～Windows 2000 ドメインからの移行～ · 2019-06-12 · Windows 2000ドメインからWindows 2008/2008 R2ドメインへの移行では、全ての既存DCが Windows 2000

2009 年 12 月

富士通株式会社

Windows Server 2008/2008 R2

Active Directory 移行の手引き～Windows 2000 ドメインからの移行～

Windows Server 2008/2008 R2 Active Directory 移行の手引き

-2- Copyright FUJITSU LIMITED 2009

改訂履歴

改版日時版数改版内容

2008.09 1.0 新規作成

2009.12 2.0 Windows Server 2008 R2 に対応

新規ドメイン構築&アカウント移行(ADMT3.1 を使用した移行)

手順を追加



目次

はじめに ............................................................................................................................4

1 なぜ、今Windows 2008/2008 R2 ドメインに移行するのか？ ......................................5

2 ドメイン移行の概要 .....................................................................................................7

2.1 ドメイン移行作業の流れ..................................................................................................7

2.2 移行方式概要 ................................................................................................................9

2.2.1 既存ドメインへのバージョンアップ............................................................................10

2.2.2 新規ドメイン構築&アカウント移行 ............................................................................12

3 既存ドメインのバージョンアップ手順 ..........................................................................14

3.1 移行環境 .....................................................................................................................14

3.2 移行手順 .....................................................................................................................17

3.2.1 フォレスト、ドメインのアップグレード .........................................................................17

3.2.2 Windows Server 2008 R2 のDC追加 .....................................................................21

3.2.3 FSMOの転送 .........................................................................................................26

3.2.4 Windows 2000 Server DCの降格...........................................................................34

3.2.5 ドメイン／フォレストの機能レベルの変更 .................................................................37

3.2.6 SYSVOL複製方式の変更 .......................................................................................39

4 新規ドメイン構築&アカウント移行手順.......................................................................45

4.1 移行環境 .....................................................................................................................45

4.2 移行手順 .....................................................................................................................48

4.2.1 新規ドメインの新規構築..........................................................................................48

4.2.2 信頼関係の構築.....................................................................................................48

4.2.3 ADMTサーバの構築 ...............................................................................................59

4.2.4 暗号化ツールのインストールと設定 .........................................................................73

4.2.5 アカウント移行........................................................................................................78

4.2.6 既存ドメインの破棄.................................................................................................93

おわりに ........................................................................................................................100



はじめに

本書は、Windows 2000 ドメインから、Windows 2008/2008 R2 ドメインへの移行手順を中心に紹介し

ます。

ドメインの移行方式には、「既存ドメインのバージョンアップ」「新規ドメイン構築&アカウント移行」の

2 種類が用意されており、お客様の移行環境や要件に合わせて移行方式を選択する必要があります。

ドメインの移行方式や移行手順を考える際の基礎情報としてご活用ください。

本書では以下の方を対象に記載しています。AD およびネットワークの基礎知識があることを前提

にしています。

・Windows 2000 ドメインを使用中のお客様

・近い将来にドメイン移行を予定のお客様/SE

・知識としてドメイン移行の進め方を確認されたいお客様/SE/営業

本書では、以下の略称を使用します。

正式名称略称

Microsoft® Windows® 2000 Server Windows 2000 Server

Microsoft® Windows Server® 2003 Windows Server 2003

Microsoft® Windows Server® 2008 Windows Server 2008

Microsoft® Windows Server® 2008 R2 Windows Server 2008 R2

Microsoft® Windows® 2000 Windows 2000

Microsoft® Windows® XP Windows XP

製品名

Windows® 7 Windows 7

Microsoft® Windows® 2000 Server Active Directory®のドメイン

Windows 2000 ドメイン

Microsoft® Windows Server® 2008 Active Directory®のドメイン

Windows2008 ドメイン

Microsoft® Windows Server® 2008 R2 Active Directory®のドメイン

Windows2008 R2 ドメイン

ドメインコントローラ DC

Active Directory® AD

ドメイン

Active Directory 移行ツール ADMT

●本書の内容は、改善のため事前連絡なしに変更することがあります。

●本書に記載されたデータの使用に起因する、第三者の特許権およびその他の権利の侵害に

ついては、当社はその責を負いません。

●無断転載を禁じます。

Microsoft, Windows, Windows Server, Active Directory は、Microsoft Corporation の米国及びその

他の国における登録商標または商標です。



1 なぜ、今Windows 2008/2008 R2 ドメインに移行するのか？

富士通における過去のドメイン移行商談の傾向から、Windows 2000 ドメインから Windows

2008/2008 R2 ドメインへの移行を検討するきっかけとして、大きく以下の 2 通りが考えられます。

① 新のテクノロジーの恩恵を受けるため

② ハードウェア・ソフトウェアの老朽化のため

① 新のテクノロジーの恩恵を受けるため

★は Windows Server 2008 R2 で使用可能な項目です。

●運用の改善

・ドメインサービスが再起動可能となったことで、AD のメンテナンス時にも同居している他サー

ビスを止めずに済むなど、柔軟な運用が可能になります。

・ドメインオブジェクトへの変更操作のロギングを行う監査機能が強化されたことで、ディレクト

リ情報を、いつ誰がどのように変更したのか、追跡が可能になります。

・★Best Practices Analyzer(BPA)を利用したActive Directory、DNS の推奨構成の確認が可能

になり、構成・設計ミスに起因するトラブルの未然防止に繋げることができます。

●管理性の向上

・Windows Server 2008/2008 R2 では操作性・機能面で、多くの改善が実装されています。以

下は、その一例です。

-『サーバーマネージャ』による、各種設定・監視など管理ツールの一元化

-グループポリシーの拡張

-GPMC による、グループポリシー適用結果のシミュレーション、適用状況の確認

-オブジェクトのドラッグアンドドロップ、複数選択による一括プロパティ編集

-日本市場のニーズに対応し、ユーザオブジェクトに『ふりがな属性』を追加

-★削除したドメインオブジェクトの迅速な復旧(Active Directory Recycle Bin)

-★Windows PowerShell を使用したコマンドベースのディレクトリ操作

●ドメインの論理設計の柔軟性向上

・読み取り専用ドメインコントローラ（RODC）を利用することで、これまで DC の設置を敬遠して

いた管理者不在の支店、またはセキュリティレベルの低い支店でも、安全に DC を設置できま

す。

・きめ細かなパスワードポリシーが実装され、一般ユーザと管理者のパスワードポリシーを異

なるレベルに設定できるなど、セキュリティと利便性のバランスを考えた柔軟な論理設計が

可能になります。



②ハードウェア・ソフトウェアの老朽化のため

●ハードウェア

主にサーバ部品の保守期間終了の問題があります。サーバの各部品にも寿命があり、定期

的に、または故障時に交換する必要があります。しかし、Windows 2000 Server プレインストール

モデルとして売り出されたサーバは順次保守サポート切れを迎え、サポート終了後には各部品

の入手が困難になります。

●ソフトウェア(OS)

Microsoft®製品には、サポート期間が決められています。Windows 2000 Server は既にサポー

ト期間の終盤に差し掛かっており、2010 年にはサポートが終了する予定です。サポート期間が

終了すると、セキュリティパッチや修正モジュールが提供されなくなります。

本書ではこのような背景から、Windows 2000 ドメインから Windows 2008/2008 R2 ドメインへの

移行を中心に記載しております。



2 ドメイン移行の概要

本章では、Windows 2000 ドメインから Windows 2008/2008 R2 ドメインへの移行の進め方と、移行

方式について紹介します。

2.1 ドメイン移行作業の流れ

ドメイン移行に必要な作業を簡単に紹介します。ドメイン移行では、以下の流れに従って移行の

計画から実施・確認まで作業を進めます。

■計画、既存環境の調査■

移行対象となるドメイン環境について調査を行います。DC だけでなくメンバコンピュータやネット

ワーク環境など影響範囲全般が調査対象となります。

Windows 2000 ドメインから Windows 2008/2008 R2 ドメインへの移行では、全ての既存 DC が

Windows 2000 Server SP4 以降である必要があります。

ADの移行では、DNS、DHCP、WINSなど関連するネットワークサービスを考慮する必要があり

ます。

■ハードウェア・ソフトウェアの手配■

移行に必要なハードウェア・ソフトウェアの手配を行います。

発注してから搬入されるまでの時間を考慮し、余裕をもって手配します。

■移行方式の検討■

お客様の環境や要件に従い、ドメイン移行方式を検討します(移行方式については「2.2 節移行

方式概要」を参照してください)。

移行過程でトラブルが発生した場合を想定して、ロールバック計画をあわせて検討してくださ

い。

POINT!

POINT!

POINT!



■移行手順の確立/検証■

移行手順を確立します。移行手順に従い検証を行い、問題が発生した際は、対策を検討し本番

移行に備えます。

ドメイン移行は、ドメイン内のメンバコンピュータや、ディレクトリサービスを利用するアプリケー

ションなど様々なところに影響を与える可能性があります。移行を行う際は、それらを洗い出し、

移行手順の確認だけでなく、インフラ全体への影響有無について事前検証を行うことが、移行後

のトラブルを未然に防ぐことに繋がります。

■移行の実施■

検証で確立した手順をもとに、本番環境の移行を行います。本書では、このフェーズを中心に紹

介します。(手順の詳細は「3 章ドメイン移行手順」を参照してください)

移行作業を開始する前には、必ずバックアップを実施してください。

移行を実施する時期によっては、新たにサービスパックや修正モジュールなどが発表され、本書

の手順に変更を要する可能性があります。マイクロソフト社の新の情報を確認してください。

■稼働確認■

ドメイン移行完了後に、稼働状況の確認を行います。正常に稼働していることを確認して、ドメイ

ン移行を完了とします。

ドメイン移行は、実際の移行作業以上に、事前の調査・計画・準備などに多くの時間を必要とし

ます。ドメイン移行を行う際は、移行期間に余裕を持って計画を進めてください。

POINT!

