運用
NTドメインからActive Directoryドメインへの移行

第2回 NTドメインからActive Directoryドメインへの移行作業

2.ADMT移行ツールを使った移行作業

(株)コメット 伊藤 将人
2003/09/10

移行ツールのインストール

 移行作業に使用できるツールはいくつかあるが、一番お勧めできるのが、「Active Directory 移行ツール(Active Directory Migration Tool:ADMT)」である。理由としては次のようなものがあげられる。

  • 日本語化されている

  • 移行前のテストが行える

  • 移行タスク毎にウィザードが用意されている―移行タスクには、ユーザー・アカウントの移行、グループ・アカウントの移行、コンピュータ・アカウントの移行のほかにもセキュリティ変換などがある。

Active Directory移行ツール(ADMT)
Active Directoryのユーザーやグループ、コンピュータ・アカウント情報などの情報を移行するためのツール。Windows Server 2003の登場とともに、ADMT 2.0の提供が開始されている。ADMT 2.0では、パスワードの移行や、コマンドラインによる操作機能などが強化されている。

 ADMTにはVersion 1.0と Version2.0がある。Ver. 1.0はMicrosoftのサイト(「Active Directory 移行ツール」)からダウンロード可能である(ただし現在はダウンロードは停止されている。将来はADMT Ver. 2.0の提供が開始される予定)。ADMT Ver. 2.0はWindows Server 2003のインストールCD-ROMに含まれる(詳細は\I386\ADMTフォルダのREADME.DOCファイルを参照)。Ver1.0からVer2.0への主な変更点は次のとおりである。

  • ユーザー・パスワードの移行ができるようになった。

  • スクリプトおよびコマンドが提供される。スクリプトを使った自動的な移行作業が可能になる。

 Ver. 1.0ではフォレスト間(NTドメインの複製も含む)の再構築(アカウントの複製)をした場合には、既存のパスワードは維持できないので、新しいパスワードをユーザーに知らせる必要がある。

移行用環境の準備

 ドメインの移行のために次のように環境を整えておく必要がある。

1.移行作業用ユーザー
 移行作業を行うユーザーには、移行元ドメインと移行先ドメインの両方の管理者権限が必要となる。この権限を与えるためには、移行先ドメインが移行元ドメインを信頼し、移行先ドメインのDomain Adminsを移行元ドメインのAdministratorsグループのメンバーに追加し、移行先ドメインのDomain Adminsグループに所属するユーザーで作業を行うとよい。

移行作業用ユーザーの構成
移行作業には移行元ドメインと移行先ドメインの両方の管理権限が必要なため、移行先ドメインのDomain Adminsグループを移行元ドメインのAdministratorsグループのメンバーにする。

2.監査の設定
 移行作業を行うには移行元、移行先の両方のドメインでアカウントの管理の監査が有効になっている必要がある。

Windows NTにおけるアカウント管理の監査の設定
Windows NTでアカウント管理の監査を設定するには、ユーザー・マネージャを利用する。
 
Windows 2000 Serverにおけるアカウント管理の監査の設定
Windows 2000 Server/Windows Server 2003でアカウント管理の監査を設定するには、グループ・ポリシーを利用する。

3.移行用グループの作成
 移行元ドメインに「移行元ドメイン名$$$」というローカル・グループを作成する。このグループはADMTが移行処理用に使用するため、誰もメンバーに加えてはならない。

4.レジストリ・エントリの追加
 移行元ドメインのPDCに次のレジストリ・エントリを追加する。

  キー: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
  値: TcpipClientSupport : REG_DWORD : 0x00000001

ADMTに関する参考情報

移行の実行および、移行後の作業

 移行の準備が整ったら、実際の移行作業に入る。

■アップグレードの実行およびアップグレード完了後の作業
 アップグレード作業では、NTドメインのPDCに、Windows 2000 Server以降のOSをアップグレード・インストールする。OSのインストールが完了すると再起動後に自動的にActive Directoryインストールするウィザードが開始されるので、そのままドメイン・コントローラのセットアップ作業を行う。ドメイン・コントローラのインストールが完了したら、移行作業の8割は完了したと思ってよいだろう。

 Active Directoryフォレストの設計にもよるが、次は、順次BDCのアップグレードを開始する。BDCが残っているとドメイン・モードをネイティブ・モードに変更できないため、Active Directoryのすべての機能が利用できないことになる(Windows Server 2003 Active Directoryの場合には、機能レベルを最上級の「Windows 2003」モードにしなければ、いくつかの制約がある)。

 BDCは、OSのアップグレード・インストール後にドメイン・コントローラ(DC)にするのか、それとも単にメンバー・サーバとして稼働させるのかを選択することができる。

 NTのBDCが存在しなくなったら、ドメイン・モードや機能レベルを変更しよう。

■再構築の実行
 再構築は、Active Directory移行ツールを使って、段階的に確認しながら行う。移行作業はグループ・アカウントやユーザー・アカウントなどのアカウント・ドメインで管理するアカウントから移行する。移行ツールを使うと、それまで使用していたSIDが移行後のアカウントでもSIDHistory属性として保持されるため、リソース・ドメインで管理されるコンピュータに設定されているアクセス制御情報を移行しなくても、いままでの権限どおりに新しいユーザーとしてアクセスができる。

 また、グループ・アカウント移行ウィザードを使うと、グループのメンバーも同時に移行できる。ただしメンバー数がとても多いグループの移行にはかなりの時間がかかるため、テストをしてからの実際に移行することをお勧めする。

 アカウント・ドメインの移行が完了したら、次はリソース・ドメインの移行を行う。Active Directoryで使用するすべてのアカウントが移行できたら、移行元のドメインは廃止する。廃止のタイミングは難しいが、しばらくオフラインにしておいても問題が起きないようであれば廃止にしても構わないだろう。また、移行作業中に使ったテスト・アカウントも忘れずに削除しよう。

 以上でActive Directoryドメインへの移行作業は完了である。事前に十分な移行計画の立案や環境の準備(バックアップなども含む)、テスト的な移行作業などを行っておけば、それほど難しい作業ではない。元のNTドメインの環境を残したまま、新規にActive Directoryドメインを導入し、データベースなどを移行するようにすれば、トラブルも少なく(万が一トラブルが発生しても、元のNTドメインに対する影響を最小限に抑えることができる)、スムーズに移行が行えるだろう。End of Article

関連記事(Windows Server Insider)
  運用:改訂 管理者のためのActive Directory入門 (Windows Server 2003対応改訂版)
  運用:管理者のためのActive Directory入門
  トレンド・インタビューWindows NT 4.0 Serverマイグレーションの現状と問題点
     
 

 INDEX
  [運用]NTドメインからActive Directoryドメインへの移行
  第2回 NTドメインからActive Directoryドメインへの移行作業
    1.移行の準備
  2.ADMT移行ツールを使った移行作業
 
 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT