Windows Server 2012/2012 R2 Active Directory 移行の手引き 第 2.3 版 2015 年 3 月 富士通株式会社 Copyright 2012-2015 FUJITSU LIMITED
はじめに 本書は Microsoft Windows Server 2003 Active Directory のドメイン Microsoft Windows Server 2008 Active Directory のドメイン Microsoft Windows Server 2008 R2 Active Directory のドメインから Microsoft Windows Server 2012 Active Directory のドメインまたは Microsoft Windows Server 2012 R2 Active Directory のドメインへの移行手順を紹介します ドメインの移行方式には 既存ドメインのバージョンアップ 新規ドメイン構築 & アカウント移行 の 2 種類が用意されており お客様の移行環境や要件に合わせて移行方式を選択する必要があります ドメインの移行方式や移行手順を考える際の基礎情報としてご活用ください 本書を利用するにあたっての前提知識以下の技術情報についての知識が必要となります Active Directory およびネットワークの基礎知識 想定する対象読者以下の方を対象に記載しています Microsoft Windows Server 2003 Active Directory のドメイン Microsoft Windows Server 2008 Active Directory のドメイン Microsoft Windows Server 2008 R2 Active Directory のドメインを使用中のお客様 近い将来にドメイン移行を予定のお客様 /SE 知識としてドメイン移行の進め方を確認されたいお客様 /SE/ 営業 参考資料本書以外の Windows Server 技術情報は 以下のサイトで公開しています Windows システム構築ガイド http://jp.fujitsu.com/platform/server/primergy/technical/construct/ Copyright 2012-2015 FUJITSU LIMITED
本書では 以下の略称を使用しています 正式名称 略称 製品名 Microsoft Windows Server 2003 Windows Server 2003 Microsoft Windows Server 2008 Windows Server 2008 Microsoft Windows Server 2008 R2 Windows Server 2008 R2 Microsoft Windows Server 2012 Windows Server 2012 Microsoft Windows Server 2012 R2 Windows Server 2012 R2 Microsoft Windows XP Windows XP Windows Vista Windows Vista Windows 7 Windows 7 Windows 8 Windows 8 ドメイン Microsoft Windows Server 2003 Active Windows 2003 ドメイン Directory のドメイン Microsoft Windows Server 2008 Active Windows 2008 ドメイン Directory のドメイン Microsoft Windows Server 2008 R2 Windows 2008 R2 ドメイン Active Directory のドメイン Microsoft Windows Server 2012 Active Windows 2012 ドメイン Directory のドメイン Microsoft Windows Server 2012 R2 Windows 2012 R2 ドメイン Active Directory のドメイン ドメインコントローラー DC Active Directory AD Active Directory ドメインサービス ADDS Active Directory 移行ツール ADMT その他 Windows PowerShell Windows PowerShell 注意事項 本ドキュメントを輸出または第三者へ提供する場合は お客様が居住する国および米国輸出管理関連法規等の規制をご確認のうえ 必要な手続きをおとりください 本書に記載されたデータの使用に起因する 第三者の特許権およびその他の権利の侵害については 当社はその責を負いません Copyright 2012-2015 FUJITSU LIMITED
改版履歴 改版日時 版数 改版内容 2012.09 1.0 新規作成 2013.04 1.1 誤字修正 2013.10 2.0 Windows Server 2012 R2 に対応 2014.03 2.1 ADMT の Windows Server 2012/2012 R2 対応状況を更新 2014.12 2.2 ADMT ツールの Windows Server 2012/2012 R2 対応に伴い 記載を修正 2015.03 2.3 ADMT ツールを使用した移行手順として 5 章を追加 3.2 移行手順 に重要な注意事項を追加 Copyright 2012-2015 FUJITSU LIMITED
目次 1 なぜ 今 Windows 2012/2012 R2 ドメインに移行するのか?... 1 2 ドメイン移行の概要... 2 2.1 ドメイン移行作業の流れ... 2 2.2 移行方式概要... 3 2.2.1 既存ドメインのバージョンアップ... 4 2.2.2 新規ドメイン構築 & アカウント移行... 6 3 既存ドメインのバージョンアップ手順 (Windows 2003 ドメイン )... 8 3.1 移行環境... 8 3.2 移行手順... 10 3.2.1 ドメイン / フォレストの機能レベルの変更... 11 3.2.2 Windows Server 2012 R2 のDC 追加... 14 3.2.3 FSMOの転送... 20 3.2.4 Windows Server 2003 DCの降格... 29 3.2.5 ドメイン / フォレストの機能レベルの変更... 32 3.2.6 SYSVOL 複製方式の変更... 34 4 既存ドメインのバージョンアップ手順 (Windows 2008/2008 R2 ドメイン )... 42 4.1 移行環境... 42 4.2 移行手順... 44 4.2.1 ドメイン / フォレストの機能レベルの変更... 44 4.2.2 Windows Server 2012 R2 のDC 追加... 47 4.2.3 FSMOの転送... 54 4.2.4 Windows Server 2008 DCの降格... 62 4.2.5 ドメイン / フォレストの機能レベルの変更... 65 5 新規ドメイン構築 & アカウント移行手順... 68 5.1 移行環境... 68 5.2 移行手順... 70 5.2.1 新規ドメインの構築... 70 5.2.2 信頼関係の構築... 70 5.2.3 ADMTサーバの構築... 84 5.2.4 移行用アカウントの作成... 90 5.2.5 ADMT 使用前の初期設定... 97 5.2.6 暗号化ツールのインストールと設定...103 5.2.7 アカウントの移行...108 Copyright 2012-2015 FUJITSU LIMITED
5.2.8 既存ドメインの破棄...127 6 おわりに... 134 Copyright 2012-2015 FUJITSU LIMITED
図表目次 図 1 既存ドメインのバージョンアップ の移行環境... 8 図 2 既存ドメインのバージョンアップ の移行環境... 42 図 3 既存ドメインのバージョンアップ の移行環境... 68 表 1 DC サーバの設定内容... 8 表 2 ドメインメンバサーバ / クライアントの設定内容... 9 表 3 IP アドレスの変更... 31 表 4 IP アドレスの変更方法... 32 表 5 DC サーバの設定内容... 43 表 6 ドメインメンバサーバ / クライアントの設定内容... 43 表 7 IP アドレスの変更... 64 表 8 IP アドレスの変更方法... 65 表 9 DC サーバの設定内容... 69 表 10 ドメインメンバサーバ / クライアントの設定内容... 69 表 11 ADMT のウィザードで変換可能な項目... 108 Copyright 2012-2015 FUJITSU LIMITED
1 なぜ 今 Windows 2012/2012 R2 ドメインに移行するのか? 富士通における過去のドメイン移行商談の傾向から Windows 2012/2012 R2 ドメインへの移行を検討するきっかけとして 大きく以下の 2 通りが考えられます 1 最新のテクノロジーの恩恵を受けるため 展開作業の簡略化 DC に昇格するコマンド (DCpromo) が廃止され DC への昇格はサーバーマネージャーに統合されたため DC 昇格時の操作が簡略化されます 既存ドメインに DC を追加する際 自動的にスキーマが拡張されるため 既存 DC 上で実施していたスキーマ拡張の操作 (ADprep) が不要になり DC の展開が容易になります 管理性の向上 Windows PowerShell 等での設定が必要だった Active Directory ごみ箱機能でのオブジェクトの復元が Active Directory 管理センターの GUI からできるようになり 削除したオブジェクトの復元が容易になります 設定が非常に煩雑だった 細かい設定が可能なパスワードポリシーの設定や適用が Active Directory 管理センターの GUI から簡単に行えるようになり 操作性が大幅に向上しています Active Directory 管理センターから実施した操作を Windows PowerShell の履歴として参照することができるため スクリプトによる自動化などを容易に行うことができます 仮想化環境への対応 DC として動作している仮想マシン (VHD) を Sysprep での汎用化を行わずにクローン ( コピー ) を作成して 追加の DC として構築することができるようになり 仮想環境における DC の展開が容易になります スナップショットからの復元等により USN ( ) ロールバックが発生した場合 自動的に回復処理が行われるため 仮想環境での DC の運用が容易になります オブジェクトの変更状態の管理に使用する一意の識別名を更新シーケンス番号 (USN:Update Sequence Number) といいます 2 ハードウェア ソフトウェアの老朽化のため ハードウェア主にサーバ部品の保守期間終了の問題があります サーバの各部品にも寿命があり 定期的に または故障時に交換する必要があります 古いサーバは順次保守サポート切れを迎え サポート終了後には各部品の入手が困難になります ソフトウェア (OS) Microsoft 製品には サポート期間が決められています サポート期間が終了すると セキュリティパッチや修正モジュールが提供されなくなります 本書ではこのような背景から Windows 2003 ドメイン Windows 2008/2008 R2 ドメインから Windows 2012/2012 R2 ドメインへの移行を中心に記載しております - 1 - Copyright 2012-2015 FUJITSU LIMITED
2 ドメイン移行の概要本章では Windows 2012/2012 R2 ドメインへの移行の進め方と 移行方式について紹介します 2.1 ドメイン移行作業の流れドメイン移行に必要な作業を簡単に紹介します ドメイン移行では 以下の流れに従って移行の計画から実施 確認まで作業を進めます 計画 既存環境の調査 移行対象となるドメイン環境について調査を行います DC だけでなくメンバコンピュータやネットワーク環境など影響範囲全般が調査対象となります POINT! Windows 2012/2012 R2 ドメインへの移行では 既存ドメイン内のすべての DC が Windows Server 2003 以降である必要があります またドメイン / フォレストの機能レベルが Windows Server 2003 以上である必要があります AD の移行では DNS DHCP WINS など関連するネットワークサービスを考慮する必要があります ハードウェア ソフトウェアの手配 移行に必要なハードウェア ソフトウェアの手配を行います POINT! 発注してから搬入されるまでの時間を考慮し 余裕をもって手配します 移行手順の確立 / 検証 移行手順を確立します 移行過程でトラブルが発生した場合を想定して ロールバック計画をあわせて検討してください POINT! ドメイン移行は ドメイン内のメンバコンピュータや ディレクトリサービスを利用するアプリケーションなど様々なところに影響を与える可能性があります 移行を行う際は それらを洗い出し 移行手順の確認だけでなく インフラ全体への影響有無について事前検証を行うことが 移行後のトラブルを未然に防ぐことに繋がります - 2 - Copyright 2012-2015 FUJITSU LIMITED
移行の実施 検証で確立した手順をもとに 本番環境の移行を行います 本書では このフェーズを中心に紹介します POINT! 移行作業を開始する前には 必ず既存 DC のバックアップを実施してください 移行を実施する時期によっては 新たにサービスパックや修正モジュールなどが発表され 本書の手順に変更を要する可能性があります マイクロソフト社の最新の情報を確認してください 稼働の確認 ドメイン移行完了後に 稼働状況の確認を行います 正常に稼働していることを確認して ドメイン移行を完了とします ドメイン移行は 実際の移行作業以上に 事前の調査 計画 準備などに多くの時間を必要とします ドメイン移行を行う際は 移行期間に余裕をもって計画を進めてください 2.2 移行方式概要 Windows 2012/2012 R2 ドメインへの移行方式は 以下の 2 つの方式が考えられます 既存ドメインのバージョンアップ既存ドメインの構成 / 情報を保持したまま ドメインのバージョンアップを行う方式 新規ドメイン構築 & アカウント移行 Active Directory 移行ツール (ADMT) を利用して 新規に構築したドメインへ既存のアカウント情報を移行する方式 富士通では エンドユーザへの影響が少ない 既存ドメインのバージョンアップ での移行を推奨しています 移行を機にドメイン環境を一新したい場合や 以下のような特別な要件がある場合には 新規ドメイン構築 & アカウント移行 を選択します 互換性確認が必要な既存サーバが多いため 既存ドメインを残しつつ 段階的に移行を行いたい M&A に伴いドメイン環境を統合したいなど 既存ドメインをそのまま使用したくない事情がある 既存ドメインのバージョンアップ と 新規ドメイン構築 & アカウント移行 の移行イメージを紹介します - 3 - Copyright 2012-2015 FUJITSU LIMITED
2.2.1 既存ドメインのバージョンアップ移行方式 既存ドメインのバージョンアップ による ドメイン移行イメージを紹介します 1 既存ドメインに新規 DC を追加します 2 新規 DC を追加すると自動的にスキーマが拡張されます POINT! Windows Server 2012/2012 R2 の ADDS では 既存のドメインに DC を追加する際に 自動的にスキーマの拡張を行います そのため 既存 DC 上にてコマンドで実施していたスキーマの拡張操作が不要になります - 4 - Copyright 2012-2015 FUJITSU LIMITED
3 FSMO を新規 DC に転送します 4 既存 DC をメンバサーバへ降格します 既存 DC をネットワークから撤去します 5 機能レベルを Windows Server 2012 もしくは Windows Server 2012 R2 に変更します Windows 2003 ドメインを Windows 2012 R2 ドメインへ移行する手順は 3 既存ドメインのバージョンアップ手順 (Windows 2003 ドメイン ) を参照してください Windows 2008 ドメイン /2008 R2 ドメインを Windows 2012 R2 ドメインへ移行する手順は 4 既存ドメインのバージョンアップ手順 (Windows 2008/2008 R2 ドメイン ) を参照してください - 5 - Copyright 2012-2015 FUJITSU LIMITED
2.2.2 新規ドメイン構築 & アカウント移行移行方式 新規ドメイン構築 & アカウント移行 による ドメイン移行イメージを紹介します 1 新規に Windows 2012/2012 R2 ドメインを構築します 2 既存ドメインと新規ドメインの双方向信頼関係を作成します - 6 - Copyright 2012-2015 FUJITSU LIMITED
