バックアップを使用した場合は移行されません)
    • リモート アクセス
    • タスク バーの設定 (オフライン バックアップを使用した場合は移行されません)
    • Windows メール (Windows XP からの移行では Microsoft Outlook Express メール (.dbx) ファイルが移行されます)
    • Windows Media Player (オフライン バックアップを使用した場合は移行されません)
    • Windows Rights Management

GPMC

AD移行の注意点


Tags: :移行, :Active Directory


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2019-05-31 (金) 13:50:20 (84d)