Active Directory（移行）のバックアップ(No.1)

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
Active Directory（移行）へ行く。
- 1 (2014-09-11 (木) 17:11:41)
- 2 (2014-09-11 (木) 17:19:02)
- 3 (2014-09-25 (木) 20:54:54)
- 4 (2015-08-28 (金) 14:40:49)
- 5 (2015-12-01 (火) 15:55:43)
- 6 (2016-01-26 (火) 13:02:34)
- 7 (2017-01-04 (水) 15:56:40)
- 8 (2017-01-12 (木) 17:22:27)
- 9 (2017-02-27 (月) 18:29:29)
- 10 (2017-10-06 (金) 16:25:02)

戻る

目次 †

目次
概要
移行方式
- Windows Q&A ： Active Directory
  - インプレース・アップグレード
  - パラレル・インストール
- Windows Server 2008導入実践ナビ
移行手順
- サイト
- ポイント（2000/2003 → 2008/2008R2）
  - 同一ドメインでの移行
  - 別ドメインへの移行
ツール類
注意点

↑

概要 †

↑

移行方式 †

以下のサイトから、以下の３つの
Active Directory移行方式があることが解る。

インプレース・アップグレード
パラレル・インストール（ローリング・アップグレード）
新規構築（ドメインごと新規構築）

↑

Windows Q&A ： Active Directory †

Windows Q&A～Windows管理者の気になる疑問に答える～Active Directory

Active Directoryへの移行コストは、
移行に使用する技術によって大きく変化する。
ここでは、移行コストの安い順に紹介する。
（Windows NT PDCをWindows 2000にアップグレード）

↑

インプレース・アップグレード †

稼働中のNT PDCをWindows 2000にアップグレードすると、
自動的にActive Directoryが構成される。これを「インプレース・アップグレード」という。
インプレース・アップグレードの場合、特別な移行コストはかからない。
- 半日から1日もあれば移行は完了するし、
- 2台以上のドメイン・コントローラがあれば、移行中にネットワークを停止させる必要もない。

↑

パラレル・インストール †

稼動中のNTドメインをそのままにして、新たにActive Directoryを新規構築し、その後、Windows NTユーザをActive Directoryに移行することができる。
パラレル・インストールの場合、少なくとも1台のPCを新規に用意する必要がある。そのため、ハードウェア・コストが若干増加する。

パラレル・インストール後のユーザー移行

無償ツールの利用
ユーザーの移行には、マイクロソフトが無償で配布しているADMT（Active Directory Migration Tool）や各種のスクリプトが使える。これらのツールを使う場合には追加コストはかからない。小規模なサイトの移行にはこれで十分だろう。ただし、ADMTは多くの機能を持つため、付属するドキュメントだけでは使い方がよく理解できないかもしれない。直接的な移行コストではないが、ADMTの使い方を含め、Active Directoryドメインへの移行の詳細を学習するには、マイクロソフト公式教育カリキュラム「Microsoft Windows 2000マイグレーション設計（#2010）」などを受講するとよい。受講料は提供会社によって若干異なるが、おおむね10万円程度である。

NetIQ社のツールを利用
NetIQ社の移行ツール「Domain Migration Administrator（DMA）」を使う方法もある。もともとADMTはNetIQの技術を使っているが、DMAに比べると機能が制限されている。例えば、ADMTにはパスワード移行の機能がないが、DMAはパスワードもそのまま移行できる。また、段階的な移行プロジェクトをサポートする機能を持つなど、大規模環境での移行を支援する。ただし、DMAはADMT以上に多くの機能を持っているため、非常に複雑である。しかも、ほとんどの場合、移行は1回限りの作業であり、製品技術の修得にかけたコストを回収するのは難しいかもしれない。適切なコンサルティング・サービスを購入することも検討したい。マイクロソフト社は「Speed Migrationサービス」として、DMAを使った移行サービスプログラムを支援している。詳細はこの件に関するマイクロソフトのページを参照してほしい。

