はじめに
今回はAD移行について見ていきたいと思います。おそらくAD構築の中で一番大変な作業です。現行システムと新規システムのバージョンによって移行方式が変わるので現行システム調査は必須ですし、手順も明確にしておく必要があります。移行が必要なのは現行システムで使用していたユーザーやコンピューター情報、グループポリシーの設定をそのまま引き継ぐ必要があるからです。例えば、今まで職員のアカウントを使っていたのにシステム更改があったら自分の職員アカウントがなくなっていた、なんて困りますよね。そのようなことがないようにAD移行というのは存在するのです。
前提条件
・現行システムの調査が完了していること
・新規システムのOSインストール、設定が完了していること
・現行システムと新規システムでSYSVOL複製方式及び機能レベルは変わらないものとする
・新規システムは既存ドメインを使用する
DNSドメイン名:domain-test.com
NetBIOS名:DOMAIN-TEST
環境
●現行システム
Windowsバージョン:Windows Server 2016
SYSVOL複製方式:DFSR
機能レベル:Windows Server 2016
①1号機
| 項目 | 内容 |
|---|---|
| コンピューター名 | dc2016-1 |
| OS | Windows Server 2016 |
| IPアドレス | 192.168.1.1 |
| 優先DNS | 127.0.0.1 |
| 代替DNS | 192.168.1.2 |
②2号機
| 項目 | 内容 |
|---|---|
| コンピューター名 | dc2016-2 |
| OS | Windows Server 2016 |
| IPアドレス | 192.168.1.2 |
| 優先DNS | 127.0.0.1 |
| 代替DNS | 192.168.1.1 |
●新規システム
Windowsバージョン:Windows Server 2022
SYSVOL複製方式:DFSR
機能レベル:Windows Server 2016
①1号機
| 項目 | 内容 |
|---|---|
| コンピューター名 | dc2022-1 |
| OS | Windows Server 2022 |
| IPアドレス | 192.168.1.11 |
| 優先DNS | 192.168.1.1 |
| 代替DNS | 192.168.1.2 |
②2号機
| 項目 | 内容 |
|---|---|
| コンピューター名 | dc2022-2 |
| OS | Windows Server 2022 |
| IPアドレス | 192.168.1.12 |
| 優先DNS | 192.168.1.1 |
| 代替DNS | 192.168.1.2 |
DC移行手順
既存ドメインの DC のバックアップ
問題が発生した場合に元に戻せるよう、既存の Windows 2016ドメインのすべてのDCでバックアップを取得します。
もし問題が発生し、移行作業開始前の状態に戻す必要がある場合には、すべてのDCをバックアップからリストアします。
※オンプレの場合はWindows Server バックアップを使用します。Amazon EC2を使用している場合はAMI取得でも可能です。
既存ドメインの確認
Windows2022ドメインへの移行を行う前に、既存のWindows2016ドメインが次の状態であることを確認します。
・ ADやSYSVOLの複製が正常に行われていること
・ フォレストの機能レベルが”Windows Server 2016”であること
・ SYSVOLの複製方式がDFSRであること
①ADやSYSVOLの複製の確認
ADやSYSVOLの複製が正常に行われていることを確認するには、各DCで以下の確認を行ってください。
・「repadmin /replsummary」コマンドを実行します。
実行結果から、「失敗/合計」の列で失敗の数 (「/」の左側の数) が0であること、「最大デルタ」の列で最近複製されたことを確認します。
・「net share」コマンドを実行します。
実行結果から、「共有名」の列に「NETLOGON」と「SYSVOL」の共有が出力されることを確認します。
・「C:\Windows\SYSVOL\domain」フォルダーにテスト用のファイルを作成し、他の DC にファイルが複製されることを確認します。
上記のいずれかで問題が見られる場合は、しばらく時間をあけたり、OS再起動を行ったりした後に再度ご確認ください。その後も問題が見られる場合は、以降の手順に進む前に複製の問題を解消してください。
②フォレスト機能レベルの確認
1.ドメインの管理者ユーザーでログオンします。
2.「サーバー マネージャー」を起動します。「ツール」をクリックし、「Active Directory ドメインと信頼関係」をクリックします。
3.「Active Directory ドメインと信頼関係」が表示されます。「<ドメイン名>」で右クリックし、
「プロパティ」をクリックします。
4.「<ドメイン名>のプロパティ」画面で以下の設定値になっていることを確認する。
ドメインの機能レベル:Windows Server 2016
フォレストの機能レベル:Windows Server 2016
③SYSVOL複製方式の確認
1.ドメインの管理者ユーザーでログオンします。
2.現在の DFSR 移行のグローバル状態を取得します。管理者としてコマンドプロンプトを起動し、「dfsrmig /GetGlobalState」コマンドを実行します。以下のメッセージが表示されることを確認する。
メッセージ内容:DFSR の現在のグローバル状態: '削除済み'
成功しました。
おわりに
いかがでしたでしょうか。AD移行するためには想像以上の準備が必要で機能レベルや複製方式はもちろんのこと、IPアドレスやホスト名、DNSの設定値など事前に整理しておかなければスムーズに移行することができません。仕事は段取りが8割と言われるだけあって、AD移行ではまさにそれが試される場でもありますのでしっかりとやっていきましょう。
投稿者
エンジニアファーストの会社 株式会社CRE-CO 田渕浩之