active directory の移行 (2011年6月の資料)
TRANSCRIPT
Active Directory の 移行のお話し
アイティデザイン株式会社
知北直宏 Copyright 2011 ITdesign Corporation , All Rights Reserved
‘11/06/25 @ ヒーロー島
1
Copyright 2011 ITdesign Corporation , All Rights Reserved
自己紹介 • 福岡でアイティデザイン株式会社という会社の代表取締役をやってます。しかし実態は。。。
• 2011年1月に、マイクロソフトさんより 「Microsoft MVP (Directory Services Jan2011 - Dec2011) 」を受賞させていただきました。
• 2010年1月には次の書籍を執筆、発売しました。
標準テキスト Windows Server 2008 R2 構築・運用・管理パーフェクトガイド
著者:知北直宏、出版社:ソフトバンク クリエイティブ
(2011年5月現在で第五版まで発行。総発行部数はヒミツ。たくさん買ってもらってます。)
2
Copyright 2011 ITdesign Corporation , All Rights Reserved
アジェンダ
• そもそも Active Directory って?
• Active Directory 導入によるメリット
• Active Directory のこれからの利用
• Active Directory を移行する理由
• Active Directory を移行する方法
• アップグレードによる移行の概要
• 再構築による移行の概要
• 再構築による移行の注意点
• 移行のためのActive Directory関連用語の整理
• ADMTって?
• アップグレードによる移行の方法
• 再構築による移行の方法
• 各種機能の移行
• Active Directoryの移行に関してその他いろいろ
3
Copyright 2011 ITdesign Corporation , All Rights Reserved
そもそも Active Directory って?
• 2000年にデビューした、Windows Server 標準のディレクトリサービス。
• 多数のユーザーやコンピューター(PC)を管理するのになくてはならない機能。
4
Copyright 2011 ITdesign Corporation , All Rights Reserved
Active Directory 導入によるメリット
• 認証/承認によるセキュリティ強化
• シングルサインオンによる業務効率向上
• デスクトップ環境の統一による操作性の向上
• ユーザー操作の抑制
• 管理コスト削減
• 生産性向上
• 容易なセキュリティ更新プログラムの配信の実現
• 内部統制対応など、コンプライアンス強化
• その他いろいろ!
5
Copyright 2011 ITdesign Corporation , All Rights Reserved
Active Directory のこれからの利用
• 高度なテクノロジーを使ったサーバーの集中管理のためにも必要になってきた。
• フェデレーション技術によって、組織間での認証統合
• クラウドサービス利用時の認証統合、認証連携
6
Copyright 2011 ITdesign Corporation , All Rights Reserved
Active Directory を移行する理由
• 新機能を使いたい! (機能のサービス化、RODC、きめ細かなパスワードポリシー、ごみ箱機能、オフラインドメイン参加、Active Directory管理センター、その他いろいろ。。。)
• サポート切れ対策 (OS、ソフト、ハードのサポートが切れてしまう。。。)
• 企業合併、市町村合併などへの対応
• きれいなAD環境にしたい!
7
Copyright 2011 ITdesign Corporation , All Rights Reserved
Active Directory を移行する方法
• 方法は2つ。 「アップグレード」か、 「再構築(新規構築してアカウントなどを移行)」。
• 「アップグレード」が推奨される。 しかし、次のようなケースでは「再構築」を検討。
• 大規模環境などで、段階的に移行したい
• ぐちゃぐちゃな構成をすっきりしたい、作り直したい
8
Copyright 2011 ITdesign Corporation , All Rights Reserved
アップグレードによる移行の概要
1. 新ドメインコントローラーを追加。
2. 機能や役割を旧ドメインコントローラーから 新ドメインコントローラーへ移動。
3. 旧ドメインコントローラーを停止、撤去。
新ドメインコントローラー 旧ドメインコントローラー
Active Directory ドメイン
① 新ドメインコントローラーを追加
② 機能や役割を移動。
③ 旧ドメインコントローラーを撤去
9
Copyright 2011 ITdesign Corporation , All Rights Reserved
再構築による移行の概要
1. 新ドメインを構築。
