Windows Server 2012/2012 R2 Active Directory 移行の手引き

第 2.3 版

2015 年 3 月

富士通株式会社

Windows Server 2012/2012 R2

Active Directory 移行の手引き

はじめに

本書は、Microsoft® Windows Server® 2003 Active Directory®のドメイン、Microsoft® Windows Server® 2008 Active Directory®のドメイン、Microsoft® Windows Server® 2008 R2 Active Directory®のドメインから、Microsoft® Windows Server® 2012 Active Directory®のドメインまたは Microsoft® Windows Server® 2012 R2 Active Directory®のドメインへの移行手順を紹介します。 ドメインの移行方式には、「既存ドメインのバージョンアップ」、「新規ドメイン構築&アカウント移行」の 2 種類が用意されており、お客様の移行環境や要件に合わせて移行方式を選択する必要があります。 ドメインの移行方式や移行手順を考える際の基礎情報としてご活用ください。 本書を利用するにあたっての前提知識 以下の技術情報についての知識が必要となります。  Active Directory®およびネットワークの基礎知識 想定する対象読者 以下の方を対象に記載しています。

 Microsoft® Windows Server® 2003 Active Directory®のドメイン、Microsoft® Windows Server® 2008 Active Directory®のドメイン、Microsoft® Windows Server® 2008 R2 Active Directory®のドメインを使用中のお客様  近い将来にドメイン移行を予定のお客様/SE  知識としてドメイン移行の進め方を確認されたいお客様/SE/営業 参考資料 本書以外の Windows Server 技術情報は、以下のサイトで公開しています。 ・Windows システム構築ガイド http://jp.fujitsu.com/platform/server/primergy/technical/construct/

本書では、以下の略称を使用しています。

正式名称 略称

製品名 Microsoft® Windows Server® 2003 Windows Server 2003 Microsoft® Windows Server® 2008 Windows Server 2008 Microsoft® Windows Server® 2008 R2 Windows Server 2008 R2 Microsoft® Windows Server® 2012 Windows Server 2012 Microsoft® Windows Server® 2012 R2 Windows Server 2012 R2 Microsoft® Windows® XP Windows XP

Windows® Vista Windows Vista

Windows® 7 Windows 7

Windows® 8 Windows 8

ドメイン Microsoft® Windows Server® 2003 Active Directory®のドメイン

Windows 2003 ドメイン

Microsoft® Windows Server® 2008 Active Directory®のドメイン

Windows 2008 ドメイン

Microsoft® Windows Server® 2008 R2 Active Directory®のドメイン

Windows 2008 R2 ドメイン

Microsoft® Windows Server® 2012 Active Directory®のドメイン

Windows 2012 ドメイン

Microsoft® Windows Server® 2012 R2 Active Directory®のドメイン

Windows 2012 R2 ドメイン

ドメインコントローラー DC

Active Directory® AD Active Directory®ドメインサービス ADDS Active Directory®移行ツール ADMT

その他 Windows PowerShell® Windows PowerShell

注意事項

 本ドキュメントを輸出または第三者へ提供する場合は、お客様が居住する国および米国輸出 管理関連法規等の規制をご確認のうえ、必要な手続きをおとりください。

 本書に記載されたデータの使用に起因する、第三者の特許権およびその他の権利の侵害に ついては、当社はその責を負いません。

改版履歴

改版日時 版数 改版内容

2012.09 1.0 ・新規作成 2013.04 1.1 ・誤字修正

2013.10 2.0 ・Windows Server 2012 R2 に対応

2014.03 2.1 ・ADMT の Windows Server 2012/2012 R2 対応状況を更新 2014.12 2.2 ・ADMT ツールの Windows Server 2012/2012 R2 対応に伴い、

記載を修正

2015.03 2.3 ・ADMT ツールを使用した移行手順として 5 章を追加 ・「3.2 移行手順」に重要な注意事項を追加

目次

1 なぜ、今 Windows 2012/2012 R2 ドメインに移行するのか？ ... 1

2 ドメイン移行の概要 ... 2

2.1 ドメイン移行作業の流れ ... 2 2.2 移行方式概要 ... 3 2.2.1 既存ドメインのバージョンアップ ... 4 2.2.2 新規ドメイン構築&アカウント移行 ... 6

3 既存ドメインのバージョンアップ手順 (Windows 2003 ドメイン) ... 8

3.1 移行環境 ... 8 3.2 移行手順 ... 10 3.2.1 ドメイン/フォレストの機能レベルの変更 ... 11 3.2.2 Windows Server 2012 R2 のDC追加 ... 14 3.2.3 FSMOの転送 ... 20 3.2.4 Windows Server 2003 DCの降格 ... 29 3.2.5 ドメイン/フォレストの機能レベルの変更 ... 32 3.2.6 SYSVOL複製方式の変更 ... 34

4 既存ドメインのバージョンアップ手順 (Windows 2008/2008 R2 ドメイン) .... 42

4.1 移行環境 ... 42 4.2 移行手順 ... 44 4.2.1 ドメイン/フォレストの機能レベルの変更 ... 44 4.2.2 Windows Server 2012 R2 のDC追加 ... 47 4.2.3 FSMOの転送 ... 54 4.2.4 Windows Server 2008 DCの降格 ... 62 4.2.5 ドメイン/フォレストの機能レベルの変更 ... 65

5 新規ドメイン構築&アカウント移行手順 ... 68

5.1 移行環境 ... 68 5.2 移行手順 ... 70 5.2.1 新規ドメインの構築 ... 70 5.2.2 信頼関係の構築 ... 70 5.2.3 ADMTサーバの構築 ... 84 5.2.4 移行用アカウントの作成 ... 90 5.2.5 ADMT使用前の初期設定 ... 97 5.2.6 暗号化ツールのインストールと設定 ...103 5.2.7 アカウントの移行...108

5.2.8 既存ドメインの破棄 ...127

6 おわりに ... 134

図表目次

図 1 「既存ドメインのバージョンアップ」の移行環境 ... 8 図 2 「既存ドメインのバージョンアップ」の移行環境 ... 42 図 3 「既存ドメインのバージョンアップ」の移行環境 ... 68 表 1 DC サーバの設定内容 ... 8 表 2 ドメインメンバサーバ/クライアントの設定内容 ... 9 表 3 IP アドレスの変更 ... 31 表 4 IP アドレスの変更方法 ... 32 表 5 DC サーバの設定内容 ... 43 表 6 ドメインメンバサーバ/クライアントの設定内容 ... 43 表 7 IP アドレスの変更 ... 64 表 8 IP アドレスの変更方法 ... 65 表 9 DC サーバの設定内容 ... 69 表 10 ドメインメンバサーバ/クライアントの設定内容 ... 69 表 11 ADMT のウィザードで変換可能な項目 ... 108

1 なぜ、今 Windows 2012/2012 R2 ドメインに移行するのか？

富士通における過去のドメイン移行商談の傾向から、Windows 2012/2012 R2 ドメインへの移行を検討する きっかけとして、大きく以下の 2 通りが考えられます。

①最新のテクノロジーの恩恵を受けるため

●展開作業の簡略化 ・DC に昇格するコマンド（DCpromo）が廃止され、DC への昇格はサーバー マネー ジャーに統合されたため、DC 昇格時の操作が簡略化されます。 ・既存ドメインに DC を追加する際、自動的にスキーマが拡張されるため、既存 DC 上で実 施していたスキーマ拡張の操作（ADprep）が不要になり、DC の展開が容易になります。 ●管理性の向上

