Windows Server 2012 Active Directory 移行の手引き - 富士通

Windows Server 2012/2012 R2 Active Directory 移行の手引き

第 2.3 版 2015 年 3 月富士通株式会社

Copyright 2012-2015 FUJITSU LIMITED


はじめに本書は、Microsoft® Windows Server® 2003 Active Directory®のドメイン、Microsoft® Windows Server® 2008 Active Directory®のドメイン、Microsoft® Windows Server® 2008 R2 Active Directory®のドメインから、Microsoft® Windows Server® 2012 Active Directory®のドメインまたは Microsoft® Windows Server® 2012 R2 Active Directory®のドメインへの移行手順を紹介します。ドメインの移行方式には、「既存ドメインのバージョンアップ」、「新規ドメイン構築&アカウント移行」の 2 種類が用意されており、お客様の移行環境や要件に合わせて移行方式を選択する必要があります。ドメインの移行方式や移行手順を考える際の基礎情報としてご活用ください。本書を利用するにあたっての前提知識以下の技術情報についての知識が必要となります。 

Active Directory®およびネットワークの基礎知識

想定する対象読者以下の方を対象に記載しています。 

Microsoft® Windows Server® 2003 Active Directory®のドメイン、Microsoft® Windows Server® 2008 Active Directory®のドメイン、Microsoft® Windows Server® 2008 R2 Active Directory®のドメインを使用中のお客様



近い将来にドメイン移行を予定のお客様/SE



知識としてドメイン移行の進め方を確認されたいお客様/SE/営業

参考資料本書以外の Windows Server 技術情報は、以下のサイトで公開しています。・Windows システム構築ガイド http://jp.fujitsu.com/platform/server/primergy/technical/construct/



本書では、以下の略称を使用しています。正式名称製品名

ドメイン

略称 Microsoft® Windows Server® 2003

Windows Server 2003

Microsoft® Windows Server® 2008

Windows Server 2008

Microsoft® Windows Server® 2008 R2

Windows Server 2008 R2

Microsoft® Windows Server® 2012

Windows Server 2012

Microsoft® Windows Server® 2012 R2

Windows Server 2012 R2

Microsoft® Windows® XP

Windows XP

Windows® Vista

Windows Vista

Windows® 7

Windows 7

Windows® 8

Windows 8

Microsoft® Windows Server® 2003 Active

Windows 2003 ドメイン

Directory®のドメイン Microsoft® Windows Server® 2008 Active


Directory®のドメイン Microsoft® Windows Server® 2008 R2 Windows 2008 R2 ドメイン Active Directory®のドメイン Microsoft® Windows Server® 2012 Active


Directory®のドメイン Microsoft® Windows Server® 2012 R2

Windows 2012 R2 ドメイン

Active Directory®のドメイン

その他

ドメインコントローラー

DC

Active Directory®

AD

Active Directory®ドメインサービス

ADDS

Active Directory®移行ツール

ADMT

Windows PowerShell®

Windows PowerShell

注意事項 

本ドキュメントを輸出または第三者へ提供する場合は、お客様が居住する国および米国輸出管理関連法規等の規制をご確認のうえ、必要な手続きをおとりください。



本書に記載されたデータの使用に起因する、第三者の特許権およびその他の権利の侵害については、当社はその責を負いません。



改版履歴改版日時

版数

改版内容

2012.09

1.0

・新規作成

2013.04

1.1

・誤字修正

2013.10

2.0

・Windows Server 2012 R2 に対応

2014.03

2.1

・ADMT の Windows Server 2012/2012 R2 対応状況を更新

2014.12

2.2

・ADMT ツールの Windows Server 2012/2012 R2 対応に伴い、記載を修正

2015.03

2.3

・ADMT ツールを使用した移行手順として 5 章を追加・「3.2 移行手順」に重要な注意事項を追加



目次 1 なぜ、今 Windows 2012/2012 R2 ドメインに移行するのか？ ...................... 1 2 ドメイン移行の概要 ...................................................................................... 2 2.1 ドメイン移行作業の流れ .................................................................................................2 2.2 移行方式概要 ................................................................................................................3 2.2.1 既存ドメインのバージョンアップ ................................................................................4 2.2.2 新規ドメイン構築&アカウント移行 .............................................................................6

3 既存ドメインのバージョンアップ手順 (Windows 2003 ドメイン) .................... 8 3.1 移行環境 ........................................................................................................................8 3.2 移行手順 ......................................................................................................................10 3.2.1 ドメイン/フォレストの機能レベルの変更................................................................... 11 3.2.2 Windows Server 2012 R2 のDC追加 ....................................................................14 3.2.3 FSMOの転送 .........................................................................................................20 3.2.4 Windows Server 2003 DCの降格..........................................................................29 3.2.5 ドメイン/フォレストの機能レベルの変更...................................................................32 3.2.6 SYSVOL複製方式の変更 ......................................................................................34

4 既存ドメインのバージョンアップ手順 (Windows 2008/2008 R2 ドメイン).... 42 4.1 移行環境 ......................................................................................................................42 4.2 移行手順 ......................................................................................................................44 4.2.1 ドメイン/フォレストの機能レベルの変更...................................................................44 4.2.2 Windows Server 2012 R2 のDC追加 ....................................................................47 4.2.3 FSMOの転送 .........................................................................................................54 4.2.4 Windows Server 2008 DCの降格..........................................................................62 4.2.5 ドメイン/フォレストの機能レベルの変更...................................................................65

5 新規ドメイン構築&アカウント移行手順........................................................ 68 5.1 移行環境 ......................................................................................................................68 5.2 移行手順 ......................................................................................................................70 5.2.1 新規ドメインの構築 ................................................................................................70 5.2.2 信頼関係の構築 ....................................................................................................70 5.2.3 ADMTサーバの構築...............................................................................................84 5.2.4 移行用アカウントの作成.........................................................................................90 5.2.5 ADMT使用前の初期設定 .......................................................................................97 5.2.6 暗号化ツールのインストールと設定 ......................................................................103 5.2.7 アカウントの移行..................................................................................................108



5.2.8 既存ドメインの破棄 ..............................................................................................127

6 おわりに .................................................................................................. 134



図表目次図 1 「既存ドメインのバージョンアップ」の移行環境 ............................................................... 8 図 2 「既存ドメインのバージョンアップ」の移行環境 ............................................................. 42 図 3 「既存ドメインのバージョンアップ」の移行環境 ............................................................. 68 表 1 DC サーバの設定内容 .................................................................................................. 8 表 2 ドメインメンバサーバ/クライアントの設定内容 ................................................................ 9 表 3 IP アドレスの変更........................................................................................................ 31 表 4 IP アドレスの変更方法 ................................................................................................ 32 表 5 DC サーバの設定内容 ................................................................................................ 43 表 6 ドメインメンバサーバ/クライアントの設定内容 .............................................................. 43 表 7 IP アドレスの変更........................................................................................................ 64 表 8 IP アドレスの変更方法 ................................................................................................ 65 表 9 DC サーバの設定内容 ................................................................................................ 69 表 10 ドメインメンバサーバ/クライアントの設定内容 ............................................................ 69 表 11 ADMT のウィザードで変換可能な項目 ................................................................... 108



1 なぜ、今 Windows 2012/2012 R2 ドメインに移行するのか？富士通における過去のドメイン移行商談の傾向から、Windows 2012/2012 R2 ドメインへの移行を検討するきっかけとして、大きく以下の 2 通りが考えられます。

①最新のテクノロジーの恩恵を受けるため ●展開作業の簡略化・DC に昇格するコマンド（DCpromo）が廃止され、DC への昇格はサーバーマネージャーに統合されたため、DC 昇格時の操作が簡略化されます。・既存ドメインに DC を追加する際、自動的にスキーマが拡張されるため、既存 DC 上で実施していたスキーマ拡張の操作（ADprep）が不要になり、DC の展開が容易になります。 ●管理性の向上・Windows PowerShell 等での設定が必要だった Active Directory ごみ箱機能でのオブジェクトの復元が、Active Directory 管理センターの GUI からできるようになり、削除したオブジェクトの復元が容易になります。・設定が非常に煩雑だった、細かい設定が可能なパスワードポリシーの設定や適用が Active Directory 管理センターの GUI から簡単に行えるようになり、操作性が大幅に向上しています。・Active Directory 管理センターから実施した操作を Windows PowerShell の履歴として参照することができるため、スクリプトによる自動化などを容易に行うことができます。 ●仮想化環境への対応・DC として動作している仮想マシン（VHD）を、Sysprep での汎用化を行わずにクローン（コピー）を作成して、追加の DC として構築することができるようになり、仮想環境における DC の展開が容易になります。・スナップショットからの復元等により USN（※）ロールバックが発生した場合、自動的に回復処理が行われるため、仮想環境での DC の運用が容易になります。 ※ オブジェクトの変更状態の管理に使用する一意の識別名を更新シーケンス番号（USN：Update Sequence Number）といいます。

②ハードウェア・ソフトウェアの老朽化のため ●ハードウェア主にサーバ部品の保守期間終了の問題があります。サーバの各部品にも寿命があり、定期的に、または故障時に交換する必要があります。古いサーバは順次保守サポート切れを迎え、サポート終了後には各部品の入手が困難になります。 ●ソフトウェア（OS） Microsoft®製品には、サポート期間が決められています。サポート期間が終了すると、セキュリティパッチや修正モジュールが提供されなくなります。本書ではこのような背景から、Windows 2003 ドメイン、Windows 2008/2008 R2 ドメインから、Windows 2012/2012 R2 ドメインへの移行を中心に記載しております。

- 1 -



2 ドメイン移行の概要本章では、Windows 2012/2012 R2 ドメインへの移行の進め方と、移行方式について紹介します。

2.1 ドメイン移行作業の流れドメイン移行に必要な作業を簡単に紹介します。ドメイン移行では、以下の流れに従って移行の計画から実施・確認まで作業を進めます。

■計画、既存環境の調査■ 移行対象となるドメイン環境について調査を行います。DC だけでなくメンバコンピュータやネットワーク環境など影響範囲全般が調査対象となります。

POINT! Windows 2012/2012 R2 ドメインへの移行では、既存ドメイン内のすべての DC が “Windows Server 2003”以降である必要があります。またドメイン/フォレストの機能レベルが”Windows Server 2003”以上である必要があります。AD の移行では、DNS、 DHCP、WINS など関連するネットワークサービスを考慮する必要があります。

■ハードウェア・ソフトウェアの手配■ 移行に必要なハードウェア・ソフトウェアの手配を行います。

POINT! 発注してから搬入されるまでの時間を考慮し、余裕をもって手配します。

■移行手順の確立/検証■ 移行手順を確立します。移行過程でトラブルが発生した場合を想定して、ロールバック計画をあわせて検討してください。

POINT! ドメイン移行は、ドメイン内のメンバコンピュータや、ディレクトリサービスを利用するアプリケーションなど様々なところに影響を与える可能性があります。移行を行う際は、それらを洗い出し、移行手順の確認だけでなく、インフラ全体への影響有無について事前検証を行うことが、移行後のトラブルを未然に防ぐことに繋がります。

- 2 -



■移行の実施■ 検証で確立した手順をもとに、本番環境の移行を行います。本書では、このフェーズを中心に紹介します。

POINT! 移行作業を開始する前には、必ず既存 DC のバックアップを実施してください。移行を実施する時期によっては、新たにサービスパックや修正モジュールなどが発表され、本書の手順に変更を要する可能性があります。マイクロソフト社の最新の情報を確認してください。

■稼働の確認■ ドメイン移行完了後に、稼働状況の確認を行います。正常に稼働していることを確認して、ドメイン移行を完了とします。ドメイン移行は、実際の移行作業以上に、事前の調査・計画・準備などに多くの時間を必要とします。ドメイン移行を行う際は、移行期間に余裕をもって計画を進めてください。

2.2 移行方式概要 Windows 2012/2012 R2 ドメインへの移行方式は、以下の 2 つの方式が考えられます。・

既存ドメインのバージョンアップ既存ドメインの構成/情報を保持したまま、ドメインのバージョンアップを行う方式

・

新規ドメイン構築&アカウント移行 Active Directory 移行ツール（ADMT）を利用して、新規に構築したドメインへ既存のアカウント情報を移行する方式

富士通では、エンドユーザへの影響が少ない『既存ドメインのバージョンアップ』での移行を推奨しています。移行を機にドメイン環境を一新したい場合や、以下のような特別な要件がある場合には、『新規ドメイン構築 &アカウント移行』を選択します。・・

互換性確認が必要な既存サーバが多いため、既存ドメインを残しつつ、段階的に移行を行いたい。 M&A に伴いドメイン環境を統合したいなど、既存ドメインをそのまま使用したくない事情がある。

「既存ドメインのバージョンアップ」と「新規ドメイン構築&アカウント移行」の移行イメージを紹介します。

- 3 -



2.2.1 既存ドメインのバージョンアップ移行方式「既存ドメインのバージョンアップ」による、ドメイン移行イメージを紹介します。 ① 既存ドメインに新規 DC を追加します。

② 新規 DC を追加すると自動的にスキーマが拡張されます。

POINT! Windows Server 2012/2012 R2 の ADDS では、既存のドメインに DC を追加する際に、自動的にスキーマの拡張を行います。そのため、既存 DC 上にてコマンドで実施していたスキーマの拡張操作が不要になります。