↑

Windows Server 2008導入実践ナビ †

'- 第1回 Active Directoryアップグレード方法論：ITpro
http://itpro.nikkeibp.co.jp/article/COLUMN/20080701/309864/

Windows Server 2000およびWindows Server 2003ベースの
Active Directoryのアップグレードの考え方と作業内容について記載。
（2000/2003 → 2008ベースのActive Directoryにアップグレード）

↑

移行方式の種類 †

インプレース・アップグレード
既存のActive Directoryのドメイン・コントローラのOSを、
直接Windows Server 2008へアップグレードする。

ローリング・アップグレード
既存のActive Directoryに、新規にWindows Server 2008が動作するドメイン・コントローラを追加する。（なお、本来はこの方法も「インプレース・アップグレード」と呼ばれるが、この記事では区別をはっきりさせるために「ローリング・アップグレード」という言葉で表現する。なお、クラスタ環境において運用系サーバーを切り替えながら更新プログラムを適用する際などに使われる方法もローリング・アップグレードと呼ばれるが、この記事で使うローリング・アップデートはそれとは違うものなので注意されたい。2008/12/06 16:00追記）

新規構築
既存のActive Directoryとは別に、新しくActive Directoryを構築する。
その後、必要なドメイン・オブジェクトを既存のActive Directoryから移行する。

↑

各移行方式の評価 †

表1:アップグレード方法ごとの既存環境への影響度合い
◎：特に影響が小さい　○：影響が小さい　△：作業条件により異なる　×：影響が大きい
(3)の方法に関して、ADMT（Active Directory移行ツール）v3.0を利用してWindows Server 2003ベースのActive Directoryへの移行を行う作業を想定。

－	(1)インプレース・アップグレード	(2)ローリング・アップグレード	(3)新規構築
既存DCへの影響度	×	○	◎＊
既存クライアントへの影響度	△	○	△＊
アップグレード全体の作業量	◎	○	△＊
作業切り戻しの容易さ	×	○	△＊

(1)インプレース・アップグレードは、作業の確実性、安全性が求められる企業内環境で実施する方法としてはあまり現実的な方法ではない。既存のドメイン・コントローラとして、Windows Server 2000/2003およびWindows Server 2008の両方のOSをサポートするハードウエア、ソフトウエアが必要なことに加え、既存環境自体を変更することになるため作業の切り戻しが煩雑であるからだ。

一方、(2)ローリング・アップグレード、(3)新規構築は、既存環境への変更が比較的少なく、段階的な移行を行うことができるため、Windows Server 2003ベースのActive Directoryへの移行のころから良く使われてきた手法である。特に(2)は、(3)の方法に比べて、ユーザー、コンピュータなどの既存のドメイン・オブジェクトへの影響が少ないため、既存のActive Directory環境においてドメイン・オブジェクト構成がすでに適切に整理されている場合には、ほかの方法よりも少ない手順でアップグレードできる。

↑

ローリングアップグレードの作業概要 †

基本的なローリング・アップグレードの作業タスクは、以下の通りである。

既存Active Directoryのスキーマ拡張
Windows Server 2008が動作するドメイン・コントローラの追加
FSMO＊2役割の移動
Windows Server 2000/2003が動作するドメイン・コントローラの削除
フォレスト、ドメインの機能レベルの変更
SYSVOL複製方法の変更

参考
- Windows Server 2008 R2 Active Directoryへ
  移行方法(Windows 2003 ADから) - puti se note
  http://www.putise.com/server/windows-serevr-2008-r2/windows-server-2008-r2-active-directory-from-windows-2003-ad

↑

移行手順 †

インストレーションの手順は下記参照（ただし2008の手順）。

Active Directory（インストール）?

