フェーズ0
現況調査
|
スケジュールの確認
ネットワーク構成の確認
Active Directory を参照しているサーバー等の範囲の確認(最終的な正常性確認の範囲となる)
ドメインの各パラメータの確認
操作マスターの確認(スキーマの拡張時にそのサーバーで実施するため)
運用上の課題の洗い出し
Active Directory 設計の見直し
ハードウェア異常の有無の確認
Active Directory の正常性確認
バックアップ・リストアの確認
|
現状の Active Directory が正常に動作していない場合は解決してから次のフェーズへ進む。
問題解決の手段としてマイグレーションを実施することもあるが、異常の状態による。十分な根拠を持って実施すること。
|
AD正常性確認のためにドメイン コントローラーにサポートツールをインストールする必要がある。
既存OSのメディアもしくは、サービスパックのメディアに同梱されているサポート ツールを準備する。
サポート ツールのインストール時に再起動は不要。
追加コンポーネントに注意 特にドメインコントローラーに証明機関(CA)がインストールされている場合は、証明機関の管理スナップインからバックアップをとっておく。
システム バックアップについて
リストアできない環境にバックアップをしていたりすることがあるので、必ず確認する。
リストア出来る保証がない場合は、NTBackup を使用しSysvolフォルダとシステム状態(System State)をバックアップする。
ちなみに、Windows 2000 Server の場合は USB の外付けハードディスクを接続するとブルースクリーンで再起動する可能性があることに注意。また、システムドライブの空き容量が10%を切るとFRSが機能停止するため、空き容量にも注意。従ってバックアップ時はテープドライブもしくはリモートの共有フォルダに保存するのが妥当。
|
-
|
フェーズ1
マイグレーション準備
|
不要なアカウントの削除
不要なDNSレコードの削除
サービスパック、セキュリティ パッチ、修正プログラムの適用
ドメイン操作モードをネイティブ モードへ変更
スキーマの拡張
|
ドメイン操作モード変更後、また、スキーマ拡張後、レプリケーションがとれたことを確認し次のフェーズへ進む。
|
Windows 2000 Server の場合は最低限 SP4 + SRP1 まで適用する。
パッチ適用後に再起動が必要な場合は、同時に再起動せず、1台づつ再起動する。
新たに接続するDC候補も同様に最新化しておく。
ドメインのメンバーは継続して使用可能だが、優先DNSに指定しているサーバーが停止している間はWeb操作等に遅延が発生する。
|
バックアップからリストア → フェーズ0へ。
操作モードの変更やスキーマの拡張により問題が発生した場合は、2台ともリストアする必要がある。
|
フェーズ2
DCの入れ替え
|
全DCのDNSリゾルバを変更 "dc2,dc1"
既存dc1を降格(FSMOは自動的にdc2へ移動される)
既存dc1をドメインからWORKGROUPへ
既存dc1のホスト名とIPアドレスを無害なものに変更してシャットダウン
新dc1のIPアドレスとコンピュータ名を指定してドメイン参加
新dc1を昇格(Windows Server 2008 R2 なので GC, DNS は既定で有効)
正常性確認
全DCのDNSリゾルバを変更 "dc1,dc2"
既存dc2を降格(FSMOは自動的にdc1へ移動される)
既存dc2をドメインからWORKGROUPへ
既存dc2のホスト名とIPアドレスを無害なものに変更してシャットダウン
新dc2のIPアドレスとコンピュータ名を指定してドメイン参加
新dc2を昇格(Windows Server 2008 R2 なので GC, DNS は既定で有効)
正常性確認
|
dc2 の Active Directory 正常性確認ができたら次のフェーズへ。
|
ドメインのメンバーは継続して使用可能だが、優先DNSに指定しているサーバーが停止している間はWeb操作等に遅延が発生する。
ドメイン コントローラーをLDAPサーバーとして接続していた場合、通信不能になることがある。該当するサーバーは1台目を入れ替えた際に要調査。
ネットワーク上からグローバル カタログ サーバーとDNS サーバーがいなくならない様に気を付ける。いなくなると認証に支障をきたす。
DC降格時にはローカル管理者のパスワード設定をする必要があるため、DC昇格時にはディレクトリ サービス復元モードのパスワードを設定する必要があるため、それぞれ事前にパスワードを決めておく。
既存DCはIPv6に対応していないため、新DCも移行を完了するまでIPv6を無効化しておく。必要が無ければIPv6は無効のままの方が良い。
|
バックアップからリストア → フェーズ1へ。
|
フェーズ3
DC移行後
|
FSMOの時刻同期の設定
機能レベルの変更
グループポリシーの設定と不要なポリシーの削除
FRS から DFSR へ移行
バックアップの設定
UPSの設定
ウイルス対策ソフトのインストールなど
クライアントやメンバーサーバーの正常性確認
|
クライアントやメンバーサーバーの正常性確認が取れたら次のフェーズへ
|
機能レベルを変更することによって、使用できる機能が増えメモリ使用量が減る傾向にある。変更しても Windows クライアントには影響がない。Linux クライアントに関しては要調査。
|
バックアップからリストア → フェーズ1へ。
|
フェーズ4
運用
|
セキュリティの対応
定期的なバックアップ
システム監視
システム構成図や手順書などのアップデート
ユーザー管理など
|
-
|
正常動作時のログの雰囲気をつかんでおく。サーバールームに住んでいるwと音や光からエラーがなくても気づくことがある。
サポート期間に注意。保守専任になると自己の技術の陳腐化に気づきにくいため、雑誌の定期購読を推奨する。
避難訓練などと同じ周期でリストアの練習を推奨する。
|
-
|
ntdsutil で確認する。
この例で言ったら、5つすべての役割が AD-DC1 にあることが分かる。
C:\>ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to domain test.lan
\\AD-DC2.test.lan に結合しています...
