Windows Server 2016 Active Directory環境へのドメイン移行の考え方

2018年2月

富士通株式会社

Windows Server® 2016

Active Directory® 環境への

ドメイン移行の考え方

第1.1版

改版日時

版数

改版内容

2016.11

1.0

新規作成

2018.02

1.1

ADMTの開発終了に伴い、記載を変更。

目次



はじめに



1章 2016ドメインへの移行のポイント

１．移行メリット ２．移行方法の種類 ３．各移行方法のメリット・デメリット ４．既存ドメインからの移行パス



2章 既存ドメインから2016ドメインへの移行

１．移行方法選択の考え方 ２．既存ドメインのバージョンアップ 移行概要 移行手順 ３．新規ドメイン構築&アカウント移行 移行概要 移行手順

はじめに



本書は、Fujitsu Server PRIMERGYを用いて、既存のActive Directory

®

環境を

Windows Server

®

_{2016 Active Directory}

®

_{環境へドメイン移行する際の}

考え方・概要をご紹介するものです。

本書では、以下の略称を使用します。

正式名称 略称

Microsoft® _{Windows Server}® _{2003 Windows Server 2003}

Microsoft® _{Windows Server}® _{2008 Windows Server 2008}

Microsoft® _{Windows Server}® _{2008 R2 Windows Server 2008 R2}

Microsoft® _{Windows Server}® _{2012 Windows Server 2012}

Microsoft® _{Windows Server}® _{2012 R2 Windows Server 2012 R2}

Microsoft® _{Windows Server}® _{2016 Windows Server 2016}

Microsoft® _{Windows Server}® _{2003 Active Directory}®_{のドメイン 2003ドメイン}

Microsoft® _{Windows Server}® _{2008 Active Directory}®_{のドメイン 2008ドメイン}

Microsoft® _{Windows Server}® _{2008 R2 Active Directory}®_{のドメイン 2008 R2ドメイン}

Microsoft® _{Windows Server}® _{2012 Active Directory}®_{のドメイン 2012ドメイン}

Microsoft® _{Windows Server}® _{2012 R2 Active Directory}®_{のドメイン 2012 R2ドメイン}

Microsoft® _{Windows Server}® _{2016 Active Directory}®_{のドメイン 2016ドメイン}

ドメインコントローラー DC

注意事項



注意事項



本ドキュメントを輸出または第三者へ提供する場合は、お客様が居住する国および米国輸出

管理関連法規等の規制をご確認のうえ、必要な手続きをおとりください。



本書に記載されたデータの使用に起因する、第三者の特許権およびその他の権利の侵害に

ついては、当社はその責を負いません。

1.

移行メリット

2.

移行方法の種類

3.

各移行方法のメリット・デメリット

4.

既存ドメインからの移行パス

１章 2016ドメインへの移行の

ポイント

1章 2016ドメインへの移行のポイント



新しい認証方式「Microsoft Passport」への対応



Microsoft Passport は、Windows 10 から採用されたパスワードレスのユーザー認証を可能に

する新しいテクノロジーです。この新しい認証方法は、登録済みデバイスと、PIN あるいは生体認

証の多要素認証から成り、従来のパスワード方式に比べてより強固なセキュリティ基盤を構築す

ることができます。これまでは Microsoft アカウントと Azure AD アカウントでサポートされていま

したが、Windows Server 2016 の登場によりオンプレミスの Active Directory に参加する

Windows 10 でもサポートされるようになりました。



クラウドとオンプレミスとのハイブリット統合



Azure AD Connect ツールを使用して Azure AD のディレクトリとオンプレミスの Active

Directory ドメインをディレクトリ統合することで、社内外のデバイスからオンプレミスの ID を用い

て、クラウドアプリやオンプレミスのリソースにシングルサインオンでアクセスできる環境を実現で

きます。Windows Server 2016 の Active Directory フェデレーションサービスの機能強化により、

社内外で Microsoft Passport を利用した認証が可能になります。



特権アクセス管理 (PAM) によるセキュリティリスクの低減



Windows 2016 ドメインでは、Microsoft Identity Manager (MIM) 2016 の特権アクセス管理

(Privileged Access Management, PAM) 機能がサポートされます。この機能により、ユーザーに

対して永続的ではなく、必要なときに有効期限付きの特権アクセスの権限を付与し、有効期限が

経過すると特権アクセスの権限をはく奪することできるため、セキュリティリスクを低減することが

できます。MIM 2016 の PAM は、Windows Server 2012 R2 以降の Active Directory ドメイン

をサポートしています。



ドメインの移行には以下の２つの方法があります。



既存ドメインのバージョンアップ



新規ドメイン構築&アカウント移行

1章 2016ドメインへの移行のポイント

既存ドメインの構成、情報をそのままに、

DCのリプレースを行うことでバージョンアップ

する方法です。

既存ドメインのアカウント情報を

新規構築したドメインへコピーする方法です。

※ Windows Server 2012 R2までは、ADMT（Active Directory移行ツール）を利用して新規ドメインへアカウントを移行する方法を紹介して おりました。2017年6月、ADMTは開発が終了しており、 Windows Server 2016に対して動作保証されたADMTはリリースされないこと がアナウンスされました。そのため、ADMTを使用した移行方法は推奨いたしません。アカウントの移行は手動で行うか、スクリプトなど を作成して行う必要があります。

