- PR -

NTドメインからActive Directory(2003)への移行について

1
投稿者投稿内容
MAKO
会議室デビュー日: 2005/06/13
投稿数: 4
投稿日時: 2005-06-13 17:30
はじめまして。
NTドメイン運用を、WindowsServer2003のActive Directory運用に変更することになりました。
[現状構成]
シングルドメインで運用中。PDC、BDC兼ファイルサーバ2台の合計3台構成。

変更に伴う条件は、

・元のNTドメイン名をそのまま使用する。(NTドメイン名:hoge ADドメイン名:hoge)
・サーバのコンピュータ名をそのまま使用する。(NTサーバ名 PDC:hoge1 ADサーバ名:hoge1)
・NT4.0のサーバ1台だけ残す予定。(新規マシンで2003が3台、NT4.0が1台の構成になる予定。)
・クライアントはWin98が約200台、NT4.0が数台。移動プロファイル等は使用していない。

移行案1として、新規にActive Directoryを別ネットワークで構築し、NTドメインとそっくりそのまま取り替える。
アカウント、パスワードはCSVに手打ちし、コマンドCSVDEでインポートさせる。
移行案2として、NT4.0を残さずに、ネイティブモードで運用させることとし、別ネットワークで構築したActive Directoryと
NTドメインを信頼関係で結び、ADMTで情報を送る。

お聞きしたいのが、移行案1では、移動プロファイル等は使用していないが、SIDが変わると不具合が起こるか?
移行案2では、信頼関係で結ぶ際、ドメイン名、コンピュータ名、IPアドレスをPDCと違うものにしなければならないが、ADMT使用後、
ドメイン名、コンピュータ名、IPアドレスを変更しても問題ないか?

以上の状況なのですが、皆さんの力をお借りしたく思い投稿させて頂きました。
宜しくお願いします。
EVA
会議室デビュー日: 2005/06/12
投稿数: 5
投稿日時: 2005-06-13 20:23
MAKOさんへ

移行案1に関して
アカウント、パスワードを同じにしてもSIDが異なるため、NT/2000/XP系のクライアントに関してはすべてドメインに参加し直し、ユーザーデーター(ユーザープロファイル)も移行(コピー)しなくてはいけません。大変な作業です。しかし実際には98系のクライアントが殆どのようなので、あまり手間ではないでしょう。
また、NTも98もActive Directoryクライアントエクステンションだけはインストールしておいたほうがいいでしょう。

移行案2に関して
Windows Server2003からは、ドメイン名変更ツール等がリリースされていますので、それを活用すればいいのではないでしょうか?コンピュータ名(ドメインコントローラ名)もnetdomツールで変更できます。これに関しては、
http://support.microsoft.com/default.aspx?scid=kb;ja;814589
あたりを参考にされてはいかがでしょうか?

[ メッセージ編集済み 編集者: EVA 編集日時 2005-06-13 20:31 ]
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-06-13 20:27
こんばんわ.
引用:

MAKOさんの書き込み (2005-06-13 17:30) より:

アカウント、パスワードはCSVに手打ちし、コマンドCSVDEでインポートさせる。

password は初期値を設定するということでしょうか?
「手打ち」と書かれているのでそうなんでしょうけど,
念のため CSVDE や LDIFDE では password は
export できなかったはずですので念のため.
引用:

お聞きしたいのが、移行案1では、移動プロファイル等は使用していないが、SIDが変わると不具合が起こるか?

残る WindowsNT が BDC なら NG では?
引用:

移行案2では、信頼関係で結ぶ際、ドメイン名、コンピュータ名、IPアドレスをPDCと違うものにしなければならないが、ADMT使用後、
ドメイン名、コンピュータ名、IPアドレスを変更しても問題ないか?

移行後に1台ずつ再構築するとか...
泥縄ですが,降格 -> 設定変更 -> 昇格 とすれば,
一応 Domain Controller に関しては
元の名称/IP address へ移行できるのではないかと.
Domain name は NetBIOS のものですよね?
そこは Windows Server 2003 の ActiveDirectory は変更出来たと思います.

以上,ご参考までに.
MAKO
会議室デビュー日: 2005/06/13
投稿数: 4
投稿日時: 2005-06-14 10:12
EVAさん、kazさん
ご意見ありがとうございます。

>Active Directoryクライアントエクステンション
これは見落としていました。サイトの認識機能は必須な気がします。

>password は初期値を設定するということでしょうか?
その通りです。パスワードがエクスポート出来ればいいんですが、無理のようですので。

>残る WindowsNT が BDC なら NG では?
そうでした…。
このBDCに旧SID情報が残ったままだと不具合が起きそうですね。
完全に2003ネイティブ環境に出来れば問題はなくなるのでしょうが、むむ。

>移行後に1台ずつ再構築するとか
やはりそういった手順になりますか。
そうなると新サーバ機にNTをインストールしBDCとして参加 -> PDC -> 2003にアップグレード
といった手順の方がいいんでしょうか。

本番環境になるべく影響を与えずに行いたいのですが、迷うところです。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-06-14 11:36
こんにちわ.
引用:

MAKOさんの書き込み (2005-06-14 10:12) より:

>移行後に1台ずつ再構築するとか
やはりそういった手順になりますか。
そうなると新サーバ機にNTをインストールしBDCとして参加 -> PDC -> 2003にアップグレード
といった手順の方がいいんでしょうか。

本番環境になるべく影響を与えずに行いたいのですが、迷うところです。

PDC を WindowsNT -> Windows Server 2003 に upgrade すればよく,
他は入れ替えて良いのでは?
結局 client は参照するべき DNS を設定しなければいけないわけで,
そこから類推すると
「他の Domain Controller の名前/IP address は変わっても良い」
と思うのですが如何でしょうか?
※ただ,DNS も冗長化したほうがよろしいでしょうから,
※最終的には代替 DNS も構成したほうが良いでしょう.

