スライド 1 - PDF 無料ダウンロード

Windows Server 8 Beta Active Directory 移行ガイド 2012 年 5 月 15 日 1.1 版 NEC Windows Platform Engineering Center

改定履歴 2012.4.13 1.0 版初版発行 2012.5.15 1.1 版お客様公開用に改版 Page 2 NEC Corporation 2012

目次はじめに AD DS 導入のポイント第 1 章 Windows Server 2008 R2 から Windows Server 8 Beta へ移行するメリット第 2 章移行方式の検討と注意点第 3 章ケーススタディ付録 Page 3 NEC Corporation 2012

はじめに本書の内容 Windows Server 2008 R2 Active Directory Domain Service 環境から次期バージョン OS(Windows Server 2012) の開発途上版である Windows Server 8 Beta 環境への移行技術についての紹介旧バージョン (2008 R2 Windows Server 8 Beta) からの変更点 Windows Server 8 からの追加機能の紹介インプレースアップグレードの 2008 R2 Windows Server 8 Beta 対応手順スイング方式 (ADMT) に対応した移行手順 ( 概要のみ記載 ) 本ガイドでは Windows Server 8 Beta で検証を行っているため製品版 (Windows Server 2012) では機能が異なる可能性がありますまたスイング方式に利用する ADMT については Windows Server 8 Beta 対応版がリリースされていないため詳細な機能調査や移行手順は含んでおらず机上検討で本ガイドのみの提供となります本ガイドでは以下の略称を使用している箇所があります Active Directory : AD Active Directory ドメインサービス :ADDS ドメインコントローラー :DC Active Directory Migration tool:admt グループポリシーオブジェクト :GPO また Windows Server 8 Beta について Beta の表記を省略させていただきます Page 4 NEC Corporation 2012

Windows Server 8 AD DS 導入のポイント導入新機能を使用しなければ 2003や2008 R2の設計手法と大きな変更はない新機能を利用するシナリオにマッチするかどうかがポイント移行 2003 2008や2008 2008 R2の移行設計の考え方と大きな変更はない運用運用関連ツール類の改善や仮想化対応の強化仮想マシン上でのスナップショットバックアップ / リストア Active Directory 昇格時の前提条件の診断機能追加ごみ箱の強化 (GUI 版 ) など詳細は第 1 章参照 Page 5 NEC Corporation 2012

第 1 章 Windows Server 8 Beta へ移行するメリット

Microsoft 社セキュリティ HOTFIX 停止後の問題 Windows 2000 Server のサポートはすでに終了 Windows Server 2003 もすでに延長サポートに入っている Windows Server 2008/2008 R2も2013 年には延長サポートへ延長サポートの場合は致命的な丌具合の修正しかされないサポート終了の場合は原則的に修正モジュールは提供されないテンポラリ接続 PC インターネット社内 LAN 2000 サーバ記憶メディアたとえ社内 LAN をインターネットに接続しないシステムであってもウィルス等に感染した記憶メディアを持ち込んだり誰かが個人 PC を社内 LAN に接続したままインターネットにダイヤルアップ接続等したりすると外部からの攻撃を受ける危険がある Page 7 NEC Corporation 2012

AD DS 関連の新機能および強化された機能 Windows Server 8 で追加 / 強化された機能新機能仮想マシン上でのスナップショットバックアップ / リストア仮想ドメインコントローラの複製による展開の短期間化 Active Directory ごみ箱が GUI から利用可能強化機能ユーザのメイン PC を識別するための PrimaryComputer 属性の追加 Active Directory 昇格時の前提条件の診断機能追加ドメインコントローラ展開の自動化 (PowerShell による自動化 ) 細かな設定が可能なパスワードポリシー (GUI 化 ) Windows PowerShell Histroy Viewer(GUI 操作を PowerShell コマンドで表示 ) Page 8 NEC Corporation 2012