3 ADMT を使用し 既存ドメインから新規ドメインへアカウントを移行します 4 クライアント メンバサーバ等のリソース移行完了後に 信頼関係を破棄します 5 既存ドメイン環境を破棄します Windows 2003 ドメインを Windows 2012 R2 ドメインへ移行する手順は 5 新規ドメイン構築 & アカウント移行手順 を参照してください - 7 - Copyright 2012-2015 FUJITSU LIMITED
3 既存ドメインのバージョンアップ手順 (Windows 2003 ドメイン ) 本章では 富士通が推奨する移行方式 既存ドメインのバージョンアップ を選択して Windows 2003 ドメインから Windows 2012 R2 ドメインへ移行する手順を紹介します POINT! 本書では Windows 2012 R2 ドメインへの移行手順を紹介していますが Windows 2012 ドメインへの移行手順も同様となります 3.1 移行環境本章で紹介する移行手順は 以下の環境における移行を想定しています 図 1 既存ドメインのバージョンアップ の移行環境 図 1 のサーバ / クライアントの設定内容を 次の表に示します ( 表 1 表 2) 表 1 DC サーバの設定内容 番号 項目 内容 1 コンピュータ名 2003DC-1 IP アドレス 192.168.1.11 OS SP Windows Server 2003 R2 DNS 127.0.0.1( 優先 ) 192.168.1.12( 代替 ) - 8 - Copyright 2012-2015 FUJITSU LIMITED
番号項目内容 役割 DC(FSMO GC) DNS(fujitsu.local ゾーン ) 2 コンピュータ名 2003DC-2 IP アドレス 192.168.1.12 OS SP Windows Server 2003 R2 DNS 127.0.0.1 ( 優先 ) 192.168.1.11( 代替 ) 役割 DC(GC) DNS(fujitsu.local ゾーン ) 3 コンピュータ名 2012R2DC-1 IP アドレス 192.168.1.1 OS SP Windows Server 2012 R2 DNS 127.0.0.1 ( 優先 ) 192.168.1.12( 代替 ) 役割 DC(FSMO GC) DNS(fujitsu.local ゾーン ) 4 コンピュータ名 2012R2DC-2 IP アドレス 192.168.1.2 OS SP Windows Server 2012 R2 DNS 127.0.0.1 ( 優先 ) 192.168.1.11( 代替 ) 役割 DC(GC) DNS(fujitsu.local ゾーン ) 表 2 ドメインメンバサーバ / クライアントの設定内容 番号 項目 内容 5 コンピュータ名 2008R2File IP アドレス 192.168.1.50 OS SP Windows Server 2008 R2 DNS 192.168.1.11( 優先 ) 192.168.1.12( 代替 ) 役割 ファイルサーバ 6 コンピュータ名 WinVista IP アドレス 192.168.1.101 OS SP Windows Vista SP2 DNS 192.168.1.11( 優先 ) 192.168.1.12( 代替 ) 役割 なし 7 コンピュータ名 Win7 IP アドレス 192.168.1.102 OS SP Windows 7 SP1 DNS 192.168.1.11( 優先 ) 192.168.1.12( 代替 ) 役割 なし 8 コンピュータ名 Win8 IP アドレス 192.168.1.103 OS SP Windows 8 DNS 192.168.1.11( 優先 ) 192.168.1.12( 代替 ) 役割 なし - 9 - Copyright 2012-2015 FUJITSU LIMITED
3.2 移行手順移行方式 既存ドメインのバージョンアップ による ドメインの移行の詳細手順を紹介します Windows 2003 ドメインに Windows Server 2012 R2 の DC を追加した場合 コンピュータアカウントのパスワードが変更された後にログオンができなくなるという問題が発生します 詳細は以下のマイクロソフト社のサポート技術情報を参照してください Windows Server 2012 R2 と Windows Server 2003 の混在環境でのコンピューターアカウントのパスワードを変更した後にログオンできない https://support.microsoft.com/kb/2989971/ja この問題を未然に防ぐためには Windows Server 2012 R2 を DC として追加する前に以下のいずれかの対処を行う必要があります 対処 1 ( サポート技術情報 2989971 の修正プログラムを適用 ) DC として追加する Windows Server 2012 R2 に AD DS の役割を追加後 サポート技術情報 2989971 の修正プログラムを適用してから DC に昇格します サポート技術情報 2989971 の修正プログラムは AD DS の役割を追加することで適用できます 対処 2 ( サポート技術情報 2984006 の修正プログラムを適用 ) DC として追加する Windows Server 2012 R2 にサポート技術情報 2984006 の修正プログラムを適用してから DC に昇格します この修正プログラムは AD DS の役割を追加する前の状態でも適用できます サポート技術情報 2984006 は更新プログラムのロールアップ (2014 年 9 月 ) となり サポート技術情報 2989971 の修正プログラムが含まれています 詳細は以下のサポート技術情報を参照してください Windows RT 8.1 8.1 の Windows および Windows Server 2012 の R2 用の更新プログラムのロールアップ 2014 年 9 月 http://support.microsoft.com/kb/2984006/ja 上記の対処 1 および対処 2 を行うには サポート技術情報 2919355 の修正プログラムが適用されている必要があります 詳細は以下のサポート技術情報を参照してください Windows RT 8.1 Windows 8.1 および Windows Server 2012 R2 の更新プログラム : 2014 年 4 月 http://support.microsoft.com/kb/2919355 導入を行う前には 必ずマイクロソフト社の最新情報を確認してください - 10 - Copyright 2012-2015 FUJITSU LIMITED
3.2.1 ドメイン / フォレストの機能レベルの変更 Windows Server 2012 R2 の DC を既存ドメインに追加するには ドメインおよびフォレストの機能レベルが Windows Server 2003 以上である必要があります 以下の手順を実施し ドメインおよびフォレストの機能レベルを Windows Server 2003 に上げてください 既存ドメインのドメインおよびフォレストの機能レベルが Windows Server 2003 以上である場合には 3.2.2 Windows Server 2012 R2 の DC 追加 へ進んでください 1 ドメインの機能レベルを上げる 本手順は 2003DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 スタート 管理ツール Active Directory ドメインと信頼関係 をクリックします 3 Active Directory ドメインと信頼関係 が表示されます 左ペインの < ドメイン名 > を右クリックし ドメインの機能レベルを上げる をクリックします 4 ドメインの機能レベルを上げる が表示されます Windows Server 2003 を選択します 上げる をクリックします 5 右のメッセージが表示されます OK をクリックします - 11 - Copyright 2012-2015 FUJITSU LIMITED
6 右のメッセージが表示されます OK をクリックします 7 再度 手順 3 を実施し ドメインの機能レベルが Windows Server 2003 になっていることを確認します 2 フォレストの機能レベルを上げる 本手順は 2003DC-1 で行います 1 スタート 管理ツール Active Directory ドメインと信頼関係 をクリックします 2 Active Directory ドメインと信頼関係 が表示されます Active Directory ドメインと信頼関係 を右クリックし フォレストの機能レベルを上げる をクリックします 3 フォレストの機能レベルを上げる が表示されます Windows Server 2003 を選択します 上げる をクリックします - 12 - Copyright 2012-2015 FUJITSU LIMITED
4 右のメッセージが表示されます OK をクリックします 5 右のメッセージが表示されます OK をクリックします 6 再度 手順 2 を実施し フォレストの機能レベルが Windows Server 2003 になっていることを確認します - 13 - Copyright 2012-2015 FUJITSU LIMITED
3.2.2 Windows Server 2012 R2 の DC 追加 1 Active Directory ドメインサービスのインストール 本手順は 2012R2DC-1 2012R2DC-2 で行います POINT! 事前に Windows Server 2012 R2 の OS インストールが完了していることを前提とします なお DC 追加前に DNS サーバの役割をインストールしないでください 1 ローカル管理者権限でログオンします 2 サーバーマネージャー を起動します ダッシュボード を選択し 役割と機能の追加 をクリックします 3 役割と機能の追加ウィザード が表示されます 次へ をクリックします 4 インストールの種類の選択 が表示されます 役割ベースまたは機能ベースのインストール を選択し 次へ をクリックします - 14 - Copyright 2012-2015 FUJITSU LIMITED
5 対象サーバーの選択 が表示されます サーバープールからサーバーを選択 を選択します サーバープール から 2012R2DC-1 を選択し 次へ をクリックします 6 サーバーの役割の選択 が表示されます Active Directory ドメインサービス にチェックを入れます Active Directory ドメインサービスに必要な機能を追加しますか? のダイアログが表示されるので 機能の追加 をクリックします ダイアログが閉じたら 次へ をクリックします 7 機能の選択 が表示されます 次へ をクリックします - 15 - Copyright 2012-2015 FUJITSU LIMITED
8 Active Directory ドメインサービス が表示されます 次へ をクリックします 9 インストールオプションの確認 が表示されます インストール をクリックします 10 Active Directory ドメインサービスのインストールが開始します 完了するまで待機します 11 Active Directory ドメインサービスのインストールが完了すると 構成が必要です < サーバ名 > でインストールが正常に完了しました というメッセージが表示されます このサーバーをドメインコントローラーに昇格する をクリックします - 16 - Copyright 2012-2015 FUJITSU LIMITED
2 ドメインコントローラーへの昇格 本手順は 2012R2DC-1 2012R2DC-2 で行います 1 Active Directory ドメインサービス構成ウィザードが開始し 配置構成 が表示されます 既存のドメインにドメインコントローラーを追加する を選択します 次にドメインコントローラーを追加するドメインを選択します 選択 をクリックします POINT! 手順 1-11 で 役割と機能の追加ウィザード を閉じた場合は サーバーマネージャー の 通知 アイコンをクリックし このサーバーをドメインコントローラーに昇格する をクリックします 2 Windows セキュリティ が表示されます 追加先ドメインのドメイン管理者権限をもつアカウントとパスワードを入力します OK をクリックします 3 フォレストからのドメインの選択 が表示されます ドメインを選択し OK をクリックします - 17 - Copyright 2012-2015 FUJITSU LIMITED
4 ドメイン名と資格者情報が入力されたことを確認し 次へ をクリックします 5 ドメインコントローラーオプション が表示されます ドメインネームシステム (DNS) サーバー グローバルカタログ (GC) のチェックをオンにします サイト名 では リストからサイト名を選択します ディレクトリサービス復元モード (DSRM) のパスワードを入力します すべての設定が完了したら 次へ をクリックします POINT! 本シナリオでは Windows Server 2012 R2 の DC すべてを DNS サーバ グローバルカタログとして構築します 6 DNS オプション が表示されます 次へ をクリックします - 18 - Copyright 2012-2015 FUJITSU LIMITED
7 追加オプション が表示されます レプリケート元では 任意のドメインコントローラー を選択し 次へ をクリックします 8 パス が表示されます 次へ をクリックします 9 準備オプション が表示されます 次へ をクリックします 10 オプションの確認 が表示されます 次へ をクリックします - 19 - Copyright 2012-2015 FUJITSU LIMITED
11 前提条件のチェック が表示されます チェックが完了するまで待機します 12 チェックに問題がなければ すべての前提条件のチェックに合格しました [ インストール ] をクリックしてインストールを開始してください というメッセージが表示されます インストール をクリックします 13 インストール が表示されます Active Directory ドメインサービスの構成が完了すると サーバは自動的に再起動します 3.2.3 FSMO の転送 1 スキーママスタの転送 本手順は 2003DC-1 で行います 1 Schema Admins グループに所属するメンバか またはそれと同等の権限をもつメンバでログオンします 2 スタート ファイル名を指定して実行 をクリックします regsvr32 schmmgmt.dll と入力します OK をクリックします - 20 - Copyright 2012-2015 FUJITSU LIMITED
3 右のメッセージが表示されます OK をクリックします 4 スタート ファイル名を指定して実行 をクリックします mmc と入力します OK をクリックします 5 コンソール 1 が表示されます ファイル メニューから スナップインの追加と削除 をクリックします 6 スナップインの追加と削除 が表示されます 追加 をクリックします - 21 - Copyright 2012-2015 FUJITSU LIMITED
7 スタンドアロンスナップインの追加 が表示されます Active Directory スキーマ をクリックします 追加 をクリックします 閉じる をクリックします 8 スナップインの追加と削除 で OK をクリックします 9 コンソール 1 に Active Directory スキーマ が表示されます コンソールルート Active Directory スキーマ [< サーバ名 >] を右クリックし ドメインコントローラの変更 をクリックします 10 ドメインコントローラの変更 が表示されます 名前の指定 で 2012R2DC-1 の FQDN を入力します OK をクリックします - 22 - Copyright 2012-2015 FUJITSU LIMITED
11 コンソール 1 で コンソールルート Active Directory スキーマ [< サーバ名 >] を右クリックし 操作マスタ をクリックします 12 スキーママスタの変更 が表示されます 変更 をクリックします 13 右のメッセージが表示されます はい をクリックします 14 右のメッセージが表示されます OK をクリックします 15 スキーママスタの変更 で 閉じる をクリックします - 23 - Copyright 2012-2015 FUJITSU LIMITED