↑

サイト †

↑

富士通（2003） †

Windows Server 2003 Active Directory移行ガイド
http://jp.fujitsu.com/platform/server/primergy/technical/construct/ad_guid/pdf/migration_guid.pdf

NT4.0ドメインからの移行
- （上記で言うところの）新規構築。
- 手順はNT4.0→2003への移行手順となっている。

同一ドメインでの移行（推奨）
- （上記で言うところの）ローリング・アップグレード。
- 手順は2000→2003への移行手順となっている。

について説明している。

（NT4.0/2000 → 2003ベースのActive Directoryにアップグレード）

↑

富士通（2008/2008R2） †

Windows Server 2008/2008 R2
Active Directory 移行の手引き
～Windows 2000 ドメインからの移行～
http://jp.fujitsu.com/platform/server/primergy/technical/construct/pdf/win2008-active-directory03.pdf

同一ドメインでの移行（推奨）
- （上記で言うところの）ローリング・アップグレード。
- 資料中では「既存ドメインのバージョンアップ」となっている。
- 手順は2000→2008R2への移行手順となっている。

別ドメインへの移行
- （上記で言うところの）新規構築。
- 資料中では「新規ドメイン構築＆アカウント移行」となっている。
- 段階的移行が必要な場合や、既存ドメインへの統合が問題となる場合に選択。
- 手順は2000→2008への移行手順となっている。
  これは、当時2008R2対応のADMTがリリースされていなかったため。

について説明している。

（2000 → 2008/2008R2ベースのActive Directoryにアップグレード）

↑

富士通（2012） †

Windows Server 2012 Active Directory 環境へのドメイン移行の考え方
http://jp.fujitsu.com/platform/server/primergy/technical/construct/pdf/win2012-active-directory03.pdf

Windows Server 2012 Active Directory 移行の手引き
http://jp.fujitsu.com/platform/server/primergy/technical/construct/pdf/win2012-active-directory01.pdf

2012用ADMTがリリースされていないため
同一ドメインでの移行（推奨）のみの記載。

（2003/2008/2008R2 → 2012ベースのActive Directoryにアップグレード）

↑

slideshare †

Active directory の移行（2011年6月の資料）
http://www.slideshare.net/wintechq/active-directory-13274008

同一ドメインでの移行
- （上記で言うところの）ローリング・アップグレード。
- 資料中では「アップグレードによる移行」となっている。

別ドメインへの移行
- （上記で言うところの）新規構築。
- 資料中では「再構築による移行」となっている。

について説明している。

（2003 → 2008R2ベースのActive Directoryにアップグレード）

↑

公式ガイド †

マイクロソフト公式ダウンロードセンターから
Active Directory 移行ツール(ADMT) ガイド
Active Directory ドメインの移行と再構築をダウンロード
http://www.microsoft.com/ja-jp/download/details.aspx?id=19188

（2000/2003 → 2008/2008R2ベースのActive Directoryにアップグレード）

同一ドメインでの移行
なし

別ドメインへの移行
ADMT前提の手順のため、（上記で言うところの）新規構築のみを紹介している。
ADMTを使用した別ドメインへの移行の手順としては、最も手順が詳細に記述されている。

別フォレストでの移行パターン
（フォレスト間のActive Directoryドメインの再構築）
- SID履歴を使用する移行パターン。
  （SID履歴を使用したアカウントの移行）
- SID履歴を使用しない移行パターン。
  （SID履歴を使用しないアカウントの移行）

同一フォレストでの移行パターン
（フォレスト内のActive Directoryドメインの再構築）

↑

その他 †

移行元ドメイン停止と ADMTv3によるフォレスト間移行手順まとめ - hb
http://d.hatena.ne.jp/tomishima/20090531/1243765748
Windows 2000 AD から Windows 2003 AD へのフォレスト間移行

↑

ポイント（2000/2003 → 2008/2008R2） †

↑

同一ドメインでの移行 †

機能レベル：移行元のドメインの機能レベルをWindows2000ネイティブ以上に上げる
- 全ての既存DCが Windows 2000 Server SP4 以降である必要がある。