仮想マシン上でのスナップショットバックアップ / リストアドメインコントローラの仮想化は現状でも正式サポートされていますが運用する上で注意点がありました特にスナップショットバックアップ / リストア機能を利用すると更新シーケンス番号 (USN) がロールバックする問題がありました Windows Server 8 のドメインコントローラは Hyper-V 内で仮想マシンが実行されている場合スナップショットのバックアップ / リストアに対応します Hyper-V ホストも Windows Server 8 である必要がありますスナップショットバックアップ / リストア前スナップショットバックアップ前の RID プールがスナップショットリストア後に初期化され新規に新しいプールが払い出されるこれにより USN のロールバック問題を回避スナップショットリストア後 Page 9 NEC Corporation 2012

仮想ドメインコントローラの複製による展開の短期間化 Windows Server 8 では仮想化されたドメインコントローラの複製によりスケールアウトやテスト環境構築時のドメインコントローラの早期展開が可能です複製された DC に対し Sysprep を実行する必要はありません複製先 DC のホスト名 NW 情報は後述の XML ファイルに記載して複製元 DC が保持します既存の仮想ドメインコントローラのイメージを複製するため DC 構築時のデータレプリケーションを抑えられます特に大規模環境の DC 追加に効果的です複製元複製先仮想 DC を動作させる仮想化基盤 ( ハイパーバイザ ) は Windows Server 8 の Hyper-V 3.0 もしくは VM-Generation ID をサポートしている 3rd パーティ製品である必要があります PDC エミュレータの役割を保持している DC の OS は Windows Server 8 である必要があります複製元 DC は PDC エミュレータを保持していない DC が対象となります PDC エミュレータを保持している場合は複製前に他 DC に役割を転送する必要があります Sysprep イメージをから OS 展開もしくは OS 新規インストール DC 昇格 DB フルレプリケーション既存 DC (PDC エミュレータ以外 ) 複製による追加 DC OS の Sysprep 処理 DC 昇格作業 DB フルレプリケーションが丌要既存 DC DC 複製追加 DC 昇格 DB 複製構成情報を記述 Hyper-V ホスト (Windows Server 8 ) 従来の DC 追加作業 Windows Server 8 の DC 複製による追加 Page 10 NEC Corporation 2012

仮想ドメインコントローラの複製による展開の短期間化 ( 手順 1/2) 以下の手順にて仮想ドメインコントローラを複製します Cloneable Domain Controllers グループに複製元 DC のコンピュータアカウントを追加します DIT が存在するディレクトリ ( 既定では Windows NTDS) に DCCloneConfig.xml ( 複製する DC の設定情報 ) を作成します複製元 DC にて Get-ADDCCloningExcludedApplicationList PowerShell コマンドを実行し DC 複製時明示的に複製を許可する必要のあるプログラムサービスを出力します Page 11 NEC Corporation 2012

仮想ドメインコントローラの複製による展開の短期間化 ( 手順 2/2) DCCloneConfig.xml と同じ場所に CustomDCCloneAllowList.xml を作成し前コマンドで出力されたプログラムサービスを記載します DCCloneConfig.xml CustomDCCloneAllowList.xml の記述内容は以下 URL を参照 http://technet.microsoft.com/ja-jp/library/hh831734.aspx 複製元の仮想マシンをシャットダウンしてエクスポートします複製先 DC となる新しい仮想マシンとしてインポートし起動すると複製先 DC で構成情報の適用等の処理が実行され起動時には DC として構成されます複製により追加した DC 起動と同時に最初から DC として登録されている複製した DC 起動時に処理が実行される Page 12 NEC Corporation 2012

Active Directory ごみ箱が GUI から利用可能 Windows 2008 R2 よりゴミ箱機能は存在しておりましたが GUI での操作はできず PowerShell を利用した面倒な操作が必要でした Windows Server 8 では Active Diretory 管理センターより以下のように GUI で簡単にオブジェクトを復旧可能ですフォレストレベルは Windows Server 2008 R2 以上である必要がありますゴミ箱から復元できる期限はデフォルトで 180 日です Page 13 NEC Corporation 2012