POINT!



2.2 移行方式概要

Windows 2000 ドメインから Windows 2008/2008 R2 ドメインへの移行方式は、以下の 2 つの方式

が考えられます。

・既存ドメインのバージョンアップ

既存ドメインの構成/情報を保持したまま、ドメインのバージョンアップを行う方式

・新規ドメイン構築&アカウント移行

AD 移行ツール(ADMT※)を利用して、新規に構築したドメインへ既存のアカウント情報を移

行する方式

富士通では、エンドユーザへの影響が少ない『既存ドメインのバージョンアップ』での移行を推奨

しています。移行を機にドメイン環境を一新したい場合や、以下のような特別な要件がある場合に

は、『新規ドメイン構築&アカウント移行』を選択します。

・互換性確認が必要な既存サーバが多いため、既存ドメインを残しつつ、段階的に移行を行い

たい。

・M&A に伴いドメイン環境を統合したいが、既存ドメインをそのまま使用したくない事情がある。

(※)2009年11月時点では、Windows Server 2008 R2で利用可能なADMTは公開されていません。

このため、Windows 2000 ドメインから Windows 2008 R2 ドメインへの移行は『既存ドメインの

バージョンアップ』のみ可能です。

なお、Windows Server 2008 で利用可能な ADMT は、以下 URL よりダウンロード可能です。

http://www.microsoft.com/downloads/details.aspx?familyid=AE279D01-7DCA-413C-A9D2-

B42DFB746059&displaylang=ja

「既存ドメインのバージョンアップ」と「新規ドメイン構築&アカウント移行」の移行イメージを紹

介します。

http://www.microsoft.com/downloads/details.aspx?familyid=AE279D01-7DCA-413C-A9D2-B42DFB746059&displaylang=ja�

http://www.microsoft.com/downloads/details.aspx?familyid=AE279D01-7DCA-413C-A9D2-B42DFB746059&displaylang=ja�



2.2.1 既存ドメインへのバージョンアップ

移行方式「既存ドメインのバージョンアップ」による、ドメイン移行イメージを紹介します。本書

では、Windows 2000 ドメインから Windows 2008 R2 ドメインへの移行手順を紹介していますが、

Windows 2000 ドメインから Windows 2008 ドメインへの移行手順も同様です。

① FSMO の役割を持つ既存 DC で Windows 2008 R2 の adprep32 コマンドを実行し、スキーマ

を拡張します。

② 新規ドメインの DC として使用するサーバ（新規 DC）に、Windows Server 2008 R2 をインス

トールします。

③ 新規 DC を既存ドメインの DC として追加します。

(注意)

adprep コマンドを実行するために

は、全ての既存 DC が Windows

2000 Server SP4 以降である必要

があります。



④ FSMO を新規 DC に転送します。

⑤ 既存 DC をメンバーサーバへ降格します。

⑥ 機能レベルを “Windows Server 2008 R2”に変更します。

詳細な移行手順は「3 章既存ドメインのバージョンアップ手順」を参照してください。



2.2.2 新規ドメイン構築&アカウント移行

移行方式「新規ドメイン構築&アカウント移行」による、ドメイン移行イメージを紹介します。本

書では Windows 2000 ドメインから Windows 2008 ドメインへの移行手順を紹介しています。なお

2009 年 11 月時点では Windows Server 2008 R2 に対応する ADMT は公開されていません。

① 新規に、2008 ドメインを構築します。

② 既存ドメインと双方向信頼関係を作成します。

③ ADMT を使用し、既存ドメインから新規ドメインへ、アカウントの移行を行います。



④ クライアント、メンバサーバ等のリソース移行完了後に、信頼関係を破棄します。

⑤ 既存ドメイン環境を破棄します。

詳細な移行手順は「4 章新規ドメイン構築&アカウント移行手順」を参照してください。



3 既存ドメインのバージョンアップ手順

本章では、富士通が推奨する移行方式「既存ドメインのバージョンアップ」を選択して、Windows

2000 ドメインから Windows 2008 R2 ドメインへ移行する手順を紹介します。

3.1 移行環境

本章で紹介する移行手順は、以下の環境における移行を想定しています。

図 1 「既存ドメインのバージョンアップ」の移行環境

図 1 のサーバ／クライアントの設定内容を、以下の表に示します（表 1、表 2）。



表 1 DC サーバの設定内容

番号項目内容

コンピュータ名 2000DC-1

IP アドレス【移行前】192.168.1.11

【移行後】なし(ネットワーク上から撤去)

OS、SP Windows 2000 Server SP4

DNS 127.0.0.1(優先)、192.168.1.12(代替)

①

役割【移行前】DC(FSMO、GC)、DNS(fujitsu.local ゾーン)

【移行後】なし


IP アドレス【移行前】192.168.1.12

【移行後】なし(ネットワーク上から撤去)


DNS 127.0.0.1 (優先)、192.168.1.11(代替)

②

役割【移行前】DC(GC)、DNS(fujitsu.local ゾーン)

【移行後】なし

コンピュータ名 2008R2DC-1

IP アドレス【移行前】192.168.1.21

【移行後】192.168.1.11

OS、SP Windows Server 2008 R2

DNS 127.0.0.1 (優先)、192.168.1.12(代替)

③

役割【移行前】なし

【移行後】DC(FSMO、GC)、DNS(fujitsu.local ゾーン)

コンピュータ名 2008R2DC-2

IP アドレス【移行前】192.168.1.22

【移行後】192.168.1.12


DNS 127.0.0.1 (優先)、192.168.1.11(代替)

④

役割【移行前】なし

【移行後】DC(GC)、DNS(fujitsu.local ゾーン)



表 2 ドメインメンバサーバ/クライアントの設定内容

番号項目内容

コンピュータ名 2003File

IP アドレス 192.168.1.30


DNS 192.168.1.11(優先)、192.168.1.12(代替)

⑤

役割ファイルサーバ

コンピュータ名 Win2000

IP アドレス 192.168.1.10１

OS、SP Windows 2000 Professional SP4

DNS 192.168.1.11(優先)、192.168.1.12(代替)

⑥

役割なし

コンピュータ名 WinXP

IP アドレス 192.168.1.102

OS、SP Windows XP Professional SP3

DNS 192.168.1.11(優先)、192.168.1.12(代替)

⑦

役割なし


IP アドレス 192.168.1.103

OS、SP Windows 7

DNS 192.168.1.11(優先)、192.168.1.12(代替)

⑧

役割なし



3.2 移行手順

移行方式「既存ドメインのバージョンアップ」による、ドメインの移行の詳細手順を紹介します。

3.2.1 フォレスト、ドメインのアップグレード

フォレストのアップグレード

本手順は、2000DC-1 で行います。

1 ドメインの管理者権限で、ログオンします。

2 万一の失敗に備えて、フォレストのアップグレード前に、サポートツールの『repadmin』を

用いて AD のレプリケーションを一時的に無効にすることをお勧めします。

サポートツールは Windows 2000 SP4 CD-ROM、もしくは以下のサイトで入手できます

http://www.microsoft.com/japan/windows2000/downloads/servicepacks/SP4/supp

orttools.mspx

3 コマンドプロンプトで、以下を実行します。

「repadmin /options 2000DC-1.fujitsu.local +DISABLE_OUTBOUND_REPL」

4 Windows Sever 2008 R2 のインストールメディアを DVD ドライブに挿入します。

5 コマンドプロンプトで以下を実行します。

「(DVD ドライブ名):\support\adprep

\adprep32 /forestprep」

実行すると、右のメッセージが表示され

ます。「ｃ」を入力します。Enter キーを押

下します。

※DC アップグレード前の環境が 64bit

の場合、上記コマンドの代わりに「(DVD

ドライブ名):\support\adprep\adprep

/forestprep」を実行します。

※Windows 2008 ドメインへの移行

(Windows Server 2008 のインストールメ

ディアを使用)の場合、上記コマンドの

代わりに「(DVD ドライブ名):\sources

\adprep\adprep /forestprep」を実行し

ます。

ADPREP の警告：

adprep を実行する前に、フォレスト内のすべ

ての Windows 2000 Active Directory ドメイ

ンコントローラーを Windows 2000 Service

Pack 4 （SP4）以降にアップグレードする必

要があります。

[ユーザーによる操作]

既存の Windows 2000 Active Directory ドメ

インコントローラーのすべてがこの要件を満

http://www.microsoft.com/japan/windows2000/downloads/servicepacks/SP4/supporttools.mspx�

http://www.microsoft.com/japan/windows2000/downloads/servicepacks/SP4/supporttools.mspx�



