Windows 2000のインストールのように、Active Directoryドメインへの移行作業そのものは簡単にできる。だからといって安易に移行すると、あとからさまざまな弊害が発生してしまう。そこで今回は、移行のために必要な知識とその手順を追っていこう。
移行(マイグレーション)の流れ
Windows 2000 Serverは、インストール直後は「スタンドアロン」もしくは「メンバーサーバ」である。Windows NT Serverのときのように、インストール中にドメインコントローラ(DC)を選ぶのではなく、「DCPromo.exe」というツールを使ってDCへと昇格させる必要がある。
DCPromo.exeを実行すると「Active Directoryインストールウィザード」が起動し、ドメインコントローラ(DC)昇格に必要な情報を尋ねてくる。昇格に必要な情報を入力するために、DCPromo.exe実行の前にしっかりとした移行計画が必要となる。また、入力する情報としてDNSが必須のため、Active Directoryの構築にはDNSの知識が不可欠である。DNSの詳細については、連載の次の回に解説する。
では実際に、移行の手順について解説していこう。まずは、移行モデルを次の2つのいずれかから選択する。
- 現在のドメインをアップグレードする
既存環境を維持しながら、ユーザーに対してシームレスなアップグレードができる。今回は、こちらをメインに解説していく - 新たにActive Directoryドメインをインストールして再構築する
現在の環境が混乱状態なので、覚悟を決めてリストラクチャリングする
既存ドメインからアップグレードすることのメリット/デメリット
「インプレースアップグレード」とも呼び、ドメイン内のWindows NT Serverのプライマリドメインコントローラ(PDC)とバックアップドメインコントローラ(BDC)をWindows 2000 Serverへとアップグレードする。Windows 2000のスタンドアロンサーバもしくはメンバーサーバは、DCPromo.exeによりDCへと昇格できる。また逆に、DCPromo.exeによりDCを降格させることもできる。
この移行モデルは、移行作業が楽なのも特徴だ。Windows NTドメイン上のPDCにWindows 2000のCD-ROMを入れて、画面の指示に従うだけで設定が終了する。既存のドメイン構成は変わらず、失われるものがないのもポイントだ。実際に、移行によって大きく変わるのは次の2点である。
- 認証方法がNTLMからKerberosになるNTLMからKerberosになる
- マスター・ドメイン/リソース・ドメインの一方向に信頼関係を結んでいる環境が、移行することで双方向の信頼関係になる
そのほかの効果としては、次のようなものが挙げられる。
- SAMのサイズ制限がなくなる
- OUが使えるようになる
ちなみに、Windows 2000に移行できるのは「Windows NT Server 4.0」か「Windows NT Server 3.51」のいずれかである。Windows NT Server 3.5以前のOSからは、そのままではWindows 2000にアップグレードできないので、まず前段階としてWindows NT Server 4.0に移行する必要がある。その際に、Service Packも最新のものを当てておこう。
Windows 2000 ServerのDCはPDCとは完全に同等ではなく、ドメインに最初にインストールされたDCは「操作マスタ」と呼ばれ、シングルマスタ的な役割を持つDCになる。操作マスタの機能の1つに、互換性維持のための「PDCエミュレータ」がある。PDCエミュレータは、Windows NTのBDCおよびメンバーサーバに対してはPDCとして機能し、Windows 2000に対してはDCとして機能する。メンバーサーバは、Active Directoryドメイン環境に移行してもPDCエミュレータという機能があるために、そのもの自身に影響はない。
アップグレードでは、現在の環境をできる限りそのまま移行できるように設計されているため、ほとんどのシステム設定やネットワーク構成がそのまま移行される。例えば、すでに稼働しているExchange Server 5.5のシステムは、Active Directoryドメイン環境でそのまま実行することができる。またWindows 2000では、Exchange 5.5 ディレクトリサービスとActive Directory環境の同期をサポートするツールとして、ADC(Active Directory Connector)を標準で提供している。ADCは、Windows 2000のCD-ROM内の「\VALUEADD\MSFT\MGMT\ADC\SETUP.exe」でインストールできる。