2 ドメイン名前付け操作マスタの転送 本手順は 2003DC-1 で行います 1 ドメイン管理者権限でログオンします 2 スタート 管理ツール Active Directory ドメインと信頼関係 をクリックします 3 Active Directory ドメインと信頼関係 が表示されます Active Directory ドメインと信頼関係 を右クリックし ドメインコントローラに接続 をクリックします 4 ドメインコントローラに接続 が表示されます 2012R2DC-1.fujitsu.local を選択します OK をクリックします - 24 - Copyright 2012-2015 FUJITSU LIMITED
5 Active Directory ドメインと信頼関係 で Active Directory ドメインと信頼関係 を右クリックし 操作マスタ をクリックします 6 操作マスタの変更 が表示されます 変更 をクリックします 7 右のメッセージが表示されます はい をクリックします 8 右のメッセージが表示されます OK をクリックします 9 操作マスタの変更 で 閉じる をクリックします - 25 - Copyright 2012-2015 FUJITSU LIMITED
3 インフラストラクチャマスタ PDC マスタ RID マスタの転送 本手順は 2003DC-1 で行います 1 ドメイン管理者権限でログオンします 2 スタート 管理ツール Active Directory ユーザーとコンピュータ をクリックします 3 Active Directory ユーザーとコンピュータ が表示されます Active Directory ユーザーとコンピュータ < ドメイン名 > を右クリックし ドメインコントローラに接続 をクリックします 4 ドメインコントローラに接続 が表示されます 2012R2DC-1.fujitsu.local を選択します OK をクリックします - 26 - Copyright 2012-2015 FUJITSU LIMITED
5 Active Directory ユーザーとコンピュータ で Active Directory ユーザーとコンピュータ < ドメイン名 > を右クリックし 操作マスタ をクリックします 6 操作マスタ が表示されます インフラストラクチャ タブをクリックします 変更 をクリックします 7 右のメッセージが表示されます はい をクリックします POINT! ドメイン内の全ての DC が グローバルカタログであるため 右のメッセージが表示されても問題ありません 8 右のメッセージが表示されます OK をクリックします - 27 - Copyright 2012-2015 FUJITSU LIMITED
9 操作マスタ で PDC タブをクリックします 変更 をクリックします 10 右のメッセージが表示されます はい をクリックします 11 右のメッセージが表示されます OK をクリックします 12 操作マスタ で RID タブをクリックします 変更 をクリックします 13 右のメッセージが表示されます はい をクリックします 14 右のメッセージが表示されます OK をクリックします - 28 - Copyright 2012-2015 FUJITSU LIMITED
15 操作マスタ で 閉じる をクリックします 3.2.4 Windows Server 2003 DC の降格 1 既存 DC の降格 本手順は 2003DC-1 2003DC-2 で行います 既存 DC の降格を行う場合 優先 DNS サーバのアドレスに新規 DC の IP アドレスを設定するように変更してください 既存 DC を設定したままの状態では DC の降格に失敗する場合があります 1 ドメイン管理者権限でログオンします 2 2003DC-1 で スタート ファイル名を指定して実行 を選択します dcpromo と入力します OK をクリックします 3 Active Directory のインストールウィザードの開始 が表示されます 次へ をクリックします 4 右のメッセージが表示されます OK をクリックします - 29 - Copyright 2012-2015 FUJITSU LIMITED
5 Active Directory の削除 が表示されます このサーバーはドメインの最後のドメインコントローラです のチェックがオフになっていることを確認します 次へ をクリックします 6 Administrator のパスワード が表示されます パスワードを入力します 次へ をクリックします 7 概要 が表示されます 次へ をクリックします 8 AD のアンインストールが実行されます 9 Active Directory のインストールウィザードの完了 が表示されます 完了 をクリックします - 30 - Copyright 2012-2015 FUJITSU LIMITED
10 右のメッセージが表示されます 再起動する をクリックし 再起動します 11 再起動後 2003DC-1 をドメインメンバーから外し ネットワーク上から撤去します 12 手順 1~ 手順 11 と同様の手順で 2003DC-2 を降格します 2 IP アドレスの変更 本手順は 2012R2DC-1 2012R2DC-2 で行います DC サーバでは ほとんどの場合 DNS サーバの役割を兼務します DC 兼 DNS サーバをドメインメンバサーバに降格した場合 ドメインメンバコンピュータの TCP/IP 設定によっては参照する DNS が存在しない状況になります このような場合 ドメインメンバコンピュータは Active Directory での認証要求が行えなくなります 本手順では 移行前の DC で使用していた IP アドレスを Windows Server 2012 R2 DC の IP アドレスとすることで これらの問題を解決します 以下のサーバで IP アドレスの変更を行います 表 3 IP アドレスの変更 サーバ 変更前の IP アドレス 変更後の IP アドレス 2012R2DC-1 192.168.1.1 192.168.1.11( 移行前の DC で使用していた IP アドレス ) 2012R2DC-2 192.168.1.2 192.168.1.12( 移行前の DC で使用していた IP アドレス ) DC の降格と IP アドレスの変更作業は ドメインメンバコンピュータへの影響が少ない業務時間外に実施することを推奨します POINT! DC 降格後に IP アドレスを変更する方法は 表 4 の方法が考えられます お客様の環境や要件に合わせて変更方法を選択してください - 31 - Copyright 2012-2015 FUJITSU LIMITED
表 4 IP アドレスの変更方法 IP アドレス変更方法説明 1 新規 DC の IP アドレスを変更新規 DC の IP アドレスを 移行前の DC で使用していた IP アドレスに変更します ドメインメンバコンピュータの TCP/IP 設定を変更する必要がないため 大規模な環境に最適な方法です 2ドメインメンバコンピュータのドメインメンバコンピュータの TCP/IP の設定で DNS TCP/IP 設定を変更サーバの IP アドレスを新規 DC のアドレスに変更します 全ドメインメンバコンピュータの設定変更が必要になります 静的に DNS の IP アドレスをドメイン内の全ドメインメンバコンピュータの TCP/IP 設定設定している場合を手動で変更する必要があります DHCP サーバで DNS サーバの IP アドレスを配布している場合 3.2.5 ドメイン / フォレストの機能レベルの変更 1 ドメイン機能レベルの変更 本手順は 2012R2DC-1 で行います 1 ドメイン管理者権限でログオンします 2 サーバーマネージャー を起動し ツール をクリックします Active Directory 管理センター をクリックします DHCP サーバのネットワークオプションで DNS サーバの IP アドレス情報を変更します ドメインメンバコンピュータでは DHCP サーバから DNS サーバの IP アドレス情報を再取得する必要があります 3 Active Directory 管理センター が表示されます < ドメイン名 > ( ローカル ) を選択し ドメインの機能レベルの昇格 をクリックします - 32 - Copyright 2012-2015 FUJITSU LIMITED
4 ドメインの機能レベルの昇格 が表示されます 利用可能なドメインの機能レベルを選択してください で Windows Server 2012 R2 を選択します OK をクリックします 5 右のメッセージが表示されます OK をクリックします 6 右のメッセージが表示されます OK をクリックします 7 再度 手順 3 を実行し ドメインの機能レベルが Windows Server 2012 R2 になっていることを確認します キャンセル をクリックします 2 フォレスト機能レベルの変更 本手順は 2012R2DC-1 で行います 1 Enterprise Admins グループに所属するメンバか またはそれと同等の権限をもつメンバでログオンします 2 サーバーマネージャー を起動し ツール をクリックします Active Directory 管理センター をクリックします - 33 - Copyright 2012-2015 FUJITSU LIMITED
3 Active Directory 管理センター が表示されます < ドメイン名 > ( ローカル ) を選択し フォレストの機能レベルの昇格 をクリックします 4 フォレストの機能レベルの昇格 が表示されます 利用可能なフォレストの機能レベルを選択してください で Windows Server 2012 R2 を選択します OK をクリックします 5 右のメッセージが表示されます OK をクリックします 6 右のメッセージが表示されます OK をクリックします 7 再度 手順 3 を実行し フォレストの機能レベルが Windows Server 2012 R2 になっていることを確認します キャンセル をクリックします 3.2.6 SYSVOL 複製方式の変更 Windows 2003 ドメインでは FRS(File Replication Service) を使用して SYSVOL を複製します Windows Server 2008 以降の DC では FRS の後継にあたる DFSR(Distributed File System Replication) を使用可能ですが Windows 2003 ドメインから Windows 2012 R2 ドメインに移行した場合 SYSVOL の複製には引き続き FRS が使用されます DFSR を使用するためには コマンドラインツールを使用して手動で変更する必要があります DFSR を使用することで複製によるネットワーク負荷を下げ より高速に SYSVOL の複製が可能になります 本手順は 2012R2DC-1 で行います - 34 - Copyright 2012-2015 FUJITSU LIMITED
1 現在の DFSR 移行のグローバル状態を取得します コマンドプロンプトで 以下を実行します dfsrmig /GetGlobalState 実行すると 右のメッセージが表示されます 2 DFSR 移行のグローバル状態を 開始 に設定します コマンドプロンプトで 以下を実行します dfsrmig /SetGlobalState 0 実行すると 右のメッセージが表示されます AD に DFSR に必要なオブジェクトやクラスが作成されます 3 現在の DFSR 移行のグローバル状態を取得します コマンドプロンプトで 以下を実行します dfsrmig /GetGlobalState 実行すると 右のメッセージが表示されます 4 グローバル状態が 開始 になっていることを確認します コマンドプロンプトで 以下を実行します dfsrmig /GetMigrationState 実行すると 右のメッセージが表示されます DFSR 移行がまだ初期化されていません 移行を開始するには グローバル状態を目的の値に設定してください DFSR の現在のグローバル状態 : 開始 新しい DFSR のグローバル状態 : 開始 無効な状態変更が要求されました DFSR の現在のグローバル状態 : 開始 成功しました すべてのドメインコントローラーがグローバル状態 ( 開始 ) に移行しました 移行状態が すべてのドメインコントローラー上で整合性のとれた状態になりました 成功しました 他のドメインコントローラーと整合性がとれていることを確認します - 35 - Copyright 2012-2015 FUJITSU LIMITED
5 DFSR 移行のグローバル状態を 準備完了 に設定します コマンドプロンプトで 以下を実行します dfsrmig /SetGlobalState 1 実行すると 右のメッセージが表示されます DFSR の現在のグローバル状態 : 開始 新しい DFSR のグローバル状態 : 準備完了 準備完了 状態に移行します DFSR サービスによって SYSVOL が SYSVOL_DFSR フォルダーにコピーされます 6 移行の準備状態をイベントログで確認します サーバーマネージャー を起動し ツール をクリックします イベントビューアー をクリックします いずれかの DC で移行を開始できない場合は 手動ポーリングを試行してください 移行は 15 分から 1 時間までの任意の時点で開始できます 成功しました - 36 - Copyright 2012-2015 FUJITSU LIMITED
7 イベントビューアー が表示されます イベントビューアー ( ローカル ) アプリケーションとサービスログ DFS Replication をクリックします イベント ID 8010( 移行準備開始 ) 8014 ( 移行準備完了 ) が表示されることを確認します 8 すべてのドメインコントローラーが移行準備完了になっているか確認します コマンドプロンプトで 以下を実行します dfsrmig /GetMigrationState 実行すると 右のメッセージが表示されます すべてのドメインコントローラーがグローバル状態 ( 準備完了 ) に移行しました 移行状態が すべてのドメインコントローラー上で整合性のとれた状態になりました 成功しました 移行準備が完了すると C: Windows 配下に SYSVOL_DFSR フォルダが作成され C: Windows SYSVOL から C: Windows SYSVOL_DFSR フォルダに 必要なファイルが複製されます - 37 - Copyright 2012-2015 FUJITSU LIMITED
9 DFSR 移行のグローバル状態を リダイレクト済み に設定します コマンドプロンプトで 以下を実行します dfsrmig /SetGlobalState 2 実行すると 右のメッセージが表示されます DFSR の現在のグローバル状態 : 準備完了 新しい DFSR のグローバル状態 : リダイレクト済み リダイレクト済み 状態に移行します SYSVOL 共有が DFSR を使用してレプリケートされた SYSVOL_DFSR フォルダーに変更されます 成功しました - 38 - Copyright 2012-2015 FUJITSU LIMITED
10 リダイレクトの状況をイベントログで確認します イベントビューアー ( ローカル ) アプリケーションとサービスログ DFS Replication をクリックします イベント ID 8015( リダイレクト処理開始 ) 8017 ( リダイレクト処理完了 ) が表示されることを確認します リダイレクト処理が完了すると DFSR の複製が開始され C:Windows SYSVOL_DFSR を複製します DFSR のグローバル状態が 削除済み となっていないため FRS 複製も実行されています - 39 - Copyright 2012-2015 FUJITSU LIMITED
11 DFSR のグローバル状態を 削除済み にします コマンドプロンプトで 以下を実行します dfsrmig /SetGlobalState 3 このコマンドを実行後は 複製フォルダを元に戻すことはできません 実行すると 右のメッセージが表示されます DFSR の現在のグローバル状態 : リダイレクト済み 新しい DFSR のグローバル状態 : 削除済み 削除済み 状態に移行します このステップを元に戻すことはできません いずれかの RODC が長時間にわたって 削除済み 状態になっている場合は /DeleteRoNtfrsMembers オプションを指定して実行してください 成功しました - 40 - Copyright 2012-2015 FUJITSU LIMITED
12 削除済みになったことを イベントログで確認します イベントビューアー ( ローカル ) アプリケーションとサービスログ DFS Replication をクリックします イベント ID 8018( 削除済み開始 ) 8019( 削除済みリダイレクト処理完了 ) が表示されることを確認します 13 以下のコマンドを実行し 他のドメインコントローラーも 削除済み になったかどうかを確認します コマンドプロンプトで 以下を実行します dfsrmig /GetMigrationState 実行すると 右のメッセージが表示されます すべてのドメインコントローラーがグローバル状態 ( 削除済み ) に移行しました 移行状態が すべてのドメインコントローラー上で整合性のとれた状態になりました 成功しました 以上でドメイン移行作業は完了です 移行完了後は稼働確認を行ってください - 41 - Copyright 2012-2015 FUJITSU LIMITED