フォレストのスキーマ拡張
- 32bit:adprep32 /forestprep
- 64bit:adprep /forestprep

RODCのためのスキーマ拡張
- 32bit:adprep32 /rodcprep
- 64bit:adprep /rodcprep

ドメインのスキーマ拡張
- 32bit:adprep32 /domainprep /gpprep
- 64bit:adprep /domainprep /gpprep

操作モード（Windows 2000 Server の場合）
操作モードが混在モードの場合、ネイティブモードに変更。

新しいDC（2008R2）の追加

FSMOの転送
- スキーママスタ
- ドメイン名前付け操作マスタ
- インフラストラクチャマスタ
- PDCマスタ
- RIDマスタ

データの移行
- GPOの移行はレプリケーションによって行われる。

DNS情報の移行は
- 統合ゾーンの場合、レプリケーションによって行われる。
- プライマリ/セカンダリの場合、ゾーン転送によって行われる。

古いDC（2000/2003）の降格（レプリケーションの確認は？）

IPアドレスの変更

新旧DCのIPを差し替える

ドメインメンバPCの設定変更
- 手動
- DHCP

その他

機能レベルを変更（昇格）
- ドメインの機能レベルを変更（昇格）
- フォレストの機能レベルを変更（昇格）

SYSVOL複製方式の変更（2000ドメインから変更する場合）
2003R2以降では、複製方式をFRSからDFRSに変更できる。

↑

別ドメインへの移行 †

下記のADMTを前提とする。

移行元DC：2000、移行先DC：2008、ツール：ADMT v3.1の場合
- 移行元ドメインの機能レベルを、Windows 2000 ネイティブ以上に上げる。
移行元DC：2003、移行先DC：2008R2、ツール：ADMT v3.2の場合
- 移行元ドメインの機能レベルを、Windows 2003 以上に上げる。

信頼関係（双方向）の構築

DCの参照するDNS
- 新規DCの代替DNS設定を既存ドメインのDNSに変更
- 既存DCの代替DNS設定を新規ドメインのDNSに変更

DNSのセカンダ・リゾーン

初めに、ドメインのDNSはゾーン転送を許可しておく。

既存ドメインのDNSは、新規ドメインのセカンダ・リゾーン
前方参照ゾーン（セカンダリ・リゾーン）を作成。

新規ドメインのDNSは、既存ドメインのセカンダ・リゾーン
前方参照ゾーン（セカンダリ・リゾーン）を作成し、外部の信頼を双方向に構築。

ADMTサーバを構築
新規ドメインに参加する移行専用サーバとして準備（新規DC上でも可能）。

移行先ドメインへの ADMT のインストール
http://technet.microsoft.com/ja-jp/library/cc974370.aspx
- ADMT v3.1 をインストールするための前提条件
- ADMT v3.2 をインストールするための前提条件

SQL ServerをWindows認証モードでインストール

ADMTインストール

ADMT初期設定（初回実行時、自動）
- SID履歴監査のためのグループ登録
- 監査設定など。

移行用アカウント（MigUser?）の作成
http://technet.microsoft.com/ja-jp/library/cc974398.aspx
- 既存ドメイン：Domain Adminsグループ
- 新規ドメイン：Administratorsグループ（新規DC：built-in）
- ADMTサーバ：Administratorsグループ（ADMTサーバ：built-in）

パスワード移行の準備
- ADMTサーバ上のコマンドでサーバ暗号化キーのパスワード・エクスポート
- PESのインストール（上記の暗号化キーをパスワード・インポート）
- PESサービスの実行アカウントに、上記の移行用アカウントを選択。
- ADMTでの移行時に、PESサービスを手動起動する。

移行可能なオブジェクトの確認

アカウント移行

サービス
エージェントを送り込み、識別のみ行い、
その後ユーザアカウントとして移行。
サービスとしてログオンする権限が付与される。

グループ

ユーザ
オプションとして、SID履歴、PWD移行、移行元アカウントの無効化.etcなどを選択可能

コンピュータ
オプションとして、各種変換項目を選択可能
NT互換の暗号化アルゴリズムの有効化が必要（GPO or Reg設定）。

オブジェクト変換
- ユーザ権利
  移行元ドメインのユーザのユーザ権利を
  移行先ドメインのユーザのユーザ権利に変換。

アクセス権
下記オブジェクトのアクセス権に移行先アカウントを含める。
ファイルとフォルダ、プリンタ、レジストリ、共有

ローカルグループ
ローカルグループに移行先アカウントを含める。

プロファイル類
移行先ドメインのアカウントでも使用可能なように変換。

移行不可能なオブジェクトの確認
- 連絡先、プリンタ、共有フォルダ
- OU（個別に作成する必要がある）
- GPO（下記のGPMCを使用して移行する）

移行作業例
- 移行元・移行先ドメインの時刻が一致していること。
- 移行手順は移行パスによって異なるため、詳細はADMTガイドを参照。

その他ファイルサーバのリソース移行
（FSMT等を使用、移行前にEFS暗号化は解除）。

既存ドメインの破棄
- 双方向の信頼関係の破棄
- DNSセカンダ・リゾーンの破棄
- 新規DCの代替DNS設定を既存DNSから変更

↑

ツール類 †

↑

ADMT：Active Directory Migration Tool †

ユーザーアカウントを移動する
http://technet.microsoft.com/ja-jp/library/cc754404.aspx
[Active Directory ユーザーとコンピューター] を使用して別のドメインにユーザーアカウントを移動することはできません。別のドメインにユーザーを移動するには、Active Directory 移行ツール (ADMT) を使用します。これは Active Directory サポートツールです。

Active Directory移行ツールでドメイン情報を移行する－＠IT
http://www.atmarkit.co.jp/fwin2k/win2ktips/971admt1/admt1.html
- NTドメインやActive Directoryドメインからユーザーやグループ、ユーザー・パスワード、コンピュータ・アカウントなどの情報を取り出し、別のActive Directoryドメインへ移行させるために利用できるGUIベースのツールである。

それぞれの具体的な機能や使い方については今後別TIPSで触れるが、簡単に述べておくと次のような機能を持っている。

移行元ドメインから、指定した

ユーザー・アカウント（と可能ならパスワード）、
ユーザー・プロファイル、権限などの情報

グループ・アカウントの情報

コンピュータ・アカウントの情報

サービス・アカウントの情報

ユーザーのパスワード情報だけ

ユーザーやグループ、コンピュータ・アカウントの
セキュリティ設定を移行先ドメインへコピーする。

を、移行先ドメインへコピー／作成する。

レポートを作成する。
コマンド・プロンプトで、上記のような作業を行う（バッチ的に実行する場合に便利）

ITレポート（動向／解説） - Active Directory移行ツール日本語版が登場：ITpro
http://itpro.nikkeibp.co.jp/members/NT/ITARTICLE/20000601/2/
- オブジェクト別にウィザードを起動
- SID履歴を使いアクセス権を移行
- 事前の入念なテストが必須

↑

ポイント †

パスワード移行のためには、
PES（Password Export Server）を使用する。

移行対象には以下も含まれる。
- アカウント
  - サービス
  - グループ
  - ユーザ
  - コンピュータ

その他
- ローカル・プロファイル
  セキュリティ変換：追加モードか、置換モードか。
  置換モードの場合は、移行元環境へのロールバックの難易度が上がる。

移動プロファイル

Active Directoryのオブジェクトを別ドメインに移行すると、
オブジェクト内部のSIDは再採番されるため、

例えば

元ドメインのユーザアカウント（SID）を
移行先ドメインで利用する場合、

SID履歴を使用して、新規オブジェクトに旧オブジェクトのSIDを持たせる。

という点である。

↑

その他のアカウント移行ツール †

何らかの理由で、SID履歴を使用できない場合、
下記のその他のツールを使用することで移行可能。

Active Directoryのアカウント情報をエクスポートする（ldifdeコマンド編）－＠IT
http://www.atmarkit.co.jp/fwin2k/win2ktips/1431ldifex/ldifex.html
- 管理者必見！ネットワーク・コマンド集
  ldifdeコマンドでパスワードをインポートする：ITpro
  http://itpro.nikkeibp.co.jp/article/COLUMN/20071212/289420/
- Ldifde ではユーザーのパスワードを設定する方法
  http://support.microsoft.com/kb/263991/ja

Active Directoryのアカウント情報をエクスポートする（csvdeコマンド編）－＠IT
http://www.atmarkit.co.jp/fwin2k/win2ktips/1426csvdex/csvdex.html
- csvdeコマンドで複数のユーザー・アカウントを一括登録する
  http://itpro.nikkeibp.co.jp/article/COLUMN/20071127/288113/

Active Directory移行の指南書 - builder
http://builder.japan.zdnet.com/os-admin/35031227/

↑

FSMT：File Server Migration Toolkit †

ファイルサーバー引っ越しツール、FSMT
Windows Server 使い倒し塾 - Site Home - TechNet? Blogs
http://blogs.technet.com/b/windowsserverjp/archive/2009/03/20/3215592.aspx
- マイクロソフト公式ダウンロードセンターから
  Microsoft File Server Migration Toolkit 1.2 をダウンロード
  http://www.microsoft.com/ja-jp/download/details.aspx?id=10268

＠IT：製品レビュー：FSMTによるNTファイル・サーバ移行計画
http://www.atmarkit.co.jp/fwin2k/productreview/fsmt-01/fsmt-01_01.html
FSMT移行ツールでファイル・サーバを移行する（基本編）－＠IT
http://www.atmarkit.co.jp/fwin2k/win2ktips/976fsmt1/fsmt1.html

Microsoftファイルサーバー移行ツールキット Technically Impossible
http://moon.ap.teacup.com/shelter9/127.html
robocopyより便利
1. アクセス許可、監査、所有権のコピー
2. 無効なセキュリティ記述子の解決
3. 移行元サーバーの共有フォルダの共有停止
4. 失敗時の再試行、ロール･バック

Windows TIPS：robocopyでフォルダをバックアップ／同期させる - ＠IT
http://www.atmarkit.co.jp/ait/articles/0704/20/news130.html
Robocopy を使用して、ファイルのデータをコピーせずにセキュリティ情報をコピーする方法
http://support.microsoft.com/kb/323275

↑

USMT:User State Migration Tool †

展開のシナリオで、クライアントOSの
ユーザーの状態、データ、および設定の移行をサポートする。

Windows 7 IT 担当者向けの USMT ガイド
http://technet.microsoft.com/ja-jp/magazine/jj127984.aspx
ユーザー状態移行ツール (USMT) 4.0 は、Windows 7 の展開プロジェクトで、
ユーザーの状態、データ、および設定を移行するのに使用できる無償のツールセットです。

USMT で移行されるもの
- ユーザー補助の設定
- アドレス帳
- コマンドプロンプトの設定
- デスクトップの壁紙 (オフラインバックアップを使用した場合は移行されません)
- 暗号化ファイルシステム (EFS) ファイル
- お気に入り
- フォルダーのオプション
- フォント
- グループメンバーシップ
- Internet Explorer の設定 (オフラインバックアップを使用した場合は移行されません)
- Microsoft ODBC の設定
- マウスとキーボードの設定
- ネットワークドライブのマッピング
- ネットワークプリンターのマッピング (オフラインバックアップを使用した場合は移行されません)
- オフラインファイル (オフラインバックアップを使用した場合は移行されません)
- 電話とモデムのオプション (オフラインバックアップを使用した場合は移行されません)
- リモートアクセスサービス (RAS) 接続と電話帳 (.pbk) ファイル
- 地域設定 (オフラインバックアップを使用した場合は移行されません)
- リモートアクセス
- タスクバーの設定 (オフラインバックアップを使用した場合は移行されません)
- Windows メール (Windows XP からの移行では Microsoft Outlook Express メール (.dbx) ファイルが移行されます)
- Windows Media Player (オフラインバックアップを使用した場合は移行されません)
- Windows Rights Management

