今さら聞けない Active Directory のアップグレードと移行 ~ 基礎から応用まで ~ 横山哲也グローバルナレッジネットワーク株式会社

横山 哲也 グローバルナレッジ ネットワーク株式会社

今さら聞けない

Active Directoryのアップグレードと移行

～基礎から応用まで～

横山 哲也(ヨコヤマ テツヤ)

 グローバルナレッジネットワーク株式会社

 http://www.globalknowledge.co.jp  Windows Server関連研修を担当

 Microsoft MVP 2003年4月～2015年3月

 Directory Services(2012年のみVirtual Machine)

 最近の著書  プロが教えるWindows Server 2012システム管理(アスキー)  グループポリシー逆引きリファレンス厳選92(日経BP)  ソーシャルメディア  ブログ「ヨコヤマ企画(http://yp.g20k.jp)」  Twitter…yokoyamat  Facebook…yokoyama.tetsuya  趣味…写真 (猫とライブ) 1

はじめに



本セッションの目標

既存のActive Directoryドメインサービスを Windows Server 2012 R2ドメインにする 

アジェンダ

Active Directoryドメインサービスの復習 現状分析と移行方針 インプレースアップグレード マイグレーション Microsoft Azureの利用

Active Directoryドメインサービスの復習

Active Directoryの呼称 ドメイン名とドメイン階層 組織単位(OU) 機能レベル Windows Server 2012/2012 R2の新機能 3

Active Directoryの呼称



Active Directoryドメインサービス

Windows Server 2008から変更 

現在の「Active Directory」

IDとアクセス制御のブランド 一般には「Active Directoryドメインサービス」の 意味で使うことも多い

Active Directoryは形容詞

そもそも米国の商標は形容詞

ドメイン名とドメイン階層



Active Directoryドメイン=DNSドメインを流用



インターネットと接続している必要はない



シングルラベルドメイン禁止 (階層必須)

禁止例: GLOBALKNOWLEDGE 

参考

Windows 2000ではシングルラベルドメイン可能 15文字のNetBIOS名でバグが出るサービスがあった NetBIOS名はピリオドを許可 5

組織単位(OU)



主な目的

管理者の分類単位 管理制御の委任単位 グループポリシーの適用単位 

比較的簡単に変更可能なので、意識しなくて良い



統合時は、移行元ドメインが識別できた方が良い

機能レベル…互換性を維持する機能



ドメイン機能レベル…ドメインの互換性

ドメイン内のドメインコントローラーの最小バージョン ドメイン機能レベル ≦ DCのバージョン 例: Windows Server 2008 R2 機能レベルでは Windows Server 2003 DC 不可 

フォレスト機能レベル…フォレストの互換性

フォレスト内のドメインの機能レベルの最小値 フォレスト機能レベル ≦ ドメイン機能レベル 7

Windows Server 2012/2012 R2の新機能



Windows Server 2012 DCの新機能

ごみ箱機能のGUI きめ細かなパスワードポリシーのGUI ダイナミックアクセス制御 

Windows Server 2012 仮想マシンDCの新機能

スナップショット対応…USN整合性/RIDプール更新 DC複製対応…SYSPREPに似た複製メカニズム 

その他…PowerShellの強化など

ドメインコントローラーは仮想マシンへ

現状分析と移行方針

ドメイン名とドメイン階層 OSのバージョン

機能レベル

ドメイン名とドメイン階層



現状の把握



アップグレード(インプレースアップグレード)

ドメイン名とドメイン階層:現状の把握



Active Directoryドメイン=DNSドメインを流用



既存ドメイン階層を変更したいか?

11 インターネット用 例: microsoft.com Active Directory用 例: corp.microsoft.com インターネット用 例: g20k.jp Active Directory用 例: g20k.local 並列ドメイン 子ドメイン

ドメイン名とドメイン階層:アップグレード



現状のドメイン階層で問題ない場合



利点: 簡単でトラブルが少ない



欠点: 現状の問題点がそのまま残る

ドメイン名とドメイン階層:マイグレーション



階層の変更: RENDOMツール

ドメインの名前変更 フォレストルート以外のドメイン階層の変更 

マイグレーション: 別フォレストに移行

13 ドメインの付け替え 情報の複製 現状のドメイン階層に不満な場合に最適

OSのバージョン



ドメインコントローラー

×Windows 2000 Server ○Windows Server 2003以降 

メンバーサーバー & クライアント

Active Directoryとは無関係 Windows NT以前は不可 暗号化アルゴリズムの問題

機能レベル



ドメイン機能レベル



フォレスト機能レベル

Windows 2000 混在 Windows 2000 ネイティブ Windows Server 2003 Windows Server 2003 中間 Windows NTドメイン _{フォレスト機能レベル: Windows 2000}

×

×

×

×

Windows Server 2008 Windows Server 2008 R2 Windows Server 2012

機能レベル: Windows Server 2012では



Windows Server 2003以降のみサポート

新規インストールの場合はWindows Server 2008以降 

PowerShellを使うと降格可能

Windows Server 2008 R2 まで (ADごみ箱が有効の場合) Windows Server 2008 まで (ADごみ箱が無効の場合) 2003 2008 2008 R2 2012 ごみ箱無効 ごみ箱有効

現状分析と移行方針のまとめ



ドメイン名とドメイン階層の把握

アップグレードかマイグレーションか 

OSのバージョンの把握

ドメイン機能レベルの選択 

機能レベルの把握

フォレスト機能レベルの選択 17

インプレースアップグレード

(アップグレード)

利点とリスク アップグレード手順1: 準備 アップグレード手順2: 展開 アップグレード手順3: 後処理

アップグレードの利点とリスク



利点

簡単 

リスク

望ましくない状態が続く可能性がある 「ゴミ」が残る 

ポイント

19

現在のドメイン階層に満足している場合

考慮点

: ドメイン名の変更はかなり面倒

アップグレード手順1: 準備



Windows Server 2012以降…準備不要

ADPREP相当の作業が自動実行 

従来のアップグレード…ADPREPツール

スキーマ拡張 セキュリティ修正



参考: Windows Server 2012 R2のADPREP

Windows Server 2008 以降で実行可能なx64コード メンバーサーバーから実行可能

【参考】ADPREP自動実行の理由(のひとつ)



フォレスト機能レベルWindows 2000

スキーマ拡張はグローバルカタログの再構成を伴う ネットワークとDCに大きな負担 

フォレスト機能レベルWindows Server 2003

スキーマ拡張でグローバルカタログの再構成を伴わない 

Windows Server 2012のフォレスト機能レベル

Windows Server 2003以上を保証 21

アップグレード手順2: 展開



旧DCを隔離し、バックアップとして使用可能

実際には難しいので最近は流行らない 新DC 2012 R2 DCを追加 2012 R2ドメイン 旧DCを降格 (その前に後処理)

アップグレード手順3: 後処理



操作マスターの移行

操作マスター正常降格時の自動移行は、移行先が不確実 

グローバルカタログの維持

最近は全DCをグローバルカタログにしているはず 

優先DNSサーバー (クライアント)

DCのIPアドレスの方を変更してもよい 

SYSVOL複製

FRSからDFS-Rへ移行… DfsrMig.exeの使用 23

インプレース

アップグレード

マイグレーション

利点とリスク マイグレーションツール ユーザー移行 サーバー移行 セキュリティ統合 25

マイグレーションの利点とリスク



利点

現状を「リセット」できる 

リスク

面倒 移行できない(または困難)な情報を考慮 

ポイント

現在のドメイン階層を変更したい場合

考慮点

: ドメイン名を変更したい場合

マイグレーションツール



ADMT (Active Directory Migration Tool)

3.0…Windows Server 2003以前 3.1…Windows Server 2008

3.2…Windows Server 2008 R2 (SQL Server別)

www.microsoft.com/ja-jp/download/details.aspx?id=8377

Windows Server 2012対応版は準備中

http://support.microsoft.com/kb/2753560/ja



PES (Password Export Server)

3.1…ADMT 3.1および3.2と同時使用

マイグレーションツール: ADMTの機能



主な機能

ユーザー移行(ユーザーとグループアカウント) ユーザープロファイル移行 コンピューター移行(アカウント移行とドメイン変更) セキュリティの変換 サービスアカウントの移行 

制約

移行元と移行先で 異なるDNSドメイン/NetBIOSドメイン/ドメインSID

ユーザー移行



クローズドセットの利用

ユーザーとグループのセット移行が必要な場合がある 29 グローバル グループ グローバルグループのメンバーは 同一ドメインに限られる 移行

ADMTによる

ユーザー移行

サーバー移行



既存サーバーの流用…ADMT

メンバーサーバーとクライアント移行は基本的に同じ 1. コンピューターアカウントの移行 2. ドメインの付け替え 

新規サーバーと置き換え…サーバー移行ツール

PowerShellベースの移行ツール 31

ADMTによる

サーバー移行

セキュリティ統合



ドメイン移行後はSIDが変化



アクセス許可の再設定が必要

Tanaka SID: S-1-5-21-xxx-yyy S-1-5-21-xxx-yyy: アクセス許可 Tanaka SID: S-1-5-21-ZZZ-AAA S-1-5-21-xxx-yyy ドメイン移行(SID変化) S-1-5-21-ZZZ-AAA 方法2: アクセス許可の変更 (セキュリティ変換) 方法1: SIDヒストリの追加 旧SID 33

セキュリティ統合



SIDヒストリの追加

利点: ADMT移行時に指定可能なので手軽

欠点: ログオンプロセスのセキュリティトークンの肥大

【参考】

How To Use Visual Basic Script to Clear SidHistory

http://support.microsoft.com/kb/295758/ja



セキュリティ変換

利点: 移行先のSIDに統合可能

Microsoft Azureの利用

Microsoft Azure IaaS 仮想マシン

読み取り専用ドメインコントローラー (RODC) 仮想ネットワーク

次のステップ

Microsoft Azure IaaS



Microsoft Azure

マイクロソフトが提供するクラウドサービス http://azure.microsoft.com/ja-jp/ クラウドの全種類を提供 

IaaS…仮想マシンを提供

SaaS

Office 365など

PaaS

Microsoft Azure Active Directory

IaaS

Microsoft Azure仮想マシン

仮想マシン



AD DSのドメインコントローラー

Windows Server 仮想マシンとして構成

遠隔地の認証基盤を手軽に提供できる(例:南米) Microsoft Azure Active Directoryとは機能が違う



注意

IPアドレスは動的に構成 (構成上はDHCPクライアント) DSストアはCでもDでもない別のところ

C:はキャッシュの問題

読み取り専用ドメインコントローラー(RODC)



RODCの主な機能 = セキュリティリスクに対応

データベースが読み取り専用 サーバー管理者権限とディレクトリ管理者権限を分離 選択的なパスワード保存 

Azure仮想マシンでの副次的効果

課金を節約 (ダウンロードのみ課金のため) 複製 RWDC RWDC RODC 複製 RODCをAzureに 配置すると通信は ほぼ無課金

仮想ネットワーク

サイト間接続仮想ネットワークの利用 ポイント対サイトは制約が大きい DNSとしてDCを指定する

注意: 仮想ネットワーク同士の通信

VNET to VNET で、複数の Microsoft Azure 仮想ネットワーク間を接続する

http://blogs.technet.com/b/jpntsblog/archive/2014/07/16/vnet-to-vnet-microsoft-azure.aspx

39

仮想ネットワーク 仮想ネットワーク

次のステップ



Azure Active Directory

クラウド認証基盤



ADFS: Active Directoryフェデレーションサービス

まとめ

Active Directoryドメインサービスの復習 現状分析と移行方針 インプレースアップグレード マイグレーション Microsoft Azureの利用 41

告知



「グローバルナレッジネットワーク」教育コース

Windows環境マイグレーション実践 (MSC0422G) Active Directory最小構成実践(MSC0209G) 

技術カンファレンス「G-Tech 2014」(無料)

www.globalknowledge.co.jp/topics/seminar/g-tech2014.html 東京10/10(金)10:30～17:00(懇親会17:20～18:30) 場所:東京ラーニングセンター(地下鉄丸ノ内線西新宿) 大阪10/17(金)13:00～17:00(懇親会 17:20～18:30) 場所: 大阪ラーニングセンター(地下鉄肥後橋)

Q & A

ありがとうございました