Windows Server 2012/2012 R2 Active Directory 移行の手引き

はじめに本書は Microsoft Windows Server 2003 Active Directory のドメイン Microsoft Windows Server 2008 Active Directory のドメイン Microsoft Windows Server 2008 R2 Active Directory のドメインから Microsoft Windows Server 2012 Active Directory のドメインまたは Microsoft Windows Server 2012 R2 Active Directory のドメインへの移行手順を紹介しますドメインの移行方式には既存ドメインのバージョンアップ新規ドメイン構築 & アカウント移行の 2 種類が用意されておりお客様の移行環境や要件に合わせて移行方式を選択する必要がありますドメインの移行方式や移行手順を考える際の基礎情報としてご活用ください本書を利用するにあたっての前提知識以下の技術情報についての知識が必要となります Active Directory およびネットワークの基礎知識想定する対象読者以下の方を対象に記載しています Microsoft Windows Server 2003 Active Directory のドメイン Microsoft Windows Server 2008 Active Directory のドメイン Microsoft Windows Server 2008 R2 Active Directory のドメインを使用中のお客様近い将来にドメイン移行を予定のお客様 /SE 知識としてドメイン移行の進め方を確認されたいお客様 /SE/ 営業参考資料本書以外の Windows Server 技術情報は以下のサイトで公開しています Windows システム構築ガイド http://jp.fujitsu.com/platform/server/primergy/technical/construct/ Copyright 2012-2015 FUJITSU LIMITED

本書では以下の略称を使用しています正式名称略称製品名 Microsoft Windows Server 2003 Windows Server 2003 Microsoft Windows Server 2008 Windows Server 2008 Microsoft Windows Server 2008 R2 Windows Server 2008 R2 Microsoft Windows Server 2012 Windows Server 2012 Microsoft Windows Server 2012 R2 Windows Server 2012 R2 Microsoft Windows XP Windows XP Windows Vista Windows Vista Windows 7 Windows 7 Windows 8 Windows 8 ドメイン Microsoft Windows Server 2003 Active Windows 2003 ドメイン Directory のドメイン Microsoft Windows Server 2008 Active Windows 2008 ドメイン Directory のドメイン Microsoft Windows Server 2008 R2 Windows 2008 R2 ドメイン Active Directory のドメイン Microsoft Windows Server 2012 Active Windows 2012 ドメイン Directory のドメイン Microsoft Windows Server 2012 R2 Windows 2012 R2 ドメイン Active Directory のドメインドメインコントローラー DC Active Directory AD Active Directory ドメインサービス ADDS Active Directory 移行ツール ADMT その他 Windows PowerShell Windows PowerShell 注意事項本ドキュメントを輸出または第三者へ提供する場合はお客様が居住する国および米国輸出管理関連法規等の規制をご確認のうえ必要な手続きをおとりください本書に記載されたデータの使用に起因する第三者の特許権およびその他の権利の侵害については当社はその責を負いません Copyright 2012-2015 FUJITSU LIMITED

改版履歴改版日時版数改版内容 2012.09 1.0 新規作成 2013.04 1.1 誤字修正 2013.10 2.0 Windows Server 2012 R2 に対応 2014.03 2.1 ADMT の Windows Server 2012/2012 R2 対応状況を更新 2014.12 2.2 ADMT ツールの Windows Server 2012/2012 R2 対応に伴い記載を修正 2015.03 2.3 ADMT ツールを使用した移行手順として 5 章を追加 3.2 移行手順に重要な注意事項を追加 Copyright 2012-2015 FUJITSU LIMITED

目次 1 なぜ今 Windows 2012/2012 R2 ドメインに移行するのか?... 1 2 ドメイン移行の概要... 2 2.1 ドメイン移行作業の流れ... 2 2.2 移行方式概要... 3 2.2.1 既存ドメインのバージョンアップ... 4 2.2.2 新規ドメイン構築 & アカウント移行... 6 3 既存ドメインのバージョンアップ手順 (Windows 2003 ドメイン )... 8 3.1 移行環境... 8 3.2 移行手順... 10 3.2.1 ドメイン / フォレストの機能レベルの変更... 11 3.2.2 Windows Server 2012 R2 のDC 追加... 14 3.2.3 FSMOの転送... 20 3.2.4 Windows Server 2003 DCの降格... 29 3.2.5 ドメイン / フォレストの機能レベルの変更... 32 3.2.6 SYSVOL 複製方式の変更... 34 4 既存ドメインのバージョンアップ手順 (Windows 2008/2008 R2 ドメイン )... 42 4.1 移行環境... 42 4.2 移行手順... 44 4.2.1 ドメイン / フォレストの機能レベルの変更... 44 4.2.2 Windows Server 2012 R2 のDC 追加... 47 4.2.3 FSMOの転送... 54 4.2.4 Windows Server 2008 DCの降格... 62 4.2.5 ドメイン / フォレストの機能レベルの変更... 65 5 新規ドメイン構築 & アカウント移行手順... 68 5.1 移行環境... 68 5.2 移行手順... 70 5.2.1 新規ドメインの構築... 70 5.2.2 信頼関係の構築... 70 5.2.3 ADMTサーバの構築... 84 5.2.4 移行用アカウントの作成... 90 5.2.5 ADMT 使用前の初期設定... 97 5.2.6 暗号化ツールのインストールと設定...103 5.2.7 アカウントの移行...108 Copyright 2012-2015 FUJITSU LIMITED

図表目次図 1 既存ドメインのバージョンアップの移行環境... 8 図 2 既存ドメインのバージョンアップの移行環境... 42 図 3 既存ドメインのバージョンアップの移行環境... 68 表 1 DC サーバの設定内容... 8 表 2 ドメインメンバサーバ / クライアントの設定内容... 9 表 3 IP アドレスの変更... 31 表 4 IP アドレスの変更方法... 32 表 5 DC サーバの設定内容... 43 表 6 ドメインメンバサーバ / クライアントの設定内容... 43 表 7 IP アドレスの変更... 64 表 8 IP アドレスの変更方法... 65 表 9 DC サーバの設定内容... 69 表 10 ドメインメンバサーバ / クライアントの設定内容... 69 表 11 ADMT のウィザードで変換可能な項目... 108 Copyright 2012-2015 FUJITSU LIMITED

1 なぜ今 Windows 2012/2012 R2 ドメインに移行するのか? 富士通における過去のドメイン移行商談の傾向から Windows 2012/2012 R2 ドメインへの移行を検討するきっかけとして大きく以下の 2 通りが考えられます 1 最新のテクノロジーの恩恵を受けるため展開作業の簡略化 DC に昇格するコマンド (DCpromo) が廃止され DC への昇格はサーバーマネージャーに統合されたため DC 昇格時の操作が簡略化されます既存ドメインに DC を追加する際自動的にスキーマが拡張されるため既存 DC 上で実施していたスキーマ拡張の操作 (ADprep) が不要になり DC の展開が容易になります管理性の向上 Windows PowerShell 等での設定が必要だった Active Directory ごみ箱機能でのオブジェクトの復元が Active Directory 管理センターの GUI からできるようになり削除したオブジェクトの復元が容易になります設定が非常に煩雑だった細かい設定が可能なパスワードポリシーの設定や適用が Active Directory 管理センターの GUI から簡単に行えるようになり操作性が大幅に向上しています Active Directory 管理センターから実施した操作を Windows PowerShell の履歴として参照することができるためスクリプトによる自動化などを容易に行うことができます仮想化環境への対応 DC として動作している仮想マシン (VHD) を Sysprep での汎用化を行わずにクローン ( コピー ) を作成して追加の DC として構築することができるようになり仮想環境における DC の展開が容易になりますスナップショットからの復元等により USN ( ) ロールバックが発生した場合自動的に回復処理が行われるため仮想環境での DC の運用が容易になりますオブジェクトの変更状態の管理に使用する一意の識別名を更新シーケンス番号 (USN:Update Sequence Number) といいます 2 ハードウェアソフトウェアの老朽化のためハードウェア主にサーバ部品の保守期間終了の問題がありますサーバの各部品にも寿命があり定期的にまたは故障時に交換する必要があります古いサーバは順次保守サポート切れを迎えサポート終了後には各部品の入手が困難になりますソフトウェア (OS) Microsoft 製品にはサポート期間が決められていますサポート期間が終了するとセキュリティパッチや修正モジュールが提供されなくなります本書ではこのような背景から Windows 2003 ドメイン Windows 2008/2008 R2 ドメインから Windows 2012/2012 R2 ドメインへの移行を中心に記載しております - 1 - Copyright 2012-2015 FUJITSU LIMITED

2 ドメイン移行の概要本章では Windows 2012/2012 R2 ドメインへの移行の進め方と移行方式について紹介します 2.1 ドメイン移行作業の流れドメイン移行に必要な作業を簡単に紹介しますドメイン移行では以下の流れに従って移行の計画から実施確認まで作業を進めます計画既存環境の調査移行対象となるドメイン環境について調査を行います DC だけでなくメンバコンピュータやネットワーク環境など影響範囲全般が調査対象となります POINT! Windows 2012/2012 R2 ドメインへの移行では既存ドメイン内のすべての DC が Windows Server 2003 以降である必要がありますまたドメイン / フォレストの機能レベルが Windows Server 2003 以上である必要があります AD の移行では DNS DHCP WINS など関連するネットワークサービスを考慮する必要がありますハードウェアソフトウェアの手配移行に必要なハードウェアソフトウェアの手配を行います POINT! 発注してから搬入されるまでの時間を考慮し余裕をもって手配します移行手順の確立 / 検証移行手順を確立します移行過程でトラブルが発生した場合を想定してロールバック計画をあわせて検討してください POINT! ドメイン移行はドメイン内のメンバコンピュータやディレクトリサービスを利用するアプリケーションなど様々なところに影響を与える可能性があります移行を行う際はそれらを洗い出し移行手順の確認だけでなくインフラ全体への影響有無について事前検証を行うことが移行後のトラブルを未然に防ぐことに繋がります - 2 - Copyright 2012-2015 FUJITSU LIMITED

移行の実施検証で確立した手順をもとに本番環境の移行を行います本書ではこのフェーズを中心に紹介します POINT! 移行作業を開始する前には必ず既存 DC のバックアップを実施してください移行を実施する時期によっては新たにサービスパックや修正モジュールなどが発表され本書の手順に変更を要する可能性がありますマイクロソフト社の最新の情報を確認してください稼働の確認ドメイン移行完了後に稼働状況の確認を行います正常に稼働していることを確認してドメイン移行を完了としますドメイン移行は実際の移行作業以上に事前の調査計画準備などに多くの時間を必要としますドメイン移行を行う際は移行期間に余裕をもって計画を進めてください 2.2 移行方式概要 Windows 2012/2012 R2 ドメインへの移行方式は以下の 2 つの方式が考えられます既存ドメインのバージョンアップ既存ドメインの構成 / 情報を保持したままドメインのバージョンアップを行う方式新規ドメイン構築 & アカウント移行 Active Directory 移行ツール (ADMT) を利用して新規に構築したドメインへ既存のアカウント情報を移行する方式富士通ではエンドユーザへの影響が少ない既存ドメインのバージョンアップでの移行を推奨しています移行を機にドメイン環境を一新したい場合や以下のような特別な要件がある場合には新規ドメイン構築 & アカウント移行を選択します互換性確認が必要な既存サーバが多いため既存ドメインを残しつつ段階的に移行を行いたい M&A に伴いドメイン環境を統合したいなど既存ドメインをそのまま使用したくない事情がある既存ドメインのバージョンアップと新規ドメイン構築 & アカウント移行の移行イメージを紹介します - 3 - Copyright 2012-2015 FUJITSU LIMITED

2.2.1 既存ドメインのバージョンアップ移行方式既存ドメインのバージョンアップによるドメイン移行イメージを紹介します 1 既存ドメインに新規 DC を追加します 2 新規 DC を追加すると自動的にスキーマが拡張されます POINT! Windows Server 2012/2012 R2 の ADDS では既存のドメインに DC を追加する際に自動的にスキーマの拡張を行いますそのため既存 DC 上にてコマンドで実施していたスキーマの拡張操作が不要になります - 4 - Copyright 2012-2015 FUJITSU LIMITED