4 既存ドメインのバージョンアップ手順 (Windows 2008/2008 R2 ドメイン ) 本章では 富士通が推奨する移行方式 既存ドメインのバージョンアップ を選択して Windows 2008/2008 R2 ドメインから Windows 2012 R2 ドメインへ移行する手順を紹介します POINT! 本書では Windows 2012 R2 ドメインへの移行手順を紹介していますが Windows 2012 ドメインへの移行手順も同様となります また 既存ドメインは Windows 2008 ドメインでの手順を紹介していますが Windows 2008 R2 ドメインでも同様の手順となります 4.1 移行環境本章で紹介する移行手順は 以下の環境における移行を想定しています 図 2 既存ドメインのバージョンアップ の移行環境 - 42 - Copyright 2012-2015 FUJITSU LIMITED
図 2 のサーバ / クライアントの設定内容を 次の表に示します ( 表 5 表 6) 表 5 DC サーバの設定内容 番号 項目 内容 1 コンピュータ名 2008DC-1 IP アドレス 192.168.1.21 OS SP Windows Server 2008 DNS 127.0.0.1( 優先 ) 192.168.1.22( 代替 ) 役割 DC(FSMO GC) DNS(fujitsu.local ゾーン ) 2 コンピュータ名 2008DC-2 IP アドレス 192.168.1.22 OS SP Windows Server 2008 DNS 127.0.0.1 ( 優先 ) 192.168.1.21( 代替 ) 役割 DC(GC) DNS(fujitsu.local ゾーン ) 3 コンピュータ名 2012R2DC-1 IP アドレス 192.168.1.1 OS SP Windows Server 2012 R2 DNS 127.0.0.1 ( 優先 ) 192.168.1.22( 代替 ) 役割 DC(FSMO GC) DNS(fujitsu.local ゾーン ) 4 コンピュータ名 2012R2DC-2 IP アドレス 192.168.1.2 OS SP Windows Server 2012 R2 DNS 127.0.0.1 ( 優先 ) 192.168.1.21( 代替 ) 役割 DC(GC) DNS(fujitsu.local ゾーン ) 表 6 ドメインメンバサーバ / クライアントの設定内容 番号 項目 内容 5 コンピュータ名 2008R2File IP アドレス 192.168.1.50 OS SP Windows Server 2008 R2 DNS 192.168.1.21( 優先 ) 192.168.1.22( 代替 ) 役割 ファイルサーバ 6 コンピュータ名 WinVista IP アドレス 192.168.1.101 OS SP Windows Vista SP2 DNS 192.168.1.21( 優先 ) 192.168.1.22( 代替 ) 役割 なし 7 コンピュータ名 Win7 IP アドレス 192.168.1.102 OS SP Windows 7 SP1 DNS 192.168.1.21( 優先 ) 192.168.1.22( 代替 ) 役割 なし 8 コンピュータ名 Win8 IP アドレス 192.168.1.103 OS SP Windows 8 DNS 192.168.1.21( 優先 ) 192.168.1.22( 代替 ) 役割 なし - 43 - Copyright 2012-2015 FUJITSU LIMITED
4.2 移行手順移行方式 既存ドメインのバージョンアップ による ドメインの移行の詳細手順を紹介します 4.2.1 ドメイン / フォレストの機能レベルの変更 Windows Server 2012 R2 の DC を既存ドメインに追加するには ドメインおよびフォレストの機能レベルが Windows Server 2003 以上である必要があります 以下の手順を実施し ドメインおよびフォレストの機能レベルを Windows Server 2008 に上げてください 既存ドメインのドメインおよびフォレストの機能レベルが Windows Server 2003 以上である場合には 4.2.2 Windows Server 2012 R2 の DC 追加 へ進んでください 1 ドメインの機能レベルを上げる 本手順は 2008DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 スタート 管理ツール Active Directory ドメインと信頼関係 をクリックします 3 Active Directory ドメインと信頼関係 が表示されます 左ペインの < ドメイン名 > を右クリックし ドメインの機能レベルを上げる をクリックします 4 ドメインの機能レベルを上げる が表示されます Windows Server 2008 を選択します 上げる をクリックします - 44 - Copyright 2012-2015 FUJITSU LIMITED
5 右のメッセージが表示されます OK をクリックします 6 右のメッセージが表示されます OK をクリックします 7 再度 手順 3 を実施し ドメインの機能レベルが Windows Server 2008 になっていることを確認します 2 フォレストの機能レベルを上げる 本手順は 2008DC-1 で行います 1 スタート 管理ツール Active Directory ドメインと信頼関係 をクリックします 2 Active Directory ドメインと信頼関係 が表示されます Active Directory ドメインと信頼関係 を右クリックし フォレストの機能レベルを上げる をクリックします - 45 - Copyright 2012-2015 FUJITSU LIMITED
3 フォレストの機能レベルを上げる が表示されます Windows Server 2008 を選択します 上げる をクリックします 4 右のメッセージが表示されます OK をクリックします 5 右のメッセージが表示されます OK をクリックします 6 再度 手順 2 を実施し フォレストの機能レベルが Windows Server 2008 になっていることを確認します - 46 - Copyright 2012-2015 FUJITSU LIMITED
4.2.2 Windows Server 2012 R2 の DC 追加 1 Active Directory ドメインサービスのインストール 本手順は 2012R2DC-1 2012R2DC-2 で行います POINT! 事前に Windows Server 2012 R2 の OS インストールが完了していることを前提とします なお DC 追加前に DNS サーバの役割をインストールしないでください 1 ローカル管理者権限でログオンします 2 サーバーマネージャー を起動します ダッシュボード を選択し 役割と機能の追加 をクリックします 3 役割と機能の追加ウィザード が表示されます 次へ をクリックします 4 インストールの種類の選択 が表示されます 役割ベースまたは機能ベースのインストール を選択し 次へ をクリックします - 47 - Copyright 2012-2015 FUJITSU LIMITED
5 対象サーバーの選択 が表示されます サーバープールからサーバーを選択 を選択します サーバープール から 2012R2DC-1 を選択し 次へ をクリックします 6 サーバーの役割の選択 が表示されます Active Directory ドメインサービス にチェックを入れます Active Directory ドメインサービスに必要な機能を追加しますか? のダイアログが表示されるので 機能の追加 をクリックします ダイアログが閉じたら 次へ をクリックします 7 機能の選択 が表示されます 次へ をクリックします - 48 - Copyright 2012-2015 FUJITSU LIMITED
8 Active Directory ドメインサービス が表示されます 次へ をクリックします 9 インストールオプションの確認 が表示されます インストール をクリックします 10 Active Directory ドメインサービスのインストールが開始します 完了するまで待機します 11 Active Directory ドメインサービスのインストールが完了すると 構成が必要です < サーバ名 > でインストールが正常に完了しました というメッセージが表示されます このサーバーをドメインコントローラーに昇格する をクリックします - 49 - Copyright 2012-2015 FUJITSU LIMITED
2 ドメインコントローラーへの昇格 本手順は 2012R2DC-1 2012R2DC-2 で行います 1 Active Directory ドメインサービス構成ウィザードが開始し 配置構成 が表示されます 既存のドメインにドメインコントローラーを追加する を選択します 次にドメインコントローラーを追加するドメインを選択します 選択 をクリックします POINT! 手順 1-11 で 役割と機能の追加ウィザード を閉じた場合は サーバーマネージャー の 通知 アイコンをクリックし このサーバーをドメインコントローラーに昇格する をクリックします 2 Windows セキュリティ が表示されます 追加先既存ドメインのドメイン管理者権限をもつアカウントとパスワードを入力します OK をクリックします 3 フォレストからのドメインの選択 が表示されます ドメインを選択し OK をクリックします - 50 - Copyright 2012-2015 FUJITSU LIMITED
4 ドメイン名と資格者情報が入力されたことを確認し 次へ をクリックします 5 ドメインコントローラーオプション が表示されます ドメインネームシステム (DNS) サーバー グローバルカタログ (GC) のチェックをオンにします サイト名 では リストからサイト名を選択します ディレクトリサービス復元モード (DSRM) のパスワードを入力します すべての設定が完了したら 次へ をクリックします POINT! 本シナリオでは Windows Server 2012 R2 の DC すべてを DNS サーバ グローバルカタログとして構築します 6 DNS オプション が表示されます 次へ をクリックします - 51 - Copyright 2012-2015 FUJITSU LIMITED
7 追加オプション が表示されます レプリケート元では 任意のドメインコントローラー を選択し 次へ をクリックします 8 パス が表示されます 次へ をクリックします 9 準備オプション が表示されます 次へ をクリックします 10 オプションの確認 が表示されます 次へ をクリックします - 52 - Copyright 2012-2015 FUJITSU LIMITED
11 前提条件のチェック が表示されます チェックが完了するまで待機します 12 チェックに問題がなければ すべての前提条件のチェックに合格しました [ インストール ] をクリックしてインストールを開始してください というメッセージが表示されます インストール をクリックします 13 インストール が表示されます Active Directory ドメインサービスの構成が完了すると サーバは自動的に再起動します - 53 - Copyright 2012-2015 FUJITSU LIMITED
4.2.3 FSMO の転送 1 スキーママスタの転送 本手順は 2008DC-1 で行います 1 Schema Admins グループに所属するメンバか またはそれと同等の権限をもつメンバでログオンします 2 スタート ファイル名を指定して実行 をクリックします regsvr32 schmmgmt.dll と入力します OK をクリックします 3 右のメッセージが表示されます OK をクリックします 4 スタート ファイル名を指定して実行 をクリックします mmc と入力します OK をクリックします 5 コンソール 1 が表示されます ファイル メニューから スナップインの追加と削除 をクリックします - 54 - Copyright 2012-2015 FUJITSU LIMITED
6 スナップインの追加と削除 が表示されます Active Directory スキーマ を選択し 追加 をクリックします 7 選択されたスナップイン に Active Directory スキーマ が追加されたことを確認します OK をクリックします 8 コンソールルート Active Directory スキーマ [< サーバ名 >] を右クリックし Active Directory ドメインコントローラの変更 をクリックします 9 ディレクトリサーバーの変更 が表示されます 変更先 : で 次のドメインコントローラまたは AD LDS インスタンス を選択します 2012R2DC-1 を選択し OK をクリックします 10 OK をクリックします - 55 - Copyright 2012-2015 FUJITSU LIMITED
11 コンソールルート Active Directory スキーマ [< サーバ名 >] を右クリックし 操作マスタ をクリックします 12 スキーママスタの変更 が表示されます 変更 をクリックします 13 右のメッセージが表示されます はい をクリックします 14 右のメッセージが表示されます OK をクリックします 15 スキーママスタの変更 で 閉じる をクリックします - 56 - Copyright 2012-2015 FUJITSU LIMITED
2 ドメイン名前付け操作マスタの転送 本手順は 2008DC-1 で行います 1 ドメイン管理者権限でログオンします 2 スタート 管理ツール Active Directory ドメインと信頼関係 をクリックします 3 Active Directory ドメインと信頼関係 が表示されます Active Directory ドメインと信頼関係 を右クリックし Active Directory ドメインコントローラの変更 をクリックします 4 ディレクトリサーバーの変更 が表示されます 変更先 : で 次のドメインコントローラまたは AD LDS インスタンス を選択します 2012R2DC-1 を選択し OK をクリックします 5 Active Directory ドメインと信頼関係 を右クリックし 操作マスタ をクリックします - 57 - Copyright 2012-2015 FUJITSU LIMITED
6 操作マスタ が表示されます 変更 をクリックします 7 右のメッセージが表示されます はい をクリックします 8 右のメッセージが表示されます OK をクリックします 9 操作マスタ で 閉じる をクリックします 3 インフラストラクチャマスタ PDC マスタ RID マスタの転送 本手順は 2008DC-1 で行います 1 ドメイン管理者権限でログオンします 2 スタート 管理ツール Active Directory ユーザーとコンピュータ をクリックします - 58 - Copyright 2012-2015 FUJITSU LIMITED
3 Active Directory ユーザーとコンピュータ が表示されます Active Directory ユーザーとコンピュータ < ドメイン名 > を右クリックし ドメインコントローラの変更 をクリックします 4 ディレクトリサーバーの変更 が表示されます 変更先 : で 次のドメインコントローラまたは AD LDS インスタンス を選択します 2012R2DC-1 を選択し OK をクリックします 5 Active Directory ユーザーとコンピュータ で Active Directory ユーザーとコンピュータ < ドメイン名 > を右クリックし 操作マスタ をクリックします 6 操作マスタ が表示されます インフラストラクチャ タブをクリックします 変更 をクリックします - 59 - Copyright 2012-2015 FUJITSU LIMITED
7 右のメッセージが表示されます はい をクリックします POINT! ドメイン内の全ての DC が グローバルカタログであるため 右のメッセージが表示されても問題ありません 8 右のメッセージが表示されます OK をクリックします 9 操作マスタ で PDC タブをクリックします 変更 をクリックします 10 右のメッセージが表示されます はい をクリックします 11 右のメッセージが表示されます OK をクリックします - 60 - Copyright 2012-2015 FUJITSU LIMITED
