ADの環境移行(その1)　～WindowsServer 2012R2からWindowsServer 2022へ～

Last updated at 2024-02-20Posted at 2024-02-02

今回は実案件でよく扱うActiveDirectory Domain Service(以下ADDS)の移行手順の備忘録です。ADDS移行はIT系インフラのお仕事だと一番引き合いの多い内容かもしません。その中でも2023年10月にEOLを迎えており、リプレイスをした（もしくは検討している）数が多いWindows Server2012R2から最新版OSのWindowsServer 2022への移行手順にフォーカスしていきます。手順・項目が多いので２つに分割して記事にします。

次回（その2)part →　https://qiita.com/u-bayashi/items/0e61835e4a19900e2815

今回のゴール

・ActiveDirectory環境をWindows Server2012R2からWindows Server2022に移行する
・新旧環境でサーバのホスト名/IPアドレスは引継ぎをする
・ドメインフォレストレベルをWindows Server2016にアップグレードする

【現状のイメージ】

【変更後のイメージ】

前提条件（＋免責事項）

・当方はマイクロソフト社とは関係ありません。自己責任でご参照ください。
・現状はWindows Server2012R2×2台でADDS環境を構築している。
・現状のDomainController(以下DC)にはActive Directory ドメインサービス(ADDS)以外の機能はインストールされていないものとする。
・Windows Server2022×2台でADDS環境を引継ぎする。
・Windows Server2022×2台は本設定開始前ではドメインメンバーサーバであり、DCではない。
・hoge-domain.internalというドメイン環境で実行
・作業前のAD環境はこんな感じです。

[Domain Controllers]にWIN2012-AD-PRIとWIN2012-AD-SECがいます。

[Computers]にWIN2022-AD-PRIとWIN2022-AD-SECがいます。

補足

・DCに証明機関(CA)機能がインストールされている場合、CA機能は移行できません。
　そもそもマイクロソフトはCAとDCの同居は非推奨としています。

　参考URL：https://jpwinsup.github.io/blog/2023/10/23/ActiveDirectory/Authentication/design-consideration/

・本記事はDCが2台あることが前提でローリングアップデートという手法で移行するケースとなります。
・DCの状態のサーバはGUIでサーバのホスト名を変更しようとするとこんな感じの警告が表示されます。
　
　
　
　DCから降格した後でホスト名変更しましょう。
　無視してGUIでホスト名変更を実行すると最悪ADDS環境が破壊されますのでご注意を。
　Powershellでホスト名変更する方法もありますが今回は取り上げません。

注意事項

・作業前に必ずバックアップは取得しましょう
　DCの昇格、降格、ホスト名変更は順番や手順を間違えるとADDS環境が破壊されます。
・複数のサーバが登場するのでどのサーバで作業をするのか、間違えないようにしましょう。

作業概要

設定の流れ

設定の流れとしては以下となります。

現行のDCレプリケーション確認
FSMOをWindowsServer2012R2(旧AD#1)からWindowsServer2012R2(旧AD#2)に移行
　※FSMOってなに？って方はこちら【初心者向け】ActiveDirectory とは？
WindowsServer2012R2(旧AD#1)をDCから降格
WindowsServer2012R2(旧AD#1)のホスト名/IPアドレスを変更
WindowsServer2022(新AD#1)のホスト名/IPアドレスを変更　※WindowsServer2012R2(旧AD#1)のものを引継ぎ
WindowsServer2022(新AD#1)をDCに昇格
FSMOをWindowsServer2012R2(旧AD#2)からWindowsServer2022(新AD#1)に移行
WindowsServer2012R2(旧AD#2)をDCから降格
WindowsServer2012R2(旧AD#2)のホスト名/IPアドレスを変更
WindowsServer2022(新AD#2)のホスト名/IPアドレスを変更　※WindowsServer2012R2(旧AD#2)のものを引継ぎ
WindowsServer2022(新AD#2)をDCに昇格
新環境(WindowsServer2022)でのDCレプリケーション確認
ドメインフォレストレベルのアップグレード

この中で一番重要な項目は 「1. 現行のDCレプリケーション確認」 です。
DC間のレプリケーションはかなり複雑で現行状態で問題が出ている場合、それを解決してからでないと移行後のトラブルのもとになります。
FSMOを旧AD#1から旧AD#2に移行していますがこれはDCのままではGUI画面でホスト名を変更できないという制限のためです。

やってみた

「1. 現行のDCレプリケーション確認」

FSMOになっている(と思われる）WindowsServer2012R2にログインし、以下を実行します。

 #以下をコマンドプロンプトで実行
netdom qury fsmo

各種のマスター、マネージャーがどのサーバになっているか上記のような形で表示されます。これでどのDCがFSMOなのか判別できます。上記の例ではFSMOは「Win2012-AD-pri.hoge-domain.internal」というサーバになっています。一般的に○○マスターや○○マネージャーとなっているサーバは全て同じサーバになっています。

次に既存DC間のレプリケーションが正常かどうか確認します。

#以下をコマンドプロンプトで実行
repadmin /showrepl

以下のように[成功しました]と表示されればOKです。

 #以下をコマンドプロンプトで実行
repadmin /syncall

以下のように[成功しました]と表示されればOKです。

#以下をコマンドプロンプトで実行
dcdiag /test:advertising

以下のように[成功しました]表示されればOKです。

dcdiagコマンドはDCの色々な動作テストを行うコマンドですがテスト項目としては「Advertising」に合格していればOKです。
参考サイト　ドメインコントローラ（DC）の正常性の確認方法について

もし「repadmin /showrepl」,「repadmin /syncall」,「dcdiag /test:advertising」が失敗する場合は何かしらの理由でDC間のレプリケーションができていない状態です。同期回復方法（例）については別記事にしますのでここでは同期はできている前提で進めます。

「2. FSMOをWindowsServer2012R2(旧AD#1)からWindowsServer2012R2(旧AD#2)に移行」

FSMOになっているサーバにログインし、コマンドプロンプトで以下を実行します。

ntusutil  ←"ntdsutil"を実行
ntdsutil: roles　 ←”roles”を実行
fsmo maintenance: connections　 ←”connections”を実行
server connections: connect to server "WindowsServer2012R2(旧AD#2)のサーバホスト名(FQDN)"

ここで”ログオンしているユーザの資格情報を使ってXXXにログオンしました”と表示されればOKです。
何かしらエラー表示になる場合はドメイン管理者IDでサーバにログインしているか確認しましょう

参考URL：https://miyamon-se-exp.hatenablog.jp/entry/2016/09/19/141500

上手く接続できたらいったんfsmo maintenanceに戻ります