PrimaryComputer 属性の追加ユーザのメインPCを識別するために利用するPrimaryComputer 属性が追加されますこの属性を利用すると移動プロファイル / フォルダリダイレクトの動作を特定のコンピュータ利用時にのみに限定することができます出先やミーティングルームなどの環境でのセキュリティやログオンパフォーマンスの向上が図れます Windows 8クライアントのみが利用できます Page 14 NEC Corporation 2012

Active Directory 昇格時の機能強化新機能 Active Directory 昇格時の前提条件の診断機能追加が追加されより安全に昇格が可能になります従来の昇格コマンド dcpromoが廃止されすべての操作がサーバマネージャより実施可能になります adprep( スキーマ拡張 ) を昇格時に自動的に実行するようになります昇格時にスキーマアップデート Windows Server 8 の最初の AD サーバ昇格時には Enterprise Admin および Schema Admin の権限が必要になります前提条件のチェック Page 15 NEC Corporation 2012

細かな設定が可能なパスワードポリシー (GUI 化 ) 細かな設定が可能なパスワードポリシー (PSO) は Windows 2008 より実現可能ですが ADSI Edit にて特殊な属性をセットするもので設定が複雑でした Windows Server 8 では GUI より簡単に設定できますドメイン機能レベルが Windows 2008 以降である必要があります Page 16 NEC Corporation 2012

Windows PowerShell History View Active Directory 管理センターを利用した際の Active Directory の操作内容を PowerShell で表示可能となりましたこれにより大量にユーザを作成するなどの PowerShell スクリプトが簡単に作成できるようになりますユーザ作成時の PowerShell スクリプト Page 17 NEC Corporation 2012

第 2 章移行方式の検討と注意点

主な移行方式 Windows Server 8 追加降格 Windows Server 2008 R2 インプレースアップグレード方式既存のドメインに新規で Windows Server 8 のドメインコントローラーを新規で追加し既存の Windows Server 2008 R2 のドメインコントローラーを降格撤去する方式既存ドメイン Windows Server 2008 R2 既存ドメイン移行ツールによるオブジェクトの移行 Windows Server 8 新規ドメインスイング方式 Windows Server 8 で新規ドメインを構築し移行ツール (ADMT) を使用して既存の Windows Server 2008 R2 ドメインからオブジェクトの移行を実施する方式 Page 19 NEC Corporation 2012

インプレースアップグレード方式 1 STEP 1 サーバの更改中に新 AD サーバへクライアントからの認証があり問題とならないよう移行用サイトを作成する STEP 2 移行元ドメインに Windows Server 8 を新規 DC として追加する移行元サーバに FSMO の役割がある場合は転送する STEP 3 既存の DC をドメインから降格し撤去するサーバの台数分 STEP2-3 を繰り返す Page 20 NEC Corporation 2012

インプレースアップグレード方式 2 メリット Active Directoryの再構築を必要としないためアクセス制御や各オブジェクトの再設定は丌要フォレストドメイン OU サイトなどは以前の設定を引き継ぐことが可能ドメイン環境は変わらないため端末の設定は丌要 (AD 移行により DNSのアドレスが変わった場合などを除く ) スイング方式と比べ短時間での移行が可能デメリット以前の状態を引き継ぐので移行の中ではドメイン名の変更などの設計の変更はできないドメイン統合の処理は行えない現行環境に直接手を加える為障害が生じた場合は業務に影響する移行に失敗した場合はサーバのリストアが必要ゆるやかな移行ができない Page 21 NEC Corporation 2012

スイング方式 1 Windows Server 8 STEP 1 Windows Server 8 で新規ドメインを構築し移行元ドメインと信頼関係を結ぶ Windows Server 8 STEP 2 移行ツール (ADMT) を使用してオブジェクトを移行する Windows Server 8 STEP 3 オブジェクトの移行完了後に移行元ドメインを削除する Page 22 NEC Corporation 2012