12 操作マスタ で RID タブをクリックします 変更 をクリックします 13 右のメッセージが表示されます はい をクリックします 14 右のメッセージが表示されます OK をクリックします 15 操作マスタ で 閉じる をクリックします - 61 - Copyright 2012-2015 FUJITSU LIMITED
4.2.4 Windows Server 2008 DC の降格 1 既存 DC の降格 本手順は 2008DC-1 2008DC-2 で行います 1 ドメイン管理者権限でログオンします 2 2008DC-1 で スタート ファイル名を指定して実行 を選択します dcpromo と入力します OK をクリックします 3 Active Directory ドメインサービスインストールウィザードの開始 が表示されます 次へ をクリックします 4 右のメッセージが表示されます OK をクリックします 5 ドメインの削除 が表示されます このサーバーはドメインの最後のドメインコントローラなので ドメインを削除する のチェックが入っていないことを確認します 次へ をクリックします - 62 - Copyright 2012-2015 FUJITSU LIMITED
6 Administrator のパスワード が表示されます パスワードを入力します 次へ をクリックします 7 概要 が表示されます 次へ をクリックします 8 AD のアンインストールが実行されます 9 Active Directory のインストールウィザードの完了 が表示されます 完了 をクリックします - 63 - Copyright 2012-2015 FUJITSU LIMITED
10 右のメッセージが表示されます 再起動する をクリックし 再起動します 11 再起動後 2008DC-1 をドメインメンバーから外し ネットワーク上から撤去します 12 手順 1~ 手順 11 と同様の手順で 2008DC-2 を降格します 2 IP アドレスの変更 本手順は 2012R2DC-1 2012R2DC-2 で行います DC サーバでは ほとんどの場合 DNS サーバの役割を兼務します DC 兼 DNS サーバをドメインメンバサーバに降格した場合 ドメインメンバコンピュータの TCP/IP 設定によっては参照する DNS が存在しない状況になります このような場合 ドメインメンバコンピュータは Active Directory での認証要求が行えなくなります 本手順では 移行前の DC で使用していた IP アドレスを Windows Server 2012 R2 DC の IP アドレスとすることで これらの問題を解決します 以下のサーバで IP アドレスの変更を行います 表 7 IP アドレスの変更 サーバ 変更前の IP アドレス 変更後の IP アドレス 2012R2DC-1 192.168.1.1 192.168.1.21( 移行前の DC で使用していた IP アドレス ) 2012R2DC-2 192.168.1.2 192.168.1.22( 移行前の DC で使用していた IP アドレス ) DC の降格と IP アドレスの変更作業は ドメインメンバコンピュータへの影響が少ない業務時間外に実施することを推奨します POINT! DC 降格後に IP アドレスを変更する方法は 表 8 の方法が考えられます お客様の環境や要件に合わせて変更方法を選択してください - 64 - Copyright 2012-2015 FUJITSU LIMITED
表 8 IP アドレスの変更方法 IP アドレス変更方法説明 1 新規 DC の IP アドレスを変更新規 DC の IP アドレスを 移行前の DC で使用していた IP アドレスに変更します ドメインメンバコンピュータの TCP/IP 設定を変更する必要がないため 大規模な環境に最適な方法です 2ドメインメンバコンピュータのドメインメンバコンピュータの TCP/IP の設定で DNS TCP/IP 設定を変更サーバの IP アドレスを新規 DC のアドレスに変更します 全ドメインメンバコンピュータの設定変更が必要になります 静的に DNS の IP アドレスをドメイン内の全ドメインメンバコンピュータの TCP/IP 設定設定している場合を手動で変更する必要があります DHCP サーバで DNS サーバの IP アドレスを配布している場合 4.2.5 ドメイン / フォレストの機能レベルの変更 1 ドメイン機能レベルの変更 本手順は 2012R2DC-1 で行います 1 ドメイン管理者権限でログオンします 2 サーバーマネージャー を起動し ツール をクリックします Active Directory 管理センター をクリックします DHCP サーバのネットワークオプションで DNS サーバの IP アドレス情報を変更します ドメインメンバコンピュータでは DHCP サーバから DNS サーバの IP アドレス情報を再取得する必要があります 3 Active Directory 管理センター が表示されます < ドメイン名 > ( ローカル ) を選択し ドメインの機能レベルの昇格 をクリックします - 65 - Copyright 2012-2015 FUJITSU LIMITED
4 ドメインの機能レベルの昇格 が表示されます 利用可能なドメインの機能レベルを選択してください で Windows Server 2012 R2 を選択します OK をクリックします 5 右のメッセージが表示されます OK をクリックします 6 右のメッセージが表示されます OK をクリックします 7 再度 手順 3 を実行し ドメインの機能レベルが Windows Server 2012 R2 になっていることを確認します キャンセル をクリックします 2 フォレスト機能レベルの変更 本手順は 2012R2DC-1 で行います 1 Enterprise Admins グループに所属するメンバか またはそれと同等の権限をもつメンバでログオンします 2 サーバーマネージャー を起動し ツール をクリックします Active Directory 管理センター をクリックします - 66 - Copyright 2012-2015 FUJITSU LIMITED
3 Active Directory 管理センター が表示されます < ドメイン名 > ( ローカル ) を選択し フォレストの機能レベルの昇格 をクリックします 4 フォレストの機能レベルの昇格 が表示されます 利用可能なフォレストの機能レベルを選択してください で Windows Server 2012 R2 を選択します OK をクリックします 5 右のメッセージが表示されます OK をクリックします 6 右のメッセージが表示されます OK をクリックします 7 再度 手順 3 を実行し フォレストの機能レベルが Windows Server 2012 R2 になっていることを確認します キャンセル をクリックします 以上でドメイン移行作業は完了です 移行完了後は稼働確認を行ってください - 67 - Copyright 2012-2015 FUJITSU LIMITED
5 新規ドメイン構築 & アカウント移行手順本章では 移行方式 新規ドメイン構築 & アカウント移行 を選択して Windows 2003 ドメインから Windows 2012R2 ドメインへ移行する手順を紹介します 本手順では ADMT を使用しています ADMT は DC にインストールすることは可能ですが Server Core インストールや RODC(Read-Only Domain Controller) として構成したサーバにはインストールすることができません POINT! 本書では Windows 2012 R2 ドメインへの移行手順を紹介していますが Windows 2012 ドメインへの移行手順も同様となります 5.1 移行環境本章で紹介する移行手順は 以下の環境における移行を想定しています 図 3 既存ドメインのバージョンアップ の移行環境 既存ドメイン (fujitsu.local) とは別に 新規ドメイン (fujitsu2.co.jp) を別フォレストとして作成し ユーザアカウント コンピュータアカウントを移行します ユーザアカウントの移行時に SID もあわせて移行することで 新規ドメインに移行したアカウントで 引き続き既存ドメインのリソース ( ファイルサーバなど ) にアクセスできます 本書では以下のアカウントを移行対象とします ユーザアカウント コンピュータアカウント User-2008R2File 2008R2File User- Win7 Win7 User-Win8 Win8-68 - Copyright 2012-2015 FUJITSU LIMITED
図 3 のサーバ / クライアントの設定内容を 次の表に示します ( 表 9 表 10) 表 9 DC サーバの設定内容 番号 項目 内容 1 コンピュータ名 2003DC-1 IP アドレス 192.168.1.11 OS SP Windows Server 2003 R2 SP2 DNS 127.0.0.1( 優先 ) 192.168.1.12( 代替 ) 役割 DC(FSMO GC) DNS(fujitsu.local ゾーン ) 2 コンピュータ名 2003DC-2 IP アドレス 192.168.1.12 OS SP Windows Server 2003 R2 SP2 DNS 127.0.0.1 ( 優先 ) 192.168.1.11( 代替 ) 役割 DC(GC) DNS(fujitsu.local ゾーン ) 3 コンピュータ名 2012R2DC-1 IP アドレス 192.168.1.1 OS SP Windows Server 2012 R2 DNS 127.0.0.1 ( 優先 ) 192.168.1.2( 代替 ) 役割 DC(FSMO GC) DNS(fujitsu2.co.jp ゾーン ) 4 コンピュータ名 2012R2DC-2 IP アドレス 192.168.1.2 OS SP Windows Server 2012 R2 DNS 127.0.0.1 ( 優先 ) 192.168.1.1( 代替 ) 役割 DC(GC) DNS(fujitsu2.co.jp ゾーン ) 表 10 ドメインメンバサーバ / クライアントの設定内容 番号 項目 内容 5 コンピュータ名 2008R2File IP アドレス 192.168.1.50 OS SP Windows Server 2008 R2 SP1 DNS 192.168.1.11( 優先 ) 192.168.1.12( 代替 ) 役割 ファイルサーバ 6 コンピュータ名 Win7 IP アドレス 192.168.1.101 OS SP Windows 7 SP1 DNS 192.168.1.11( 優先 ) 192.168.1.12( 代替 ) 役割 なし 7 コンピュータ名 Win8 IP アドレス 192.168.1.102 OS SP Windows 8 DNS 192.168.1.11( 優先 ) 192.168.1.12( 代替 ) 役割 なし 8 コンピュータ名 2012R2ADMT IP アドレス 192.168.1.150 OS SP Windows Server 2012 R2 DNS 192.168.1.1( 優先 ) 192.168.1.2( 代替 ) 役割 ADMT サーバ - 69 - Copyright 2012-2015 FUJITSU LIMITED
5.2 移行手順移行方式 新規ドメイン構築 & アカウント移行 による ドメインの移行の詳細手順を紹介します 5.2.1 新規ドメインの構築 本手順は 2012R2DC-1 で行います Windows Server 2012 R2 で新規にドメインを構築します ADMT v3.2 を使用した移行では 新規ドメインの機能レベルが以下のいずれかである必要があります Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 下位の機能レベルは移行期間中に使用するものであり ドメインまたはフォレスト内に古いバージョンの DC を設置する必要がない場合は 機能レベルを Windows Server 2012 R2 にすることを推奨します 5.2.2 信頼関係の構築既存ドメインと新規ドメインの間で信頼関係を構築します 信頼関係を構築するために 既存 / 新規ドメインの DNS サーバで以下のゾーン情報をもつ必要があります 既存ドメインの DNS サーバ : 新規ドメインの DNS ゾーン情報 新規ドメインの DNS サーバ : 既存ドメインの DNS ゾーン情報 DNS ゾーンは セカンダリゾーン として作成し ゾーン転送を行います 信頼関係は一方向だけでも移行は可能ですが 移行時の手順が煩雑になるため 本書では双方向の信頼関係を構築する手順を紹介します 1 DNS サーバの指定 TCP/IP の設定で 既存ドメインの DC では新規ドメインの DNS サーバを 新規ドメインの DC では既存ドメインの DNS サーバを指定します 本手順は 2003DC-1 で行います 1 インターネットプロトコル (TCP/IP) のプロパティ を表示します 代替 DNS サーバー に 新規ドメインの DNS サーバの IP アドレスを入力します - 70 - Copyright 2012-2015 FUJITSU LIMITED
本手順は 2012R2DC-1 で行います 1 インターネットプロトコルバージョン 4 (TCP/IPv4) のプロパティ を表示します 代替 DNS サーバー に 既存ドメインの DNS サーバの IP アドレスを入力します 2 既存ドメインのゾーンの転送の許可設定既存ドメインの DNS サーバでゾーン転送の許可の設定を行います 本手順は 2003DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 ローカル管理者権限でサーバにログオンします スタート 管理ツール DNS をクリックします 3 dnsmgmt が表示されます 左ペインの DNS - <DNS サーバ名 > - 前方参照ゾーン - < 既存ドメインのゾーン名 > を右クリックし プロパティ をクリックします - 71 - Copyright 2012-2015 FUJITSU LIMITED
4 < 既存ドメインのゾーン名 > のプロパティ が表示されます ゾーンの転送 タブを選択します ゾーン転送を許可するサーバー にチェックを入れます 次のサーバーのみ を選択します IP アドレス に新規ドメインの DNS サーバの IP アドレスを入力し 追加 をクリックします IP アドレス の下のテキストボックスに入力した IP アドレスが表示されたら OK をクリックします 3 新規ドメインのゾーンの転送の許可設定新規ドメインの DNS サーバでゾーン転送の許可の設定を行います 本手順は 2012R2DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 サーバーマネージャー を起動し ツール をクリックします DNS をクリックします 3 DNS マネージャー が表示されます 左ペインの DNS - <DNS サーバ名 > - 前方参照ゾーン - < 新規ドメインのゾーン名 > を右クリックし プロパティ をクリックします - 72 - Copyright 2012-2015 FUJITSU LIMITED
4 < 新規ドメインのゾーン名 > のプロパティ が表示されます ゾーンの転送 タブを選択します ゾーン転送を許可するサーバー にチェックを入れます 次のサーバーのみ を選択します 編集 をクリックします 5 ゾーン転送を許可する が表示されます < ここをクリックして IP アドレスまたは DNS 名を追加してください > に既存ドメインの DNS サーバの IP アドレスを入力します OK をクリックします IP アドレス入力後に 一度別の場所をポイントしてください 入力した IP アドレスの検証が行われ OK がクリック可能になります この時点では 検証結果は NG となりますが 問題ありません - 73 - Copyright 2012-2015 FUJITSU LIMITED
6 OK をクリックします 4 既存ドメインの DNS サーバにセカンダリゾーンを作成既存ドメインの DNS サーバで新規ドメインのセカンダリゾーンを作成します 本手順は 2003DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 スタート 管理ツール DNS をクリックします 3 dnsmgr が表示されます 左ペインの DNS - <DNS サーバ名 > - 前方参照ゾーン を右クリックし 新しいゾーン をクリックします - 74 - Copyright 2012-2015 FUJITSU LIMITED
