Windows Server 2012/2012 R2 Active Directory環境へのドメイン移行の考え方

Active Directory 環境への ドメイン移行の考え方 第 2.3 版 2018 年 2 月富士通株式会社

改版履歴 改版日時版数改版内容 2012.9 1.0 新規作成 2013.4 1.1 ADMTツールの 2012 対応状況を更新 新規ドメイン構築& アカウント移行 のデメリットに クライアントPCのドメイン再参加作業が必要となり 移行時のユーザ負担が増加 の記載を追加 2013.10 2.0 2012 R2 に対応 2014.3 2.1 ADMTツールの 対応状況を 更新 2014.12 2.2 ADMTツールの 対応に伴い 記載を修正 2018.2 2.3 ADMT ツールのサポート方針変更に伴い 注釈を追加

目次 はじめに 1 章 ドメインへの移行のポイント 1. 移行メリット 2. 移行方法の種類 3. 各移行方法のメリット デメリット 4.2000/2003/2008/2008 R2ドメインからの移行パス 2 章 2003/2008/2008 R2 ドメインからの移行 1. 移行方法選択の考え方 2. 既存ドメインのバージョンアップ移行概要移行手順 3. 新規ドメイン構築 & アカウント移行移行概要移行手順 3 章 2000 ドメインからの移行 1. 移行方法選択の考え方 2. 既存ドメインのバージョンアップ移行概要移行手順

はじめに 本書は Fujitsu Server PRIMERGY を用いて 既存の Active Directory 環境を Active Directory 環境へドメイン移行する際の考え方 概要をご紹介するものです 本書では 以下の略称を使用します 正式名称 Microsoft Windows 2000 Windows 2000 Microsoft 2003 2003 Microsoft 2008 2008 Microsoft 2008 R2 略称 2008 R2 Microsoft 2012 2012 Microsoft 2012 R2 Microsoft Windows 2000 Server Active Directory のドメイン Microsoft 2003 Active Directory のドメイン Microsoft 2008 Active Directory のドメイン Microsoft 2008 R2 Active Directory のドメイン Microsoft 2012 Active Directory のドメイン Microsoft 2012 R2 Active Directory のドメイン ドメインコントローラー Windows PowerShell 図表では 更に省略した表記を使用する場合があります 2012 R2 2000 ドメイン 2003 ドメイン 2008 ドメイン 2008 R2 ドメイン 2012 ドメイン 2012 R2 ドメイン Windows PowerShell

注意事項 注意事項 本ドキュメントを輸出または第三者へ提供する場合は お客様が居住する国および米国輸出管理関連法規等の規制をご確認のうえ 必要な手続きをおとりください 本書に記載されたデータの使用に起因する 第三者の特許権およびその他の権利の侵害については 当社はその責を負いません

1 章 ドメインへの移行の ポイント 1. 移行メリット 2. 移行方法の種類 3. 各移行方法のメリット デメリット 4. 2000/2003/2008/2008 R2ドメインからの移行パス

1 章 ドメインへの移行のポイント 1. 移行メリット 展開作業の簡略化 に昇格するコマンド (promo) が廃止され への昇格はサーバーマネージャーに統合されたため 昇格時の操作が簡略化されます 既存ドメインに を追加する際 自動的にスキーマが拡張されるため 既存 上で実施していたスキーマ拡張の操作 (ADprep) が不要になり の展開が容易になります 操作性の向上 Windows PowerShell 等での設定が必要だった Active Directory ごみ箱機能でのオブジェクトの復元が Active Directory 管理センターの GUI からできるようになり 削除したオブジェクトの復元が容易になります 設定が非常に煩雑だった 細かい設定が可能なパスワードポリシーの設定や適用が Active Directory 管理センターの GUI から簡単に行えるようになり 操作性が大幅に向上しています Active Directory 管理センターから実施した操作を Windows PowerShell の履歴として参照することができるため スクリプトによる自動化などを容易に行うことができます 仮想環境における機能強化 として動作している仮想マシン (VHD) を Sysprep での汎用化を行わずにクローン ( コピー ) を作成して 追加の として構築することができるようになり 仮想環境における の展開が容易になります スナップショットからの復元等により USN ( ) ロールバックが発生した場合 自動的に回復処理が行われるため 仮想環境での の運用が容易になります オブジェクトの変更状態の管理に使用する一意の識別名を更新シーケンス番号 (USN:Update Sequence Number) といいます

1 章 ドメインへの移行のポイント 2. 移行方法の種類 ドメインの移行には以下の 2 つの方法があります 既存ドメインのバージョンアップ 旧 撤去 バージョンアップ 新 新規ドメイン構築 & アカウント移行 既存ドメインの構成 情報をそのままに のリプレースを行うことでバージョンアップする方法です アカウント移行 既存ドメインのアカウント情報を ADMT ( ) を使用して新規構築したドメインへコピーする方法です 旧 新 ADMT(Active Directory 移行ツール ) とは 既存ドメイン環境から Active Directory への移行を簡単 安全 かつ高速に実現するツールです 2017 年 6 月 ADMT は開発が終了し マイクロソフト社によるサポートは限定的な提供となることがアナウンスされました そのため ADMT を使用した移行方法は推奨いたしません 詳細は次の情報をご参照ください Windows 10/ 2016 の環境における ADMT を使用する場合の対応状況について https://blogs.technet.microsoft.com/jpntsblog/2017/06/02/windows-10windows-server-2016- %e3%81%ae%e7%92%b0%e5%a2%83%e3%81%ab%e3%81%8a%e3%81%91%e3%82%8b-admt- %e3%82%92%e4%bd%bf%e7%94%a8%e3%81%99%e3%82%8b%e5%a0%b4%e5%90%88%e3%81%ae%e5%af%be%e5%bf%9c%e7%8a%b6/

1 章 ドメインへの移行のポイント 3. 各移行方法のメリット デメリット 各移行方法のメリット デメリットを理解し 要件に見合った方法を選択してください 既存ドメインのバージョンアップ 既存ドメインのドメイン名やアカウント情報を完全に引継ぎ可能 クライアントPCのドメイン再参加作業が不要 ファイルサーバなどのアクセス権再設定作業が不要 新規ドメイン構築 & アカウント移行 既存ドメインのアカウント グループ 権限等はツールで移行可能 既存ドメイン環境を維持したまま移行可能なため 段階的な移行が可能 ドメイン名が変更になるため 既存システムへの影響が大きい クライアントPCのドメイン再参加作業が必要となり 移行時のユーザ負担が増加

1 章 ドメインへの移行のポイント 4.2000/2003/2008/2008 R2 ドメインからの移行パス ドメイン移行の移行パス 2000 ドメイン 2003 ドメイン 移行前 1 ドメインのバージョンアップ新規ドメイン構築 & アカウント移行 2008 ドメイン ドメインのバージョンアップ新規ドメイン構築 & アカウント移行 ドメインのバージョンアップ新規ドメイン構築 & アカウント移行 ドメインのバージョンアップ新規ドメイン構築 & アカウント移行 移行後 2012/ 2012 R2 ドメイン ドメインのバージョンアップ新規ドメイン構築 & アカウント移行 2008 R2 ドメイン ドメインのバージョンアップ新規ドメイン構築 & アカウント移行 2 1 2000 ドメインから ドメインへの直接移行はサポートされていません そのため 本書では 2008/2008 R2 ドメインを経由しての移行方法を紹介しています 2 新規ドメイン構築 & アカウント移行 による 2000 ドメインから 2008 R2 ドメインへの移行は行えません

2 章 2003/2008/2008 R2 ドメインから の移行 1. 移行方法選択の考え方 2. 既存ドメインのバージョンアップ移行概要移行手順 3. 新規ドメイン構築 & アカウント移行移行概要移行手順