・Windows PowerShell 等での設定が必要だった Active Directory ごみ箱機能でのオブ ジェクトの復元が、Active Directory 管理センターの GUI からできるようになり、削除した オブジェクトの復元が容易になります。

・設定が非常に煩雑だった、細かい設定が可能なパスワードポリシーの設定や適用が Active Directory 管理センターの GUI から簡単に行えるようになり、操作性が大幅に向 上しています。

・Active Directory 管理センターから実施した操作を Windows PowerShell の履歴として 参照することができるため、スクリプトによる自動化などを容易に行うことができます。 ●仮想化環境への対応 ・DC として動作している仮想マシン（VHD）を、Sysprep での汎用化を行わずにクローン （コピー）を作成して、追加の DC として構築することができるようになり、仮想環境におけ る DC の展開が容易になります。 ・スナップショットからの復元等により USN（※）_{ロールバックが発生した場合、自動的に回} 復処理が行われるため、仮想環境での DC の運用が容易になります。 ※ オブジェクトの変更状態の管理に使用する一意の識別名を更新シーケンス番号 （USN：Update Sequence Number）といいます。

②ハードウェア・ソフトウェアの老朽化のため

●ハードウェア 主にサーバ部品の保守期間終了の問題があります。サーバの各部品にも寿命があり、 定期的に、または故障時に交換する必要があります。古いサーバは順次保守サポート切 れを迎え、サポート終了後には各部品の入手が困難になります。 ●ソフトウェア（OS） Microsoft®製品には、サポート期間が決められています。サポート期間が終了すると、セ キュリティパッチや修正モジュールが提供されなくなります。

2 ドメイン移行の概要

本章では、Windows 2012/2012 R2 ドメインへの移行の進め方と、移行方式について紹介します。

2.1 ドメイン移行作業の流れ

ドメイン移行に必要な作業を簡単に紹介します。ドメイン移行では、以下の流れに従って移行の計画から実 施・確認まで作業を進めます。

■計画、既存環境の調査■

移行対象となるドメイン環境について調査を行います。DC だけでなくメンバコンピュータや ネットワーク環境など影響範囲全般が調査対象となります。 Windows 2012/2012 R2 ドメインへの移行では、既存ドメイン内のすべての DC が “Windows Server 2003”以降である必要があります。またドメイン/フォレストの機能レ ベルが”Windows Server 2003”以上である必要があります。AD の移行では、DNS、 DHCP、WINS など関連するネットワークサービスを考慮する必要があります。

■ハードウェア・ソフトウェアの手配■

移行に必要なハードウェア・ソフトウェアの手配を行います。 発注してから搬入されるまでの時間を考慮し、余裕をもって手配します。

■移行手順の確立/検証■

移行手順を確立します。移行過程でトラブルが発生した場合を想定して、ロールバック計 画をあわせて検討してください。 ドメイン移行は、ドメイン内のメンバコンピュータや、ディレクトリサービスを利用するアプ リケーションなど様々なところに影響を与える可能性があります。移行を行う際は、それ らを洗い出し、移行手順の確認だけでなく、インフラ全体への影響有無について事前検 証を行うことが、移行後のトラブルを未然に防ぐことに繋がります。

POINT!

POINT!

POINT!

■移行の実施■

検証で確立した手順をもとに、本番環境の移行を行います。 本書では、このフェーズを中心に紹介します。 移行作業を開始する前には、必ず既存 DC のバックアップを実施してください。移行を 実施する時期によっては、新たにサービスパックや修正モジュールなどが発表され、本 書の手順に変更を要する可能性があります。マイクロソフト社の最新の情報を確認して ください。

■稼働の確認■

ドメイン移行完了後に、稼働状況の確認を行います。正常に稼働していることを確認して、 ドメイン移行を完了とします。 ドメイン移行は、実際の移行作業以上に、事前の調査・計画・準備などに多くの時間を必要とします。ドメイン 移行を行う際は、移行期間に余裕をもって計画を進めてください。

2.2 移行方式概要

Windows 2012/2012 R2 ドメインへの移行方式は、以下の 2 つの方式が考えられます。 ・ 既存ドメインのバージョンアップ 既存ドメインの構成/情報を保持したまま、ドメインのバージョンアップを行う方式 ・ 新規ドメイン構築&アカウント移行

Active Directory 移行ツール（ADMT）を利用して、新規に構築したドメインへ既存のアカウント情報を 移行する方式 富士通では、エンドユーザへの影響が少ない『既存ドメインのバージョンアップ』での移行を推奨しています。 移行を機にドメイン環境を一新したい場合や、以下のような特別な要件がある場合には、『新規ドメイン構築 &アカウント移行』を選択します。 ・ 互換性確認が必要な既存サーバが多いため、既存ドメインを残しつつ、段階的に移行を行いたい。 ・ M&A に伴いドメイン環境を統合したいなど、既存ドメインをそのまま使用したくない事情がある。 「既存ドメインのバージョンアップ」と「新規ドメイン構築&アカウント移行」の移行イメージを紹介します。

POINT!

2.2.1 既存ドメインのバージョンアップ

移行方式「既存ドメインのバージョンアップ」による、ドメイン移行イメージを紹介します。 ① 既存ドメインに新規 DC を追加します。

② 新規 DC を追加すると自動的にスキーマが拡張されます。

Windows Server 2012/2012 R2 の ADDS では、既存のドメインに DC を追加 する際に、自動的にスキーマの拡張を行います。そのため、既存 DC 上にてコ マンドで実施していたスキーマの拡張操作が不要になります。

③ FSMO を新規 DC に転送します

④ 既存 DC をメンバサーバへ降格します。既存 DC をネットワークから撤去します。

⑤ 機能レベルを “Windows Server 2012”もしくは”Windows Server 2012 R2”に変 更します。

Windows 2003 ドメインを Windows 2012 R2 ドメインへ移行する手順は、「3 既存ドメインのバージョンアッ プ手順 (Windows 2003 ドメイン)」を参照してください。

2.2.2 新規ドメイン構築&アカウント移行

移行方式「新規ドメイン構築&アカウント移行」による、ドメイン移行イメージを紹介します。

① 新規に Windows 2012/2012 R2 ドメインを構築します。

③ ADMT を使用し、既存ドメインから新規ドメインへアカウントを移行します。

④ クライアント、メンバサーバ等のリソース移行完了後に、信頼関係を破棄します。

⑤ 既存ドメイン環境を破棄します。

Windows 2003 ドメインを Windows 2012 R2 ドメインへ移行する手順は、「5 新規ドメイン構築&アカウント 移行手順」を参照してください。

3 既存ドメインのバージョンアップ手順 (Windows 2003 ドメイン)

本章では、富士通が推奨する移行方式「既存ドメインのバージョンアップ」を選択して、Windows 2003 ドメイ ンから Windows 2012 R2 ドメインへ移行する手順を紹介します。 本書では、Windows 2012 R2 ドメインへの移行手順を紹介していますが、Windows 2012 ドメインへ の移行手順も同様となります。

3.1 移行環境

本章で紹介する移行手順は、以下の環境における移行を想定しています。 図 1 「既存ドメインのバージョンアップ」の移行環境 図 1 のサーバ/クライアントの設定内容を、次の表に示します（表 1、表 2）。 表 1 DC サーバの設定内容 番号 項目 内容 ① コンピュータ名 2003DC-1 IP アドレス 192.168.1.11

OS、SP Windows Server 2003 R2

DNS 127.0.0.1(優先)、192.168.1.12(代替)

POINT!

