- PR -

W2Kのドメインに W2K3で環境再構成

1
投稿者投稿内容
yasuo
会議室デビュー日: 2006/05/11
投稿数: 11
投稿日時: 2006-05-11 18:53
WINDOWS2003サーバーの増設と 現在の環境の再構成を考えています。

Windows2000Serverが1台 東京にあります。クライアントPC東京40台。

Active Directory/DNS/DHCP
/ファイル共有・プリント共有
/ベンダー作りこみアプリケーション(SQL SERVER)
など 前任者がすべてをこの1台に注ぎ込んで退社したようです。

新しいハードを購入したので、
Active Directory/DNS/DHCP
/ファイル共有・プリント共有 
を 新しいハードWINDOWS2003SERVERへ移行したいと思います。
(アプリケーション部分は業者作りこみのため W2Kへ残す。
 アプリケーションのユーザー認証はACTIVE DIRECTORYを使っていない。
・・・これが何ともいえませんが。。)

今のw2kは Cドライブ空きが2GBしかないためW2K3へのアップはできません。
またDNSにも存在しない昔のホストが登録されたままなど非常に汚いので
どうしたものか悩んでいます。。
またインターネットDNS設定とACTIVE DIRECTORYのDNS設定が同じです。
会社名をAAAとすると、どちらも AAA.CO.JP。


大枠として以下のプランかと思いますが、どのようにしたら良いものでしょう。。
DNSもAD側は 子ドメイン ( CORP.AAA.CO.JPとか)にしておいたほうが良いのでしょうか?


プラン1.W2K3/W2KをDCへ

   ADPREP実行後に、W2K3をメンバーとして既存ドメインにADD
W2K3をDCへ昇格

この際、W2Kのゴミ登録(昔のホストなど)もそのまま移ってしまうのでしょうか?


プラン2.W2K3をDC, W2Kはアプリのみのメンバーサーバー

   ADPREP実行後に、W2K3をメンバーとして既存ドメインにADD
W2K3をDCへ昇格(AD/DNS/DHCP/ファイル共有などを設定)
W2Kを降格、ACTIVE DIRECTORY/DNS/DHCP/ファイル・プリント共有を削除してすっきりする


プラン3.W2K3をクリーンインストールしてから、アプリだけのW2Kをメンバーに入れる

W2K3を新しいドメインDCで設置。AD/DNS/DHCP/ファイル共有を設定。
     ユーザー40人なので新規にアカウント作ってもそれほど大変でもない。。
W2Kを降格して、AD/DNS/DHCP/ファイル共有を削除。
すっきりしてからW2Kを W2K3のドメインへメンバーとして入れる。



なお 大阪にも まったく東京と同じ構成のWindows2000serverがあり、
別ドメイン・別フォレストの構成になっていますが、
今回は大阪はそのまま これも先送りして東京の新ハードに専念したいと思います。
将来的にはシングルドメインにまとめたい。

長くなりましたが、よろしくお願いします。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2006-05-11 19:13
引用:

(アプリケーション部分は業者作りこみのため W2Kへ残す。
 アプリケーションのユーザー認証はACTIVE DIRECTORYを使っていない。
・・・これが何ともいえませんが。。)

W2KをDCから降格しても、メンバサーバにした時点で、
今まで利用していたAD関連の認証情報はそのまま使えますので、
この辺はあまり心配ないはずですよ。

引用:

またDNSにも存在しない昔のホストが登録されたままなど非常に汚いので
どうしたものか悩んでいます。。

移行が終わってから考えてもいいと思います。
別にDNSサーバを増やすとしても、DNSゾーン転送でレコード複製
するんでしょうから、先に整理するしないによって
作業負荷や何度が変わるとは思えません。

むしろどう管理していくか、どういう状態がきれいな状態なのか、
ということを決めてから作業しないと、また汚くなりますよ。

引用:

またインターネットDNS設定とACTIVE DIRECTORYのDNS設定が同じです。
会社名をAAAとすると、どちらも AAA.CO.JP。


大枠として以下のプランかと思いますが、どのようにしたら良いものでしょう。。
DNSもAD側は 子ドメイン ( CORP.AAA.CO.JPとか)にしておいたほうが良いのでしょうか?

これは一応アリな設計です。
ADドメインとインターネットドメインを分ける場合とのメリットデメリットはあります。
Microsoftが公開しているAD関連のDNS設計資料を探して読んでみてください。


プラン1でもプラン2でもプラン3でも、どれでも最低限の解決はできそうですね。
プラン1だとW2KなアプリサーバマシンがDCと切り離せるのが良い点、
プラン2だとDCが冗長構成になるのが良い点、
プラン3だとW2Kなマシンが綺麗な状態になるのが良い点ですね。
ほかにサーバハード追加とかまで考えると、上記よりさらにいい案は出てきそうです。

一点気になるのは、プラン3の
引用:

ユーザー40人なので新規にアカウント作ってもそれほど大変でもない。。

ですが、ドメインメンバ40台のドメイン再参加作業も待ってますし、
プロファイル移行作業なんかも付きまとうことは考慮してますか?

それだったらプラン2の後にW2Kマシンを再インストールするプランの方が
いいと思います。ADを作り直したい理由がある場合を除いて。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
yasuo
会議室デビュー日: 2006/05/11
投稿数: 11
投稿日時: 2006-05-12 17:19
Mattun様

リプライありがとうございます。


引用:
-------------------------------------------------------------------------------

これは一応アリな設計です。
ADドメインとインターネットドメインを分ける場合とのメリットデメリットはあります。
Microsoftが公開しているAD関連のDNS設計資料を探して読んでみてください。

-------------------------------------------------------------------------------

TechNetの ”名前のオーバーラップによる、既存のDNSインフラストラクチャへのActive Directory名前空間の統合”
同じく ”名前のオーバーラップによらない、既存のDNSインフラストラクチャへのActive Directory名前空間の統合”
あたりでしょうか?
どうも明確にメリットデメリットを記述したものがみつかりません。
最近 雑誌などでも MVPの方からドメインを分けるのが正しいといったコメントが出ているので 迷ってしまいます。

洋書になりますが、Microsoft Pressの Windows server 2003 INSIDE OUT に、"Split Brain Design ( 同じドメイン)” と 
”Separate Name Design ( 違うドメイン)”という項目で出ていました。 
同じにした場合は 内部からは 自分のPublic リソースが見れないが 
外部からも 社内のPrivateリソースが見られなくてすむ。 
社内のDNSにPublic リソースを登録しておけば運用に問題がない。
今 弊社では この設定ですが、現状維持でもかまわないということなのかと
だんだん思ってきました。(苦笑)


とりあえず、
プラン1.W2K3/W2KをDCへ
を行ってみてから

プラン2.W2K3をDC, W2Kはアプリのみのメンバーサーバー
のW2Kをメンバーサーバーに降格しないまでも、 DHCPとDNSの設定を細かく修正していく(ゴミ取り)
というのが 無難なところでしょうか?


それから 今のW2Kは ベンダーのアプリが入っているので、再インストールができないのです。
再インストールの場合は ベンダー作業でないと 後々のサポートを行わないという契約になっています。

したがって 高額な再インストールとなってしまいますので 現状 不可能です。
後2年弱でハードが5年となるので 来年 ハード購入とあわせて W2003で再インストールと考えています。
そのタイミングで、
新しいアプリサーバーは メンバーサーバーでアプリ専用機、 
今のW2Kのハードには W2K3のOSをインストールして バックアップ的 AD/DNS/DHCP専用機という構成も可能かと。。

それではインストールテストを行ってみます。
また わからないことありましたら 質問させていただきます。
ありがとうございました。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2006-05-13 15:24
すみません、どの文書だったか忘れました(汗
わかりやすい資料が公開されてた気がするんですが・・・
リソキだったかなぁ。

引用:

TechNetの ”名前のオーバーラップによる、既存のDNSインフラストラクチャへのActive Directory名前空間の統合”
同じく ”名前のオーバーラップによらない、既存のDNSインフラストラクチャへのActive Directory名前空間の統合”
あたりでしょうか?

これはDNSの名前付け設計が終わった後にどう実装するか、
が記載された文章に見えますね。

引用:

最近 雑誌などでも MVPの方からドメインを分けるのが正しいといったコメントが出ているので 迷ってしまいます。

既存のDNS構成および運用体制、その他もろもろのことがかかわってくるので、
それらの前提抜きに「この構成が正しい」というのは
とりあえずADのDNS設計に関してはありえないです。
個人的には興味あるんで、雑誌名とか記事書いた人の名前とかは
知りたいですが・・・

さらに言ってしまえば、どの構成も、すでに導入済みのAD DNS環境の
名前空間設計を変更するほどのメリットデメリットはありませんよ。
DNSを利用するユーザやDNSゾーン管理者が、
現在のDNS名前空間構成に慣れており、管理がなされている、
という状況を捨てるまでして移行するものではないでしょう。


引用:

とりあえず、
プラン1.W2K3/W2KをDCへ
を行ってみてから

プラン2.W2K3をDC, W2Kはアプリのみのメンバーサーバー
のW2Kをメンバーサーバーに降格しないまでも、 DHCPとDNSの設定を細かく修正していく(ゴミ取り)
というのが 無難なところでしょうか?

そんな感じですね。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
yasuo
会議室デビュー日: 2006/05/11
投稿数: 11
投稿日時: 2006-05-15 12:38

もし資料がわかりましたら ポストお願いします。
参考にしたいので。


>個人的には興味あるんで、雑誌名とか記事書いた人の名前とかは
>知りたいですが・・・

Windows Server World 2005 JUL 号
特集記事 カリスマ講師 横山哲也が斬る! Active Directory 実力再検証プロジェクト
この中に 
Active Directoryドメイン名決定のコツという見出しで
”インターネットのドメイン名と重複すると問題がおきる”
”インターネット上の正式なドメインの子ドメインを
Active Directory用に使う・・・これがもっとも使いやすい方法
と言える”
という記述があります。

やはりこの記事を見ると 洗脳(笑)される人は多いかと思います。
同じドメイン名にした場合の 処理やメリットは書いていないので。。

Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2006-05-15 12:58
引用:

>個人的には興味あるんで、雑誌名とか記事書いた人の名前とかは
>知りたいですが・・・
Windows Server World 2005 JUL 号
特集記事 カリスマ講師 横山哲也が斬る! Active Directory 実力再検証プロジェクト

あら、AD関連だと一番信頼できる人の記載ですね。
確か家にあったと思うので、前後の記載や背景とか読んでみますね。
僕もこの特集は読んでたのに、見逃してました。

引用:

やはりこの記事を見ると 洗脳(笑)される人は多いかと思います。
同じドメイン名にした場合の 処理やメリットは書いていないので。。

ただまあ、書籍、しかも月刊誌の限られたスペースだったりする場合って、
色んなケースについて細かく書きすぎるわけにもいかない、
みたいな事情はあるとは思いますし。

とりあえず、同じ名前を使う場合の特徴としては、
「インターネットドメイン名の管理とAD用ドメイン名の管理が相互依存する」
という点ですかね。
それぞれのゾーンの管理者が別だったりすると不整合がおきる可能性はあります。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
1

スキルアップ/キャリアアップ(JOB@IT)