4 新しいゾーンウィザードの開始 が表示されます 次へ をクリックします 5 ゾーンの種類 が表示されます セカンダリゾーン を選択します 次へ をクリックします 6 ゾーン名 が表示されます ゾーン名 に新規ドメインのゾーン名を入力します 次へ をクリックします 7 マスタ DNS サーバー が表示されます IP アドレス に新規ドメインの DNS サーバの IP アドレスを入力します 次へ をクリックします - 75 - Copyright 2012-2015 FUJITSU LIMITED
8 新しいゾーンウィザードの完了 が表示されます 完了 をクリックします 9 dnsmgr の DNS - <DNS サーバ名 > - 前方参照ゾーン に新規ドメインのゾーン ( セカンダリゾーン ) が作成され ゾーン情報が転送されていることを確認します ゾーン情報が転送されるまで 数分時間がかかることがあります 5 新規ドメインの DNS サーバにセカンダリゾーンを作成 新規ドメインの DNS サーバで既存ドメインのセカンダリゾーンを作成します 本手順は 2012R2DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 サーバーマネージャー を起動し ツール をクリックします DNS をクリックします - 76 - Copyright 2012-2015 FUJITSU LIMITED
3 DNS マネージャー が表示されます 左ペインの DNS - <DNS サーバ名 > - 前方参照ゾーン を右クリックし 新しいゾーン をクリックします 4 新しいゾーンウィザードの開始 が表示されます 次へ をクリックします 5 ゾーンの種類 が表示されます セカンダリゾーン を選択します 次へ をクリックします 6 ゾーン名 が表示されます ゾーン名 に既存ドメインのゾーン名を入力します 次へ をクリックします - 77 - Copyright 2012-2015 FUJITSU LIMITED
7 マスター DNS サーバー が表示されます IP アドレス に既存ドメインの DNS サーバの IP アドレスを入力します 追加 をクリックします IP アドレス の下のテキストボックスに入力した IP アドレスが表示されます 次へ をクリックします 8 新しいゾーンウィザードの完了 が表示されます 完了 をクリックします 9 DNS マネージャー の DNS - <DNS サーバ名 > - 前方参照ゾーン に既存ドメインのゾーン ( セカンダリゾーン ) が作成され ゾーン情報が転送されていることを確認します ゾーン情報が転送されるまで 数分時間がかかることがあります - 78 - Copyright 2012-2015 FUJITSU LIMITED
6 信頼関係の構築 既存ドメインと新規ドメインの間に 外部の信頼 を双方向に構築します 本手順は 2012R2DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 サーバーマネージャー を起動し ツール をクリックします Active Directory ドメインと信頼関係 をクリックします 3 Active Directory ドメインと信頼関係 が表示されます 左ペインの Active Directory ドメインと信頼関係 - < 新規ドメイン名 > を右クリックし プロパティ をクリックします 4 < 新規ドメイン名 > のプロパティ が表示されます 信頼 タブを選択します 新しい信頼 をクリックします - 79 - Copyright 2012-2015 FUJITSU LIMITED
5 新しい信頼ウィザードの開始 が表示されます 次へ をクリックします 6 信頼の名前 が表示されます 名前 に既存ドメイン名を入力します 次へ をクリックします 7 信頼の種類 が表示されます 外部の信頼 を選択します 次へ をクリックします 8 信頼の方向 が表示されます 双方向 を選択します 次へ をクリックします - 80 - Copyright 2012-2015 FUJITSU LIMITED
9 信頼の方向 が表示されます このドメインと指定されたドメインの両方 を選択します 次へ をクリックします 10 ユーザー名とパスワード が表示されます 既存ドメインのドメイン管理者アカウントとパスワードを入力します 次へ をクリックします 11 出力方向の信頼認証レベル -- ローカルドメイン が表示されます ドメイン全体の認証 を選択します 次へ をクリックします 12 出力方向の信頼認証レベル 指定されたドメイン が表示されます ドメイン全体の認証 を選択します 次へ をクリックします - 81 - Copyright 2012-2015 FUJITSU LIMITED
13 信頼の選択の完了 が表示されます 次へ をクリックします 14 信頼の作成完了 が表示されます 次へ をクリックします 15 出力方向の信頼の確認 が表示されます 確認する を選択します 次へ をクリックします 16 入力方向の信頼の確認 が表示されます 確認する を選択します 次へ をクリックします - 82 - Copyright 2012-2015 FUJITSU LIMITED
17 新しい信頼ウィザードの完了 が表示されます 完了 をクリックします 18 Active Directory ドメインサービス が表示されます OK をクリックします 19 < 新規ドメイン名 > のプロパティ で OK をクリックします - 83 - Copyright 2012-2015 FUJITSU LIMITED
5.2.3 ADMT サーバの構築 ADMT は新規ドメインのメンバで Windows Server 2012 R2 を実行するサーバにインストールします DC に ADMT をインストールすることも可能ですが 本書では ADMT 用のメンバサーバを新規に構築する手順を紹介します 本手順は 2012R2ADMT で行います 1 Windows Server 2012 R2 インストールと初期設定 Windows Server 2012 R2 インストール Windows Server 2012 R2 をインストールします ADMT は Server Core インストールや RODC(Read-Only Domain Controller) として構成したサーバにはインストールできません ネットワーク設定 TCP/IP の設定で 既存ドメインと新規ドメインの DNS サーバを設定します 1 インターネットプロトコルバージョン 4 (TCP/IPv4) のプロパティ では 優先 DNS サーバー に新規ドメインの DNS サーバの IP アドレスを入力します 代替 DNS サーバー には既存ドメインの DNS サーバの IP アドレスを入力します - 84 - Copyright 2012-2015 FUJITSU LIMITED
新規ドメインへの参加 1 新規ドメインに参加します 2 SQL Server のインストール ADMT v3.2 を使用する場合は 基になるデータベースストアとして SQL Server のインスタンスを事前に構成しておく必要があります 本書では SQL Server 2012 Express を使用する手順を紹介します SQL Server 2012 Express は以下 URL よりダウンロードします Microsoft SQL Server 2012 Service Pack 1 (SP1) Express http://www.microsoft.com/ja-jp/download/details.aspx?id=35579 SQL Server 2012 Express のインストールモジュール Windows Server 2012 R2 にインストールするため 64bit OS 用のインストールモジュール (SQLEXPR_x64_JPN.exe) をダウンロードします 1 SQL Server Express のインストールモジュール (SQLEXPR_x64_JPN.exe) を実行します - 85 - Copyright 2012-2015 FUJITSU LIMITED
SQL Server のセットアップ SQL Server セットアップでは セットアップウィザードの指示に従ってインストールしますが インスタンスの構成 データベースエンジンの構成 では 以下の設定を行います 1 SQL Server のセットアップの中で インスタンスの構成 が表示されます 名前付きのインスタンス を選択し SQL Server のインスタンス名 ( 本書では既定の SQLEXPRESS ) を入力します 2 SQL Server のセットアップの中で データベースエンジンの構成 が表示されます 認証モード には Windows 認証モード を選択します SQL Server 管理者の指定 に ADMT サーバのローカル管理者グループ (2012R2ADMT Administrators) を追加します 2012R2ADMT Administrators を追加すると BUILTIN Administrators として登録されます BUILTIN Administrators を SQL Server 管理者として追加しない場合 移行用アカウント (MigUser) で ADMT を起動できません - 86 - Copyright 2012-2015 FUJITSU LIMITED
3 ADMT のインストール本手順を実施する前に Active Directory 移行ツール v3.2 をダウンロードし ADMT サーバにコピーします Active Directory 移行ツール v3.2 は以下 URL よりダウンロードします Windows Server Active Directory Migration Tool(ADMT) http://connect.microsoft.com/site1164/content/content.aspx?contentid=30561 ダウンロードには Microsoft アカウントが必要になります 1 ローカル管理者権限でサーバにログオンします 2 Active Directory 移行ツールのインストールモジュール (admtsetup32.exe) を実行します 3 開いているファイル セキュリティの警告 が表示されます 実行 をクリックします 4 Active Directory 移行ツールのインストールの開始 が表示されます 次へ をクリックします - 87 - Copyright 2012-2015 FUJITSU LIMITED
5 使用許諾契約書 が表示されます 同意する を選択します 次へ をクリックします 6 カスタマーエクスペリエンス向上プログラム が表示されます 今回はプログラムに参加しません を選択します 次へ をクリックします 7 データベースの選択 が表示されます データベースには 2 SQL Server のインストール で作成した SQL Server インスタンスの名前 ( 本書では既定の. SQLEXPRESS ) を入力します データベースは. < インスタンス名 > または < サーバ名 > < インスタンス名 > と指定できます 次へ をクリックします 8 コンポーネントを構成しています が表示されます 処理が完了するまで待機します - 88 - Copyright 2012-2015 FUJITSU LIMITED
9 データベースのインポート が表示されます いいえ 既存のデータベースからデータをインポートしません ( 既定 ) を選択します 次へ をクリックします 10 データベースのインポートの進行状況 が表示されます 処理が完了するまで待機します 11 Active Directory 移行ツールバージョン 3.2 は正常にインストールされました が表示されます 完了 をクリックします - 89 - Copyright 2012-2015 FUJITSU LIMITED
5.2.4 移行用アカウントの作成 ADMT を使用して移行を行うには ドメインやローカルマシンで多くの権限を必要とします 移行をスムーズに行うために 移行専用のアカウントを作成します 本書では 既存ドメインに以下の権限をもつ移行用ユーザアカウント MigUser を作成します 既存ドメイン :Domain Admins グループ 新規ドメイン :Administrators グループ ADMT サーバ :Administrators グループ移行に必要な権限の詳細は以下 URL を参照してください 移行用の移行アカウントの作成 http://technet.microsoft.com/ja-jp/library/cc974398(ws.10).aspx 1 移行用ユーザアカウント作成と既存ドメインでの権限設定 本手順は 2003DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 スタート 管理ツール Active Directory ユーザーとコンピュータ をクリックします 3 Active Directory ユーザーとコンピュータ が表示されます 左ペインの Active Directory ユーザーとコンピュータ - < 既存ドメイン名 > - Users を右クリックし 新規作成 - ユーザー をクリックします - 90 - Copyright 2012-2015 FUJITSU LIMITED
4 新しいオブジェクト ユーザー が表示されます 移行用アカウント ( 本書では MigUser ) の情報を入力します 次へ をクリックします 5 移行用アカウントの パスワード を入力します 次へ をクリックします 6 完了 をクリックします 7 Active Directory ユーザーとコンピュータ の左ペインの Active Directory ユーザーとコンピュータ - < 既存ドメイン名 > - Users をクリックします 右ペインの Domain Admins をダブルクリックします - 91 - Copyright 2012-2015 FUJITSU LIMITED
8 Domain Admins のプロパティ が表示されます メンバ タブを選択します 追加 をクリックします 9 ユーザー 連絡先 またはコンピュータの選択 が表示されます 選択するオブジェクト名を入力してください に移行用アカウント (MigUser) の名前を入力します OK をクリックします 10 Domain Admins のプロパティ で OK をクリックします - 92 - Copyright 2012-2015 FUJITSU LIMITED
2 新規ドメインでの権限設定 本手順は 2012R2DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 サーバーマネージャー を起動し ツール をクリックします Active Directory ユーザーとコンピューター をクリックします 3 Active Directory ユーザーとコンピューター が表示されます 左ペインの Active Directory ユーザーとコンピューター - < 新規ドメイン名 > - Builtin をクリックします 右ペインで Administrators をダブルクリックします 4 Administrators のプロパティ が表示されます メンバー タブを選択します 追加 をクリックします - 93 - Copyright 2012-2015 FUJITSU LIMITED
5 ユーザー 連絡先 コンピューター サービスアカウントまたはグループの選択 が表示されます 場所 をクリックします 6 場所 が表示されます 場所 で既存ドメイン名をクリックします OK をクリックします 7 ユーザー コンピューター サービスアカウントまたはグループの選択 で移行用アカウント (MigUser) を入力します OK をクリックします 8 Administrators のプロパティ で OK をクリックします - 94 - Copyright 2012-2015 FUJITSU LIMITED
3 ADMT サーバでの権限設定 本手順は 2012R2ADMT で行います 1 ドメイン管理者権限でサーバにログオンします 2 サーバーマネージャー を起動し ツール をクリックします コンピューターの管理 をクリックします 3 コンピューターの管理 が表示されます 左ペインの コンピューターの管理 ( ローカル ) - システムツール - ローカルユーザーとグループ - グループ クリックします 右ペインで Administrators をダブルクリックします 4 Administrators のプロパティ が表示されます 追加 をクリックします - 95 - Copyright 2012-2015 FUJITSU LIMITED
5 ユーザー コンピューター サービスアカウントまたはグループの選択 が表示されます 場所 をクリックします 6 場所 が表示されます 場所 で既存ドメイン名をクリックします OK をクリックします 7 ユーザー コンピューター サービスアカウントまたはグループの選択 で移行用アカウント (MigUser) を入力します OK をクリックします 8 Administrators のプロパティ で OK をクリックします - 96 - Copyright 2012-2015 FUJITSU LIMITED