- 4 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き ③ FSMO を新規 DC に転送します

④ 既存 DC をメンバサーバへ降格します。既存 DC をネットワークから撤去します。

⑤ 機能レベルを “Windows Server 2012”もしくは”Windows Server 2012 R2”に変更します。

Windows 2003 ドメインを Windows 2012 R2 ドメインへ移行する手順は、「3 既存ドメインのバージョンアップ手順 (Windows 2003 ドメイン)」を参照してください。 Windows 2008 ドメイン/2008 R2 ドメインを Windows 2012 R2 ドメインへ移行する手順は、「4 既存ドメインのバージョンアップ手順 (Windows 2008/2008 R2 ドメイン)」を参照してください。

- 5 -



2.2.2 新規ドメイン構築&アカウント移行移行方式「新規ドメイン構築&アカウント移行」による、ドメイン移行イメージを紹介します。

① 新規に Windows 2012/2012 R2 ドメインを構築します。

② 既存ドメインと新規ドメインの双方向信頼関係を作成します。

- 6 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き ③ ADMT を使用し、既存ドメインから新規ドメインへアカウントを移行します。

④ クライアント、メンバサーバ等のリソース移行完了後に、信頼関係を破棄します。

⑤ 既存ドメイン環境を破棄します。

Windows 2003 ドメインを Windows 2012 R2 ドメインへ移行する手順は、「5 新規ドメイン構築&アカウント移行手順」を参照してください。

- 7 -



3 既存ドメインのバージョンアップ手順 (Windows 2003 ドメイン) 本章では、富士通が推奨する移行方式「既存ドメインのバージョンアップ」を選択して、Windows 2003 ドメインから Windows 2012 R2 ドメインへ移行する手順を紹介します。

POINT! 本書では、Windows 2012 R2 ドメインへの移行手順を紹介していますが、Windows 2012 ドメインへの移行手順も同様となります。

3.1 移行環境本章で紹介する移行手順は、以下の環境における移行を想定しています。

図 1 「既存ドメインのバージョンアップ」の移行環境図 1 のサーバ/クライアントの設定内容を、次の表に示します（表 1、表 2）。表 1 DC サーバの設定内容番号 ①

項目コンピュータ名 IP アドレス OS、SP DNS

内容 2003DC-1 192.168.1.11 Windows Server 2003 R2 127.0.0.1(優先)、192.168.1.12(代替)

- 8 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き番号 ②

③

④

項目役割コンピュータ名 IP アドレス OS、SP DNS 役割コンピュータ名 IP アドレス OS、SP DNS 役割コンピュータ名 IP アドレス OS、SP DNS 役割

内容 DC(FSMO、GC)、DNS(fujitsu.local ゾーン) 2003DC-2 192.168.1.12 Windows Server 2003 R2 127.0.0.1 (優先)、192.168.1.11(代替) DC(GC)、DNS(fujitsu.local ゾーン) 2012R2DC-1 192.168.1.1 Windows Server 2012 R2 127.0.0.1 (優先)、192.168.1.12(代替) DC(FSMO、GC)、DNS(fujitsu.local ゾーン) 2012R2DC-2 192.168.1.2 Windows Server 2012 R2 127.0.0.1 (優先)、192.168.1.11(代替) DC(GC)、DNS(fujitsu.local ゾーン)

表 2 ドメインメンバサーバ/クライアントの設定内容番号 ⑤

⑥

⑦

⑧

項目コンピュータ名 IP アドレス OS、SP DNS 役割コンピュータ名 IP アドレス OS、SP DNS 役割コンピュータ名 IP アドレス OS、SP DNS 役割コンピュータ名 IP アドレス OS、SP DNS 役割

内容 2008R2File 192.168.1.50 Windows Server 2008 R2 192.168.1.11(優先)、192.168.1.12(代替) ファイルサーバ WinVista 192.168.1.101 Windows Vista SP2 192.168.1.11(優先)、192.168.1.12(代替) なし Win7 192.168.1.102 Windows 7 SP1 192.168.1.11(優先)、192.168.1.12(代替) なし Win8 192.168.1.103 Windows 8 192.168.1.11(優先)、192.168.1.12(代替) なし

- 9 -



3.2 移行手順移行方式「既存ドメインのバージョンアップ」による、ドメインの移行の詳細手順を紹介します。

Windows 2003 ドメインに Windows Server 2012 R2 の DC を追加した場合、コンピュータアカウントのパスワードが変更された後にログオンができなくなるという問題が発生します。詳細は以下のマイクロソフト社のサポート技術情報を参照してください。「Windows Server 2012 R2 と Windows Server 2003 の混在環境でのコンピューターアカウントのパスワードを変更した後にログオンできない」 https://support.microsoft.com/kb/2989971/ja この問題を未然に防ぐためには、Windows Server 2012 R2 を DC として追加する前に以下のいずれかの対処を行う必要があります。・対処 1 (サポート技術情報 2989971 の修正プログラムを適用) DC として追加する Windows Server 2012 R2 に AD DS の役割を追加後、サポート技術情報 2989971 の修正プログラムを適用してから DC に昇格します。 ※サポート技術情報 2989971 の修正プログラムは、AD DS の役割を追加することで適用できます。・対処 2 (サポート技術情報 2984006 の修正プログラムを適用) DC として追加する Windows Server 2012 R2 にサポート技術情報 2984006 の修正プログラムを適用してから DC に昇格します。この修正プログラムは AD DS の役割を追加する前の状態でも適用できます。 ※サポート技術情報 2984006 は更新プログラムのロールアップ(2014 年 9 月)となり、サポート技術情報 2989971 の修正プログラムが含まれています。詳細は以下のサポート技術情報を参照してください。「Windows RT 8.1、8.1 の Windows、および Windows Server 2012 の R2 用の更新プログラムのロールアップ 2014 年 9 月」 http://support.microsoft.com/kb/2984006/ja 上記の対処 1 および対処 2 を行うには、サポート技術情報 2919355 の修正プログラムが適用されている必要があります。詳細は以下のサポート技術情報を参照してください。「Windows RT 8.1、Windows 8.1、および Windows Server 2012 R2 の更新プログラム: 2014 年 4 月」 http://support.microsoft.com/kb/2919355 導入を行う前には、必ずマイクロソフト社の最新情報を確認してください。

- 10 -



3.2.1 ドメイン/フォレストの機能レベルの変更 Windows Server 2012 R2 の DC を既存ドメインに追加するには、ドメインおよびフォレストの機能レベルが”Windows Server 2003”以上である必要があります。以下の手順を実施し、ドメインおよびフォレストの機能レベルを”Windows Server 2003”に上げてください。既存ドメインのドメインおよびフォレストの機能レベルが”Windows Server 2003”以上である場合には、「3.2.2 Windows Server 2012 R2 の DC 追加」へ進んでください。 ① ドメインの機能レベルを上げる  本手順は、2003DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2 「スタート」→「管理ツール」→ 「Active Directory ドメインと信頼関係」をクリックします。

3

「Active Directory ドメインと信頼関係」が表示されます。左ペインの「」を右クリックし、「ドメインの機能レベルを上げる」をクリックします。

4

「ドメインの機能レベルを上げる」が表示されます。「Windows Server 2003」を選択します。「上げる」をクリックします。

5

「右のメッセージが表示されます。「OK」をクリックします。

- 11 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き 6


7

再度、手順 3 を実施し、ドメインの機能レベルが”Windows Server 2003”になっていることを確認します。

② フォレストの機能レベルを上げる  本手順は、2003DC-1 で行います。 1 「スタート」→「管理ツール」→ 「Active Directory ドメインと信頼関係」をクリックします。

2

「Active Directory ドメインと信頼関係」が表示されます。「Active Directory ドメインと信頼関係」を右クリックし、「フォレストの機能レベルを上げる」をクリックします。

3

「フォレストの機能レベルを上げる」が表示されます。「Windows Server 2003」を選択します。「上げる」をクリックします。

- 12 -




5


6

再度、手順 2 を実施し、フォレストの機能レベルが”Windows Server 2003”になっていることを確認します。

- 13 -



3.2.2 Windows Server 2012 R2 の DC 追加 ① Active Directory ドメインサービスのインストール  本手順は、2012R2DC-1、2012R2DC-2 で行います。

POINT! 事前に Windows Server 2012 R2 の OS インストールが完了していることを前提とします。なお、 DC 追加前に DNS サーバの役割をインストールしないでください。 1 2

ローカル管理者権限でログオンします。「サーバーマネージャー」を起動します。「ダッシュボード」を選択し、「役割と機能の追加」をクリックします。

3

「役割と機能の追加ウィザード」が表示されます。「次へ」をクリックします。

4

「インストールの種類の選択」が表示されます。「役割ベースまたは機能ベースのインストール」を選択し、「次へ」をクリックします。

- 14 -



「対象サーバーの選択」が表示されます。「サーバープールからサーバーを選択」を選択します。「サーバープール」から「2012R2DC-1」を選択し、「次へ」をクリックします。

6

「サーバーの役割の選択」が表示されます。「Active Directory ドメインサービス」にチェックを入れます。「Active Directory ドメインサービスに必要な機能を追加しますか？」のダイアログが表示されるので、「機能の追加」をクリックします。ダイアログが閉じたら、「次へ」をクリックします。

7

「機能の選択」が表示されます。「次へ」をクリックします。

- 15 -



「Active Directory ドメインサービス」が表示されます。「次へ」をクリックします。

9

「インストールオプションの確認」が表示されます。「インストール」をクリックします。

10 Active Directory ドメインサービスのインストールが開始します。完了するまで待機します。

11 Active Directory ドメインサービスのインストールが完了すると、「構成が必要です。でインストールが正常に完了しました。」というメッセージが表示されます。「このサーバーをドメインコントローラーに昇格する」をクリックします。

- 16 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き ②

ドメインコントローラーへの昇格  本手順は、2012R2DC-1、2012R2DC-2 で行います。 1 Active Directory ドメインサービス構成ウィザードが開始し、「配置構成」が表示されます。「既存のドメインにドメインコントローラーを追加する」を選択します。次にドメインコントローラーを追加するドメインを選択します。「選択」をクリックします。

POINT! 手順①- 11 で「役割と機能の追加ウィザード」を閉じた場合は、「サーバーマネージャー」の「通知」アイコンをクリックし、「このサーバーをドメインコントローラーに昇格する」をクリックします。

2

「Windows セキュリティ」が表示されます。追加先ドメインのドメイン管理者権限をもつアカウントとパスワードを入力します。「OK」をクリックします。

3

「フォレストからのドメインの選択」が表示されます。ドメインを選択し、「OK」をクリックします。

- 17 -



ドメイン名と資格者情報が入力されたことを確認し、「次へ」をクリックします。

5

「ドメインコントローラーオプション」が表示されます。「ドメインネームシステム (DNS) サーバー」、「グローバルカタログ(GC)」のチェックをオンにします。「サイト名」では、リストからサイト名を選択します。ディレクトリサービス復元モード(DSRM) のパスワードを入力します。すべての設定が完了したら、「次へ」をクリックします。

POINT! 本シナリオでは、Windows Server 2012 R2 の DC すべてを DNS サーバ、グローバルカタログとして構築します。 6

「DNS オプション」が表示されます。「次へ」をクリックします。

- 18 -



「追加オプション」が表示されます。レプリケート元では「任意のドメインコントローラー」を選択し、「次へ」をクリックします。

8

「パス」が表示されます。「次へ」をクリックします。

9

「準備オプション」が表示されます。「次へ」をクリックします。

10 「オプションの確認」が表示されます。「次へ」をクリックします。

- 19 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き 11 「前提条件のチェック」が表示されます。チェックが完了するまで待機します。

12 チェックに問題がなければ、「すべての前提条件のチェックに合格しました。[インストール]をクリックしてインストールを開始してください。」というメッセージが表示されます。「インストール」をクリックします。

13 「インストール」が表示されます。 Active Directory ドメインサービスの構成が完了すると、サーバは自動的に再起動します。

3.2.3 FSMO の転送 ① スキーママスタの転送  本手順は、2003DC-1 で行います。 1 Schema Admins グループに所属するメンバか、またはそれと同等の権限をもつメンバでログオンします。 2 「スタート」→「ファイル名を指定して実行」をクリックします。「 regsvr32 schmmgmt.dll 」と入力します。「OK」をクリックします。

- 20 -



右のメッセージが表示されます。「OK」をクリックします。

4

「スタート」→「ファイル名を指定して実行」をクリックします。「mmc」と入力します。「OK」をクリックします。

5

「コンソール 1」が表示されます。「ファイル」メニューから、「スナップインの追加と削除」をクリックします。

6

「スナップインの追加と削除」が表示されます。「追加」をクリックします。

- 21 -



「スタンドアロンスナップインの追加」が表示されます。「 Active Directory スキーマ」をクリックします。「追加」をクリックします。「閉じる」をクリックします。

8

「スナップインの追加と削除」で、「OK」をクリックします。

9

「コンソール１」に、「Active Directory スキーマ」が表示されます。「コンソールルート」→「Active Directory スキーマ []」を右クリックし、「ドメインコントローラの変更」をクリックします。

10

「ドメインコントローラの変更」が表示されます。「名前の指定」で、 2012R2DC-1 の FQDN を入力します。「OK」をクリックします。

- 22 -



「コンソール１」で、「コンソールルート」 →「Active Directory スキーマ []」を右クリックし、「操作マスタ」をクリックします。

12

「スキーママスタの変更」が表示されます。「変更」をクリックします。

13

右のメッセージが表示されます。「はい」をクリックします。

14


15

「スキーママスタの変更」で、「閉じる」をクリックします。

- 23 -



ドメイン名前付け操作マスタの転送  本手順は、2003DC-1 で行います。 1 ドメイン管理者権限でログオンします。 2 「スタート」→「管理ツール」→ 「Active Directory ドメインと信頼関係」をクリックします。

