Windows Server “8” Beta
Active Directory 移行ガイド
2012年5月15日 1.1版
NEC
改定履歴
▌2012.4.13 1.0版 初版発行
目次
はじめに
AD DS 導入のポイント
第1章 Windows Server 2008 R2からWindows Server
“8” Betaへ移
行するメリット
第2章 移行方式の検討と注意点
第3章 ケーススタディ
はじめに
本書の内容
Windows Server 2008 R2 Active Directory Domain Service環境から、次期 バージョンOS(Windows Server 2012)の開発途上版である Windows Server “8” Beta 環境への移行技術についての紹介
旧バージョン(2008 R2→Windows Server “8” Beta)からの変更点
Windows Server “8”からの追加機能の紹介
インプレースアップグレードの2008 R2→Windows Server “8” Beta 対応手順
スイング方式(ADMT)に対応した移行手順(概要のみ記載)
※本ガイドでは、Windows Server “8” Betaで検証を行っているため、製品版(Windows
Server 2012)では機能が異なる可能性があります。また、 スイング方式に利用するADMTに ついては、Windows Server “8” Beta対応版がリリースされていないため、詳細な機能調査や 移行手順は含んでおらず、机上検討で、本ガイドのみの提供となります。
※本ガイドでは、以下の略称を使用している箇所があります。
Active Directory : AD Active Directory ドメインサービス:ADDS
ドメインコントローラー:DC Active Directory Migration tool:ADMT グループポリシーオブジェクト:GPO
Windows Server “8” AD DS 導入のポイント
▌
導入
新機能を使用しなければ、2003や2008 R2の設計手法と大きな変更はない →新機能を利用するシナリオにマッチするかどうかがポイント▌
移行
2003→2008や2008→2008 R2の移行設計の考え方と大きな変更はない▌
運用
運用関連ツール類の改善や仮想化対応の強化 仮想マシン上でのスナップショットバックアップ/リストア Active Directory昇格時の前提条件の診断機能追加 ごみ箱の強化(GUI版) など 詳細は、第1章参照Windows Server “8” Betaへ移行するメリット
Microsoft社セキュリティHOTFIX停止後の問題
▌
Windows 2000 Server のサポートはすでに終了
▌
Windows Server 2003 もすでに延長サポートに入っている
▌
Windows Server 2008/2008 R2も2013年には延長サポートへ
延長サポートの場合は、致命的な丌具合の修正しかされない サポート終了の場合は、原則的に修正モジュールは提供されない たとえ、社内LANをインターネットに接続しないシステムで あっても、ウィルス等に感染した記憶メディアを持ち込んだり、 誰かが個人PCを社内LANに接続したまま、インターネット にダイヤルアップ接続等したりすると、外部からの攻撃を受 ける危険がある 2000サーバ テンポラリ接続PC 社内LAN インターネット 記憶メディアAD DS関連の新機能および強化された機能
▌
Windows Server “8”で追加/強化された機能
▌
新機能
仮想マシン上でのスナップショットバックアップ/リストア
仮想ドメインコントローラの複製による展開の短期間化
Active Directory ごみ箱がGUIから利用可能
強化機能
ユーザのメインPCを識別するための”PrimaryComputer” 属性の追加
Active Directory昇格時の前提条件の診断機能追加
ドメインコントローラ展開の自動化(PowerShellによる自動化)
細かな設定が可能なパスワードポリシー(GUI化)
仮想マシン上でのスナップショットバックアップ/リストア
▌ドメインコントローラの仮想化は、現状でも正式サポートされていますが、運用する上で 、注意点がありました。特に、スナップショットバックアップ/リストア機能を利用すると、 更新シーケンス番号(USN)がロールバックする問題がありました。