以上のように、既存のドメインをアップグレードする方法は、最も簡単で低リスクな移行プランである。デメリットとしては、Windows NTのPDC機能に依存しているアプリケーションやWindows NT独自のセキュリティに依存しているアプリケーションの中には、動かなくなる恐れがあるものも存在することだ。
新たにActive Directoryで再構築することのメリット/デメリット
メリットとしては、ドメインの再構築ができることだろう。教科書的には、「シングルドメイン」「シングルマスタードメイン」「マルチマスタードメイン」が推奨されているが、現実には「完全信頼モデル」になっていたり、上記のどれにも当てはまらない場合も多い。
図2 現実のドメイン環境。本来であれば、信頼関係は黒い矢印だけのはずだが、部門ドメインAの一部のユーザーはマスタードメイン以外のアカウントをもち、部門ドメインCのサーバを借りている。また、部門ドメインBとCの管理者は仲がいいので、個人的信頼関係に基づいて、NTドメインの信頼関係も結んでしまった
そこで、これら収集のつかない環境を、いっそのこと再構築してしまうのだ。手順としては、新たにActive Directoryドメインを構築し、従来のNTドメインと信頼関係を結んでおき、システムを徐々に移行する。既存のNTドメインはそのまま残るので、いざというときは元に戻れるという安心感がある。
NTドメインからActive Directoryへと移行するには、Active Directory移行ツール(ADMT:Active Directory Migration Tool)を使えば、NTのアカウントドメイン、リソースドメインのグループやユーザーを、段階的に移行ウィザードを使用してWindows 2000ドメインへと移行できる。
デメリットとして、管理者は2種類のシステムを管理することになるので、移行が終了するまでに2重の手間がかかる。さらに移行が進まないと混乱に拍車がかかり、収拾がつかなくなる。
【コラム】 Windows NT/2000のサーバの種類と役割
●Windows NT Serverの各サーバの役割
Windows NT Server(Enterprise Edition含む)は、インストール時の選択により次の4つの役割のいずれかをもつことになる。
− プライマリドメインコントローラ(PDC)
PDCはドメイン認証を行う。ドメインのディレクトリデータベースを持ち、ドメインのアカウントを一括管理する。アカウントの登録はPDCにしかできない。信頼関係の設定もPDCで行う
− バックアップドメインコントローラ(BDC)
PDCのディレクトリデータベースのバックアップを持つ。認証も行う
− メンバーサーバ
ドメインに参加しているサーバのことで、各種資源(リソース)を持つ
− スタンドアロンサーバ
ドメインに参加していないサーバ。デフォルトではワークグループ名「WORKGROUP」に参加している
●Windows 2000 Serverの各サーバの役割
− ドメインコントローラ(DC)
Active Directoryドメインの認証を行う。Active Directoryのドメインデータベースを持つ。DCはマルチマスタレプリケーションモデルを採用しているため、どのDCにアカウントを登録/更新しても、いずれはすべてのDCに複製される
メンバーサーバ/スタンドアロンサーバについてはWindows NTと同じだ。
【コラム】 Active Directory移行ツール(ADMT)の主な機能
GUIツールであるADMT(Active Directory Migration Tool)には下記のようなウィザードが用意されており、容易な移行を支援する。
− ユーザーの移行ウィザード
− グループの移行ウィザード
− コンピュータの移行ウィザード
− セキュリティの変換ウィザード
− レポートの作成ウィザード
− サービスアカウントの移行ウィザード
− Exchangeディレクトリの移行ウィザード
− 取り消しウィザード
− タスクの再試行ウィザード
− 信頼の移行ウィザード
− グループのマッピングおよび結合ウィザード
これらのウィザードは、状況によって使い分けることができる。
アカウント移行時の処理は、管理の都合に合わせてオプションを選ぶことができる。例えば、移行するオプションとしては次のようなものが用意されている。
「移行元ドメインで指定されているユーザー権限を移行先ドメインにコピーする」
「グループをメンバーと共に移行先ドメインにコピーする」
「移行元および移行先ドメイン両方のユーザー アカウントをアクティブなままにする」
「移行プロファイルを変換」