【参考】

adprep /forestprep は、スキーママスタ

の役割がある DC 上で行います。

たす場合は、C キーを押してから Enter

キーを押して続行してください。中止するに

は、その他のキーを押してから Enter キー

を押してください。

6 adprep /forestprep が正常に終了したら、無効にしていたレプリケーションを有効にしま

す。

コマンドプロンプトで、以下を実行します。

「repadmin /options 2000DC-1.fujitsu.local -DISABLE_OUTBOUND_REPL」

ドメインのアップグレード


ドメインのアップグレードを行うには、ドメイン操作モードが「ネイティブモード」である必要があ

ります。ドメイン操作モードが「混在モード」の場合は、以下の手順で「ネイティブモード」へ変更し

てください。

ネイティブモードへの変更

1 ネイティブモードに変更します。

「スタート」→「プログラム」→「管理ツー

ル」→「Active Directory ドメインと信頼

関係」をクリックします。

2 「Active Directory ドメインと信頼関係」

が表示されます。「Active Directory ドメ

インと信頼関係」→「fujitsu.local」を右ク

リックし、「プロパティ」をクリックします。



3 「fujitsu.local のプロパティ」が表示され

ます。「モードの変更」をクリックします。

4 右のメッセージが表示されます。「はい」

をクリックします。

5 「fujitsu.localのプロパティ」で、「OK」をク

リックします。

6 右のメッセージが表示されます。「OK」




ドメイン操作モードが「ネイティブ」であることを確認し、以下の手順でドメインのアップグレード

を行います。

ドメインのアップグレード

1 コマンドプロンプトで、以下を実行します。

「repadmin /options 2000DC-1.fujitsu.local +DISABLE_OUTBOUND_REPL」

2 Windows Sever 2008 R2 のインストールメディアを DVD ドライブに挿入します。

3 コマンドプロンプトで以下を実行します。

「(DVD ドライブ名):\support\adprep

\adprep32 /domainprep /gpprep」

※DC アップグレード前の環境が 64bit

の場合、上記コマンドの代わりに「(DVD

ドライブ名):\support\adprep\adprep

/domainprep /gpprep」を実行します。

※Windows 2008 ドメインへの移行

(Windows Server 2008 のインストールメ

ディアを使用)の場合、上記コマンドの

代わりに「(DVD ドライブ名):\sources

\adprep\adprep /domainprep /gpprep」

を実行します。

Domainprep を実行中．．．

Adprep はドメイン全体の情報を正しく更新し

ました。

．．

Adprep はグループポリシーオブジェクト

（GPO）情報を正しく更新しました。

4 adprep /domainprep /gpprep が正常に終了したら、無効にしていたレプリケーションを有

効にします。

コマンドプロンプトで、以下を実行します。

「repadmin /options 2000DC-1.fujitsu.local -DISABLE_OUTBOUND_REPL」



3.2.2 Windows Server 2008 R2 のDC追加

本手順は、2008R2DC-1、2008R2DC-2 で行います。

※事前に Windows Server 2008 R2 の OS インストールが完了していることを前提とします。な

お、DC 追加前に DNS をインストールしないでください。

※Windows Server 2008 の RTM 版には、AD の複製に関する重要な修正プログラムが公開さ

れています。(Windows Server 2008 R2 は、この修正プログラムを適用する必要はありませ

ん。)

http://support.microsoft.com/kb/949304/

導入前には、必ずマイクロソフト社の新情報を確認してください。

1 2008R2DC-1 を追加のドメインコントー

ラとして構築します。

「スタート」→「ファイル名を指定して実

行」をクリックします。

「dcpromo」と入力します。「ＯＫ」をクリッ

クします。

2 右のメッセージが表示されます。

http://support.microsoft.com/kb/949304/�



3 「Active Directory ドメインサービスイ

ンストールウィザードの開始」が表示さ

れます。「次へ」をクリックします。

4 「オペレーティングシステムの互換性」

が表示されます。「次へ」をクリックしま

す。

5 「展開の構成の選択」が表示されます。

「既存のフォレスト」、「既存のドメインに

ドメインコントローラを追加する」を選択

します。「次へ」をクリックします。

6 「ネットワーク資格情報」が表示されま

す。ドメイン名を入力します。「代替の資

格情報」の「設定」をクリックします。



7 「ネットワーク資格情報」が表示されま

す。追加先ドメインのドメイン管理者権

限を持つアカウントとパスワードを入力

します。「OK」をクリックします。

8 「ネットワーク資格情報」で、「次へ」をク


9 「ドメインの選択」が表示されます。ドメ

イン名を選択し、「次へ」をクリックしま

す。



※本シナリオは RODC 環境を構築しな

いため、「はい」をクリックし、ウィザード

を続行します。



11 「サイトの選択」が表示されます。サイト

名を選択し、「次へ」をクリックします。

12 「追加のドメインコントローラーオプ

ション」が表示されます。「DNS サー

バー」、「グローバルカタログ」のチェック

をオンにします。「次へ」をクリックしま

す。

※本シナリオでは、Windows Server

2008 R2 追加 DC を DNS、グローバルカ

タログとして構築します。



14 「データベース、ログファイル、および

SYSVOL の場所」が表示されます。

「次へ」をクリックします。



15 「ディレクトリサービス復元モード

Administrator パスワード」が表示されま

す。パスワードを入力します。「次へ」を

クリックします。

16 「概要」が表示されます。「次へ」をクリッ

クします。

17 DNS、ドメインサービスのインストールが

開始します。

「完了時に再起動する」にチェックを入

れます。

18 インストールが完了すると、コンピュータが再起動します。

19 手順 1～手順 18 と同様の手順で、2008R2DC-2 を追加します。



3.2.3 FSMOの転送

スキーママスタの転送


1 「スタート」→「ファイル名を指定して実


「regsvr32 schmmgmt.dll」と入力します。

「OK」をクリックします。

2 右のメッセージが表示されます。




「mmc」と入力します。「OK」をクリックし

ます。

4 「コンソール 1」が表示されます。「コン

ソール」メニューから、「スナップインの

追加と削除」をクリックします。

5 「スナップインの追加と削除」が表示さ

れます。「追加」をクリックします。



6 「スタンドアロンスナップインの追加」

が表示されます。「Active Directory ス

キーマ」をクリックします。「追加」をク

リックします。「閉じる」をクリックします。

7 「スナップインの追加と削除」で、「ＯＫ」


8 「コンソール１」に、「Active Directory ス

キーマ」が表示されます。「コンソール

ルート」→「Active Directory スキーマ」

を右クリックし、「ドメインコントローラの

変更」をクリックします。

9 「ドメインコントローラの変更」が表示さ

れます。「名前の指定」で、2008R2DC-1

の FQDN を入力します。「OK」をクリック

します。



10 「コンソール１」で、「コンソールルート」

→「Active Directory スキーマ」を右ク

リックし、「操作マスタ」をクリックします。

11 「スキーママスタの変更」が表示されま

す。「変更」をクリックします。





14 「スキーママスタの変更」で、「キャンセ

ル」をクリックします。



ドメイン名前付け操作マスタの転送


1 「スタート」→「プログラム」→「管理ツー

ル」→「Active Directory ドメインと信頼

関係」をクリックします。



インと信頼関係」を右クリックし、「ドメイ

ンコントローラに接続」をクリックしま

す。

3 「ドメインコントロ－ラに接続」が表示さ

れます。「2008R2DC-1.fujitsu.local」を

選択します。「OK」をクリックします。


で「Active Directory ドメインと信頼関

係」を右クリックし、「操作マスタ」をクリッ

クします。



5 「操作マスタの変更」が表示されます。

「変更」をクリックします。





8 「操作マスタの変更」で、「閉じる」をク




インフラストラクチャマスタ、PDC マスタ、RID マスタの転送



ル」→「Active Directory ユーザーとコ

ンピュータ」をクリックします。

2 「Active Directory ユーザーとコン

ピュータ」が表示されます。「Active

Directory ユーザーとコンピュータ」→

「(ドメイン名)」を右クリックし、「ドメインコ

ントローラに接続」をクリックします。

3 「ドメインコントロ－ラに接続」が表示さ

れます。「2008R2DC-1.fujitsu.local」を

選択します。「OK」をクリックします。


ピュータ」で「Active Directory ユーザー

とコンピュータ」→「(ドメイン名)」を右ク

リックし、「操作マスタ」をクリックします。



5 「操作マスタ」が表示されます。「インフ

ラストラクチャ」タブをクリックします。「変

更」をクリックします。





8 「操作マスタ」で、「PDC」タブをクリックし

ます。「変更」をクリックします。







11 「操作マスタ」で、「RID」タブをクリックし

ます。「変更」をクリックします。





14 「操作マスタ」で、「OK」をクリックしま

す。



3.2.4 Windows 2000 Server DCの降格

Windows 2000 Server DC の降格

本手順は、2000DC-1、2000DC-2 で行います。

1 2000DC-1 で、「スタート」→「ファイル名

を指定して実行」を選択します。

「dcpromo」と入力します。「ＯＫ」をクリッ

クします。

2 「Active Directory のインストールウィ

ザードの開始」が表示されます。「次へ」




4 「Active Directory の削除」が表示され

ます。「このサーバーはドメインの後

のドメインコントローラです」のチェック

がオフになっていることを確認します。


5 「Administrator のパスワード」が表示さ

れます。パスワードを入力します。「次

へ」をクリックします。



6 「概要」が表示されます。「次へ」をクリッ

クします。

7 AD のアンインストールが実行されま

す。

8 「Active Directory のインストールウィ

ザードの完了」が表示されます。「完了」


9 右のメッセージが表示されます。「再起

動する」をクリックし、再起動します。

10 再起動後、2000DC-1 をドメインメンバーから外し、ネットワーク上から撤去します。

11 手順 1～手順 10 と同様の手順で、2000DC-2 を降格します。



IP アドレスの変更

本手順は、2008R2DC-1、2008R2DC-2 で行います。

DC サーバでは、ほとんどの場合 DNS サーバの役割を兼務します。DC 兼 DNS サーバをドメ

インメンバサーバに降格した場合、ドメインメンバコンピュータの TCP/IP 設定によっては参照す

る DNS が存在しない状況になります。このような場合、ドメインメンバコンピュータは Active

Directory での認証要求が行えなくなります。

本手順では、移行前の DC で使用していた IP アドレスを、Windows Server 2008 R2 DC の IP

アドレスとすることで、これらの問題を解決します。以下のサーバで IP アドレスの変更を行いま

す。

サーバ変更前の IP アドレス変更後の IP アドレス

2008R2DC-1 192.168.1.21 192.168.1.11(2000DC-1で使用していたIPアドレス)