ADMTの対応状況に関して詳細は次の情報をご参照ください。

Windows 10/Windows Server 2016 の環境における ADMT を使用する場合の対応状況について https://blogs.technet.microsoft.com/jpntsblog/2017/06/02/windows-10windows-server-2016- %e3%81%ae%e7%92%b0%e5%a2%83%e3%81%ab%e3%81%8a%e3%81%91%e3%82%8b-admt-%e3%82%92%e4%bd%bf%e7%94%a8%e3%81%99%e3%82%8b%e5%a0%b4%e5%90%88%e3%81%ae%e5%af%be%e5%bf%9c%e7%8a%b6/ バージョンアップ 撤去 旧DC 新DC アカウント移行 旧DC 新DC

２．移行方法の種類

1章 2016 ドメインへの移行のポイント



各移行方法のメリット・デメリットは次のとおりです。

“既存ドメインのバージョンアップ”を推奨いたします。



既存ドメインのバージョンアップ

○

既存ドメインのドメイン名やアカウント情報を完全に引継ぎ可能

○

クライアントPCのドメイン再参加作業が不要

○

ファイルサーバなどのアクセス権再設定作業が不要



新規ドメイン構築&アカウント移行

○

既存ドメイン環境を維持したまま移行可能なため、段階的な移行が可能

×

既存ドメインのアカウント、グループ、権限等の移行方法を検討する必要がある

×

ドメイン名が変更になるため、既存システムへの影響が大きい

×

クライアントPCのドメイン再参加作業が必要となり、移行時のユーザ負担が増加

３．各移行方法のメリット・デメリット



ドメイン移行の移行パス

1章 2016 ドメインへの移行のポイント

2016

ドメイン

2003

ドメイン

2008

ドメイン

2008 R2

ドメイン

2012

ドメイン

移行後

移行前

※1 2003ドメインから2016ドメインへの直接移行は可能です。2016ドメインでも2003機能レベルはサポートされますが推奨されていな いため、移行後は機能レベルを Windows Server 2008 以上に変更してください。

※2 Windows Server, version 1709ではFRSのサポートが削除されたため2003ドメインから直接2016ドメインに移行することはできま せん。いったん2008/2008 R2/2012/2012 R2ドメインに移行し、FRSからDFSRに変更した上で、2016ドメインに移行します。 ドメインのバージョンアップ 新規ドメイン構築＆アカウント移行 ドメインのバージョンアップ 新規ドメイン構築＆アカウント移行 ドメインのバージョンアップ 新規ドメイン構築＆アカウント移行 ドメインのバージョンアップ ※1 ※2 新規ドメイン構築＆アカウント移行

４．既存ドメインからの移行パス

2012 R2

ドメイン

ドメインのバージョンアップ 新規ドメイン構築＆アカウント移行

1.

移行方法選択の考え方

2.

既存ドメインのバージョンアップ

移行概要

移行手順

3.

新規ドメイン構築&アカウント移行

移行概要

移行手順

２章 既存ドメインから

2016ドメインへの移行



2003/2008/2008 R2/2012/2012 R2ドメインからの移行は、“既存

ドメインのバージョンアップ”を推奨します。



移行を機にドメイン環境を一新したい場合や、以下のような特別な

要件がある場合には、“新規ドメイン構築&アカウント移行”を選択

することになります。

ただし、ADMTはサポートされないため、別途、アカウント、グルー

プ、権限等の移行方法を検討する必要があります。



互換性確認が必要な既存サーバが多いため、既存ドメインを残

しつつ、段階的に移行を行いたい。



M&Aに伴いドメイン環境を統合したいなど、既存ドメインをそのま

ま使用したくない事情がある。

２章 既存ドメインから2016ドメインへの移行

１．移行方法選択の考え方



移行概要

既存ドメインの構成、情報をそのままに、ドメインコントローラーの

リプレースを行うことでバージョンアップする方法です。

２章 既存ドメインから2016ドメインへの移行

移行前・移行後ともにDCは2台構成

ハードウェアは新しいものにリプレース

以下の前提で移行手順をご紹介します。

バージョンアップ

2016ドメイン

DC

Windows Server 2016

DC

Windows Server 2016

移行後

2003/2008/2008 R2/2012/2012 R2 ドメイン

DC

DC

Windows Server 2003/2008/2008 R2/ 2012/2012R2

移行前

Windows Server 2003/2008/2008 R2/ 2012/2012 R2

２．既存ドメインのバージョンアップ（1/3）



移行手順

２章 既存ドメインから2016ドメインへの移行

1

新規にDCとして使用するサーバ（新規

DC）に、Windows Server 2016をイン

ストールします。

2

新規DCを既存ドメインに参加させて、

DCに昇格します。

※DCに昇格する際に、自動的にス

キーマの拡張が行われます。

3

2台目の新規DCを既存ドメインのDC

として追加します。

Windows Server 2016 Windows Server 2016 ×2台 Windows Server 2003/2008/2008 R2/ 2012/2012 R2 ×2台 FSMO _追加 Windows Server 2003/2008/2008 R2/ 2012/2012 R2 ×2台 FSMO スキーマの拡張 Windows Server 2016 DC昇格