3

「Active Directory ドメインと信頼関係」が表示されます。「Active Directory ドメインと信頼関係」を右クリックし、「ドメインコントローラに接続」をクリックします。

4

「ドメインコントローラに接続」が表示されます。「2012R2DC-1.fujitsu.local」を選択します。「OK」をクリックします。

- 24 -



「Active Directory ドメインと信頼関係」で「Active Directory ドメインと信頼関係」を右クリックし、「操作マスタ」をクリックします。

6

「操作マスタの変更」が表示されます。「変更」をクリックします。

7


8


9

「操作マスタの変更」で、「閉じる」をクリックします。

- 25 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き ③

インフラストラクチャマスタ、PDC マスタ、RID マスタの転送  本手順は、2003DC-1 で行います。 1 ドメイン管理者権限でログオンします。 2 「スタート」→「管理ツール」→ 「Active Directory ユーザーとコンピュータ」をクリックします。

3

「 Active Directory ユーザーとコンピュータ」が表示されます。「 Active Directory ユーザーとコンピュータ」→「< ドメイン名>」を右クリックし、「ドメインコントローラに接続」をクリックします。

4

「ドメインコントローラに接続」が表示されます。「2012R2DC-1.fujitsu.local」を選択します。「OK」をクリックします。

- 26 -



「 Active Directory ユーザーとコンピュータ」で「Active Directory ユーザーとコンピュータ」→「」を右クリックし、「操作マスタ」をクリックします。

6

「操作マスタ」が表示されます。「インフラストラクチャ」タブをクリックします。「変更」をクリックします。

7


POINT! ドメイン内の全ての DC が、グローバルカタログであるため、右のメッセージが表示されても問題ありません。 8


- 27 -



「操作マスタ」で、「PDC」タブをクリックします。「変更」をクリックします。

10


11


12

「操作マスタ」で、「RID」タブをクリックします。「変更」をクリックします。

13


14


- 28 -



「操作マスタ」で、「閉じる」をクリックします。

3.2.4 Windows Server 2003 DC の降格 ① 既存 DC の降格  本手順は、2003DC-1、2003DC-2 で行います。

既存 DC の降格を行う場合、優先 DNS サーバのアドレスに新規 DC の IP アドレスを設定するように変更してください。既存 DC を設定したままの状態では、DC の降格に失敗する場合があります。

1 2

ドメイン管理者権限でログオンします。 2003DC-1 で、「スタート」→「ファイル名を指定して実行」を選択します。「dcpromo」と入力します。「OK」をクリックします。

3

「Active Directory のインストールウィザードの開始」が表示されます。「次へ」をクリックします。

4


- 29 -



「Active Directory の削除」が表示されます。「このサーバーはドメインの最後のドメインコントローラです」のチェックがオフになっていることを確認します。「次へ」をクリックします。

6

「Administrator のパスワード」が表示されます。パスワードを入力します。「次へ」をクリックします。

7

「概要」が表示されます。「次へ」をクリックします。

8

AD のアンインストールが実行されます。

9

「Active Directory のインストールウィザードの完了」が表示されます。「完了」をクリックします。

- 30 -



右のメッセージが表示されます。「再起動する」をクリックし、再起動します。

11 12

再起動後、2003DC-1 をドメインメンバーから外し、ネットワーク上から撤去します。手順 1～手順 11 と同様の手順で、2003DC-2 を降格します。

② IP アドレスの変更  本手順は、2012R2DC-1、2012R2DC-2 で行います。 DC サーバでは、ほとんどの場合 DNS サーバの役割を兼務します。DC 兼 DNS サーバをドメインメンバサーバに降格した場合、ドメインメンバコンピュータの TCP/IP 設定によっては参照する DNS が存在しない状況になります。このような場合、ドメインメンバコンピュータは Active Directory での認証要求が行えなくなります。本手順では、移行前の DC で使用していた IP アドレスを、Windows Server 2012 R2 DC の IP アドレスとすることで、これらの問題を解決します。以下のサーバで IP アドレスの変更を行います。

サーバ 2012R2DC-1 2012R2DC-2

表 3 IP アドレスの変更変更前の IP アドレス変更後の IP アドレス 192.168.1.1 192.168.1.11(移行前の DC で使用していた IP アドレス) 192.168.1.2 192.168.1.12(移行前の DC で使用していた IP アドレス)

DC の降格と IP アドレスの変更作業は、ドメインメンバコンピュータへの影響が少ない業務時間外に実施することを推奨します。

POINT! DC 降格後に IP アドレスを変更する方法は、表 4 の方法が考えられます。お客様の環境や要件に合わせて変更方法を選択してください。

- 31 -



表 4 IP アドレスの変更方法 IP アドレス変更方法説明 ①新規 DC の IP アドレスを変更新規 DC の IP アドレスを、移行前の DC で使用していた IP アドレスに変更します。ドメインメンバコンピュータの TCP/IP 設定を変更する必要がないため、大規模な環境に最適な方法です。 ②ドメインメンバコンピュータのドメインメンバコンピュータの TCP/IP の設定で、DNS TCP/IP 設定を変更サーバの IP アドレスを新規 DC のアドレスに変更します。全ドメインメンバコンピュータの設定変更が必要になります。静的に DNS の IP アドレスをドメイン内の全ドメインメンバコンピュータの TCP/IP 設定設定している場合を手動で変更する必要があります。 DHCP サーバで DNS サーバ DHCP サーバのネットワークオプションで、DNS サーバの IP アドレスを配布しているの IP アドレス情報を変更します。ドメインメンバコンピュー場合タでは、DHCP サーバから DNS サーバの IP アドレス情報を再取得する必要があります。

3.2.5 ドメイン/フォレストの機能レベルの変更 ① ドメイン機能レベルの変更  本手順は、2012R2DC-1 で行います。 1 ドメイン管理者権限でログオンします。 2 「サーバーマネージャー」を起動し、「ツール」をクリックします。「 Active Directory 管理センター」をクリックします。

3

「Active Directory 管理センター」が表示されます。「 (ローカル)」を選択し、「ドメインの機能レベルの昇格」をクリックします。

- 32 -



「ドメインの機能レベルの昇格」が表示されます。「利用可能なドメインの機能レベルを選択してください」で、「Windows Server 2012 R2」を選択します。「OK」をクリックします。

5


6


7

再度、手順 3 を実行し、ドメインの機能レベルが「Windows Server 2012 R2」になっていることを確認します。「キャンセル」をクリックします。

② フォレスト機能レベルの変更  本手順は、2012R2DC-1 で行います。 1 Enterprise Admins グループに所属するメンバか、またはそれと同等の権限をもつメンバでログオンします。 2 「サーバーマネージャー」を起動し、「ツール」をクリックします。「 Active Directory 管理センター」をクリックします。

- 33 -



「Active Directory 管理センター」が表示されます。「 (ローカル)」を選択し、「フォレストの機能レベルの昇格」をクリックします。

4

「フォレストの機能レベルの昇格」が表示されます。「利用可能なフォレストの機能レベルを選択してください」で、「Windows Server 2012 R2」を選択します。「OK」をクリックします。

5


6


7

再度、手順 3 を実行し、フォレストの機能レベルが「Windows Server 2012 R2」になっていることを確認します。「キャンセル」をクリックします。

3.2.6 SYSVOL 複製方式の変更 Windows 2003 ドメインでは、FRS(File Replication Service)を使用して SYSVOL を複製します。Windows Server 2008 以降の DC では、FRS の後継にあたる DFSR(Distributed File System Replication)を使用可能ですが、Windows 2003 ドメインから Windows 2012 R2 ドメインに移行した場合、SYSVOL の複製には引き続き FRS が使用されます。DFSR を使用するためには、コマンドラインツールを使用して手動で変更する必要があります。 DFSR を使用することで複製によるネットワーク負荷を下げ、より高速に SYSVOL の複製が可能になります。  本手順は、2012R2DC-1 で行います。

- 34 -



現在の DFSR 移行のグローバル状態を取得します。コマンドプロンプトで、以下を実行します。 dfsrmig /GetGlobalState

2

実行すると、右のメッセージが表示されます。 DFSR 移行のグローバル状態を「開始」に設定します。コマンドプロンプトで、以下を実行します。 dfsrmig /SetGlobalState 0

3

実行すると、右のメッセージが表示されます。 AD に、DFSR に必要なオブジェクトやクラスが作成されます。現在の DFSR 移行のグローバル状態を取得します。コマンドプロンプトで、以下を実行します。

DFSR の現在のグローバル状態： ’開始’ 新しい DFSR のグローバル状態： ’開始’ 無効な状態変更が要求されました。

DFSR の現在のグローバル状態： ’開始’ 成功しました。

dfsrmig /GetGlobalState

4

DFSR 移行がまだ初期化されていません。移行を開始するには、グローバル状態を目的の値に設定してください。

実行すると、右のメッセージが表示されます。グローバル状態が「開始」になっていることを確認します。コマンドプロンプトで、以下を実行します。 dfsrmig /GetMigrationState 実行すると、右のメッセージが表示されます。

すべてのドメインコントローラーがグローバル状態（’開始’）に移行しました。移行状態が、すべてのドメインコントローラー上で整合性のとれた状態になりました。成功しました。

他のドメインコントローラーと整合性がとれていることを確認します。

- 35 -



DFSR 移行のグローバル状態を「準備完了」に設定します。コマンドプロンプトで、以下を実行します。 dfsrmig /SetGlobalState 1 実行すると、右のメッセージが表示されます。

DFSR の現在のグローバル状態： ’開始’ 新しい DFSR のグローバル状態： ’準備完了’ ’準備完了’状態に移行します。DFSR サービスによって SYSVOL が SYSVOL_DFSR フォルダーにコピーされます。いずれかの DC で移行を開始できない場合は、手動ポーリングを試行してください。移行は 15 分から 1 時間までの任意の時点で開始できます。成功しました。

6

移行の準備状態をイベントログで確認します。「サーバーマネージャー」を起動し、「ツール」をクリックします。「イベントビューアー」をクリックします。

- 36 -



「イベントビューアー」が表示されます。「イベントビューアー (ローカル)」→「アプリケーションとサービスログ」→「DFS Replication」をクリックします。イベント ID 8010（移行準備開始）、8014 （移行準備完了）が表示されることを確認します。

8

すべてのドメインコントローラーが移行準備完了になっているか確認します。コマンドプロンプトで、以下を実行します。 dfsrmig /GetMigrationState 実行すると、右のメッセージが表示されます。

すべてのドメインコントローラーがグローバル状態（’準備完了’）に移行しました。移行状態が、すべてのドメインコントローラー上で整合性のとれた状態になりました。成功しました。

移行準備が完了すると、C:¥Windows 配下に SYSVOL_DFSR フォルダが作成され、 C:¥Windows¥SYSVOL から C:¥Windows¥SYSVOL_DFSR フォルダに、必要なファイルが複製されます。

- 37 -



DFSR 移行のグローバル状態を「リダイレクト済み」に設定します。コマンドプロンプトで、以下を実行します。 dfsrmig /SetGlobalState 2 実行すると、右のメッセージが表示されます。

DFSR の現在のグローバル状態： ’準備完了’ 新しい DFSR のグローバル状態： ’リダイレクト済み’ ’リダイレクト済み’状態に移行します。 SYSVOL 共有が、DFSR を使用してレプリケートされた SYSVOL_DFSR フォルダーに変更されます。成功しました。

- 38 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き 10 リダイレクトの状況をイベントログで確認します。「イベントビューアー (ローカル)」→「アプリケーションとサービスログ」→「DFS Replication」をクリックします。イベント ID 8015（リダイレクト処理開始）、8017 （リダイレクト処理完了）が表示されることを確認します。リダイレクト処理が完了すると、DFSR の複製が開始され、C:Windows ¥SYSVOL_DFSR を複製します。 DFSR のグローバル状態が「削除済み」となっていないため、FRS 複製も実行されています。

- 39 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き 11 DFSR のグローバル状態を「削除済み」にします。コマンドプロンプトで、以下を実行します。 dfsrmig /SetGlobalState 3 DFSR の現在のグローバル状態： ’リダイレクト済み’ 新しい DFSR のグローバル状態：’削除済み’

このコマンドを実行後は、複製フォルダを元に戻すことはできません。

実行すると、右のメッセージが表示されます。

’削除済み’状態に移行します。このステップを元に戻すことはできません。いずれかの RODC が長時間にわたって ’ 削除済み’ 状態になっている場合は、 /DeleteRoNtfrsMembers オプションを指定して実行してください。成功しました。

- 40 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き 12 削除済みになったことを、イベントログで確認します。「イベントビューアー (ローカル)」→「アプリケーションとサービスログ」→「DFS Replication」をクリックします。イベント ID 8018（削除済み開始）、8019（削除済みリダイレクト処理完了）が表示されることを確認します。

13 以下のコマンドを実行し、他のドメインコントローラーも「削除済み」になったかどうかを確認します。コマンドプロンプトで、以下を実行します。 dfsrmig /GetMigrationState 実行すると、右のメッセージが表示されます。

すべてのドメインコントローラーがグローバル状態（’削除済み’）に移行しました。移行状態が、すべてのドメインコントローラー上で整合性のとれた状態になりました。成功しました。

以上でドメイン移行作業は完了です。移行完了後は稼働確認を行ってください。

- 41 -



4 既存ドメインのバージョンアップ手順 (Windows 2008/2008 R2 ドメイン) 本章では、富士通が推奨する移行方式「既存ドメインのバージョンアップ」を選択して、Windows 2008/2008 R2 ドメインから Windows 2012 R2 ドメインへ移行する手順を紹介します。