2 章 2003/2008/2008 R2 ドメインからの移行 1. 移行方法選択の考え方 2003/2008/2008 R2 ドメインからの移行は 既存ドメインのバージョンアップ を推奨します 移行を機にドメイン環境を一新したい場合や 以下のような特別な要件がある場合には 新規ドメイン構築 & アカウント移行 を選択します 互換性確認が必要な既存サーバが多いため 既存ドメインを残しつつ 段階的に移行を行いたい M&A に伴いドメイン環境を統合したいなど 既存ドメインをそのまま使用したくない事情がある

2 章 2003/2008/2008 R2 ドメインからの移行 2. 既存ドメインのバージョンアップ (1/3) 移行概要 既存ドメインの構成 情報をそのままに ドメインコントローラーのリプレースを行うことでバージョンアップする方法です 以下の前提で移行手順をご紹介します 移行前 移行後ともに は 2 台構成 ハードウェアは新しいものにリプレース 移行前 移行後 バージョンアップ 2003/2008/2008 R2 2003/2008/2008 R2 2003/2008/2008 R2 ドメイン ドメイン

2 章 2003/2008/2008 R2 ドメインからの移行 2. 既存ドメインのバージョンアップ (2/3) 移行手順 1 新規に として使用するサーバ ( 新規 ) に 2012/2012 R2 をインストールします 2 新規 を既存ドメインに参加させて に昇格します に昇格する際に 自動的にスキーマの拡張が行われます 3 2 台目の新規 を既存ドメインの として追加します FSMO 2003/2008/2008 R2 FSMO スキーマの拡張 昇格 追加 2003/2008/2008 R2

2 章 2003/2008/2008 R2 ドメインからの移行 2. 既存ドメインのバージョンアップ (3/3) 4 FSMO ( ) を新規 に転送します FSMO FSMO 5 既存 をメンバーサーバへ降格します 2003/2008/2008 R2 降格 降格 FSMO 6 機能レベルを 2012 もしくは 2012 R2 に変更します 2003/2008/2008 R2 機能レベル変更 FSMO 特定の 1 台の が処理を実行する 特別な役割を 操作マスタ (FSMO:Flexible Single Master Operation) といいます

2 章 2003/2008/2008 R2 ドメインからの移行 3. 新規ドメイン構築 & アカウント移行 (1/3) 移行概要新規構築した ドメインに既存の 2003/2008/2008 R2 ドメインの情報を ADMT を使用して移行します 以下の前提で移行手順をご紹介します 移行前 移行後ともには2 台構成 新規ドメインを別途構築し 既存ドメインのアカウントを移行 移行前 アカウントの移行 移行後 ADMT 2003/2008/2008 R2 2003/2008/2008 R2 2003/2008/2008 R2 ドメイン ドメイン 2017 年 6 月 ADMT は開発が終了し マイクロソフト社によるサポートは限定的な提供となることがアナウンスされました そのため ADMT を使用した移行方法は推奨いたしません 詳細は次の情報をご参照ください Windows 10/ 2016 の環境における ADMT を使用する場合の対応状況について https://blogs.technet.microsoft.com/jpntsblog/2017/06/02/windows-10windows-server-2016- %e3%81%ae%e7%92%b0%e5%a2%83%e3%81%ab%e3%81%8a%e3%81%91%e3%82%8b-admt- %e3%82%92%e4%bd%bf%e7%94%a8%e3%81%99%e3%82%8b%e5%a0%b4%e5%90%88%e3%81%ae%e5%af%be%e5%bf%9c%e7%8a%b6/

2 章 2003/2008/2008 R2 ドメインからの移行 3. 新規ドメイン構築 & アカウント移行 (2/3) 移行手順 1 新規に ドメインを構築します 新規構築 2 既存ドメインと双方向信頼関係を作成します 2003/2008/2008 R2 信頼関係 3 ADMT を使用し 既存ドメインから新規ドメインへ アカウントの移行を行います 2003/2008/2008 R2 2003/2008/2008 R2 アカウント ADMT

2 章 2003/2008/2008 R2 ドメインからの移行 3. 新規ドメイン構築 & アカウント移行 (3/3) 4 クライアント メンバサーバ等のリソース移行完了後に 信頼関係を破棄します 破棄 信頼関係 5 既存ドメイン環境を破棄します 2003/2008/2008 R2 破棄 2003/2008/2008 R2