2. ユーザーやコンピューターなどアカウントを 旧ドメインから新ドメインへ移動。 アカウント移動はADMT(Active Directory Migration Tool)を、パスワード移行はPES(Password Export Server)を利用。
3. 旧ドメインを停止。
新 Active Directory ドメイン
① 新ドメインを構築
② ユーザーやコンピューター などアカウントを移動。
③ ドメインを停止。
旧 Active Directory ドメイン
10
再構築による移行の注意点
• ドメインを新規構築して、アカウントを移動するため、手間がかかる。
• ドメイン名など、設定や環境が大きく変わるため、各種システムへの影響が大きい。
• 旧ドメインに参加していたコンピューターなどは、新ドメインへ参加しなおす必要があるため、再起動必須。 (ADMTによって自動的に再起動させることは可能)
• 移行はマイクロソフトの無償のツールである ADMT(Active Directory Migration Tool)を使うが、 結構難易度が高い。。。
• Windows Server 2000 ベースのActive Directoryを 再構築でWindows Server 2008 R2ベースに移行することはできません。 Copyright 2011 ITdesign Corporation ,
All Rights Reserved 11
移行のためのActive Directory関連用語の整理(1/4)
• フォレスト 1 つ以上の Active Directory ドメインの集合。同じクラスと属性の定義 (スキーマ)、サイトおよびレプリケーションの情報 (構成)、およびフォレスト全体の検索機能 (グローバル カタログ) を共有します。同じフォレストにあるドメインは双方向の推移性の信頼関係でリンクされています。
(ADMTのヘルプより引用。。。)
Copyright 2011 ITdesign Corporation , All Rights Reserved
12
移行のためのActive Directory関連用語の整理(2/4)
• 機能レベル ドメインまたはフォレストの機能レベルは、対象のドメインまたはフォレストで利用できる高度の Active Directory の各機能を定義します。ドメインまたはフォレストの機能レベルは、対象のドメインまたはフォレストにあるドメイン コントローラーで動作できる Windows オペレーティング システムの種類も定義します。
機能レベルには、次のような重要な注意点があります。
・機能レベルを上げると、古いドメインコントローラーが存在できなくなる。(メンバーサーバーは古くてもOK)
・機能レベルは「上げる」ことはできるけど、「下げる」ことは(基本的には)できない。
・機能レベルに依存したアプリケーションがまれにあるため要注意。 (例えば、Exchange 2003が存在するドメインは「Windows Server 2008」以上の機能レベルはサポートされない、など)
Copyright 2011 ITdesign Corporation , All Rights Reserved
13
移行のためのActive Directory関連用語の整理(3/4)
• FSMO(Flexible Single Master Operation) 「操作マスター」とも呼ばれます。 フォレスト内やドメイン内の1台のドメインコントローラーでしか保持できない機能。 特に、アップグレードの移行の際には、これをどのタイミングで、どの新ドメインコントローラーに移すかが重要。 次の5つがあります。 – スキーママスター
– ドメイン名前付けマスター
– PDCエミュレーター
– RIDマスター
– インフラストラクチャマスター
Copyright 2011 ITdesign Corporation , All Rights Reserved
14
移行のためのActive Directory関連用語の整理(4/4)
• セキュリティ識別子 (SID) ユーザー、グループ、およびコンピューターのアカウントを識別する可変長のデータ構造。ネットワーク上のすべてのアカウントに対して、そのアカウントが最初に作成されたときに、一意の SID が発行されます。Windows の内部処理では、ユーザー名やグループ名ではなく、アカウントの SID が参照されます。
(ADMTのヘルプより引用。。。)
• 再構築による移行の際には、「SIDの履歴」という機能を使うかどうかがカギ。 この機能を使うことにより、移行するアカウント(例えばユーザーアカウント)に新旧2つのドメインのSIDが割り当てられます。これにより、移行中に新旧どちらのドメインのリソースにもアクセスできるようになります。
Copyright 2011 ITdesign Corporation , All Rights Reserved
15
ADMTって?
• Active Directoryを再構築して各種アカウントを移行する際に必須のツール。
• Windows Serverのバージョンに合わせて複数バージョンが存在する。
• Windows Server 2008 R2に対応したものはADMT 3.2。 (SQL Server Express Editionが組み込まれなくなった)
• ADMTを使って再構築、移行するときはこのドキュメントは絶対読みましょう!!