POINT! 本書では、Windows 2012 R2 ドメインへの移行手順を紹介していますが、Windows 2012 ドメインへの移行手順も同様となります。また、既存ドメインは Windows 2008 ドメインでの手順を紹介していますが、Windows 2008 R2 ドメインでも同様の手順となります。


図 2 「既存ドメインのバージョンアップ」の移行環境

- 42 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き図 2 のサーバ/クライアントの設定内容を、次の表に示します（表 5、表 6）。表 5 DC サーバの設定内容番号 ①

②

③

④

項目コンピュータ名 IP アドレス OS、SP DNS 役割コンピュータ名 IP アドレス OS、SP DNS 役割

内容 2008DC-1 192.168.1.21 Windows Server 2008 127.0.0.1(優先)、192.168.1.22(代替) DC(FSMO、GC)、DNS(fujitsu.local ゾーン) 2008DC-2 192.168.1.22 Windows Server 2008 127.0.0.1 (優先)、192.168.1.21(代替) DC(GC)、DNS(fujitsu.local ゾーン)

コンピュータ名 IP アドレス OS、SP DNS 役割コンピュータ名 IP アドレス OS、SP DNS 役割

2012R2DC-1 192.168.1.1 Windows Server 2012 R2 127.0.0.1 (優先)、192.168.1.22(代替) DC(FSMO、GC)、DNS(fujitsu.local ゾーン) 2012R2DC-2 192.168.1.2 Windows Server 2012 R2 127.0.0.1 (優先)、192.168.1.21(代替) DC(GC)、DNS(fujitsu.local ゾーン)

表 6 ドメインメンバサーバ/クライアントの設定内容番号 ⑤

⑥

⑦

⑧

項目コンピュータ名 IP アドレス OS、SP DNS 役割コンピュータ名 IP アドレス OS、SP DNS 役割コンピュータ名 IP アドレス OS、SP DNS 役割コンピュータ名 IP アドレス OS、SP DNS 役割

内容 2008R2File 192.168.1.50 Windows Server 2008 R2 192.168.1.21(優先)、192.168.1.22(代替) ファイルサーバ WinVista 192.168.1.10１ Windows Vista SP2 192.168.1.21(優先)、192.168.1.22(代替) なし Win7 192.168.1.102 Windows 7 SP1 192.168.1.21(優先)、192.168.1.22(代替) なし Win8 192.168.1.103 Windows 8 192.168.1.21(優先)、192.168.1.22(代替) なし

- 43 -



4.2 移行手順移行方式「既存ドメインのバージョンアップ」による、ドメインの移行の詳細手順を紹介します。

4.2.1 ドメイン/フォレストの機能レベルの変更 Windows Server 2012 R2 の DC を既存ドメインに追加するには、ドメインおよびフォレストの機能レベルが”Windows Server 2003”以上である必要があります。以下の手順を実施し、ドメインおよびフォレストの機能レベルを”Windows Server 2008”に上げてください。既存ドメインのドメインおよびフォレストの機能レベルが”Windows Server 2003”以上である場合には、「4.2.2 Windows Server 2012 R2 の DC 追加」へ進んでください。 ① ドメインの機能レベルを上げる  本手順は、2008DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2 「スタート」→「管理ツール」→ 「Active Directory ドメインと信頼関係」をクリックします。

3

「Active Directory ドメインと信頼関係」が表示されます。左ペインの「」を右クリックし、「ドメインの機能レベルを上げる」をクリックします。

4

「ドメインの機能レベルを上げる」が表示されます。「Windows Server 2008」を選択します。「上げる」をクリックします。

- 44 -




6


7

再度、手順 3 を実施し、ドメインの機能レベルが”Windows Server 2008”になっていることを確認します。

② フォレストの機能レベルを上げる  本手順は、2008DC-1 で行います。 1 「スタート」→「管理ツール」→ 「Active Directory ドメインと信頼関係」をクリックします。

2

「Active Directory ドメインと信頼関係」が表示されます。「Active Directory ドメインと信頼関係」を右クリックし、「フォレストの機能レベルを上げる」をクリックします。

- 45 -



「フォレストの機能レベルを上げる」が表示されます。「Windows Server 2008」を選択します。「上げる」をクリックします。

4


5


6

再度、手順 2 を実施し、フォレストの機能レベルが”Windows Server 2008”になっていることを確認します。

- 46 -



4.2.2 Windows Server 2012 R2 の DC 追加 ① Active Directory ドメインサービスのインストール  本手順は、2012R2DC-1、2012R2DC-2 で行います。

POINT! 事前に Windows Server 2012 R2 の OS インストールが完了していることを前提とします。なお、 DC 追加前に DNS サーバの役割をインストールしないでください。 1 2

ローカル管理者権限でログオンします。「サーバーマネージャー」を起動します。「ダッシュボード」を選択し、「役割と機能の追加」をクリックします。

3

「役割と機能の追加ウィザード」が表示されます。「次へ」をクリックします。

4

「インストールの種類の選択」が表示されます。「役割ベースまたは機能ベースのインストール」を選択し、「次へ」をクリックします。

- 47 -



「対象サーバーの選択」が表示されます。「サーバープールからサーバーを選択」を選択します。「サーバープール」から「2012R2DC-1」を選択し、「次へ」をクリックします。

6

「サーバーの役割の選択」が表示されます。「Active Directory ドメインサービス」にチェックを入れます。「Active Directory ドメインサービスに必要な機能を追加しますか？」のダイアログが表示されるので、「機能の追加」をクリックします。ダイアログが閉じたら、「次へ」をクリックします。

7

「機能の選択」が表示されます。「次へ」をクリックします。

- 48 -



「Active Directory ドメインサービス」が表示されます。「次へ」をクリックします。

9

「インストールオプションの確認」が表示されます。「インストール」をクリックします。

10 Active Directory ドメインサービスのインストールが開始します。完了するまで待機します。

11 Active Directory ドメインサービスのインストールが完了すると、「構成が必要です。でインストールが正常に完了しました。」というメッセージが表示されます。「このサーバーをドメインコントローラーに昇格する」をクリックします。

- 49 -



ドメインコントローラーへの昇格  本手順は、2012R2DC-1、2012R2DC-2 で行います。 1 Active Directory ドメインサービス構成ウィザードが開始し、「配置構成」が表示されます。「既存のドメインにドメインコントローラーを追加する」を選択します。次にドメインコントローラーを追加するドメインを選択します。「選択」をクリックします。

POINT! 手順①-11 で「役割と機能の追加ウィザード」を閉じた場合は、「サーバーマネージャー」の「通知」アイコンをクリックし、「このサーバーをドメインコントローラーに昇格する」をクリックします。 2

「Windows セキュリティ」が表示されます。追加先既存ドメインのドメイン管理者権限をもつアカウントとパスワードを入力します。「OK」をクリックします。

3

「フォレストからのドメインの選択」が表示されます。ドメインを選択し、「OK」をクリックします。

- 50 -



ドメイン名と資格者情報が入力されたことを確認し、「次へ」をクリックします。

5

「ドメインコントローラーオプション」が表示されます。「ドメインネームシステム (DNS) サーバー」、「グローバルカタログ(GC)」のチェックをオンにします。「サイト名」では、リストからサイト名を選択します。ディレクトリサービス復元モード(DSRM) のパスワードを入力します。すべての設定が完了したら、「次へ」をクリックします。

POINT!

6

本シナリオでは、Windows Server 2012 R2 の DC すべてを DNS サーバ、グローバルカタログとして構築します。「DNS オプション」が表示されます。「次へ」をクリックします。

- 51 -



「追加オプション」が表示されます。レプリケート元では「任意のドメインコントローラー」を選択し、「次へ」をクリックします。

8

「パス」が表示されます。「次へ」をクリックします。

9

「準備オプション」が表示されます。「次へ」をクリックします。

10 「オプションの確認」が表示されます。「次へ」をクリックします。

- 52 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き 11 「前提条件のチェック」が表示されます。チェックが完了するまで待機します。

12 チェックに問題がなければ、「すべての前提条件のチェックに合格しました。[インストール]をクリックしてインストールを開始してください。」というメッセージが表示されます。「インストール」をクリックします。

13 「インストール」が表示されます。 Active Directory ドメインサービスの構成が完了すると、サーバは自動的に再起動します。

- 53 -



4.2.3 FSMO の転送 ① スキーママスタの転送  本手順は、2008DC-1 で行います。 1 Schema Admins グループに所属するメンバか、またはそれと同等の権限をもつメンバでログオンします。 2 「スタート」→「ファイル名を指定して実行」をクリックします。「regsvr32 schmmgmt.dll」と入力します。「OK」をクリックします。

3


4

「スタート」→「ファイル名を指定して実行」をクリックします。「mmc」と入力します。「OK」をクリックします。

5

「コンソール 1」が表示されます。「ファイル」メニューから、「スナップインの追加と削除」をクリックします。

- 54 -



「スナップインの追加と削除」が表示されます。「Active Directory スキーマ」を選択し、「追加」をクリックします。

7

「選択されたスナップイン」に「Active Directory スキーマ」が追加されたことを確認します。「OK」をクリックします。

8

「コンソールルート」→「Active Directory スキーマ []」を右クリックし、「Active Directory ドメインコントローラの変更」をクリックします。

9

「ディレクトリサーバーの変更」が表示されます。「変更先：」で「次のドメインコントローラまたは AD LDS インスタンス」を選択します。 2012R2DC-1 を選択し、「OK」をクリックします。

10 「OK」をクリックします。

- 55 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き 11 「コンソールルート」→「Active Directory スキーマ []」を右クリックし、「操作マスタ」をクリックします。

12 「スキーママスタの変更」が表示されます。「変更」をクリックします。

13 右のメッセージが表示されます。「はい」をクリックします。

14 右のメッセージが表示されます。「OK」をクリックします。

15 「スキーママスタの変更」で、「閉じる」をクリックします。

- 56 -



ドメイン名前付け操作マスタの転送  本手順は、2008DC-1 で行います。 1 ドメイン管理者権限でログオンします。 2 「スタート」→「管理ツール」→ 「Active Directory ドメインと信頼関係」をクリックします。

3

「Active Directory ドメインと信頼関係」が表示されます。「Active Directory ドメインと信頼関係」を右クリックし、「Active Directory ドメインコントローラの変更」をクリックします。

4


5

「Active Directory ドメインと信頼関係」を右クリックし、「操作マスタ」をクリックします。

- 57 -



「操作マスタ」が表示されます。「変更」をクリックします。

7


8


9

「操作マスタ」で、「閉じる」をクリックします。

③ インフラストラクチャマスタ、PDC マスタ、RID マスタの転送  本手順は、2008DC-1 で行います。 1 ドメイン管理者権限でログオンします。 2 「スタート」→「管理ツール」→ 「Active Directory ユーザーとコンピュータ」をクリックします。

- 58 -



「 Active Directory ユーザーとコンピュータ」が表示されます。「 Active Directory ユーザーとコンピュータ」→「< ドメイン名>」を右クリックし、「ドメインコントローラの変更」をクリックします。

4


5

「 Active Directory ユーザーとコンピュータ」で「Active Directory ユーザーとコンピュータ」→「」を右クリックし、「操作マスタ」をクリックします。

6

「操作マスタ」が表示されます。「インフラストラクチャ」タブをクリックします。「変更」をクリックします。

- 59 -



7


POINT! ドメイン内の全ての DC が、グローバルカタログであるため、右のメッセージが表示されても問題ありません。 8


9

「操作マスタ」で、「PDC」タブをクリックします。「変更」をクリックします。



- 60 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き 12 「操作マスタ」で、「RID」タブをクリックします。「変更」をクリックします。



15 「操作マスタ」で、「閉じる」をクリックします。

- 61 -



4.2.4 Windows Server 2008 DC の降格 ① 既存 DC の降格  本手順は、2008DC-1、2008DC-2 で行います。 1 ドメイン管理者権限でログオンします。 2 2008DC-1 で、「スタート」→「ファイル名を指定して実行」を選択します。「dcpromo」と入力します。「OK」をクリックします。

3

「Active Directory ドメインサービスインストールウィザードの開始」が表示されます。「次へ」をクリックします。

4


5

「ドメインの削除」が表示されます。「このサーバーはドメインの最後のドメインコントローラなので、ドメインを削除する」のチェックが入っていないことを確認します。「次へ」をクリックします。

- 62 -



「Administrator のパスワード」が表示されます。パスワードを入力します。「次へ」をクリックします。

7

「概要」が表示されます。「次へ」をクリックします。

8

AD のアンインストールが実行されます。

9

「Active Directory のインストールウィザードの完了」が表示されます。「完了」をクリックします。

- 63 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き 10 右のメッセージが表示されます。「再起動する」をクリックし、再起動します。

11 再起動後、2008DC-1 をドメインメンバーから外し、ネットワーク上から撤去します。 12 手順 1～手順 11 と同様の手順で、2008DC-2 を降格します。 ② IP アドレスの変更  本手順は、2012R2DC-1、2012R2DC-2 で行います。 DC サーバでは、ほとんどの場合 DNS サーバの役割を兼務します。DC 兼 DNS サーバをドメインメンバサーバに降格した場合、ドメインメンバコンピュータの TCP/IP 設定によっては参照する DNS が存在しない状況になります。このような場合、ドメインメンバコンピュータは Active Directory での認証要求が行えなくなります。本手順では、移行前の DC で使用していた IP アドレスを、Windows Server 2012 R2 DC の IP アドレスとすることで、これらの問題を解決します。以下のサーバで IP アドレスの変更を行います。