スイング方式 2 メリット既存の業務環境と平行運用が可能ネーミングルールなどを新しく再構築できる移行範囲を限定し徐々に移行を行うことができる移行に失敗した場合は従来の環境を継続利用可能デメリットインプレースアップグレードと比べると工数がかかり移行に時間がかかるクライアントを自動で移行先ドメインに参加させる場合やユーザプロファイルを移行する場合各クライアントにて移行先の DNS を登録するなどの設定変更が必要また移行時にクライアントがオンライン状態でログオフしておく必要があるユーザプロファイルの移行が発生しない場合は端末の移行準備が必要となり全台の移行が保障できない為クライアント側のドメイン再参加やドメイン移行後の設定変更はお客様にて ( 手動で ) 実施していただくのが現実的である移行期間中の長期にわたりクライアントサポート要員が必要 ADMT 用サーバを用意する必要がある (Windows Server 8 に対応した ADMT が提供されれば Windows Server 8 の AD サーバ上に相乗りも可能 ) Page 23 NEC Corporation 2012

移行方式の検討工数の少ないインプレースアップグレード方式を推奨ドメインの統合やオブジェクトの整理が必要な場合はスイング方式または双方の組み合わせにて行うクライアントの台数が多い場合にスイング方法の移行ツールでクライアントの設定変更を行うのは現実的ではない現環境を継続運用しクライアントリプレースのタイミングで切り替えるなどの工夫が必要スイング方式の場合ツールの選択ツールのインストール場所他段階移行の考慮などが必要 Page 24 NEC Corporation 2012

第 3 章ケーススタディ

ケース 1 ~ インプレースアップグレード方式 ~ 移行のシナリオ現行のAD 環境を構築しているハードウェアが老朽化しハードウェアリプレースを行いたい < 要件 > Windows Server 2008 R2 AD 環境からWindows Server 8 AD 環境への移行を考えている現在のドメイン名を引き続き使用したいクライアントでの操作を極力減らすためリプレースしたDCにはリプレース前のDCと同じコンピュータ名 IPアドレスを使用する Windows Server 8 AD 環境でも運用中のアプリケーションに影響が無いことは確認済み Page 26 NEC Corporation 2012

インプレースアップグレード移行前環境 AD-01(FSMO) Windows Server 2008 R2 SP1 10.10.x.x AD-02 Windows Server 2008 R2 SP1 10.10.x.y Client : Windows 7 SP1 機能レベルドメイン :Windows Server 2008 R2 フォレスト :Windows Server 2008 R2 WPEC.local Windows Server 2008 R2 AD-01 AD-02 Windows 7 移行前環境 Page 27 NEC Corporation 2012

インプレースアップグレード移行後環境 AD-01(FSMO) Windows Server 8 Beta 10.10.x.x AD-02 Windows Server 8 Beta 10.10.x.y Client : Windows 7 SP1 機能レベルドメイン :Windows Server 8 フォレスト :Windows Server 8 WPEC.local 移行に伴いクライアントの設定を変更しないでいいように DC のホスト名や IP アドレスは移行前後で同じものを使用するようにする Windows Server 8 AD-01 AD-02 Windows 7 移行後環境 Page 28 NEC Corporation 2012

インプレースアップグレード手順の流れ移行準備移行用サイトの作成スキーマ拡張ドメイン情報の更新 (ForestPrep,DomainPrep) ForestPrep,DomainPrep ともに Windows Server 8 からは昇格時に自動的に実行されます新規追加 FSMO の機能を持たない既存 DC の降格停止新規サーバ構築 DC 昇格 FSMO 機能の移行コンピュータ名 IP などは降格させた DC の設定を引き継ぐ 2 台目以降 1 台目と同様の作業を残りのサーバ台数分実施する最終的に FSMO の役割をどのサーバに持たせるか確認する詳細は別紙 ( 記載予定 ) のインプレースアップグレード移行手順書に記載します Page 29 NEC Corporation 2012

新規 Windows Server 8 DC の追加 (1 台目 ) サーバの更改中に新 AD サーバへクライアントからの認証 / 名前解決があり問題とならないように次の 1~7 の作業を行います 1 移行用のサイトを作成します 2AD-02 を降格しドメインから撤去します ( コンピュータアカウントも削除します ) 3 新サーバのAD-02をドメイン参加します 4AD-02をADサーバへ昇格します 34 ドメイン参加昇格 AD-01 2008 R2 AD-02 2 ドメイン降格 AD-02 Windows Server 8 Default-First-Site-Name 1 移行用サイトの作成移行用サイト WPEC.local Page 30 NEC Corporation 2012

新規 Windows Server 8 DC の追加 (1 台目 ) 5DNS コンポーネントのインストール 6AD 診断ツールの実行 7AD-02 サーバをサイト移動 ( 現用系サイトへ ) 5DNS インストール AD-02 7 サイト移動 AD-02 Windows Server 8 AD-01 2008 R2 6AD サーバ診断 Default-First-Site-Name 移行用サイト WPEC.local Page 31 NEC Corporation 2012

FSMO の役割転送既存 FSMO サーバを降格停止させるために新規で昇格させた Windows Server 8 へ FSMO の役割を転送します 1 新規サーバへ FSMO の機能を転送します FSMO の転送は GUI で実施する方法と CUI で実施する方法の 2 種類があります 1FSMO の役割転送 FSMO 2008 R2 FSMO Windows Server 8 AD-01 AD-02 WPEC.local Page 32 NEC Corporation 2012

新規 Windows Server 8 DC の追加 (2 台目 ) 2 台目の新規 DCの追加を行います 1FSMOの機能を転送したDCを降格停止します 2 停止させたDCのアカウントを削除します 3 新規でWindows Server 8 をインストールしたサーバに設定を実施し DCへ昇格させます 1 既存サーバの降格停止 2008 R2 FSMO Windows Server 8 AD-01 Windows Server 8 2 コンピュータアカウントの削除 AD-02 AD-01 3 新規サーバの DC 昇格 WPEC.local Page 33 NEC Corporation 2012

新規 Windows Server 8 DC の追加 (2 台目 ) 4DNSコンポーネントのインストールします 5FSMOを元のサーバに転送します 6ADサーバ診断をします 7 移行用サイトの削除します 5FSMO の転送 FSMO FSMO 4DNS インストール Windows Server 8 Windows Server 8 6AD サーバ診断 AD-01 AD-02 7 移行用サイトの削除移行用サイト WPEC.local Page 34 NEC Corporation 2012

移行後の確認フォレストの各ドメインで確認 FSMOが正しく機能しているか配置に問題は無いかイベントログに複製トポロジその他障害イベントが記録されていないか DC の複製状態停止しているDCが存在していないか複製できていないDCが存在していないか Repadmin /replsum などでレプリケーションが正常に動作していることを確認して下さい Page 35 NEC Corporation 2012

ケース 2 ~ スイング方式 ~ 移行のシナリオ社名変更に伴いドメイン名を変更しなければならなくなったが現在のドメイン環境を引き継ぎたい < 要件 > ドメイン名変更と同時にWindows Server 2008 R2 AD DS 環境からWindows Server 8 環境への移行を考えているユーザアカウントやグループアカウントを移行して使用したいパスワードやユーザプロファイルを引き継ぎ使用したいクライアント側で移行の操作を行わずにコンピューターアカウントを移行したい Windows Server 8 のドメインへ移行にあたり GPOの見直しを行いたい移行期間を設けて段階的に移行を実施したい Page 36 NEC Corporation 2012

スイング移行前移行後環境旧ドメイン (old.local) 移行元 ( 旧 DC) 新ドメイン (new.local) 移行先 ( 新 DC) 2008 R2 10.10.x.x/x 移行後降格停止 Windows Server 2008 R2 AD のデータを新ドメインへ移行 ADMT サーバ ADMT 2008R2 10.10.x.x/x Windows Server 8 10.10.x.x/x Windows Server 8 クライアントを新ドメインへ移行 Windows Server 2008 R2 Windows 7 Windows 7 Page 37 NEC Corporation 2012

スイング方式移行手順の流れ移行計準備移行スケジュールを計画移行するオブジェクトの決定決める移行先ドメイン環境の作成新規サーバを構築し新規ドメインを構築する ADMTサーバを構築する移行元移行先ドメインにてADMTをインストールするための準備をする ADMT 用サーバを作成し移行先ドメインへ参加する SQL Server およびADMT v3.2をインストールする ADMTを使用してオブジェクトの移行を実施する計画した移行項目に従ってオブジェクトの移行を実施する Page 38 NEC Corporation 2012