3 FSMO を新規 DC に転送します 4 既存 DC をメンバサーバへ降格します既存 DC をネットワークから撤去します 5 機能レベルを Windows Server 2012 もしくは Windows Server 2012 R2 に変更します Windows 2003 ドメインを Windows 2012 R2 ドメインへ移行する手順は 3 既存ドメインのバージョンアップ手順 (Windows 2003 ドメイン ) を参照してください Windows 2008 ドメイン /2008 R2 ドメインを Windows 2012 R2 ドメインへ移行する手順は 4 既存ドメインのバージョンアップ手順 (Windows 2008/2008 R2 ドメイン ) を参照してください - 5 - Copyright 2012-2015 FUJITSU LIMITED

3 ADMT を使用し既存ドメインから新規ドメインへアカウントを移行します 4 クライアントメンバサーバ等のリソース移行完了後に信頼関係を破棄します 5 既存ドメイン環境を破棄します Windows 2003 ドメインを Windows 2012 R2 ドメインへ移行する手順は 5 新規ドメイン構築 & アカウント移行手順を参照してください - 7 - Copyright 2012-2015 FUJITSU LIMITED

3 既存ドメインのバージョンアップ手順 (Windows 2003 ドメイン ) 本章では富士通が推奨する移行方式既存ドメインのバージョンアップを選択して Windows 2003 ドメインから Windows 2012 R2 ドメインへ移行する手順を紹介します POINT! 本書では Windows 2012 R2 ドメインへの移行手順を紹介していますが Windows 2012 ドメインへの移行手順も同様となります 3.1 移行環境本章で紹介する移行手順は以下の環境における移行を想定しています図 1 既存ドメインのバージョンアップの移行環境図 1 のサーバ / クライアントの設定内容を次の表に示します ( 表 1 表 2) 表 1 DC サーバの設定内容番号項目内容 1 コンピュータ名 2003DC-1 IP アドレス 192.168.1.11 OS SP Windows Server 2003 R2 DNS 127.0.0.1( 優先 ) 192.168.1.12( 代替 ) - 8 - Copyright 2012-2015 FUJITSU LIMITED

番号項目内容役割 DC(FSMO GC) DNS(fujitsu.local ゾーン ) 2 コンピュータ名 2003DC-2 IP アドレス 192.168.1.12 OS SP Windows Server 2003 R2 DNS 127.0.0.1 ( 優先 ) 192.168.1.11( 代替 ) 役割 DC(GC) DNS(fujitsu.local ゾーン ) 3 コンピュータ名 2012R2DC-1 IP アドレス 192.168.1.1 OS SP Windows Server 2012 R2 DNS 127.0.0.1 ( 優先 ) 192.168.1.12( 代替 ) 役割 DC(FSMO GC) DNS(fujitsu.local ゾーン ) 4 コンピュータ名 2012R2DC-2 IP アドレス 192.168.1.2 OS SP Windows Server 2012 R2 DNS 127.0.0.1 ( 優先 ) 192.168.1.11( 代替 ) 役割 DC(GC) DNS(fujitsu.local ゾーン ) 表 2 ドメインメンバサーバ / クライアントの設定内容番号項目内容 5 コンピュータ名 2008R2File IP アドレス 192.168.1.50 OS SP Windows Server 2008 R2 DNS 192.168.1.11( 優先 ) 192.168.1.12( 代替 ) 役割ファイルサーバ 6 コンピュータ名 WinVista IP アドレス 192.168.1.101 OS SP Windows Vista SP2 DNS 192.168.1.11( 優先 ) 192.168.1.12( 代替 ) 役割なし 7 コンピュータ名 Win7 IP アドレス 192.168.1.102 OS SP Windows 7 SP1 DNS 192.168.1.11( 優先 ) 192.168.1.12( 代替 ) 役割なし 8 コンピュータ名 Win8 IP アドレス 192.168.1.103 OS SP Windows 8 DNS 192.168.1.11( 優先 ) 192.168.1.12( 代替 ) 役割なし - 9 - Copyright 2012-2015 FUJITSU LIMITED

3.2 移行手順移行方式既存ドメインのバージョンアップによるドメインの移行の詳細手順を紹介します Windows 2003 ドメインに Windows Server 2012 R2 の DC を追加した場合コンピュータアカウントのパスワードが変更された後にログオンができなくなるという問題が発生します詳細は以下のマイクロソフト社のサポート技術情報を参照してください Windows Server 2012 R2 と Windows Server 2003 の混在環境でのコンピューターアカウントのパスワードを変更した後にログオンできない https://support.microsoft.com/kb/2989971/ja この問題を未然に防ぐためには Windows Server 2012 R2 を DC として追加する前に以下のいずれかの対処を行う必要があります対処 1 ( サポート技術情報 2989971 の修正プログラムを適用 ) DC として追加する Windows Server 2012 R2 に AD DS の役割を追加後サポート技術情報 2989971 の修正プログラムを適用してから DC に昇格しますサポート技術情報 2989971 の修正プログラムは AD DS の役割を追加することで適用できます対処 2 ( サポート技術情報 2984006 の修正プログラムを適用 ) DC として追加する Windows Server 2012 R2 にサポート技術情報 2984006 の修正プログラムを適用してから DC に昇格しますこの修正プログラムは AD DS の役割を追加する前の状態でも適用できますサポート技術情報 2984006 は更新プログラムのロールアップ (2014 年 9 月 ) となりサポート技術情報 2989971 の修正プログラムが含まれています詳細は以下のサポート技術情報を参照してください Windows RT 8.1 8.1 の Windows および Windows Server 2012 の R2 用の更新プログラムのロールアップ 2014 年 9 月 http://support.microsoft.com/kb/2984006/ja 上記の対処 1 および対処 2 を行うにはサポート技術情報 2919355 の修正プログラムが適用されている必要があります詳細は以下のサポート技術情報を参照してください Windows RT 8.1 Windows 8.1 および Windows Server 2012 R2 の更新プログラム : 2014 年 4 月 http://support.microsoft.com/kb/2919355 導入を行う前には必ずマイクロソフト社の最新情報を確認してください - 10 - Copyright 2012-2015 FUJITSU LIMITED

3.2.1 ドメイン / フォレストの機能レベルの変更 Windows Server 2012 R2 の DC を既存ドメインに追加するにはドメインおよびフォレストの機能レベルが Windows Server 2003 以上である必要があります以下の手順を実施しドメインおよびフォレストの機能レベルを Windows Server 2003 に上げてください既存ドメインのドメインおよびフォレストの機能レベルが Windows Server 2003 以上である場合には 3.2.2 Windows Server 2012 R2 の DC 追加へ進んでください 1 ドメインの機能レベルを上げる本手順は 2003DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 スタート管理ツール Active Directory ドメインと信頼関係をクリックします 3 Active Directory ドメインと信頼関係が表示されます左ペインの < ドメイン名 > を右クリックしドメインの機能レベルを上げるをクリックします 4 ドメインの機能レベルを上げるが表示されます Windows Server 2003 を選択します上げるをクリックします 5 右のメッセージが表示されます OK をクリックします - 11 - Copyright 2012-2015 FUJITSU LIMITED

6 右のメッセージが表示されます OK をクリックします 7 再度手順 3 を実施しドメインの機能レベルが Windows Server 2003 になっていることを確認します 2 フォレストの機能レベルを上げる本手順は 2003DC-1 で行います 1 スタート管理ツール Active Directory ドメインと信頼関係をクリックします 2 Active Directory ドメインと信頼関係が表示されます Active Directory ドメインと信頼関係を右クリックしフォレストの機能レベルを上げるをクリックします 3 フォレストの機能レベルを上げるが表示されます Windows Server 2003 を選択します上げるをクリックします - 12 - Copyright 2012-2015 FUJITSU LIMITED

3.2.2 Windows Server 2012 R2 の DC 追加 1 Active Directory ドメインサービスのインストール本手順は 2012R2DC-1 2012R2DC-2 で行います POINT! 事前に Windows Server 2012 R2 の OS インストールが完了していることを前提としますなお DC 追加前に DNS サーバの役割をインストールしないでください 1 ローカル管理者権限でログオンします 2 サーバーマネージャーを起動しますダッシュボードを選択し役割と機能の追加をクリックします 3 役割と機能の追加ウィザードが表示されます次へをクリックします 4 インストールの種類の選択が表示されます役割ベースまたは機能ベースのインストールを選択し次へをクリックします - 14 - Copyright 2012-2015 FUJITSU LIMITED

5 対象サーバーの選択が表示されますサーバープールからサーバーを選択を選択しますサーバープールから 2012R2DC-1 を選択し次へをクリックします 6 サーバーの役割の選択が表示されます Active Directory ドメインサービスにチェックを入れます Active Directory ドメインサービスに必要な機能を追加しますか? のダイアログが表示されるので機能の追加をクリックしますダイアログが閉じたら次へをクリックします 7 機能の選択が表示されます次へをクリックします - 15 - Copyright 2012-2015 FUJITSU LIMITED

8 Active Directory ドメインサービスが表示されます次へをクリックします 9 インストールオプションの確認が表示されますインストールをクリックします 10 Active Directory ドメインサービスのインストールが開始します完了するまで待機します 11 Active Directory ドメインサービスのインストールが完了すると構成が必要です < サーバ名 > でインストールが正常に完了しましたというメッセージが表示されますこのサーバーをドメインコントローラーに昇格するをクリックします - 16 - Copyright 2012-2015 FUJITSU LIMITED

2 ドメインコントローラーへの昇格本手順は 2012R2DC-1 2012R2DC-2 で行います 1 Active Directory ドメインサービス構成ウィザードが開始し配置構成が表示されます既存のドメインにドメインコントローラーを追加するを選択します次にドメインコントローラーを追加するドメインを選択します選択をクリックします POINT! 手順 1-11 で役割と機能の追加ウィザードを閉じた場合はサーバーマネージャーの通知アイコンをクリックしこのサーバーをドメインコントローラーに昇格するをクリックします 2 Windows セキュリティが表示されます追加先ドメインのドメイン管理者権限をもつアカウントとパスワードを入力します OK をクリックします 3 フォレストからのドメインの選択が表示されますドメインを選択し OK をクリックします - 17 - Copyright 2012-2015 FUJITSU LIMITED

4 ドメイン名と資格者情報が入力されたことを確認し次へをクリックします 5 ドメインコントローラーオプションが表示されますドメインネームシステム (DNS) サーバーグローバルカタログ (GC) のチェックをオンにしますサイト名ではリストからサイト名を選択しますディレクトリサービス復元モード (DSRM) のパスワードを入力しますすべての設定が完了したら次へをクリックします POINT! 本シナリオでは Windows Server 2012 R2 の DC すべてを DNS サーバグローバルカタログとして構築します 6 DNS オプションが表示されます次へをクリックします - 18 - Copyright 2012-2015 FUJITSU LIMITED

11 前提条件のチェックが表示されますチェックが完了するまで待機します 12 チェックに問題がなければすべての前提条件のチェックに合格しました [ インストール ] をクリックしてインストールを開始してくださいというメッセージが表示されますインストールをクリックします 13 インストールが表示されます Active Directory ドメインサービスの構成が完了するとサーバは自動的に再起動します 3.2.3 FSMO の転送 1 スキーママスタの転送本手順は 2003DC-1 で行います 1 Schema Admins グループに所属するメンバかまたはそれと同等の権限をもつメンバでログオンします 2 スタートファイル名を指定して実行をクリックします regsvr32 schmmgmt.dll と入力します OK をクリックします - 20 - Copyright 2012-2015 FUJITSU LIMITED

3 右のメッセージが表示されます OK をクリックします 4 スタートファイル名を指定して実行をクリックします mmc と入力します OK をクリックします 5 コンソール 1 が表示されますファイルメニューからスナップインの追加と削除をクリックします 6 スナップインの追加と削除が表示されます追加をクリックします - 21 - Copyright 2012-2015 FUJITSU LIMITED

7 スタンドアロンスナップインの追加が表示されます Active Directory スキーマをクリックします追加をクリックします閉じるをクリックします 8 スナップインの追加と削除で OK をクリックします 9 コンソール 1 に Active Directory スキーマが表示されますコンソールルート Active Directory スキーマ [< サーバ名 >] を右クリックしドメインコントローラの変更をクリックします 10 ドメインコントローラの変更が表示されます名前の指定で 2012R2DC-1 の FQDN を入力します OK をクリックします - 22 - Copyright 2012-2015 FUJITSU LIMITED