番号 項目 内容

役割 DC(FSMO、GC)、DNS(fujitsu.local ゾーン) ② コンピュータ名 2003DC-2

IP アドレス 192.168.1.12

OS、SP Windows Server 2003 R2

DNS 127.0.0.1 (優先)、192.168.1.11(代替) 役割 DC(GC)、DNS(fujitsu.local ゾーン) ③ コンピュータ名 2012R2DC-1

IP アドレス 192.168.1.1

OS、SP Windows Server 2012 R2

DNS 127.0.0.1 (優先)、192.168.1.12(代替) 役割 DC(FSMO、GC)、DNS(fujitsu.local ゾーン) ④ コンピュータ名 2012R2DC-2

IP アドレス 192.168.1.2

OS、SP Windows Server 2012 R2

DNS 127.0.0.1 (優先)、192.168.1.11(代替) 役割 DC(GC)、DNS(fujitsu.local ゾーン) 表 2 ドメインメンバサーバ/クライアントの設定内容 番号 項目 内容 ⑤ コンピュータ名 2008R2File IP アドレス 192.168.1.50

OS、SP Windows Server 2008 R2

DNS 192.168.1.11(優先)、192.168.1.12(代替)

役割 ファイルサーバ

⑥ コンピュータ名 WinVista IP アドレス 192.168.1.101 OS、SP Windows Vista SP2

DNS 192.168.1.11(優先)、192.168.1.12(代替) 役割 なし ⑦ コンピュータ名 Win7 IP アドレス 192.168.1.102 OS、SP Windows 7 SP1 DNS 192.168.1.11(優先)、192.168.1.12(代替) 役割 なし ⑧ コンピュータ名 Win8 IP アドレス 192.168.1.103 OS、SP Windows 8 DNS 192.168.1.11(優先)、192.168.1.12(代替) 役割 なし

3.2 移行手順

移行方式「既存ドメインのバージョンアップ」による、ドメインの移行の詳細手順を紹介します。

Windows 2003 ドメインに Windows Server 2012 R2 の DC を追加した場合、コンピュータアカウント のパスワードが変更された後にログオンができなくなるという問題が発生します。

詳細は以下のマイクロソフト社のサポート技術情報を参照してください。

「Windows Server 2012 R2 と Windows Server 2003 の混在環境でのコンピューター アカウント のパスワードを変更した後にログオンできない」 https://support.microsoft.com/kb/2989971/ja この問題を未然に防ぐためには、Windows Server 2012 R2 を DC として追加する前に以下のいずれ かの対処を行う必要があります。 ・対処 1 (サポート技術情報 2989971 の修正プログラムを適用) DC として追加する Windows Server 2012 R2 に AD DS の役割を追加後、サポート技術情報 2989971 の修正プログラムを適用してから DC に昇格します。 ※サポート技術情報 2989971 の修正プログラムは、AD DS の役割を追加することで適用できま す。 ・対処 2 (サポート技術情報 2984006 の修正プログラムを適用) DC として追加する Windows Server 2012 R2 にサポート技術情報 2984006 の修正プログラムを 適用してから DC に昇格します。 この修正プログラムは AD DS の役割を追加する前の状態でも適用できます。 ※サポート技術情報 2984006 は更新プログラムのロールアップ(2014 年 9 月)となり、サポート技 術情報 2989971 の修正プログラムが含まれています。 詳細は以下のサポート技術情報を参照してください。

「Windows RT 8.1、8.1 の Windows、および Windows Server 2012 の R2 用の更新プログ ラムのロールアップ 2014 年 9 月」

http://support.microsoft.com/kb/2984006/ja

上記の対処 1 および対処 2 を行うには、サポート技術情報 2919355 の修正プログラムが適用されて いる必要があります。

詳細は以下のサポート技術情報を参照してください。

「Windows RT 8.1、Windows 8.1、および Windows Server 2012 R2 の更新プログラム: 2014 年 4 月」

http://support.microsoft.com/kb/2919355

3.2.1 ドメイン/フォレストの機能レベルの変更 Windows Server 2012 R2 の DC を既存ドメインに追加するには、ドメインおよびフォレストの機能レベル が”Windows Server 2003”以上である必要があります。以下の手順を実施し、ドメインおよびフォレストの機 能レベルを”Windows Server 2003”に上げてください。 既存ドメインのドメインおよびフォレストの機能レベルが”Windows Server 2003”以上である場合には、 「3.2.2 Windows Server 2012 R2 の DC 追加」へ進んでください。 ① ドメインの機能レベルを上げる  本手順は、2003DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2 「 スタート 」→「管理ツール」→「Active Directory ドメインと信頼関係」をクリック します。 3 「Active Directory ドメインと信頼関係」 が表示されます。左ペインの「<ドメイン 名>」を右クリックし、「ドメインの機能レベ ルを上げる」をクリックします。 4 「ドメインの機能レベルを上げる」が表示 されます。「Windows Server 2003」を選 択します。「上げる」をクリックします。 5 「右のメッセージが表示されます。「OK」 をクリックします。

6 「右のメッセージが表示されます。「OK」 をクリックします。 7 再度、手順 3 を実施し、ドメインの機能レ ベルが”Windows Server 2003”になって いることを確認します。 ② フォレストの機能レベルを上げる  本手順は、2003DC-1 で行います。 1 「 スタート 」_{→「管理ツール」→「Active} Directory ドメインと信頼関係」をクリック します。 2 「Active Directory ドメインと信頼関係」 が表示されます。「Active Directory ドメ インと信頼関係」を右クリックし、「フォレ ストの機能レベルを上げる」をクリックし ます。 3 「フォレストの機能レベルを上げる」が表 示されます。「Windows Server 2003」を 選択します。「上げる」をクリックします。

4 「右のメッセージが表示されます。「OK」 をクリックします。 5 「右のメッセージが表示されます。「OK」 をクリックします。 6 再度、手順 2 を実施し、フォレストの機能 レベルが”Windows Server 2003”になっ ていることを確認します。

3.2.2 Windows Server 2012 R2 の DC 追加 ① Active Directory ドメインサービスのインストール  本手順は、2012R2DC-1、2012R2DC-2 で行います。 事前に Windows Server 2012 R2 の OS インストールが完了していることを前提とします。なお、 DC 追加前に DNS サーバの役割をインストールしないでください。 1 ローカル管理者権限でログオンします。 2 「サーバー マネージャー」を起動しま す。 「ダッシュボード」を選択し、「役割と機能 の追加」をクリックします。 3 「役割と機能の追加ウィザード」が表示さ れます。「次へ」をクリックします。 4 「インストールの種類の選択」が表示さ れます。「役割ベースまたは機能ベース のインストール」を選択し、「次へ」をク リックします。

POINT!