現行の PDC の upgrade
既存の BDC(File Server)2台の backup
新規 File Server 2台の構築
新規 File Server を ActiveDirectory へ参加
新規 File Server を Domain Controller に昇格

File Server の構築は個別に並行して可能でしょうし,
backup した data を新規 File Server 上へ移し変えてから
旧 Domain Controller の名前に変えても良いでしょうし.

以上,ご参考までに.
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-06-14 12:07
引用:

[現状構成]
シングルドメインで運用中。PDC、BDC兼ファイルサーバ2台の合計3台構成。

上記プラス新規サーバ1台、ということですが、
これらのサーバの移行前と移行後の構成、どういう構成を想定してますか?
A: PDC、WindowsNT4.0 現コンピュータ名 Server1
B: BDC、WindowsNT4.0 現コンピュータ名 Server2
C: BDC、WindowsNT4.0 現コンピュータ名 Server3
(D: WindowsServer2003)
が現構成だとして、どれをWindowsServer2003にアップグレードして
構わないんでしょうか?
それとも最終的なWindows2003DCは、上記ABCとは別マシンですか?

上記の点と、移行前/中/後のDNSサーバ構成さえ整理ができれば、
普通にアップグレード移行の手順が固まる構成なはずです。

サーバと、そのサーバに割り当てた役割は分けて考えないと混乱の元です。
「PDCが」とか言っても、移行最中に降格したらもうPDCじゃないわけだし。
コンピュータ名に関しても同様。
「今はAがPDCでServer1というコンピュータ名」という風に整理しましょう。
MAKO
会議室デビュー日: 2005/06/13
投稿数: 4
投稿日時: 2005-06-14 12:48
>PDC を WindowsNT -> Windows Server 2003 に upgrade すればよく,
>これらのサーバの移行前と移行後の構成、どういう構成を想定してますか?

申し訳ありません。正しくお伝えしていませんでした。
A: PDC、WindowsNT4.0 現コンピュータ名 Server1
B: BDC、WindowsNT4.0 現コンピュータ名 Server2
C: BDC、WindowsNT4.0 現コンピュータ名 Server3
上記構成から、
D: ActiveDirectory、Windows2003 コンピュータ名 Server1
E: ActiveDirectory、Windows2003 コンピュータ名 Server2
F: ActiveDirectory、Windows2003 コンピュータ名 Server4
(C: ActiveDirectory、WindowsNT4.0 現コンピュータ名 Server3)
(Server3を残すかどうかは検討中)
という構成に変えたいのです。

サーバ、クライアントは全て固定IPとなっており、ドメイン名、サーバ機のコンピュータ名、IPアドレスは
変えることでクライアント動作等に不具合があったら怖いので、現状のまま使用予定。

当初案ではDにAの情報を移し、ActiveDirectoryドメインを構成し、
NTドメインと入れ替えようと考えていました。
そうすれば本番環境に繋ぐのは一回で済みますので。

ですが、SIDの移行が上手く出来そうにない。
また、名前変更は1台ずつ再構築ということで別のリスクが高いように感じました。
そこで、DにNT4.0をインストールし、BDCとしてNTドメインに参加させ、PDCに昇格後、
OSを2003にアップグレードしてDCを構成する
という方がいいのかなと考えました。

クライアントのDNSは全て設定し直します。

[ メッセージ編集済み 編集者: MAKO 編集日時 2005-06-14 12:51 ]

[ メッセージ編集済み 編集者: MAKO 編集日時 2005-06-14 12:54 ]
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-06-14 13:09
引用:

そこで、DにNT4.0をインストールし、BDCとしてNTドメインに参加させ、PDCに昇格後、
OSを2003にアップグレードしてDCを構成する
という方がいいのかなと考えました。

ActiveDirectory移行ガイドでも触れられていますが、
この方法が一番オーソドックスです。
その後、 Server2をBからEに入れ替え、Fを追加、という感じで作業を進めていく、
というのが、大まかな流れになります。

引用:

クライアントのDNSは全て設定し直します。

むしろ、クライアントのDNS設定が、どのタイミングでどこを参照しているのか、
そのDNSサーバはそのタイミングで動作してるのか、
AD関連やその他の必要なDNSクエリを処理できるのか、
というのを考慮しないと駄目です。

Fを最初に追加して、DNSサーバを追加し、ActiveDirectory関連ゾーンを追加した後、
クライアントおよびD/E/FはFのDNSを参照するように構成する、
ってのが、今見る情報の限りだと無難かと思います。
FをDCに昇格するタイミング以外ではDNSがオフラインになることがありませんし、
セカンダリDNSとしてDかEを追加しておけば、FをDC昇格前まではFが、
FがDC昇格時はDかEが、常に起動している状況になります。

あと、今回の場合、クライアントがWindows9xやNTとのことなので、
WINSサーバについても考慮する必要があり、
PDCエミュレータの稼動に関しても考慮する必要があります。
1

スキルアップ/キャリアアップ(JOB@IT)