はじめに
今回はAD移行について見ていきたいと思います。前回までは、AD移行の準備をしましたが既存ドメインのDCのバックアップや既存ドメインの各種確認など様々なお膳立てが必要でした。今回は新規ドメイン構築と移行自体の手順に入っていきます。
<AD移行の準備>
URL:WinSV構築(Active Directory移行の準備)
前提条件
・現行システムの調査が完了していること
・新規システムのOSインストール、設定が完了していること
・現行システムと新規システムでSYSVOL複製方式及び機能レベルは変わらないものとする
・新規システムは既存ドメインを使用する
DNSドメイン名:domain-test.com
NetBIOS名:DOMAIN-TEST
・既存ドメインのDCのバックアップ
・既存ドメインの各種確認
環境
以下記事の「環境」と同様
URL:WinSV構築(Active Directory移行の準備)
DC移行手順
新規DCのActive Directory ドメインサービスのインストール
以下の手順と同様です(1,2号機「dc2022-1」「dc2022-2」で実施すること)
URL:WinSV構築(Active Directoryドメインサービスインストール〜ドメコン昇格)
→「Active Directory ドメインサービスのインストール」の箇所を参考
新規DCのドメインコントローラーへの昇格
配置構成において、新規構築の際は1号機は「新しいフォレストを追加する」、2号機は「既存のドメインにドメイン コントローラーを追加する」でしたが、移行する際は1,2号機ともに「既存のドメインにドメイン コントローラーを追加する」を選択します。
1.「サーバー マネージャー」の通知アイコンをクリックし、「このサーバーをドメイン コントローラーに昇格する」をクリックする。
2.「Active Directory ドメイン サービス構成ウィザード」が開始し、「配置構成」が表示される。「既存のドメインにドメイン コントローラーを追加する」を選択する。ドメインの「選択」をクリックする。
3.「Windows セキュリティ」が表示される。ドメインの管理者ユーザーの名前とパスワードを入力する。「OK」をクリックする。
4.「フォレストからのドメインの選択」が表示される。ドメイン「domain-test.com」を選択し、「OK」をクリックする。
5.ドメイン名と資格者情報が入力されたことを確認し、「次へ」をクリックする。
6.「ドメイン コントローラー オプション」が表示される。以下の値に設定し、「次へ」をクリックする。
ドメイン ネーム システム (DNS)サーバー:チェックを入れる
グローバル カタログ(GC):チェックを入れる
サイト名:Default-First-Site-Name
ディレクトリサービス復元モード(DSRM)のパスワード:任意
7.「DNS オプション」が表示されるが、設定値を変更せずに「次へ」をクリックする。
8.「追加オプション」が表示される。「レプリケート元」は既存のドメインを選択し、「次へ」をクリックする。
9.「パス」が表示されるが何も変更せず、「次へ」をクリックする。
10.「準備オプション」が表示されるので、「次へ」をクリックする。
11.「オプションの確認」が表示されるので、設定内容に問題ないことを確認し、「次へ」をクリックする。
12.「前提条件のチェック」が表示される。チェックが完了するまで待機する。
13.チェックに問題がなければ、「すべての前提条件のチェックに合格しました。[インストール] をクリックしてインストールを開始してください。」と表示されるので、「インストール」をクリックする。
14.「インストール」が表示されるので完了するまで待つ。
15.Active Directory ドメイン サービスの構成が完了すると、サーバーは自動的に再起動する。
同期の確認
昇格した新規DCにおいて、既存DCとの同期が完了していることを確認します。同期が完了していない場合は完了するまで待ってから、次の手順に進んでください。同期が完了していることを確認するには、新規DCにて次を確認します。
・コマンドプロンプトで「repadmin /replsummary」コマンドを実行する。
実行結果から、「失敗/合計」の列で失敗の数 (「/」の左側の数) が 0 であること、「最大デルタ」の列で最近複製されたことを確認する。
・コマンドプロンプトで「net share」コマンドを実行する。
実行結果から、「共有名」の列に「NETLOGON」と「SYSVOL」の共有が出力されることを確認する。
・PowerShellで「 Get-CimInstance -Namespace "root\microsoftdfs" -ClassName
"DfsrReplicatedFolderInfo"」コマンドレットを実行します。
「ReplicatedFolderName : SYSVOL Share」の「State : 」が「4」となっていることを確認します。
・イベントビューアーを開き、「アプリケーションとサービス ログ」-「DFS Replication」イベントログに、DFSRでの初期同期完了を示す ID:4604 のイベントが記録されていることを確認します。
・「C:\Windows\SYSVOL\domain」フォルダーにテスト用のファイルを作成し、他のDCにファイルが複製されることを確認します。
FSMOの転送
AD移行のメインとなる作業です。Active Directory では、フォレストもしくはドメイン内で1台の DCのみで実行する必要のある処理があります。このような処理を実行するよう割り当てられたDCを「Flexible Single Master Operations」 (FSMO) の役割の所有者と呼びます。
FSMO には次があります。
・PDCエミュレーター
・RIDマスター
・インフラストラクチャーマスター
・スキーママスター
・ドメイン名前付け操作マスター
FSMOの役割を持ったDCが存在しない状態とならないよう、既存DCを降格する前に新規DCにFSMOの役割を転送します。
以下は、新規DC1号機「dc2022-1」で実施します。