ローカルでログオンしているユーザーの資格情報を使って \\AD-DC2.test.lan に接続し
ました
server connections: quit
fsmo maintenance: select operation target
select operation target: list roles for connected server
サーバー "\\AD-DC2.test.lan" は 5 個の役割を認識しています
スキーマ - CN=NTDS Settings,CN=AD-DC1,CN=Servers,CN=Default-First-Site-Name,CN=S
ites,CN=Configuration,DC=test,DC=lan
ドメイン - CN=NTDS Settings,CN=AD-DC1,CN=Servers,CN=Default-First-Site-Name,CN=S
ites,CN=Configuration,DC=test,DC=lan
PDC - CN=NTDS Settings,CN=AD-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=test,DC=lan
RID - CN=NTDS Settings,CN=AD-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=test,DC=lan
インフラストラクチャ - CN=NTDS Settings,CN=AD-DC1,CN=Servers,CN=Default-First-Si
te-Name,CN=Sites,CN=Configuration,DC=test,DC=lan
select operation target: quit
fsmo maintenance: quit
ntdsutil: quit
\\AD-DC2.test.lan から切断しています...
サポートツールがインストールされている場合は netdom からもっと簡単に調査できる。
C:\Program Files\Support Tools>netdom query FSMO
Schema owner ad-dc1.test.lan
Domain role owner ad-dc1.test.lan
PDC role ad-dc1.test.lan
RID pool manager ad-dc1.test.lan
Infrastructure owner ad-dc1.test.lan
The command completed successfully.
使用されないアカウントを削除する。
Windows Server 2003 以降は長期間ログオンしていないアカウントをDC以外でもコマンドでリストアップできる。
コマンドの例では 50 週間ログオンしていないアカウントをすべて表示する。
dsquery user -limit 0 -inactive 50
dsquery computer -limit 0 -inactive 50
以下のコマンドでまとめて削除することができるが、お勧めはしない。必要なアカウントも削除してしまう恐れがあるため。なお、Guest のようなシステム アカウントは削除に失敗する。
dsquery user -limit 0 -inactive 50 | dsrm
dsquery computer -limit 0 -inactive 50 | dsrm
adprep を実行する。Windows Server 2008 R2 DVD の場合は
\support\adprep フォルダにある。
スキーマの拡張をしなかった場合、2008 R2 を DC へ昇格させることができない。
ちなみに、rodcprep はやっていなくても警告が出るだけで作業を続行できる。
スキーマ マスタで実行する
adprep /forestprep
adprep /rodcprep
インフラストラクチャ マスタで実行する
adprep /domainprep /gpprep
参考
アップグレード用にインフラストラクチャを準備する
Windows Server 2008 R2 は64bit版しか無いため adprep.exe も64bitアプリケーションである。
従って、32bit版OSで adprep.exe を実行すると以下のようなエラーが表示される。
D:\support\adprep>adprep /forestprep
イメージ ファイル D:\support\adprep\adprep.exe は有効ですが、このコンピュータで
は扱えないファイル形式です。
D:\support\adprep>adprep /forestprep
アクセスが拒否されました。
同じディレクトリに adprep32.exe があるのでこちらで実行する。
D:\support\adprep>adprep32 /forestprep