２．既存ドメインのバージョンアップ（2/3）

２章 既存ドメインから2016ドメインへの移行

4

FSMO

(※)

_{を新規DCに転送します。}

5

既存DCをメンバーサーバへ降格しま

す。

6

機能レベルを“Windows Server

2016” に変更します。

機能レベル変更 Windows Server 2016 ×2台 FSMO Windows Server 2016 ×2台 Windows Server 2003/2008/2008 R2/ 2012/2012 R2 ×2台 FSMO FSMO Windows Server 2016 ×2台 Windows Server 2003/2008/2008 R2/ 2012/2012 R2 ×2台 FSMO 降格 降格

※特定の1台のDCが処理を実行する、特別な役割を「操作マスタ (FSMO:Flexible Single Master Operation)」といいます。



移行概要

新規構築した2016ドメインに既存の2003/2008/2008 R2/

2012/2012 R2ドメインの情報を、手動や作成したスクリプトなどを

使用して移行します。

２章 既存ドメインから2016ドメインへの移行

移行前・移行後ともにDCは2台構成

新規ドメインを別途構築し、既存ドメインのアカウントを移行

以下の前提で移行手順をご紹介します。

アカウント移行

移行前

2003/2008/2008 R2/2012/2012 R2 ドメイン

DC

DC

Windows Server 2003/2008/2008 R2 2012/2012 R2 Windows Server 2003/2008/2008 R2/ 2012/2012 R2

移行後

2016ドメイン

DC

Windows Server 2016 Windows Server 2016

DC

３．新規ドメイン構築&アカウント移行（1/3）



移行手順

２章 既存ドメインから2016ドメインへの移行

1

新規に、2016ドメインを構築します。

2

既存ドメインと双方向信頼関係を作成

します。

（移行作業期間中に、既存ドメインから新規ドメイ

ン、新規ドメインから既存ドメインのリソースを利

用できるようにするため。）

3

手動や作成したスクリプトなどを使用し

て、既存ドメインから新規ドメインへ、

アカウントの移行を行います。

Windows Server 2003/2008/2008 R2/ 2012/2012 R2 ×2台 Windows Server 2016 ×2台 新規構築 信頼関係 Windows Server 2003/2008/2008 R2/ 2012/2012 R2 ×2台 Windows Server 2016 ×2台 アカウント Windows Server 2003/2008/2008 R2/ 2012/2012 R2 ×2台 Windows Server 2016 ×2台

３．新規ドメイン構築&アカウント移行（2/3）

２章 既存ドメインから2016ドメインへの移行

4

既存ドメインに所属しているクライアン

ト、メンバサーバを新規ドメインに参加

させます。

5

アカウント、および、クライアント、メン

バサーバ等のリソース移行完了後に、

信頼関係を破棄します。

6

既存ドメイン環境を破棄します。

Windows Server 2003/2008/2008 R2/ 2012/2012 R2 ×2台 Windows Server 2016 ×2台 信頼関係 破棄 Windows Server 2003/2008/2008 R2/ 2012/2012 R2 ×2台 Windows Server 2016 ×2台 破棄

３．新規ドメイン構築&アカウント移行（3/3）

クライアント、メンバサーバ Windows Server 2003/2008/2008 R2/ 2012/2012 R2 ×2台 Windows Server 2016 ×2台

登録商標について／免責事項



登録商標について



Microsoft, Windows, Windows Server, Active Directory, Azure, Microsoft Passport, は、米国

Microsoft Corporationの米国およびその他の国における登録商標または商標です。



記載されている会社名、製品名は各社の登録商標または商標です。



記載されている会社名、製品名等の固有名詞は各社の商号、登録商標または商標です。



その他、本資料に記載されている会社名、システム名、製品名等には必ずしも商標表示を付記し

ておりません。



免責事項

このドキュメントは単に情報として提供され、内容は予告なしに変更される場合があります。また、発

行元の許可なく、本書の記載内容を複写、転載することを禁止します。

このドキュメントに誤りが無いことの保証や、商品性又は特定目的への適合性の黙示的な保証や条

件を含め明示的又は黙示的な保証や条件は一切無いものとします。富士通株式会社は、このドキュ

メントについていかなる責任も負いません。また、このドキュメントによって直接又は間接にいかなる

契約上の義務も負うものではありません。このドキュメントを形式、手段（電子的又は機械的）、目的

に関係なく、富士通株式会社の書面による事前の承諾なく、複製又は転載することはできません。