▌Windows Server “8”のドメインコントローラは、Hyper-V内で仮想マシンが実行されて いる場合、スナップショットのバックアップ/リストアに対応します。 ※ Hyper-VホストもWindows Server “8”である必要があります。 スナップショットバックアップ前のRID プールがスナップショットリストア後 に初期化され、新規に新しいプール が払い出される。これにより、USN のロールバック問題を回避。 スナップショットバックアップ/リストア前 スナップショットリストア後
仮想ドメインコントローラの複製による展開の短期間化
▌Windows Server “8”では、仮想化されたドメインコントローラの複製により、ス ケールアウトやテスト環境構築時のドメインコントローラの早期展開が可能です。 複製されたDCに対し、Sysprepを実行する必要はありません。 複製先DCのホスト名・NW情報は後述のXMLファイルに記載して複製元DCが保持します。 既存の仮想ドメインコントローラのイメージを複製するため、DC構築時のデータ レプリケーションを抑えられます。特に大規模環境のDC追加に効果的です。※ 複製元・複製先仮想DCを動作させる仮想化基盤(ハイパーバイザ)は、Windows Server “8” のHyper-V 3.0 もしくはVM-Generation IDをサポートしている3rdパーティ製品である必要があります。 ※ PDCエミュレータの役割を保持しているDCのOSは、Windows Server “8”である必要があります。 ※ 複製元DCはPDCエミュレータを保持していないDCが対象となります。 PDCエミュレータを保持している場合は、 複製前に他DCに役割を転送する必要があります。 既存DC DB複製 SysprepイメージをからOS展開 もしくはOS新規インストール DC昇格、DBフル レプリケーション 昇格 従来のDC追加作業 追加DC OSのSysprep処理、 DC昇格作業、DBフル レプリケーションが丌要 Windows Server “8”のDC複製による追加 複製による 追加DC Hyper-V ホスト (Windows Server ”8”) DC複製 既存DC (PDCエミュレータ 以外) 構成情報 を記述
仮想ドメインコントローラの複製による展開の短期間化(手順1/2)
▌以下の手順にて、仮想ドメインコントローラを複製します。
“Cloneable Domain Controllers”グループに、複製元DCのコンピュータ アカウントを追加します。 DITが存在するディレクトリ(既定ではWindows¥NTDS) に、”DCCloneConfig.xml”(複製するDCの設定情報) を作成します。 複製元DCにて ”Get-ADDCCloningExcludedApplicationList” PowerShellコマンドを実行し、 DC複製時明示的に複製を許可する必要の あるプログラム・サービスを出力します。
”DCCloneConfig.xml”と同じ場所に、 ”CustomDCCloneAllowList.xml” を作成し、前コマンドで出力されたプログラム・サービスを記載します。 ※ DCCloneConfig.xml、 CustomDCCloneAllowList.xmlの記述内容は以下URLを参照 http://technet.microsoft.com/ja-jp/library/hh831734.aspx 複製元の仮想マシンをシャットダウンしてエクスポートします。 複製先DCとなる新しい仮想マシンとしてインポートし、起動すると複製先DCで構成情報 の適用等の処理が実行され、起動時にはDCとして構成されます。 複製により追加したDC起動と同時に、 最初からDCとして登録されている 複製したDC起動時に処理が実行される
仮想ドメインコントローラの複製による展開の短期間化(手順2/2)
Active Directory ごみ箱がGUIから利用可能
▌Windows 2008 R2よりゴミ箱機能は存在しておりましたが、GUIでの操作はできず、 PowerShellを利用した面倒な操作が必要でした。Windows Server “8”では、Active Diretory管理センターより、以下のようにGUIで簡単にオブジェクトを復旧可能です。 ※ フォレストレベルは、Windows Server 2008 R2以上である必要があります。
”PrimaryComputer” 属性の追加