3 章 2000 ドメインからの移行 1. 移行方法選択の考え方 2. 既存ドメインのバージョンアップ移行概要移行手順

3 章 2000 ドメインからの移行 1. 移行方法選択の考え方 2000 ドメインから ドメインへの直接移行パスはありません 一旦 2008 または 2008 R2 ドメインを経由する必要があります ただし 新規ドメイン構築 & アカウント移行 による 2000 ドメインから 2008 R2 ドメインへの移行は行うことができません 経由する 2008/2008 R2 ドメインへの移行の考え方は 従来の 2000 ドメインから 2008/2008 R2 ドメインへの移行に準じます

3 章 2000 ドメインからの移行 2. 既存ドメインのバージョンアップ (1/4) 移行概要既存の 2000 ドメインから 2008 R2 ドメインへのバージョンアップ移行を実施します 続いて ドメインへのバージョンアップ移行を実施します 移行前 以下の前提で移行手順をご紹介します 移行前 移行後ともには2 台構成 2008 R2ドメインを経由して ドメインへ移行 移行中 移行後 バージョンアップ バージョンアップ 2000 ドメイン ドメイン Windows 2000 Windows 2000 Windows Server 2008 R2 2000 ドメイン 2008 R2 ドメイン ドメイン 2000 ドメインから 2008 R2 ドメインへの移行は ドメインのバージョンアップを実施します 本書では記載しませんが 経由する 2008 R2 ドメインから ドメインへの移行では 新規ドメイン構築 & アカウント移行 を行うこともできます

3 章 2000 ドメインからの移行 2. 既存ドメインのバージョンアップ (2/4) 移行手順 1 FSMO ( ) の役割を持つ既存 で 2008 R2 の DVD メディアを用いて スキーマを拡張します FSMO Windows 2000 スキーマの拡張 2008 R2 2 2008 R2 ドメインの として使用するサーバ ( 新規 ) に Windows Server 2008 R2 をインストールします 2008 R2 3 新規 を既存ドメインに参加させて に昇格します FSMO 昇格 Windows 2000 2008 R2 特定の 1 台の が処理を実行する 特別な役割を 操作マスタ (FSMO:Flexible Single Master Operation) といいます

3 章 2000 ドメインからの移行 2. 既存ドメインのバージョンアップ (3/4) 4 FSMO を新規 に転送します FSMO FSMO Windows 2000 2008 R2 5 既存 をメンバーサーバへ降格します 降格 降格 FSMO 6 機能レベルを 2008 R2 に変更します Windows 2000 機能レベル変更 FSMO 2008 R2 2008 R2

3 章 2000 ドメインからの移行 2. 既存ドメインのバージョンアップ (4/4) 7 2008 R2ドメインからドメインへバージョンアップを行います スキーマの拡張 ( 手順は 2 章 2003/2008/2008 R2 ト メインからの移行 を参照してください ) 2008 R2 追加 追加 降格 撤去 2008 R2

登録商標について / 免責事項 登録商標について Microsoft, Windows,, Active Directory, Windows PowerShell は 米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です 記載されている会社名 製品名は各社の登録商標または商標です 記載されている会社名 製品名等の固有名詞は各社の商号 登録商標または商標です その他 本資料に記載されている会社名 システム名 製品名等には必ずしも商標表示を付記しておりません 免責事項 このドキュメントは単に情報として提供され 内容は予告なしに変更される場合があります また 発行元の許可なく 本書の記載内容を複写 転載することを禁止します このドキュメントに誤りが無いことの保証や 商品性又は特定目的への適合性の黙示的な保証や条件を含め明示的又は黙示的な保証や条件は一切無いものとします 富士通株式会社は このドキュメントについていかなる責任も負いません また このドキュメントによって直接又は間接にいかなる契約上の義務も負うものではありません このドキュメントを形式 手段 ( 電子的又は機械的 ) 目的に関係なく 富士通株式会社の書面による事前の承諾なく 複製又は転載することはできません