サーバ 2012R2DC-1 2012R2DC-2

表 7 IP アドレスの変更変更前の IP アドレス変更後の IP アドレス 192.168.1.1 192.168.1.21(移行前の DC で使用していた IP アドレス) 192.168.1.2 192.168.1.22(移行前の DC で使用していた IP アドレス)

DC の降格と IP アドレスの変更作業は、ドメインメンバコンピュータへの影響が少ない業務時間外に実施することを推奨します。

POINT! DC 降格後に IP アドレスを変更する方法は、表 8 の方法が考えられます。お客様の環境や要件に合わせて変更方法を選択してください。

- 64 -



表 8 IP アドレスの変更方法 IP アドレス変更方法説明 ①新規 DC の IP アドレスを変更新規 DC の IP アドレスを、移行前の DC で使用していた IP アドレスに変更します。ドメインメンバコンピュータの TCP/IP 設定を変更する必要がないため、大規模な環境に最適な方法です。 ②ドメインメンバコンピュータのドメインメンバコンピュータの TCP/IP の設定で、DNS TCP/IP 設定を変更サーバの IP アドレスを新規 DC のアドレスに変更します。全ドメインメンバコンピュータの設定変更が必要になります。静的に DNS の IP アドレスをドメイン内の全ドメインメンバコンピュータの TCP/IP 設定設定している場合を手動で変更する必要があります。 DHCP サーバで DNS サーバ DHCP サーバのネットワークオプションで、DNS サーバの IP アドレスを配布しているの IP アドレス情報を変更します。ドメインメンバコンピュー場合タでは、DHCP サーバから DNS サーバの IP アドレス情報を再取得する必要があります。

4.2.5 ドメイン/フォレストの機能レベルの変更 ① ドメイン機能レベルの変更  本手順は、2012R2DC-1 で行います。 1 ドメイン管理者権限でログオンします。 2 「サーバーマネージャー」を起動し、「ツール」をクリックします。「 Active Directory 管理センター」をクリックします。

3

「Active Directory 管理センター」が表示されます。「 (ローカル)」を選択し、「ドメインの機能レベルの昇格」をクリックします。

- 65 -



「ドメインの機能レベルの昇格」が表示されます。「利用可能なドメインの機能レベルを選択してください」で、「Windows Server 2012 R2」を選択します。「OK」をクリックします。

5


6


7

再度、手順 3 を実行し、ドメインの機能レベルが「Windows Server 2012 R2」になっていることを確認します。「キャンセル」をクリックします。

② フォレスト機能レベルの変更  本手順は、2012R2DC-1 で行います。 1 Enterprise Admins グループに所属するメンバか、またはそれと同等の権限をもつメンバでログオンします。 2 「サーバーマネージャー」を起動し、「ツール」をクリックします。「 Active Directory 管理センター」をクリックします。

- 66 -



「Active Directory 管理センター」が表示されます。「 (ローカル)」を選択し、「フォレストの機能レベルの昇格」をクリックします。

4

「フォレストの機能レベルの昇格」が表示されます。「利用可能なフォレストの機能レベルを選択してください」で、「Windows Server 2012 R2」を選択します。「OK」をクリックします。

5


6


7

再度、手順 3 を実行し、フォレストの機能レベルが「Windows Server 2012 R2」になっていることを確認します。「キャンセル」をクリックします。

以上でドメイン移行作業は完了です。移行完了後は稼働確認を行ってください。

- 67 -



5 新規ドメイン構築&アカウント移行手順本章では、移行方式「新規ドメイン構築&アカウント移行」を選択して、Windows 2003 ドメインから Windows 2012R2 ドメインへ移行する手順を紹介します。本手順では ADMT を使用しています。ADMT は DC にインストールすることは可能ですが、Server Core インストールや RODC(Read-Only Domain Controller)として構成したサーバにはインストールすることができません。

POINT! 本書では、Windows 2012 R2 ドメインへの移行手順を紹介していますが、Windows 2012 ドメインへの移行手順も同様となります。


図 3 「既存ドメインのバージョンアップ」の移行環境既存ドメイン(fujitsu.local)とは別に、新規ドメイン(fujitsu2.co.jp)を別フォレストとして作成し、ユーザアカウント、コンピュータアカウントを移行します。ユーザアカウントの移行時に、SID もあわせて移行することで、新規ドメインに移行したアカウントで、引き続き既存ドメインのリソース(ファイルサーバなど)にアクセスできます。本書では以下のアカウントを移行対象とします。【ユーザアカウント】・User-2008R2File ・User- Win7 ・User-Win8

【コンピュータアカウント】・2008R2File ・Win7 ・Win8

- 68 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き図 3 のサーバ/クライアントの設定内容を、次の表に示します（表 9、表 10）。表 9 DC サーバの設定内容番号 ①

②

③

④

番号 ⑤

⑥

⑦

⑧

項目コンピュータ名 IP アドレス OS、SP DNS 役割コンピュータ名 IP アドレス OS、SP DNS 役割

内容 2003DC-1 192.168.1.11 Windows Server 2003 R2 SP2 127.0.0.1(優先)、192.168.1.12(代替) DC(FSMO、GC)、DNS(fujitsu.local ゾーン) 2003DC-2 192.168.1.12 Windows Server 2003 R2 SP2 127.0.0.1 (優先)、192.168.1.11(代替) DC(GC)、DNS(fujitsu.local ゾーン)

コンピュータ名 IP アドレス OS、SP DNS 役割コンピュータ名 IP アドレス OS、SP DNS 役割

2012R2DC-1 192.168.1.1 Windows Server 2012 R2 127.0.0.1 (優先)、192.168.1.2(代替) DC(FSMO、GC)、DNS(fujitsu2.co.jp ゾーン) 2012R2DC-2 192.168.1.2 Windows Server 2012 R2 127.0.0.1 (優先)、192.168.1.1(代替) DC(GC)、DNS(fujitsu2.co.jp ゾーン)

表 10 ドメインメンバサーバ/クライアントの設定内容項目内容 2008R2File コンピュータ名 IP アドレス 192.168.1.50 OS、SP Windows Server 2008 R2 SP1 DNS 192.168.1.11(優先)、192.168.1.12(代替) 役割ファイルサーバコンピュータ名 Win7 IP アドレス 192.168.1.101 OS、SP Windows 7 SP1 DNS 192.168.1.11(優先)、192.168.1.12(代替) 役割なし Win8 コンピュータ名 IP アドレス 192.168.1.102 OS、SP Windows 8 DNS 192.168.1.11(優先)、192.168.1.12(代替) 役割なしコンピュータ名 2012R2ADMT IP アドレス 192.168.1.150 OS、SP Windows Server 2012 R2 DNS 192.168.1.1(優先)、192.168.1.2(代替) 役割 ADMT サーバ

- 69 -



5.2 移行手順移行方式「新規ドメイン構築&アカウント移行」による、ドメインの移行の詳細手順を紹介します。

5.2.1 新規ドメインの構築  本手順は、2012R2DC-1 で行います。 Windows Server 2012 R2 で新規にドメインを構築します。ADMT v3.2 を使用した移行では、新規ドメインの機能レベルが以下のいずれかである必要があります。・Windows Server 2008 ・Windows Server 2008 R2 ・Windows Server 2012 ・Windows Server 2012 R2 下位の機能レベルは移行期間中に使用するものであり、ドメインまたはフォレスト内に古いバージョンの DC を設置する必要がない場合は、機能レベルを「Windows Server 2012 R2」にすることを推奨します。

5.2.2 信頼関係の構築既存ドメインと新規ドメインの間で信頼関係を構築します。信頼関係を構築するために、既存/新規ドメインの DNS サーバで以下のゾーン情報をもつ必要があります。・既存ドメインの DNS サーバ：新規ドメインの DNS ゾーン情報・新規ドメインの DNS サーバ：既存ドメインの DNS ゾーン情報 DNS ゾーンは「セカンダリゾーン」として作成し、ゾーン転送を行います。信頼関係は一方向だけでも移行は可能ですが、移行時の手順が煩雑になるため、本書では双方向の信頼関係を構築する手順を紹介します。 ① DNS サーバの指定 TCP/IP の設定で、既存ドメインの DC では新規ドメインの DNS サーバを、新規ドメインの DC では既存ドメインの DNS サーバを指定します。  本手順は、2003DC-1 で行います。 1 「インターネットプロトコル (TCP/IP)のプロパティ」を表示します。「代替 DNS サーバー」に、新規ドメインの DNS サーバの IP アドレスを入力します。

- 70 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き  本手順は、2012R2DC-1 で行います。 1 「インターネットプロトコルバージョン 4 (TCP/IPv4)のプロパティ」を表示します。「代替 DNS サーバー」に、既存ドメインの DNS サーバの IP アドレスを入力します。

② 既存ドメインのゾーンの転送の許可設定既存ドメインの DNS サーバでゾーン転送の許可の設定を行います。  本手順は、2003DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2

ローカル管理者権限でサーバにログオンします。「スタート」→「管理ツール」→「DNS」をクリックします。

3

「dnsmgmt」が表示されます。左ペインの「DNS」-「」-「前方参照ゾーン」-「」を右クリックし、「プロパティ」をクリックします。

- 71 -



「のプロパティ」が表示されます。「ゾーンの転送」タブを選択します。「ゾーン転送を許可するサーバー」にチェックを入れます。「次のサーバーのみ」を選択します。「IP アドレス」に新規ドメインの DNS サーバの IP アドレスを入力し、「追加」をクリックします。「IP アドレス」の下のテキストボックスに入力した IP アドレスが表示されたら「OK」をクリックします。

③ 新規ドメインのゾーンの転送の許可設定新規ドメインの DNS サーバでゾーン転送の許可の設定を行います。  本手順は、2012R2DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2

「サーバーマネージャー」を起動し、「ツール」をクリックします。「DNS」をクリックします。

3

「DNS マネージャー」が表示されます。左ペインの「DNS」-「」「前方参照ゾーン」-「」を右クリックし、「プロパティ」をクリックします。

- 72 -



「のプロパティ」が表示されます。「ゾーンの転送」タブを選択します。「ゾーン転送を許可するサーバー」にチェックを入れます。「次のサーバーのみ」を選択します。「編集」をクリックします。

5

「ゾーン転送を許可する」が表示されます。「」に既存ドメインの DNS サーバの IP アドレスを入力します。「OK」をクリックします。 ※IP アドレス入力後に、一度別の場所をポイントしてください。入力した IP アドレスの検証が行われ、「OK」がクリック可能になります。この時点では、検証結果は NG となりますが、問題ありません。

- 73 -



「OK」をクリックします。

④ 既存ドメインの DNS サーバにセカンダリゾーンを作成既存ドメインの DNS サーバで新規ドメインのセカンダリゾーンを作成します。  本手順は、2003DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2

「スタート」→「管理ツール」→「DNS」をクリックします。

3

「dnsmgr」が表示されます。左ペインの「DNS」-「」-「前方参照ゾーン」を右クリックし、「新しいゾーン」をクリックします。

- 74 -



「新しいゾーンウィザードの開始」が表示されます。「次へ」をクリックします。

5

「ゾーンの種類」が表示されます。「セカンダリゾーン」を選択します。「次へ」をクリックします。

6

「ゾーン名」が表示されます。「ゾーン名」に新規ドメインのゾーン名を入力します。「次へ」をクリックします。

7

「マスタ DNS サーバー」が表示されます。「IP アドレス」に新規ドメインの DNS サーバの IP アドレスを入力します。「次へ」をクリックします。

- 75 -



「新しいゾーンウィザードの完了」が表示されます。「完了」をクリックします。

9

「dnsmgr」の「DNS」-「」-「前方参照ゾーン」に新規ドメインのゾーン(セカンダリゾーン)が作成され、ゾーン情報が転送されていることを確認します。 ※ゾーン情報が転送されるまで、数分時間がかかることがあります。

⑤ 新規ドメインの DNS サーバにセカンダリゾーンを作成新規ドメインの DNS サーバで既存ドメインのセカンダリゾーンを作成します。  本手順は、2012R2DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2

「サーバーマネージャー」を起動し、「ツール」をクリックします。「DNS」をクリックします。

- 76 -



「DNS マネージャー」が表示されます。左ペインの「DNS」-「」「前方参照ゾーン」を右クリックし、「新しいゾーン」をクリックします。

4

「新しいゾーンウィザードの開始」が表示されます。「次へ」をクリックします。

5

「ゾーンの種類」が表示されます。「セカンダリゾーン」を選択します。「次へ」をクリックします。

6

「ゾーン名」が表示されます。「ゾーン名」に既存ドメインのゾーン名を入力します。「次へ」をクリックします。

- 77 -



「マスター DNS サーバー」が表示されます。「IP アドレス」に既存ドメインの DNS サーバの IP アドレスを入力します。「追加」をクリックします。「IP アドレス」の下のテキストボックスに入力した IP アドレスが表示されます。「次へ」をクリックします。

8

「新しいゾーンウィザードの完了」が表示されます。「完了」をクリックします。

9

「DNS マネージャー」の「DNS」-「」-「前方参照ゾーン」に既存ドメインのゾーン(セカンダリゾーン)が作成され、ゾーン情報が転送されていることを確認します。 ※ゾーン情報が転送されるまで、数分時間がかかることがあります。

- 78 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き ⑥ 信頼関係の構築既存ドメインと新規ドメインの間に「外部の信頼」を双方向に構築します。  本手順は、2012R2DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2

「サーバーマネージャー」を起動し、「ツール」をクリックします。「Active Directory ドメインと信頼関係」をクリックします。

3

「Active Directory ドメインと信頼関係」が表示されます。左ペインの「 Active Directory ドメインと信頼関係」-「」を右クリックし、「プロパティ」をクリックします。