Windows 7 用の新しいユーザー状態移行ツールキット (USMT) の機能 TechNet?
http://technet.microsoft.com/ja-jp/windows/dd902172.aspx

USMT によって移行されるもの
http://technet.microsoft.com/ja-jp/library/dd560792.aspx

↑

GPMC †

グループ・ポリシー管理コンソール（GPMC）－＠IT
http://www.atmarkit.co.jp/fwin2k/tutor/gpolicy07/gpolicy07_01.html

Windows Active Directory
グループ・ポリシー管理コンソール（GPMC）の使い勝手を試す：ITpro

Windows読者限定 - GPMCでGPOのバックアップとコピーが簡単に：ITpro
- http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20050209/1/?ST=win
- http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20050209/2/?ST=win

↑

注意点 †

↑

機能レベル †

移行元の機能レベル（フォレスト、ドメイン）を確認する。
移行手順によって、移行元ドメインの機能レベルを上げる必要のあるケースがある。

↑

SID 履歴 †

基本的には、SID履歴を使用する方式を採用する。

↑

問題 †

問題点はあまり多くはない模様。

SIDフィルター
新規ドメインから、既存ドメインのリソースに
アクセスを可能にする場合、SIDフィルターを無効にする。

ユーザーアカウント移行時の SID フィルターの使用
http://technet.microsoft.com/ja-jp/library/cc974396.aspx

SID History を保持していても移行先アカウントで古いリソースにアクセス出来ない
http://social.technet.microsoft.com/Forums/windowsserver/ja-JP/67ec18a5-069b-4cec-a227-362a79ceec39/sid-history-
netdom trust に、/enablesidhistory:Yes　のオプションを追加することで、
古いフォレストのりソースへのアクセスが可能になりました。

[XADM] NTDSNomatch が SID 履歴を使用した検索に対応しない
http://support.microsoft.com/kb/280354/ja

↑

SID履歴を使用する場合と、使用しない場合 †

SID履歴を使用しないケースは

移行先ドメインを信頼しない場合で、
且つユーザとリソースを同時に移行できない場合。

となる。

SID の履歴を使用したアカウントの移行
http://technet.microsoft.com/ja-jp/library/cc974384.aspx
1. 管理されたサービスアカウントを移行します。
  管理されたサービスアカウントはコンピューターより先に移行する必要があります。
2. すべてのユーザーアカウントを移行します。
  そのとき移行元ドメインではアカウントを有効にし、移行先ドメインでは無効にします。
  また複雑なパスワードを選択し、属性は移行しません。
3. ユーザーのバッチごとにローカルユーザープロファイルを変換します。
4. ユーザーアカウントのバッチに対応するワークステーションの各バッチを移行します。
5. ユーザーアカウントのバッチを移行する前に、バッチ内のすべてのユーザーに関して
  ローカルプロファイルとワークステーションの移行が成功したことを確認します。
  プロファイルまたはワークステーションの移行が失敗したユーザーアカウントは、移行しないでください。
  それらを移行すると、ユーザーが移行先ドメインにログオンしたときに、既存のプロファイルが上書きされます。
6. ユーザーアカウントをバッチで再移行します。
  移行元ドメインでアカウントの有効期限を 7 日間に設定し、
  移行先アカウントを有効にし、パスワードの移行を選択して、すべての属性を移行します。
7. 各バッチの終了後、すべてのグローバルグループを再移行して
  グループメンバーシップの変更を更新します。
8. バッチ内のユーザーに、
  移行先ドメインにログオンするように通知します。
9. すべてのユーザーを移行したら、
  最終のグローバルグループの移行を実行して
  グループメンバーシップの変更を更新します。

