今さら聞けない Active Directory のアップグレードと移行 ~ 基礎から応用まで ~ 横山哲也グローバルナレッジネットワーク株式会社

Similar documents
Windows Server 2012/2012 R2 Active Directory環境へのドメイン移行の考え方

Microsoft PowerPoint - 横山様資料0323.pptx

Windows Server 2016 Active Directory環境へのドメイン移行の考え方

Windows Server 2008/2008 R2 Active Directory環境へのドメイン移行の考え方

Windows の新しいアクセス制御ポリシー ~ 随意アクセス制御と強制アクセス制御 ~ 横山哲也 グローバルナレッジネットワーク株式会社

Windows Server 2012/2012 R2 Active Directory 移行の手引き

MCP Windows Server 2008 Active Directory, Configuring 出題あなたのネットワークには Windows Server 2008 R2 を実行する Server1 という名前のサーバーがあります Server1 は Active Dire

スライド 1

Windows Server 2016 Active Directory 移行の手引き

PowerPoint Presentation

PowerPoint プレゼンテーション

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

The Microsoft Conference 2014 Windows Server 2003 からの移行 ~ AD とファイルサーバーの移行手法 ~ ROOMB

Windows Server 2012 Community Day Learn What s Hot and New in Windows Server 2012!

Active Directory フェデレーションサービスとの認証連携

拠点・支店向けソリューション 富士通PCサーバPRIMERGY TX120を利用したRODC構築ガイド

Windows Server 2008/2008 R2 Active Directory移行の手引き

1 はじめに 本資料は SmartOn NEO から SmartOn ID に移行する際に 事前に知っておくべき要点をまとめたものです SmartOn NEOからSmartOn IDへの移行手順書は別途ございます 詳細は移行手順書をご確認ください また 本資料において記載されている 移行手順書 とは

Windows Server 2012 R2 最新 Active Directory の機能 & 移行ガイド 第 1.4 版日本マイクロソフト株式会社 Published: 2014 年 1 月 5 日 Updated: 2015 年 6 月 5 日 概要 このガイドについて このガイドは 企業や組

使用する前に

目次 目次 準備いただくもの 準備 SQLServer2008 R2 ExpressEdition のインストール インストールの前に インストール 設定一覧 機

はじめに 本書について本書では Windows Server Essentials エクスペリエンス の概要をご紹介します なお 本書で触れている Office 365 については ご利用の際に役立つ PP サポートサービスをご用意しています 詳細は参考情報をご覧ください 著作権本書の著作権は 特段

改定履歴 改版日時版数改版内容 2012/4/ 新規作成 2012/5/ お客様公開用に改版

( 目次 ) 1. はじめに 開発環境の準備 仮想ディレクトリーの作成 ASP.NET のWeb アプリケーション開発環境準備 データベースの作成 データベースの追加 テーブルの作成

OSSTechプレゼンテーション

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

CTX-6114AI Citrix Access Suite 4

CTX-6114AI Citrix Access Suite 4

PowerPoint Presentation

Windows Server 2012 Backup Dive! Microsoft MVP SCCDM 小賀坂優

自己紹介 指崎則夫 ( さしざきのりお ) SCUGJ 運営スタッフ Microsoft MVP

Microsoft認定資格問題集DEMO(70-413_Part2)

Microsoft Active Directory用およびMicrosoft Exchange用Oracle Identity Connector

Server and Cloud Platform template

Windows Server 2012 R2 Active Directory 環境構築ガイド

FUJITSU Cloud Service K5 認証サービス サービス仕様書

アカウント情報連携システム 操作マニュアル(一般ユーザー編)

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

Windows Server 2003 から Windows Server 2012 R2 への マイグレーション指南 アイティデザイン株式会社 知北直宏 (Naohiro Chikita) Microsoft MVP - Directory Services