4

「のプロパティ」が表示されます。「信頼」タブを選択します。「新しい信頼」をクリックします。

- 79 -



「新しい信頼ウィザードの開始」が表示されます。「次へ」をクリックします。

6

「信頼の名前」が表示されます。「名前」に既存ドメイン名を入力します。「次へ」をクリックします。

7

「信頼の種類」が表示されます。「外部の信頼」を選択します。「次へ」をクリックします。

8

「信頼の方向」が表示されます。「双方向」を選択します。「次へ」をクリックします。

- 80 -



「信頼の方向」が表示されます。「このドメインと指定されたドメインの両方」を選択します。「次へ」をクリックします。

10 「ユーザー名とパスワード」が表示されます。既存ドメインのドメイン管理者アカウントとパスワードを入力します。「次へ」をクリックします。

11 「出力方向の信頼認証レベル -- ローカルドメイン」が表示されます。「ドメイン全体の認証」を選択します。「次へ」をクリックします。

12 「出力方向の信頼認証レベル – 指定されたドメイン」が表示されます。「ドメイン全体の認証」を選択します。「次へ」をクリックします。

- 81 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き 13 「信頼の選択の完了」が表示されます。「次へ」をクリックします。

14 「信頼の作成完了」が表示されます。「次へ」をクリックします。

15 「出力方向の信頼の確認」が表示されます。「確認する」を選択します。「次へ」をクリックします。

16 「入力方向の信頼の確認」が表示されます。「確認する」を選択します。「次へ」をクリックします。

- 82 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き 17 「新しい信頼ウィザードの完了」が表示されます。「完了」をクリックします。

18 「Active Directory ドメインサービス」が表示されます。「OK」をクリックします。

19 「のプロパティ」で「OK」をクリックします。

- 83 -



5.2.3 ADMT サーバの構築 ADMT は新規ドメインのメンバで Windows Server 2012 R2 を実行するサーバにインストールします。DC に ADMT をインストールすることも可能ですが、本書では ADMT 用のメンバサーバを新規に構築する手順を紹介します。  本手順は、2012R2ADMT で行います。 ① Windows Server 2012 R2 インストールと初期設定 ■Windows Server 2012 R2 インストール Windows Server 2012 R2 をインストールします。 ADMT は Server Core インストールや RODC(Read-Only Domain Controller)として構成したサーバにはインストールできません。 ■ネットワーク設定 TCP/IP の設定で、既存ドメインと新規ドメインの DNS サーバを設定します。 1 「インターネットプロトコルバージョン 4 (TCP/IPv4)のプロパティ」では、「優先 DNS サーバー」に新規ドメインの DNS サーバの IP アドレスを入力します。「代替 DNS サーバー」には既存ドメインの DNS サーバの IP アドレスを入力します。

- 84 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き ■新規ドメインへの参加 1 新規ドメインに参加します。

② SQL Server のインストール ADMT v3.2 を使用する場合は、基になるデータベースストアとして、SQL Server のインスタンスを事前に構成しておく必要があります。本書では SQL Server 2012 Express を使用する手順を紹介します。 SQL Server 2012 Express は以下 URL よりダウンロードします。 Microsoft SQL Server 2012 Service Pack 1 (SP1) Express http://www.microsoft.com/ja-JP/download/details.aspx?id=35579 ■SQL Server 2012 Express のインストールモジュール Windows Server 2012 R2 にインストールするため、64bit OS 用のインストールモジュール (SQLEXPR_x64_JPN.exe)をダウンロードします。 1

SQL Server Express のインストールモジュール(SQLEXPR_x64_JPN.exe)を実行します。

- 85 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き ■SQL Server のセットアップ SQL Server セットアップでは、セットアップウィザードの指示に従ってインストールしますが、「インスタンスの構成」、「データベースエンジンの構成」では、以下の設定を行います。 1 SQL Server のセットアップの中で「インスタンスの構成」が表示されます。「名前付きのインスタンス」を選択し、 SQL Server のインスタンス名(本書では既定の「 SQLEXPRESS 」 ) を入力します。

2

SQL Server のセットアップの中で「データベースエンジンの構成」が表示されます。「認証モード」には「Windows 認証モード」を選択します。「 SQL Server 管理者の指定」に、 ADMT サーバのローカル管理者グループ(2012R2ADMT¥Administrators)を追加します。 ※”2012R2ADMT¥Administrators”を追加すると、”BUILTIN¥Administrators” として登録されます。

BUILTIN¥Administrators

を

SQL

Server 管理者として追加しない場合、移行用アカウント(MigUser)で ADMT を起動できません。

- 86 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き ③ ADMT のインストール本手順を実施する前に、「Active Directory 移行ツール v3.2」をダウンロードし ADMT サーバにコピーします。「Active Directory 移行ツール v3.2」は以下 URL よりダウンロードします。 Windows Server Active Directory Migration Tool(ADMT) http://connect.microsoft.com/site1164/content/content.aspx?ContentID=30561 ※ダウンロードには、Microsoft アカウントが必要になります。

1 2

ローカル管理者権限でサーバにログオンします。 Active Directory 移行ツールのインストールモジュール(admtsetup32.exe)を実行します。

3

「開いているファイル – セキュリティの警告」が表示されます。「実行」をクリックします。

4

「Active Directory 移行ツールのインストールの開始」が表示されます。「次へ」をクリックします。

- 87 -



「使用許諾契約書」が表示されます。「同意する」を選択します。「次へ」をクリックします。

6

「カスタマーエクスペリエンス向上プログラム」が表示されます。「今回はプログラムに参加しません」を選択します。「次へ」をクリックします。

7

「データベースの選択」が表示されます。データベースには ”② SQL Server のインストール” で作成した SQL Server インスタンスの名前(本書では既定の「.¥SQLEXPRESS」)を入力します。データベースは「.¥」または「¥」と指定できます。「次へ」をクリックします。

8

「コンポーネントを構成しています」が表示されます。処理が完了するまで待機します。

- 88 -



「データベースのインポート」が表示されます。「いいえ、既存のデータベースからデータをインポートしません(既定)」を選択します。「次へ」をクリックします。

10 「データベースのインポートの進行状況」が表示されます。処理が完了するまで待機します。

11 「Active Directory 移行ツールバージョン 3.2 は正常にインストールされました。」が表示されます。「完了」をクリックします。

- 89 -



5.2.4 移行用アカウントの作成 ADMT を使用して移行を行うには、ドメインやローカルマシンで多くの権限を必要とします。移行をスムーズに行うために、移行専用のアカウントを作成します。本書では、既存ドメインに以下の権限をもつ移行用ユーザアカウント「MigUser」を作成します。・既存ドメイン：Domain Admins グループ・新規ドメイン：Administrators グループ・ADMT サーバ：Administrators グループ移行に必要な権限の詳細は以下 URL を参照してください。・「移行用の移行アカウントの作成」 http://technet.microsoft.com/ja-jp/library/cc974398(WS.10).aspx ① 移行用ユーザアカウント作成と既存ドメインでの権限設定  本手順は、2003DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2 「スタート」→「管理ツール」→「Active Directory ユーザーとコンピュータ」をクリックします。

3

「Active Directory ユーザーとコンピュータ」が表示されます。左ペインの「Active Directory ユーザーとコンピュータ」-「」-「Users」を右クリックし、「新規作成」-「ユーザー」をクリックします。

- 90 -



「新しいオブジェクト –ユーザー」が表示されます。移行用アカウント(本書では「MigUser」)の情報を入力します。「次へ」をクリックします。

5

移行用アカウントの「パスワード」を入力します。「次へ」をクリックします。

6

「完了」をクリックします。

7

「Active Directory ユーザーとコンピュータ」の左ペインの「Active Directory ユーザーとコンピュータ」-「< 既存ドメイン名>」-「Users」をクリックします。右ペインの「Domain Admins」をダブルクリックします。

- 91 -



「Domain Admins のプロパティ」が表示されます。「メンバ」タブを選択します。「追加」をクリックします。

9

「ユーザー、連絡先、またはコンピュータの選択」が表示されます。「選択するオブジェクト名を入力してください」に移行用アカウント(MigUser)の名前を入力します。「OK」をクリックします。

10 「Domain Admins のプロパティ」で「OK」をクリックします。

- 92 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き ② 新規ドメインでの権限設定  本手順は、2012R2DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2 「サーバーマネージャー」を起動し、「ツール」をクリックします。「 Active Directory ユーザーとコンピューター」をクリックします。

3

「 Active Directory ユーザーとコンピューター」が表示されます。左ペインの「 Active Directory ユーザーとコンピューター」-「」「Builtin」をクリックします。右ペインで「Administrators」をダブルクリックします。

4

「Administrators のプロパティ」が表示されます。「メンバー」タブを選択します。「追加」をクリックします。

- 93 -



「ユーザー、連絡先、コンピューター、サービスアカウントまたはグループの選択」が表示されます。「場所」をクリックします。

6

「場所」が表示されます。「場所」で既存ドメイン名をクリックします。「OK」をクリックします。

7

「ユーザー、コンピューター、サービスアカウントまたはグループの選択」で移行用アカウント(MigUser)を入力します。「OK」をクリックします。

8

「Administrators のプロパティ」で「OK」をクリックします。

- 94 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き ③ ADMT サーバでの権限設定  本手順は、2012R2ADMT で行います。 1 ドメイン管理者権限でサーバにログオンします。 2 「サーバーマネージャー」を起動し、「ツール」をクリックします。「コンピューターの管理」をクリックします。

3

「コンピューターの管理」が表示されます。左ペインの「コンピューターの管理 (ローカル)」-「システムツール」-「ローカルユーザーとグループ」-「グループ」クリックします。右ペインで「Administrators」をダブルクリックします。

4

「Administrators のプロパティ」が表示されます。「追加」をクリックします。

- 95 -



「ユーザー、コンピューター、サービスアカウントまたはグループの選択」が表示されます。「場所」をクリックします。

6

「場所」が表示されます。「場所」で既存ドメイン名をクリックします。「OK」をクリックします。

7

「ユーザー、コンピューター、サービスアカウントまたはグループの選択」で移行用アカウント(MigUser)を入力します。「OK」をクリックします。

8


- 96 -



5.2.5 ADMT 使用前の初期設定 ADMT を使用してアカウント情報を移行する前に、以下の初期設定を行う必要があります。・SID の履歴監査を行うローカルグループの作成・アカウント管理の監査ポリシーの有効化 ① SID の履歴監査を行うローカルグループの作成  本手順は、2003DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2 「スタート」→「管理ツール」→ 「Active Directory ユーザーとコンピュータ」をクリックします。

3

「 Active Directory ユーザーとコンピュータ」が表示されます。左ペインの「 Active Directory ユーザーとコンピュータ」-「」-「Users」を右クリックし、「新規作成」-「グループ」をクリックします。

4

「新しいオブジェクト – グループ」が表示されます。グループ名に「$$$」を入力します。グループの範囲で「ドメインローカル」を選択します。グループの種類で「セキュリティ」を選択します。「OK」をクリックします。

- 97 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き ② アカウント管理の監査ポリシーの有効化(既存ドメイン) 本書では既定のポリシー(Default Domain Controllers Policy)を直接編集する手順で記載しています。既定のポリシーオブジェクトには手を加えない管理ポリシーの場合は、ドメインコントローラコンテナにリンクされた適切なポリシーオブジェクトに読み換えてください。  本手順は、2003DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2 「スタート」→「管理ツール」→ 「Active Directory ユーザーとコンピュータ」をクリックします。

3

「 Active Directory ユーザーとコンピュータ」が表示されます。左ペインの「 Active Directory ユーザーとコンピュータ」-「」-「Domain Controllers 」を右クリックし、「プロパティ」をクリックします。

4

「Domain Controllers のプロハティ」が表示されます。「グループポリシー」タブを選択します。「Default Domain Controllers Policy」をクリックし、「編集」をクリックします。

- 98 -



「グループポリシーオブジェクトエディタ」が表示されます。左ペインの「Default Domain Controllers Policy 」 - 「コンピュータの構成」-「Windows の設定」「セキュリティの設定」-「ローカルポリシー」-「監査ポリシー」をクリックします。右ペインの「アカウント管理の監査」をダブルクリックします。

6

「アカウント管理の監査のプロパティ」が表示されます。「セキュリティポリシーの設定」タブを選択します。「これらのポリシーの設定を定義する」にチェックを入れます。「成功」、「失敗」にチェックを入れます。「OK」をクリックします。

7

グループポリシーの変更を反映させるため、コマンドプロンプトで以下を実行します。 gpupdate /force 実行すると、画像のメッセージが表示されます。

POINT! 既存ドメインが Windows 2008 以降のドメインの場合、「ディレクトリサービスのアクセスの監査」のポリシーを有効にする必要があります。「③ アカウント管理の監査ポリシーの有効化(新規ドメイン)」の手順 6、手順 7 を参考に「ディレクトリサービスのアクセスの監査」のポリシーを有効化し、「成功」にチェックを入れます。

- 99 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き ③ アカウント管理の監査ポリシーの有効化(新規ドメイン)  本手順は、2012R2DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2 「サーバーマネージャー」を起動し、「ツール」をクリックします。「グループポリシーの管理」をクリックします。

3

「グループポリシーの管理」が表示されます。左ペインの「グループポリシーの管理」-「フォレスト: 」 -「ドメイン」-「」-「グループポリシーオブジェクト」 - 「 Default Domain Controllers Policy」を右クリックし、「編集」をクリックします。

4

「グループポリシー管理エディター」が表示されます。左ペインの「コンピューターの構成」-「ポリシー」-「Windows の設定」-「セキュリティの設定」-「ローカルポリシー」-「監査ポリシー」をクリックします。右ペインの「アカウント管理の監査」をダブルクリックします。

