 |
||
|
運用 NTドメインからActive Directoryドメインへの移行 第2回 NTドメインからActive Directoryドメインへの移行作業 1.移行の準備 (株)コメット 伊藤 将人2003/09/10 |
||
|
|
||
|
Index
|
||||
|
前回は、NTドメインからActive Directoryドメインへの移行するための準備段階として、既存のNTドメインの状態を把握すること、および、典型的な3種類の移行方法について解説した。今回は、実際の移行手順について解説する。
移行の準備
移行作業をする前に、次に述べるような準備をしておく必要がある。具体的には、NTドメインのSAMデータベースの整理や、ドメイン・コントローラのアップグレードのための準備(ディレクトリ複製サービスの確認、システムのバックアップ、移行ツールのインストールなど)を行い、その後、実際の移行作業を行う。
NTドメインのSAMデータベースの整理
アップグレードによる移行方法でも、再構築による移行方法でも、いずれの場合でも、移行前には、既存のNTドメインのアカウントを「整理」しておこう。整理とは実際に使われていないアカウントを識別し、必要ないものは移行前に削除しておくということだ。具体的には、次のようなアカウントが不要なものと判断できる。
■使用されていないユーザー・アカウント
すでに退職したユーザーのアカウントなどがこれに含まれる。NTリソース・キットに含まれるusrstat.exeコマンドを使うと、ユーザーの最終ログオン日時が確認できる。また、コマンド・プロンプト上で「net user username」などとしても、最終ログオン日時を確認することができる。ドメイン・コントローラ上でない場合は、「net user username /domain」というふうに、最後に「/domain」を付ける。
使用されていないユーザー・アカウントが確認できたら、すぐに削除するのではなく、アカウントを一時的に無効化しておき、人事担当者や所属部門に問い合わせをしてそのユーザー・アカウントを使用する人が本当に使用しないかを確認してから削除しよう。
■メンバーのいないグループ・アカウント
グループはユーザーやグループをまとめるために使うもので、メンバーのいないグループは意味がない
コマンド・プロンプト上で「net localgroup グループ名」を実行するとローカル・グループのメンバーの一覧を確認でき、「net group グループ名」コマンドでグローバル・グループのメンバーの一覧が確認できる(非ドメイン・コントローラの場合は、最後に「/domain」を付ける)。
■セキュリティ設定のされていないグループ・アカウント
グループは、ユーザーやグループをまとめ、共通のセキュリティ設定を行うために使用する。セキュリティ設定に使用されていないグループも意味がない(ただし、ほかのグループのメンバーになっているグループはそのグループが何らかのセキュリティ設定がなされている場合もあるので、注意が必要である)。
NTリソース・キットのSubinacl.exeコマンドを使用すると、ファイル、レジストリ・キー、サービスに関するセキュリティ情報として所有者やアクセス制御リストを表示することができる。
■使用されていないコンピュータ・アカウント
すでに廃棄されたコンピュータ(のアカウント)などが残っていないか確認する。コンピュータ・アカウントの使用状況は、サーバ・マネージャで淡色表示されているコンピュータを基準にして調査するとよい。ただし、淡色表示されているからといって、使われていないとは限らないので(単に現在起動していないだけかもしれない)、淡色表示されているコンピュータを1台ずつ確認するべきである。
アップグレードのためのドメイン・コントローラの準備
アップグレードによる移行パスを選択した場合には、安全にアップグレードするために既存のドメイン・コントローラの準備が必要となる。特に既存のNTドメインでシステム・ポリシーやログオン・スクリプトを利用している場合にはディレクトリ複製サービス(NTの共有フォルダをほかのコンピュータに自動的に複製するサービス。LAN Manager複製サービスとも呼ばれる)を使っている場合があるため、その場合には注意が必要だ。ディレクトリ複製サービスでは複製元のフォルダを所持するエクスポート・サーバと複製先のフォルダを所持するインポート・コンピュータが存在し、エクスポート・サーバからインポート・コンピュータへ複製が行われる。
 |
| ディレクトリ複製サービス |
| ディレクトリ複製サービスにより定期的にエクスポート・サーバから、インポート・コンピュータへ自動複製される。 |
ディレクトリ複製サービスは、Windows 2000以降のコンピュータではサポートされないため、PDCをそのままアップグレードしてしまうと、すべてのドメイン・コントローラの共有フォルダを同じ状態に保つことができなくなる場合がある。
 |
| アップグレード後のディレクトリ複製サービスの問題 |
| Windows 2000以降はディレクトリ複製サービスをサポートしない。PDCをアップグレードするとエクスポート・サーバがいなくなるため、インポート・コンピュータではファイルの複製がされなくなる。 |
ディレクトリ複製サービスを使っている場合には、次の手順でアップグレード後も全ドメイン・コントローラのNetLogon共有内のファイルを同じ状態に保つ準備をしよう。
- NTドメインのエクスポート・サーバを変更する。
- PDCをアップグレードする。
- 変更したエクスポート・サーバのNetlogon共有とActive DirectoryのDC(元のPDC)のNetlogon共有の間で自動複製するブリッジを作成する(Windows 2000リソースキットに含まれるLBridge.cmdを使用するバッチ・ファイルを作成する)。
Windows 2000のNetlogon共有はSysvol共有の下に存在する。
 |
| ディレクトリ複製サービスのための移行前の作業 |
