Active Directory 環境への ドメイン移行の考え方 第 1.1 版 2018 年 2 月富士通株式会社
改版履歴 改版日時版数改版内容.11 1.0 新規作成 2018.02 1.1 ADMT の開発終了に伴い 記載を変更
目次 はじめに 1 章 ドメインへの移行のポイント 1. 移行メリット 2. 移行方法の種類 3. 各移行方法のメリット デメリット 4. 既存ドメインからの移行パス 2 章既存ドメインから ドメインへの移行 1. 移行方法選択の考え方 2. 既存ドメインのバージョンアップ移行概要移行手順 3. 新規ドメイン構築 & アカウント移行移行概要移行手順
はじめに 本書は Fujitsu Server PRIMERGY を用いて 既存の Active Directory 環境を Active Directory 環境へドメイン移行する際の考え方 概要をご紹介するものです 本書では 以下の略称を使用します 正式名称 Microsoft 2003 2003 Microsoft 2008 2008 Microsoft 2008 R2 略称 2008 R2 Microsoft 2012 2012 Microsoft 2012 R2 2012 R2 Microsoft Microsoft 2003 Active Directory のドメイン Microsoft 2008 Active Directory のドメイン Microsoft 2008 R2 Active Directory のドメイン Microsoft 2012 Active Directory のドメイン Microsoft 2012 R2 Active Directory のドメイン Microsoft Active Directory のドメイン ドメインコントローラー 図表では 更に省略した表記を使用する場合があります 2003 ドメイン 2008 ドメイン 2008 R2 ドメイン 2012 ドメイン 2012 R2 ドメイン ドメイン DC
注意事項 注意事項 本ドキュメントを輸出または第三者へ提供する場合は お客様が居住する国および米国輸出管理関連法規等の規制をご確認のうえ 必要な手続きをおとりください 本書に記載されたデータの使用に起因する 第三者の特許権およびその他の権利の侵害については 当社はその責を負いません
1 章 ドメインへの移行の ポイント 1. 移行メリット 2. 移行方法の種類 3. 各移行方法のメリット デメリット 4. 既存ドメインからの移行パス
1 章 ドメインへの移行のポイント 1. 移行メリット 新しい認証方式 Microsoft Passport への対応 Microsoft Passport は Windows 10 から採用されたパスワードレスのユーザー認証を可能にする新しいテクノロジーです この新しい認証方法は 登録済みデバイスと PIN あるいは生体認証の多要素認証から成り 従来のパスワード方式に比べてより強固なセキュリティ基盤を構築することができます これまでは Microsoft アカウントと Azure AD アカウントでサポートされていましたが の登場によりオンプレミスの Active Directory に参加する Windows 10 でもサポートされるようになりました クラウドとオンプレミスとのハイブリット統合 Azure AD Connect ツールを使用して Azure AD のディレクトリとオンプレミスの Active Directory ドメインをディレクトリ統合することで 社内外のデバイスからオンプレミスの ID を用いて クラウドアプリやオンプレミスのリソースにシングルサインオンでアクセスできる環境を実現できます の Active Directory フェデレーションサービスの機能強化により 社内外で Microsoft Passport を利用した認証が可能になります 特権アクセス管理 (PAM) によるセキュリティリスクの低減 Windows ドメインでは Microsoft Identity Manager (MIM) の特権アクセス管理 (Privileged Access Management, PAM) 機能がサポートされます この機能により ユーザーに対して永続的ではなく 必要なときに有効期限付きの特権アクセスの権限を付与し 有効期限が経過すると特権アクセスの権限をはく奪することできるため セキュリティリスクを低減することができます MIM の PAM は 2012 R2 以降の Active Directory ドメインをサポートしています
1 章 ドメインへの移行のポイント 2. 移行方法の種類 ドメインの移行には以下の 2 つの方法があります 既存ドメインのバージョンアップ 旧 DC 撤去 バージョンアップ 新 DC 新規ドメイン構築 & アカウント移行 既存ドメインの構成 情報をそのままに DC のリプレースを行うことでバージョンアップする方法です アカウント移行 既存ドメインのアカウント情報を新規構築したドメインへコピーする方法です 旧 DC 新 DC 2012 R2 までは ADMT(Active Directory 移行ツール ) を利用して新規ドメインへアカウントを移行する方法を紹介しておりました 2017 年 6 月 ADMT は開発が終了しており に対して動作保証された ADMT はリリースされないことがアナウンスされました そのため ADMT を使用した移行方法は推奨いたしません アカウントの移行は手動で行うか スクリプトなどを作成して行う必要があります ADMT の対応状況に関して詳細は次の情報をご参照ください Windows 10/ の環境における ADMT を使用する場合の対応状況について https://blogs.technet.microsoft.com/jpntsblog/2017/06/02/windows-10windows-server-- %e3%81%ae%e7%92%b0%e5%a2%83%e3%81%ab%e3%81%8a%e3%81%91%e3%82%8b-admt- %e3%82%92%e4%bd%bf%e7%94%a8%e3%81%99%e3%82%8b%e5%a0%b4%e5%90%88%e3%81%ae%e5%af%be%e5%bf%9c%e7%8a%b6/
1 章 ドメインへの移行のポイント 3. 各移行方法のメリット デメリット 各移行方法のメリット デメリットは次のとおりです 既存ドメインのバージョンアップ を推奨いたします 既存ドメインのバージョンアップ 既存ドメインのドメイン名やアカウント情報を完全に引継ぎ可能 クライアントPCのドメイン再参加作業が不要 ファイルサーバなどのアクセス権再設定作業が不要 新規ドメイン構築 & アカウント移行 既存ドメイン環境を維持したまま移行可能なため 段階的な移行が可能 既存ドメインのアカウント グループ 権限等の移行方法を検討する必要がある ドメイン名が変更になるため 既存システムへの影響が大きい クライアントPCのドメイン再参加作業が必要となり 移行時のユーザ負担が増加
1 章 ドメインへの移行のポイント 4. 既存ドメインからの移行パス ドメイン移行の移行パス 移行前 移行後 ドメインのバージョンアップ 1 2 新規ドメイン構築 & アカウント移行 2003 ドメイン 2008 ドメイン 2008 R2 ドメイン ドメインのバージョンアップ新規ドメイン構築 & アカウント移行 2012 ドメイン ドメインのバージョンアップ新規ドメイン構築 & アカウント移行 ドメインのバージョンアップ新規ドメイン構築 & アカウント移行 2012 R2 ドメイン ドメインのバージョンアップ新規ドメイン構築 & アカウント移行 ドメイン 1 2003 ドメインから ドメインへの直接移行は可能です ドメインでも 2003 機能レベルはサポートされますが推奨されていないため 移行後は機能レベルを 2008 以上に変更してください 2, version 1709 では FRS のサポートが削除されたため 2003 ドメインから直接 ドメインに移行することはできません いったん 2008/2008 R2/2012/2012 R2 ドメインに移行し FRS から DFSR に変更した上で ドメインに移行します
2 章既存ドメインから ドメインへの移行 1. 移行方法選択の考え方 2. 既存ドメインのバージョンアップ移行概要移行手順 3. 新規ドメイン構築 & アカウント移行移行概要移行手順
2 章既存ドメインから ドメインへの移行 1. 移行方法選択の考え方 2012/2012 R2 ドメインからの移行は 既存ドメインのバージョンアップ を推奨します 移行を機にドメイン環境を一新したい場合や 以下のような特別な要件がある場合には 新規ドメイン構築 & アカウント移行 を選択することになります ただし ADMT はサポートされないため 別途 アカウント グループ 権限等の移行方法を検討する必要があります 互換性確認が必要な既存サーバが多いため 既存ドメインを残しつつ 段階的に移行を行いたい M&A に伴いドメイン環境を統合したいなど 既存ドメインをそのまま使用したくない事情がある