1.ドメインの管理者ユーザーでログオンします。
2.管理者としてPowerShellを起動し、次のコマンドを実行します。
MoveADDirectoryServerOperationMasterRole -Identity "dc2022-1" -
OperationMasterRole PDCEmulator,RIDMaster,InfrastructureMaster,SchemaMaster,DomainNamingMaster
以下について、移動するか確認のメッセージが表示されます。それぞれに対して「Y」を入力し、Enterキーを押します。移動に成功するとエラーなどは表示されずに終了します。
・PDCエミュレーター
・RIDマスター
・インフラストラクチャーマスター
・スキーママスター
・ドメイン名前付け操作マスター
3.次のコマンドを実行します。
Get-ADDomain | Select-Object PDCEmulator,RIDMaster,InfrastructureMaster | fl
コマンド結果が以下になっていることを確認する。
PDCEmulator:dc2022-1.domain-test.com
RIDMaster:dc2022-1.domain-test.com
InfrastructureMaster:dc2022-1.domain-test.com
4.次のコマンドを実行します。
Get-ADForest | Select-Object SchemaMaster,DomainNamingMaster | fl
コマンド結果が以下になっていることを確認する。
SchemaMaster:dc2022-1.domain-test.com
DomainNamingMaster:dc2022-1.domain-test.com
既存DC(WindowsServer2016)の降格
既存DCの降格、ワークグループへの変更を行い、ネットワークから撤去します。
①DNSサーバー設定の変更
各DCのDNSサーバーの設定で、既存DCのdc2016-1、dc2016-2のIPアドレスは削除し、新規DCの dc2022-1、dc2022-2のIPアドレスを追加します。
●既存システムのDNSサーバー設定値
・1号機(dc2016-1)
| 変更前 | 設定後 |
|---|---|
| 優先:127.0.0.1 | 優先: 192.168.1.11 |
| 代替:192.168.1.2 | 代替: 192.168.1.12 |
・2号機(dc2016-2)
| 変更前 | 設定後 |
|---|---|
| 優先:127.0.0.1 | 優先: 192.168.1.11 |
| 代替:192.168.1.1 | 代替: 192.168.1.12 |
●新規システムのDNSサーバー設定値
・1号機(dc2022-1)
| 変更前 | 設定後 |
|---|---|
| 優先:192.168.1.1 | 優先: 127.0.0.1 |
| 代替:192.168.1.2 | 代替: 192.168.1.12 |
・2号機(dc2022-2)
| 変更前 | 設定後 |
|---|---|
| 優先:192.168.1.1 | 優先: 127.0.0.1 |
| 代替:192.168.1.2 | 代替: 192.168.1.11 |
②DNS委任レコードの変更
新規DC1号機(dc2022-1)で以下の手順を実施します。
1.ドメインの管理者ユーザーでログオンする。
2.「サーバーマネージャー」を起動する。「ツール」をクリックし、「DNS」をクリックする。
3.「DNSマネージャー」が表示されます。「前方参照ゾーン」、「<ドメイン名>」の「_msdcs」を開きます。「_msdcs」を右クリックし、「プロパティ」をクリックする。「_msdcs」を右クリックしても「プロパティ」がなく、「_msdcs」のアイコンが黄色で表示されている場合は、「_msdcs」が委任ではなく「<ドメイン名>」の下にドメインとして作成されています。この場合は、4〜12の手順は不要です。
4.「_msdcs のプロパティ」が表示されます。「ネームサーバー」で、既存DCを選択し、「削除」をクリックします。既存DCが複数登録されている場合はすべて削除します。
5.「追加」をクリックします。
6.「新規ネームサーバーレコード」が表示されます。「サーバーの完全修飾ドメイン名(FQDN) 」にdc2022-1のFQDN(「dc2022-1.domain-test.com」)を入力し、「解決」をクリックします。
7.「このNSレコードのIPアドレス」にdc2019-1のIPアドレスが入力されます。「::1」が入力された場合は、これを選択して「削除」をクリックし、IPv4アドレスのみにします。
※NSレコード:どのDNSサーバーがそのドメインの権威サーバーであるか(すなわち、どのサーバーに実際のDNSレコードがあるか)を示します。
8.「OK」をクリックします。
9.「_msdcs のプロパティ」に戻ります。「追加」をクリックします。
10.「新規ネームサーバーレコード」が表示されます。「サーバーの完全修飾ドメイン名(FQDN) 」にdc2022-2のFQDN(「dc2022-2.domain-test.com」)を入力し、「解決」をクリックします。「このNSレコードのIPアドレス」にdc2022-2のIPアドレスが入力されます。「OK」をクリックします。
11.「_msdcsのプロパティ」に戻ります。「OK」をクリックします。
12.「DNSマネージャー」に戻ります。名前が「(親フォルダーと同じ)」、種類が「Name Server (NS)」のレコードとして、dc2022-1、dc2022-2が登録されたことを確認します。
おわりに
AD移行はこれだけでは終わりではありません。既存DCの降格手順は準備段階までしか終わっておらず、残りは既存DCの降格、ワークグループへの変更があります。また、既存DC降格後の確認、IPアドレスの変更があります。ボリュームは多いですが、そこまで複雑な手順ではないので最後までやり遂げましょう。
投稿者
エンジニアファーストの会社 株式会社CRE-CO 田渕浩之