▌ユーザのメインPCを識別するために利用するPrimaryComputer属性が追加され ます。この属性を利用すると、移動プロファイル/フォルダリダイレクトの動作を 特定のコンピュータ利用時にのみに限定することができます。出先やミーティング ルームなどの環境でのセキュリティやログオンパフォーマンスの向上が図れます。 ※Windows 8クライアントのみが利用できます。Active Directory昇格時の機能強化
▌
新機能
Active Directory昇格時の前提条件の診断機能追加が追加され、より安全に 昇格が可能になります。 従来の昇格コマンド dcpromoが廃止され、すべての操作がサーバマネージャ より実施可能になります。 adprep(スキーマ拡張)を昇格時に自動的に実行するようになります。 前提条件のチェック 昇格時にスキーマアップデート※Windows Server “8”の最初のADサーバ昇格時には、 Enterprise AdminおよびSchema Adminの権限が必要 になります。
細かな設定が可能なパスワードポリシー(GUI化)
▌細かな設定が可能なパスワードポリシー(PSO)は、Windows 2008より実現可能 ですが、
ADSI Editにて特殊な属性をセットするもので、設定が複雑でした。
Windows Server
“8”では、GUIより簡単に設定できます。
Windows PowerShell History View
▌
Active Directory管理センターを利用した際のActive Directoryの操作
内容をPowerShellで表示可能となりました。これにより、大量にユーザを
作成するなどのPowerShellスクリプトが簡単に作成できるようになります。
移行方式の検討と注意点
主な移行方式
既存ドメイン 追加 降格 Windows Server 2008 R2 Windows Server “8” ◆インプレースアップグレード方式 既存のドメインに新規でWindows Server “8”のドメ インコントローラーを新規で追加し、既存のWindows Server 2008 R2 のドメインコントローラーを降格、 撤去する方式 既存ドメイン 新規ドメイン Windows Server 2008 R2 Windows Server “8” 移行ツールによる オブジェクトの移行 ◆スイング方式 Windows Server “8”で新規ドメインを構築し、移行 ツール(ADMT)を使用して既存のWindows Server 2008 R2 ドメインからオブジェクトの移行を実施する 方式インプレースアップグレード方式①
STEP 1 サーバの更改中に新ADサーバへクライアント からの認証があり、問題とならないよう、移行 用サイトを作成する。 STEP 2 移行元ドメインにWindows Server “8”を新規DCと して追加する。移行元サーバにFSMOの役割がある場合 は転送する。 STEP 3 既存のDCをドメインから降格し、撤去する。 サーバの台数分 STEP2-3を繰り返す。インプレースアップグレード方式②
▌
メリット
Active Directoryの再構築を必要としないため、アクセス制御や各オブジェクトの再設定は丌要 フォレスト・ドメイン・OU・サイトなどは、以前の設定を引き継ぐことが可能 ドメイン環境は変わらないため、端末の設定は丌要 (AD移行により、DNSのアドレスが変わった場合などを除く) スイング方式と比べ、短時間での移行が可能▌
デメリット
以前の状態を引き継ぐので、移行の中ではドメイン名の変更などの設計の変更はできない ドメイン統合の処理は行えない 現行環境に直接手を加える為、障害が生じた場合は業務に影響する 移行に失敗した場合はサーバのリストアが必要 ゆるやかな移行ができないスイング方式①
Windows Server “8” STEP 1 Windows Server “8”で新規ドメインを構築し、移行 元ドメインと信頼関係を結ぶ STEP 2 移行ツール(ADMT)を使用してオブジェクトを移行する STEP 3 オブジェクトの移行完了後に、移行元ドメインを削除する Windows Server “8” Windows Server “8”スイング方式②
▌
メリット
既存の業務環境と平行運用が可能 ネーミングルールなどを新しく再構築できる 移行範囲を限定し、徐々に移行を行うことができる 移行に失敗した場合は従来の環境を継続利用可能▌
デメリット