5 「対象サーバーの選択」が表示されま す。「サーバー プールからサーバーを 選択」を選択します。「サーバー プー ル」から「2012R2DC-1」を選択し、「次 へ」をクリックします。 6 「サーバーの役割の選択」が表示されま す。「Active Directory ドメイン サービ ス」にチェックを入れます。 「Active Directory ドメイン サービスに 必要な機能を追加しますか？」のダイア ログが表示されるので、「機能の追加」を クリックします。 ダイアログが閉じたら、「次へ」をクリック します。 7 「機能の選択」が表示されます。「次へ」 をクリックします。

8 「Active Directory ドメイン サービス」 が表示されます。「次へ」をクリックしま す。 9 「インストール オプションの確認」が表 示されます。「インストール」をクリックし ます。 10 Active Directory ドメイン サービスのイ ンストールが開始します。完了するまで 待機します。 11 Active Directory ドメイン サービスのイ ンストールが完了すると、「構成が必要 です。 <サーバ名>でインストールが正 常に完了しました。」というメッセージが 表示されます。 「このサーバーをドメイン コントローラー に昇格する」をクリックします。

② ドメインコントローラーへの昇格  本手順は、2012R2DC-1、2012R2DC-2 で行います。 1 Active Directory ドメイン サービス構 成ウィザードが開始し、「配置構成」が表 示されます。 「既存のドメインにドメイン コントロー ラーを追加する」を選択します。 次にドメイン コントローラーを追加するド メインを選択します。「選択」をクリックし ます。 手順①- 11 で「役割と機能の追加 ウィザード」を閉じた場合は、「サー バーマネージャー」の「通知」アイコ ンをクリックし、「このサーバーをド メイン コントローラーに昇格する」 をクリックします。 2 「Windows セキュリティ」が表示されま す。追加先ドメインのドメイン管理者権限 をもつアカウントとパスワードを入力しま す。「OK」をクリックします。 3 「フォレストからのドメインの選択」が表 示されます。ドメインを選択し、「OK」をク リックします。

POINT!

4 ドメイン名と資格者情報が入力されたこ とを確認し、「次へ」をクリックします。 5 「ドメイン コントローラー オプション」が 表示されます。「ドメインネームシステム (DNS) サーバー」、「グローバルカタロ グ(GC)」のチェックをオンにします。 「サイト名」では、リストからサイト名を選 択します。 ディレクトリサービス復元モード(DSRM) のパスワードを入力します。 すべての設定が完了したら、「次へ」をク リックします。 本シナリオでは、Windows Server 2012 R2 の DC すべてを DNS サー バ、グローバルカタログとして構築し ます。 6 「DNS オプション」が表示されます。 「次へ」をクリックします。

POINT!

7 「追加オプション」が表示されます。 レプリケート元では「任意のドメイン コン トローラー」を選択し、「次へ」をクリックし ます。 8 「パス」が表示されます。 「次へ」をクリックします。 9 「準備オプション」が表示されます。 「次へ」をクリックします。 10 「オプションの確認」が表示されます。 「次へ」をクリックします。

11 「前提条件のチェック」が表示されます。 チェックが完了するまで待機します。 12 チェックに問題がなければ、「すべての 前提条件のチェックに合格しました。[イ ンストール]をクリックしてインストールを 開始してください。」というメッセージが表 示されます。 「インストール」をクリックします。 13 「インストール」が表示されます。 Active Directory ドメイン サービスの 構成が完了すると、サーバは自動的に 再起動します。 3.2.3 FSMO の転送 ① スキーママスタの転送  本手順は、2003DC-1 で行います。 1 Schema Admins グループに所属するメンバか、またはそれと同等の権限をもつメンバ でログオンします。 2 「スタート」→「ファイル名を指定して実 行」をクリックします。 「 regsvr32 schmmgmt.dll 」 と 入 力 しま す。「OK」をクリックします。

3 右のメッセージが表示されます。 「OK」をクリックします。 4 「スタート」→「ファイル名を指定して実 行」をクリックします。 「mmc」と入力します。「OK」をクリックし ます。 5 「コンソール 1」が表示されます。「ファイ ル」メニューから、「スナップインの追加と 削除」をクリックします。 6 「スナップインの追加と削除」が表示され ます。「追加」をクリックします。

7 「スタンドアロン スナップインの追加」が 表 示 さ れ ま す 。 「 Active Directory ス キーマ」をクリックします。「追加」をクリッ クします。「閉じる」をクリックします。 8 「スナップインの追加と削除」で、「OK」を クリックします。 9 「コンソール１」に、「Active Directory ス キーマ」が表示されます。「コンソール ルート」_{→「Active Directory スキーマ} [<サーバ名>]」を右クリックし、「ドメイン コントローラの変更」をクリックします。 10 「ドメイン コントローラの変更」が表示さ れ ま す 。 「 名 前 の 指 定 」 で 、 2012R2DC-1 の FQDN を入力します。 「OK」をクリックします。

11 「コンソール１」で、「コンソール ルート」 →「Active Directory スキーマ [<サー バ名>]」を右クリックし、「操作マスタ」を クリックします。 12 「スキーマ マスタの変更」が表示されま す。「変更」をクリックします。 13 右のメッセージが表示されます。「はい」 をクリックします。 14 右のメッセージが表示されます。「OK」を クリックします。 15 「スキーマ マスタの変更」で、「閉じる」を クリックします。

② ドメイン名前付け操作マスタの転送  本手順は、2003DC-1 で行います。 1 ドメイン管理者権限でログオンします。 2 「 スター ト 」→「管理ツール」→「Active Directory ドメインと信頼関係」をクリック します。 3 「Active Directory ドメインと信頼関係」 が表示されます。「Active Directory ドメ インと信頼関係」を右クリックし、「ドメイ ン コントローラに接続」をクリックしま す。 4 「ドメイン コントローラに接続」が表示さ れます。「2012R2DC-1.fujitsu.local」を 選択します。「OK」をクリックします。

5 「Active Directory ドメインと信頼関係」 で「Active Directory ドメインと信頼関 係」を右クリックし、「操作マスタ」をクリッ クします。 6 「操作マスタの変更」が表示されます。 「変更」をクリックします。 7 右のメッセージが表示されます。「はい」 をクリックします。 8 右のメッセージが表示されます。「OK」を クリックします。 9 「操作マスタの変更」で、「閉じる」をク リックします。

③ インフラストラクチャマスタ、PDC マスタ、RID マスタの転送  本手順は、2003DC-1 で行います。 1 ドメイン管理者権限でログオンします。 2 「 スター ト 」→「管理ツール」→「Active Directory ユーザーとコンピュータ」をク リックします。 3 「 Active Directory ユ ー ザ ー と コ ン ピ ュ ー タ 」 が 表 示 さ れ ま す 。 「 Active Directory ユーザーとコンピュータ」→「< ドメイン名>」を右クリックし、「ドメイン コ ントローラに接続」をクリックします。 4 「ドメイン コントローラに接続」が表示さ れます。「2012R2DC-1.fujitsu.local」を 選択します。「OK」をクリックします。

5 「 Active Directory ユ ー ザ ー と コ ン ピュータ」で「Active Directory ユーザー とコンピュータ」_{→「<ドメイン名>」を右ク} リックし、「操作マスタ」をクリックします。 6 「操作マスタ」が表示されます。「インフラ ストラクチャ」タブをクリックします。「変 更」をクリックします。 7 右のメッセージが表示されます。「はい」 をクリックします。 ドメイン内の全ての DC が、グローバ ルカタログであるため、右のメッセー ジが表示されても問題ありません。 8 右のメッセージが表示されます。「OK」を クリックします。

POINT!