2008R2DC-2 192.168.1.22 192.168.1.12(2000DC-2で使用していたIPアドレス)

Windows 2000 Server DC の降格と IP アドレスの変更作業は、ドメインメンバコンピュータへの

影響が少ない業務時間外に実施することを推奨します。

Windows 2000 Server DC 降格後に IP アドレスを変更する方法は、次の方法が考えられます。

お客様の環境や要件に合わせて変更方法を選択してください。

IP アドレス変更方法説明

①新規 DC の IP アドレスを変更新規 DC の IP アドレスを、移行前の DC で使用していた

IP アドレスに変更します。ドメインメンバコンピュータの

TCP/IP 設定を変更する必要がないため、大規模な環境

に適な方法です。

②ドメインメンバコンピュータの

TCP/IP 設定を変更

ドメインメンバコンピュータの TCP/IP の設定で、DNS

サーバの IP アドレスを新規 DC のアドレスに変更します。

全ドメインメンバコンピュータの設定変更が必要になりま

す。

静的に DNS の IP アドレスを設

定している場合

ドメイン内の全ドメインメンバコンピュータの TCP/IP 設定

を手動で変更する必要があります。

DHCPサーバでDNSサーバの

IPアドレスを配布している場合

DHCP サーバのネットワークオプションで、DNS サーバの

IP アドレス情報を変更します。ドメインメンバコンピュータ

では、DHCP サーバから DNS サーバの IP アドレス情報を

再取得する必要があります。

POINT!



3.2.5 ドメイン／フォレストの機能レベルの変更

ドメイン機能レベルの変更

本手順は、2008R2DC-1 で行います。

1 ドメイン機能レベルを変更します。

「スタート」→「管理ツール」→「サーバーマネージャー」をクリックします。

2 「サーバーマネージャー」が表示されま

す。「サーバーマネージャー(サーバ名)」

→「役割」→「Active Directory ドメイン

サービス」→「Active Directory ユー

ザーとコンピューター」→「fujitsu.local」

を右クリックし、「ドメインの機能レベル

の昇格」をクリックします。

3 「ドメインの機能レベルの昇格」が表示

されます。「利用可能なドメインの機能

レベルを選択してください」で、

「Windows Server 2008 R2」を選択しま

す。「上げる」をクリックします。





6 再度、手順 2 を実行し、ドメインの機能

レベルが「Windows Server 2008 R2」に

なっていることを確認します。

「閉じる」をクリックします。



フォレスト機能レベルの変更


1 フォレスト機能レベルを変更します。

「スタート」→「管理ツール」から「Active Directory ドメインと信頼関係」をクリックします。



インと信頼関係」を右クリックし、「フォレ

ストの機能レベルの昇格」をクリックしま

す。

3 「フォレストの機能レベルの昇格」が表

示されます。「利用可能なフォレストの

機能レベルを選択してください」で、

「Windows Server 2008 R2」を選択しま

す。「上げる」をクリックします。





6 再度、手順 2 を実行し、フォレストの機

能レベルが「Windows Server 2008 R2」

になっていることを確認します。




3.2.6 SYSVOL複製方式の変更


Windows 2000 ドメインでは、FRS(File Replication Service)を使用して SYSVOL を複製します。

Windows Server 2003 R2 以降の DC 間では、FRS の後継にあたる DFSR(Distributed File System

Replication)を使用可能ですが、Windows 2000 ドメインから Windows Server 2008 R2 に移行した

場合、複製には引き続き FRS を使用します。DFSR を使用するためには、コマンドラインツールを

使用して手動で変更する必要があります。

DFSR を使用することで複製によるネットワーク負荷を下げ、より高速に SYSVOL の複製が可

能になります。

1 現在の DFSR 移行のグローバル状態を

取得します。

コマンドプロンプトで、以下を実行しま

す。

「dfsrmig /GetGlobalState」


ます。

DFSR 移行がまだ初期化されていません。

移行を開始するには、グローバル状態を目

的の値に設定してください。

2 DFSR 移行のグローバル状態を「開始」

に設定します。


す。

「dfsrmig /SetGｌobalState 0」


ます。

AD に、DFSR に必要なオブジェクトやク

ラスが作成されます。

DFSR の現在のグローバル状態： ’開始’

新しい DFSR のグローバル状態： ’開始’

無効な状態変更が要求されました。



3 現在の DFSR 移行のグローバル状態を

取得します。


す。

「dfsrmig /GetGlobalState」


ます。


成功しました。

4 グローバル状態が「開始」になっている

ことを確認します。


す。

「dfsrmig /GetMigrationState」


ます。

他のドメインコントローラと整合性が取

れていることを確認します。

すべてのドメインコントローラーがグローバ

ル状態（’開始’）に移行しました。

移行状態が、すべてのドメインコントロー

ラー上で整合性のとれた状態になりました。


5 DFSR 移行のグローバル状態を「準備

完了」に設定します。


す。

「dfsrmig /SetGlobalState 1」


ます。


新しい DFSR のグローバル状態： ’準備完

了’

’準備完了’状態に移行します。DFSR サー

ビスによって SYSVOL が SYSVOL_DFSR

フォルダーにコピーされます。

いずれかの DC で移行を開始できない場合

は、手動ポーリングを試行してください。

移行は 15 分から 1 時間までの任意の時

点で開始できます。




6 移行準備の状況をイベントログで確認します。

「スタート」→「管理ツール」→「サーバーマネージャー」をクリックします。

7 「サーバーマネージャー」が表示されま

す。「サーバーマネージャー(サーバ

名)」→「診断」→「イベントビューア」→

「アプリケーションとサービスログ」→

「DFS Replication」をクリックします。イ

ベント ID 8010（移行準備開始）、8014

（移行準備完了）が表示されることを確

認します。

8 すべてのドメインコントローラが移行準

備完了になっているか確認します。


す。



ます。


ル状態（’準備完了’）に移行しました。

移行状態が、すべてのドメインコントロー

ラー上で整合性のとれた状態になりました。




移行準備が完了すると、C:\Windows

配下に SYSVOL_DFSR フォルダが作成

され、C:\Windows\SYSVOL から

C:\Windows\SYSVOL_DFSR フォルダ

に、必要なファイルが複製されます。

9 DFSR 移行のグローバル状態を「リダイ

レクト済み」に設定します。


す。



ます。

DFSR の現在のグローバル状態： ’準備完

了’

新しい DFSR のグローバル状態： ’リダイレ

クト済み’

’リダイレクト済み’状態に移行します。

SYSVOL 共有が、DFSR を使用してレプリ

ケートされた SYSVOL_DFSR フォルダーに変

更されます。


10 リダイレクトの状況をイベントログで確

認します。

「サーバーマネージャー」で、

「サーバーマネージャー(サーバ名)」→

「診断」→「イベントビューア」→「アプリ

ケーションとサービスログ」→「DFS

Replication」をクリックします。イベント

ID 8015（リダイレクト処理開始）、8017

（リダイレクト処理完了）が表示されるこ

とを確認します。

リダイレクト処理が完了すると、DFSR

の複製が開始され、C:Windows

\SYSVOL_DFSR を複製します。



DFSR のグローバル状態が「削除済み」

となっていないため、FRS 複製も実行さ

れています。

11 DFSR のグローバル状態を「削除済み」

にします。


す。


※このコマンドを実行後は、複製フォル

ダを元に戻すことはできません。


ます。

DFSR の現在のグローバル状態： ’リダイレ

クト済み’

新しい DFSR のグローバル状態：’削除済

み’

’削除済み’状態に移行します。このステップ

を元に戻すことはできません。

いずれかの RODC が長時間にわたって ’