11 コンソール 1 でコンソールルート Active Directory スキーマ [< サーバ名 >] を右クリックし操作マスタをクリックします 12 スキーママスタの変更が表示されます変更をクリックします 13 右のメッセージが表示されますはいをクリックします 14 右のメッセージが表示されます OK をクリックします 15 スキーママスタの変更で閉じるをクリックします - 23 - Copyright 2012-2015 FUJITSU LIMITED

2 ドメイン名前付け操作マスタの転送本手順は 2003DC-1 で行います 1 ドメイン管理者権限でログオンします 2 スタート管理ツール Active Directory ドメインと信頼関係をクリックします 3 Active Directory ドメインと信頼関係が表示されます Active Directory ドメインと信頼関係を右クリックしドメインコントローラに接続をクリックします 4 ドメインコントローラに接続が表示されます 2012R2DC-1.fujitsu.local を選択します OK をクリックします - 24 - Copyright 2012-2015 FUJITSU LIMITED

5 Active Directory ドメインと信頼関係で Active Directory ドメインと信頼関係を右クリックし操作マスタをクリックします 6 操作マスタの変更が表示されます変更をクリックします 7 右のメッセージが表示されますはいをクリックします 8 右のメッセージが表示されます OK をクリックします 9 操作マスタの変更で閉じるをクリックします - 25 - Copyright 2012-2015 FUJITSU LIMITED

3 インフラストラクチャマスタ PDC マスタ RID マスタの転送本手順は 2003DC-1 で行います 1 ドメイン管理者権限でログオンします 2 スタート管理ツール Active Directory ユーザーとコンピュータをクリックします 3 Active Directory ユーザーとコンピュータが表示されます Active Directory ユーザーとコンピュータ < ドメイン名 > を右クリックしドメインコントローラに接続をクリックします 4 ドメインコントローラに接続が表示されます 2012R2DC-1.fujitsu.local を選択します OK をクリックします - 26 - Copyright 2012-2015 FUJITSU LIMITED

5 Active Directory ユーザーとコンピュータで Active Directory ユーザーとコンピュータ < ドメイン名 > を右クリックし操作マスタをクリックします 6 操作マスタが表示されますインフラストラクチャタブをクリックします変更をクリックします 7 右のメッセージが表示されますはいをクリックします POINT! ドメイン内の全ての DC がグローバルカタログであるため右のメッセージが表示されても問題ありません 8 右のメッセージが表示されます OK をクリックします - 27 - Copyright 2012-2015 FUJITSU LIMITED

9 操作マスタで PDC タブをクリックします変更をクリックします 10 右のメッセージが表示されますはいをクリックします 11 右のメッセージが表示されます OK をクリックします 12 操作マスタで RID タブをクリックします変更をクリックします 13 右のメッセージが表示されますはいをクリックします 14 右のメッセージが表示されます OK をクリックします - 28 - Copyright 2012-2015 FUJITSU LIMITED

15 操作マスタで閉じるをクリックします 3.2.4 Windows Server 2003 DC の降格 1 既存 DC の降格本手順は 2003DC-1 2003DC-2 で行います既存 DC の降格を行う場合優先 DNS サーバのアドレスに新規 DC の IP アドレスを設定するように変更してください既存 DC を設定したままの状態では DC の降格に失敗する場合があります 1 ドメイン管理者権限でログオンします 2 2003DC-1 でスタートファイル名を指定して実行を選択します dcpromo と入力します OK をクリックします 3 Active Directory のインストールウィザードの開始が表示されます次へをクリックします 4 右のメッセージが表示されます OK をクリックします - 29 - Copyright 2012-2015 FUJITSU LIMITED

5 Active Directory の削除が表示されますこのサーバーはドメインの最後のドメインコントローラですのチェックがオフになっていることを確認します次へをクリックします 6 Administrator のパスワードが表示されますパスワードを入力します次へをクリックします 7 概要が表示されます次へをクリックします 8 AD のアンインストールが実行されます 9 Active Directory のインストールウィザードの完了が表示されます完了をクリックします - 30 - Copyright 2012-2015 FUJITSU LIMITED

10 右のメッセージが表示されます再起動するをクリックし再起動します 11 再起動後 2003DC-1 をドメインメンバーから外しネットワーク上から撤去します 12 手順 1~ 手順 11 と同様の手順で 2003DC-2 を降格します 2 IP アドレスの変更本手順は 2012R2DC-1 2012R2DC-2 で行います DC サーバではほとんどの場合 DNS サーバの役割を兼務します DC 兼 DNS サーバをドメインメンバサーバに降格した場合ドメインメンバコンピュータの TCP/IP 設定によっては参照する DNS が存在しない状況になりますこのような場合ドメインメンバコンピュータは Active Directory での認証要求が行えなくなります本手順では移行前の DC で使用していた IP アドレスを Windows Server 2012 R2 DC の IP アドレスとすることでこれらの問題を解決します以下のサーバで IP アドレスの変更を行います表 3 IP アドレスの変更サーバ変更前の IP アドレス変更後の IP アドレス 2012R2DC-1 192.168.1.1 192.168.1.11( 移行前の DC で使用していた IP アドレス ) 2012R2DC-2 192.168.1.2 192.168.1.12( 移行前の DC で使用していた IP アドレス ) DC の降格と IP アドレスの変更作業はドメインメンバコンピュータへの影響が少ない業務時間外に実施することを推奨します POINT! DC 降格後に IP アドレスを変更する方法は表 4 の方法が考えられますお客様の環境や要件に合わせて変更方法を選択してください - 31 - Copyright 2012-2015 FUJITSU LIMITED

表 4 IP アドレスの変更方法 IP アドレス変更方法説明 1 新規 DC の IP アドレスを変更新規 DC の IP アドレスを移行前の DC で使用していた IP アドレスに変更しますドメインメンバコンピュータの TCP/IP 設定を変更する必要がないため大規模な環境に最適な方法です 2ドメインメンバコンピュータのドメインメンバコンピュータの TCP/IP の設定で DNS TCP/IP 設定を変更サーバの IP アドレスを新規 DC のアドレスに変更します全ドメインメンバコンピュータの設定変更が必要になります静的に DNS の IP アドレスをドメイン内の全ドメインメンバコンピュータの TCP/IP 設定設定している場合を手動で変更する必要があります DHCP サーバで DNS サーバの IP アドレスを配布している場合 3.2.5 ドメイン / フォレストの機能レベルの変更 1 ドメイン機能レベルの変更本手順は 2012R2DC-1 で行います 1 ドメイン管理者権限でログオンします 2 サーバーマネージャーを起動しツールをクリックします Active Directory 管理センターをクリックします DHCP サーバのネットワークオプションで DNS サーバの IP アドレス情報を変更しますドメインメンバコンピュータでは DHCP サーバから DNS サーバの IP アドレス情報を再取得する必要があります 3 Active Directory 管理センターが表示されます < ドメイン名 > ( ローカル ) を選択しドメインの機能レベルの昇格をクリックします - 32 - Copyright 2012-2015 FUJITSU LIMITED

4 ドメインの機能レベルの昇格が表示されます利用可能なドメインの機能レベルを選択してくださいで Windows Server 2012 R2 を選択します OK をクリックします 5 右のメッセージが表示されます OK をクリックします 6 右のメッセージが表示されます OK をクリックします 7 再度手順 3 を実行しドメインの機能レベルが Windows Server 2012 R2 になっていることを確認しますキャンセルをクリックします 2 フォレスト機能レベルの変更本手順は 2012R2DC-1 で行います 1 Enterprise Admins グループに所属するメンバかまたはそれと同等の権限をもつメンバでログオンします 2 サーバーマネージャーを起動しツールをクリックします Active Directory 管理センターをクリックします - 33 - Copyright 2012-2015 FUJITSU LIMITED

3 Active Directory 管理センターが表示されます < ドメイン名 > ( ローカル ) を選択しフォレストの機能レベルの昇格をクリックします 4 フォレストの機能レベルの昇格が表示されます利用可能なフォレストの機能レベルを選択してくださいで Windows Server 2012 R2 を選択します OK をクリックします 5 右のメッセージが表示されます OK をクリックします 6 右のメッセージが表示されます OK をクリックします 7 再度手順 3 を実行しフォレストの機能レベルが Windows Server 2012 R2 になっていることを確認しますキャンセルをクリックします 3.2.6 SYSVOL 複製方式の変更 Windows 2003 ドメインでは FRS(File Replication Service) を使用して SYSVOL を複製します Windows Server 2008 以降の DC では FRS の後継にあたる DFSR(Distributed File System Replication) を使用可能ですが Windows 2003 ドメインから Windows 2012 R2 ドメインに移行した場合 SYSVOL の複製には引き続き FRS が使用されます DFSR を使用するためにはコマンドラインツールを使用して手動で変更する必要があります DFSR を使用することで複製によるネットワーク負荷を下げより高速に SYSVOL の複製が可能になります本手順は 2012R2DC-1 で行います - 34 - Copyright 2012-2015 FUJITSU LIMITED

1 現在の DFSR 移行のグローバル状態を取得しますコマンドプロンプトで以下を実行します dfsrmig /GetGlobalState 実行すると右のメッセージが表示されます 2 DFSR 移行のグローバル状態を開始に設定しますコマンドプロンプトで以下を実行します dfsrmig /SetGlobalState 0 実行すると右のメッセージが表示されます AD に DFSR に必要なオブジェクトやクラスが作成されます 3 現在の DFSR 移行のグローバル状態を取得しますコマンドプロンプトで以下を実行します dfsrmig /GetGlobalState 実行すると右のメッセージが表示されます 4 グローバル状態が開始になっていることを確認しますコマンドプロンプトで以下を実行します dfsrmig /GetMigrationState 実行すると右のメッセージが表示されます DFSR 移行がまだ初期化されていません移行を開始するにはグローバル状態を目的の値に設定してください DFSR の現在のグローバル状態 : 開始新しい DFSR のグローバル状態 : 開始無効な状態変更が要求されました DFSR の現在のグローバル状態 : 開始成功しましたすべてのドメインコントローラーがグローバル状態 ( 開始 ) に移行しました移行状態がすべてのドメインコントローラー上で整合性のとれた状態になりました成功しました他のドメインコントローラーと整合性がとれていることを確認します - 35 - Copyright 2012-2015 FUJITSU LIMITED

5 DFSR 移行のグローバル状態を準備完了に設定しますコマンドプロンプトで以下を実行します dfsrmig /SetGlobalState 1 実行すると右のメッセージが表示されます DFSR の現在のグローバル状態 : 開始新しい DFSR のグローバル状態 : 準備完了準備完了状態に移行します DFSR サービスによって SYSVOL が SYSVOL_DFSR フォルダーにコピーされます 6 移行の準備状態をイベントログで確認しますサーバーマネージャーを起動しツールをクリックしますイベントビューアーをクリックしますいずれかの DC で移行を開始できない場合は手動ポーリングを試行してください移行は 15 分から 1 時間までの任意の時点で開始できます成功しました - 36 - Copyright 2012-2015 FUJITSU LIMITED

7 イベントビューアーが表示されますイベントビューアー ( ローカル ) アプリケーションとサービスログ DFS Replication をクリックしますイベント ID 8010( 移行準備開始 ) 8014 ( 移行準備完了 ) が表示されることを確認します 8 すべてのドメインコントローラーが移行準備完了になっているか確認しますコマンドプロンプトで以下を実行します dfsrmig /GetMigrationState 実行すると右のメッセージが表示されますすべてのドメインコントローラーがグローバル状態 ( 準備完了 ) に移行しました移行状態がすべてのドメインコントローラー上で整合性のとれた状態になりました成功しました移行準備が完了すると C: Windows 配下に SYSVOL_DFSR フォルダが作成され C: Windows SYSVOL から C: Windows SYSVOL_DFSR フォルダに必要なファイルが複製されます - 37 - Copyright 2012-2015 FUJITSU LIMITED

9 DFSR 移行のグローバル状態をリダイレクト済みに設定しますコマンドプロンプトで以下を実行します dfsrmig /SetGlobalState 2 実行すると右のメッセージが表示されます DFSR の現在のグローバル状態 : 準備完了新しい DFSR のグローバル状態 : リダイレクト済みリダイレクト済み状態に移行します SYSVOL 共有が DFSR を使用してレプリケートされた SYSVOL_DFSR フォルダーに変更されます成功しました - 38 - Copyright 2012-2015 FUJITSU LIMITED