- 100 -



「アカウント管理の監査のプロパティ」が表示されます。「セキュリティポリシーの設定」タブを選択します。「これらのポリシーの設定を定義する」にチェックを入れます。「成功」と「失敗」にチェックを入れます。「OK」をクリックします。

6

右ペインの「ディレクトリサービスのアクセスの監査」をダブルクリックします。

7

「ディレクトリサービスのアクセスの監査のプロパティ」が表示されます。「セキュリティポリシーの設定」タブを選択します。「これらのポリシーの設定を定義する」にチェックを入れます。「成功」にチェックを入れます。「OK」をクリックします。

- 101 -




- 102 -



5.2.6 暗号化ツールのインストールと設定 ADMT では、PES(Password Export Server)サービスを使用することでパスワードの移行が可能になります。 PES は以下の URL からダウンロードします。 Windows Server Active Directory Migration Tool(ADMT) http://connect.microsoft.com/site1164/content/content.aspx?ContentID=30561 ※ダウンロードには、Microsoft アカウントが必要になります。 ① PES 暗号化キーの作成  本手順は、2012R2ADMT で行います。 1 ローカル管理者権限でサーバにログオンします。 2 スタートボタンを右クリックし、「コマンドプロンプト(管理者)」をクリックします。

3

「管理者：コマンドプロンプト」が表示されます。以下のコマンドを実行します。 admt key /option:create /sourcedomain: /keyfile:C:\share\key.pes /keypassword:

POINT! 本書では、事前に作成した「C:¥share」フォルダに「key.pes」というファイル名でパスワードエクスポートサーバー暗号化キーを出力します。実行すると、画像のメッセージが表示されます。

- 103 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き ② PES サービスの構成事前に「① PES 暗号化キーの作成」で作成した PES 暗号化キーを 2003DC-1 サーバの任意のローカルフォルダ(本書では C:¥share)にコピーします。  本手順は、2003DC-1 で行います。 1 移行用アカウントでサーバにログオンします。 2 PES のインストールモジュール(ja-JP pwdmig_x86.msi)を実行します。

3

「開いているファイル – セキュリティの警告」が表示されます。「実行」をクリックします。

4

「ADMT パスワード移行 DLL インストールウィザードの開始」が表示されます。「次へ」をクリックします。

- 104 -



「使用許諾契約書」が表示されます。「使用許諾契約書に同意します」を選択します。「次へ」をクリックします。

6

「暗号化ファイル」が表示されます。「参照」をクリックします。

7

「ファイルを開く」が表示されます。「① PES 暗号化キーの作成」で作成したパスワード暗号化ファイル(pes ファイル)を選択します。「開く」をクリックします。

8

「暗号化ファイル」で「次へ」をクリックします。

- 105 -



「暗号化キーのパスワードを指定してください」が表示されます。「① PES 暗号化キーの作成手順 3」で設定したパスワードを入力します。「次へ」をクリックします。

10 「インストールの開始」が表示されます。「次へ」をクリックします。

11 「システムの更新」が表示されます。

12 「パスワードエクスポートサーバーサービスはローカルシステムアカウントまたは指定されたユーザーアカウントで実行できます。」が表示されます。「ログオン」を選択し、移行用アカウントとパスワードを入力します。「OK」をクリックします。

13 「アカウント’(移行用アカウント)’はサービスとしてログオンする権利を付与されました。」が表示されます。「OK」をクリックします。

- 106 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き 14 「ADMT パスワード移行 DLL のインストールの完了」が表示されます。「完了」をクリックします。

15 「インストーラ情報」が表示されます。「はい」をクリックします。サーバが再起動します。

POINT! PES サービスは既定で停止しています。ADMT を使用してパスワードを移行する際に PES サービスを手動で起動してください。また、パスワード移行後は PES サービスを手動で停止してください。 1

「スタート」→「管理ツール」→「サービス」をクリックして、「サービス」を表示します。「パスワードエクスポートサーバーサービス」を選択して、「サービスの開始」をクリックします。

- 107 -



5.2.7 アカウントの移行 ADMT のウィザードを使用して既存ドメインのアカウントを新規ドメインへ移行します。ADMT では以下のドメインオブジェクトの移行が可能です。・ユーザアカウント・コンピュータアカウント・グループアカウント ※本書では「ユーザ」「コンピュータ」の移行手順を紹介します。

POINT! ・「連絡先」、「プリンタ」、「共有フォルダー」などのドメインオブジェクトは ADMT を使用して移行できません。新規ドメインにドメインオブジェクトを新規作成する必要があります。・「OU」は ADMT を使用して移行できません。既存ドメインと新規ドメインを同じ OU 構成にする場合は、既存ドメインと同じ構成で新規ドメインに OU を作成し、ADMT の移行ウィザードを使用して OU 内のドメインオブジェクトを適宜移行します。・「グループポリシー」は ADMT を使用して移行できません。グループポリシーは、ドメイン移行を機に見直しを兼ねて新規作成するケースが多くあります。・グループポリシーの移行を行う場合は、「グループポリシー管理エディター」を使用して既存ドメインのグループポリシーを新規ドメインにコピーします。詳細な手順は以下 URL 参照してください。「グループポリシーオブジェクトのバックアップ、復元、インポート、およびコピーを行う」 http://technet.microsoft.com/ja-jp/library/cc754760(WS.10).aspx

変換項目ファイルとフォルダープリンターレジストリ共有ローカルグループ

表 11 ADMT のウィザードで変換可能な項目説明移行対象サーバ/コンピュータの左記オブジェクトへのアクセス権に、新規ドメインのアカウントを含めます。

移行対象サーバ/コンピュータのローカルグループメンバに、新規ドメインのアカウントを含めます。ユーザープロファイル既存ドメインのユーザアカウントで使用していたユーザプロファイルを新規のドメインユーザアカウントで継続して使用できるよう変換します。ユーザー権利既存ドメインのサーバ/コンピュータに設定されているユーザ権利を新規ドメインのものに変換します。

- 108 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き ① ユーザアカウントの移行ユーザアカウントを SID の履歴を含めて移行します。SID の履歴を含めて移行することで、移行前にアクセス可能だった既存ドメインのリソースへ引き続きアクセスできます。本書ではユーザアカウント「User-2008R2File」「User-WinVista」「User-WinXP」の移行を行います。

POINT! ・ユーザがグループに所属している場合は、事前に ADMT の「グループアカウントの移行ウィザード」を使用してグループアカウントを新規ドメインに移行します。ユーザアカウント移行時にユーザアカウントが所属するグループアカウントのメンバーシップを自動更新することで、新規ドメインでもユーザアカウントの所属グループが保持されます。・ユーザアカウント移行時にユーザアカウントのパスワードもあわせて移行する場合は、既存ドメインの DC(2003DC-1)で「パスワードエクスポートサーバーサービス」を手動で起動する必要があります。  本手順は、2012R2ADMT で行います。 1 既存ドメインで作成した移行用アカウントで、新規ドメインにログオンします。 2 「サーバーマネージャー」を起動し、「ツール」をクリックします。「Active Directory 移行ツール」をクリックします。

3

「Active Directory 移行ツール」が表示されます。左ペインの「Active Directory 移行ツール」を右クリックし、「ユーザーアカウントの移行ウィザード」をクリックします。

- 109 -



「ユーザーアカントの移行ウィザードの開始」が表示されます。「次へ」をクリックします。

5

「ドメインの選択」が表示されます。「移行元」では既存ドメインのドメイン名を入力し、既存ドメインの DC をプルダウンメニューから選択します。「移行先」では新規ドメインのドメイン名を入力し、新規ドメインの DC をプルダウンメニューから選択します。「次へ」をクリックします。

6

「ユーザーの選択オプション」が表示されます。「ユーザーをドメインから選択」を選択します。「次へ」をクリックします。

7

「ユーザーの選択」が表示されます。「追加」をクリックします。

- 110 -



「ユーザーの選択」が表示されます。移行対象のユーザアカウントを入力します。「OK」をクリックします。

9

「ユーザーの選択」で「次へ」をクリックします。

10 「組織単位の選択」が表示されます。「参照」をクリックします。

11 「コンテナの参照」が表示されます。ユーザアカウントの移行先を選択します。「OK」をクリックします。

POINT! 本書では「Users」コンテナに移行します。

- 111 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き 12 「組織単位の選択」で「次へ」をクリックします。

13 「パスワードオプション」が表示されます。移行後のパスワードの指定を行います。「次へ」をクリックします。

POINT! 本書では、移行先のユーザパスワードを変更しない設定を行います。パスワードを移行する場合は、 PES サービスが起動している必要があります。 14 「アカウントの切り替えオプション」が表示されます。ユーザアカウントの移行ウィザード実行後の、既存/新規ドメインのアカウントの状態を選択します。「ユーザー SID を新規ドメインへ移行」にチェックを入れます。「次へ」をクリックします。

POINT! 本書では既存ドメインのユーザアカウントを無効に、新規ドメインのユーザアカウントを有効にする設定を行います。また、ユーザアカウントの SID も移行します。 15 「ユーザーアカウント」が表示されます。移行用アカウントのユーザー名、パスワード、ドメイン名を入力します。「次へ」をクリックします。

- 112 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き 16 「ユーザーオプション」が表示されます。移行するオプションにチェックを入れます。「次へ」をクリックします。

POINT! 本書では「ユーザー権利を更新」にチェックを入れます。

17 「オブジェクトのプロパティの除外」が表示されます。「次へ」をクリックします。

18 「競合の管理」が表示されます。「移行先ドメインで競合が検出された場合、移行元オブジェクトを移行しない」を選択します。「次へ」をクリックします。

19 「ユーザーアカウントの移行ウィザードの完了」が表示されます。「完了」をクリックします。

- 113 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き 20 「移行の進行状況」が表示されます。ユーザアカウントの移行が完了すると、「状態」のステータスが「完了」になります。「エラー」で、エラー数が”0”であることを確認します。「閉じる」をクリックします。

ファイルサーバ(2008R2File)で使用しているユーザアカウント「User-2008R2File」は移行後も既存ドメインで使用するため、上記の手順 15 の「移行元アカウントの無効化」のチェックを外して移行します。

POINT! ユーザアカウントを新規ドメインに移行すると、初回のログオンでパスワードの変更が求めらます。ログオン画面の指示に従い、パスワードを変更してください。 ② コンピュータアカウントの移行本書ではコンピュータアカウント「2008R2File」「Win7」「Win8」の移行を行います。 ■移行対象コンピュータのファイアウォールの設定変更  本手順は、Win7 で行います。 1 ローカル管理者権限で、クライアントにログオンします。 2 「スタート」→「コントロールパネル」をクリックします。

- 114 -



「コントロールパネル」が表示されます。「システムとセキュリティ」をダブルクリックします。

4

「システムとセキュリティ」が表示されます。「 Windows ファイアウォール」の「Windows ファイアウォールによるプログラムの許可」をダブルクリックします。

5

「許可されたプログラム」が表示されます。「設定の変更」をクリックします。

6

「許可されたプログラムおよび機能」から「ファイルとプリンタの共有」の「ドメイン」にチェックを入れます。「OK」をクリックします。

- 115 -



 本手順は、Win8 で行います。 1 ローカル管理者権限でクライアントにログオンします。 2 画面左下隅にカーソルを合わせて「スタート」ボタンが表示されたら右クリックし、「コントロールパネル」をクリックします。

3

「コントロールパネル」が表示されます。「システムとセキュリティ」をダブルクリックします。

4

「システムとセキュリティ」が表示されます。「 Windows ファイアウォール」の「Windows ファイアウォールによるアプリケーションの許可」をダブルクリックします。

- 116 -



「許可されたアプリ」が表示されます。「設定の変更」をクリックします。

6

「許可されたプログラムおよび機能」から「ファイルとプリンタの共有」の「ドメイン」にチェックを入れます。「OK」をクリックします。

■移行対象コンピュータの DNS の変更  本手順は、Win7、Win8 で行います。 1 「インターネットプロトコル (TCP/IP)のプロパティ」を表示します。「代替 DNS サーバー」に、新規ドメインの DNS サーバの IP アドレスを入力します。

■コンピュータアカウントの移行

POINT! コンピュータアカウントの移行を正常に終了するためには、移行対象のコンピュータがログオフした状態で起動している必要があります。コンピュータアカウント移行完了後、ADMT のエージェントにより移行対象のコンピュータは自動で再起動されます。

- 117 -



 本手順は、2012R2ADMT で行います。 1 既存ドメインで作成した移行用アカウントで、新規ドメインにログオンします。 2 「スタート」→「管理ツール」→「Active Directory 移行ツール」をクリックします。

3

「Active Directory 移行ツール」が表示されます。左ペインの「Active Directory 移行ツール」を右クリックし、「コンピューターの移行ウィザード」をクリックします。

4

「コンピューターの移行ウィザードの開始」が表示されます。「次へ」をクリックします。

5

「ドメインの選択」が表示されます。「移行元」では既存ドメインのドメイン名を入力し、既存ドメインの DC をプルダウンメニューから選択します。「移行先」では新規ドメインのドメイン名を入力し、新規ドメインの DC をプルダウンメニューから選択します。「次へ」をクリックします。

- 118 -



「コンピューターの選択オプション」が表示されます。「コンピューターをドメインから選択」を選択します。「次へ」をクリックします。

7

「コンピューターの選択」が表示されます。「追加」をクリックします。

8

「コンピューターの選択」が表示されます。移行対象のコンピュータアカウントを入力します。「OK」をクリックします。

9

「コンピューターの選択」で「次へ」をクリックします。

- 119 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き 10 「組織単位の選択」が表示されます。「参照」をクリックします。

