はじめに
今回はAD移行後の既存DC降格から既存DC降格後の確認について見ていきたいと思います。Active Directory機能の性質上、作業量はどうしても多くなりますがその分、出来上がった時の達成感はすごいはずなので最後まで頑張りましょう。私はAD移行については現場では実施していませんが、AD構築はしたことがあるので記事に残していきたいと思います。
前回までのAD移行手順はこちらです。
<AD移行の準備>
URL:WinSV構築(Active Directory移行の準備)
<AD移行作業〜既存DC降格準備>
URL:WinSV構築(Active Directory移行作業〜既存DC降格準備)
前提条件
・現行システムの調査が完了していること
・新規システムのOSインストール、設定が完了していること
・現行システムと新規システムでSYSVOL複製方式及び機能レベルは変わらないものとする
・新規システムは既存ドメインを使用する
DNSドメイン名:domain-test.com
NetBIOS名:DOMAIN-TEST
・既存ドメインのDCのバックアップ
・既存ドメインの各種確認
・新規DCのActive Directory ドメインサービスのインストール
・新規DCのドメインコントローラーへの昇格
・同期の確認
・FSMOの転送
・DNSサーバー設定の変更
・DNS委任レコードの変更
環境
以下記事の「環境」と同様
URL:WinSV構築(Active Directory移行の準備)
DC移行手順
既存DC(WindowsServer2016)の降格
DNSサーバー設定の変更、DNS委任レコードの変更まで実施した前提の手順です。
①既存DCの降格
以下手順は、既存DC1,2号機(dc2016-1、dc2016-2)で実施します。
1.ドメインの管理者ユーザーでログオンする。
2.「サーバーマネージャー」を起動する。「管理」をクリックし、「役割と機能の削除」をクリックする。
3.「役割と機能の削除ウィザード」が開始し、「開始する前に」が表示されます。「次へ」をクリックする。
4.「対象サーバーの選択」が表示されます。「サーバープールからサーバーを選択」を選択しする。「サーバープール」から「dc2016-1」を選択し、「次へ」をクリックする。
※2号機ならば「dc2016-2」
5.「サーバーの役割の削除」が表示される。「ActiveDirectoryドメインサービス」のチェックをクリックする。
6.「ActiveDirectoryドメインサービスを必要とする機能を削除しますか?」のダイアログが表示される。「機能の削除」をクリックする。
7.「検証結果」が表示される。「このドメイン コントローラーを降格する」をクリックする。
8.「資格情報」が表示される。設定は変更せず、「次へ」をクリックする。
9.「警告」が表示される。「削除の続行」にチェックを入れる。「次へ」をクリックする。
10.「新しいAdministratorパスワード」が表示される。降格した後のローカルコンピューターのAdministratorユーザーのパスワードを入力する。「次へ」をクリックする。
11.「オプションの確認」が表示される。「降格」をクリックする。DC降格処理が開始される。
12.DC降格処理が完了すると自動で再起動が行われる。
②ワークグループへの変更
以下手順は、既存DC1,2号機(dc2016-1、dc2016-2)で実施します。
1.ドメインの管理者ユーザーでログオンする。
2.「サーバーマネージャー」を起動する。「このローカル サーバーの構成」をクリックする。
3.ドメイン名をクリックする。
4.「システムのプロパティ」が表示される。「コンピューター名」タブの「変更」をクリックする。
5.「コンピューター名/ドメイン名の変更」が表示される。「ワークグループ」を選択し、「WORKGROUP」と入力する。「OK」をクリックする。
6.以下のメッセージが表示されるので、「OK」をクリックする。
メッセージ内容:ドメインから抜けた後でコンピューターにログインするには、ローカル管理者アカウントのパスワードが必要です。操作を続行するには、[OK]をクリックしてください。
7.以下のメッセージが表示されるので、「OK」をクリックする。
メッセージ内容:WORKGROUPワークグループへようこそ。
8.以下のメッセージが表示されるので、「OK」をクリックする。
メッセージ内容:再起動する前に、開いているファイルを保存して、すべてのプログラムを閉じてください。
9.「システムのプロパティ」に戻る。「閉じる」をクリックする。