Symantec Endpoint Protection 12.1 の管理練習問題 例題 1. 管理外検出でネットワーク上のシステムを識別するとき 次のどのプロトコルが使用されますか a. ICMP b. TCP c. ARP a. UDP 2. ある管理者が Symantec Endpoint P

ESET Smart Security 7 リリースノート

学認とOffice 365 の 認証連携

Active Directory のおさらいをしましょう! ~ グループポリシー編 ~ Cloud OS RoadShow

Microsoft Word - L05_Active_Directory_Lab.docx

1. 一般設定 グローバル設定 ここでは 以下の 4 つのケースを想定し ファイルサーバーを設定する手順を紹介します 既に Windows ネットワーク上に存在するワークグループに参加する場合 Windows ネットワーク上に新たにワークグループを作成する場合 既に Windows ネットワーク上に

MS SQL の Point-in-Time リストア A - - v6.5 Update4 以降サポート Active Directory 詳細レベルリストア A A A v5 Update2 以降サポート 小さいパーティションへのBMR A A A v5 Update2 以降サポート リモートレ

業務サーバパック for 奉行シリーズスタートアップガイド

Samba3.0/LDAPによるドメイン移行トラブル事例

自己紹介 スライドは こちら からダウンロード 株式会社ソフィアネットワーク所属 Microsoft MVP for Directory Services (2006~2014) マイクロソフト認定トレーナー (1997~

Microsoft Word - MyWebPortalOffice_Levelup.doc

スライド 1

Office 365 管理の 効率的なツールキット 文書番号 ZJTM 発行日 2018 年 12 月 28 日 0

Acronis Backup 12.5 Advanced NetAppスナップショット連携

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

製品概要

Arcserve UDP バージョン比較 (Rev: 4.0) 2019 年 5 月作成 凡例 ( A : Advanced 以上 P : Premium 以上 PP : Premium Plus SS : 専用サブスクリプション -: 機能なし ) Release Version 機能 7.0 v

Oracle SQL Developerの移行機能を使用したOracle Databaseへの移行

MxLogonサーバサイドツールキット用UI

Arcserve Replication/HA r16.5 のご紹介 Arcserve Japan 第 1.6 版 1

Microsoft Azure 基礎 : Azure ID - 実践演習 概要 このコースにはオプションの実習が含まれ コースで実演されたテクニックをご自分でお試しいただくことができ ます このガイドには 個々の実習の手順が示されています 開始の詳細については コースの実習 > 概要ページをご参照く

ご注意 1) 本書の内容 およびプログラムの一部 または全部を当社に無断で転載 複製することは禁止されております 2) 本書 およびプログラムに関して将来予告なしに変更することがあります 3) プログラムの機能向上のため 本書の内容と実際の画面 操作が異なってしまう可能性があります この場合には 実

NortonAntiVirus for MicrosoftExchange

PSQL v12 新機能のご紹介 ~ 認証要件変更に伴う運用の見直し ~ 株式会社エージーテック 2015 年 1 月 13 日

4. 本オプションで提供する機能 基本機能 Microsoft Office 365 マイクロソフト社 Microsoft Office 365 の機能をそのまま利用できます アクティブディレクトリ連携サービス (Active Directory Federation Service: 以下 ADF

ホームページ・ビルダー サービス「ライトプラン」

Microsoft Lync シンクライアント設定手順書


ESET NOD32 アンチウイルス 8 リリースノート

マネージドクラウド with bit-drive 仮想マシンサービス 管理者マニュアル [ 管理者さま向け ] 2018 年 10 月 15 日 Version 3.0 bit- drive 2018/10/15 Version 3.0 マネージドクラウド with bit-drive 仮想マシン

ESET NOD32 アンチウイルス 6 リリースノート

RICOH Device Manager Pro バックアップ/バージョンアップ作業手順書

ログイン時の ID パスワードは マイページ と同一です インストール前の状態の場合 ログイン後に表示されるページの ライセンス一覧 に該当製品シリアルの表示はされません インストール完了後 ライセンス管理ページご利用シリアルの一覧が表示されます 以上でライセンス管理ページの作成は完了です なお セ

