Embed Size (px)
Citation preview
14 15
移行シナリオ -Active Directory(AD)移行によって得られるメリット-Windows Server 2012のADは、仮想化機能が強化されており、セキュリティ面や管理操作性などADの機能も強化されています。Windows Server 2003からWindows Server 2012へADを移行することによって多くの課題を解決することができます。
ドメインコントローラ編
Windows Server 2003→ Windows Server 2012 へドメインコントローラー(DC)の移行メリット
企業における事業活動や組織変更などによって、システム構築や統廃合が行われることがよくあります。各サービスにアクセスするために専用ID/パスワードが必要とされ、それらの管理は、ユーザ自身にゆだねられることがほとんどです。その結果、管理しきれないID/パスワードが乱立し、ユーザの業務効率を低下させてしまいます。
Windows Server 2012への移行をきっかけに社内に乱立したドメイン環境を統制の取れたドメインに整理し、運用管理をシンプルかつ効率化することができます。そして、標準実装されたActive Directory
Federation Service(ADFS)によって、社内システムのみならず、クラウドサービスへのシングルサインオンが可能になります。富士通のクラウドプラットフォームのひとつであるFUJITSU Cloud PaaS A5 for Windows Azure上のさまざまなアプリケーションにも社内からアクセスすることができ、外部アプリケーションとシームレスな連携ができ、生産性が向上します。
さまざまなID/パスワードが存在し、管理が大変
シングルサインオンで社内、社外のリソースにもアクセス可能
課題❸
解決 !
DC間の整合性はUpdate sequence number(USN)というデータベースの更新バージョンで保たれます。VMのスナップショットによりDCを以前の状態に戻すと、USNが以前のバージョンに戻り、他のDCと整合性が取れなくなる問題がありました。また、仮想マシン上のDC運用は他にも留意点もあり、運用が複雑という課題がありました。
Windows Server 2012のADは、仮想化運用向けに強化されており、仮想マシン上のDCの安全性を向上しています。仮想マシン上のDC運用時にVMのスナップショットに適用できない問題についても修正されており、仮想環境でより安全な運用が可能になります。また、Windows Server 2012のDCでは、仮想ハードディスクのコピーによる展開がサポートされました。これによって仮想マシン上にDC展開が容易にでき、ドメインの規模を拡大できます。
(注)仮想環境では、仮想マシン上のOS時刻がずれる現象が発生します。このためドメイン内で時刻同期元となるPDCエミュレータの役割を仮想マシンに配置した場合、ドメイン全体の時刻がずれてしまう可能性あるため、環境内に必ず1つの物理DCを導入してください。
仮想マシン上のDC運用は考慮点があり、運用が複雑課題❶
仮想マシン上のDCの容易な運用、展開が可能解決 !
従来のアクセス制御では、ファイルの所有者がアクセスの許可を自由に設定できたため、統制の面で課題があり、セキュリティも万全ではありませんでした。
Windows Server 2012 のADにファイルへアクセス許可の集中制御を行うDynamic Access Control機能が追加され、管理者が定義したポリシーに基づいて、従来のフォルダ単位(Access Control List) のアクセス制御に加え、より強固なセキュリティを実現できます。
ファイルアクセス権の統制が不完全でセキュリティ面に不安課題❷
ADによるファイルアクセスの統制と強固なセキュリティを実現解決 !
新DC従来のDC
物理DC
コピー移行仮想DC
(コピー元)仮想DC
(コピー先)
一般ユーザ従来のアクセス管理
一般ユーザAD連携したアクセス管理
DC
ファイル所有者
アクセス権を設定
アクセス権を設定
移行
ポリシーサーバ管理者
移行
IDパスワード
IDパスワード
IDパスワード
IDパスワード
IDパスワード
IDパスワード
既存環境 Windows Server 2012
パブリッククラウド
Windows Azure Active Directory
ADFS
FUJITSU Cloud PaaSA5 for Windows Azure
16 17
移行シナリオ -Active Directory移行に対する富士通の考え-Windows Server 2003のドメインコントローラ(DC)をWindows Server 2012に移行することで、DCを仮想上に配置し、物理サーバのコストを抑えながら冗長性を確保することができます。Windows Server 2012は、容易に仮想DCの展開ができるため、柔軟に災害対策シナリオに対応することができます。
仮想DCの展開が簡単になったWindows Server 2012ドメインへの移行Windows Server 2003 ドメインからWindows Server 2012ドメインへの移行方式は、以下の2つの方式があります。◆既存ドメインへのバージョンアップ 既存ドメインに新規ドメインコントローラーを構築する方式◆新規ドメイン構築とアカウント移行 Active Directory移行ツール(ADMT)を利用して、新規に構築したドメインへ既存のアカウント情報を移行する方式
「既存ドメインへのバージョンアップ」の移行フロー
❶事前準備 •既存のフォレスト・ドメイン機能レベルをWindows Server 2003以上に昇格
❷Windows Server 2012DCを既存ドメインに追加 •物理サーバ、およびVM上にWindows Server 2012のDCを作成し追加
❸FSMOをWindows Server 2012 DCに転送 •Windows Server 2003のDCからすべてのFSMO(*1)をWindows Server 2012 DCへ転送
❹Windows Server 2003DCをメンバーサーバに降格し、撤去
❺ドメイン/フォレストの機能レベルをWindows Server 2012に昇格❻SYSVOL複製方式をFRS(*2)からDFSR(*3)に変更
Windows Server 2012では、仮想ハードディスク(VHD)のコピーによってDCを展開することができるため、容易に仮想上のDCの展開ができます。
ドメインコントローラ編
(*1)FSMO:Flexible Single Master Operation の略です。操作マスタと呼ばれています。
(*2)FRS : File Replication Service の略です。(*3)DFSR : Distributed File System Replication の略です。
仮想マシン上のDCの増設・展開が簡単に①機能レベルを WS2003以上に昇格
②物理サーバ/VM の追加
WS2003
FSMO
WS2012
③FSMOを転送
WS2003 WS2012
FSMO
④メンバーに降格
WS2003
FSMO
WS2012
FSMO
WS2012
⑥SYSVOL複製方式 の変更
⑤機能レベル変更
FSMO
WS2012
VHDコピー
2台目以降仮想DC展開
Windows Server 2003ドメインからWindows Server 2012/2012 R2ドメインに移行するノウハウをご紹介•Windows Server 2012 / 2012 R2 Active Directory環境へのドメイン移行の考え方•Windows Server 2012 / 2012 R2 Active Directory移行の手引き
【Windows Server 2012/2012 R2 Active Directory移行に関する詳細情報を公開中】
http://jp.fujitsu.com/platform/server/primergy/technical/construct
Windows Server 2012/2012 R2 Active Directory移行に関する詳細情報を公開中