10 リダイレクトの状況をイベントログで確認しますイベントビューアー ( ローカル ) アプリケーションとサービスログ DFS Replication をクリックしますイベント ID 8015( リダイレクト処理開始 ) 8017 ( リダイレクト処理完了 ) が表示されることを確認しますリダイレクト処理が完了すると DFSR の複製が開始され C:Windows SYSVOL_DFSR を複製します DFSR のグローバル状態が削除済みとなっていないため FRS 複製も実行されています - 39 - Copyright 2012-2015 FUJITSU LIMITED

11 DFSR のグローバル状態を削除済みにしますコマンドプロンプトで以下を実行します dfsrmig /SetGlobalState 3 このコマンドを実行後は複製フォルダを元に戻すことはできません実行すると右のメッセージが表示されます DFSR の現在のグローバル状態 : リダイレクト済み新しい DFSR のグローバル状態 : 削除済み削除済み状態に移行しますこのステップを元に戻すことはできませんいずれかの RODC が長時間にわたって削除済み状態になっている場合は /DeleteRoNtfrsMembers オプションを指定して実行してください成功しました - 40 - Copyright 2012-2015 FUJITSU LIMITED

12 削除済みになったことをイベントログで確認しますイベントビューアー ( ローカル ) アプリケーションとサービスログ DFS Replication をクリックしますイベント ID 8018( 削除済み開始 ) 8019( 削除済みリダイレクト処理完了 ) が表示されることを確認します 13 以下のコマンドを実行し他のドメインコントローラーも削除済みになったかどうかを確認しますコマンドプロンプトで以下を実行します dfsrmig /GetMigrationState 実行すると右のメッセージが表示されますすべてのドメインコントローラーがグローバル状態 ( 削除済み ) に移行しました移行状態がすべてのドメインコントローラー上で整合性のとれた状態になりました成功しました以上でドメイン移行作業は完了です移行完了後は稼働確認を行ってください - 41 - Copyright 2012-2015 FUJITSU LIMITED

4 既存ドメインのバージョンアップ手順 (Windows 2008/2008 R2 ドメイン ) 本章では富士通が推奨する移行方式既存ドメインのバージョンアップを選択して Windows 2008/2008 R2 ドメインから Windows 2012 R2 ドメインへ移行する手順を紹介します POINT! 本書では Windows 2012 R2 ドメインへの移行手順を紹介していますが Windows 2012 ドメインへの移行手順も同様となりますまた既存ドメインは Windows 2008 ドメインでの手順を紹介していますが Windows 2008 R2 ドメインでも同様の手順となります 4.1 移行環境本章で紹介する移行手順は以下の環境における移行を想定しています図 2 既存ドメインのバージョンアップの移行環境 - 42 - Copyright 2012-2015 FUJITSU LIMITED

図 2 のサーバ / クライアントの設定内容を次の表に示します ( 表 5 表 6) 表 5 DC サーバの設定内容番号項目内容 1 コンピュータ名 2008DC-1 IP アドレス 192.168.1.21 OS SP Windows Server 2008 DNS 127.0.0.1( 優先 ) 192.168.1.22( 代替 ) 役割 DC(FSMO GC) DNS(fujitsu.local ゾーン ) 2 コンピュータ名 2008DC-2 IP アドレス 192.168.1.22 OS SP Windows Server 2008 DNS 127.0.0.1 ( 優先 ) 192.168.1.21( 代替 ) 役割 DC(GC) DNS(fujitsu.local ゾーン ) 3 コンピュータ名 2012R2DC-1 IP アドレス 192.168.1.1 OS SP Windows Server 2012 R2 DNS 127.0.0.1 ( 優先 ) 192.168.1.22( 代替 ) 役割 DC(FSMO GC) DNS(fujitsu.local ゾーン ) 4 コンピュータ名 2012R2DC-2 IP アドレス 192.168.1.2 OS SP Windows Server 2012 R2 DNS 127.0.0.1 ( 優先 ) 192.168.1.21( 代替 ) 役割 DC(GC) DNS(fujitsu.local ゾーン ) 表 6 ドメインメンバサーバ / クライアントの設定内容番号項目内容 5 コンピュータ名 2008R2File IP アドレス 192.168.1.50 OS SP Windows Server 2008 R2 DNS 192.168.1.21( 優先 ) 192.168.1.22( 代替 ) 役割ファイルサーバ 6 コンピュータ名 WinVista IP アドレス 192.168.1.101 OS SP Windows Vista SP2 DNS 192.168.1.21( 優先 ) 192.168.1.22( 代替 ) 役割なし 7 コンピュータ名 Win7 IP アドレス 192.168.1.102 OS SP Windows 7 SP1 DNS 192.168.1.21( 優先 ) 192.168.1.22( 代替 ) 役割なし 8 コンピュータ名 Win8 IP アドレス 192.168.1.103 OS SP Windows 8 DNS 192.168.1.21( 優先 ) 192.168.1.22( 代替 ) 役割なし - 43 - Copyright 2012-2015 FUJITSU LIMITED

4.2 移行手順移行方式既存ドメインのバージョンアップによるドメインの移行の詳細手順を紹介します 4.2.1 ドメイン / フォレストの機能レベルの変更 Windows Server 2012 R2 の DC を既存ドメインに追加するにはドメインおよびフォレストの機能レベルが Windows Server 2003 以上である必要があります以下の手順を実施しドメインおよびフォレストの機能レベルを Windows Server 2008 に上げてください既存ドメインのドメインおよびフォレストの機能レベルが Windows Server 2003 以上である場合には 4.2.2 Windows Server 2012 R2 の DC 追加へ進んでください 1 ドメインの機能レベルを上げる本手順は 2008DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 スタート管理ツール Active Directory ドメインと信頼関係をクリックします 3 Active Directory ドメインと信頼関係が表示されます左ペインの < ドメイン名 > を右クリックしドメインの機能レベルを上げるをクリックします 4 ドメインの機能レベルを上げるが表示されます Windows Server 2008 を選択します上げるをクリックします - 44 - Copyright 2012-2015 FUJITSU LIMITED

5 右のメッセージが表示されます OK をクリックします 6 右のメッセージが表示されます OK をクリックします 7 再度手順 3 を実施しドメインの機能レベルが Windows Server 2008 になっていることを確認します 2 フォレストの機能レベルを上げる本手順は 2008DC-1 で行います 1 スタート管理ツール Active Directory ドメインと信頼関係をクリックします 2 Active Directory ドメインと信頼関係が表示されます Active Directory ドメインと信頼関係を右クリックしフォレストの機能レベルを上げるをクリックします - 45 - Copyright 2012-2015 FUJITSU LIMITED

3 フォレストの機能レベルを上げるが表示されます Windows Server 2008 を選択します上げるをクリックします 4 右のメッセージが表示されます OK をクリックします 5 右のメッセージが表示されます OK をクリックします 6 再度手順 2 を実施しフォレストの機能レベルが Windows Server 2008 になっていることを確認します - 46 - Copyright 2012-2015 FUJITSU LIMITED

4.2.2 Windows Server 2012 R2 の DC 追加 1 Active Directory ドメインサービスのインストール本手順は 2012R2DC-1 2012R2DC-2 で行います POINT! 事前に Windows Server 2012 R2 の OS インストールが完了していることを前提としますなお DC 追加前に DNS サーバの役割をインストールしないでください 1 ローカル管理者権限でログオンします 2 サーバーマネージャーを起動しますダッシュボードを選択し役割と機能の追加をクリックします 3 役割と機能の追加ウィザードが表示されます次へをクリックします 4 インストールの種類の選択が表示されます役割ベースまたは機能ベースのインストールを選択し次へをクリックします - 47 - Copyright 2012-2015 FUJITSU LIMITED

2 ドメインコントローラーへの昇格本手順は 2012R2DC-1 2012R2DC-2 で行います 1 Active Directory ドメインサービス構成ウィザードが開始し配置構成が表示されます既存のドメインにドメインコントローラーを追加するを選択します次にドメインコントローラーを追加するドメインを選択します選択をクリックします POINT! 手順 1-11 で役割と機能の追加ウィザードを閉じた場合はサーバーマネージャーの通知アイコンをクリックしこのサーバーをドメインコントローラーに昇格するをクリックします 2 Windows セキュリティが表示されます追加先既存ドメインのドメイン管理者権限をもつアカウントとパスワードを入力します OK をクリックします 3 フォレストからのドメインの選択が表示されますドメインを選択し OK をクリックします - 50 - Copyright 2012-2015 FUJITSU LIMITED

4.2.3 FSMO の転送 1 スキーママスタの転送本手順は 2008DC-1 で行います 1 Schema Admins グループに所属するメンバかまたはそれと同等の権限をもつメンバでログオンします 2 スタートファイル名を指定して実行をクリックします regsvr32 schmmgmt.dll と入力します OK をクリックします 3 右のメッセージが表示されます OK をクリックします 4 スタートファイル名を指定して実行をクリックします mmc と入力します OK をクリックします 5 コンソール 1 が表示されますファイルメニューからスナップインの追加と削除をクリックします - 54 - Copyright 2012-2015 FUJITSU LIMITED

6 スナップインの追加と削除が表示されます Active Directory スキーマを選択し追加をクリックします 7 選択されたスナップインに Active Directory スキーマが追加されたことを確認します OK をクリックします 8 コンソールルート Active Directory スキーマ [< サーバ名 >] を右クリックし Active Directory ドメインコントローラの変更をクリックします 9 ディレクトリサーバーの変更が表示されます変更先 : で次のドメインコントローラまたは AD LDS インスタンスを選択します 2012R2DC-1 を選択し OK をクリックします 10 OK をクリックします - 55 - Copyright 2012-2015 FUJITSU LIMITED

11 コンソールルート Active Directory スキーマ [< サーバ名 >] を右クリックし操作マスタをクリックします 12 スキーママスタの変更が表示されます変更をクリックします 13 右のメッセージが表示されますはいをクリックします 14 右のメッセージが表示されます OK をクリックします 15 スキーママスタの変更で閉じるをクリックします - 56 - Copyright 2012-2015 FUJITSU LIMITED

2 ドメイン名前付け操作マスタの転送本手順は 2008DC-1 で行います 1 ドメイン管理者権限でログオンします 2 スタート管理ツール Active Directory ドメインと信頼関係をクリックします 3 Active Directory ドメインと信頼関係が表示されます Active Directory ドメインと信頼関係を右クリックし Active Directory ドメインコントローラの変更をクリックします 4 ディレクトリサーバーの変更が表示されます変更先 : で次のドメインコントローラまたは AD LDS インスタンスを選択します 2012R2DC-1 を選択し OK をクリックします 5 Active Directory ドメインと信頼関係を右クリックし操作マスタをクリックします - 57 - Copyright 2012-2015 FUJITSU LIMITED

6 操作マスタが表示されます変更をクリックします 7 右のメッセージが表示されますはいをクリックします 8 右のメッセージが表示されます OK をクリックします 9 操作マスタで閉じるをクリックします 3 インフラストラクチャマスタ PDC マスタ RID マスタの転送本手順は 2008DC-1 で行います 1 ドメイン管理者権限でログオンします 2 スタート管理ツール Active Directory ユーザーとコンピュータをクリックします - 58 - Copyright 2012-2015 FUJITSU LIMITED

3 Active Directory ユーザーとコンピュータが表示されます Active Directory ユーザーとコンピュータ < ドメイン名 > を右クリックしドメインコントローラの変更をクリックします 4 ディレクトリサーバーの変更が表示されます変更先 : で次のドメインコントローラまたは AD LDS インスタンスを選択します 2012R2DC-1 を選択し OK をクリックします 5 Active Directory ユーザーとコンピュータで Active Directory ユーザーとコンピュータ < ドメイン名 > を右クリックし操作マスタをクリックします 6 操作マスタが表示されますインフラストラクチャタブをクリックします変更をクリックします - 59 - Copyright 2012-2015 FUJITSU LIMITED