SID の履歴を使用しないアカウントの移行
http://technet.microsoft.com/ja-jp/library/cc974406.aspx
1. 管理されたサービスアカウントを移行します。
  管理されたサービスアカウントはコンピューターより先に移行する必要があります。
2. すべてのユーザーを移行します。
  [ユーザーのグループメンバーシップを修正] オプションを使用して、
  Active Directory 移行ツール (ADMT) が移行元ドメインでユーザーが属していたグローバルグループを
  移行先ドメイン内で識別して、移行先ドメイン内の適切なグローバルグループにユーザーを追加するようにします。
  この初期ユーザー移行では、移行元ドメインではユーザーアカウントを有効にし、移行先ドメインでは無効にします。
3. ファイル、共有、プリンター、ローカルグループ、
  およびドメインローカルグループのセキュリティを追加モードで変換します。
4. ユーザーのバッチごとにローカルユーザープロファイルを変換します。
5. ユーザーアカウントのバッチに対応するワークステーションの各バッチを移行します。
6. ユーザーアカウントのバッチを移行する前に、
  バッチ内のすべてのユーザーに関してローカルプロファイルとワークステーションの移行が成功したことを確認します。
  プロファイルまたはワークステーションの移行に失敗したユーザーアカウントは移行しないでください。
  それらを移行すると、ユーザーが移行先ドメインにログオンしたときに、既存のプロファイルが上書きされます。
7. 移行先アカウントが有効化され、パスワードの移行が選択され、
  すべての属性が移行対象として選択された状態で、
  7 日間で期限切れになるように設定された移行元ドメイン内のアカウントを使用して、
  ユーザーアカウントを少量バッチ単位で再移行します。
8. 各バッチの終了後、すべてのグローバルグループを
  再移行してグループメンバーシップの変更を更新します。
9. すべてのユーザーを移行したら、
  最終のグローバルグループの移行を実行して
  グループメンバーシップの変更を更新します。
10. ファイル、共有フォルダー、プリンター、ローカルグループ、
  およびドメインローカルグループのセキュリティを削除モードで変換します。
11. バッチ内のユーザーに、移行先ドメインにログオンするように通知します。

↑

FSMO †

FSMOの移行も忘れずに。

↑

ネットワークサービスの移行 †

DNS、DHCP、WINSなど関連するネットワークサービスの移行も考慮する。

↑

難易度 †

ADMTを使用した移行はわりと難易度が高いとのことで、

トラブル発生時の復旧計画（ロールバック）を立てて作業する。
仮想化環境を使用した検証環境などで検証しながらの作業が良い。

↑

Active Directory（移行） のバックアップ(No.1)

目次 †

概要 †

移行方式 †

Windows Q&A ： Active Directory †

インプレース・アップグレード †

パラレル・インストール †

Windows Server 2008導入実践ナビ †

移行方式の種類 †

各移行方式の評価 †

ローリングアップグレードの作業概要 †

移行手順 †

サイト †

富士通（2003） †

富士通（2008/2008R2） †

富士通（2012） †

slideshare †

公式ガイド †

その他 †

ポイント（2000/2003 → 2008/2008R2） †

同一ドメインでの移行 †

別ドメインへの移行 †

ツール類 †

ADMT：Active Directory Migration Tool †

ポイント †

その他のアカウント移行ツール †

FSMT：File Server Migration Toolkit †

USMT:User State Migration Tool †

GPMC †

注意点 †

機能レベル †

SID 履歴 †

問題 †

SID履歴を使用する場合と、使用しない場合 †

FSMO †

ネットワークサービスの移行 †

DNS †

DHCP †

WINS †

難易度 †

ロールバック計画 †