インプレースアップグレードと比べると、工数がかかり移行に時間がかかる クライアントを自動で移行先ドメインに参加させる場合や、ユーザプロファイルを移行する場合、 各クライアントにて移行先のDNSを登録するなどの設定変更が必要、また移行時にクライアントが オンライン状態でログオフしておく必要がある ※ユーザプロファイルの移行が発生しない場合は、端末の移行準備が必要となり、全台の移行が 保障できない為、クライアント側のドメイン再参加やドメイン移行後の設定変更は、お客様にて (手動で)実施していただくのが現実的である 移行期間中の長期にわたりクライアントサポート要員が必要 ADMT用サーバを用意する必要がある(Windows Server “8”に対応したADMTが提供されれば、Windows Server “8”のADサーバ上に
移行方式の検討
工数の少ないインプレースアップグレード方式を推奨
ドメインの統合やオブジェクトの整理が必要な場合はスイング方式、
または双方の組み合わせにて行う。
クライアントの台数が多い場合にスイング方法の移行ツールでクライア
ントの設定変更を行うのは現実的ではない
→現環境を継続運用し、クライアントリプレースのタイミングで切り替え
るなどの工夫が必要
スイング方式の場合、ツールの選択・ツールのインストール場所・他段階
移行の考慮などが必要
ケーススタディ
ケース① ~インプレースアップグレード方式~
▌
移行のシナリオ
現行のAD環境を構築しているハードウェアが老朽化し、ハードウェアリプレース を行いたい
<要件>
Windows Server 2008 R2 AD環境からWindows Server “8” AD環境への移行 を考えている
現在のドメイン名を引き続き使用したい
クライアントでの操作を極力減らすため、リプレースしたDCにはリプレース前のDCと 同じコンピュータ名、IPアドレスを使用する
Windows Server “8” AD環境でも運用中のアプリケーションに影響が無いことは 確認済み
インプレースアップグレード 移行前環境
AD-01(FSMO) Windows Server 2008 R2 SP1 10.10.x.x AD-02 Windows Server 2008 R2 SP1 10.10.x.y Client : Windows 7 SP1 機能レベル ドメイン:Windows Server 2008 R2 フォレスト:Windows Server 2008 R2 Windows 7WPEC.local
移行前環境 AD-01 AD-02 Windows Server 2008 R2インプレースアップグレード 移行後環境
AD-01WPEC.local
移行後環境 AD-02 移行に伴いクライアントの設定を変 更しないでいいように、DCのホスト名 やIPアドレスは移行前後で同じものを 使用するようにする。 AD-01(FSMO)Windows Server “8” Beta 10.10.x.x
AD-02
Windows Server “8” Beta 10.10.x.y Client : Windows 7 SP1 機能レベル ドメイン:Windows Server “8” フォレスト:Windows Server “8” Windows 7 Windows Server “8”
インプレースアップグレード手順の流れ
▌
移行準備
移行用サイトの作成 スキーマ拡張、ドメイン情報の更新(ForestPrep,DomainPrep) ※ ForestPrep,DomainPrepともに、Windows Server “8”からは、昇格時に 自動的に実行されます。▌
新規 追加
FSMOの機能を持たない既存DCの降格・停止 新規サーバ構築、DC昇格、FSMO機能の移行 ※コンピュータ名、IPなどは降格させたDCの設定を引き継ぐ▌
2台目以降
1台目と同様の作業を残りのサーバ台数分実施する ※最終的にFSMOの役割をどのサーバに持たせるか確認する ※詳細は別紙(記載予定)のインプレースアップグレード移行手順書に記載します。WPEC.local
AD-01 AD-02 Default-First-Site-Name 移行用サイト サーバの更改中に、新ADサーバへクライアントからの 認証/名前解決があり、問題とならないように、次の ①~⑦の作業を行います。 ①移行用のサイトを作成します。 ②AD-02を降格し、ドメインから撤去します。 (コンピュータアカウントも削除します。) ③新サーバのAD-02をドメイン参加します。 ④AD-02をADサーバへ昇格します。 ①移行用サイトの作成 ③④ドメイン参加、昇格 ②ドメイン降格 AD-02新規Windows Server
“8” DCの追加(1台目)