11 「コンテナの参照」が表示されます。コンピュータアカウントの移行先を選択します。「OK」をクリックします。

12 「組織単位の選択」で「次へ」をクリックします。

13 「オブジェクトの変換」が表示されます。コンピュータアカウント移行時に変換を行う項目にチェックを入れます。「次へ」をクリックします。

POINT! 本書では、「ローカルグループ」、「ユーザー権利」にチェックを入れます。

- 120 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き 14 「セキュリティの変換オプション」が表示されます。「追加」を選択します。「次へ」をクリックします。

15 「コンピューターオプション」が表示されます。「ウィザードが完了してからコンピューターを再起動するまでの待ち時間」を入力します。「次へ」をクリックします。

POINT! 本書ではウィザード完了後すぐ再起動するように”0”を入力しています。 16 「オブジェクトのプロパティの除外」が表示されます。「次へ」をクリックします。

17 「競合の管理」が表示されます。「移行先ドメインで競合が検出された場合、移行元オブジェクトを移行しない」を選択します。「次へ」をクリックします。

- 121 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き 18 「コンピューターの移行ウィザードの完了」が表示されます。「完了」をクリックします。

19 「移行の進行状況」が表示されます。コンピュータアカウントの移行が完了すると、「状態」のステータスが「完了」になります。「エラー」で、エラー数が”0”であることを確認します。「閉じる」をクリックします。

20 「 Active Directory 移行ツールのエージェントダイアログ」が表示されます。「エージェントの動作」で「事前確認とエージェントの操作を実行する」を選択します。「開始」をクリックします。

POINT! 移行対象コンピュータはエージェントの操作完了後に自動で再起動されます。

- 122 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き 21 「 Active Directory 移行ツールのエージェントダイアログ」の「事前確認」がすべて合格、「エージェントの操作」がすべて成功、「事後確認」がすべて合格することを確認します。「閉じる」をクリックします。

既存ドメインでファイルサーバにアクセスする必要がなくなった時点で Windows Server 2008 R2 のファイルサーバ(2008R2File)のコンピュータアカウントを新規ドメインへ移行します。

- 123 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き参考:SID の履歴を使用したリソースへのアクセス Windows Server 2003 SP2 以降のドメインコントローラー間でフォレストの信頼関係を構築した場合、SID フィルターが有効になります。SID の履歴を移行していても、SID フィルターが有効になっていると SID の履歴を使用した既存リソースへのアクセスが失敗します。 SID の履歴を使用して新規ドメインから既存ドメインのリソースにアクセスできるようにするには、以下の手順を実施して SID フィルターを無効にしてください。 ■既存ドメインの管理者グループに新規ドメインの管理者グループを追加 SID フィルターを無効にするため、既存ドメインの管理者グループに新規ドメインの管理者を追加します。  本手順は、2003R2DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2 「スタート」→「管理ツール」 →「Active Directory ユーザーとコンピュータ」をクリックします。

3

「 Active Directory ユーザーとコンピュータ」の左ペインの「 Active Directory ユーザーとコンピュータ」-「< 既存ドメイン名>」-「Builtin」をクリックします。右ペインの「Administrators」をダブルクリックします。

4

「Administrators のプロパティ」が表示されます。「メンバ」タブを選択します。「追加」をクリックします。

- 124 -



「ユーザー、連絡先、コンピュータまたはグループの選択」が表示されます。「場所」をクリックします。

6

「場所」が表示されます。「場所」で新規ドメイン名をクリックします。「OK」をクリックします。

7

「ユーザー、コンピュータまたはグループの選択」で「Domain Admins」を入力します。「OK」をクリックします。

8


- 125 -


Windows Server 2012/2012 R2 Active Directory 移行の手引き ■SID フィルターを無効に設定します。 Windows Server 2012 R2 の日本語版では下記の Netdom コマンドが正しく動作しないことがあります。 (コマンドの内容が正常に設定できたよう見えて、設定が正しく反映されていません。) そのため、コマンドプロンプトを英語のコードページに変更して Netdom コマンドを実行します。  本手順は、2012R2DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2 コマンドプロンプトを起動して以下のコマンドを実行します。 Chcp 437

3

コマンドプロンプトが英語のコードページに変更されます。以下のコマンドを実行します。 Netdom trust /domain: /quarantine:No /userD: /passwordD: 「SID filtering is not enabled for this trust.」と表示されれば、正しく設定が反映されています。

※本書の環境では以下のコマンドを実行します。 Netdom trust fujitsu.local /domain:fujitsu2.co.jp /quarantine:No /userD:fujitsu¥Administrator /passwordD:

- 126 -



5.2.8 既存ドメインの破棄既存ドメインから新規ドメインへのすべての移行が完了した時点で、既存ドメインを破棄します。 ① 信頼関係の破棄既存ドメインと新規ドメインの信頼関係を破棄します。  本手順は、2012R2DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2 「サーバーマネージャー」を起動し、「ツール」をクリックします。「Active Directory ドメインと信頼関係」をクリックします。

3

「Active Directory ドメインと信頼関係」が表示されます。左ペインの「 Active Directory ドメインと信頼関係」-「」を右クリックし、「プロパティ」をクリックします。

4

「のプロパティ」が表示されます。「信頼」タブを選択します。「このドメインに信頼されるドメイン (出力方向の信頼)」から既存ドメインを選択します。「削除」をクリックします。

- 127 -



「Active Directory ドメインサービス」が表示されます。「ローカルドメインと他方のドメインの両方から信頼を削除する」を選択します。既存ドメインの管理者アカウントとパスワードを入力します。「OK」をクリックします。

6

「ドメインとの出力方向の信頼を削除しますか?」が表示されます。「はい」をクリックします。

7

「のプロパティ」の「このドメインを信頼するドメイン(入力方向の信頼)」から既存ドメインを選択します。「削除」をクリックします。

8

「Active Directory ドメインサービス」が表示されます。「ローカルドメインと他方のドメインの両方から信頼を削除する」を選択します。「OK」をクリックします。

- 128 -



「ドメインとの入力方向の信頼を削除しますか?」が表示されます。「はい」をクリックします。

10 「 < 新規ドメイン名 > のプロパティ」で「OK」をクリックします。

② DNS セカンダリゾーンの削除新規ドメインの DNS から既存ドメインのセカンダリゾーンを削除します。また、既存ドメインの DNS に許可しているゾーン転送の設定を削除します。  本手順は、2012R2DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2 「サーバーマネージャー」を起動し、「ツール」をクリックします。「DNS」をクリックします。

- 129 -



「DNS マネージャー」が表示されます。左ペインの「DNS」-「」「前方参照ゾーン」-「(既存ドメインのゾーン名)」を右クリックし、「削除」をクリックします。

4

「DNS」が表示されます。「はい」をクリックします。

5

左ペインの「DNS」-「」「前方参照ゾーン」-「」を右クリックし、「プロパティ」をクリックします。

6

「のプロパティ」が表示されます。「ゾーンの転送」タブを選択します。「ゾーン転送を許可するサーバー」のチェックを外します。「OK」をクリックします。

- 130 -



③ DNS の設定変更  本手順は、2012R2DC-1 で行います。 1 ローカル管理者権限でサーバにログオンします。 2 「インターネットプロトコルバージョン 4 (TCP/IPv4)のプロパティ」を表示します。「代替 DNS サーバー」に、新規ドメイン (2 台目)の DNS サーバの IP アドレスを入力します。

POINT! メンバサーバ/クライアントで既存ドメインの DNS を設定している場合も変更を行ってください。 ④ アカウント管理の監査ポリシーの無効化  本手順は、2012R2DC-1 で行います。 1 ドメイン管理者権限でサーバにログオンします。 2 「サーバーマネージャー」を起動し、「ツール」をクリックします。「グループポリシーの管理」をクリックします。

- 131 -



「グループポリシーの管理」が表示されます。左ペインの「グループポリシーの管理」-「フォレスト: 」 -「ドメイン」-「」-「グループポリシーオブジェクト」 - 「 Default Domain Controllers Policy」を右クリックし、「編集」をクリックします。

4

「グループポリシー管理エディター」が表示されます。左ペインの「コンピューターの構成」-「ポリシー」-「Windows の設定」-「セキュリティの設定」-「ローカルポリシー」-「監査ポリシー」をクリックします。右ペインの「アカウント管理の監査」を右クリックし、「プロパティ」をクリックします。

5

「アカウント管理の監査のプロパティ」が表示されます。「セキュリティポリシーの設定」タブを選択します。「これらのポリシーの設定を定義する」のチェックを外します。「OK」をクリックします。

- 132 -



右ペインの「ディレクトリサービスのアクセスの監査」を右クリックし、「プロパティ」をクリックします。

7

「ディレクトリサービスのアクセスの監査」が表示されます。「セキュリティポリシーの設定」タブを選択します。「これらのポリシーの設定を定義する」のチェックを外します。「OK」をクリックします。

8


※2008DC-2 でも同様にグループポリシーの変更を反映させます。

上記の手順で既存ドメインと新規ドメインを分離した後、 Windows Server 2003 の DC を WORKGROUP へ降格することで、既存ドメインを破棄します。

- 133 -



6 おわりに本書では、Windows 2003、Windows 2008/2008 R2 ドメインから Windows 2012/2012 R2 ドメインへの移行を予定されている一般的なお客様環境を想定し、移行の全体イメージと詳細な手順を紹介しました。お客様の実際の環境にあわせて適宜読み替えて活用してください。富士通では、Windows Server 2012 R2 の先行評価、Windows NT 時代から積み上げた豊富なノウハウをもって確実なドメイン移行をサポート致します。ドメイン移行をお考えの際は、ぜひ富士通にご相談ください。

- 134 -



PC サーバ FUJITSU Server PRIMERGY につきましては、以下の技術情報を参照願います。・PC サーバ FUJITSU Server PRIMERGY（プライマジー） http://jp.fujitsu.com/platform/server/primergy/ ・FUJITSU Server PRIMERGY 機種比較表 http://jp.fujitsu.com/platform/server/primergy/products/lineup/select-spec/ ・FUJITSU Server PRIMERGY サーバ選定ガイド http://jp.fujitsu.com/platform/server/primergy/products/lineup/select-model/ PC サーバ FUJITSU Server PRIMERGY のお問い合わせ先。・PC サーバ FUJITSU Server PRIMERGY お問い合わせ http://jp.fujitsu.com/platform/server/primergy/contact/ 基幹 IA サーバ FUJITSU Server PRIMEQUEST につきましては、以下の技術情報を参照願います。・基幹 IA サーバ FUJITSU Server PRIMEQUEST（プライムクエスト） http://jp.fujitsu.com/platform/server/primequest/ ・FUJITSU Server PRIMEQUEST 製品ラインナップ http://jp.fujitsu.com/platform/server/primequest/products/ 基幹 IA サーバ FUJITSU Server PRIMEQUEST のお問い合わせ先。・本製品のお問い合わせ http://jp.fujitsu.com/platform/server/primequest/contact/

- 135 -



商標登記について

   

Microsoft、Windows 、Windows Server、Active Directory、Windows PowerShell は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。記載されている会社名、製品名は各社の登録商標または商標です。記載されている会社名、製品名等の固有名詞は各社の商号、登録商標または商標です。その他、本資料に記載されている会社名、システム名、製品名等には必ずしも商標表示を付記しておりません。

免責事項このドキュメントは単に情報として提供され、内容は予告なしに変更される場合があります。また、発行元の許可なく、本書の記載内容を複写、転載することを禁止します。このドキュメントに誤りが無いことの保証や、商品性又は特定目的への適合性の黙示的な保証や条件を含め明示的又は黙示的な保証や条件は一切無いものとします。富士通株式会社は、このドキュメントについていかなる責任も負いません。また、このドキュメントによって直接又は間接にいかなる契約上の義務も負うものではありません。このドキュメントを形式、手段（電子的又は機械的）、目的に関係なく、富士通株式会社の書面による事前の承諾なく、複製又は転載することはできません。

- 136 -


Windows Server 2012 Active Directory 移行の手引き - 富士通

Windows Server 2012 Active Directory 移行の手引き - 富士通

Suggest Documents

Creating User – Windows Server 2012 Active Directory

Active Directory Installation on Windows Server 2012.pdf

Windows Server 2012 Active Directory Domain Services Overview

Windows and Active Directory Windows and Active Directory

MCITP: Windows Server 2008 Server ... - Parent Directory

MCTS 70-640 cert guide : Windows Server 2008 Active Directory ...

Streamlined Active Directory and Windows server ... - Quest Software

Configuring Windows Server 2008 Active Directory Course Outline

MCTS: windows Server 2008 Active Directory Configuration Study ...

Configuring Windows Server 2008 Active Directory Course Outline

Streamlined Active Directory and Windows server ... - Quest Software

Windows Server 2008 Active Directory Configuration (ITMT 2302 ...

Moc 6424A - Fundamentals Of Windows Server 2008 Active Directory ...

Exam 70-640: - TS: Windows Server 2008 Active Directory ... - BILT

MCTS 70-640 Windows Server 2008 Active Directory ... - ACTT

Streamlined Active Directory and Windows server ... - Quest Software

Active Directory Infrastructure DesignDocument - Windows ...

Virtualizing Windows Active Directory - VMware

Windows Server 2012 - EGOS!

windows server 2012 - Symantec

Windows Server 2012

windows server 2012 - Symantec

Windows Server 2012 Directory Partition Containers- A Walk Through

Creating a Windows 2012 Active Directory Forest ... - WordPress.com