7 右のメッセージが表示されますはいをクリックします POINT! ドメイン内の全ての DC がグローバルカタログであるため右のメッセージが表示されても問題ありません 8 右のメッセージが表示されます OK をクリックします 9 操作マスタで PDC タブをクリックします変更をクリックします 10 右のメッセージが表示されますはいをクリックします 11 右のメッセージが表示されます OK をクリックします - 60 - Copyright 2012-2015 FUJITSU LIMITED

4.2.4 Windows Server 2008 DC の降格 1 既存 DC の降格本手順は 2008DC-1 2008DC-2 で行います 1 ドメイン管理者権限でログオンします 2 2008DC-1 でスタートファイル名を指定して実行を選択します dcpromo と入力します OK をクリックします 3 Active Directory ドメインサービスインストールウィザードの開始が表示されます次へをクリックします 4 右のメッセージが表示されます OK をクリックします 5 ドメインの削除が表示されますこのサーバーはドメインの最後のドメインコントローラなのでドメインを削除するのチェックが入っていないことを確認します次へをクリックします - 62 - Copyright 2012-2015 FUJITSU LIMITED

10 右のメッセージが表示されます再起動するをクリックし再起動します 11 再起動後 2008DC-1 をドメインメンバーから外しネットワーク上から撤去します 12 手順 1~ 手順 11 と同様の手順で 2008DC-2 を降格します 2 IP アドレスの変更本手順は 2012R2DC-1 2012R2DC-2 で行います DC サーバではほとんどの場合 DNS サーバの役割を兼務します DC 兼 DNS サーバをドメインメンバサーバに降格した場合ドメインメンバコンピュータの TCP/IP 設定によっては参照する DNS が存在しない状況になりますこのような場合ドメインメンバコンピュータは Active Directory での認証要求が行えなくなります本手順では移行前の DC で使用していた IP アドレスを Windows Server 2012 R2 DC の IP アドレスとすることでこれらの問題を解決します以下のサーバで IP アドレスの変更を行います表 7 IP アドレスの変更サーバ変更前の IP アドレス変更後の IP アドレス 2012R2DC-1 192.168.1.1 192.168.1.21( 移行前の DC で使用していた IP アドレス ) 2012R2DC-2 192.168.1.2 192.168.1.22( 移行前の DC で使用していた IP アドレス ) DC の降格と IP アドレスの変更作業はドメインメンバコンピュータへの影響が少ない業務時間外に実施することを推奨します POINT! DC 降格後に IP アドレスを変更する方法は表 8 の方法が考えられますお客様の環境や要件に合わせて変更方法を選択してください - 64 - Copyright 2012-2015 FUJITSU LIMITED

表 8 IP アドレスの変更方法 IP アドレス変更方法説明 1 新規 DC の IP アドレスを変更新規 DC の IP アドレスを移行前の DC で使用していた IP アドレスに変更しますドメインメンバコンピュータの TCP/IP 設定を変更する必要がないため大規模な環境に最適な方法です 2ドメインメンバコンピュータのドメインメンバコンピュータの TCP/IP の設定で DNS TCP/IP 設定を変更サーバの IP アドレスを新規 DC のアドレスに変更します全ドメインメンバコンピュータの設定変更が必要になります静的に DNS の IP アドレスをドメイン内の全ドメインメンバコンピュータの TCP/IP 設定設定している場合を手動で変更する必要があります DHCP サーバで DNS サーバの IP アドレスを配布している場合 4.2.5 ドメイン / フォレストの機能レベルの変更 1 ドメイン機能レベルの変更本手順は 2012R2DC-1 で行います 1 ドメイン管理者権限でログオンします 2 サーバーマネージャーを起動しツールをクリックします Active Directory 管理センターをクリックします DHCP サーバのネットワークオプションで DNS サーバの IP アドレス情報を変更しますドメインメンバコンピュータでは DHCP サーバから DNS サーバの IP アドレス情報を再取得する必要があります 3 Active Directory 管理センターが表示されます < ドメイン名 > ( ローカル ) を選択しドメインの機能レベルの昇格をクリックします - 65 - Copyright 2012-2015 FUJITSU LIMITED

5 新規ドメイン構築 & アカウント移行手順本章では移行方式新規ドメイン構築 & アカウント移行を選択して Windows 2003 ドメインから Windows 2012R2 ドメインへ移行する手順を紹介します本手順では ADMT を使用しています ADMT は DC にインストールすることは可能ですが Server Core インストールや RODC(Read-Only Domain Controller) として構成したサーバにはインストールすることができません POINT! 本書では Windows 2012 R2 ドメインへの移行手順を紹介していますが Windows 2012 ドメインへの移行手順も同様となります 5.1 移行環境本章で紹介する移行手順は以下の環境における移行を想定しています図 3 既存ドメインのバージョンアップの移行環境既存ドメイン (fujitsu.local) とは別に新規ドメイン (fujitsu2.co.jp) を別フォレストとして作成しユーザアカウントコンピュータアカウントを移行しますユーザアカウントの移行時に SID もあわせて移行することで新規ドメインに移行したアカウントで引き続き既存ドメインのリソース ( ファイルサーバなど ) にアクセスできます本書では以下のアカウントを移行対象としますユーザアカウントコンピュータアカウント User-2008R2File 2008R2File User- Win7 Win7 User-Win8 Win8-68 - Copyright 2012-2015 FUJITSU LIMITED

図 3 のサーバ / クライアントの設定内容を次の表に示します ( 表 9 表 10) 表 9 DC サーバの設定内容番号項目内容 1 コンピュータ名 2003DC-1 IP アドレス 192.168.1.11 OS SP Windows Server 2003 R2 SP2 DNS 127.0.0.1( 優先 ) 192.168.1.12( 代替 ) 役割 DC(FSMO GC) DNS(fujitsu.local ゾーン ) 2 コンピュータ名 2003DC-2 IP アドレス 192.168.1.12 OS SP Windows Server 2003 R2 SP2 DNS 127.0.0.1 ( 優先 ) 192.168.1.11( 代替 ) 役割 DC(GC) DNS(fujitsu.local ゾーン ) 3 コンピュータ名 2012R2DC-1 IP アドレス 192.168.1.1 OS SP Windows Server 2012 R2 DNS 127.0.0.1 ( 優先 ) 192.168.1.2( 代替 ) 役割 DC(FSMO GC) DNS(fujitsu2.co.jp ゾーン ) 4 コンピュータ名 2012R2DC-2 IP アドレス 192.168.1.2 OS SP Windows Server 2012 R2 DNS 127.0.0.1 ( 優先 ) 192.168.1.1( 代替 ) 役割 DC(GC) DNS(fujitsu2.co.jp ゾーン ) 表 10 ドメインメンバサーバ / クライアントの設定内容番号項目内容 5 コンピュータ名 2008R2File IP アドレス 192.168.1.50 OS SP Windows Server 2008 R2 SP1 DNS 192.168.1.11( 優先 ) 192.168.1.12( 代替 ) 役割ファイルサーバ 6 コンピュータ名 Win7 IP アドレス 192.168.1.101 OS SP Windows 7 SP1 DNS 192.168.1.11( 優先 ) 192.168.1.12( 代替 ) 役割なし 7 コンピュータ名 Win8 IP アドレス 192.168.1.102 OS SP Windows 8 DNS 192.168.1.11( 優先 ) 192.168.1.12( 代替 ) 役割なし 8 コンピュータ名 2012R2ADMT IP アドレス 192.168.1.150 OS SP Windows Server 2012 R2 DNS 192.168.1.1( 優先 ) 192.168.1.2( 代替 ) 役割 ADMT サーバ - 69 - Copyright 2012-2015 FUJITSU LIMITED

5.2 移行手順移行方式新規ドメイン構築 & アカウント移行によるドメインの移行の詳細手順を紹介します 5.2.1 新規ドメインの構築本手順は 2012R2DC-1 で行います Windows Server 2012 R2 で新規にドメインを構築します ADMT v3.2 を使用した移行では新規ドメインの機能レベルが以下のいずれかである必要があります Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 下位の機能レベルは移行期間中に使用するものでありドメインまたはフォレスト内に古いバージョンの DC を設置する必要がない場合は機能レベルを Windows Server 2012 R2 にすることを推奨します 5.2.2 信頼関係の構築既存ドメインと新規ドメインの間で信頼関係を構築します信頼関係を構築するために既存 / 新規ドメインの DNS サーバで以下のゾーン情報をもつ必要があります既存ドメインの DNS サーバ : 新規ドメインの DNS ゾーン情報新規ドメインの DNS サーバ : 既存ドメインの DNS ゾーン情報 DNS ゾーンはセカンダリゾーンとして作成しゾーン転送を行います信頼関係は一方向だけでも移行は可能ですが移行時の手順が煩雑になるため本書では双方向の信頼関係を構築する手順を紹介します 1 DNS サーバの指定 TCP/IP の設定で既存ドメインの DC では新規ドメインの DNS サーバを新規ドメインの DC では既存ドメインの DNS サーバを指定します本手順は 2003DC-1 で行います 1 インターネットプロトコル (TCP/IP) のプロパティを表示します代替 DNS サーバーに新規ドメインの DNS サーバの IP アドレスを入力します - 70 - Copyright 2012-2015 FUJITSU LIMITED

本手順は 2012R2DC-1 で行います 1 インターネットプロトコルバージョン 4 (TCP/IPv4) のプロパティを表示します代替 DNS サーバーに既存ドメインの DNS サーバの IP アドレスを入力します 2 既存ドメインのゾーンの転送の許可設定既存ドメインの DNS サーバでゾーン転送の許可の設定を行います本手順は 2003DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 ローカル管理者権限でサーバにログオンしますスタート管理ツール DNS をクリックします 3 dnsmgmt が表示されます左ペインの DNS - <DNS サーバ名 > - 前方参照ゾーン - < 既存ドメインのゾーン名 > を右クリックしプロパティをクリックします - 71 - Copyright 2012-2015 FUJITSU LIMITED

4 < 既存ドメインのゾーン名 > のプロパティが表示されますゾーンの転送タブを選択しますゾーン転送を許可するサーバーにチェックを入れます次のサーバーのみを選択します IP アドレスに新規ドメインの DNS サーバの IP アドレスを入力し追加をクリックします IP アドレスの下のテキストボックスに入力した IP アドレスが表示されたら OK をクリックします 3 新規ドメインのゾーンの転送の許可設定新規ドメインの DNS サーバでゾーン転送の許可の設定を行います本手順は 2012R2DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 サーバーマネージャーを起動しツールをクリックします DNS をクリックします 3 DNS マネージャーが表示されます左ペインの DNS - <DNS サーバ名 > - 前方参照ゾーン - < 新規ドメインのゾーン名 > を右クリックしプロパティをクリックします - 72 - Copyright 2012-2015 FUJITSU LIMITED

4 < 新規ドメインのゾーン名 > のプロパティが表示されますゾーンの転送タブを選択しますゾーン転送を許可するサーバーにチェックを入れます次のサーバーのみを選択します編集をクリックします 5 ゾーン転送を許可するが表示されます < ここをクリックして IP アドレスまたは DNS 名を追加してください > に既存ドメインの DNS サーバの IP アドレスを入力します OK をクリックします IP アドレス入力後に一度別の場所をポイントしてください入力した IP アドレスの検証が行われ OK がクリック可能になりますこの時点では検証結果は NG となりますが問題ありません - 73 - Copyright 2012-2015 FUJITSU LIMITED

6 OK をクリックします 4 既存ドメインの DNS サーバにセカンダリゾーンを作成既存ドメインの DNS サーバで新規ドメインのセカンダリゾーンを作成します本手順は 2003DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 スタート管理ツール DNS をクリックします 3 dnsmgr が表示されます左ペインの DNS - <DNS サーバ名 > - 前方参照ゾーンを右クリックし新しいゾーンをクリックします - 74 - Copyright 2012-2015 FUJITSU LIMITED

4 新しいゾーンウィザードの開始が表示されます次へをクリックします 5 ゾーンの種類が表示されますセカンダリゾーンを選択します次へをクリックします 6 ゾーン名が表示されますゾーン名に新規ドメインのゾーン名を入力します次へをクリックします 7 マスタ DNS サーバーが表示されます IP アドレスに新規ドメインの DNS サーバの IP アドレスを入力します次へをクリックします - 75 - Copyright 2012-2015 FUJITSU LIMITED

