Windows Server 2008/2008 R2 Active Directory環境へのドメイン移行の考え方

目次はじめに 1 章 2008/2008 R2ドメインへの移行のポイント 1. 移行メリット 4. 2003ドメインからの移行パス 2. 移行方法の種類 5. 2000ドメインからの移行パス 3. 各移行方法のメリットデメリット 6. NT4.0ドメインからの移行パス 2 章 2000/2003 ドメインからの移行 1. 移行方法選択の考え方 2. 既存ドメインのバージョンアップ移行概要移行手順 3. 新規ドメイン構築 & アカウント移行移行概要移行手順 3 章 NT4.0 ドメインからの移行 1. 移行方法選択の考え方 2. 新規ドメイン構築 & アカウント移行移行概要移行手順 2 Copyright 2010 FUJITSU LIMITED

はじめに本書は富士通 PC サーバ PRIMERGY を用いて既存のドメイン環境を Server 2008/2008 R2 Active Directory 環境へ移行する際の考え方概要をご紹介するものです本書では以下の略称を使用します正式名称 NT 4.0ドメイン 2000 Server Active Directory のドメイン Server 2003 Active Directory のドメイン Server 2008 Active Directory のドメイン Server 2008 R2 Active Directory のドメインドメインコントローラ略称 NT4.0ドメイン 2000ドメイン 2003ドメイン 2008ドメイン 2008 R2ドメイン DC ( ) 図表では更に省略した表記を使用する場合があります本書の内容は改善のため事前連絡なしに変更することがあります本書に記載されたデータの使用に起因する第三者の特許権およびその他の権利の侵害については当社はその責を負いません無断転載を禁じます Microsoft,, NT, Server, Active Directoryは Microsoft Corporationの米国及びその他の国における登録商標または商標です 3 Copyright 2010 FUJITSU LIMITED

1 章 2008/2008 R2 ドメインへの移行のポイント 1. 移行メリットドメインの論理設計がより柔軟に読み取り専用ドメインコントローラ (RODC) やきめ細かなパスワードポリシーの追加実装により要件に応じた柔軟な対応が可能になります運用の改善ドメインサービスのみの再起動が可能となり AD のメンテナンス時にも同居している他サービスを止めずに済むなど柔軟な運用が可能になりますドメインオブジェクトへの変更操作のロギングを行う監査機能が強化されたことでより詳細な監査が可能になります Best Practices Analyzer(BPA) を利用した Active Directory DNS の推奨構成の確認が可能になり構成設計ミスに起因するトラブルの未然防止に繋げることができます管理性の向上サーバマネージャへの主要な管理ツールの統合や Active Directory 管理センターの導入などドメインの管理性向上を助ける改善が数多く為されています属性エディタふりがなサポートなど管理ツールのインタフェースが強化され管理性が向上しています PowerShell を利用したコマンドベースの Active Directory 管理が可能になります太字下線付きの機能は 2008 R2 から利用可能です 5 Copyright 2010 FUJITSU LIMITED

1 章 2008/2008 R2 ドメインへの移行のポイント 2. 移行方法の種類ドメインの移行には以下の 2 つの方法があります既存ドメインのバージョンアップ撤去バージョンアップ既存ドメインの構成情報をそのままに DC のリプレースを行うことでバージョンアップする方法です旧 DC 新 DC 新規ドメイン構築 & アカウント移行アカウント移行既存ドメインのアカウント情報を ADMT ( ) を使用して新規構築したドメインへコピーする方法です旧 DC 新 DC ADMT(Active Directory 移行ツール ) とは既存ドメイン環境から Server 2008/2008 R2 Active Directory への移行を簡単安全かつ高速に実現するツールです 6 Copyright 2010 FUJITSU LIMITED

1 章 2008/2008 R2 ドメインへの移行のポイント 3. 各移行方法のメリットデメリット各移行方法のメリットデメリットを理解し要件に見合った方法を選択してください既存ドメインのバージョンアップ既存ドメインのドメイン名やアカウント情報を完全に引継ぎ可能クライアントPCのドメイン再参加作業が不要ファイルサーバなどのアクセス権再設定作業が不要新規ドメイン構築 & アカウント移行既存ドメインのアカウントグループ権限等はツールで移行可能既存ドメイン環境を維持したまま移行可能なため段階的な移行が可能ドメイン名が変更になるため既存システムへの影響が大きいクライアントPCのドメイン再参加作業が必要となり移行時のユーザ負担が増加 7 Copyright 2010 FUJITSU LIMITED

1 章 2008/2008 R2 ドメインへの移行のポイント 4.2003 ドメインからの移行パス 2003 ドメイン移行前ドメインのバージョンアップ新規ドメイン構築 & アカウント移行特別な要件がある場合 1 ドメインのバージョンアップ新規ドメイン構築 & アカウント移行特別な要件がある場合 3 2008 ドメイン 2 3 2008 R2 ドメイン移行後 1 2003 ドメインから 2008 ドメインへの移行は ADMT v3.1 を使用します 2 本書では記載しませんが 2008 ドメインから 2008 R2 ドメインへの移行は 2003 ドメインからの移行と同様に 2 種類の移行方法があります 3 2008 R2 ドメインへの新規ドメイン構築 & アカウント移行には ADMT v3.2 を使用します 8 Copyright 2010 FUJITSU LIMITED