スイング移行手順 1 ( 移行先ドメインの作成 ) 1Windows Server 8 サーバを新規構築します 2 新規構築したサーバを DC へ昇格し新規ドメインを作成します 2008 R2 2 新規ドメインの作成 Windows Server 8 3 移行元ドメインと移行先ドメインで双方の信頼関係を構築します 1 新規サーバ構築 Windows 7 3 双方向の外部信頼 old.local 信頼関係 new.local Page 39 NEC Corporation 2012

スイング移行手順 2 ( 移行環境の作成 ) 4 各ドメインで ADMT 用の設定を実施します 5Windows Server 2008 R2 で ADMT 用サーバを新規構築します 2008 R2 4 移行元移行先ドメインでの事前作業 Windows Server 8 6 構築した ADMT 用サーバを移行先ドメインへ参加させます 2008 R2 現時点では ADMT が Windows Server 8 に対応おらず Windows Server 2008 R2 対応版が最新のため ADMT 専用サーバを設定しています 5ADMT 用サーバ構築 6 移行先ドメインへ参加 7 old.local 信頼関係 new.local Page 40 NEC Corporation 2012

スイング移行手順 3 (ADMT ツールのインストール ) 7 移行元ドメインにて移行用アカウントを作成します 8 移行用アカウントに必要な権限を付不します 9ADMT サーバに ADMT をインストールします 10 移行元 DC へ PES( パスワード暗号化ツール ) をインストールしますパスワード移行をする場合は必頇です 10PES インストール PES 2008 R2 7 移行用アカウントの作成 8 各管理者権限の付不 Windows Server 8 ADMT 2008 R2 9ADMTインストール 7 old.local 信頼関係 new.local Page 41 NEC Corporation 2012

スイング移行手順 4 ( アカウント移行 ) 11ADMT 用サーバへ移行用ユーザでログオンする 12ADMT を使用してユーザグループアカウントの移行を行うパスワードや ( 移動 ) ユーザプロファイルはオプションで選択可能 PES 2008 R2 ユーザープロファイルパスワードユーザーグループ ADMT 2008 R2 12 ユーザグループアカウントの移行 Windows Server 8 13ADMT を使用してコンピュータアカウントの移行を行うオプションにてさまざまなオブジェクト変換が可能である 11 移行用ユーザでログオンコンピュータ移行時のオブジェクト変換の例ローカルユーザプロファイルプリンタレジストリ共有 7 7 etc old.local 13 コンピュータアカウントの移行信頼関係 new.local Page 42 NEC Corporation 2012

移行後の確認ディレクトリデータベースの移行確認移行先のドメインで Active Directory ユーザとコンピュータを起動し移行したオブジェクトが存在することを確認するユーザオブジェクトとグループオブジェクトの関連付けや GPOの関連付けを確認する必要があれば修正を実施する動作確認移行したユーザとパスワードで移行したクライアントからドメインにログオンできることを確認するユーザプロファイルの移行を実施した場合はユーザプロファイルが移行され利用できることを確認する割り当てられたポリシーが正常に反映されていることを確認する Page 43 NEC Corporation 2012

参考 URL Windows Server 2008 R2 Active Directory 公式 Web http://www.microsoft.com/japan/windowsserver2008/r2/technologies/ad-main.mspx Windows Server 2008 および 2008R2 ADDS の新機能 http://64.4.11.252/ja-jp/library/cc770946(ws.10).aspx http://technet.microsoft.com/ja-jp/library/dd378801(ws.10).aspx ADMT ガイド http://technet.microsoft.com/ja-jp/library/cc974332(ws.10).aspx Active Directory 移行ツールガイド : Active Directory ドメインの移行と再構築 http://www.microsoft.com/downloads/ja-jp/details.aspx?familyid=6d710919-1ba5-41ca- B2F3-C11BCB4857AF&displaylang=ja Page 44 NEC Corporation 2012