手順書

SIOS Protection Suite for Linux v9.3.2 AWS Direct Connect 接続クイックスタートガイド 2019 年 4 月

Windows Server 2016 ライセンス体系に関するデータシート 製品の概要 Windows Server 2016 は 準備が整った時点でクラウドコンピューティングへ簡単に移行できる新しいテクノロジを導入すると同時に 現在のワークロードをサポートするクラウドレディのオペレーティングシステ

Microsoft Word JA_revH.doc

NETCRUNCH の WINDOWS 監視 P A G E 2 ス権限が必要となります ユーザーはローカル Administrators グループへ使用するユー ザーを追加することでこの権現を割り当てることが可能です 2. ファイアウォール設定 ファイアウォールルールとして RCP パフォーマンス

新環境への移行手順書

PASSEXAM

Microsoft Word - クライアントのインストールと接続設定

SFTPサーバー作成ガイド

PowerPoint プレゼンテーション

Microsoft認定資格問題集DEMO(70-642)

Veritas System Recovery 16 Management Solution Readme

内容 1 概要 このガイドについて Windows Server 2003 の製品サポート終了について LAN DISK Z を導入するメリット ファイルサーバの移行方法について このガイドの適用範囲... 4

新製品 Arcserve Backup r17.5 のご紹介 (SP1 対応版 ) Arcserve Japan Rev. 1.4

Veritas System Recovery 16 Management Solution Readme

IIS8でのクライアント証明書の設定方法

The Microsoft Conference 2014 ROOM E

POWER EGG 3.0 Office365連携

Microsoft Word - office365利用手順書.doc

Microsoft Word - NAP手順書_DHCP_RC1最終.doc

MIND-Wireless-Win8.1_eduroam

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

Password Manager Pro スタートアップガイド

リモートオペレーションキット ユーザーズガイド

1. はじめに (1) 本書の位置づけ 本書ではベジフルネット Ver4 の導入に関連した次の事項について記載する ベジフルネット Ver4 で改善された機能について 新機能の操作に関する概要説明 ベジフルネット Ver4 プログラムのインストールについて Ver4 のインストール手順についての説明

IT ライブラリーより (pdf 100 冊 ) Windows Server 2008 R2 Active Directory 使い倒し術

ZJTM Active Directory management made simple, easy and efficient. スタートアップガイド 2019 年 7 月 3 日発行 ( 第 1 版 ) COPYRIGHT ZOHO JAPAN CORPORATION

Transcription:

今さら聞けない Active Directory のアップグレードと移行 ~ 基礎から応用まで ~ 横山哲也グローバルナレッジネットワーク株式会社

横山哲也 ( ヨコヤマテツヤ ) グローバルナレッジネットワーク株式会社 http://www.globalknowledge.co.jp Windows Server 関連研修を担当 Microsoft MVP 2003 年 4 月 ~2015 年 3 月 Directory Services(2012 年のみ Virtual Machine) 最近の著書 プロが教える Windows Server 2012 システム管理 ( アスキー ) グループポリシー逆引きリファレンス厳選 92( 日経 BP) ソーシャルメディア ブログ ヨコヤマ企画 (http://yp.g20k.jp) Twitter yokoyamat Facebook yokoyama.tetsuya 趣味 写真 ( 猫とライブ ) 1

はじめに 本セッションの目標 既存の Active Directory ドメインサービスを Windows Server 2012 R2 ドメインにする アジェンダ Active Directory ドメインサービスの復習 現状分析と移行方針 インプレースアップグレード マイグレーション Microsoft Azure の利用 2

Active Directory ドメインサービスの復習 Active Directoryの呼称ドメイン名とドメイン階層組織単位 (OU) 機能レベル Windows Server 2012/2012 R2の新機能 3