削除済み’ 状態になっている場合は、

/DeleteRoNtfrsMembers オプションを指定し

て実行してください。


12 削除済みになったことを、イベントログ

で確認します。

「サーバーマネージャー」で、

「サーバーマネージャー(サーバ名)」→

「診断」→「イベントビューア」→「アプリ

ケーションとサービスログ」→「DFS

Replication」をクリックします。イベント

ID 8018（削除済み開始）、8019（削除済

みリダイレクト処理完了）が表示される

ことを確認します。



13 以下のコマンドを実行し、他のドメインコ

ントローラも「削除済み」になったかどう

かを確認します。


す。



ます。


ル状態（’削除済み’）に移行しました。移行

状態が、すべてのドメインコントローラー上

で整合性のとれた状態になりました。


以上でドメイン移行作業は完了です。移行完了後は稼働確認を行ってください。



4 新規ドメイン構築&アカウント移行手順

本章では、移行方式「新規ドメイン構築&アカウント移行」を選択して、Windows 2000 ドメインから

Windows 2008 ドメインへ移行する手順を紹介します。

4.1 移行環境

本章で紹介する移行手順は、以下の環境における移行を想定しています。

図 2 「新規ドメイン構築&アカウント移行」の移行環境

既存ドメイン(fujitsu.local)とは別に、新規ドメイン(fujitsu2.co.jp)を別フォレストとして作成し、ユー

ザアカウント、コンピュータアカウントを移行します。ユーザアカウントの移行時に、SID も併せて移

行することで、新規ドメインに移行したアカウントで、引き続き既存ドメインのリソース(ファイルサー

バなど)にアクセスできます。本書では以下のアカウントを移行対象とします。

【ユーザアカウント】【コンピュータアカウント】

・User-2003File ・Win 2000

・User-Win2000 ・WinXP

・User-WinXP ・2003File

図 2 のサーバ／クライアントの設定内容を、以下の表に示します（表 3、表 4）。



表 3 DC サーバの設定内容

番号項目内容


IP アドレス 192.168.1.11


DNS 【移行前】127.0.0.1(優先)、192.168.1.12(代替)

【移行時】127.0.0.1(優先)、192.168.1.21(代替)

①

役割 DC(FSMO、GC)、DNS(fujitsu.local ゾーン、移行時は

セカンダリゾーンに fujitsu2.co.jp を追加)


IP アドレス 192.168.1.12


DNS 127.0.0.1 (優先)、192.168.1.11(代替)

②

役割 DC(GC)、DNS(fujitsu.local ゾーン)


IP アドレス 192.168.1.21

OS、SP Windows Server 2008

DNS 【移行時】127.0.0.1(優先)、192.168.1.11(代替)

【移行後】127.0.0.1(優先)、192.168.1.22(代替)

③

役割 DC(FSMO、GC)、DNS(fujitsu2.co.jp ゾーン、移行時

はセカンダリゾーンに fujitsu.local を追加)


IP アドレス 192.168.1.22


DNS 127.0.0.1 (優先)、192.168.1.21(代替)

④

役割 DC(GC)、DNS(fujitsu2.co.jp ゾーン)



表 4 ドメインメンバサーバ/クライアントの設定内容

番号項目内容

コンピュータ名 2003File

IP アドレス 192.168.1.30


DNS 【移行前】192.168.1.11(優先)、192.168.1.12(代替)

【移行時】192.168.1.11(優先)、192.168.1.21(代替)

【移行後】192.168.1.21(優先)、192.168.1.22(代替)

⑤

役割ファイルサーバ


IP アドレス 192.168.1.10１

OS、SP Windows 2000 Professional SP4

DNS 【移行前】192.168.1.11(優先)、192.168.1.12(代替)

【移行時】192.168.1.11(優先)、192.168.1.21(代替)

【移行後】192.168.1.21(優先)、192.168.1.22(代替)

⑥

役割なし

コンピュータ名 WinXP

IP アドレス 192.168.1.102

OS、SP Windows XP Professional SP3

DNS 【移行前】192.168.1.11(優先)、192.168.1.12(代替)

【移行時】192.168.1.11(優先)、192.168.1.21(代替)

【移行後】192.168.1.21(優先)、192.168.1.22(代替)

⑦

役割なし

コンピュータ名 2008ADMT

IP アドレス 192.168.1.31


DNS 【移行時】192.168.1.21(優先)、192.168.1.11(代替)

【移行後】192.168.1.21(優先)、192.168.1.22(代替)