Active Directory 移行ツール (ADMT) ガイド : Active Directory ドメインの移行と再構築
http://www.microsoft.com/downloads/ja-jp/details.aspx?FamilyID=6D710919-1BA5-41CA-B2F3-C11BCB4857AF
Copyright 2011 ITdesign Corporation ,
All Rights Reserved 16
アップグレードによる移行の方法(1/3)
• Windows Server 2003ベースのActive Directoryを、 Windows Server 2008 R2ベースのものにアップグレードして移行するときの手順の例です。(構成や環境によっては手順が異なる場合があります) 画面ショット付の詳細は、ぜ、ぜひ、書籍のほうで。。。(宣伝)
1. 準備をします。各種アプリケーションなどが新たなドメイン環境に合致しているか確認します。また、ドメインコントローラーのバックアップなどを採取します。
2. ドメインの機能レベルを「Windows 2000 ネイティブ」以上に上げます。
3. フォレストのスキーマを拡張します。( adprep32 /forestprep )
4. RODCのためのスキーマを拡張します。( adprep32 /rodcprep )
5. ドメインのスキーマを拡張します。( adprep32 /domainprep /gpprep )
6. Windows Server 2008 R2コンピューターをドメインに参加させて、ドメインコントローラーに昇格させます。(スキーマを拡張しているからこそ、新しいWindows Serverをドメインコントローラーにすることができます。)
(続く) Copyright 2011 ITdesign Corporation ,
All Rights Reserved 17
アップグレードによる移行の方法(2/3)
7. FSMO・操作マスターを旧ドメインコントローラーから、新ドメインコントローラーへ移します。GUIでもできますが、あらかじめコマンドを用意しておいたほうがラクです。 ntdsutil “roles” “connections” “connect to server (新DC名)" quit "transfer schema master" quit quit ntdsutil "roles" "connections" "connect to server (新DC名)" quit "transfer naming master" quit quit ntdsutil "roles" "connections" "connect to server (新DC名)" quit "transfer RID master" quit quit ntdsutil "roles" "connections" "connect to server (新DC名)" quit "transfer PDC" quit quit ntdsutil "roles" "connections" "connect to server (新DC名)" quit "transfer infrastructure master" quit quit
8. DNSサーバーやNTPサーバーの微調整を行います。
9. 旧ドメインコントローラーをメンバーサーバーに降格させます。 (使用しないのであればドメインから削除して停止します。)
(続く)
Copyright 2011 ITdesign Corporation , All Rights Reserved
18
アップグレードによる移行の方法(3/3)
• 前のページの手順までで、Windows Server 2008 R2ベースのActive Directoryにアップグレードが完了していますが、必要に応じて次のような追加操作も行います。
• 機能レベルを上げる。 最新の機能を使うことができるようになる。 一度上げた機能レベルは(基本的には)下げることができない、古いドメインコントローラーを追加できなくなる、新しい機能レベルに対応していないアプリケーションがあるかも、など懸念点いろいろ。
• SYSVOLの複製方法を変更する。 従来のFRS(File Replication Service)から、DFS-R(DFS Replication)に変更することが可能。複製パフォーマンスの向上などが期待できる。
• ベストプラクティスアナライザーを使って構成をチェックする。
Copyright 2011 ITdesign Corporation , All Rights Reserved
19
アップグレードによる移行の補足・注意点
• IPアドレスの変更(入れ替え)について ドメインコントローラーがDNSサーバーやDHCPサーバーを兼ねていて、ドメインに参加しているコンピューターのそれら設定(参照設定)を変更することが困難な場合は、旧ドメインコントローラーのIPアドレスを、新ドメインコントローラーに引き継ぐことを検討する。 (ただし、同じIPながら実体は変わっているため、ドメインに参加しているコンピューター側でケルベロスのエラーなどが発生する可能性がある。ドメインに参加しているコンピューターを一度リブートしたほうがいいかも。)
• 旧ドメインコントローラーの降格不可について データベースが破損している場合などには、旧ドメインコントローラーが通常の方法(dcpromoを素で動かした方法)で降格できない場合があります。 その際は次の情報などを参照しながら強制削除します。
ドメイン コントローラーの降格に失敗した後、Active Directory のデータを削除する方法
http://support.microsoft.com/kb/216498
Copyright 2011 ITdesign Corporation , All Rights Reserved
20
再構築による移行の方法(1/4)
• Windows Server 2003ベースのActive Directoryを、 Windows Server 2008 R2ベースのものに再構築して移行するときの手順の例です。フォレスト間移行、SID履歴を使用する場合を想定しています。 (構成や環境によっては手順が大きく異なります)
1. 準備をします。各種アプリケーションなどが新たなドメイン環境に合致しているか確認します。また、ドメインコントローラーのバックアップなどを採取します。
2. 移行元ドメインの機能レベルを「Windows Server 2003」に上げます。
3. Windows Server 2008 R2コンピューターによる、新ドメイン・移行先ドメインを構築します。
4. 旧ドメイン・移行元ドメインと、移行先ドメインとの間で信頼関係を結びます。また、そのためにDNSに相手のセカンダリゾーンを登録したり、条件付きフォワーダーを設定して、相互に名前解決ができるようにします。
5. 移行元ドメインに移行用ユーザーアカウントを登録します。 もしくは、お互いにDomain Adminsグループを相手のAdministratorsグループのメンバーとします。
(続く) Copyright 2011 ITdesign Corporation ,
All Rights Reserved 21
再構築による移行の方法(2/4)
6. ADMT実行のための準備(SID履歴監査のためのグループ登録、監査設定、場合によっては一部レジストリー操作)を行います。ただし、この操作は初めてADMTを実行するときに自動で行うこともできます。
7. 移行先ドメインに参加しているWindows Server 2008 R2コンピューター(ドメインコントローラーよりもメンバーサーバーを推奨)に、SQL Server Express Editionを「Windows認証モード」でインストール。 (2005であればSP3以上、2008であればSP1以上)
8. (SQL Serverをインストールしたサーバーに)ADMT3.2をインストール。
9. コマンドプロンプトでADMT付属のコマンドを実行して、パスワード移行用のキーファイルを作成する。また、このファイルを移行元ドメインコントローラーにコピーする。
10.移行元ドメインコントローラーにPESをインストールする。その際に移行先からコピーしたPESのキーファイルを指定する。なお、PESはサービスとして動作するが、アカウント移行時のみ起動することが推奨されている。
11.(ADMT実行のための準備を行っていない場合には、この時点でADMTを使ってグローバルグループのテスト移行を行う。これにより準備が自動実行される。)
(続く) Copyright 2011 ITdesign Corporation ,
All Rights Reserved 22
再構築による移行の方法(3/4)
12.サービスアカウントの識別操作を行うために、ADMTで「サービスアカウントの移行ウィザード」を実行する。ここで指定したコンピューターにエージェントが送り込まれて、サービスアカウントのチェックを行う。
13.サービスアカウントの切り替え操作を行うために、ADMTで「ユーザーアカウントの移行ウィザード」を実行する。
14.グローバルグループの一回目の移行を行うために、ADMTで「グループアカウントの移行ウィザード」を実行する。
15.ユーザーアカウントの移行を行うために、ADMTで「ユーザーアカウントの移行ウィザード」を実行する。ただしこの時点では移行先ではユーザーアカウントは無効のままとしておく。
16.ユーザープロファイルの移行のために、ADMTで「セキュリティの変換ウィザード」を実行する。
17.ワークステーション(ドメインに参加しているコンピューター)の移行のために、ADMTで「コンピューターの移行ウィザード」を実行する。ここで指定したコンピューターにエージェントが送り込まれて、参加ドメインの変更処理が行われる。また、指定した時間後に自動再起動する。
(続く) Copyright 2011 ITdesign Corporation ,
All Rights Reserved 23
再構築による移行の方法(4/4)
18.ユーザーアカウントの最終の移行を行うために、ADMTで「ユーザーアカウントの移行ウィザード」を再び実行する。このときにPESのサーバーの指定などを行って、パスワードを引き継ぎながら移行する。
19.グローバルグループの再度の移行を行うために、ADMTで「グループアカウントの移行ウィザード」を実行する。
20.ファイルサーバーなど、リソースの移動を行う。
21.(必要であれば)移行元ドメインのドメインコントローラーを降格させて、移行先ドメインのドメインコントローラーに昇格させる。
22.信頼関係を解除する。
Copyright 2011 ITdesign Corporation , All Rights Reserved
24
各種機能の移行
• Active Directory環境で利用されることが多い、次の機能の移行についてのヒントです。 – グループポリシー
– DNS
– DHCP
– WINS
– ファイルサーバー
Copyright 2011 ITdesign Corporation , All Rights Reserved
25
グループポリシーの移行
• アップグレードによる移行の場合は、グループポリシーもそのまま移行されます。
• 再構築による移行の場合は、ADMTを使ってグループポリシーを移行することはできないため、GPMC(Group Policy Management Console)を使って移行する必要があります。
1. GPMCを使って移行元ドメインのグループポリシーをバックアップ。移行先ドメインへコピー。
2. 移行テーブルエディターを使ってチェック。セキュリティプリンシパル(ユーザー、グループ、コンピューター)やUNCパスなどが定義されている場合は書き換え。
3. GPMCを使って移行先ドメインにGPO(Group Policy Object)を作って、移行元ドメインからコピーしてきたグループポリシー(GPO)をインポート。その際に必要であれば移行テーブルを指定。
Copyright 2011 ITdesign Corporation , All Rights Reserved
26
DNSの移行
• アップグレードによる移行の場合は、Active Directory統合のゾーンは自動で移行、複製されるはず。
• プライマリー/セカンダリーゾーンの場合は、複製を取らせて移行を実行。
• ゾーンの編集は dnscmd コマンドが便利。
セカンダリーゾーンを作る例
dnscmd /ZoneAdd (ゾーン名) /Secondary (マスターサーバーのアドレス)
DNS転送設定を「すべてのサーバー」にする例
dnscmd /ZoneResetSecondaries (ゾーン名)
セカンダリーゾーンをプライマリーゾーンに変更する例
dnscmd /zoneresettype (ゾーン名) /Primary /file (ゾーンファイル名)
(その他使い方いろいろ)
Copyright 2011 ITdesign Corporation , All Rights Reserved
27
DHCPの移行
• DHCPサーバーのデータベースを複製することにより、移行は完了。
• Windows Server 2003ベースのDHCPサーバーを、 Windows Server 2008 R2ベースのDHCPサーバーへ移行、なんてのもOK。
1. 新DHCPサーバーをセットアップ。DHCPサービスをいったん停止して、データベースファイル(dhcp.mdb)を削除。その後サービスを起動。
2. 旧DHCPサーバーで次のコマンドを実行して、データベースをエクスポート。 netsh dhcp server export dhcpserver.dat all エクスポートしたデータを新DHCPサーバーにコピー。
3. 新DHCPサーバーで次のコマンドを実行して、コピーしたデータベースをインポート。 netsh dhcp server import dhcpserver.dat all
Copyright 2011 ITdesign Corporation , All Rights Reserved
28
WINSの移行
• WINSサーバー間の通常のレプリケーションでデータを移行。
• 十分にレプリケーションが終わったところで複製を解除。終わり。
ファイルサーバーの移行
• FSMT(File Server Migration Toolkit)を使うと、セキュリティ設定を保持したまま新旧ファイルサーバー間でファイルやフォルダーの複製ができる。。。んだそう。
Microsoft File Server Migration Toolkit 1.2
http://www.microsoft.com/downloads/ja-jp/details.aspx?displaylang=ja&FamilyID=d00e3eae-930a-42b0-b595-66f462f5d87b
Copyright 2011 ITdesign Corporation , All Rights Reserved
29
Active Directoryの移行に関してその他いろいろ
• 移行計画、トラブル発生時の復旧計画をしっかり立てることがとても重要です。
• 特に、事前の検証はできるだけ時間をかけて行いたいところです。
• 検証環境は可能な限り実環境に近いものを用意することを強く推奨します。 ドメインやドメインコントローラーの名前やIPアドレス、台数、機能レベル、などなど、できるだけ。また、アプリケーションサーバーなども可能な限り再現を。
• もしも許されるのであれば、実環境をP2Vで仮想マシン上に移して、クローズされた環境で検証すると確実かも。 Disk2vhdでVHDファイル化して、Hyper-Vで検証なんかできるとよさそう。 (私もそういったP2V化した環境で事前検証したいといつも考えいるけど、なにぶんにもそこに含まれているデータはアカウント情報だから、お客様環境以外に持ち出したくない、といった事情もあって、結局毎回スクラッチで限りなくお客様環境に近い検証環境を再現して、何度も何度も移行検証していたりします。。。そういうときにHyper-Vのスナップショットは本当に便利。)
Copyright 2011 ITdesign Corporation , All Rights Reserved
30
おしまい
Copyright 2011 ITdesign Corporation , All Rights Reserved
31