9 「操作マスタ」で、「PDC」タブをクリックし ます。「変更」をクリックします。 10 右のメッセージが表示されます。「はい」 をクリックします。 11 右のメッセージが表示されます。「OK」を クリックします。 12 「操作マスタ」で、「RID」タブをクリックし ます。「変更」をクリックします。 13 右のメッセージが表示されます。「はい」 をクリックします。 14 右のメッセージが表示されます。「OK」を クリックします。

15 「操作マスタ」で、「閉じる」をクリックしま す。 3.2.4 Windows Server 2003 DC の降格 ① 既存 DC の降格  本手順は、2003DC-1、2003DC-2 で行います。 既存 DC の降格を行う場合、優先 DNS サーバのアドレスに新規 DC の IP アドレスを設定するよ うに変更してください。 既存 DC を設定したままの状態では、DC の降格に失敗する場合があります。 1 ドメイン管理者権限でログオンします。 2 2003DC-1 で、「スタート」→「ファイル名 を指定して実行」を選択します。 「dcpromo」と入力します。「OK」をクリッ クします。 3 「Active Directory のインストール ウィ ザードの開始」が表示されます。「次へ」 をクリックします。 4 右のメッセージが表示されます。「OK」を クリックします。

5 「Active Directory の削除」が表示され ます。「このサーバーはドメインの最後の ドメイン コントローラです」のチェックが オフになっていることを確認します。「次 へ」をクリックします。 6 「Administrator のパスワード」が表示さ れます。パスワードを入力します。「次 へ」をクリックします。 7 「概要」が表示されます。「次へ」をクリッ クします。 8 AD のアンインストールが実行されます。 9 「Active Directory のインストール ウィ ザードの完了」が表示されます。「完了」 をクリックします。

10 右のメッセージが表示されます。「再起 動する」をクリックし、再起動します。 11 再起動後、2003DC-1 をドメインメンバーから外し、ネットワーク上から撤去します。 12 手順 1～手順 11 と同様の手順で、2003DC-2 を降格します。 ② IP アドレスの変更  本手順は、2012R2DC-1、2012R2DC-2 で行います。 DC サーバでは、ほとんどの場合 DNS サーバの役割を兼務します。DC 兼 DNS サーバをドメインメン バサーバに降格した場合、ドメインメンバコンピュータの TCP/IP 設定によっては参照する DNS が存在 しない状況になります。このような場合、ドメインメンバコンピュータは Active Directory での認証要求が 行えなくなります。 本手順では、移行前の DC で使用していた IP アドレスを、Windows Server 2012 R2 DC の IP アドレ スとすることで、これらの問題を解決します。以下のサーバで IP アドレスの変更を行います。 表 3 IP アドレスの変更 サーバ 変更前の IP アドレス 変更後の IP アドレス 2012R2DC-1 192.168.1.1 192.168.1.11(移行前の DC で使用していた IP ア ドレス) 2012R2DC-2 192.168.1.2 192.168.1.12(移行前の DC で使用していた IP ア ドレス) DC の降格と IP アドレスの変更作業は、ドメインメンバコンピュータへの影響が少ない業務時間外に実 施することを推奨します。 DC 降格後に IP アドレスを変更する方法は、表 4 の方法が考えられます。 お客様の環境や要件に合わせて変更方法を選択してください。

POINT!

表 4 IP アドレスの変更方法 IP アドレス変更方法 説明 ①新規 DC の IP アドレスを変更 新規 DC の IP アドレスを、移行前の DC で使用していた IP アドレスに変更します。ドメインメンバコンピュータの TCP/IP 設定を変更する必要がないため、大規模な環境 に最適な方法です。 ②ドメインメンバコンピュータの TCP/IP 設定を変更 ドメインメンバコンピュータの TCP/IP の設定で、DNS サーバの IP アドレスを新規 DC のアドレスに変更します。 全ドメインメンバコンピュータの設定変更が必要になりま す。 静的に DNS の IP アドレスを 設定している場合 ドメイン内の全ドメインメンバコンピュータの TCP/IP 設定 を手動で変更する必要があります。 DHCP サーバで DNS サーバ の IP アドレスを配布している 場合 DHCP サーバのネットワークオプションで、DNS サーバ の IP アドレス情報を変更します。ドメインメンバコンピュー タでは、DHCP サーバから DNS サーバの IP アドレス情 報を再取得する必要があります。 3.2.5 ドメイン/フォレストの機能レベルの変更 ① ドメイン機能レベルの変更  本手順は、2012R2DC-1 で行います。 1 ドメイン管理者権限でログオンします。 2 「 サー バー マ ネー ジャー 」 を 起動 し 、 「 ツ ー ル 」 を ク リ ッ ク し ま す 。 「 Active Directory 管理センター」をクリックしま す。 3 「Active Directory 管理センター」が表 示されます。「<ドメイン名> (ローカル)」 を選択し、「ドメインの機能レベルの昇 格」をクリックします。

4 「ドメインの機能レベルの昇格」が表示さ れます。「利用可能なドメインの機能レベ ル を選 択 して く だ さい 」 で、 「Windows Server 2012 R2」を選択します。「OK」を クリックします。 5 右のメッセージが表示されます。「OK」を クリックします。 6 右のメッセージが表示されます。「OK」を クリックします。 7 再度、手順 3 を実行し、ドメインの機能レ ベルが「Windows Server 2012 R2」に なっていることを確認します。 「キャンセル」をクリックします。 ② フォレスト機能レベルの変更  本手順は、2012R2DC-1 で行います。 1 Enterprise Admins グループに所属するメンバか、またはそれと同等の権限をもつメン バでログオンします。 2 「 サー バー マ ネー ジャー 」 を 起動 し 、 「 ツ ー ル 」 を ク リ ッ ク し ま す 。 「 Active Directory 管理センター」をクリックしま す。

3 「Active Directory 管理センター」が表 示されます。「<ドメイン名> (ローカル)」 を選択し、「フォレストの機能レベルの昇 格」をクリックします。 4 「フォレストの機能レベルの昇格」が表示 されます。「利用可能なフォレストの機能 レ ベ ル を 選 択 し て く だ さ い 」 で 、 「Windows Server 2012 R2」を選択しま す。「OK」をクリックします。 5 右のメッセージが表示されます。「OK」を クリックします。 6 右のメッセージが表示されます。「OK」を クリックします。 7 再度、手順 3 を実行し、フォレストの機能 レベルが「Windows Server 2012 R2」 になっていることを確認します。 「キャンセル」をクリックします。 3.2.6 SYSVOL 複製方式の変更

Windows 2003 ドメインでは、FRS(File Replication Service)を使用して SYSVOL を複製します。Windows Server 2008 以降の DC では、FRS の後継にあたる DFSR(Distributed File System Replication)を使用可 能ですが、Windows 2003 ドメインから Windows 2012 R2 ドメインに移行した場合、SYSVOL の複製には 引き続き FRS が使用されます。DFSR を使用するためには、コマンドラインツールを使用して手動で変更す る必要があります。

DFSR を使用することで複製によるネットワーク負荷を下げ、より高速に SYSVOL の複製が可能になりま す。

1 現在の DFSR 移行のグローバル状態を 取得します。 コマンドプロンプトで、以下を実行しま す。 dfsrmig /GetGlobalState 実行すると、右のメッセージが表示され ます。 DFSR 移行がまだ初期化されていません。 移行を開始するには、 グローバル状態を目 的の値に設定してください。 2 DFSR 移行のグローバル状態を「開始」 に設定します。 コマンドプロンプトで、以下を実行しま す。 dfsrmig /SetGlobalState 0 実行すると、右のメッセージが表示され ます。 AD に、DFSR に必要なオブジェクトやク ラスが作成されます。 DFSR の現在のグローバル状態： ’開始’ 新しい DFSR のグローバル状態： ’開始’ 無効な状態変更が要求されました。 3 現在の DFSR 移行のグローバル状態を 取得します。 コマンドプロンプトで、以下を実行しま す。 dfsrmig /GetGlobalState 実行すると、右のメッセージが表示され ます。 DFSR の現在のグローバル状態： ’開始’ 成功しました。 4 グローバル状態が「開始」になっている ことを確認します。 コマンドプロンプトで、以下を実行しま す。 dfsrmig /GetMigrationState 実行すると、右のメッセージが表示され ます。 他のドメインコントローラーと整合性がと れていることを確認します。 すべてのドメイン コントローラーがグローバ ル状態（’開始’）に移行しました。 移行状態が、すべてのドメイン コントロー ラー上で整合性のとれた状態になりました。 成功しました。