8 新しいゾーンウィザードの完了が表示されます完了をクリックします 9 dnsmgr の DNS - <DNS サーバ名 > - 前方参照ゾーンに新規ドメインのゾーン ( セカンダリゾーン ) が作成されゾーン情報が転送されていることを確認しますゾーン情報が転送されるまで数分時間がかかることがあります 5 新規ドメインの DNS サーバにセカンダリゾーンを作成新規ドメインの DNS サーバで既存ドメインのセカンダリゾーンを作成します本手順は 2012R2DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 サーバーマネージャーを起動しツールをクリックします DNS をクリックします - 76 - Copyright 2012-2015 FUJITSU LIMITED

3 DNS マネージャーが表示されます左ペインの DNS - <DNS サーバ名 > - 前方参照ゾーンを右クリックし新しいゾーンをクリックします 4 新しいゾーンウィザードの開始が表示されます次へをクリックします 5 ゾーンの種類が表示されますセカンダリゾーンを選択します次へをクリックします 6 ゾーン名が表示されますゾーン名に既存ドメインのゾーン名を入力します次へをクリックします - 77 - Copyright 2012-2015 FUJITSU LIMITED

7 マスター DNS サーバーが表示されます IP アドレスに既存ドメインの DNS サーバの IP アドレスを入力します追加をクリックします IP アドレスの下のテキストボックスに入力した IP アドレスが表示されます次へをクリックします 8 新しいゾーンウィザードの完了が表示されます完了をクリックします 9 DNS マネージャーの DNS - <DNS サーバ名 > - 前方参照ゾーンに既存ドメインのゾーン ( セカンダリゾーン ) が作成されゾーン情報が転送されていることを確認しますゾーン情報が転送されるまで数分時間がかかることがあります - 78 - Copyright 2012-2015 FUJITSU LIMITED

6 信頼関係の構築既存ドメインと新規ドメインの間に外部の信頼を双方向に構築します本手順は 2012R2DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 サーバーマネージャーを起動しツールをクリックします Active Directory ドメインと信頼関係をクリックします 3 Active Directory ドメインと信頼関係が表示されます左ペインの Active Directory ドメインと信頼関係 - < 新規ドメイン名 > を右クリックしプロパティをクリックします 4 < 新規ドメイン名 > のプロパティが表示されます信頼タブを選択します新しい信頼をクリックします - 79 - Copyright 2012-2015 FUJITSU LIMITED

9 信頼の方向が表示されますこのドメインと指定されたドメインの両方を選択します次へをクリックします 10 ユーザー名とパスワードが表示されます既存ドメインのドメイン管理者アカウントとパスワードを入力します次へをクリックします 11 出力方向の信頼認証レベル -- ローカルドメインが表示されますドメイン全体の認証を選択します次へをクリックします 12 出力方向の信頼認証レベル指定されたドメインが表示されますドメイン全体の認証を選択します次へをクリックします - 81 - Copyright 2012-2015 FUJITSU LIMITED

5.2.3 ADMT サーバの構築 ADMT は新規ドメインのメンバで Windows Server 2012 R2 を実行するサーバにインストールします DC に ADMT をインストールすることも可能ですが本書では ADMT 用のメンバサーバを新規に構築する手順を紹介します本手順は 2012R2ADMT で行います 1 Windows Server 2012 R2 インストールと初期設定 Windows Server 2012 R2 インストール Windows Server 2012 R2 をインストールします ADMT は Server Core インストールや RODC(Read-Only Domain Controller) として構成したサーバにはインストールできませんネットワーク設定 TCP/IP の設定で既存ドメインと新規ドメインの DNS サーバを設定します 1 インターネットプロトコルバージョン 4 (TCP/IPv4) のプロパティでは優先 DNS サーバーに新規ドメインの DNS サーバの IP アドレスを入力します代替 DNS サーバーには既存ドメインの DNS サーバの IP アドレスを入力します - 84 - Copyright 2012-2015 FUJITSU LIMITED

新規ドメインへの参加 1 新規ドメインに参加します 2 SQL Server のインストール ADMT v3.2 を使用する場合は基になるデータベースストアとして SQL Server のインスタンスを事前に構成しておく必要があります本書では SQL Server 2012 Express を使用する手順を紹介します SQL Server 2012 Express は以下 URL よりダウンロードします Microsoft SQL Server 2012 Service Pack 1 (SP1) Express http://www.microsoft.com/ja-jp/download/details.aspx?id=35579 SQL Server 2012 Express のインストールモジュール Windows Server 2012 R2 にインストールするため 64bit OS 用のインストールモジュール (SQLEXPR_x64_JPN.exe) をダウンロードします 1 SQL Server Express のインストールモジュール (SQLEXPR_x64_JPN.exe) を実行します - 85 - Copyright 2012-2015 FUJITSU LIMITED

SQL Server のセットアップ SQL Server セットアップではセットアップウィザードの指示に従ってインストールしますがインスタンスの構成データベースエンジンの構成では以下の設定を行います 1 SQL Server のセットアップの中でインスタンスの構成が表示されます名前付きのインスタンスを選択し SQL Server のインスタンス名 ( 本書では既定の SQLEXPRESS ) を入力します 2 SQL Server のセットアップの中でデータベースエンジンの構成が表示されます認証モードには Windows 認証モードを選択します SQL Server 管理者の指定に ADMT サーバのローカル管理者グループ (2012R2ADMT Administrators) を追加します 2012R2ADMT Administrators を追加すると BUILTIN Administrators として登録されます BUILTIN Administrators を SQL Server 管理者として追加しない場合移行用アカウント (MigUser) で ADMT を起動できません - 86 - Copyright 2012-2015 FUJITSU LIMITED

3 ADMT のインストール本手順を実施する前に Active Directory 移行ツール v3.2 をダウンロードし ADMT サーバにコピーします Active Directory 移行ツール v3.2 は以下 URL よりダウンロードします Windows Server Active Directory Migration Tool(ADMT) http://connect.microsoft.com/site1164/content/content.aspx?contentid=30561 ダウンロードには Microsoft アカウントが必要になります 1 ローカル管理者権限でサーバにログオンします 2 Active Directory 移行ツールのインストールモジュール (admtsetup32.exe) を実行します 3 開いているファイルセキュリティの警告が表示されます実行をクリックします 4 Active Directory 移行ツールのインストールの開始が表示されます次へをクリックします - 87 - Copyright 2012-2015 FUJITSU LIMITED

5 使用許諾契約書が表示されます同意するを選択します次へをクリックします 6 カスタマーエクスペリエンス向上プログラムが表示されます今回はプログラムに参加しませんを選択します次へをクリックします 7 データベースの選択が表示されますデータベースには 2 SQL Server のインストールで作成した SQL Server インスタンスの名前 ( 本書では既定の. SQLEXPRESS ) を入力しますデータベースは. < インスタンス名 > または < サーバ名 > < インスタンス名 > と指定できます次へをクリックします 8 コンポーネントを構成していますが表示されます処理が完了するまで待機します - 88 - Copyright 2012-2015 FUJITSU LIMITED

9 データベースのインポートが表示されますいいえ既存のデータベースからデータをインポートしません ( 既定 ) を選択します次へをクリックします 10 データベースのインポートの進行状況が表示されます処理が完了するまで待機します 11 Active Directory 移行ツールバージョン 3.2 は正常にインストールされましたが表示されます完了をクリックします - 89 - Copyright 2012-2015 FUJITSU LIMITED

5.2.4 移行用アカウントの作成 ADMT を使用して移行を行うにはドメインやローカルマシンで多くの権限を必要とします移行をスムーズに行うために移行専用のアカウントを作成します本書では既存ドメインに以下の権限をもつ移行用ユーザアカウント MigUser を作成します既存ドメイン :Domain Admins グループ新規ドメイン :Administrators グループ ADMT サーバ :Administrators グループ移行に必要な権限の詳細は以下 URL を参照してください移行用の移行アカウントの作成 http://technet.microsoft.com/ja-jp/library/cc974398(ws.10).aspx 1 移行用ユーザアカウント作成と既存ドメインでの権限設定本手順は 2003DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 スタート管理ツール Active Directory ユーザーとコンピュータをクリックします 3 Active Directory ユーザーとコンピュータが表示されます左ペインの Active Directory ユーザーとコンピュータ - < 既存ドメイン名 > - Users を右クリックし新規作成 - ユーザーをクリックします - 90 - Copyright 2012-2015 FUJITSU LIMITED

4 新しいオブジェクトユーザーが表示されます移行用アカウント ( 本書では MigUser ) の情報を入力します次へをクリックします 5 移行用アカウントのパスワードを入力します次へをクリックします 6 完了をクリックします 7 Active Directory ユーザーとコンピュータの左ペインの Active Directory ユーザーとコンピュータ - < 既存ドメイン名 > - Users をクリックします右ペインの Domain Admins をダブルクリックします - 91 - Copyright 2012-2015 FUJITSU LIMITED

8 Domain Admins のプロパティが表示されますメンバタブを選択します追加をクリックします 9 ユーザー連絡先またはコンピュータの選択が表示されます選択するオブジェクト名を入力してくださいに移行用アカウント (MigUser) の名前を入力します OK をクリックします 10 Domain Admins のプロパティで OK をクリックします - 92 - Copyright 2012-2015 FUJITSU LIMITED

2 新規ドメインでの権限設定本手順は 2012R2DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 サーバーマネージャーを起動しツールをクリックします Active Directory ユーザーとコンピューターをクリックします 3 Active Directory ユーザーとコンピューターが表示されます左ペインの Active Directory ユーザーとコンピューター - < 新規ドメイン名 > - Builtin をクリックします右ペインで Administrators をダブルクリックします 4 Administrators のプロパティが表示されますメンバータブを選択します追加をクリックします - 93 - Copyright 2012-2015 FUJITSU LIMITED

5 ユーザー連絡先コンピューターサービスアカウントまたはグループの選択が表示されます場所をクリックします 6 場所が表示されます場所で既存ドメイン名をクリックします OK をクリックします 7 ユーザーコンピューターサービスアカウントまたはグループの選択で移行用アカウント (MigUser) を入力します OK をクリックします 8 Administrators のプロパティで OK をクリックします - 94 - Copyright 2012-2015 FUJITSU LIMITED

3 ADMT サーバでの権限設定本手順は 2012R2ADMT で行います 1 ドメイン管理者権限でサーバにログオンします 2 サーバーマネージャーを起動しツールをクリックしますコンピューターの管理をクリックします 3 コンピューターの管理が表示されます左ペインのコンピューターの管理 ( ローカル ) - システムツール - ローカルユーザーとグループ - グループクリックします右ペインで Administrators をダブルクリックします 4 Administrators のプロパティが表示されます追加をクリックします - 95 - Copyright 2012-2015 FUJITSU LIMITED

5 ユーザーコンピューターサービスアカウントまたはグループの選択が表示されます場所をクリックします 6 場所が表示されます場所で既存ドメイン名をクリックします OK をクリックします 7 ユーザーコンピューターサービスアカウントまたはグループの選択で移行用アカウント (MigUser) を入力します OK をクリックします 8 Administrators のプロパティで OK をクリックします - 96 - Copyright 2012-2015 FUJITSU LIMITED

5.2.5 ADMT 使用前の初期設定 ADMT を使用してアカウント情報を移行する前に以下の初期設定を行う必要があります SID の履歴監査を行うローカルグループの作成アカウント管理の監査ポリシーの有効化 1 SID の履歴監査を行うローカルグループの作成本手順は 2003DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 スタート管理ツール Active Directory ユーザーとコンピュータをクリックします 3 Active Directory ユーザーとコンピュータが表示されます左ペインの Active Directory ユーザーとコンピュータ - < 既存ドメイン名 > - Users を右クリックし新規作成 - グループをクリックします 4 新しいオブジェクトグループが表示されますグループ名に < 既存ドメインの NetBIOS 名 >$$$ を入力しますグループの範囲でドメインローカルを選択しますグループの種類でセキュリティを選択します OK をクリックします - 97 - Copyright 2012-2015 FUJITSU LIMITED