1 章 2008/2008 R2 ドメインへの移行のポイント 5.2000 ドメインからの移行パス 2000 ドメインドメインのバージョンアップ新規ドメイン構築 & アカウント移行特別な要件がある場合ドメインのバージョンアップ新規ドメイン構築 & アカウント移行特別な要件がある場合 1 4 2008 ドメイン 2 3 2008 R2 ドメイン移行前移行後 1 2000 ドメインから 2008 ドメインへの移行は ADMT v3.1 を使用します 2 本書では記載しませんが 2008 ドメインから 2008 R2 ドメインへの移行は 2003 ドメインからの移行と同様に 2 種類の移行方法があります 3 2008 R2 ドメインへの新規ドメイン構築 & アカウント移行には ADMT v3.2 を使用します 4 ADMT を使用した 2000 ドメインから 2008 R2 ドメインへの直接移行はできません 9 Copyright 2010 FUJITSU LIMITED

1 章 2008/2008 R2 ドメインへの移行のポイント 6.NT4.0 ドメインからの移行パス新規ドメイン構築 & アカウント移行 2003 ドメインドメインのバージョンアップ NT4.0 ドメイン移行前ドメインのバージョンアップ新規ドメイン構築 & アカウント移行移行後 NT4.0 ドメインから 2008/2008 R2 ドメインへの直接移行をサポートしていませんそのため本書では 2003 ドメインを経由しての移行方法を紹介しています NT4.0 ドメインから 2003 ドメインへの移行は ADMT v3.0 を使用します 10 Copyright 2010 FUJITSU LIMITED

2 章 2000/2003 ドメインからの移行 1. 移行方法選択の考え方 2000/2003 ドメインからの移行は既存ドメインのバージョンアップを推奨します移行を機にドメイン環境を一新したい場合や以下のような特別な要件がある場合には新規ドメイン構築 & アカウント移行を選択します互換性確認が必要な既存サーバが多いため既存ドメインを残しつつ段階的に移行を行いたい M&A に伴いドメイン環境を統合したいが既存ドメインをそのまま使用したくない事情がある 12 Copyright 2010 FUJITSU LIMITED

2 章 2000/2003 ドメインからの移行 2. 既存ドメインのバージョンアップ (1/3) 移行概要既存ドメインの構成情報をそのままにドメインコントローラのリプレースを行うことでバージョンアップする方法です以下の前提で移行手順をご紹介します移行前移行後ともに DC は 2 台構成ハードウェアは新しいものにリプレース移行前移行後 DC DC バージョンアップ DC DC 2000/2003 2000/2003 2008/2008 R2 2008/2008 R2 2000/2003 ドメイン 2008/2008 R2 ドメイン 13 Copyright 2010 FUJITSU LIMITED

2 章 2000/2003 ドメインからの移行 2. 既存ドメインのバージョンアップ (2/3) 移行手順 1 FSMO ( ) の役割を持つ既存 DC で 2008/2008 R2 の DVD メディアを用いてスキーマを拡張します FSMO 2000/2003 2 台スキーマの拡張 Server 2000/2008 R2 2 新規ドメインの DC として使用するサーバ ( 新規 DC) に Server 2008/2008 R2 をインストールします Server 2000/2008 R2 3 新規 DC を既存ドメインの DC として追加します FSMO 2000/2003 2 台追加追加 2008/2008 R2 2 台特定の 1 台の DC が処理を実行する特別な役割を操作マスタ (FSMO:Flexible Single Master Operation) といいます 14 Copyright 2010 FUJITSU LIMITED

2 章 2000/2003 ドメインからの移行 2. 既存ドメインのバージョンアップ (3/3) 4 FSMO を新規 DC に転送します FSMO FSMO 2000/2003 2 台 2008/2008 R2 2 台 5 既存 DC をメンバーサーバへ降格します降格降格 FSMO 2000/2003 2 台 2008/2008 R2 2 台 6 機能レベルを Server 2008 もしくは Server 2008 R2 に変更します機能レベル変更 FSMO 2008/2008 R2 2 台 15 Copyright 2010 FUJITSU LIMITED

2 章 2000/2003 ドメインからの移行 3. 新規ドメイン構築 & アカウント移行 (1/3) 移行概要新規構築した 2008/2008 R2 ドメイン環境に既存 2000/2003 ドメインの情報を ADMTを使用して移行します以下の前提で移行手順をご紹介します移行前移行後ともにDCは2 台構成新規ドメインを別途構築し既存ドメインのアカウントを移行移行前アカウントの移行 ADMT 移行後 DC DC DC DC 2000/2003 2000/2003 2008/2008 R2 2008/2008 R2 2000/2003 ドメイン 2008/2008 R2 ドメイン 2008 R2 ドメインへの新規ドメイン構築 & アカウント移行には ADMT v3.2 を使用します ADMT を使用した 2000 ドメインから 2008 R2 ドメインへの直接移行はできませんそのため 2000 ドメインからの移行では一旦 2008 ドメインを経由する必要があります 16 Copyright 2010 FUJITSU LIMITED