| ディレクトリ複製サービスを使っている場合には、次の手順でディレクトリ複製ブリッジを作成して、全ドメイン・コントローラのNetLogon共有内のファイルを同じ状態に保つようにする。 1.BDCの内の1台をエクスポート・サーバとしてディレクトリ複製サービスを再構成する。 2.Windows 2000以降のDCのNetlogon共有と定期的に複製するブリッジを設定する。 |
NTドメインでディレクトリ複製サービスを使用していない場合には、これらの作業は必要ない。また、PDC以外のエクスポート・サーバが設定されていれば、Active Directoryにアップグレードしても、エクスポート・サーバとWindows 2000以降のドメイン・コントローラ間で複製ブリッジを作成するだけでよい。
アップグレード移行パスでは、必ずPDCからアップグレード作業を始めなければならない。もし既存のPDCがWindows 2000以降のハードウェア要求仕様を満たしていない場合には、Windows 2000以降のインストール要件を満たしたコンピュータをBDCとして用意した後、PDCへ昇格し、既存のドメイン・コントローラと役割を変更しておく(PDCとBDCを入れ換えておく)必要がある。
PDCの準備
PDCの用意ができたら、PDCをアップグレードする前に次の準備をしておく。
1.ウィルス・チェック
アップグレード前にウイルス・チェックを実行し、ウイルスに感染していないことを確認する。
2.データのバックアップ
PDC上の全データをバックアップし、アップグレード中にデータが壊れた場合でも復元できるようにしておく。
3.ハードウェア/ソフトウェア要件の確認
ハードウェアが、Windows 2000やWindows Server 2003のハードウェア要件を満たしていることを確認する。またBIOSなども、各ハードウェア・ベンダから公開されている情報を参照して、それぞれのアップグレード後のOSに対応したバージョンであるか確認しておく。古い場合には、新しいOSに対応したBIOSにアップグレードする必要がある。手順はハードウェアにより異なるため、それぞれのハードウェアごとに確認していただきたい。
4.ドライブ圧縮の解除
NTFS圧縮以外のドライブ圧縮(DriveSpaceやDoubleSpace)がある場合には、アップグレード前に圧縮を解除しておく。NTFS圧縮以外の圧縮ドライブではアップグレードは実行できない。
5.電源管理ツール、ディスク管理ツールの削除
ハードウェアベンダーより提供されている電源管理ツールやディスク管理ツールがインストールされている場合には、アップグレード前にそれらのツールを削除しておく必要がある。
6.UPSとの接続の解除
アップグレード中に実行されるハードウェア検出処理などで誤認識されないように、UPSとコンピュータが接続されているシリアル・ケーブルを外しておく必要がある。
7.サードパーティ製アプリケーションの無効化および、削除
常駐型のアプリケーション(ネットワーク・アプリケーションやウイルス・チェック・プログラムなど)がインストールされている場合には、それらのアプリケーションを無効化しておく。可能であればアンインストールする。
ドメインの回復プランの準備
回復プランとは、ドメインをアップグレードする前に、アップグレード処理が失敗したときのために元に戻せるように、環境を準備しておくことを指す。回復プランは次の手順で行う。
1.ドメイン全体の同期
サーバ・マネージャでPDCを選択し、同期コマンドを実行して、ドメイン全体を同期させておく。
2.全ドメイン・コントローラのバックアップ
念のため、同期後は全ドメイン・コントローラのデータのバックアップを取っておこう。
3.BDCのオフライン化
同期後にBDCのうちの1台をオフライン化し、PDCと通信できない状態にしておく。BDCのオフライン後にはデータベースの更新がされないようにする(新たにユーザーを追加したり、グループメンバを変更したりしないようにする)。このBDCマシンは、アップグレードが失敗した場合に、元のドメインを復旧させるために利用する。1台もBDCがない状態(PDCしかないドメイン)でのアップグレード作業は勧められない。失敗した場合に、元に戻せなくなる可能性が高いからだ。
4.PDCのアップグレード
以上の準備が完了したら、PDCのアップグレード作業を行う。
ドメインのアップグレード作業が何らかの理由で失敗した場合、3.でオフラインにしていたBDCをPDCに昇格させ、オンライン化する。昇格したPDCのデータベースをドメイン全体に同期させれば、アップグレード直前のドメインの状態に戻すことができる。ドメインのアップグレードがうまく行けばオフラインにしていたBDCはオンライン化し、新しいActive DirectoryドメインのBDCとして利用してもよいし、バックアップのため、しばらくオフラインのまま残しておくというのも選択の1つであろう。
再構築のための準備
アップグレードと異なり、再構築の場合には受け皿となるActive Directoryドメインが必要となる。移行作業前にそのActive Directoryを準備しておく必要がある。移行先となるドメインはWindows 2000のActive Directoryの場合はネイティブ・モードである必要があり、Windows Serve 2003 Active Directoryでは機能レベルをWindows 2000ネイティブ以上にしておく必要がある(ネイティブ・モードについては、用語解説「管理者のためのActive Directory入門第4回―Active Directory関連用語集」などを参照)。
 |
 |
| INDEX | ||
| [運用]NTドメインからActive Directoryドメインへの移行 | ||
| 第2回 NTドメインからActive Directoryドメインへの移行作業 | ||
 |
1.移行の準備 | |
| 2.ADMT移行ツールを使った移行作業 | ||
 |
||
 |
運用 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