2 アカウント管理の監査ポリシーの有効化 ( 既存ドメイン ) 本書では既定のポリシー (Default Domain Controllers Policy) を直接編集する手順で記載しています既定のポリシーオブジェクトには手を加えない管理ポリシーの場合はドメインコントローラコンテナにリンクされた適切なポリシーオブジェクトに読み換えてください本手順は 2003DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 スタート管理ツール Active Directory ユーザーとコンピュータをクリックします 3 Active Directory ユーザーとコンピュータが表示されます左ペインの Active Directory ユーザーとコンピュータ - < 既存ドメイン名 > - Domain Controllers を右クリックしプロパティをクリックします 4 Domain Controllers のプロハティが表示されますグループポリシータブを選択します Default Domain Controllers Policy をクリックし編集をクリックします - 98 - Copyright 2012-2015 FUJITSU LIMITED

5 グループポリシーオブジェクトエディタが表示されます左ペインの Default Domain Controllers Policy - コンピュータの構成 - Windows の設定 - セキュリティの設定 - ローカルポリシー - 監査ポリシーをクリックします右ペインのアカウント管理の監査をダブルクリックします 6 アカウント管理の監査のプロパティが表示されますセキュリティポリシーの設定タブを選択しますこれらのポリシーの設定を定義するにチェックを入れます成功失敗にチェックを入れます OK をクリックします 7 グループポリシーの変更を反映させるためコマンドプロンプトで以下を実行します gpupdate /force 実行すると画像のメッセージが表示されます POINT! 既存ドメインが Windows 2008 以降のドメインの場合ディレクトリサービスのアクセスの監査のポリシーを有効にする必要があります 3 アカウント管理の監査ポリシーの有効化 ( 新規ドメイン ) の手順 6 手順 7 を参考にディレクトリサービスのアクセスの監査のポリシーを有効化し成功にチェックを入れます - 99 - Copyright 2012-2015 FUJITSU LIMITED

3 アカウント管理の監査ポリシーの有効化 ( 新規ドメイン ) 本手順は 2012R2DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 サーバーマネージャーを起動しツールをクリックしますグループポリシーの管理をクリックします 3 グループポリシーの管理が表示されます左ペインのグループポリシーの管理 - フォレスト : < 新規フォレスト名 > - ドメイン - < ドメイン名 > - グループポリシーオブジェクト - Default Domain Controllers Policy を右クリックし編集をクリックします 4 グループポリシー管理エディターが表示されます左ペインのコンピューターの構成 - ポリシー - Windows の設定 - セキュリティの設定 - ローカルポリシー - 監査ポリシーをクリックします右ペインのアカウント管理の監査をダブルクリックします - 100 - Copyright 2012-2015 FUJITSU LIMITED

5 アカウント管理の監査のプロパティが表示されますセキュリティポリシーの設定タブを選択しますこれらのポリシーの設定を定義するにチェックを入れます成功と失敗にチェックを入れます OK をクリックします 6 右ペインのディレクトリサービスのアクセスの監査をダブルクリックします 7 ディレクトリサービスのアクセスの監査のプロパティが表示されますセキュリティポリシーの設定タブを選択しますこれらのポリシーの設定を定義するにチェックを入れます成功にチェックを入れます OK をクリックします - 101 - Copyright 2012-2015 FUJITSU LIMITED

5.2.6 暗号化ツールのインストールと設定 ADMT では PES(Password Export Server) サービスを使用することでパスワードの移行が可能になります PES は以下の URL からダウンロードします Windows Server Active Directory Migration Tool(ADMT) http://connect.microsoft.com/site1164/content/content.aspx?contentid=30561 ダウンロードには Microsoft アカウントが必要になります 1 PES 暗号化キーの作成本手順は 2012R2ADMT で行います 1 ローカル管理者権限でサーバにログオンします 2 スタートボタンを右クリックしコマンドプロンプト ( 管理者 ) をクリックします 3 管理者 : コマンドプロンプトが表示されます以下のコマンドを実行します admt key /option:create /sourcedomain:< 既存ドメイン名 > /keyfile:c:\share\key.pes /keypassword:< パスワード > POINT! 本書では事前に作成した C: share フォルダに key.pes というファイル名でパスワードエクスポートサーバー暗号化キーを出力します実行すると画像のメッセージが表示されます - 103 - Copyright 2012-2015 FUJITSU LIMITED

2 PES サービスの構成事前に 1 PES 暗号化キーの作成で作成した PES 暗号化キーを 2003DC-1 サーバの任意のローカルフォルダ ( 本書では C: share) にコピーします本手順は 2003DC-1 で行います 1 移行用アカウントでサーバにログオンします 2 PES のインストールモジュール (ja-jp pwdmig_x86.msi) を実行します 3 開いているファイルセキュリティの警告が表示されます実行をクリックします 4 ADMT パスワード移行 DLL インストールウィザードの開始が表示されます次へをクリックします - 104 - Copyright 2012-2015 FUJITSU LIMITED

5 使用許諾契約書が表示されます使用許諾契約書に同意しますを選択します次へをクリックします 6 暗号化ファイルが表示されます参照をクリックします 7 ファイルを開くが表示されます 1 PES 暗号化キーの作成で作成したパスワード暗号化ファイル (pes ファイル ) を選択します開くをクリックします 8 暗号化ファイルで次へをクリックします - 105 - Copyright 2012-2015 FUJITSU LIMITED

9 暗号化キーのパスワードを指定してくださいが表示されます 1 PES 暗号化キーの作成手順 3 で設定したパスワードを入力します次へをクリックします 10 インストールの開始が表示されます次へをクリックします 11 システムの更新が表示されます 12 パスワードエクスポートサーバーサービスはローカルシステムアカウントまたは指定されたユーザーアカウントで実行できますが表示されますログオンを選択し移行用アカウントとパスワードを入力します OK をクリックします 13 アカウント ( 移行用アカウント ) はサービスとしてログオンする権利を付与されましたが表示されます OK をクリックします - 106 - Copyright 2012-2015 FUJITSU LIMITED

14 ADMT パスワード移行 DLL のインストールの完了が表示されます完了をクリックします 15 インストーラ情報が表示されますはいをクリックしますサーバが再起動します POINT! PES サービスは既定で停止しています ADMT を使用してパスワードを移行する際に PES サービスを手動で起動してくださいまたパスワード移行後は PES サービスを手動で停止してください 1 スタート管理ツールサービスをクリックしてサービスを表示しますパスワードエクスポートサーバーサービスを選択してサービスの開始をクリックします - 107 - Copyright 2012-2015 FUJITSU LIMITED

5.2.7 アカウントの移行 ADMT のウィザードを使用して既存ドメインのアカウントを新規ドメインへ移行します ADMT では以下のドメインオブジェクトの移行が可能ですユーザアカウントコンピュータアカウントグループアカウント本書ではユーザコンピュータの移行手順を紹介します POINT! 連絡先プリンタ共有フォルダーなどのドメインオブジェクトは ADMT を使用して移行できません新規ドメインにドメインオブジェクトを新規作成する必要があります OU は ADMT を使用して移行できません既存ドメインと新規ドメインを同じ OU 構成にする場合は既存ドメインと同じ構成で新規ドメインに OU を作成し ADMT の移行ウィザードを使用して OU 内のドメインオブジェクトを適宜移行しますグループポリシーは ADMT を使用して移行できませんグループポリシーはドメイン移行を機に見直しを兼ねて新規作成するケースが多くありますグループポリシーの移行を行う場合はグループポリシー管理エディターを使用して既存ドメインのグループポリシーを新規ドメインにコピーします詳細な手順は以下 URL 参照してくださいグループポリシーオブジェクトのバックアップ復元インポートおよびコピーを行う http://technet.microsoft.com/ja-jp/library/cc754760(ws.10).aspx 変換項目ファイルとフォルダープリンターレジストリ共有ローカルグループ表 11 ADMT のウィザードで変換可能な項目説明移行対象サーバ / コンピュータの左記オブジェクトへのアクセス権に新規ドメインのアカウントを含めます移行対象サーバ / コンピュータのローカルグループメンバに新規ドメインのアカウントを含めますユーザープロファイル既存ドメインのユーザアカウントで使用していたユーザプロファイルを新規のドメインユーザアカウントで継続して使用できるよう変換しますユーザー権利既存ドメインのサーバ / コンピュータに設定されているユーザ権利を新規ドメインのものに変換します - 108 - Copyright 2012-2015 FUJITSU LIMITED

1 ユーザアカウントの移行ユーザアカウントを SID の履歴を含めて移行します SID の履歴を含めて移行することで移行前にアクセス可能だった既存ドメインのリソースへ引き続きアクセスできます本書ではユーザアカウント User-2008R2File User-WinVista User-WinXP の移行を行います POINT! ユーザがグループに所属している場合は事前に ADMT のグループアカウントの移行ウィザードを使用してグループアカウントを新規ドメインに移行しますユーザアカウント移行時にユーザアカウントが所属するグループアカウントのメンバーシップを自動更新することで新規ドメインでもユーザアカウントの所属グループが保持されますユーザアカウント移行時にユーザアカウントのパスワードもあわせて移行する場合は既存ドメインの DC(2003DC-1) でパスワードエクスポートサーバーサービスを手動で起動する必要があります本手順は 2012R2ADMT で行います 1 既存ドメインで作成した移行用アカウントで新規ドメインにログオンします 2 サーバーマネージャーを起動しツールをクリックします Active Directory 移行ツールをクリックします 3 Active Directory 移行ツールが表示されます左ペインの Active Directory 移行ツールを右クリックしユーザーアカウントの移行ウィザードをクリックします - 109 - Copyright 2012-2015 FUJITSU LIMITED

4 ユーザーアカントの移行ウィザードの開始が表示されます次へをクリックします 5 ドメインの選択が表示されます移行元では既存ドメインのドメイン名を入力し既存ドメインの DC をプルダウンメニューから選択します移行先では新規ドメインのドメイン名を入力し新規ドメインの DC をプルダウンメニューから選択します次へをクリックします 6 ユーザーの選択オプションが表示されますユーザーをドメインから選択を選択します次へをクリックします 7 ユーザーの選択が表示されます追加をクリックします - 110 - Copyright 2012-2015 FUJITSU LIMITED

8 ユーザーの選択が表示されます移行対象のユーザアカウントを入力します OK をクリックします 9 ユーザーの選択で次へをクリックします 10 組織単位の選択が表示されます参照をクリックします 11 コンテナの参照が表示されますユーザアカウントの移行先を選択します OK をクリックします POINT! 本書では Users コンテナに移行します - 111 - Copyright 2012-2015 FUJITSU LIMITED

12 組織単位の選択で次へをクリックします 13 パスワードオプションが表示されます移行後のパスワードの指定を行います次へをクリックします POINT! 本書では移行先のユーザパスワードを変更しない設定を行いますパスワードを移行する場合は PES サービスが起動している必要があります 14 アカウントの切り替えオプションが表示されますユーザアカウントの移行ウィザード実行後の既存 / 新規ドメインのアカウントの状態を選択しますユーザー SID を新規ドメインへ移行にチェックを入れます次へをクリックします POINT! 本書では既存ドメインのユーザアカウントを無効に新規ドメインのユーザアカウントを有効にする設定を行いますまたユーザアカウントの SID も移行します 15 ユーザーアカウントが表示されます移行用アカウントのユーザー名パスワードドメイン名を入力します次へをクリックします - 112 - Copyright 2012-2015 FUJITSU LIMITED

16 ユーザーオプションが表示されます移行するオプションにチェックを入れます次へをクリックします POINT! 本書ではユーザー権利を更新にチェックを入れます 17 オブジェクトのプロパティの除外が表示されます次へをクリックします 18 競合の管理が表示されます移行先ドメインで競合が検出された場合移行元オブジェクトを移行しないを選択します次へをクリックします 19 ユーザーアカウントの移行ウィザードの完了が表示されます完了をクリックします - 113 - Copyright 2012-2015 FUJITSU LIMITED

20 移行の進行状況が表示されますユーザアカウントの移行が完了すると状態のステータスが完了になりますエラーでエラー数が 0 であることを確認します閉じるをクリックしますファイルサーバ (2008R2File) で使用しているユーザアカウント User-2008R2File は移行後も既存ドメインで使用するため上記の手順 15 の移行元アカウントの無効化のチェックを外して移行します POINT! ユーザアカウントを新規ドメインに移行すると初回のログオンでパスワードの変更が求めらますログオン画面の指示に従いパスワードを変更してください 2 コンピュータアカウントの移行本書ではコンピュータアカウント 2008R2File Win7 Win8 の移行を行います移行対象コンピュータのファイアウォールの設定変更本手順は Win7 で行います 1 ローカル管理者権限でクライアントにログオンします 2 スタートコントロールパネルをクリックします - 114 - Copyright 2012-2015 FUJITSU LIMITED

3 コントロールパネルが表示されますシステムとセキュリティをダブルクリックします 4 システムとセキュリティが表示されます Windows ファイアウォールの Windows ファイアウォールによるプログラムの許可をダブルクリックします 5 許可されたプログラムが表示されます設定の変更をクリックします 6 許可されたプログラムおよび機能からファイルとプリンタの共有のドメインにチェックを入れます OK をクリックします - 115 - Copyright 2012-2015 FUJITSU LIMITED

本手順は Win8 で行います 1 ローカル管理者権限でクライアントにログオンします 2 画面左下隅にカーソルを合わせてスタートボタンが表示されたら右クリックしコントロールパネルをクリックします 3 コントロールパネルが表示されますシステムとセキュリティをダブルクリックします 4 システムとセキュリティが表示されます Windows ファイアウォールの Windows ファイアウォールによるアプリケーションの許可をダブルクリックします - 116 - Copyright 2012-2015 FUJITSU LIMITED

5 許可されたアプリが表示されます設定の変更をクリックします 6 許可されたプログラムおよび機能からファイルとプリンタの共有のドメインにチェックを入れます OK をクリックします移行対象コンピュータの DNS の変更本手順は Win7 Win8 で行います 1 インターネットプロトコル (TCP/IP) のプロパティを表示します代替 DNS サーバーに新規ドメインの DNS サーバの IP アドレスを入力しますコンピュータアカウントの移行 POINT! コンピュータアカウントの移行を正常に終了するためには移行対象のコンピュータがログオフした状態で起動している必要がありますコンピュータアカウント移行完了後 ADMT のエージェントにより移行対象のコンピュータは自動で再起動されます - 117 - Copyright 2012-2015 FUJITSU LIMITED

本手順は 2012R2ADMT で行います 1 既存ドメインで作成した移行用アカウントで新規ドメインにログオンします 2 スタート管理ツール Active Directory 移行ツールをクリックします 3 Active Directory 移行ツールが表示されます左ペインの Active Directory 移行ツールを右クリックしコンピューターの移行ウィザードをクリックします 4 コンピューターの移行ウィザードの開始が表示されます次へをクリックします 5 ドメインの選択が表示されます移行元では既存ドメインのドメイン名を入力し既存ドメインの DC をプルダウンメニューから選択します移行先では新規ドメインのドメイン名を入力し新規ドメインの DC をプルダウンメニューから選択します次へをクリックします - 118 - Copyright 2012-2015 FUJITSU LIMITED

6 コンピューターの選択オプションが表示されますコンピューターをドメインから選択を選択します次へをクリックします 7 コンピューターの選択が表示されます追加をクリックします 8 コンピューターの選択が表示されます移行対象のコンピュータアカウントを入力します OK をクリックします 9 コンピューターの選択で次へをクリックします - 119 - Copyright 2012-2015 FUJITSU LIMITED

10 組織単位の選択が表示されます参照をクリックします 11 コンテナの参照が表示されますコンピュータアカウントの移行先を選択します OK をクリックします 12 組織単位の選択で次へをクリックします 13 オブジェクトの変換が表示されますコンピュータアカウント移行時に変換を行う項目にチェックを入れます次へをクリックします POINT! 本書ではローカルグループユーザー権利にチェックを入れます - 120 - Copyright 2012-2015 FUJITSU LIMITED

14 セキュリティの変換オプションが表示されます追加を選択します次へをクリックします 15 コンピューターオプションが表示されますウィザードが完了してからコンピューターを再起動するまでの待ち時間を入力します次へをクリックします POINT! 本書ではウィザード完了後すぐ再起動するように 0 を入力しています 16 オブジェクトのプロパティの除外が表示されます次へをクリックします 17 競合の管理が表示されます移行先ドメインで競合が検出された場合移行元オブジェクトを移行しないを選択します次へをクリックします - 121 - Copyright 2012-2015 FUJITSU LIMITED

18 コンピューターの移行ウィザードの完了が表示されます完了をクリックします 19 移行の進行状況が表示されますコンピュータアカウントの移行が完了すると状態のステータスが完了になりますエラーでエラー数が 0 であることを確認します閉じるをクリックします 20 Active Directory 移行ツールのエージェントダイアログが表示されますエージェントの動作で事前確認とエージェントの操作を実行するを選択します開始をクリックします POINT! 移行対象コンピュータはエージェントの操作完了後に自動で再起動されます - 122 - Copyright 2012-2015 FUJITSU LIMITED

21 Active Directory 移行ツールのエージェントダイアログの事前確認がすべて合格エージェントの操作がすべて成功事後確認がすべて合格することを確認します閉じるをクリックします既存ドメインでファイルサーバにアクセスする必要がなくなった時点で Windows Server 2008 R2 のファイルサーバ (2008R2File) のコンピュータアカウントを新規ドメインへ移行します - 123 - Copyright 2012-2015 FUJITSU LIMITED

参考 :SID の履歴を使用したリソースへのアクセス Windows Server 2003 SP2 以降のドメインコントローラー間でフォレストの信頼関係を構築した場合 SID フィルターが有効になります SID の履歴を移行していても SID フィルターが有効になっていると SID の履歴を使用した既存リソースへのアクセスが失敗します SID の履歴を使用して新規ドメインから既存ドメインのリソースにアクセスできるようにするには以下の手順を実施して SID フィルターを無効にしてください既存ドメインの管理者グループに新規ドメインの管理者グループを追加 SID フィルターを無効にするため既存ドメインの管理者グループに新規ドメインの管理者を追加します本手順は 2003R2DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 スタート管理ツール Active Directory ユーザーとコンピュータをクリックします 3 Active Directory ユーザーとコンピュータの左ペインの Active Directory ユーザーとコンピュータ - < 既存ドメイン名 > - Builtin をクリックします右ペインの Administrators をダブルクリックします 4 Administrators のプロパティが表示されますメンバタブを選択します追加をクリックします - 124 - Copyright 2012-2015 FUJITSU LIMITED

5 ユーザー連絡先コンピュータまたはグループの選択が表示されます場所をクリックします 6 場所が表示されます場所で新規ドメイン名をクリックします OK をクリックします 7 ユーザーコンピュータまたはグループの選択で Domain Admins を入力します OK をクリックします 8 Administrators のプロパティで OK をクリックします - 125 - Copyright 2012-2015 FUJITSU LIMITED

SID フィルターを無効に設定します Windows Server 2012 R2 の日本語版では下記の Netdom コマンドが正しく動作しないことがあります ( コマンドの内容が正常に設定できたよう見えて設定が正しく反映されていません ) そのためコマンドプロンプトを英語のコードページに変更して Netdom コマンドを実行します本手順は 2012R2DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 コマンドプロンプトを起動して以下のコマンドを実行します Chcp 437 3 コマンドプロンプトが英語のコードページに変更されます以下のコマンドを実行します Netdom trust < 既存ドメイン名 > /domain:< 新規ドメイン名 > /quarantine:no /userd:< 新規ドメインの管理者アカウント > /passwordd:< 新規ドメインの管理者アカウントのパスワード > SID filtering is not enabled for this trust. と表示されれば正しく設定が反映されています本書の環境では以下のコマンドを実行します Netdom trust fujitsu.local /domain:fujitsu2.co.jp /quarantine:no /userd:fujitsu Administrator /passwordd:<fujitsu administrator のパスワード > - 126 - Copyright 2012-2015 FUJITSU LIMITED

5.2.8 既存ドメインの破棄既存ドメインから新規ドメインへのすべての移行が完了した時点で既存ドメインを破棄します 1 信頼関係の破棄既存ドメインと新規ドメインの信頼関係を破棄します本手順は 2012R2DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 サーバーマネージャーを起動しツールをクリックします Active Directory ドメインと信頼関係をクリックします 3 Active Directory ドメインと信頼関係が表示されます左ペインの Active Directory ドメインと信頼関係 - < 新規ドメイン名 > を右クリックしプロパティをクリックします 4 < 新規ドメイン名 > のプロパティが表示されます信頼タブを選択しますこのドメインに信頼されるドメイン ( 出力方向の信頼 ) から既存ドメインを選択します削除をクリックします - 127 - Copyright 2012-2015 FUJITSU LIMITED

5 Active Directory ドメインサービスが表示されますローカルドメインと他方のドメインの両方から信頼を削除するを選択します既存ドメインの管理者アカウントとパスワードを入力します OK をクリックします 6 < 既存ドメイン名 > ドメインとの出力方向の信頼を削除しますか? が表示されますはいをクリックします 7 < 新規ドメイン名 > のプロパティのこのドメインを信頼するドメイン ( 入力方向の信頼 ) から既存ドメインを選択します削除をクリックします 8 Active Directory ドメインサービスが表示されますローカルドメインと他方のドメインの両方から信頼を削除するを選択します OK をクリックします - 128 - Copyright 2012-2015 FUJITSU LIMITED

9 < 既存ドメイン名 > ドメインとの入力方向の信頼を削除しますか? が表示されますはいをクリックします 10 < 新規ドメイン名 > のプロパティで OK をクリックします 2 DNS セカンダリゾーンの削除新規ドメインの DNS から既存ドメインのセカンダリゾーンを削除しますまた既存ドメインの DNS に許可しているゾーン転送の設定を削除します本手順は 2012R2DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 サーバーマネージャーを起動しツールをクリックします DNS をクリックします - 129 - Copyright 2012-2015 FUJITSU LIMITED

3 DNS マネージャーが表示されます左ペインの DNS - <DNS サーバ名 > - 前方参照ゾーン - ( 既存ドメインのゾーン名 ) を右クリックし削除をクリックします 4 DNS が表示されますはいをクリックします 5 左ペインの DNS - <DNS サーバ名 > - 前方参照ゾーン - < 新規ドメインのゾーン名 > を右クリックしプロパティをクリックします 6 < 新規ドメインのゾーン名 > のプロパティが表示されますゾーンの転送タブを選択しますゾーン転送を許可するサーバーのチェックを外します OK をクリックします - 130 - Copyright 2012-2015 FUJITSU LIMITED

3 DNS の設定変更本手順は 2012R2DC-1 で行います 1 ローカル管理者権限でサーバにログオンします 2 インターネットプロトコルバージョン 4 (TCP/IPv4) のプロパティを表示します代替 DNS サーバーに新規ドメイン (2 台目 ) の DNS サーバの IP アドレスを入力します POINT! メンバサーバ / クライアントで既存ドメインの DNS を設定している場合も変更を行ってください 4 アカウント管理の監査ポリシーの無効化本手順は 2012R2DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 サーバーマネージャーを起動しツールをクリックしますグループポリシーの管理をクリックします - 131 - Copyright 2012-2015 FUJITSU LIMITED

3 グループポリシーの管理が表示されます左ペインのグループポリシーの管理 - フォレスト : < 新規フォレスト名 > - ドメイン - < 新規ドメイン名 > - グループポリシーオブジェクト - Default Domain Controllers Policy を右クリックし編集をクリックします 4 グループポリシー管理エディターが表示されます左ペインのコンピューターの構成 - ポリシー - Windows の設定 - セキュリティの設定 - ローカルポリシー - 監査ポリシーをクリックします右ペインのアカウント管理の監査を右クリックしプロパティをクリックします 5 アカウント管理の監査のプロパティが表示されますセキュリティポリシーの設定タブを選択しますこれらのポリシーの設定を定義するのチェックを外します OK をクリックします - 132 - Copyright 2012-2015 FUJITSU LIMITED

6 右ペインのディレクトリサービスのアクセスの監査を右クリックしプロパティをクリックします 7 ディレクトリサービスのアクセスの監査が表示されますセキュリティポリシーの設定タブを選択しますこれらのポリシーの設定を定義するのチェックを外します OK をクリックします 8 グループポリシーの変更を反映させるためコマンドプロンプトで以下を実行します gpupdate /force 実行すると画像のメッセージが表示されます 2008DC-2 でも同様にグループポリシーの変更を反映させます上記の手順で既存ドメインと新規ドメインを分離した後 Windows Server 2003 の DC を WORKGROUP へ降格することで既存ドメインを破棄します - 133 - Copyright 2012-2015 FUJITSU LIMITED