2 章 2000/2003 ドメインからの移行 3. 新規ドメイン構築 & アカウント移行 (2/3) 移行手順 1 新規に 2008/2008 R2 ドメインを構築します新規構築 2000/2003 2 台 2008/2008 R2 2 台 2 既存ドメインと双方向信頼関係を作成します信頼関係 2000/2003 2 台 2008/2008 R2 2 台 3 ADMT を使用し既存ドメインから新規ドメインへアカウントの移行を行います 2000/2003 2 台アカウント ADMT 2008/2008 R2 2 台 17 Copyright 2010 FUJITSU LIMITED

2 章 2000/2003 ドメインからの移行 3. 新規ドメイン構築 & アカウント移行 (3/3) 4 クライアントメンバサーバ等のリソース移行完了後に信頼関係を破棄します破棄信頼関係 5 既存ドメイン環境を破棄します 2000/2003 2 台破棄 2008/2008 R2 2 台 2000/2003 2 台 2008/2008 R2 2 台 18 Copyright 2010 FUJITSU LIMITED

3 章 NT4.0 ドメインからの移行 1. 移行方法選択の考え方 NT4.0 ドメインから 2008/2008 R2 ドメインへの直接移行パスはありません一旦 2003 ドメインを経由する必要があります Point! NT4.0 ドメインからの移行は Server 2003 R2 メディアの入手が可能な今のうちに移行することを推奨します Server 2008/2008 R2 のライセンスにはダウングレード権が付属しており Server 2003 のライセンスとしても使用できます富士通 PRIMERGY では Server 2008 R2 ダウングレードサービス付き製品を期間限定で提供しています新しい DC 用のサーバとして PRIMERGY を採用する場合 Server 2008 または Server 2003 R2 の媒体が同梱されており便利です経由する 2003 ドメインへの移行の考え方は従来の NT4.0 ドメインから 2003 ドメインへの移行に準じます 20 Copyright 2010 FUJITSU LIMITED

3 章 NT4.0 ドメインからの移行 2. 新規ドメイン構築 & アカウント移行 (1/3) 移行概要新規構築した 2003 ドメイン環境に既存 NT4.0 ドメインの情報を ADMT を使用して移行します続いて 2008/2008 R2 ドメイン環境へのバージョンアップ移行を実施します以下の前提で移行手順をご紹介します移行前移行後ともにDCは2 台構成 2003ドメインを経由して 2008/2008 R2ドメインへ移行移行前移行中移行後 ADMT バージョンアップ PDC NT 4.0 BDC NT 4.0 NT4.0 ドメイン DC 2003 DC 2008/2008 R2ドメイン 2008/2008 R2 DC 2008/2008 R2 NT4.0 ドメイン 2003 ドメイン 2008/2008 R2 ドメイン ADMTによるNT4.0ドメインから2008/2008 R2ドメインへの直接移行はサポートされていません NT4.0ドメインから2003ドメインへの移行はADMT v3.0を使用しますなお移行元の NT 4.0 は SP4 以降の必要があります 21 Copyright 2010 FUJITSU LIMITED

3 章 NT4.0 ドメインからの移行 2. 新規ドメイン構築 & アカウント移行 (2/3) 移行手順 1 新規に 2003 ドメインを構築します新規構築 NT 4.0 2 台 2003 2 既存 NT ドメインと双方向信頼関係を作成します信頼関係 3 ADMT を使用し既存ドメインから移行用ドメインへアカウントの移行を行います NT 4.0 2 台 NT 4.0 2 台アカウント ADMT 2003 2003 22 Copyright 2010 FUJITSU LIMITED

3 章 NT4.0 ドメインからの移行 2. 新規ドメイン構築 & アカウント移行 (3/3) 4 信頼関係を破棄します信頼関係 5 2003 ドメインから 2008/2008 R2 ドメインへ移行します ( 手順は 2 章 2000/2003 ドメインからの移行を参照してください ) NT 4.0 2 台スキーマの拡張 2003 破棄 2003 追加 2008 /2008 R2 2 台 NT 4.0 2 台追加 6 正常にドメインの移行が完了したことを確認し既存ドメイン環境を破棄します降格撤去 NT 4.0 2 台 2003 破棄 2008 /2008 R2 2 台 2008 /2008 R2 2 台 23 Copyright 2010 FUJITSU LIMITED

補足事項ダウングレードについて Server 2008/2008 R2 のライセンスではダウングレード権を使用して旧バージョンの Server をインストールして実行することができます旧バージョンの Server と Server 2008/2008 R2 を両方同時に使用することはできません ( インストールして使用できる Server はどの時点でも常に一つだけとなります ) ダウングレード後はいつでも Server 2008/2008 R2 に戻すことができますダウングレードに関する詳細情報は以下を参照してください < マイクロソフト社 > https://www.microsoft.com/japan/windowsserver2008/r2/downgrade-rights.mspx 24 Copyright 2010 FUJITSU LIMITED