2 章既存ドメインから ドメインへの移行 2. 既存ドメインのバージョンアップ (1/3) 移行概要 既存ドメインの構成 情報をそのままに ドメインコントローラーのリプレースを行うことでバージョンアップする方法です 以下の前提で移行手順をご紹介します 移行前 移行後ともに DC は 2 台構成 ハードウェアは新しいものにリプレース 移行前 移行後 DC DC バージョンアップ DC DC 2012/2012R2 2012/2012 R2 2012/2012 R2 ドメイン ドメイン
2 章既存ドメインから ドメインへの移行 2. 既存ドメインのバージョンアップ (2/3) 移行手順 1 新規に DC として使用するサーバ ( 新規 DC) に をインストールします 2 新規 DC を既存ドメインに参加させて DC に昇格します DC に昇格する際に 自動的にスキーマの拡張が行われます 3 2 台目の新規 DC を既存ドメインの DC として追加します FSMO 2012/2012 R2 2 台 FSMO スキーマの拡張 DC 昇格 追加 2012/2012 R2 2 台 2 台
2 章既存ドメインから ドメインへの移行 2. 既存ドメインのバージョンアップ (3/3) 4 FSMO ( ) を新規 DC に転送します FSMO FSMO 5 既存 DC をメンバーサーバへ降格します 2012/2012 R2 2 台 降格 降格 2 台 FSMO 6 機能レベルを に変更します 2012/2012 R2 2 台 機能レベル変更 2 台 FSMO 2 台 特定の 1 台の DC が処理を実行する 特別な役割を 操作マスタ (FSMO:Flexible Single Master Operation) といいます
2 章既存ドメインから ドメインへの移行 3. 新規ドメイン構築 & アカウント移行 (1/3) 移行概要新規構築した ドメインに既存の 2012/2012 R2 ドメインの情報を 手動や作成したスクリプトなどを使用して移行します 以下の前提で移行手順をご紹介します 移行前 移行後ともにDCは2 台構成 新規ドメインを別途構築し 既存ドメインのアカウントを移行 移行前 移行後 アカウント移行 DC DC DC DC 2003/2008/2008 R2 2012/2012 R2 2012/2012 R2 2012/2012 R2 ドメイン ドメイン
2 章既存ドメインから ドメインへの移行 3. 新規ドメイン構築 & アカウント移行 (2/3) 移行手順 1 新規に ドメインを構築します 新規構築 2 既存ドメインと双方向信頼関係を作成します ( 移行作業期間中に 既存ドメインから新規ドメイン 新規ドメインから既存ドメインのリソースを利用できるようにするため ) 3 手動や作成したスクリプトなどを使用して 既存ドメインから新規ドメインへ アカウントの移行を行います 2012/2012 R2 2 台 2012/2012 R2 2 台 2012/2012 R2 2 台 信頼関係 アカウント 2 台 2 台 2 台
2 章既存ドメインから ドメインへの移行 3. 新規ドメイン構築 & アカウント移行 (3/3) 4 既存ドメインに所属しているクライアント メンバサーバを新規ドメインに参加させます クライアント メンバサーバ 2012/2012 R2 2 台 2 台 5 アカウント および クライアント メンバサーバ等のリソース移行完了後に 信頼関係を破棄します 破棄 信頼関係 2012/2012 R2 2 台 2 台 6 既存ドメイン環境を破棄します 破棄 2012/2012 R2 2 台 2 台
登録商標について / 免責事項 登録商標について Microsoft, Windows,, Active Directory, Azure, Microsoft Passport, は 米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です 記載されている会社名 製品名は各社の登録商標または商標です 記載されている会社名 製品名等の固有名詞は各社の商号 登録商標または商標です その他 本資料に記載されている会社名 システム名 製品名等には必ずしも商標表示を付記しておりません 免責事項 このドキュメントは単に情報として提供され 内容は予告なしに変更される場合があります また 発行元の許可なく 本書の記載内容を複写 転載することを禁止します このドキュメントに誤りが無いことの保証や 商品性又は特定目的への適合性の黙示的な保証や条件を含め明示的又は黙示的な保証や条件は一切無いものとします 富士通株式会社は このドキュメントについていかなる責任も負いません また このドキュメントによって直接又は間接にいかなる契約上の義務も負うものではありません このドキュメントを形式 手段 ( 電子的又は機械的 ) 目的に関係なく 富士通株式会社の書面による事前の承諾なく 複製又は転載することはできません