Windows Server “8” 2008 R2WPEC.local
AD-01 Default-First-Site-Name 移行用サイト ⑤DNSコンポーネントのインストール ⑥AD診断ツールの実行 ⑦AD-02サーバをサイト移動(現用系サイトへ) ⑦サイト移動 ⑤DNSインストール ⑥ADサーバ診断 AD-02 AD-02新規Windows Server
“8” DCの追加(1台目)
Windows Server “8” 2008 R2FSMOの役割転送
WPEC.local
AD-01 FSMO 2008 R2 AD-02 FSMO Windows Server “8” 既存FSMOサーバを降格・停止させるために、新規で昇格させたWindows Server “8”へFSMOの役割を転
送します。
① 新規サーバへFSMOの機能を転送します。
※FSMOの転送はGUIで実施する方法と、CUIで実施す る方法の2種類があります。
新規Windows Server
“8” DCの追加(2台目)
WPEC.local
AD-01 2008 R2 AD-01 Windows Server “8” AD-02 ①既存サーバの降格・停止 ③新規サーバのDC昇格 ②コンピュータアカウントの削除 2台目の新規DCの追加を行います。 ①FSMOの機能を転送したDCを降格・停止します。 ②停止させたDCのアカウントを削除します。 ③新規でWindows Server “8”をインストールした サーバに設定を実施し、DCへ昇格させます。 Windows Server “8” FSMO新規Windows Server
“8” DCの追加(2台目)
WPEC.local
FSMO AD-01 Windows Server “8” AD-02 ④DNSコンポーネントのインストールします。 ⑤FSMOを元のサーバに転送します。 ⑥ADサーバ診断をします。 ⑦移行用サイトの削除します。 Windows Server “8” FSMO ⑤FSMOの転送 ④DNSインストール 移行用サイト ⑦移行用サイトの削除 ⑥ADサーバ診断移行後の確認
▌
フォレストの各ドメインで確認
FSMOが正しく機能しているか、配置に問題は無いか イベントログに複製、トポロジ、その他障害イベントが記録されていないか▌
DCの複製状態
停止しているDCが存在していないか 複製できていないDCが存在していないか Repadmin /replsum などでレプリケーションが正常に動作していることを確認 して下さい。ケース② ~スイング方式~
▌
移行のシナリオ
社名変更に伴いドメイン名を変更しなければならなくなったが、現在のドメイン 環境を引き継ぎたい。
<要件>
ドメイン名変更と同時にWindows Server 2008 R2 AD DS環境からWindows Server “8” 環境への移行を考えている。 ユーザアカウントやグループアカウントを移行して使用したい。パスワードやユーザプロ ファイルを引き継ぎ使用したい。 クライアント側で移行の操作を行わずに、コンピューターアカウントを移行したい。 Windows Server “8”のドメインへ移行にあたり、GPOの見直しを行いたい。 移行期間を設けて段階的に移行を実施したい。
スイング移行前・移行後環境
Windows Server 2008 R2移行元(旧DC)
Windows Server “8”移行先(新DC)
Windows 7 Windows 7 新ドメイン(new.local) 旧ドメイン(old.local) 移行後 降格・停止 Windows Server 2008 R2 ADのデータを新ドメインへ移行 クライアントを 新ドメインへ移行 2008 R2 10.10.x.x/x Windows Server “8” 10.10.x.x/x ADMT 2008R2 10.10.x.x/xADMTサーバ
スイング方式移行手順の流れ
▌
移行計準備
移行スケジュールを計画 移行するオブジェクトの決定決める▌
移行先ドメイン環境の作成
新規サーバを構築し、新規ドメインを構築する▌
ADMTサーバを構築する
移行元・移行先ドメインにてADMTをインストールするための準備をする ADMT用サーバを作成し、移行先ドメインへ参加する SQL Server およびADMT v3.2をインストールする▌
ADMTを使用してオブジェクトの移行を実施する
計画した移行項目に従って、オブジェクトの移行を実施するスイング移行手順① (移行先ドメインの作成)
new.local