⑧

役割 ADMT サーバ



4.2 移行手順

移行方式「新規ドメイン構築&アカウント移行」による、ドメインの移行の詳細手順を紹介します。

4.2.1 新規ドメインの新規構築

本手順は、2008DC-1、2008DC-2 で行います。

Windows Server 2008 で新規にドメインを構築します。ADMT3.1 を使用した移行では、新規ドメ

インの機能レベルが以下のいずれかである必要があります。

・Windows 2000 ネイティブ

・Windows Server 2003

・Windows Server 2008

下位の機能レベルは移行期間中に使用するものであり、ドメインまたはフォレスト内に古い

バージョンの DC を設置する必要がない場合は機能レベルを「Windows Server 2008」にすること

を推奨します。

4.2.2 信頼関係の構築

既存ドメインと新規ドメインの間で信頼関係を構築します。信頼関係は一方向だけでも移行は

可能ですが、移行時の手順が煩雑になるため、本書では双方向の信頼関係を構築する手順を

紹介します。

(1)DNS サーバの指定

TCP/IP の設定で、既存ドメインの DC サーバでは新規ドメインの DNS サーバを、新規ドメイ

ンの DC サーバでは既存ドメインの DNS サーバを指定します。


「インターネットプロトコル (TCP/IP)の

プロパティ」を表示します。「代替 DNS

サーバー」に、新規ドメインの DNS サー

バの IP アドレスを入力します。




「インターネットプロトコルバージョン

4 (TCP/IPv4)のプロパティ」を表示しま

す。「代替 DNS サーバー」に、既存ドメ

インの DNS サーバの IP アドレスを入力

します。

(2)セカンダリゾーンの登録

既存ドメインと新規ドメインの間に信頼関係を構築するために、既存/新規ドメインの DNS

サーバで以下のゾーン情報を持つ必要があります。

・既存ドメインの DNS サーバ：新規ドメインの DNS ゾーン情報

・新規ドメインの DNS サーバ：既存ドメインの DNS ゾーン情報

DNS ゾーンは「セカンダリゾーン」として作成し、ゾーン転送を行います。

■既存ドメインの DNS サーバに新規ドメインのセカンダリゾーンを作成

新規ドメインの DNS サーバでゾーン転送の許可を設定し、既存ドメインの DNS サーバで新

規ドメインのセカンダリゾーンを作成します。


1 ドメイン管理者権限でサーバにログインします。

2 「スタート」→「サーバーマネージャ」を




3 「サーバーマネージャ」が表示されま

す。左ペインの「サーバーマネージャ

(サーバ名)」-「役割」-「DNS サーバー」

-「DNS」-「(DNS サーバ名)」-「前方参照

ゾーン」-「(新規ドメインのゾーン名)」を

右クリックし、「プロパティ」をクリックしま

す。

4 「(新規ドメインのゾーン名) のプロパ

ティ」が表示されます。「ゾーンの転送」

タブを選択します。「ゾーン転送を許可

するサーバー」にチェックを入れます。

「次のサーバーのみ」を選択します。「編

集」をクリックします。

5 「ゾーン転送を許可する」が表示されま

す。「<ここをクリックして IP アドレスま

たは DNS 名を追加してください>」に既

存ドメインのDNSサーバのIPアドレスを

入力します。「OK」をクリックします。

※IP アドレス入力後に、一度別の場所

をポイントしてください。入力した IP アド

レスの検証が行われ、OK ボタンがク

リック可能になります。この時点では、

検証結果は NG となりますが、問題あり

ません。




ティ」で「OK」をクリックします。




ル」→「DNS」をクリックします。

3 「DNS」が表示されます。左ペインの

「DNS」-「(DNS サーバ名)」-「前方参照

ゾーン」を右クリックし、「新しいゾーン」




4 「新しいゾーンウィザードの開始」が表

示されます。「次へ」をクリックします。

5 「ゾーンの種類」が表示されます。「標準

セカンダリ」を選択します。「次へ」をク


6 「ゾーン名」が表示されます。「名前」に

新規ドメインのゾーン名を入力します。


7 「マスタ DNS サーバー」が表示されま

す。「IP アドレス」に新規ドメインの DNS

サーバの IP アドレスを入力します。「追

加」をクリックします。「IP アドレス」の下

のテキストボックスに入力した IP アドレ

スが表示されます。「次へ」をクリックし

ます。

8 「新しいゾーンウィザードの完了」が表

示されます。「完了」をクリックします。



9 「DNS」の「DNS」-「(DNS サーバ名)」-

「前方参照ゾーン」に新規ドメインの

ゾーン(セカンダリゾーン)が作成され、

ゾーン情報が転送されている事を確認

します。

※ゾーン情報が転送されるまで、数分

時間がかかることがあります。

■新規ドメインの DNS サーバに既存ドメインのセカンダリゾーンを作成

新規ドメインの DNS サーバで既存ドメインのセカンダリゾーンを作成します。

※Windows 2000 Server の DNS では、既定ですべてのサーバにゾーン転送を許可していま

す。設定変更などでゾーン転送の許可が無効になっている場合は、有効にしてください。









ゾーン」を右クリックし、「新しいゾーン」




4 「新しいゾーンウィザードの開始」が表


5 「ゾーンの種類」が表示されます。「セカ

ンダリゾーン」を選択します。「次へ」を


6 「ゾーン名」が表示されます。「ゾーン

名」に既存ドメインのゾーン名を入力し

ます。「次へ」をクリックします。

7 「マスタ DNS サーバー」が表示されま

す。「IP アドレス」に既存ドメインの DNS

サーバの IP アドレスを入力します。「次


8 「新しいゾーンウィザードの完了」が表

示されます。「完了」をクリックします。



9 「サーバーマネージャ」の「サーバー

マネージャ(サーバ名)」-「役割」-「DNS

サーバー」-「DNS」-「(DNS サーバ名)」-

「前方参照ゾーン」に既存ドメインの

ゾーン(セカンダリゾーン)が作成され、

ゾーン情報が転送されている事を確認

します。

(3)信頼関係の構築

既存ドメインと新規ドメインの間に「外部の信頼」を双方向に構築します。



2 「スタート」→「管理ツール」→「Active

Directory ドメインと信頼関係」をクリッ

クします。


が表示されます。左ペインの「Active

Directory ドメインと信頼関係」-「(新規

ドメイン名)」を右クリックし、「プロパティ」




4 「(新規ドメイン名)のプロパティ」が表示

されます。「信頼」タブをクリックします。

「新しい信頼」をクリックします。

5 「新しい信頼ウィザードの開始」が表示

されます。「次へ」をクリックします。

6 「信頼の名前」が表示されます。「名前」

に既存ドメイン名を入力します。「次へ」


7 「信頼の種類」が表示されます。「外部

の信頼」を選択します。「次へ」をクリック

します。

8 「信頼の方向」が表示されます。「双方

向」を選択します。「次へ」をクリックしま

す。



9 「信頼の方向」が表示されます。「このド

メインと指定されたドメインの両方」を選

択します。「次へ」をクリックします。

10 「ユーザー名とパスワード」が表示され

ます。既存ドメインのドメイン管理者アカ

ウントとパスワードを入力します。「次


11 「出力方向の信頼認証レベル -- ロー

カルドメイン」が表示されます。「ドメイ

ン全体の認証」を選択します。「次へ」を


12 「信頼の選択の完了」が表示されます。


13 「信頼の作成完了」が表示されます。




14 「出力方向の信頼の確認」が表示され

ます。「確認する」を選択します。「次へ」


15 「入力方向の信頼の確認」が表示され

ます。「確認する」を選択します。「次へ」


16 「新しい信頼ウィザードの完了」が表示

されます。「完了」をクリックします。

17 「Active Directory ドメインサービス」

が表示されます。「OK」をクリックしま

す。

18 「(新規ドメイン名)のプロパティ」で「OK」




4.2.3 ADMTサーバの構築

ADMT は移行先のドメインメンバで Windows Server 2008 を実行するサーバにインストールす

る必要があります。DC サーバに ADMT をインストールすることも可能ですが、本書では ADMT

用のメンバサーバを新規に構築する手順を紹介します。

本手順は、2008ADMT で行います。

(1)Windows Server 2008 インストールと初期設定

■Windows Server 2008 インストール

Windows Server 2008 をインストールします。ADMT は Server Core インストールや

RODC(Read-Only Domain Controller)として構成したサーバにはインストールできません。

■ネットワーク設定

TCP/IP の設定で、既存ドメインと新規ドメインの DNS サーバを設定します。

「インターネットプロトコルバージョン

4 (TCP/IPv4)のプロパティ」で新規/既

存ドメインのDNSサーバのIPアドレスを

入力します。

■新規ドメインへの参加

新規ドメインに参加します。



(2)ADMT のインストール

1 ローカル管理者権限でサーバにログインします。

2 Active Directory 移行ツールのインス

トールモジュール(admtsetup31.exe)を

実行します。

3 「開いているファイル – セキュリティの

警告」が表示されます。「実行」をクリッ

クします。

4 「Active Directory 移行ツールのインス

トールの開始」が表示されます。「次へ」


5 「使用許諾契約書」が表示されます。

「同意する」を選択します。「次へ」をク




6 「カスタマエクスペリエンス向上プログ

ラム」が表示されます。「今回はプログラ

ムに参加しません」を選択します。「次


7 「コンポーネントを構成しています」が表

示されます。

8 「データベースの選択」が表示されま

す。「ローカルの SQL Server 2005

Express Edition を使用する」を選択しま

す。「次へ」をクリックします。

9 「データベースのインポート」が表示され

ます。「いいえ、既存のデータベースか

らデータをインポートしません(既定)」を

選択します。「次へ」をクリックします。



10 「データベースのインポートの進行状

況」が表示されます。

11 「Active Directory 移行ツールバー

ジョン 3.1 は正常にインストールされま

した。」が表示されます。「完了」をクリッ

クします。

(3)ADMT 使用前の初期設定

ADMT を使用してアカウント情報を移行する前に、以下の初期設定を行う必要があります。

・SID の履歴監査を行うローカルグループの作成

・アカウント管理の監査ポリシーの有効化

・TCP/IP クライアントサポートの有効化

■SID の履歴監査を行うローカルグループの作成

本手順は、2000-DC1 で行います。








ピュータ」が表示されます。左ペインの

「Active Directory ユーザーとコン

ピュータ」-「(既存ドメイン名)」-「Users」

を右クリックし、「新規作成」-「グルー

プ」をクリックします。

4 「新しいオブジェクト – グループ」が表

示されます。グループ名に「(既存ドメイ

ンの NetBIOS 名)$$$」を入力します。グ

ループの範囲で「ドメインローカル」を

選択します。グループの種類で「セキュ

リティ」を選択します。「OK」をクリックし

ます。

■アカウント管理の監査ポリシーの有効化

※本書では既定のポリシー(Default Domain Controllers Policy)を直接編集する手順で記載し

ています。

既定のポリシーオブジェクトには手を加えない管理ポリシーの場合は、ドメインコントローラ

コンテナにリンクされた適切なポリシーオブジェクトに読み換えてください。




ル」→「ドメインコントローラセキュリ

ティポリシー」をクリックします。



3 「ドメインコントローラセキュリティポ

リシー」が表示されます。左ペインの

「Windows の設定」-「セキュリティの設

定」-「ローカルポリシー」‐「監査ポリ

シー」をクリックします。右ペインの「アカ

ウント管理の監査」をダブルクリックしま

す。

4 「セキュリティポリシーの設定」が表示

されます。「これらのポリシーの設定を

定義する」にチェックを入れます。「成

功」「失敗」にチェックを入れます。「OK」




2 「スタート」→「管理ツール」→「グループ

ポリシーの管理」をクリックします。

3 「グループポリシーの管理」が表示さ

れます。左ペインの「グループポリシー

の管理」-「フォレスト: (新規フォレスト

名)」-「ドメイン」-「(ドメイン名)」-「グルー

プポリシーオブジェクト」-「Default

Domain Controllers Policy」を右クリック

し、「編集」をクリックします。



4 「グループポリシー管理エディタ」が表

示されます。左ペインの「Default

Domain Controllers Policy ［(DC の

FQDN)］ポリシー」-「コンピュータの構

成」-「ポリシー」-「Windows の設定」-

「セキュリティの設定」-「ローカルポリ

シー」－「監査ポリシー」をクリックしま

