Oracle CloudでADドメインに参加しているWindowsのバージョンアップを試してみた(2)

はじめに

「Oracle CloudでADドメインに参加しているWindowsのバージョンアップを試してみた(1)」で作成した環境を使用して、Oracle Cloud上に構築されたWindows OSのコンピュートをADのドメインに参加させてみます。
ドメインに参加したWindows Serverのバージョンアップを行い、ポリシーが適用されたままかどうかを確認します。
※あくまでも確認であり動作を保証するものではありません。

テストを開始する前に下記内容の準備ができていることを確認します。

・Tokyo、Osaka、両ネットワークの疎通確認ができていること
・AD機能を有効化していること
・DNS機能を有効化していること
・Tokyo側のComputeにBlock Volumeを作成してアタッチしていること
・TokyoのComputeがOsakaのドメイン・コントローラのドメインに参加していること
　※上記の作業は本記事の対象外として、作成手順は省略します

ADドメインに参加しているWindowsのバージョンアップに関して確認してみた点
：Windows 2016のVM Computeを終了後、Windows 2019で同じホスト名/IPアドレスにより作成
　1. バージョンアップ前に使用していたBlock Volumeを新バージョンのVMにアタッチしてみる
　2. 新しいVM Computeを再度ドメインに参加させた際の状態を確認

1. バージョンアップ前に使用していたBlock Volumeを新バージョンのVMにアタッチしてみる

テスト手順：

1. Block Volumeの中に検証のためのファイル（＊.txt， ＊.png， ＊.exe ）をいくつか準備します。
2. 旧バージョンのComputeインスタンス（Windows 2016）から、1.のBlock VolumeをデタッチしてVMを終了します。
3. Window 2016と同一のホスト名とIPアドレスで新しいComputeインスタンス（Windows 2019）を作成します。
4. 旧バージョンで使用していたBlock Volumeを再アタッチします。
5. Block Volume中でのファイルの再利用の可否を確認します。

確認結果：
　Windows 2016からWindows 2019へのアップグレードでは前のバージョンで使用していたBlock Volumeの再利用が可能でした。

注意事項：OSバージョン・アップに伴いファイル・システムに変更が入る可能性があるため、すべてのバージョンで上記の手順によるボリュームの再利用が可能であるかどうかは不明です。

2. 新しいVM Computeを再度ドメインに参加させた際の状態を確認

確認手順

1. ドメイン・コントローラでテスト用ポリシーをいくつか作成します。
   ドメインのすべてのサーバーに適用するポリシー
   特定のサーバーに適用するポリシー
2. WindowsVM1とWindowsVM2をドメインに参加させて、1．のポリシーが実施されたことを確認します。
   確認してから、WindowsVM1(Windows 2016)を終了します。
3. 同じIPアドレスとホスト名を使用してWindows 2019のイメージで新たにVM1を作成します。
4. このWindowsVM1(Windows 2019)をドメインに参加させます。
5. このWindowsVM1(Windows 2019)に対してポリシーが実施されたことを確認します。

検証用ポリシー例：
Osaka Region(オンプレミス側としてシミュレート）のドメイン・コントローラでポリシーを設定

ドメイン・コントローラの中で下記種類のポリシーを準備します。

• TestPolicy：すべてのサーバーに適用するポリシー
• VM1Policy：特定のサーバー：WindowsVM1のみに適用するポリシー
• VM2Policy：特定のサーバー：WindowsVM2のみに適用するポリシー

※ポリシーは、ホスト名によってWMI Filterを介して適切なVMに適用されます

VMにポリシーが適用されていることを確認：
Tokyo側でそれぞれのVMにログインしてポリシーを取得されることを確認します。
共通のポリシー(CommonFirewalRule)と個別のポリシー(VM1-TestFirewall/VM2-TestFirewall)の適用が確認できます。

図：Windows Defender ファイアウォールでルールを確認

Windowsのバージョンアップを実施：
Tokyo側のWIndowsVM1に対して、バージョン・アップを実施します。

事前準備（オプション）
バージョンアップを実行する前にWindowsVM1 カスタム・イメージ、および、Block Volumeのバックアップを作成します

実施手順：

1. WindowsVM1にアタッチしているBlock Volumeをデタッチ
2. WindowsVM1を終了
3. Windows2019のイメージで新規のVMを作成　
   ※VMのホスト名とPrivate IPアドレスは旧VMで使用していたものに設定
4. VM作成完了後、新しいWindowsVM1にBlock Volumeを再アタッチ

Windowsのバージョン・アップ後の確認：
新規VM(WindowsVM1)の作成完了後、再度ADドメインに参加します。
（ドメインに参加した後、インスタンスの再起動が必要です。）
インスタンスの再起動が完了したら、「VMにポリシーが適用されていることを確認：」の内容と同様にポリシーが適用されているかどうかを確認します。

確認結果：
同じIPアドレスとホスト名を使用して新バージョンのWindows Serverを作成し、ドメインに参加した結果、ドメイン・コントローラ側では特に作業を実施することなく、バージョン・アップされたVMに「Group Policy Management」で設定しているポリシーが自動適用されたことが確認できました。

注意事項：
※同じホスト名とIPアドレスが使用されていますが、Windowsバージョンアップ後のVM(WindowsVM1)は、実際にはADコントローラーに対して完全に新しいオブジェクトであり、以前に終了されたVMとは異なるサーバーとして認識されます。

※このテストでは、ホスト名/ IPアドレスに基づいてポリシーをカスタマイズするシナリオのみを検証しましたが、UUIDやSID、さらにはWindowsバージョンなどによって複雑なポリシーをカスタマイズする場合があり、このようなポリシーを新規のVMに実施できない可能性があります。

Special Thanks：Mr. Hu