5.2.5 ADMT 使用前の初期設定 ADMT を使用してアカウント情報を移行する前に 以下の初期設定を行う必要があります SID の履歴監査を行うローカルグループの作成 アカウント管理の監査ポリシーの有効化 1 SID の履歴監査を行うローカルグループの作成 本手順は 2003DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 スタート 管理ツール Active Directory ユーザーとコンピュータ をクリックします 3 Active Directory ユーザーとコンピュータ が表示されます 左ペインの Active Directory ユーザーとコンピュータ - < 既存ドメイン名 > - Users を右クリックし 新規作成 - グループ をクリックします 4 新しいオブジェクト グループ が表示されます グループ名に < 既存ドメインの NetBIOS 名 >$$$ を入力します グループの範囲で ドメインローカル を選択します グループの種類で セキュリティ を選択します OK をクリックします - 97 - Copyright 2012-2015 FUJITSU LIMITED
2 アカウント管理の監査ポリシーの有効化 ( 既存ドメイン ) 本書では既定のポリシー (Default Domain Controllers Policy) を直接編集する手順で記載しています 既定のポリシーオブジェクトには手を加えない管理ポリシーの場合は ドメインコントローラコンテナにリンクされた適切なポリシーオブジェクトに読み換えてください 本手順は 2003DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 スタート 管理ツール Active Directory ユーザーとコンピュータ をクリックします 3 Active Directory ユーザーとコンピュータ が表示されます 左ペインの Active Directory ユーザーとコンピュータ - < 既存ドメイン名 > - Domain Controllers を右クリックし プロパティ をクリックします 4 Domain Controllers のプロハティ が表示されます グループポリシー タブを選択します Default Domain Controllers Policy をクリックし 編集 をクリックします - 98 - Copyright 2012-2015 FUJITSU LIMITED
5 グループポリシーオブジェクトエディタ が表示されます 左ペインの Default Domain Controllers Policy - コンピュータの構成 - Windows の設定 - セキュリティの設定 - ローカルポリシー - 監査ポリシー をクリックします 右ペインの アカウント管理の監査 をダブルクリックします 6 アカウント管理の監査のプロパティ が表示されます セキュリティポリシーの設定 タブを選択します これらのポリシーの設定を定義する にチェックを入れます 成功 失敗 にチェックを入れます OK をクリックします 7 グループポリシーの変更を反映させるため コマンドプロンプトで以下を実行します gpupdate /force 実行すると 画像のメッセージが表示されます POINT! 既存ドメインが Windows 2008 以降のドメインの場合 ディレクトリサービスのアクセスの監査 のポリシーを有効にする必要があります 3 アカウント管理の監査ポリシーの有効化 ( 新規ドメイン ) の手順 6 手順 7 を参考に ディレクトリサービスのアクセスの監査 のポリシーを有効化し 成功 にチェックを入れます - 99 - Copyright 2012-2015 FUJITSU LIMITED
3 アカウント管理の監査ポリシーの有効化 ( 新規ドメイン ) 本手順は 2012R2DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 サーバーマネージャー を起動し ツール をクリックします グループポリシーの管理 をクリックします 3 グループポリシーの管理 が表示されます 左ペインの グループポリシーの管理 - フォレスト : < 新規フォレスト名 > - ドメイン - < ドメイン名 > - グループポリシーオブジェクト - Default Domain Controllers Policy を右クリックし 編集 をクリックします 4 グループポリシー管理エディター が表示されます 左ペインの コンピューターの構成 - ポリシー - Windows の設定 - セキュリティの設定 - ローカルポリシー - 監査ポリシー をクリックします 右ペインの アカウント管理の監査 をダブルクリックします - 100 - Copyright 2012-2015 FUJITSU LIMITED
5 アカウント管理の監査のプロパティ が表示されます セキュリティポリシーの設定 タブを選択します これらのポリシーの設定を定義する にチェックを入れます 成功 と 失敗 にチェックを入れます OK をクリックします 6 右ペインの ディレクトリサービスのアクセスの監査 をダブルクリックします 7 ディレクトリサービスのアクセスの監査のプロパティ が表示されます セキュリティポリシーの設定 タブを選択します これらのポリシーの設定を定義する にチェックを入れます 成功 にチェックを入れます OK をクリックします - 101 - Copyright 2012-2015 FUJITSU LIMITED
8 グループポリシーの変更を反映させるため コマンドプロンプトで以下を実行します gpupdate /force 実行すると 画像のメッセージが表示されます - 102 - Copyright 2012-2015 FUJITSU LIMITED
5.2.6 暗号化ツールのインストールと設定 ADMT では PES(Password Export Server) サービスを使用することでパスワードの移行が可能になります PES は以下の URL からダウンロードします Windows Server Active Directory Migration Tool(ADMT) http://connect.microsoft.com/site1164/content/content.aspx?contentid=30561 ダウンロードには Microsoft アカウントが必要になります 1 PES 暗号化キーの作成 本手順は 2012R2ADMT で行います 1 ローカル管理者権限でサーバにログオンします 2 スタートボタンを右クリックし コマンドプロンプト ( 管理者 ) をクリックします 3 管理者 : コマンドプロンプト が表示されます 以下のコマンドを実行します admt key /option:create /sourcedomain:< 既存ドメイン名 > /keyfile:c:\share\key.pes /keypassword:< パスワード > POINT! 本書では 事前に作成した C: share フォルダに key.pes というファイル名でパスワードエクスポートサーバー暗号化キーを出力します 実行すると 画像のメッセージが表示されます - 103 - Copyright 2012-2015 FUJITSU LIMITED
2 PES サービスの構成事前に 1 PES 暗号化キーの作成 で作成した PES 暗号化キーを 2003DC-1 サーバの任意のローカルフォルダ ( 本書では C: share) にコピーします 本手順は 2003DC-1 で行います 1 移行用アカウントでサーバにログオンします 2 PES のインストールモジュール (ja-jp pwdmig_x86.msi) を実行します 3 開いているファイル セキュリティの警告 が表示されます 実行 をクリックします 4 ADMT パスワード移行 DLL インストールウィザードの開始 が表示されます 次へ をクリックします - 104 - Copyright 2012-2015 FUJITSU LIMITED
5 使用許諾契約書 が表示されます 使用許諾契約書に同意します を選択します 次へ をクリックします 6 暗号化ファイル が表示されます 参照 をクリックします 7 ファイルを開く が表示されます 1 PES 暗号化キーの作成 で作成したパスワード暗号化ファイル (pes ファイル ) を選択します 開く をクリックします 8 暗号化ファイル で 次へ をクリックします - 105 - Copyright 2012-2015 FUJITSU LIMITED
9 暗号化キーのパスワードを指定してください が表示されます 1 PES 暗号化キーの作成手順 3 で設定したパスワードを入力します 次へ をクリックします 10 インストールの開始 が表示されます 次へ をクリックします 11 システムの更新 が表示されます 12 パスワードエクスポートサーバーサービスはローカルシステムアカウントまたは指定されたユーザーアカウントで実行できます が表示されます ログオン を選択し 移行用アカウントとパスワードを入力します OK をクリックします 13 アカウント ( 移行用アカウント ) はサービスとしてログオンする権利を付与されました が表示されます OK をクリックします - 106 - Copyright 2012-2015 FUJITSU LIMITED
14 ADMT パスワード移行 DLL のインストールの完了 が表示されます 完了 をクリックします 15 インストーラ情報 が表示されます はい をクリックします サーバが再起動します POINT! PES サービスは既定で停止しています ADMT を使用してパスワードを移行する際に PES サービスを手動で起動してください また パスワード移行後は PES サービスを手動で停止してください 1 スタート 管理ツール サービス をクリックして サービス を表示します パスワードエクスポートサーバーサービス を選択して サービスの開始 をクリックします - 107 - Copyright 2012-2015 FUJITSU LIMITED
5.2.7 アカウントの移行 ADMT のウィザードを使用して既存ドメインのアカウントを新規ドメインへ移行します ADMT では以下のドメインオブジェクトの移行が可能です ユーザアカウント コンピュータアカウント グループアカウント 本書では ユーザ コンピュータ の移行手順を紹介します POINT! 連絡先 プリンタ 共有フォルダー などのドメインオブジェクトは ADMT を使用して移行できません 新規ドメインにドメインオブジェクトを新規作成する必要があります OU は ADMT を使用して移行できません 既存ドメインと新規ドメインを同じ OU 構成にする場合は 既存ドメインと同じ構成で新規ドメインに OU を作成し ADMT の移行ウィザードを使用して OU 内のドメインオブジェクトを適宜移行します グループポリシー は ADMT を使用して移行できません グループポリシーは ドメイン移行を機に見直しを兼ねて新規作成するケースが多くあります グループポリシーの移行を行う場合は グループポリシー管理エディター を使用して既存ドメインのグループポリシーを新規ドメインにコピーします 詳細な手順は以下 URL 参照してください グループポリシーオブジェクトのバックアップ 復元 インポート およびコピーを行う http://technet.microsoft.com/ja-jp/library/cc754760(ws.10).aspx 変換項目ファイルとフォルダープリンターレジストリ共有ローカルグループ 表 11 ADMT のウィザードで変換可能な項目説明 移行対象サーバ / コンピュータの左記オブジェクトへのアクセス権に 新規ドメインのアカウントを含めます 移行対象サーバ / コンピュータのローカルグループメンバに 新規ドメインのアカウントを含めます ユーザープロファイル既存ドメインのユーザアカウントで使用していたユーザプロファイルを新規のドメインユーザアカウントで継続して使用できるよう変換します ユーザー権利既存ドメインのサーバ / コンピュータに設定されているユーザ権利を新規ドメインのものに変換します - 108 - Copyright 2012-2015 FUJITSU LIMITED
1 ユーザアカウントの移行ユーザアカウントを SID の履歴を含めて移行します SID の履歴を含めて移行することで 移行前にアクセス可能だった既存ドメインのリソースへ引き続きアクセスできます 本書ではユーザアカウント User-2008R2File User-WinVista User-WinXP の移行を行います POINT! ユーザがグループに所属している場合は 事前に ADMT の グループアカウントの移行ウィザード を使用してグループアカウントを新規ドメインに移行します ユーザアカウント移行時にユーザアカウントが所属するグループアカウントのメンバーシップを自動更新することで 新規ドメインでもユーザアカウントの所属グループが保持されます ユーザアカウント移行時にユーザアカウントのパスワードもあわせて移行する場合は 既存ドメインの DC(2003DC-1) で パスワードエクスポートサーバーサービス を手動で起動する必要があります 本手順は 2012R2ADMT で行います 1 既存ドメインで作成した移行用アカウントで 新規ドメインにログオンします 2 サーバーマネージャー を起動し ツール をクリックします Active Directory 移行ツール をクリックします 3 Active Directory 移行ツール が表示されます 左ペインの Active Directory 移行ツール を右クリックし ユーザーアカウントの移行ウィザード をクリックします - 109 - Copyright 2012-2015 FUJITSU LIMITED
4 ユーザーアカントの移行ウィザードの開始 が表示されます 次へ をクリックします 5 ドメインの選択 が表示されます 移行元 では既存ドメインのドメイン名を入力し 既存ドメインの DC をプルダウンメニューから選択します 移行先 では新規ドメインのドメイン名を入力し 新規ドメインの DC をプルダウンメニューから選択します 次へ をクリックします 6 ユーザーの選択オプション が表示されます ユーザーをドメインから選択 を選択します 次へ をクリックします 7 ユーザーの選択 が表示されます 追加 をクリックします - 110 - Copyright 2012-2015 FUJITSU LIMITED
8 ユーザーの選択 が表示されます 移行対象のユーザアカウントを入力します OK をクリックします 9 ユーザーの選択 で 次へ をクリックします 10 組織単位の選択 が表示されます 参照 をクリックします 11 コンテナの参照 が表示されます ユーザアカウントの移行先を選択します OK をクリックします POINT! 本書では Users コンテナに移行します - 111 - Copyright 2012-2015 FUJITSU LIMITED
12 組織単位の選択 で 次へ をクリックします 13 パスワードオプション が表示されます 移行後のパスワードの指定を行います 次へ をクリックします POINT! 本書では 移行先のユーザパスワードを変更しない設定を行います パスワードを移行する場合は PES サービスが起動している必要があります 14 アカウントの切り替えオプション が表示されます ユーザアカウントの移行ウィザード実行後の 既存 / 新規ドメインのアカウントの状態を選択します ユーザー SID を新規ドメインへ移行 にチェックを入れます 次へ をクリックします POINT! 本書では既存ドメインのユーザアカウントを無効に 新規ドメインのユーザアカウントを有効にする設定を行います また ユーザアカウントの SID も移行します 15 ユーザーアカウント が表示されます 移行用アカウントのユーザー名 パスワード ドメイン名を入力します 次へ をクリックします - 112 - Copyright 2012-2015 FUJITSU LIMITED
16 ユーザーオプション が表示されます 移行するオプションにチェックを入れます 次へ をクリックします POINT! 本書では ユーザー権利を更新 にチェックを入れます 17 オブジェクトのプロパティの除外 が表示されます 次へ をクリックします 18 競合の管理 が表示されます 移行先ドメインで競合が検出された場合 移行元オブジェクトを移行しない を選択します 次へ をクリックします 19 ユーザーアカウントの移行ウィザードの完了 が表示されます 完了 をクリックします - 113 - Copyright 2012-2015 FUJITSU LIMITED
20 移行の進行状況 が表示されます ユーザアカウントの移行が完了すると 状態 のステータスが 完了 になります エラー で エラー数が 0 であることを確認します 閉じる をクリックします ファイルサーバ (2008R2File) で使用しているユーザアカウント User-2008R2File は移行後も既存ドメインで使用するため 上記の手順 15 の 移行元アカウントの無効化 のチェックを外して移行します POINT! ユーザアカウントを新規ドメインに移行すると 初回のログオンでパスワードの変更が求めらます ログオン画面の指示に従い パスワードを変更してください 2 コンピュータアカウントの移行本書ではコンピュータアカウント 2008R2File Win7 Win8 の移行を行います 移行対象コンピュータのファイアウォールの設定変更 本手順は Win7 で行います 1 ローカル管理者権限で クライアントにログオンします 2 スタート コントロールパネル をクリックします - 114 - Copyright 2012-2015 FUJITSU LIMITED
3 コントロールパネル が表示されます システムとセキュリティ をダブルクリックします 4 システムとセキュリティ が表示されます Windows ファイアウォール の Windows ファイアウォールによるプログラムの許可 をダブルクリックします 5 許可されたプログラム が表示されます 設定の変更 をクリックします 6 許可されたプログラムおよび機能 から ファイルとプリンタの共有 の ドメイン にチェックを入れます OK をクリックします - 115 - Copyright 2012-2015 FUJITSU LIMITED
本手順は Win8 で行います 1 ローカル管理者権限でクライアントにログオンします 2 画面左下隅にカーソルを合わせて スタート ボタンが表示されたら右クリックし コントロールパネル をクリックします 3 コントロールパネル が表示されます システムとセキュリティ をダブルクリックします 4 システムとセキュリティ が表示されます Windows ファイアウォール の Windows ファイアウォールによるアプリケーションの許可 をダブルクリックします - 116 - Copyright 2012-2015 FUJITSU LIMITED
5 許可されたアプリ が表示されます 設定の変更 をクリックします 6 許可されたプログラムおよび機能 から ファイルとプリンタの共有 の ドメイン にチェックを入れます OK をクリックします 移行対象コンピュータの DNS の変更 本手順は Win7 Win8 で行います 1 インターネットプロトコル (TCP/IP) のプロパティ を表示します 代替 DNS サーバー に 新規ドメインの DNS サーバの IP アドレスを入力します コンピュータアカウントの移行 POINT! コンピュータアカウントの移行を正常に終了するためには 移行対象のコンピュータがログオフした状態で起動している必要があります コンピュータアカウント移行完了後 ADMT のエージェントにより移行対象のコンピュータは自動で再起動されます - 117 - Copyright 2012-2015 FUJITSU LIMITED
本手順は 2012R2ADMT で行います 1 既存ドメインで作成した移行用アカウントで 新規ドメインにログオンします 2 スタート 管理ツール Active Directory 移行ツール をクリックします 3 Active Directory 移行ツール が表示されます 左ペインの Active Directory 移行ツール を右クリックし コンピューターの移行ウィザード をクリックします 4 コンピューターの移行ウィザードの開始 が表示されます 次へ をクリックします 5 ドメインの選択 が表示されます 移行元 では既存ドメインのドメイン名を入力し 既存ドメインの DC をプルダウンメニューから選択します 移行先 では新規ドメインのドメイン名を入力し 新規ドメインの DC をプルダウンメニューから選択します 次へ をクリックします - 118 - Copyright 2012-2015 FUJITSU LIMITED
6 コンピューターの選択オプション が表示されます コンピューターをドメインから選択 を選択します 次へ をクリックします 7 コンピューターの選択 が表示されます 追加 をクリックします 8 コンピューターの選択 が表示されます 移行対象のコンピュータアカウントを入力します OK をクリックします 9 コンピューターの選択 で 次へ をクリックします - 119 - Copyright 2012-2015 FUJITSU LIMITED
10 組織単位の選択 が表示されます 参照 をクリックします 11 コンテナの参照 が表示されます コンピュータアカウントの移行先を選択します OK をクリックします 12 組織単位の選択 で 次へ をクリックします 13 オブジェクトの変換 が表示されます コンピュータアカウント移行時に変換を行う項目にチェックを入れます 次へ をクリックします POINT! 本書では ローカルグループ ユーザー権利 にチェックを入れます - 120 - Copyright 2012-2015 FUJITSU LIMITED
14 セキュリティの変換オプション が表示されます 追加 を選択します 次へ をクリックします 15 コンピューターオプション が表示されます ウィザードが完了してからコンピューターを再起動するまでの待ち時間 を入力します 次へ をクリックします POINT! 本書ではウィザード完了後すぐ再起動するように 0 を入力しています 16 オブジェクトのプロパティの除外 が表示されます 次へ をクリックします 17 競合の管理 が表示されます 移行先ドメインで競合が検出された場合 移行元オブジェクトを移行しない を選択します 次へ をクリックします - 121 - Copyright 2012-2015 FUJITSU LIMITED
18 コンピューターの移行ウィザードの完了 が表示されます 完了 をクリックします 19 移行の進行状況 が表示されます コンピュータアカウントの移行が完了すると 状態 のステータスが 完了 になります エラー で エラー数が 0 であることを確認します 閉じる をクリックします 20 Active Directory 移行ツールのエージェントダイアログ が表示されます エージェントの動作 で 事前確認とエージェントの操作を実行する を選択します 開始 をクリックします POINT! 移行対象コンピュータはエージェントの操作完了後に自動で再起動されます - 122 - Copyright 2012-2015 FUJITSU LIMITED
21 Active Directory 移行ツールのエージェントダイアログ の 事前確認 がすべて合格 エージェントの操作 がすべて成功 事後確認 がすべて合格することを確認します 閉じる をクリックします 既存ドメインでファイルサーバにアクセスする必要がなくなった時点で Windows Server 2008 R2 のファイルサーバ (2008R2File) のコンピュータアカウントを新規ドメインへ移行します - 123 - Copyright 2012-2015 FUJITSU LIMITED
参考 :SID の履歴を使用したリソースへのアクセス Windows Server 2003 SP2 以降のドメインコントローラー間でフォレストの信頼関係を構築した場合 SID フィルターが有効になります SID の履歴を移行していても SID フィルターが有効になっていると SID の履歴を使用した既存リソースへのアクセスが失敗します SID の履歴を使用して新規ドメインから既存ドメインのリソースにアクセスできるようにするには 以下の手順を実施して SID フィルターを無効にしてください 既存ドメインの管理者グループに新規ドメインの管理者グループを追加 SID フィルターを無効にするため 既存ドメインの管理者グループに新規ドメインの管理者を追加します 本手順は 2003R2DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 スタート 管理ツール Active Directory ユーザーとコンピュータ をクリックします 3 Active Directory ユーザーとコンピュータ の左ペインの Active Directory ユーザーとコンピュータ - < 既存ドメイン名 > - Builtin をクリックします 右ペインの Administrators をダブルクリックします 4 Administrators のプロパティ が表示されます メンバ タブを選択します 追加 をクリックします - 124 - Copyright 2012-2015 FUJITSU LIMITED
5 ユーザー 連絡先 コンピュータまたはグループの選択 が表示されます 場所 をクリックします 6 場所 が表示されます 場所 で新規ドメイン名をクリックします OK をクリックします 7 ユーザー コンピュータまたはグループの選択 で Domain Admins を入力します OK をクリックします 8 Administrators のプロパティ で OK をクリックします - 125 - Copyright 2012-2015 FUJITSU LIMITED
SID フィルターを無効に設定します Windows Server 2012 R2 の日本語版では下記の Netdom コマンドが正しく動作しないことがあります ( コマンドの内容が正常に設定できたよう見えて 設定が正しく反映されていません ) そのため コマンドプロンプトを英語のコードページに変更して Netdom コマンドを実行します 本手順は 2012R2DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 コマンドプロンプトを起動して以下のコマンドを実行します Chcp 437 3 コマンドプロンプトが英語のコードページに変更されます 以下のコマンドを実行します Netdom trust < 既存ドメイン名 > /domain:< 新規ドメイン名 > /quarantine:no /userd:< 新規ドメインの管理者アカウント > /passwordd:< 新規ドメインの管理者アカウントのパスワード > SID filtering is not enabled for this trust. と表示されれば 正しく設定が反映されています 本書の環境では以下のコマンドを実行します Netdom trust fujitsu.local /domain:fujitsu2.co.jp /quarantine:no /userd:fujitsu Administrator /passwordd:<fujitsu administrator のパスワード > - 126 - Copyright 2012-2015 FUJITSU LIMITED
5.2.8 既存ドメインの破棄既存ドメインから新規ドメインへのすべての移行が完了した時点で 既存ドメインを破棄します 1 信頼関係の破棄既存ドメインと新規ドメインの信頼関係を破棄します 本手順は 2012R2DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 サーバーマネージャー を起動し ツール をクリックします Active Directory ドメインと信頼関係 をクリックします 3 Active Directory ドメインと信頼関係 が表示されます 左ペインの Active Directory ドメインと信頼関係 - < 新規ドメイン名 > を右クリックし プロパティ をクリックします 4 < 新規ドメイン名 > のプロパティ が表示されます 信頼 タブを選択します このドメインに信頼されるドメイン ( 出力方向の信頼 ) から既存ドメインを選択します 削除 をクリックします - 127 - Copyright 2012-2015 FUJITSU LIMITED
5 Active Directory ドメインサービス が表示されます ローカルドメインと他方のドメインの両方から信頼を削除する を選択します 既存ドメインの管理者アカウントとパスワードを入力します OK をクリックします 6 < 既存ドメイン名 > ドメインとの出力方向の信頼を削除しますか? が表示されます はい をクリックします 7 < 新規ドメイン名 > のプロパティ の このドメインを信頼するドメイン ( 入力方向の信頼 ) から既存ドメインを選択します 削除 をクリックします 8 Active Directory ドメインサービス が表示されます ローカルドメインと他方のドメインの両方から信頼を削除する を選択します OK をクリックします - 128 - Copyright 2012-2015 FUJITSU LIMITED
9 < 既存ドメイン名 > ドメインとの入力方向の信頼を削除しますか? が表示されます はい をクリックします 10 < 新規ドメイン名 > のプロパティ で OK をクリックします 2 DNS セカンダリゾーンの削除新規ドメインの DNS から既存ドメインのセカンダリゾーンを削除します また 既存ドメインの DNS に許可しているゾーン転送の設定を削除します 本手順は 2012R2DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 サーバーマネージャー を起動し ツール をクリックします DNS をクリックします - 129 - Copyright 2012-2015 FUJITSU LIMITED
3 DNS マネージャー が表示されます 左ペインの DNS - <DNS サーバ名 > - 前方参照ゾーン - ( 既存ドメインのゾーン名 ) を右クリックし 削除 をクリックします 4 DNS が表示されます はい をクリックします 5 左ペインの DNS - <DNS サーバ名 > - 前方参照ゾーン - < 新規ドメインのゾーン名 > を右クリックし プロパティ をクリックします 6 < 新規ドメインのゾーン名 > のプロパティ が表示されます ゾーンの転送 タブを選択します ゾーン転送を許可するサーバー のチェックを外します OK をクリックします - 130 - Copyright 2012-2015 FUJITSU LIMITED
3 DNS の設定変更 本手順は 2012R2DC-1 で行います 1 ローカル管理者権限でサーバにログオンします 2 インターネットプロトコルバージョン 4 (TCP/IPv4) のプロパティ を表示します 代替 DNS サーバー に 新規ドメイン (2 台目 ) の DNS サーバの IP アドレスを入力します POINT! メンバサーバ / クライアントで既存ドメインの DNS を設定している場合も変更を行ってください 4 アカウント管理の監査ポリシーの無効化 本手順は 2012R2DC-1 で行います 1 ドメイン管理者権限でサーバにログオンします 2 サーバーマネージャー を起動し ツール をクリックします グループポリシーの管理 をクリックします - 131 - Copyright 2012-2015 FUJITSU LIMITED
3 グループポリシーの管理 が表示されます 左ペインの グループポリシーの管理 - フォレスト : < 新規フォレスト名 > - ドメイン - < 新規ドメイン名 > - グループポリシーオブジェクト - Default Domain Controllers Policy を右クリックし 編集 をクリックします 4 グループポリシー管理エディター が表示されます 左ペインの コンピューターの構成 - ポリシー - Windows の設定 - セキュリティの設定 - ローカルポリシー - 監査ポリシー をクリックします 右ペインの アカウント管理の監査 を右クリックし プロパティ をクリックします 5 アカウント管理の監査のプロパティ が表示されます セキュリティポリシーの設定 タブを選択します これらのポリシーの設定を定義する のチェックを外します OK をクリックします - 132 - Copyright 2012-2015 FUJITSU LIMITED
6 右ペインの ディレクトリサービスのアクセスの監査 を右クリックし プロパティ をクリックします 7 ディレクトリサービスのアクセスの監査 が表示されます セキュリティポリシーの設定 タブを選択します これらのポリシーの設定を定義する のチェックを外します OK をクリックします 8 グループポリシーの変更を反映させるため コマンドプロンプトで以下を実行します gpupdate /force 実行すると 画像のメッセージが表示されます 2008DC-2 でも同様にグループポリシーの変更を反映させます 上記の手順で既存ドメインと新規ドメインを分離した後 Windows Server 2003 の DC を WORKGROUP へ降格することで 既存ドメインを破棄します - 133 - Copyright 2012-2015 FUJITSU LIMITED