などである。
移行における必須構成は、次のとおりである。
− 移行先ドメイン構成
ネイティブモードでActive Directoryドメインを実行するサーバ(Windows 2000 Server/Advanced Server)
− 移行元ドメイン構成
Windows NT Server 4.0(PDCでかつServicePack 4.0以降を導入済みのこと)、Windows NT Server 3.51(PDCでかつServicePack 5.0以降を導入済みのこと)、Windows 2000 Server/Advanced Server
ADMTを使用するには、ログオンするユーザーアカウントに以下の権限が必要となる。
− ソースドメインでの管理者権限
− ターゲットドメインでの管理者権限
− 移行する各コンピュータでの管理者権限
− セキュリティを変換する各コンピュータでの管理者権限
− Active Directory Migration Toolを使用してエージェントをインストールする必要のあるコンピュータでの管理者権限
ADMTでは、これらの管理権限を使用してセキュリティ関連の問題を解決したり、情報を収集して影響を分析する。ADMTは、MicrosoftのWebサイトから無料でダウンロードできる。
既存のドメインをアップグレードする
最初の手順として、PDCをWindows 2000 Serverで上書きアップグレードする。だが、万が一アップグレードに失敗してしまうと取り返しがつかなくなるので、次の2点の対策をあらかじめ行っておこう。
- フルバックアップおよびバックアップからの復旧テスト
- ドメインに一時的に使う新たなBDCを参加させておく
BDCがドメインに参加すると、PDCから最新のディレクトリデータベースをコピーしてくる。データベースのコピーが終了したら、このBDCはネットワークから外しておく。これにより、万が一アップグレードに失敗したとしても、新たに追加したBDCをPDCへと昇格させればドメイン環境はそのまま維持される。
上記の作業が終わってから、PDCをWindows 2000 Serverで上書きする。ここでよくある間違いに、「現状のドメインを壊したくないから、PDCではなくBDCをアップグレードする」というものがある。
Active DirectoryとNTドメインの混在モードのときは、BDCの存在が許されている。そのため、混在モードでのBDCは、Windows 2000のDCの操作マスタ(PDCエミュレータ)からディレクトリデータベースのコピーを受け取ることができる。だが、いちどActive Directoryのネイティブモードにしてしまうと、BDCはディレクトリデータベースのコピーを受け取れずに、古いディレクトリデータベースを内部に維持することになる。しかも、BDC自身は認証が可能なため、古いディレクトリデータベースを使い認証してしまうことになる。ネイティブモードの環境でBDCが存在してしまうと、このような混乱が起きる。DCPromo.exeを実行してもBDCの存在を警告してはくれないので、自らBDCが存在していないことを確かめる必要があるのだ。この場合、たまたま電源が入っていないだけという厄介なBDCもあるので面倒だ。
本来、障害対策の用途で導入するBDCは、2000名ごとに1台が目安となっている。数百人程度の運用であれば、低速なネットワークでの認証を早くしたいなど特別な理由がない限り、1つのドメインにBDCは2台で充分なはずである。ところが、皆さんの会社によっては導入したほとんどのサーバが、なぜかBDCになっていたりしないだろうか? いまさらBDCが不必要なほどあると分かっても、実際、対処しようがない場合が多い。不用意にたくさんのBDCを作成してしまい収集がつかない状況は、Windows 2000に移行する際にメンバーサーバに降格させることで解決できる。BDCをアップグレードする際にDCPromo.exeさえ実行しなければ、DCにはならない。
PDCの場合は、Windows 2000 Serverをインストールして再起動すると、自動的にDCPromo.exeが起動する。このとき、Active Directoryに移行するかキャンセルするかのメニューが表示されるので、移行作業の担当者が望めば、Active DirectoryドメインにPDCの構成を受け継がせることができる。
そのほかの注意点についても触れておこう。
- インストール用領域が少ない場合にはエラーメッセージが表示されるので、少なくとも1GB以上は空き領域を作っておく
- Windows NT Server 4.0にできるだけ最新のService Packを適用しておく
- DOS、Windows 95/98/Meなどとのデュアルブート構成はできない