Active Directory の呼称 Active Directory ドメインサービス Windows Server 2008 から変更 Active Directory は形容詞 そもそも米国の商標は形容詞 現在の Active Directory ID とアクセス制御のブランド 一般には Active Directory ドメインサービス の意味で使うことも多い 4

ドメイン名とドメイン階層 Active Directoryドメイン =DNSドメインを流用 インターネットと接続している必要はない シングルラベルドメイン禁止 ( 階層必須 ) 禁止例 : GLOBALKNOWLEDGE 参考 Windows 2000ではシングルラベルドメイン可能 15 文字のNetBIOS 名でバグが出るサービスがあった NetBIOS 名はピリオドを許可 5

組織単位 (OU) 主な目的 管理者の分類単位 管理制御の委任単位 グループポリシーの適用単位 比較的簡単に変更可能なので 意識しなくて良い 統合時は 移行元ドメインが識別できた方が良い 6

機能レベル 互換性を維持する機能 ドメイン機能レベル ドメインの互換性 ドメイン内のドメインコントローラーの最小バージョン ドメイン機能レベル DC のバージョン 例 : Windows Server 2008 R2 機能レベルでは Windows Server 2003 DC 不可 フォレスト機能レベル フォレストの互換性 フォレスト内のドメインの機能レベルの最小値 フォレスト機能レベル ドメイン機能レベル 7

Windows Server 2012/2012 R2 の新機能 Windows Server 2012 DC の新機能 ごみ箱機能のGUI きめ細かなパスワードポリシーのGUI ダイナミックアクセス制御 Windows Server 2012 仮想マシン DC の新機能 ドメインコントローラーは仮想マシンへ スナップショット対応 USN 整合性 /RIDプール更新 DC 複製対応 SYSPREPに似た複製メカニズム その他 PowerShell の強化など 8

現状分析と移行方針 ドメイン名とドメイン階層 OS のバージョン 機能レベル 9

ドメイン名とドメイン階層 現状の把握 アップグレード ( インプレースアップグレード ) マイグレーション 10

ドメイン名とドメイン階層 : 現状の把握 Active Directory ドメイン =DNS ドメインを流用 既存ドメイン階層を変更したいか? インターネット用例 : microsoft.com Active Directory 用例 : corp.microsoft.com インターネット用例 : g20k.jp Active Directory 用例 : g20k.local 子ドメイン 並列ドメイン 11

ドメイン名とドメイン階層 : アップグレード 現状のドメイン階層で問題ない場合 利点 : 簡単でトラブルが少ない 欠点 : 現状の問題点がそのまま残る 現状のドメイン階層に満足している場合に最適 12

ドメイン名とドメイン階層 : マイグレーション 階層の変更 : RENDOM ツール ドメインの名前変更 フォレストルート以外のドメイン階層の変更 ドメインの付け替え マイグレーション : 別フォレストに移行 情報の複製 現状のドメイン階層に不満な場合に最適 13

OS のバージョン ドメインコントローラー Windows 2000 Server Windows Server 2003 以降 メンバーサーバー & クライアント Active Directoryとは無関係 Windows NT 以前は不可 暗号化アルゴリズムの問題 14

機能レベル ドメイン機能レベル フォレスト機能レベル Windows Server 2012 Windows Server 2008 R2 Windows Server 2008 Windows Server 2003 中間 Windows Server 2003 Windows 2000 ネイティブ Windows 2000 混在 Windows NTドメインフォレスト機能レベル : Windows 2000

機能レベル : Windows Server 2012 では Windows Server 2003 以降のみサポート 新規インストールの場合は Windows Server 2008 以降 PowerShell を使うと降格可能 Windows Server 2008 R2 まで (AD ごみ箱が有効の場合 ) Windows Server 2008 まで (AD ごみ箱が無効の場合 ) ごみ箱有効 2012 2008 R2 2008 ごみ箱無効 2003 16