す。右ペインの「アカウント管理の監査」

をダブルクリックします。

5 「アカウント管理の監査のプロパティ」が

表示されます。「セキュリティポリシー

の設定」タブを選択します。「これらのポ

リシーの設定を定義する」にチェックを

入れます。「成功」「失敗」にチェックを入

れます。「OK」をクリックします。

6 グループポリシーの変更を反映させる

ため、コマンドプロンプトで以下を実行し

ます。「gpupdate /target:computer」


ます。

ポリシーを新の情報に更新していま

す．．．

コンピュータポリシーの更新が正常に完了

しました。



■TCP/IP クライアントサポートの有効化


※本手順は、既存ドメインで「PDC エミュレータ」の役割を担うサーバで行ってください。




3 「ファイル名を指定して実行」が表示さ

れます。名前に「regedit」を入力します。

「OK」をクリックします

4 「レジストリエディタ」が表示されます。

以下のレジストリサブキーに移動しま

す。

HKEY_LOCAL_MACHINE\SYSTEM\Cur

rentControlSet\Control\Lsa

「Lsa」レジストリサブキーを右クリック

し、「新規」-「DWORD 値」をクリックしま

す。

5 右ペインにレジストリキー「New Value

#1」が新規に作成されます。名前を

「TcpipClientSupport」、値(データ)を「1」

に変更します。

6 レジストリと前記の「アカウント管理の監査ポリシー」の変更を反映させるため、サーバ

を再起動します。



(4)移行用アカウントの作成

ADMT を使用して移行を行うには、ドメインやローカルマシンで多くの権限を必要とします。移

行をスムーズに行うために、移行専用のアカウントを作成します。

本書では、既存ドメインに以下の権限を持つ移行用ユーザアカウント「MigUser」を作成しま

す。

・既存ドメイン：Domain Admins グループ

・新規ドメイン：Administrators グループ

・ADMT サーバ：Administrators グループ

移行に必要な権限の詳細は以下 URL を参照してください。

・マイクロソフト「移行用の移行アカウントの作成」

http://technet.microsoft.com/ja-jp/library/cc974398(WS.10).aspx

■移行用ユーザアカウント作成と既存ドメインでの権限設定







ピュータ」が表示されます。左ペインの

「Active Directory ユーザーとコン

ピュータ」-「(既存ドメイン名)」-「Users」

を右クリックし、「新規作成」-「ユー

ザー」をクリックします。

http://technet.microsoft.com/ja-jp/library/cc974398(WS.10).aspx�



4 「新しいオブジェクト –ユーザー」が表示

されます。移行用アカウント(本書では

「MigUser」)の情報を入力します。「次



ピュータ」の左ペインの「Active

Directory ユーザーとコンピュータ」-

「(既存ドメイン名)」-「Users」をクリックし

ます。右ペインの「Domain Admins」をダ

ブルクリックします。

6 「Domain Admins のプロパティ」が表示さ

れます。「メンバ」タブを選択します。「追

加」をクリックします。

7 「ユーザー、連絡先、またはコンピュー

タの選択」が表示されます。「名前」から

移行用アカウント(MigUser)を選択しま

す。「追加」をクリックします。「OK」をク




8 「Domain Admins のプロパティ」で「OK」


■新規ドメインでの権限設定







(サーバ名)」-「役割」-「Active Directory

ドメインサービス」-「Active Directory

ユーザーとコンピュータ」-「(新規ドメイ

ン名)」-「Builtin」クリックします。右ペイ

ンで「Administrators」をダブルクリックし

ます。



4 「Administrators のプロパティ」が表示さ

れます。「メンバ」タブをクリックします。

「追加」をクリックします。

5 「ユーザー、連絡先、コンピュータまた

はグループの選択」が表示されます。

「場所」をクリックします。

6 「場所」が表示されます。「場所」で既存

ドメイン名をクリックします。「OK」をク


7 「ユーザー、連絡先、コンピュータまた

はグループの選択」で移行用アカウ

ント(MigUser)を入力します。「OK」をク


8 「Administrators のプロパティ」で「OK」を




■ADMT サーバでの権限設定







(サーバ名)」-「構成」-「ローカルユー

ザーとグループ」-「グループ」クリックし

ます。右ペインで「Administrators」をダ

ブルクリックします。

4 「Administrators のプロパティ」が表示さ

れます。「追加」をクリックします。

5 「ユーザー、コンピュータまたはグ

ループの選択」が表示されます。「場

所」をクリックします。



6 「場所」が表示されます。「場所」で既存

ドメイン名をクリックします。「OK」をク


7 「ユーザー、コンピュータまたはグ

ループの選択」で移行用アカウント

(MigUser)を入力します。「OK」をクリック

します。

8 「Administrators のプロパティ」で「OK」を




4.2.4 暗号化ツールのインストールと設定

ADMT では、PES(Password Export Server)サービスを使用することでパスワードの移行が可

能になります。PES は以下 URL よりダウンロード可能です。

・マイクロソフト「Password Export Server version 3.1 (x86) - 日本語」

http://www.microsoft.com/downloads/details.aspx?familyid=F0D03C3C-4757-40FD-8306-

68079BA9C773&displaylang=ja

(1)PES 暗号化キーの作成



2 「スタート」→「コマンドプロンプト」を右

クリックし、「管理者として実行」をクリッ

クします。

3 「管理者：コマンドプロンプト」が表示さ

れます。以下のコマンドを実行します。

「admt key /option:create

/sourcedomain:(既存ドメイン名)

/keyfile:C:\share\key.pes

/keypassword：(パスワード)」

※本書では、事前に作成した

「C:\share」フォルダに「key.pes」という

ファイル名でパスワードエクスポート

サーバ暗号化キーを出力します。


ます。

ドメイン ‘(既存ドメイン名)’用のパスワード

エクスポートサーバー暗号化キーが正しく

作成され、 ‘C:\share\key.pes’に保存され

ました。

http://www.microsoft.com/downloads/details.aspx?familyid=F0D03C3C-4757-40FD-8306-68079BA9C773&displaylang=ja�

http://www.microsoft.com/downloads/details.aspx?familyid=F0D03C3C-4757-40FD-8306-68079BA9C773&displaylang=ja�



(2)PES サービスの構成


※事前に「4.2.4 節(1)PES 暗号化キーの作成」で作成した PES 暗号化キーを 2000DC-1 サー

バの任意のローカルフォルダ(本書では C:\share)に移動します。

1 移行用アカウントでサーバにログインします。

2 PES インストールモジュール

(pwdmig.msi)を実行します。

3 「ADMT パスワード移行 DLL インス

トールウィザードの開始」が表示されま

す。「次へ」をクリックします。

4 「使用許諾契約書」が表示されます。

「使用許諾契約書に同意します」を選択

します。「次へ」をクリックします。



5 「暗号化ファイル」が表示されます。「参

照」をクリックします。

6 「ファイルを開く」が表示されます。「4.2.6

節(1)PES 暗号化キーの作成」で作成し

たパスワード暗号化ファイル(pes ファイ

ル)を選択します。「開く」をクリックしま

す。

7 「暗号化ファイル」で「次へ」をクリックし

ます。

8 「暗号化キーのパスワードを指定してく

ださい」が表示されます。「4.2.6 節

(1)PES 暗号化キーの作成手順 3」で設

定したパスワードを入力します。「次へ」




9 「インストールの開始」が表示されます。


10 「システムの更新」が表示されます。

11 「パスワードエクスポートサーバー

サービスはローカルシステムアカウン

トまたは指定されたユーザーアカウン

トで実行できます。」が表示されます。

「ログオン」を選択し、移行用アカウント

とパスワードを入力します。「OK」をク


12 「アカウント’(移行用アカウント)’はサー

ビスとしてログオンする権利を付与され

ました。」が表示されます。「OK」をクリッ

クします。

13 「ADMT パスワード移行 DLL のインス

トールの完了」が表示されます。「完了」




14 「インストーラ情報」が表示されます。

「はい」をクリックします。サーバが再起

動します。

※PES サービスは既定で停止しています。ADMT を使用してパスワードを移行する際に PES

サービスを手動で起動してください。また、パスワード移行後は PES サービスを手動で停止

してください。



4.2.5 アカウント移行

ADMT のウィザードを使用して既存ドメインのアカウントを新規ドメインへ移行します。ADMT で

は以下のドメインオブジェクトの移行が可能です。

・ユーザーアカウント

・コンピュータアカウント

・グループアカウント

※本書では「ユーザー」「コンピュータ」の移行手順を紹介します。

・「連絡先」、「プリンタ」、「共有フォルダ」などのドメインオブジェクトは ADMT を使用して移行で

きません。移行先ドメインにドメインオブジェクトを新規作成する必要があります。

・「OU」は ADMT を使用して移行できません。移行元ドメインと移行先ドメインを同じ OU 構成に

する場合は、移行元ドメインと同じ構成で移行先ドメインに OU を作成し、ADMT の移行ウィ

ザードを使用して OU 内のドメインオブジェクトを適宜移行します。

・「グループポリシー」は ADMT を使用して移行できません。グループポリシーは、ドメイン移行

を機に見直しを兼ねて新規作成するケースが多くあります。

グループポリシーの移行を行う場合は、「グループポリシー管理エディタ」を使用して移行元

ドメインのグループポリシーを移行先ドメインにコピーします。詳細な手順は以下 URL 参照

してください。

グループポリシーオブジェクトのバックアップ、復元、インポート、およびコピーを行う

(マイクロソフト)

http://technet.microsoft.com/ja-jp/library/cc754760(WS.10).aspx

また、ADMT では上記ドメインのアカウント以外にも、表 5 に紹介するサーバ/コンピュータ情

報を変換できます。

表 5 ADMT のウィザードで変換可能な項目

変換項目説明

ファイルとフォルダ

プリンタ

レジストリ

共有

移行対象サーバ/コンピュータの左記オブジェクトへのアクセス権に、

移行先ドメインのアカウントを含めます。

ローカルグループ移行対象サーバ/コンピュータのローカルグループメンバに、移行先

ドメインのアカウントを含めます。

ユーザプロファイル移行元のユーザアカウントで使用していたユーザプロファイルを移行

先のドメインユーザアカウントで継続して使用できるよう変換します。

ユーザ権利移行元のサーバ/コンピュータに設定されているユーザ権利を移行先

ドメインのものに変換します。

POINT!

http://technet.microsoft.com/ja-jp/library/cc754760(WS.10).aspx�



(1)ユーザアカウントの移行

ユーザアカウントを SID の履歴を含めて移行します。SID の履歴を含めて移行することで、

移行前にアクセス可能だった既存ドメインのリソースへ引き続きアクセスできます。本書では

ユーザアカウント「User-2003File」「User-Win2000」「User-WinXP」の移行を行います。

・ユーザがグループに所属している場合は、事前に ADMT の「グループアカウントの移行

ウィザード」を使用してグループアカウントを新規ドメインに移行します。ユーザアカウント

移行時にユーザアカウントが所属するグループアカウントのメンバーシップを自動更新す

ることで、新規ドメインでもユーザアカウントの所属グループが保持されます。

・ユーザアカウント移行時にユーザアカウントのパスワードも併せて移行する場合は、既存

ドメインの DC(2000DC-1)で「パスワードエクスポートサーバーサービス」を手動で起動

する必要があります。


1 既存ドメインで作成した移行用アカウントで、新規ドメインにログオンします。


Directory 移行ツール」をクリックしま

す。

3 「ユーザーアカウント制御」が表示され

ます。「続行」をクリックします。

※UAC(User Access Control)が無効に

なっている場合は表示されません。

POINT!