ファイルシステムがFATの場合はActive Directoryデータベースが置けないので、NTFSに変更する必要がある。そのため、NTFSにアクセスできないDOSやWindows 9xなどとのデュアルブート環境にはできない。また本来、DCのデュアルブート構成自体が推奨されていない。
また、混在モードとネイティブモードの変更はドメイン単位なので、Active Directoryのルートドメインがネイティブモードで、そのサブドメインが混在モード、あるいはその逆でも問題ない。
もし既存のNTドメインが、アカウントを管理するドメイン(マスター・ドメイン)とリソースを管理するドメイン(リソース・ドメイン)の組み合わせの構成になっている場合は、まずマスター・ドメインから移行を行う。
新たにActive Directoryドメインを再構築する
連載の第1回でも触れたように、特別な理由がない限りはシングルドメイン構成が望ましい(連載 第1回「Windows 2000のアカウント管理」の「【コラム】特別な理由とは?」を参照)。そこで、再構築の場合はシングルドメインに統合し、シンプルな運用を目指す。
最初の手順としては、マスター・ドメインから移行を始める。これは、マスター・ドメインをActive Directoryのルートとして設定する必要があるからだ。移行の際は、新たにActive Directoryドメインを作るか、既存のマスター・ドメインをアップグレードするかのどちらかを選ぶ。新たにActive Directoryドメインを作った場合は、ADMT.exeを利用して移行する。
マスター・ドメインの移行が完了し、Active Directoryのルートドメインとして機能し始めたら、次にリソース・ドメインをActive Directoryへと統合する。
もし、計画段階で移行に時間がかかりそうだと判断した場合は、移行に時間がかかるNTドメインとActive Directoryドメインとで信頼関係を結ぶ。
ここで時間がかかりそうな場合とは、急いで移行することで業務に支障が出ることを示している。例えば、Exchange Server 5.5などの基幹系アプリケーションがBDCに導入されていると、ネイティブモードには移行できない。そこで、BDC内にあるExchangeのメールボックスを、別のExchagneが導入されているメンバーサーバへと移行しなければならない。このような作業は業務に支障が出ないように、様子を見ながら影響が少ない部署から徐々に行うべきである。
このような移行作業の間は、NTドメインとActive Directoryの両方の管理が必要になる。ここで、Active DirectoryドメインとNTドメインの信頼関係について補足しておこう。
- ドメインにBDCがなく、今後とも追加しないのであれば、ネイティブモードに移行する
- ネイティブモードに移行すると混在モードでの制限がなくなり、Active Directoryのすべての機能が使えるようになる
- Active Directoryドメインがネイティブモードであっても、NTドメインと信頼関係を結ぶことができる
- Active DirectoryがネイティブモードでNTドメイン側にBDCがあっても、問題なく信頼関係は結べる
【コラム】 失敗と思う前にチェックしてみよう!
失敗、失敗と書くと「移行はそんなに難しいのか!」と勘違いする人がいるといけないので、ここで補足しておこう。念のために付け足すが、OSの移行での失敗はほとんどない。ここでいう失敗とは、人為的なものであることが多い。
例えば、次のような理由でWindows 2000への移行ができないことがある。
− HCLに掲載されていないハードウェアに対するアップデートによるトラブル
− Windows 2000で対応していないサードパーティ製のデバイスおよびデバイスドライバが原因のトラブル
− アンチウィルスソフトウェアが新たなソフトウェアのインストールを拒否しているトラブル
そのほかにも機械的なトラブルも考えられる。
− RAMやHDDの故障など、マシン自体のトラブル
− ネットワークケーブルの抜けや停電などでシステムが破壊され、移行ができないというトラブル
いずれにせよ、十分な知識を持たずに移行を断行し失敗した場合は、取り返しがつかない。
今回は、NTドメインからActive Directoryへ移行する際の予備知識と、全体の作業手順について見てきた。次回は、実際に「DCPromo.exe」を用いた作業手順の詳細を追いつつ、Active Directoryの構築とは切り離せないDNSについて解説していこう。
Copyright © ITmedia, Inc. All Rights Reserved.