Active Directoryドメインの移行には、「ドメインをアップグレードする」と「ドメインを再編して、オブジェクトを移行する」の2パターンがある。今回は「ドメインをアップグレードする」場合の手順を解説する。
今回は、既存のドメインをそのまま使用してアップグレードする「ドメインアップグレード」の方法を解説する。Active Directoryドメインをアップグレードする場合は、既存のドメイン環境に新しいドメインコントローラー(Windows Server 2012 R2)を追加して、古いドメインコントローラー(Windows Server 2003)を削除するという手順になる。具体的な作業の流れは次のようになる。
(1)既存環境のバックアップ
(2)各種準備作業
(3)機能レベルの昇格
(4)既存環境への新規OSのドメインコントローラー追加
(5)操作マスター(FSMO)の移行作業
(6)古いドメインコントローラーの降格
(7)機能レベルの昇格
(8)移行後の追加作業
それでは、それぞれの作業を具体的に説明していこう。
移行作業を始める前に、全ての環境をロールバック可能な状態にするため、システム全体のバックアップを取得する。もし、何らかの障害が発生した場合にはバックアップメディアから復元を行って、システムを作業前の状態に戻さなくてはいけないので必須の作業となる。
また、複数のドメインコントローラーが存在する場合には、1台のドメインコントローラー(「操作マスター」(FSMO)ではない)をネットワークから切り離しておき、そのドメインコントローラーを起点として既存のドメイン環境を戻すというテクニックもある。問題なく移行が進むのであれば、そのドメインコントローラーをネットワークに接続することで新規ドメインコントローラーからレプリケーションが行われて移行が完了する。
既存環境のサーバーOS、主にドメインコントローラー上で稼働しているアプリケーションやデバイスドライバーが、新しいOSに対応しているかどうかを事前に調査しておく。よくある例としては、プリンタードライバーの問題があるだろう。旧式のプリンターを使用していると、新しいOSには対応していないことも多い。
また、マルウェア対策ソフトウェアなどは必須のアプリケーションとなるが、多くの場合、OSが新しくなるとアプリケーション自体をバージョンアップしないと動作しないことがあるので注意が必要だ。
既存環境にWindows 2000 Serverのドメインコントローラーが存在する場合は、降格するか廃止する方向で検討する。その理由は、Windows Server 2012 R2のドメインコントローラーを追加する際には、ドメインおよびフォレストの機能レベルが「Windows Server 2003」の要件を満たす必要があるからだ。機能レベルの昇格は、管理ツールの「Active Directoryドメインと信頼関係」から行う(画面1、画面2)。
ここで注意してほしいのは、一度機能レベルを昇格したら、あとで降格することはできないということだ。
ここから本格的にドメインの移行作業が始まる。まずは、新たに追加するWindows Server 2012 R2コンピューターをドメインに参加させ、ドメインの管理者として操作を行う。具体的には、管理ツールの「サーバーマネージャー」から「役割と機能の追加ウィザード」を起動し、「サーバーの役割の選択」から「サーバーの役割」として「Active Directoryドメインサービス」を追加する(画面3)。
次に、「役割と機能の追加ウィザード」の「結果」ページに表示される「このサーバーをドメインコントローラーに昇格する」のリンクを開き、「Active Directoryドメインサービス構成ウィザード」を起動して、作業を進める(画面4)。
その際には「既存のドメインにドメインコントローラーを追加する」を選択して、ウィザードを進める。
Windows Server 2008 R2まではドメインコントローラーを追加する前に準備作業として、「adprep」コマンドでのスキーマパーティションの拡張作業などを手動で行っていた。Windows Server 2012以降のドメインコントローラーの追加作業では、「Active Directoryドメインサービスの構成」ウィザードに従って操作を進めるだけで、必要な作業が自動的に行われるので、容易にドメインをアップデートできるようになった。
「操作マスター」(Flexible Single Master Operation:以下、FSMO)は、通常フォレストルートドメイン(1台目のDC)に導入されており、自動的には移動しない。従って、既存環境であるWindows Server 2003上に存在しているはずだ。今後の作業で全てのWindows Server 2003を削除するので、FSMOも移行しておかなければならない。
FSMOはマルチマスターレプリケーションの競合の課題を解決するため、Active Directoryにおける重要機能(シングルマスターレプリケーションとして動作)を抜き出したものである。それぞれの役割と配置は次の通り(表1)。
【スキーママスター】
【ドメイン名前付けマスター】
【PDC(プライマリドメインコントローラー)エミュレーター】
【RID(Relative ID)マスター】
【インフラストラクチャマスター】
FSMOの移行には、GUIの管理ツールを使用する方法とコマンドを使用する方法がある。GUIの管理ツールで作業する場合、全てのFSMOを移行するには複数のツールを使用しなければならないので、ここではコマンドによるFSMOの移行方法を紹介する。次の「Ntdsutil」コマンドを使用すれば、全てのFSMOの移行ができる。
ntdsutil
activate instance ntds
roles
connections
connect to server <servername>
*<servername> は転送先のサーバー名を入力する
q
transfer naming master
transfer infrastructure master
transfer PDC
transfer RID master
transfer schema master
q
まれに、FSMOの移行に失敗することがある。その場合は強制的に移行を行う必要がある。強制移行の方法は、以下のサポート技術情報を参考にしてほしい。
Windows Server 2003ドメインコントローラーにDNS(Domain Name System)サーバーが併置されており、かつ「Active Directory統合モード」で構成されていた場合、ドメインコントローラーを降格するとDNSサーバーも削除される。その際、プライマリDNSサーバーが自分自身に設定されていると正常にシャットダウンできないなどの弊害が発生するので、あらかじめプライマリDNSサーバーのIPアドレスを新規ドメインコントローラーのDNSサーバーに設定しておく。
具体的には、Windows Server 2003ドメインコントローラーで「dcpromo.exe」を実行し、「Active Directoryのインストールウィザード」で「降格」する。ドメインコントローラーの降格に失敗する場合は、「dcpromo.exe /forceremoval」コマンドで強制的に降格してから「メタデータクリーンアップ」処理を行う。
Windows Server 2012 R2のドメインコントローラーを追加した初期段階の機能レベルは「Windows Server 2003」になっているはずだ。これは、全てのWindows Server 2003のドメインコントローラーの降格および廃棄を行うことで、機能レベルを昇格することができる。機能レベルには次のものがある。
機能レベルはドメインコントローラーのOSのバージョンに依存する。例えば、Windows Server 2008のドメインコントローラーとWindows Server 2012 R2のドメインコントローラーが共存するドメインでは、機能レベルは「Windows Server 2008」に制限される。そして、これまでは機能レベルは一度昇格すると降格することはできなかった。しかし、その条件がWindows Server 2008 R2で変更された。
Windows Server 2008 R2以降では、機能レベルは「Windows Server 2008」をスタート地点として行き来できるようなった(図1)。ただし、次の要件がある。
特別な要件がない限り、機能レベルの降格はトラブルの原因になる可能性があるのでお勧めしない。例えば、「Forefront Identity Manager」は現時点ではWindows Server 2012 R2との接続はサポートされていないので、Windows Server 2012のドメインコントローラーが必要になる。しかし、機能レベルがWindows Server 2012 R2の場合には、Windows Server 2012のドメインコントローラーを追加することはできないのだ。このような場合に、機能レベルを降格することで対処することになるだろう。
機能レベルの昇格は主にGUIの管理ツール「Active Directoryドメインと信頼関係」で対応していたが、このツールでは降格することはできない。そこで、降格にはWindows PowerShellのコマンドレットを使用する。
ドメイン機能レベルを昇格する場合
Set-ADDomainMode -DomainMode <機能レベル> -Identity <ドメイン名>
フォレスト機能レベルを昇格する場合
Set-ADForestMode -ForestMode <機能レベル> -Identity <ドメイン名>
Windows Server 2012 R2への移行が完了したら、追加の作業を行うことが可能だ。Windows Server 2003のドメインコントローラーにはなかった新しい機能がWindows Server 2012 R2のドメインコントローラーでは使用できるので、検討してもよいだろう。筆者がお勧めする追加作業としては次のものがある。
「セントラルストア」はWindows Server 2008以降で利用できる機能で、「C:\Windows\PolicyDefinitions」フォルダーを「C:\Windows\SYSVOL\domain\Policies」配下にコピーすることによって対処する。これにより、GPOを編集する際にセントラルストアのADMXファイルを参照するようになり、管理用テンプレートの一元管理が可能になる。Officeアプリケーションなどの管理用テンプレートをセントラルストアに追加することで、全てのコンピューターに管理用テンプレートをインストールする必要がなくなり、管理が容易になる。
「Active Directoryごみ箱」はWindows Server 2008 R2以降で利用できる機能で、削除したActive Directoryオブジェクトをごみ箱から復元できる。バックアップから復元する必要がなくなるため、Active Directoryドメインを運用するIT管理者にとっては非常に強力な機能になる。Windows Server 2008 R2ではWindows PowerShellコマンドでの有効化操作が必要だったが、Windows Server 2012 R2ではGUIの管理ツール「Active Directory管理センター」から有効化できる(画面5)。
「SYSVOL」のレプリケーションプロトコルとしては、インストール時の機能レベルが「Windows Server 2008」未満の場合、Windows 2000 Serverから使用されていた「FRS(ファイルレプリケーションサービス)」が使用される。現在はFRSを改良した「DFS-R」(分散ファイルシステムレプリケーション)がSYSVOLのレプリケーションプロトコルとして使用できる。FRSからDFSRへ移行することで次のメリットが得られる。
FRSからDFSRへの移行は「Dfsrmig」コマンドで行う。「dfsrmig.exe /GetGlobalState」コマンドを実行することで、各状態が正常に移行できたかどうかを確認できる。
dfsrmig.exe /CreateGlobalObjects
dfsrmig.exe /GetGlobalState
dfsrmig.exe /SetGlobalState 1
dfsrmig.exe /GetGlobalState
dfsrmig.exe /SetGlobalState 2
dfsrmig.exe /GetGlobalState
dfsrmig.exe /SetGlobalState 3
最新のWindows Server 2012 R2には他にも有用な機能が搭載されているので、自社で活用できそうなものは積極的に取り入れてみてはどうだろうか。
クラウドの登場により、Active Directoryに求められる役割も変化しつつあります。
クラウドに対応させるためのActive Directoryの設計ポイントとはどにあるのか? iOSやAndroidは、Active Directoryにどう絡むのか? Azure Active Directoryとは何者か? 生産性を高めるためのセキュリティを実現するには、どのようなインフラが必要か?
今こそ、Active Directoryの役割を再学習し、古い知識をリセットしましょう!
阿部 直樹(あべ なおき)
エディフィストラーニング株式会社所属のマイクロソフト認定トレーナー。Active Directory、Network、Security、Hyper-V、Clusterなどを担当。マイクロソフト トレーナー アワード(2010年)およびMicrosoft MVP for Hyper-V(Apr 2010 - Mar 2014)を受賞。個人ブログ『MCTの憂鬱』でマイクロソフト関連情報を発信中。
Copyright © ITmedia, Inc. All Rights Reserved.