「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
注意点 †
機能レベル †
移行元の機能レベル(フォレスト、ドメイン)を確認する。
移行手順によって、移行元ドメインの機能レベルを上げる必要のあるケースがある。
FSMO †
FSMOの移行も忘れずに。
ネットワークサービスの移行 †
DNS、DHCP、WINSなど関連するネットワークサービスの移行も考慮する。
レプリケーション †
レプリケーションに依存した移行なので
レプリケーションの仕組みについては理解しておく必要がある。
DC追加・削除のトラブル対応 †
ASCII.jp:Windows Serverで学ぶサーバOS入門
ドメインコントローラ追加によるトラブルへの対策
新規構築、ドメインごと新規構築 †
SID 履歴 †
基本的には、SID履歴を使用する方式を採用する。
問題 †
問題点はあまり多くはない模様。
- SIDフィルター
新規ドメインから、既存ドメインのリソースに
アクセスを可能にする場合、SIDフィルターを無効にする。
SID履歴を使用する場合と、使用しない場合 †
SID履歴を使用しないケースは
- 移行先ドメインを信頼しない場合で、
- 且つユーザとリソースを同時に移行できない場合。
となる。
- SID の履歴を使用したアカウントの移行
http://technet.microsoft.com/ja-jp/library/cc974384.aspx
- 管理されたサービス アカウントを移行します。
管理されたサービス アカウントはコンピューターより先に移行する必要があります。
- すべてのユーザー アカウントを移行します。
そのとき移行元ドメインではアカウントを有効にし、移行先ドメインでは無効にします。
また複雑なパスワードを選択し、属性は移行しません。
- ユーザーのバッチごとにローカル ユーザー プロファイルを変換します。
- ユーザー アカウントのバッチに対応するワークステーションの各バッチを移行します。
- ユーザー アカウントのバッチを移行する前に、バッチ内のすべてのユーザーに関して
ローカル プロファイルとワークステーションの移行が成功したことを確認します。
プロファイルまたはワークステーションの移行が失敗したユーザー アカウントは、移行しないでください。
それらを移行すると、ユーザーが移行先ドメインにログオンしたときに、既存のプロファイルが上書きされます。
- ユーザー アカウントをバッチで再移行します。
移行元ドメインでアカウントの有効期限を 7 日間に設定し、
移行先アカウントを有効にし、パスワードの移行を選択して、すべての属性を移行します。
- 各バッチの終了後、すべてのグローバル グループを再移行して
グループ メンバーシップの変更を更新します。
- バッチ内のユーザーに、
移行先ドメインにログオンするように通知します。
- すべてのユーザーを移行したら、
最終のグローバル グループの移行を実行して
グループ メンバーシップの変更を更新します。
- SID の履歴を使用しないアカウントの移行
http://technet.microsoft.com/ja-jp/library/cc974406.aspx
- 管理されたサービス アカウントを移行します。
管理されたサービス アカウントはコンピューターより先に移行する必要があります。
- すべてのユーザーを移行します。
[ユーザーのグループ メンバーシップを修正] オプションを使用して、
Active Directory 移行ツール (ADMT) が移行元ドメインでユーザーが属していたグローバル グループを
移行先ドメイン内で識別して、移行先ドメイン内の適切なグローバル グループにユーザーを追加するようにします。
この初期ユーザー移行では、移行元ドメインではユーザー アカウントを有効にし、移行先ドメインでは無効にします。
- ファイル、共有、プリンター、ローカル グループ、
およびドメイン ローカル グループのセキュリティを追加モードで変換します。
- ユーザーのバッチごとにローカル ユーザー プロファイルを変換します。
- ユーザー アカウントのバッチに対応するワークステーションの各バッチを移行します。
- ユーザー アカウントのバッチを移行する前に、
バッチ内のすべてのユーザーに関してローカル プロファイルとワークステーションの移行が成功したことを確認します。
プロファイルまたはワークステーションの移行に失敗したユーザー アカウントは移行しないでください。
それらを移行すると、ユーザーが移行先ドメインにログオンしたときに、既存のプロファイルが上書きされます。
- 移行先アカウントが有効化され、パスワードの移行が選択され、
すべての属性が移行対象として選択された状態で、
7 日間で期限切れになるように設定された移行元ドメイン内のアカウントを使用して、
ユーザー アカウントを少量バッチ単位で再移行します。
- 各バッチの終了後、すべてのグローバル グループを
再移行してグループ メンバーシップの変更を更新します。
- すべてのユーザーを移行したら、
最終のグローバル グループの移行を実行して
グループ メンバーシップの変更を更新します。
- ファイル、共有フォルダー、プリンター、ローカル グループ、
およびドメイン ローカル グループのセキュリティを削除モードで変換します。
- バッチ内のユーザーに、移行先ドメインにログオンするように通知します。
難易度 †
ADMTを使用した移行はわりと難易度が高いとのことで、
- トラブル発生時の復旧計画(ロールバック)を立てて作業する。
- 仮想化環境を使用した検証環境などで検証しながらの作業が良い。
ロールバック計画 †
Tags: :移行, :Active Directory