現状分析と移行方針のまとめ ドメイン名とドメイン階層の把握 アップグレードかマイグレーションか OS のバージョンの把握 ドメイン機能レベルの選択 機能レベルの把握 フォレスト機能レベルの選択 17

インプレースアップグレード ( アップグレード ) 利点とリスクアップグレード手順 1: 準備アップグレード手順 2: 展開アップグレード手順 3: 後処理 18

アップグレードの利点とリスク 利点 簡単 リスク 望ましくない状態が続く可能性がある ゴミ が残る ポイント 現在のドメイン階層に満足している場合考慮点 : ドメイン名の変更はかなり面倒 19

アップグレード手順 1: 準備 Windows Server 2012 以降 準備不要 ADPREP 相当の作業が自動実行 従来のアップグレード ADPREP ツール スキーマ拡張 セキュリティ修正 参考 : Windows Server 2012 R2 の ADPREP Windows Server 2008 以降で実行可能なx64コード メンバーサーバーから実行可能 20

参考 ADPREP 自動実行の理由 ( のひとつ ) フォレスト機能レベル Windows 2000 スキーマ拡張はグローバルカタログの再構成を伴う ネットワークとDCに大きな負担 フォレスト機能レベル Windows Server 2003 スキーマ拡張でグローバルカタログの再構成を伴わない Windows Server 2012 のフォレスト機能レベル Windows Server 2003 以上を保証 21

アップグレード手順 2: 展開 新 DC 2012 R2 DCを追加 2012 R2ドメイン 旧 DCを降格 ( その前に後処理 ) 旧 DC を隔離し バックアップとして使用可能 実際には難しいので最近は流行らない 22

アップグレード手順 3: 後処理 操作マスターの移行 操作マスター正常降格時の自動移行は 移行先が不確実 グローバルカタログの維持 最近は全 DC をグローバルカタログにしているはず 優先 DNS サーバー ( クライアント ) DC の IP アドレスの方を変更してもよい SYSVOL 複製 FRS から DFS-R へ移行 DfsrMig.exe の使用 23

インプレース アップグレード DEMO 24

マイグレーション 利点とリスクマイグレーションツールユーザー移行サーバー移行セキュリティ統合 25

マイグレーションの利点とリスク 利点 現状を リセット できる リスク 面倒 移行できない ( または困難 ) な情報を考慮 ポイント 現在のドメイン階層を変更したい場合考慮点 : ドメイン名を変更したい場合 26

マイグレーションツール ADMT (Active Directory Migration Tool) 3.0 Windows Server 2003 以前 3.1 Windows Server 2008 3.2 Windows Server 2008 R2 (SQL Server 別 ) www.microsoft.com/ja-jp/download/details.aspx?id=8377 Windows Server 2012 対応版は準備中 http://support.microsoft.com/kb/2753560/ja PES (Password Export Server) 3.1 ADMT 3.1 および 3.2 と同時使用 www.microsoft.com/ja-jp/download/details.aspx?id=1838 27

マイグレーションツール : ADMT の機能 主な機能 ユーザー移行 ( ユーザーとグループアカウント ) ユーザープロファイル移行 コンピューター移行 ( アカウント移行とドメイン変更 ) セキュリティの変換 サービスアカウントの移行 制約 移行元と移行先で異なる DNS ドメイン /NetBIOS ドメイン / ドメイン SID 28

ユーザー移行 クローズドセットの利用 ユーザーとグループのセット移行が必要な場合がある グローバルグループ グローバルグループのメンバーは同一ドメインに限られる 移行 29

ADMT による ユーザー移行 DEMO 30

サーバー移行 既存サーバーの流用 ADMT メンバーサーバーとクライアント移行は基本的に同じ 1. コンピューターアカウントの移行 2. ドメインの付け替え 新規サーバーと置き換え サーバー移行ツール PowerShell ベースの移行ツール 31