5 DFSR 移行のグローバル状態を「準備 完了」に設定します。 コマンドプロンプトで、以下を実行しま す。 dfsrmig /SetGlobalState 1 実行すると、右のメッセージが表示され ます。 DFSR の現在のグローバル状態： ’開始’ 新しい DFSR のグローバル状態： ’準備完 了’ ’準備完了’状態に移行します。DFSR サービ スによって SYSVOL が SYSVOL_DFSR フォルダーにコピーされます。 いずれかの DC で移行を開始できない場合 は、手動ポーリングを試行してください。 移行は 15 分から 1 時間までの任意の時 点で開始できます。 成功しました。 6 移行の準備状態をイベントログで確認し ます。 「 サーバー マネージャー」を起動し、 「ツール」をクリックします。 「イベント ビューアー」をクリックします。

7 「イベント ビューアー」が表示されます。 「イベント ビューアー (ローカル)」→「ア プリケーションとサービス ログ」→「DFS Replication」をクリックします。 イベント ID 8010（移行準備開始）、8014 （移行準備完了）が表示されることを確 認します。 8 すべてのドメインコントローラーが移行準 備完了になっているか確認します。 コマンドプロンプトで、以下を実行しま す。 dfsrmig /GetMigrationState 実行すると、右のメッセージが表示され ます。 移行準備が完了すると、C:¥Windows 配下に SYSVOL_DFSR フォルダが作 成 さ れ 、 C:¥Windows¥SYSVOL か ら C:¥Windows¥SYSVOL_DFSR フ ォル ダに、必要なファイルが複製されます。 すべてのドメイン コントローラーがグローバ ル状態（’準備完了’）に移行しました。 移行状態が、すべてのドメイン コントロー ラー上で整合性のとれた状態になりました。 成功しました。

9 DFSR 移行のグローバル状態を「リダイ レクト済み」に設定します。 コマンドプロンプトで、以下を実行しま す。 dfsrmig /SetGlobalState 2 実行すると、右のメッセージが表示され ます。 DFSR の現在のグローバル状態： ’準備完 了’ 新しい DFSR のグローバル状態： ’リダイ レクト済み’ ’ リ ダ イ レ ク ト 済 み ’ 状 態 に 移 行 し ま す 。 SYSVOL 共有が、DFSR を使用してレプリ ケートされた SYSVOL_DFSR フォルダーに 変更されます。 成功しました。

10 リダイレクトの状況をイベントログで確認 します。 「イベント ビューアー (ローカル)」→「ア プリケーションとサービス ログ」→「DFS Replication」をクリックします。イベント ID 8015（リダイレクト処理開始）、8017 （リダイレクト処理完了）が表示されるこ とを確認します。 リダイレクト処理が完了すると、DFSR の複製が開始され、C:Windows ¥SYSVOL_DFSR を複製します。 DFSR のグローバル状態が「削除済み」 となっていないため、FRS 複製も実行さ れています。

11 DFSR のグローバル状態を「削除済み」 にします。 コマンドプロンプトで、以下を実行しま す。 dfsrmig /SetGlobalState 3 このコマンドを実行後は、複製フォルダ を元に戻すことはできません。 実行すると、右のメッセージが表示され ます。 DFSR の現在のグローバル状態： ’リダイレ クト済み’ 新しい DFSR のグローバル状態：’削除済 み’ ’削除済み’状態に移行します。このステップを 元に戻すことはできません。 いずれかの RODC が長時間にわたって ’ 削 除 済 み ’ 状 態 に な っ て い る 場 合 は 、 /DeleteRoNtfrsMembers オプションを指定 して実行してください。 成功しました。

12 削除済みになったことを、イベントログで 確認します。 「イベント ビューアー (ローカル)」→「ア プリケーションとサービス ログ」→「DFS Replication」をクリックします。イベント ID 8018（削除済み開始）、8019（削除済 みリダイレクト処理完了）が表示されるこ とを確認します。 13 以下のコマンドを実行し、他のドメインコ ントローラーも「削除済み」になったかど うかを確認します。 コマンドプロンプトで、以下を実行しま す。 dfsrmig /GetMigrationState 実行すると、右のメッセージが表示され ます。 すべてのドメイン コントローラーがグローバ ル状態（’削除済み’）に移行しました。移行状 態が、すべてのドメイン コントローラー上で 整合性のとれた状態になりました。 成功しました。 以上でドメイン移行作業は完了です。移行完了後は稼働確認を行ってください。

4 既存ドメインのバージョンアップ手順 (Windows 2008/2008 R2 ドメイ

ン)

本章では、富士通が推奨する移行方式「既存ドメインのバージョンアップ」を選択して、Windows 2008/2008 R2 ドメインから Windows 2012 R2 ドメインへ移行する手順を紹介します。 本書では、Windows 2012 R2 ドメインへの移行手順を紹介していますが、Windows 2012 ドメインへ の移行手順も同様となります。また、既存ドメインは Windows 2008 ドメインでの手順を紹介していま すが、Windows 2008 R2 ドメインでも同様の手順となります。

4.1 移行環境

本章で紹介する移行手順は、以下の環境における移行を想定しています。 図 2 「既存ドメインのバージョンアップ」の移行環境

POINT!

図 2 のサーバ/クライアントの設定内容を、次の表に示します（表 5、表 6）。 表 5 DC サーバの設定内容

番号 項目 内容

① コンピュータ名 2008DC-1 IP アドレス 192.168.1.21

OS、SP Windows Server 2008

DNS 127.0.0.1(優先)、192.168.1.22(代替) 役割 DC(FSMO、GC)、DNS(fujitsu.local ゾーン) ② コンピュータ名 2008DC-2

IP アドレス 192.168.1.22

OS、SP Windows Server 2008

DNS 127.0.0.1 (優先)、192.168.1.21(代替) 役割 DC(GC)、DNS(fujitsu.local ゾーン) ③ コンピュータ名 2012R2DC-1

IP アドレス 192.168.1.1

OS、SP Windows Server 2012 R2

DNS 127.0.0.1 (優先)、192.168.1.22(代替) 役割 DC(FSMO、GC)、DNS(fujitsu.local ゾーン) ④ コンピュータ名 2012R2DC-2

IP アドレス 192.168.1.2

OS、SP Windows Server 2012 R2

DNS 127.0.0.1 (優先)、192.168.1.21(代替) 役割 DC(GC)、DNS(fujitsu.local ゾーン) 表 6 ドメインメンバサーバ/クライアントの設定内容 番号 項目 内容 ⑤ コンピュータ名 2008R2File IP アドレス 192.168.1.50

OS、SP Windows Server 2008 R2

DNS 192.168.1.21(優先)、192.168.1.22(代替)

役割 ファイルサーバ

⑥ コンピュータ名 WinVista IP アドレス 192.168.1.10１ OS、SP Windows Vista SP2

DNS 192.168.1.21(優先)、192.168.1.22(代替) 役割 なし ⑦ コンピュータ名 Win7 IP アドレス 192.168.1.102 OS、SP Windows 7 SP1 DNS 192.168.1.21(優先)、192.168.1.22(代替) 役割 なし ⑧ コンピュータ名 Win8 IP アドレス 192.168.1.103 OS、SP Windows 8

4.2 移行手順

移行方式「既存ドメインのバージョンアップ」による、ドメインの移行の詳細手順を紹介します。 4.2.1 ドメイン/フォレストの機能レベルの変更 Windows Server 2012 R2 の DC を既存ドメインに追加するには、ドメインおよびフォレストの機能レベル が”Windows Server 2003”以上である必要があります。以下の手順を実施し、ドメインおよびフォレストの機 能レベルを”Windows Server 2008”に上げてください。 既存ドメインのドメインおよびフォレストの機能レベルが”Windows Server 2003”以上である場合には、 「4.2.2 Windows Server 2012 R2 の DC 追加」へ進んでください。 ① ドメインの機能レベルを上げる  本手順は、2008DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2 「 スタート 」→「管理ツール」→「Active Directory ドメインと信頼関係」をクリック します。 3 「Active Directory ドメインと信頼関係」 が表示されます。左ペインの「<ドメイン 名>」を右クリックし、「ドメインの機能レベ ルを上げる」をクリックします。 4 「ドメインの機能レベルを上げる」が表示 されます。「Windows Server 2008」を選 択します。「上げる」をクリックします。

5 「右のメッセージが表示されます。「OK」 をクリックします。 6 「右のメッセージが表示されます。「OK」 をクリックします。 7 再度、手順 3 を実施し、ドメインの機能レ ベルが”Windows Server 2008”になって いることを確認します。 ② フォレストの機能レベルを上げる  本手順は、2008DC-1 で行います。 1 「 スタート 」_{→「管理ツール」→「Active} Directory ドメインと信頼関係」をクリック します。 2 「Active Directory ドメインと信頼関係」 が表示されます。「Active Directory ドメ インと信頼関係」を右クリックし、「フォレ ストの機能レベルを上げる」をクリックし ます。

3 「フォレストの機能レベルを上げる」が表 示されます。「Windows Server 2008」を 選択します。「上げる」をクリックします。 4 「右のメッセージが表示されます。「OK」 をクリックします。 5 「右のメッセージが表示されます。「OK」 をクリックします。 6 再度、手順 2 を実施し、フォレストの機能 レベルが”Windows Server 2008”になっ ていることを確認します。

4.2.2 Windows Server 2012 R2 の DC 追加 ① Active Directory ドメインサービスのインストール  本手順は、2012R2DC-1、2012R2DC-2 で行います。 事前に Windows Server 2012 R2 の OS インストールが完了していることを前提とします。なお、 DC 追加前に DNS サーバの役割をインストールしないでください。 1 ローカル管理者権限でログオンします。 2 「サーバー マネージャー」を起動しま す。 「ダッシュボード」を選択し、「役割と機能 の追加」をクリックします。 3 「役割と機能の追加ウィザード」が表示さ れます。「次へ」をクリックします。 4 「インストールの種類の選択」が表示さ れます。「役割ベースまたは機能ベース のインストール」を選択し、「次へ」をク リックします。

POINT!

5 「対象サーバーの選択」が表示されま す。「サーバー プールからサーバーを 選択」を選択します。「サーバー プー ル」から「2012R2DC-1」を選択し、「次 へ」をクリックします。 6 「サーバーの役割の選択」が表示されま す。「Active Directory ドメイン サービ ス」にチェックを入れます。 「Active Directory ドメイン サービスに 必要な機能を追加しますか？」のダイア ログが表示されるので、「機能の追加」を クリックします。 ダイアログが閉じたら、「次へ」をクリック します。 7 「機能の選択」が表示されます。「次へ」 をクリックします。

8 「Active Directory ドメイン サービス」 が表示されます。「次へ」をクリックしま す。 9 「インストール オプションの確認」が表 示されます。「インストール」をクリックし ます。 10 Active Directory ドメイン サービスのイ ンストールが開始します。完了するまで 待機します。 11 Active Directory ドメイン サービスのイ ンストールが完了すると、「構成が必要 です。 <サーバ名>でインストールが正 常に完了しました。」というメッセージが 表示されます。 「このサーバーをドメイン コントローラー に昇格する」をクリックします。

② ドメインコントローラーへの昇格  本手順は、2012R2DC-1、2012R2DC-2 で行います。 1 Active Directory ドメイン サービス構 成ウィザードが開始し、「配置構成」が表 示されます。 「既存のドメインにドメイン コントロー ラーを追加する」を選択します。 次にドメインコントローラーを追加するド メインを選択します。「選択」をクリックし ます。 手順①-11 で「役割と機能の追加ウィ ザード」を閉じた場合は、「サーバー マネージャー」の「通知」アイコンをク リックし、「このサーバーをドメイン コ ントローラーに昇格する」をクリックし ます。 2 「Windows セキュリティ」が表示されま す。追加先既存ドメインのドメイン管理者 権限をもつアカウントとパスワードを入 力します。「OK」をクリックします。 3 「フォレストからのドメインの選択」が表 示されます。ドメインを選択し、「OK」をク リックします。

POINT!

4 ドメイン名と資格者情報が入力されたこ とを確認し、「次へ」をクリックします。 5 「ドメイン コントローラー オプション」が 表示されます。「ドメイン ネーム システ ム (DNS) サーバー」、「グローバルカタ ログ(GC)」のチェックをオンにします。 「サイト名」では、リストからサイト名を選 択します。 ディレクトリサービス復元モード(DSRM) のパスワードを入力します。 すべての設定が完了したら、「次へ」をク リックします。 本シナリオでは、Windows Server 2012 R2 の DC すべてを DNS サー バ、グローバルカタログとして構築し ます。 6 「DNS オプション」が表示されます。 「次へ」をクリックします。

POINT!

7 「追加オプション」が表示されます。 レプリケート元では「任意のドメイン コン トローラー」を選択し、「次へ」をクリックし ます。 8 「パス」が表示されます。 「次へ」をクリックします。 9 「準備オプション」が表示されます。 「次へ」をクリックします。 10 「オプションの確認」が表示されます。 「次へ」をクリックします。

11 「前提条件のチェック」が表示されます。 チェックが完了するまで待機します。 12 チェックに問題がなければ、「すべての 前提条件のチェックに合格しました。[イ ンストール]をクリックしてインストールを 開始してください。」というメッセージが表 示されます。 「インストール」をクリックします。 13 「インストール」が表示されます。 Active Directory ドメイン サービスの 構成が完了すると、サーバは自動的に 再起動します。

4.2.3 FSMO の転送 ① スキーママスタの転送  本手順は、2008DC-1 で行います。 1 Schema Admins グループに所属するメンバか、またはそれと同等の権限をもつメンバ でログオンします。 2 「スタート」_{→「ファイル名を指定して実} 行」をクリックします。 「regsvr32 schmmgmt.dll」と入力しま す。「OK」をクリックします。 3 右のメッセージが表示されます。 「OK」をクリックします。 4 「スタート」→「ファイル名を指定して実 行」をクリックします。 「mmc」と入力します。「OK」をクリックし ます。 5 「コンソール 1」が表示されます。「ファイ ル」メニューから、「スナップインの追加と 削除」をクリックします。

6 「スナップインの追加と削除」が表示され ます。「Active Directory スキーマ」を選 択し、「追加」をクリックします。 7 「選択されたスナップイン」に「Active Directory スキーマ」が追加されたことを 確認します。「OK」をクリックします。 8 「コンソール ルート」→「Active Directory スキーマ [<サーバ名>]」を右 クリックし、「Active Directory ドメイン コントローラの変更」をクリックします。 9 「ディレクトリ サーバーの変更」が表示さ れます。「変更先：」で「次のドメイン コン トローラまたは AD LDS インスタンス」 を選択します。 2012R2DC-1 を選択し、「OK」をクリック します。 10 「OK」をクリックします。

11 「コンソール ルート」_→「Active Directory スキーマ [<サーバ名>]」を右 クリックし、「操作マスタ」をクリックしま す。 12 「スキーマ マスタの変更」が表示されま す。「変更」をクリックします。 13 右のメッセージが表示されます。「はい」 をクリックします。 14 右のメッセージが表示されます。「OK」を クリックします。 15 「スキーマ マスタの変更」で、「閉じる」を クリックします。

② ドメイン名前付け操作マスタの転送  本手順は、2008DC-1 で行います。 1 ドメイン管理者権限でログオンします。 2 「 スタート 」_{→「管理ツール」→「Active} Directory ドメインと信頼関係」をクリック します。 3 「Active Directory ドメインと信頼関係」 が表示されます。「Active Directory ドメ インと信頼関係」を右クリックし、「Active Directory ドメイン コントローラの変更」 をクリックします。 4 「ディレクトリ サーバーの変更」が表示さ れます。「変更先：」で「次のドメイン コン トローラまたは AD LDS インスタンス」 を選択します。 2012R2DC-1 を選択し、「OK」をクリック します。 5 「Active Directory ドメインと信頼関係」 を右クリックし、「操作マスタ」をクリックし ます。

6 「操作マスタ」が表示されます。 「変更」をクリックします。 7 右のメッセージが表示されます。「はい」 をクリックします。 8 右のメッセージが表示されます。「OK」を クリックします。 9 「操作マスタ」で、「閉じる」をクリックしま す。 ③ インフラストラクチャマスタ、PDC マスタ、RID マスタの転送  本手順は、2008DC-1 で行います。 1 ドメイン管理者権限でログオンします。 2 「 スタート 」_{→「管理ツール」→「Active} Directory ユーザーとコンピュータ」をク リックします。

3 「 Active Directory ユ ー ザ ー と コ ン ピ ュ ー タ 」 が 表 示 さ れ ま す 。 「 Active Directory ユーザーとコンピュータ」→「< ドメイン名>」を右クリックし、「ドメイン コ ントローラの変更」をクリックします。 4 「ディレクトリ サーバーの変更」が表示さ れます。「変更先：」で「次のドメイン コン トローラまたは AD LDS インスタンス」 を選択します。 2012R2DC-1 を選択し、「OK」をクリック します。 5 「 Active Directory ユ ー ザ ー と コ ン ピュータ」で「Active Directory ユーザー とコンピュータ」_{→「<ドメイン名>」を右ク} リックし、「操作マスタ」をクリックします。 6 「操作マスタ」が表示されます。「インフラ ストラクチャ」タブをクリックします。「変 更」をクリックします。

7 右のメッセージが表示されます。「はい」 をクリックします。 ドメイン内の全ての DC が、グローバ ルカタログであるため、右のメッセー ジが表示されても問題ありません。 8 右のメッセージが表示されます。「OK」を クリックします。 9 「操作マスタ」で、「PDC」タブをクリックし ます。「変更」をクリックします。 10 右のメッセージが表示されます。「はい」 をクリックします。 11 右のメッセージが表示されます。「OK」を クリックします。

POINT!

12 「操作マスタ」で、「RID」タブをクリックし ます。「変更」をクリックします。 13 右のメッセージが表示されます。「はい」 をクリックします。 14 右のメッセージが表示されます。「OK」を クリックします。 15 「操作マスタ」で、「閉じる」をクリックしま す。

4.2.4 Windows Server 2008 DC の降格 ① 既存 DC の降格  本手順は、2008DC-1、2008DC-2 で行います。 1 ドメイン管理者権限でログオンします。 2 2008DC-1 で、「スタート」→「ファイル名 を指定して実行」を選択します。 「dcpromo」と入力します。「OK」をクリッ クします。 3 「Active Directory ドメイン サービス イ ンストール ウィザードの開始」が表示さ れます。「次へ」をクリックします。 4 右のメッセージが表示されます。「OK」を クリックします。 5 「ドメインの削除」が表示されます。「この サーバーはドメインの最後のドメイン コ ントローラなので、ドメインを削除する」 のチェックが入っていないことを確認しま す。「次へ」をクリックします。

6 「Administrator のパスワード」が表示さ れます。パスワードを入力します。 「次へ」をクリックします。 7 「概要」が表示されます。「次へ」をクリッ クします。 8 AD のアンインストールが実行されます。 9 「Active Directory のインストール ウィ ザードの完了」が表示されます。「完了」 をクリックします。

10 右のメッセージが表示されます。「再起 動する」をクリックし、再起動します。 11 再起動後、2008DC-1 をドメインメンバーから外し、ネットワーク上から撤去します。 12 手順 1～手順 11 と同様の手順で、2008DC-2 を降格します。 ② IP アドレスの変更  本手順は、2012R2DC-1、2012R2DC-2 で行います。 DC サーバでは、ほとんどの場合 DNS サーバの役割を兼務します。DC 兼 DNS サーバをドメインメン バサーバに降格した場合、ドメインメンバコンピュータの TCP/IP 設定によっては参照する DNS が存在 しない状況になります。このような場合、ドメインメンバコンピュータは Active Directory での認証要求が 行えなくなります。 本手順では、移行前の DC で使用していた IP アドレスを、Windows Server 2012 R2 DC の IP アドレ スとすることで、これらの問題を解決します。以下のサーバで IP アドレスの変更を行います。 表 7 IP アドレスの変更 サーバ 変更前の IP アドレス 変更後の IP アドレス 2012R2DC-1 192.168.1.1 192.168.1.21(移行前の DC で使用していた IP ア ドレス) 2012R2DC-2 192.168.1.2 192.168.1.22(移行前の DC で使用していた IP ア ドレス) DC の降格と IP アドレスの変更作業は、ドメインメンバコンピュータへの影響が少ない業務時間外に実 施することを推奨します。 DC 降格後に IP アドレスを変更する方法は、表 8 の方法が考えられます。 お客様の環境や要件に合わせて変更方法を選択してください。

POINT!

表 8 IP アドレスの変更方法 IP アドレス変更方法 説明 ①新規 DC の IP アドレスを変更 新規 DC の IP アドレスを、移行前の DC で使用していた IP アドレスに変更します。ドメインメンバコンピュータの TCP/IP 設定を変更する必要がないため、大規模な環境 に最適な方法です。 ②ドメインメンバコンピュータの TCP/IP 設定を変更 ドメインメンバコンピュータの TCP/IP の設定で、DNS サーバの IP アドレスを新規 DC のアドレスに変更します。 全ドメインメンバコンピュータの設定変更が必要になりま す。 静的に DNS の IP アドレスを 設定している場合 ドメイン内の全ドメインメンバコンピュータの TCP/IP 設定 を手動で変更する必要があります。 DHCP サーバで DNS サーバ の IP アドレスを配布している 場合 DHCP サーバのネットワークオプションで、DNS サーバ の IP アドレス情報を変更します。ドメインメンバコンピュー タでは、DHCP サーバから DNS サーバの IP アドレス情 報を再取得する必要があります。 4.2.5 ドメイン/フォレストの機能レベルの変更 ① ドメイン機能レベルの変更  本手順は、2012R2DC-1 で行います。 1 ドメイン管理者権限でログオンします。 2 「 サーバー マネー ジャー」を起動し、 「 ツ ー ル 」 を ク リ ッ ク し ま す 。 「 Active Directory 管理センター」をクリックしま す。 3 「Active Directory 管理センター」が表 示されます。「<ドメイン名> (ローカル)」 を選択し、「ドメインの機能レベルの昇 格」をクリックします。