2008 R2 Windows 7 ②新規ドメインの作成 Windows Server “8” ①新規サーバ構築 ③双方向の外部信頼 ①Windows Server “8” サー バを新規構築します。 ②新規構築したサーバをDCへ 昇格し、新規ドメインを作成し ます。 ③移行元ドメインと移行先ドメ インで双方の信頼関係を構築 します。old.local
信頼関係スイング移行手順② (移行環境の作成)
new.local
2008 R2 7 Windows Server “8” ④移行元、移行先ドメインでの事前作業 2008 R2 ⑤ADMT用サーバ構築 ⑥移行先ドメインへ参加 ④各ドメインでADMT用の設定 を実施します ⑤Windows Server 2008 R2 でADMT用サーバを新規構築し ます。 ⑥構築したADMT用サーバを移 行先ドメインへ参加させます ※現時点では、ADMTがWindows Server “8”に対応おらず、Windows Server 2008 R2対応版が最新の ため、ADMT専用サーバを設定して います。old.local
信頼関係スイング移行手順③ (ADMTツールのインストール)
new.local
old.local
7 Windows Server “8” 信頼関係 ⑦移行用アカウントの作成 ⑧各管理者権限の付不 ADMT PES 2008 R2 2008 R2 ⑨ADMTインストール ⑩PESインストール ⑦移行元ドメインにて、移行用 アカウントを作成します。 ⑧移行用アカウントに必要な 権限を付不します。 ⑨ADMTサーバにADMTをイン ストールします。 ⑩移行元DCへPES(パスワード 暗号化ツール)をインストール します。 ※パスワード移行をする場合は 必頇です。new.local
old.local
7 Windows Server “8” 信頼関係 PES 2008 R2 2008 R2 ADMT ユーザー グループ パスワード ユーザープロファイルスイング移行手順④ (アカウント移行)
7 ・ ローカルユーザプロファイル ・ プリンタ ・ レジストリ ・ 共有 ・ etc… ⑫ユーザ・グループアカウントの移行 ⑬コンピュータアカウントの移行 ⑪移行用ユーザでログオン ⑪ADMT用サーバへ移行用 ユーザでログオンする。 ⑫ADMTを使用してユーザ・グ ループアカウントの移行を行う。 パスワードや(移動)ユーザプロ ファイルはオプションで選択可 能。 ⑬ADMTを使用してコンピュー タアカウントの移行を行う。オ プションにて、さまざまなオブ ジェクト変換が可能である。 コンピュータ移行時のオブジェクト変換の例移行後の確認
▌
ディレクトリデータベースの移行確認
移行先のドメインで、Active Directory ユーザとコンピュータを起動し、 移行したオブジェクトが存在することを確認する。 ユーザオブジェクトとグループオブジェクトの関連付けや、GPOの関連付けを 確認する。必要があれば修正を実施する。▌
動作確認
移行したユーザとパスワードで移行したクライアントからドメインにログオン できることを確認する。 ユーザプロファイルの移行を実施した場合は、ユーザプロファイルが移行され 利用できることを確認する。 割り当てられたポリシーが正常に反映されていることを確認する。参考URL
▌Windows Server 2008 R2 Active Directory 公式Web
http://www.microsoft.com/japan/windowsserver2008/r2/technologies/ad-main.mspx
▌Windows Server 2008 および 2008R2 ADDS の新機能
http://64.4.11.252/ja-jp/library/cc770946(WS.10).aspx
http://technet.microsoft.com/ja-jp/library/dd378801(WS.10).aspx
▌ADMT ガイド
http://technet.microsoft.com/ja-jp/library/cc974332(WS.10).aspx
▌Active Directory 移行ツールガイド : Active Directory ドメインの移行と再構築
http://www.microsoft.com/downloads/ja-jp/details.aspx?familyid=6D710919-1BA5-41CA-B2F3-C11BCB4857AF&displaylang=ja
