Active Directoryドメインをアップグレードする今から始めるWindows Server 2003移行のススメ(2)

Active Directoryドメインの移行には、「ドメインをアップグレードする」と「ドメインを再編して、オブジェクトを移行する」の2パターンがある。今回は「ドメインをアップグレードする」場合の手順を解説する。

» 2014年05月09日 18時00分 公開
[阿部直樹(Microsoft MVP for Hyper-V)エディフィストラーニング株式会社]
「今から始めるWindows Server 2003移行のススメ」のインデックス

連載目次

Active Directoryドメインのアップグレード方法

 今回は、既存のドメインをそのまま使用してアップグレードする「ドメインアップグレード」の方法を解説する。Active Directoryドメインをアップグレードする場合は、既存のドメイン環境に新しいドメインコントローラー(Windows Server 2012 R2)を追加して、古いドメインコントローラー(Windows Server 2003)を削除するという手順になる。具体的な作業の流れは次のようになる。

(1)既存環境のバックアップ

(2)各種準備作業

(3)機能レベルの昇格

(4)既存環境への新規OSのドメインコントローラー追加

(5)操作マスター(FSMO)の移行作業

(6)古いドメインコントローラーの降格

(7)機能レベルの昇格

(8)移行後の追加作業

 それでは、それぞれの作業を具体的に説明していこう。

(1)既存環境のバックアップ

 移行作業を始める前に、全ての環境をロールバック可能な状態にするため、システム全体のバックアップを取得する。もし、何らかの障害が発生した場合にはバックアップメディアから復元を行って、システムを作業前の状態に戻さなくてはいけないので必須の作業となる。

 また、複数のドメインコントローラーが存在する場合には、1台のドメインコントローラー(「操作マスター」(FSMO)ではない)をネットワークから切り離しておき、そのドメインコントローラーを起点として既存のドメイン環境を戻すというテクニックもある。問題なく移行が進むのであれば、そのドメインコントローラーをネットワークに接続することで新規ドメインコントローラーからレプリケーションが行われて移行が完了する。

(2)各種準備作業

 既存環境のサーバーOS、主にドメインコントローラー上で稼働しているアプリケーションやデバイスドライバーが、新しいOSに対応しているかどうかを事前に調査しておく。よくある例としては、プリンタードライバーの問題があるだろう。旧式のプリンターを使用していると、新しいOSには対応していないことも多い。

 また、マルウェア対策ソフトウェアなどは必須のアプリケーションとなるが、多くの場合、OSが新しくなるとアプリケーション自体をバージョンアップしないと動作しないことがあるので注意が必要だ。

(3)機能レベルの昇格

 既存環境にWindows 2000 Serverのドメインコントローラーが存在する場合は、降格するか廃止する方向で検討する。その理由は、Windows Server 2012 R2のドメインコントローラーを追加する際には、ドメインおよびフォレストの機能レベルが「Windows Server 2003」の要件を満たす必要があるからだ。機能レベルの昇格は、管理ツールの「Active Directoryドメインと信頼関係」から行う(画面1画面2)。

 ここで注意してほしいのは、一度機能レベルを昇格したら、あとで降格することはできないということだ。

画面1 画面1 ドメイン機能レベルの昇格。Windows 2000 Serverが存在する場合は、そのドメインコントローラーは降格か廃止を検討しよう
画面2 画面2 フォレスト機能レベルの昇格。ドメインの機能レベルと同様、Windows Server 2012 R2を追加する場合は、機能レベルを「Windows Server 2003」以上にする

(4)既存環境への新規OSのドメインコントローラー追加

 ここから本格的にドメインの移行作業が始まる。まずは、新たに追加するWindows Server 2012 R2コンピューターをドメインに参加させ、ドメインの管理者として操作を行う。具体的には、管理ツールの「サーバーマネージャー」から「役割と機能の追加ウィザード」を起動し、「サーバーの役割の選択」から「サーバーの役割」として「Active Directoryドメインサービス」を追加する(画面3)。

画面3 画面3 「サーバーマネージャー」で「Active Directoryドメインサービス」を追加する

 次に、「役割と機能の追加ウィザード」の「結果」ページに表示される「このサーバーをドメインコントローラーに昇格する」のリンクを開き、「Active Directoryドメインサービス構成ウィザード」を起動して、作業を進める(画面4)。

画面4 画面4 「Active Directoryドメインサービス構成ウィザード」で既存のドメインへの追加作業を行う

 その際には「既存のドメインにドメインコントローラーを追加する」を選択して、ウィザードを進める。

 Windows Server 2008 R2まではドメインコントローラーを追加する前に準備作業として、「adprep」コマンドでのスキーマパーティションの拡張作業などを手動で行っていた。Windows Server 2012以降のドメインコントローラーの追加作業では、「Active Directoryドメインサービスの構成」ウィザードに従って操作を進めるだけで、必要な作業が自動的に行われるので、容易にドメインをアップデートできるようになった。

(5)操作マスター(FSMO)の移行作業

 「操作マスター」(Flexible Single Master Operation:以下、FSMO)は、通常フォレストルートドメイン(1台目のDC)に導入されており、自動的には移動しない。従って、既存環境であるWindows Server 2003上に存在しているはずだ。今後の作業で全てのWindows Server 2003を削除するので、FSMOも移行しておかなければならない。

 FSMOはマルチマスターレプリケーションの競合の課題を解決するため、Active Directoryにおける重要機能(シングルマスターレプリケーションとして動作)を抜き出したものである。それぞれの役割と配置は次の通り(表1)。

【スキーママスター】

  • スキーマに対して発生する全ての更新を制御する
  • 全てのActive Directoryオブジェクトの作成に使用されるオブジェクトクラスおよび属性一覧のマスターを格納する
  • スキーマパーティションの標準的なレプリケーションにより、Active Directoryスキーマに対する更新をフォレスト内の全てのドメインコントローラーにレプリケートする
  • スキーマに対する変更許可を「Schema Admins」グループのメンバーだけに制限する

【ドメイン名前付けマスター】

  • フォレスト内のドメイン追加およびドメイン削除を制御する

【PDC(プライマリドメインコントローラー)エミュレーター】

  • パスワードの変更に要する“レプリケーションの潜在期間”を最小化する
  • ドメイン内の全てのドメインコントローラーの時間をPDCエミュレーターの時間に同期させる
  • GPO(グループポリシーオブジェクト)の上書きを防ぐ

【RID(Relative ID)マスター】

  • オブジェクトを作成する
  • オブジェクトを移動する

【インフラストラクチャマスター】

  • 外部参照オブジェクトに対する制御を行う
表1 表1 FSMOの配置

 FSMOの移行には、GUIの管理ツールを使用する方法とコマンドを使用する方法がある。GUIの管理ツールで作業する場合、全てのFSMOを移行するには複数のツールを使用しなければならないので、ここではコマンドによるFSMOの移行方法を紹介する。次の「Ntdsutil」コマンドを使用すれば、全てのFSMOの移行ができる。

ntdsutil

activate instance ntds

roles

connections

connect to server <servername>

*<servername> は転送先のサーバー名を入力する

q

transfer naming master

transfer infrastructure master

transfer PDC

transfer RID master

transfer schema master

q


 まれに、FSMOの移行に失敗することがある。その場合は強制的に移行を行う必要がある。強制移行の方法は、以下のサポート技術情報を参考にしてほしい。

(6)古いドメインコントローラーの降格

 Windows Server 2003ドメインコントローラーにDNS(Domain Name System)サーバーが併置されており、かつ「Active Directory統合モード」で構成されていた場合、ドメインコントローラーを降格するとDNSサーバーも削除される。その際、プライマリDNSサーバーが自分自身に設定されていると正常にシャットダウンできないなどの弊害が発生するので、あらかじめプライマリDNSサーバーのIPアドレスを新規ドメインコントローラーのDNSサーバーに設定しておく。

 具体的には、Windows Server 2003ドメインコントローラーで「dcpromo.exe」を実行し、「Active Directoryのインストールウィザード」で「降格」する。ドメインコントローラーの降格に失敗する場合は、「dcpromo.exe /forceremoval」コマンドで強制的に降格してから「メタデータクリーンアップ」処理を行う。

(7)機能レベルの昇格

 Windows Server 2012 R2のドメインコントローラーを追加した初期段階の機能レベルは「Windows Server 2003」になっているはずだ。これは、全てのWindows Server 2003のドメインコントローラーの降格および廃棄を行うことで、機能レベルを昇格することができる。機能レベルには次のものがある。

  • Windows Server 2003/2003 R2
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

 機能レベルはドメインコントローラーのOSのバージョンに依存する。例えば、Windows Server 2008のドメインコントローラーとWindows Server 2012 R2のドメインコントローラーが共存するドメインでは、機能レベルは「Windows Server 2008」に制限される。そして、これまでは機能レベルは一度昇格すると降格することはできなかった。しかし、その条件がWindows Server 2008 R2で変更された。

 Windows Server 2008 R2以降では、機能レベルは「Windows Server 2008」をスタート地点として行き来できるようなった(図1)。ただし、次の要件がある。

  • ドメイン機能レベルはフォレスト機能レベルと同等のレベルまで下げることが可能
  • 「Active Directoryごみ箱」が有効な場合は、Windows Server 2008 R2まで下げることが可能
図1 図1 機能レベルの遷移

 特別な要件がない限り、機能レベルの降格はトラブルの原因になる可能性があるのでお勧めしない。例えば、「Forefront Identity Manager」は現時点ではWindows Server 2012 R2との接続はサポートされていないので、Windows Server 2012のドメインコントローラーが必要になる。しかし、機能レベルがWindows Server 2012 R2の場合には、Windows Server 2012のドメインコントローラーを追加することはできないのだ。このような場合に、機能レベルを降格することで対処することになるだろう。

 機能レベルの昇格は主にGUIの管理ツール「Active Directoryドメインと信頼関係」で対応していたが、このツールでは降格することはできない。そこで、降格にはWindows PowerShellのコマンドレットを使用する。

ドメイン機能レベルを昇格する場合

Set-ADDomainMode -DomainMode <機能レベル> -Identity <ドメイン名>

フォレスト機能レベルを昇格する場合

Set-ADForestMode -ForestMode <機能レベル> -Identity <ドメイン名>


(8)移行後の追加作業

 Windows Server 2012 R2への移行が完了したら、追加の作業を行うことが可能だ。Windows Server 2003のドメインコントローラーにはなかった新しい機能がWindows Server 2012 R2のドメインコントローラーでは使用できるので、検討してもよいだろう。筆者がお勧めする追加作業としては次のものがある。

  • セントラルストアの追加
  • Active Directoryごみ箱機能を有効化
  • SYSVOLのレプリケーションプロトコルの変更

 「セントラルストア」はWindows Server 2008以降で利用できる機能で、「C:\Windows\PolicyDefinitions」フォルダーを「C:\Windows\SYSVOL\domain\Policies」配下にコピーすることによって対処する。これにより、GPOを編集する際にセントラルストアのADMXファイルを参照するようになり、管理用テンプレートの一元管理が可能になる。Officeアプリケーションなどの管理用テンプレートをセントラルストアに追加することで、全てのコンピューターに管理用テンプレートをインストールする必要がなくなり、管理が容易になる。

 「Active Directoryごみ箱」はWindows Server 2008 R2以降で利用できる機能で、削除したActive Directoryオブジェクトをごみ箱から復元できる。バックアップから復元する必要がなくなるため、Active Directoryドメインを運用するIT管理者にとっては非常に強力な機能になる。Windows Server 2008 R2ではWindows PowerShellコマンドでの有効化操作が必要だったが、Windows Server 2012 R2ではGUIの管理ツール「Active Directory管理センター」から有効化できる(画面5)。

画面5 画面5 「Active Directoryごみ箱」は「Active Directory管理センター」管理ツールから有効化できる

 「SYSVOL」のレプリケーションプロトコルとしては、インストール時の機能レベルが「Windows Server 2008」未満の場合、Windows 2000 Serverから使用されていた「FRS(ファイルレプリケーションサービス)」が使用される。現在はFRSを改良した「DFS-R」(分散ファイルシステムレプリケーション)がSYSVOLのレプリケーションプロトコルとして使用できる。FRSからDFSRへ移行することで次のメリットが得られる。

  • DFS-Rでは差分のみを複製するため、ネットワークの負荷が軽減される
  • DFS-RはJournal Wrap Errorから自動復旧できる

 FRSからDFSRへの移行は「Dfsrmig」コマンドで行う。「dfsrmig.exe /GetGlobalState」コマンドを実行することで、各状態が正常に移行できたかどうかを確認できる。

dfsrmig.exe /CreateGlobalObjects

dfsrmig.exe /GetGlobalState

dfsrmig.exe /SetGlobalState 1

dfsrmig.exe /GetGlobalState

dfsrmig.exe /SetGlobalState 2

dfsrmig.exe /GetGlobalState

dfsrmig.exe /SetGlobalState 3


 最新のWindows Server 2012 R2には他にも有用な機能が搭載されているので、自社で活用できそうなものは積極的に取り入れてみてはどうだろうか。

マイクロソフトが期間限定公開中 Active Directoryのスキルをブラッシュアップしよう!

 クラウドの登場により、Active Directoryに求められる役割も変化しつつあります。

 クラウドに対応させるためのActive Directoryの設計ポイントとはどにあるのか? iOSやAndroidは、Active Directoryにどう絡むのか? Azure Active Directoryとは何者か? 生産性を高めるためのセキュリティを実現するには、どのようなインフラが必要か?

 今こそ、Active Directoryの役割を再学習し、古い知識をリセットしましょう!


筆者紹介

阿部 直樹(あべ なおき)

エディフィストラーニング株式会社所属のマイクロソフト認定トレーナー。Active Directory、Network、Security、Hyper-V、Clusterなどを担当。マイクロソフト トレーナー アワード(2010年)およびMicrosoft MVP for Hyper-V(Apr 2010 - Mar 2014)を受賞。個人ブログ『MCTの憂鬱』でマイクロソフト関連情報を発信中。


Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。