ADMT による サーバー移行 DEMO 32

セキュリティ統合 ドメイン移行後は SID が変化 アクセス許可の再設定が必要 S-1-5-21-ZZZ-AAA 方法 2: アクセス許可の変更 ( セキュリティ変換 ) S-1-5-21-xxx-yyy: アクセス許可 Tanaka SID: S-1-5-21-xxx-yyy ドメイン移行 (SID 変化 ) 方法 1: SIDヒストリの追加旧 SID Tanaka SID: S-1-5-21-ZZZ-AAA S-1-5-21-xxx-yyy 33

セキュリティ統合 SID ヒストリの追加 利点 : ADMT 移行時に指定可能なので手軽 欠点 : ログオンプロセスのセキュリティトークンの肥大 参考 How To Use Visual Basic Script to Clear SidHistory http://support.microsoft.com/kb/295758/ja セキュリティ変換 利点 : 移行先の SID に統合可能 欠点 : セキュリティ変換を アカウント移行後に実行 34

Microsoft Azure の利用 Microsoft Azure IaaS 仮想マシン読み取り専用ドメインコントローラー (RODC) 仮想ネットワーク次のステップ 35

Microsoft Azure IaaS Microsoft Azure マイクロソフトが提供するクラウドサービス http://azure.microsoft.com/ja-jp/ クラウドの全種類を提供 IaaS 仮想マシンを提供 SaaS PaaS IaaS Office 365 など Microsoft Azure Active Directory Microsoft Azure 仮想マシン 36

仮想マシン AD DS のドメインコントローラー Windows Server 仮想マシンとして構成 遠隔地の認証基盤を手軽に提供できる ( 例 : 南米 ) Microsoft Azure Active Directory とは機能が違う 注意 IP アドレスは動的に構成 ( 構成上は DHCP クライアント ) DS ストアは C でも D でもない別のところ C: はキャッシュの問題 D: は一時記憶場所 37

読み取り専用ドメインコントローラー (RODC) RODC の主な機能 = セキュリティリスクに対応 データベースが読み取り専用 サーバー管理者権限とディレクトリ管理者権限を分離 選択的なパスワード保存 Azure 仮想マシンでの副次的効果 課金を節約 ( ダウンロードのみ課金のため ) 複製 複製 RODCをAzureに配置すると通信は RWDC RWDC ほぼ無課金 RODC 38

仮想ネットワーク サイト間接続仮想ネットワークの利用 ポイント対サイトは制約が大きい DNS として DC を指定する 注意 : 仮想ネットワーク同士の通信 VNET to VNET で 複数の Microsoft Azure 仮想ネットワーク間を接続する http://blogs.technet.com/b/jpntsblog/archive/2014/07/16/vnet-tovnet-microsoft-azure.aspx 仮想ネットワーク 仮想ネットワーク 本社 39

次のステップ Azure Active Directory クラウド認証基盤 ADFS: Active Directory フェデレーションサービス 社内 Active Directory と Office 365 などの連携 40

まとめ Active Directoryドメインサービスの復習現状分析と移行方針インプレースアップグレードマイグレーション Microsoft Azureの利用 41

告知 グローバルナレッジネットワーク 教育コース Windows 環境マイグレーション実践 (MSC0422G) Active Directory 最小構成実践 (MSC0209G) 技術カンファレンス G-Tech 2014 ( 無料 ) www.globalknowledge.co.jp/topics/seminar/g-tech2014.html 東京 10/10( 金 )10:30~17:00( 懇親会 17:20~18:30) 場所 : 東京ラーニングセンター ( 地下鉄丸ノ内線西新宿 ) 大阪 10/17( 金 )13:00~17:00( 懇親会 17:20~18:30) 場所 : 大阪ラーニングセンター ( 地下鉄肥後橋 ) 42

Q & A 43

Thank You! ありがとうございました 44

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック