[[Open棟梁Project>http://opentouryo.osscons.jp/]] - [[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]] -[[戻る>ドメイン サービス (AD DS)]] * 目次 [#s11ea68d] #contents *概要 [#z5f89e34] *移行方式 [#i7caabde] 以下のサイトから、以下の3つの~ Active Directory移行方式があることが解る。 -インプレース・アップグレード --別のハードの準備が不要 --一時的にサービスが停止する。 -パラレル・インストール(ローリング・アップグレード) --レプリケーションによる移行 --別のハードの準備が必要 --サービスが停止しない。 -新規構築(ドメインごと新規構築) -ユーザー移行 --マイクロソフトが無償で配布しているADMT(Active Directory Migration Tool) --NetIQ社の移行ツール「Domain Migration Administrator(DMA)」 **Windows Q&A : Active Directory [#e0359d04] Windows Q&A~Windows管理者の気になる疑問に答える~Active Directory -http://www.atmarkit.co.jp/fwin2k/qanda/003ad/ad_01.html -http://www.atmarkit.co.jp/fwin2k/qanda/003ad/ad_02.html -http://www.atmarkit.co.jp/fwin2k/qanda/003ad/ad_03.html Windows NT PDCをWindows 2000にアップグレード **Windows Server 2008導入実践ナビ [#f141a894] '- 第1回 Active Directoryアップグレード方法論:ITpro~ http://itpro.nikkeibp.co.jp/article/COLUMN/20080701/309864/ Windows Server 2000およびWindows Server 2003ベースの~ Active Directoryのアップグレードの考え方と作業内容について記載。~ (2000/2003 → 2008ベースのActive Directoryにアップグレード) ***各移行方式の評価 [#ue9e0634] 上記のサイトを参照のこと。 ***ローリングアップグレードの作業概要 [#d835fefb] 基本的なローリング・アップグレードの作業タスクは、以下の通りである。 +既存Active Directoryのスキーマ拡張 +Windows Server 2008が動作するドメイン・コントローラの追加 +FSMO*2役割の移動 +Windows Server 2000/2003が動作するドメイン・コントローラの削除 +フォレスト、ドメインの機能レベルの変更 +SYSVOL複製方法の変更 -参考 --Windows Server 2008 R2 Active Directoryへ~ 移行方法(Windows 2003 ADから) - puti se note~ http://www.putise.com/server/windows-serevr-2008-r2/windows-server-2008-r2-active-directory-from-windows-2003-ad *移行手順 [#z5274808] **富士通さん [#if8994f9] ***(2003) [#kbae66bc] Windows Server 2003 Active Directory移行ガイド~ http://jp.fujitsu.com/platform/server/primergy/technical/construct/ad_guid/pdf/migration_guid.pdf -NT4.0ドメインからの移行 --(上記で言うところの)新規構築。 --手順はNT4.0→2003への移行手順となっている。 -同一ドメインでの移行(推奨) --(上記で言うところの)ローリング・アップグレード。 --手順は2000→2003への移行手順となっている。 について説明している。 (NT4.0/2000 → 2003ベースのActive Directoryにアップグレード) ***(2008/2008R2) [#c1482458] Windows Server 2008/2008 R2 Active Directory 移行の手引き~ ~Windows 2000 ドメインからの移行~~ http://jp.fujitsu.com/platform/server/primergy/technical/construct/pdf/win2008-active-directory03.pdf -同一ドメインでの移行(推奨) --(上記で言うところの)ローリング・アップグレード。 --資料中では「既存ドメインのバージョンアップ」となっている。 --手順は2000→2008R2への移行手順となっている。 -別ドメインへの移行 --(上記で言うところの)新規構築。 --資料中では「新規ドメイン構築&アカウント移行」となっている。 --段階的移行が必要な場合や、既存ドメインへの統合が問題となる場合に選択。 --手順は2000→2008への移行手順となっている。~ これは、当時2008R2対応のADMTがリリースされていなかったため。 について説明している。 (2000 → 2008/2008R2ベースのActive Directoryにアップグレード) ***(2012) [#j76a9a29] -Windows Server 2012 Active Directory 環境へのドメイン移行の考え方~ http://jp.fujitsu.com/platform/server/primergy/technical/construct/pdf/win2012-active-directory03.pdf -Windows Server 2012 Active Directory 移行の手引き~ http://jp.fujitsu.com/platform/server/primergy/technical/construct/pdf/win2012-active-directory01.pdf 2012用ADMTがリリースされていないため同一ドメインでの移行(推奨)のみの記載。~ (2003/2008/2008R2 → 2012ベースのActive Directoryにアップグレード) -同一ドメインでの移行 --(上記で言うところの)ローリング・アップグレード。 --資料中では「アップグレードによる移行」となっている。 -別ドメインへの移行 --(上記で言うところの)新規構築。 --資料中では「再構築による移行」となっている。 について説明している。 (2003 → 2008R2ベースのActive Directoryにアップグレード) **Microsoftさん [#h4b4b6a4] ***Active Directory ドメイン サービスおよび DNS サーバーの移行ガイド [#g8f3ace4] -Active Directory ドメイン サービスおよび DNS サーバーの移行ガイド~ http://technet.microsoft.com/ja-jp/library/dd379558(v=ws.10).aspx --AD DS および DNS サーバーの移行: 移行の準備 --AD DS および DNS サーバーの移行 : AD DS および DNS サーバーの役割の移行 --AD DS および DNS サーバーの移行 : 移行の検証 --AD DS および DNS サーバーの移行 : 移行後のタスク --AD DS および DNS サーバーの移行 : 付録 A - 移行データ収集ワークシート --AD DS および DNS サーバーの移行 : 付録 B - 移行確認ワークシート --AD DS および DNS サーバーの移行 : 付録 C - スタンドアロン DNS の移行 -同一ドメインでの移行~ あり -別ドメインへの移行~ なし ***Active Directory 移行ツール(ADMT) ガイド [#n21224bd] マイクロソフト公式ダウンロード センターから -Active Directory 移行ツール (ADMT) ガイド :~ Active Directory ドメインの移行と再構築~ http://www.microsoft.com/ja-jp/download/details.aspx?id=19188 をダウンロード (2000/2003 → 2008/2008R2ベースのActive Directoryにアップグレード) -同一ドメインでの移行~ なし -別ドメインへの移行~ ADMT前提の手順のため、(上記で言うところの)新規構築のみを紹介している。~ ADMTを使用した別ドメインへの移行の手順としては、最も手順が詳細に記述されている。 --別フォレストでの移行パターン~ (フォレスト間のActive Directoryドメインの再構築) ---SID履歴を使用する移行パターン。~ (SID履歴を使用したアカウントの移行) ---SID履歴を使用しない移行パターン。~ (SID履歴を使用しないアカウントの移行) --同一フォレストでの移行パターン~ (フォレスト内のActive Directoryドメインの再構築) **その他 [#w81167dc] -Active directory の移行 (2011年6月の資料)~ http://www.slideshare.net/wintechq/active-directory-13274008 -移行元ドメイン停止と ADMTv3によるフォレスト間移行手順まとめ - hb~ http://d.hatena.ne.jp/tomishima/20090531/1243765748 >Windows 2000 AD から Windows 2003 AD へのフォレスト間移行 **ポイント(2000/2003 → 2008/2008R2) [#n6e744f3] ***同一ドメインでの移行 [#x593ef6c] -機能レベル:移行元のドメインの機能レベルをWindows2000ネイティブ以上に上げる --全ての既存DCが Windows 2000 Server SP4 以降である必要がある。 --フォレストのスキーマ拡張 ---32bit:adprep32 /forestprep ---64bit:adprep /forestprep --RODCのためのスキーマ拡張 ---32bit:adprep32 /rodcprep ---64bit:adprep /rodcprep --ドメインのスキーマ拡張 ---32bit:adprep32 /domainprep /gpprep ---64bit:adprep /domainprep /gpprep -操作モード(Windows 2000 Server の場合)~ 操作モードが混在モードの場合、ネイティブモードに変更。 -新しいDC(2008R2)の追加 -FSMOの転送 --スキーママスタ --ドメイン名前付け操作マスタ --インフラストラクチャマスタ --PDCマスタ --RIDマスタ -データの移行 --GPOの移行はレプリケーションによって行われる。 --DNS情報の移行は ---統合ゾーンの場合、レプリケーションによって行われる。 ---プライマリ/セカンダリの場合、ゾーン転送によって行われる。 -古いDC(2000/2003)の降格(レプリケーションの確認は?) -IPアドレスの変更 --新旧DCのIPを差し替える --ドメインメンバPCの設定変更 ---手動 ---DHCP -その他 --機能レベルを変更(昇格) ---ドメインの機能レベルを変更(昇格) ---フォレストの機能レベルを変更(昇格) --SYSVOL複製方式の変更(2000ドメインから変更する場合)~ 2003R2以降では、複製方式をFRSからDFRSに変更できる。 ***別ドメインへの移行 [#se50efec] -下記のADMTを前提とする。 -移行元DC:2000、移行先DC:2008、ツール:ADMT v3.1の場合 --移行元ドメインの機能レベルを、Windows 2000 ネイティブ以上に上げる。 -移行元DC:2003、移行先DC:2008R2、ツール:ADMT v3.2の場合 --移行元ドメインの機能レベルを、Windows 2003 以上に上げる。 -信頼関係(双方向)の構築 --DCの参照するDNS ---新規DCの代替DNS設定を既存ドメインのDNSに変更 ---既存DCの代替DNS設定を新規ドメインのDNSに変更 --DNSのセカンダ・リゾーン ---初めに、ドメインのDNSはゾーン転送を許可しておく。 ---既存ドメインのDNSは、新規ドメインのセカンダ・リゾーン~ 前方参照ゾーン(セカンダリ・リゾーン)を作成。 ---新規ドメインのDNSは、既存ドメインのセカンダ・リゾーン~ 前方参照ゾーン(セカンダリ・リゾーン)を作成し、外部の信頼を双方向に構築。 -ADMTサーバを構築~ 新規ドメインに参加する移行専用サーバとして準備(新規DC上でも可能)。 --移行先ドメインへの ADMT のインストール~ http://technet.microsoft.com/ja-jp/library/cc974370.aspx ---ADMT v3.1 をインストールするための前提条件 ---ADMT v3.2 をインストールするための前提条件 --SQL ServerをWindows認証モードでインストール --ADMTインストール --ADMT初期設定(初回実行時、自動) ---SID履歴監査のためのグループ登録 ---監査設定など。 -移行用アカウント(MigUser)の作成~ http://technet.microsoft.com/ja-jp/library/cc974398.aspx --既存ドメイン:Domain Adminsグループ --新規ドメイン:Administratorsグループ(新規DC:built-in) --ADMTサーバ:Administratorsグループ(ADMTサーバ:built-in) -パスワード移行の準備 ---ADMTサーバ上のコマンドでサーバ暗号化キーのパスワード・エクスポート ---PESのインストール(上記の暗号化キーをパスワード・インポート) ---PESサービスの実行アカウントに、上記の移行用アカウントを選択。 ---ADMTでの移行時に、PESサービスを手動起動する。 -移行可能なオブジェクトの確認 --アカウント移行 ---サービス~ エージェントを送り込み、識別のみ行い、~ その後ユーザアカウントとして移行。~ サービスとしてログオンする権限が付与される。 ---グループ ---ユーザ~ オプションとして、SID履歴、PWD移行、移行元アカウントの無効化.etcなどを選択可能 ---コンピュータ~ オプションとして、各種変換項目を選択可能~ NT互換の暗号化アルゴリズムの有効化が必要(GPO or Reg設定)。 --オブジェクト変換 ---ユーザ権利~ 移行元ドメインのユーザのユーザ権利を~ 移行先ドメインのユーザのユーザ権利に変換。 ---アクセス権~ 下記オブジェクトのアクセス権に移行先アカウントを含める。~ ファイルとフォルダ、プリンタ、レジストリ、共有 ---ローカルグループ~ ローカルグループに移行先アカウントを含める。 ---プロファイル類~ 移行先ドメインのアカウントでも使用可能なように変換。 -移行不可能なオブジェクトの確認 --連絡先、プリンタ、共有フォルダ --OU(個別に作成する必要がある) --GPO(下記のGPMCを使用して移行する) -移行作業例 --移行元・移行先ドメインの時刻が一致していること。 --移行手順は移行パスによって異なるため、詳細はADMTガイドを参照。 -その他ファイルサーバのリソース移行~ (FSMT等を使用、移行前にEFS暗号化は解除)。 -既存ドメインの破棄 --双方向の信頼関係の破棄 --DNSセカンダ・リゾーンの破棄 --新規DCの代替DNS設定を既存DNSから変更 *ツール類 [#i5c0d258] **ADMT:Active Directory Migration Tool [#ydd76917] 別のドメインに -ユーザー -グループ -ユーザー・パスワード -コンピュータ・アカウント などの情報をを移動する移行ツール。 ***概要 [#v1549cb5] -オブジェクト別にGUIウィザードを起動する。 -SID履歴を使いアクセス権を移行する。 -難易度が高いため事前の入念なテストが必須である。 ***機能 [#n173abf7] -移行元ドメインから、指定した --ユーザー ---パスワード ---権限 ---ユーザー・プロファイル --グループ ---権限 --ユーザー・パスワード ---権限 --コンピュータ・アカウント ---権限 を、移行先ドメインへコピーする。 -レポートを作成する。 -コマンド・プロンプトで、上記のような作業を行う(バッチ的に実行する場合に便利) -参考 --ユーザー アカウントを移動する~ http://technet.microsoft.com/ja-jp/library/cc754404.aspx --Active Directory移行ツールでドメイン情報を移行する - @IT~ http://www.atmarkit.co.jp/fwin2k/win2ktips/971admt1/admt1.html --ITレポート(動向/解説) - Active Directory移行ツール日本語版が登場:ITpro~ http://itpro.nikkeibp.co.jp/members/NT/ITARTICLE/20000601/2/ ***ポイント [#h097ac07] -パスワード移行のためには、~ PES(Password Export Server)を使用する。 -移行対象には以下も含まれる。 --アカウント ---サービス ---グループ ---ユーザ ---コンピュータ --その他 ---ローカル・プロファイル~ セキュリティ変換:追加モードか、置換モードか。~ 置換モードの場合は、移行元環境へのロールバックの難易度が上がる。 ---移動プロファイル~ -Active Directoryのオブジェクトを別ドメインに移行すると、~ オブジェクト内部のSIDは再採番されるため、~ >例えば --元ドメインのユーザアカウント(SID)を --移行先ドメインで利用する場合、 >SID履歴を使用して、新規オブジェクトに旧オブジェクトのSIDを持たせる。~ という点である。 ***その他のアカウント移行ツール [#n991205e] 何らかの理由で、SID履歴を使用できない場合、~ 下記のその他のツールを使用することで移行可能。 -Active Directoryのアカウント情報をエクスポートする(ldifdeコマンド編) - @IT~ http://www.atmarkit.co.jp/fwin2k/win2ktips/1431ldifex/ldifex.html --管理者必見! ネットワーク・コマンド集~ ldifdeコマンドでパスワードをインポートする:ITpro~ http://itpro.nikkeibp.co.jp/article/COLUMN/20071212/289420/ --Ldifde ではユーザーのパスワードを設定する方法~ http://support.microsoft.com/kb/263991/ja -Active Directoryのアカウント情報をエクスポートする(csvdeコマンド編) - @IT~ http://www.atmarkit.co.jp/fwin2k/win2ktips/1426csvdex/csvdex.html --csvdeコマンドで複数のユーザー・アカウントを一括登録する~ http://itpro.nikkeibp.co.jp/article/COLUMN/20071127/288113/ -Active Directory移行の指南書 - builder~ http://builder.japan.zdnet.com/os-admin/35031227/ **FSMT:File Server Migration Toolkit [#wdcfff03] -ファイル サーバー引っ越しツール、FSMT~ Windows Server 使い倒し塾 - Site Home - TechNet Blogs~ http://blogs.technet.com/b/windowsserverjp/archive/2009/03/20/3215592.aspx --マイクロソフト公式ダウンロード センターから~ Microsoft File Server Migration Toolkit 1.2 をダウンロード~ http://www.microsoft.com/ja-jp/download/details.aspx?id=10268 -@IT:製品レビュー:FSMTによるNTファイル・サーバ移行計画~ http://www.atmarkit.co.jp/fwin2k/productreview/fsmt-01/fsmt-01_01.html -FSMT移行ツールでファイル・サーバを移行する(基本編) - @IT~ http://www.atmarkit.co.jp/fwin2k/win2ktips/976fsmt1/fsmt1.html -Microsoftファイルサーバー移行ツールキット Technically Impossible~ http://moon.ap.teacup.com/shelter9/127.html >robocopyより便利 +アクセス許可、監査、所有権のコピー +無効なセキュリティ記述子の解決 +移行元サーバーの共有フォルダの共有停止 +失敗時の再試行、ロール・バック --Windows TIPS:robocopyでフォルダをバックアップ/同期させる - @IT~ http://www.atmarkit.co.jp/ait/articles/0704/20/news130.html --Robocopy を使用して、ファイルのデータをコピーせずにセキュリティ情報をコピーする方法~ http://support.microsoft.com/kb/323275 **USMT:User State Migration Tool [#yfe6ee11] 展開のシナリオで、クライアントOSの~ ユーザーの状態、データ、および設定の移行をサポートする。 -Windows 7 IT 担当者向けの USMT ガイド~ http://technet.microsoft.com/ja-jp/magazine/jj127984.aspx >ユーザー状態移行ツール (USMT) 4.0 は、Windows 7 の展開プロジェクトで、~ ユーザーの状態、データ、および設定を移行するのに使用できる無償のツール セットです。 --USMT で移行されるもの ---ユーザー補助の設定 ---アドレス帳 ---コマンド プロンプトの設定 ---デスクトップの壁紙 (オフライン バックアップを使用した場合は移行されません) ---暗号化ファイル システム (EFS) ファイル ---お気に入り ---フォルダーのオプション ---フォント ---グループ メンバーシップ ---Internet Explorer の設定 (オフライン バックアップを使用した場合は移行されません) ---Microsoft ODBC の設定 ---マウスとキーボードの設定 ---ネットワーク ドライブのマッピング ---ネットワーク プリンターのマッピング (オフライン バックアップを使用した場合は移行されません) ---オフライン ファイル (オフライン バックアップを使用した場合は移行されません) ---電話とモデムのオプション (オフライン バックアップを使用した場合は移行されません) ---リモート アクセス サービス (RAS) 接続と電話帳 (.pbk) ファイル ---地域設定 (オフライン バックアップを使用した場合は移行されません) ---リモート アクセス ---タスク バーの設定 (オフライン バックアップを使用した場合は移行されません) ---Windows メール (Windows XP からの移行では Microsoft Outlook Express メール (.dbx) ファイルが移行されます) ---Windows Media Player (オフライン バックアップを使用した場合は移行されません) ---Windows Rights Management -Windows 7 用の新しいユーザー状態移行ツールキット (USMT) の機能 TechNet~ http://technet.microsoft.com/ja-jp/windows/dd902172.aspx -USMT によって移行されるもの~ http://technet.microsoft.com/ja-jp/library/dd560792.aspx **GPMC [#fc6c0770] -グループ・ポリシー管理コンソール(GPMC) - @IT~ http://www.atmarkit.co.jp/fwin2k/tutor/gpolicy07/gpolicy07_01.html -Windows Active Directory~ グループ・ポリシー管理コンソール(GPMC)の使い勝手を試す:ITpro --http://itpro.nikkeibp.co.jp/article/Windows/20060123/227689/ --http://itpro.nikkeibp.co.jp/members/NT/WinAD/20040224/8/?ST=win --http://itpro.nikkeibp.co.jp/members/NT/WinAD/20040224/9/?ST=win --http://itpro.nikkeibp.co.jp/members/NT/WinAD/20040224/10/?ST=win --Windows読者限定 - GPMCでGPOのバックアップとコピーが簡単に:ITpro~ ---http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20050209/1/?ST=win ---http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20050209/2/?ST=win *[[AD移行の注意点]] [#jd3d61ba] ---- Tags: [[:移行]], [[:Active Directory]]