10.以下のメッセージが表示されるので、「今すぐ再起動する」をクリックすると、再起動が開始される。
メッセージ内容:再起動する前に、開いているファイルをすべて保存して、プログラムをすべて閉じる必要があります。
11.再起動後、サーバーをシャットダウンし、ネットワークから撤去する。
既存DC降格後の確認
降格したdc2016-1、dc2016-2の情報が残っていないか、以下の場所を確認します。もし、dc2016-1、dc2016-2の情報が残っていた場合は削除し、dc2022-1、dc2022-2の名前もしくはIPアドレスのみにします。
・「Active Directory ユーザーとコンピューター」の「<ドメイン名>」-「Domain Controllers」OU 配下
・「Active Directory サイトとサービス」の「Sites」-「<サイト名>」-「Servers」配下
・「DNS マネージャー」の「<ドメイン名>」ゾーンにある以下のレコード
名前が「(親フォルダーと同じ)」、種類が「Name Server (NS)」のレコード
名前が「(親フォルダーと同じ)」、種類が「Host (A)」のレコード
「_sites」-「<サイト名>」-「_tcp」にある、名前が「_gc」、「_kerberos」、「_ldap」、種類が「Service Location (SRV)」のレコード
「_tcp」にある、名前が「_gc」、「_kerberos」、「_kpasswd」、「_ldap」、種類が「Service Location(SRV)」のレコード
「_udp」にある、名前が「_kerberos」、「_kpasswd」、種類が「Service Location (SRV)」のレコード
「DomainDnsZones」にある、名前が「(親フォルダーと同じ)」、種類が「Host (A)」のレコード
「DomainDnsZones」-「_sites」-「<サイト名>」-「_tcp」にある、名前が「_ldap」、種類が「Service Location (SRV)」のレコード
「DomainDnsZones」-「_tcp」にある、名前が「_ldap」、種類が「Service Location (SRV)」のレコード
「ForestDnsZones」にある、名前が「(親フォルダーと同じ)」、種類が「Host (A)」のレコード
「ForestDnsZones」-「_sites」-「<サイト名>」-「_tcp」にある、名前が「_ldap」、種類が「Service Location (SRV)」のレコード
「ForestDnsZones」-「_tcp」にある、名前が「_ldap」、種類が「Service Location (SRV)」のレコード
・「DNS マネージャー」の「_msdcs.<ドメイン名>」ゾーンにある以下のレコード
名前が「(親フォルダーと同じ)」、種類が「Name Server (NS)」のレコード
名前が「」、種類が「Alias (CNAME)」のレコード
「dc」-「_sites」-「<サイト名>」-「_tcp」にある、名前が「_kerberos」、「_ldap」、種類が「Service Location (SRV)」のレコード
「dc」-「_tcp」にある、名前が「_kerberos」、「_ldap」、種類が「Service Location (SRV)」のレコード
「domains」-「<GUID>」-「_tcp」にある、名前が「_ldap」、種類が「Service Location (SRV)」のレコード
「gc」にある、名前が「(親フォルダーと同じ)」、種類が「Host (A)」のレコード
「gc」-「_sites」-「<サイト名>」-「_tcp」にある、名前が「_ldap」、種類が「Service Location(SRV)」のレコード
「gc」-「_tcp」にある、名前が「_ldap」、種類が「Service Location (SRV)」のレコード
また、次の場所についてもFSMO(PDC エミュレーター)の役割を転送させたdc2022-1の名前になっているか確認する。
・「DNS マネージャー」の「_msdcs.<ドメイン名>」ゾーンにある次のレコード
「pdc」-「_tcp」にある、名前が「_ldap」、種類が「Service Location (SRV)」のレコード
おわりに
AD移行ももう少しです。IPアドレスの変更が終わればようやく完了です。私も正直、そこまで長いとは思っていませんでしたが次の記事で終われば良いと思っています。
投稿者
エンジニアファーストの会社 株式会社CRE-CO 田渕浩之