4 「Active Directory 移行ツール」が表示

されます。左ペインの「Active Directory

移行ツール」を右クリックし、「ユーザー

アカウントの移行ウィザード」をクリック

します。

5 「ユーザーアカントの移行ウィザードの

開始」が表示されます。「次へ」をクリッ

クします。

6 「ドメインの選択」が表示されます。「移

行元」では既存ドメインのドメイン名を入

力し、既存ドメインの DC をプルダウンメ

ニューから選択します。「移行先」では

新規ドメインのドメイン名を入力し、新規

ドメインの DC をプルダウンメニューから


7 「ユーザーの選択オプション」が表示さ

れます。「ユーザーをドメインから選択」

を選択します。「次へ」をクリックします。

8 「ユーザーの選択」が表示されます。




9 「ユーザーの選択」が表示されます。

移行対象のユーザアカウントを入力し

ます。「OK」をクリックします。

10 「ユーザーの選択」で「次へ」をクリックし

ます。

11 「組織単位の選択」が表示されます。

「参照」をクリックします。

12 「コンテナの参照」が表示されます。

ユーザアカウントの移行先を選択しま

す。「OK」をクリックします。

※本書では「Users」コンテナに移行しま

す。

13 「組織単位の選択」で「次へ」をクリック

します。



14 「パスワードオプション」が表示されま

す。移行後のパスワードの指定を行い


※本書では、移行先のユーザパスワー

ドを変更しない設定を行います。パス

ワードを移行する場合は、PESサービス

が起動している必要があります。

15 「アカウントの切り替えオプション」が表

示されます。ユーザアカウントの移行

ウィザード実行後の、既存/新規ドメイン

のアカウントの状態を選択します。

「ユーザー SID を新規ドメインへ移行」

にチェックを入れます。「次へ」をクリック

します。

※本書では既存ドメインのユーザアカ

ウントを無効に、新規ドメインのユーザ

アカウントを有効にする設定を行いま

す。また、ユーザアカウントの SID も移

行します。

16 「ユーザーアカウント」が表示されま

す。移行用アカウントのユーザ名、パス

ワード、ドメイン名を入力します。「次へ」


17 「ユーザーオプション」が表示されま

す。移行するオプションにチェックを入

れます。「次へ」をクリックします。

※本書では「ユーザー権利を更新」に

チェックを入れます。



18 「オブジェクトのプロパティの除外」が表


19 「競合の管理」が表示されます。「移行

先ドメインで競合が検出された場合、移

行元オブジェクトを移行しない」を選択し


20 「ユーザーアカウントの移行ウィザード

の完了」が表示されます。「完了」をク


21 「移行の進行状況」が表示されます。

ユーザアカウントの移行が完了すると、

「状態」のステータスが「完了」になりま

す。「エラー」で、エラー数が”0”であるこ

とを確認します。「閉じる」をクリックしま

す。

ファイルサーバ(2003File)で使用しているユーザアカウント「User-2003File」は移行後も既存ド

メインで使用するため、上記の手順 15 の「移行元アカウントの無効化」のチェックを外して移行し

ます。



(2)コンピュータアカウントの移行

本書ではコンピュータアカウント「2003File」「Win2000」「WinXP」の移行を行います。

コンピュータアカウントの移行を正常に終了するためには、移行対象のコンピュータがロ

グオフした状態で起動している必要があります。コンピュータアカウント移行完了後、ADMT

のエージェントにより移行対象のコンピュータは自動で再起動されます。

■「Windows NT 互換の暗号化アルゴリズム」の有効化

Windows Server 2008 は、既定で「Windows NT 互換の暗号化アルゴリズム」をサポートし

ていません。このため、コンピュータアカウントの移行が失敗することがあります。ADMT で

Windows Server 2008/Windows Vista より前のバージョンのコンピュータアカウントを移行す

る場合は以下の手順に従って「Windows NT 互換の暗号化アルゴリズム」を有効にする必要

があります。コンピュータアカウント移行完了後は「Windows NT 互換の暗号化アルゴリズ

ム」を無効にしてください。

※本書では既定のポリシー(Default Domain Controllers Policy)を直接編集する手順で記載し

ています。

既定のポリシーオブジェクトには手を加えない管理ポリシーの場合は、ドメインコントローラ

コンテナにリンクされた適切なポリシーオブジェクトに読み換えてください。





POINT!



3 「ユーザーアカウント制御」が表示され

ます。「続行」をクリックします。

※UAC(User Access Control)が無効に

なっている場合は表示されません。




名)」-「ドメイン」-「(ドメイン名)」-「グルー

プポリシーオブジェクト」-「Default

Domain Controllers Policy」を右クリック

し、「編集」をクリックします。





成」-「ポリシー」-「管理用テンプレート:

ローカルコンピュータから取得したポリ

シー定義(ADMX)ファイルです。」-「シス

テム」-「ネットログオン」をクリックしま

す。右ペインの「Windows NT 4.0 と互換

性のある暗号化アルゴリズムを許可す

る」をダブルクリックします。

6 「Windows NT 4.0 と互換性のある暗号

化アルゴリズムを許可するのプロパ

ティ」が表示されます。「設定」タブを選

択します。「有効」を選択します。「OK」を








ます。

ポリシーを新の情報に更新していま

す．．．


しました。

【補足】

レジストリの編集することでも「Windows NT 互換の暗号化アルゴリズム」を有効化できます。

グループポリシーの変更が行えない場合は、新規ドメインの DC(2008DC-1)で以下のレジスト

リを追加してください。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters

値 :AllowNT4Crypto

型 :REG_DWORD

データ : 1

※レジストリ変更後はサーバを再起動してください。

■移行対象コンピュータの DNS の変更

本手順は、Win2000、XP で行います。

「インターネットプロトコル (TCP/IP)の

プロパティ」を表示します。「代替 DNS

サーバー」に、新規ドメインの DNS サー

バの IP アドレスを入力します。



■コンピュータアカウントの移行




Directory 移行ツール」をクリックしま

す。

3 「Active Directory 移行ツール」が表示

されます。左ペインの「Active Directory

移行ツール」を右クリックし、「コンピュー

タの移行ウィザード」をクリックします。

4 「コンピュータの移行ウィザードの開始」

が表示されます。「次へ」をクリックしま

す。

5 「ドメインの選択」が表示されます。「移

行元」では既存ドメインのドメイン名を入

力し、既存ドメインの DC をプルダウンメ

ニューから選択します。「移行先」では

新規ドメインのドメイン名を入力し、新規

ドメインの DC をプルダウンメニューから




6 「コンピュータの選択オプション」が表示

されます。「コンピュータをドメインから

選択」を選択します。「次へ」をクリックし

ます。

7 「コンピュータの選択」が表示されます。


8 「コンピュータの選択」が表示されま

す。移行対象のコンピュータアカウント

を入力します。「OK」をクリックします。

9 「コンピュータの選択」で「次へ」をクリッ

クします。

10 「組織単位の選択」が表示されます。

「参照」をクリックします。



11 「コンテナの参照」が表示されます。コン

ピュータアカウントの移行先を選択しま

す。「OK」をクリックします。

12 「組織単位の選択」で「次へ」をクリック

します。

13 「オブジェクトの変換」が表示されます。

コンピュータアカウント移行時に変換を

行う項目にチェックを入れます。「次へ」


※本書では、「ローカルグループ」

「ユーザー権利」にチェックを入れます。

14 「セキュリティの変換オプション」が表示

されます。「追加」を選択します。「次へ」


15 「コンピュータオプション」が表示されま

す。「ウィザードが完了してからコン

ピュータを再起動するまでの待ち時間」

を入力します。「次へ」をクリックします。

※本書ではウィザード完了後すぐ再起

動するように”0”を入力しています。



16 「オブジェクトのプロパティの除外」が表


17 「競合の管理」が表示されます。「移行

先ドメインで競合が検出された場合、移

行元オブジェクトを移行しない」を選択し


18 「コンピュータの移行ウィザードの完了」

が表示されます。「完了」をクリックしま

す。

19 「移行の進行状況」が表示されます。コ

ンピュータアカウントの移行が完了する

と、「状態」のステータスが「完了」になり

ます。「エラー」で、エラー数が”0”であ

ることを確認します。「閉じる」をクリック

します。



20 「Active Directory 移行ツールのエー

ジェントダイアログ」が表示されます。

「エージェントの動作」で「事前確認と

エージェントの操作を実行する」を選択

します。「開始」をクリックします(※)。

※「開始」をクリックする前に移行対象コ

ンピュータがログオフ状態で起動してい

ることを確認します。また、ネットワーク

通信可能な状態であることを確認しま

す。

※移行対象コンピュータはエージェント

の操作完了後に自動で再起動されま

す。

21 「Active Directory 移行ツールのエー

ジェントダイアログ」の「事前確認」が

全て合格、「エージェントの操作」が全て

成功、「事後確認」が全て合格すること

を確認します。「閉じる」をクリックしま

す。

既存ドメインでファイルサーバにアクセスする必要がなくなった時点で Windows Server 2003 の

ファイルサーバ(2003File)のコンピュータアカウントを新規ドメインへ移行します。



参考：SID の履歴を使用したリソースへのアクセス

Windows 2000 Server SP4 以降のドメインコントローラ間でフォレストの信頼関係を構築した

場合、SIDフィルターが有効になります。SIDの履歴を移行していても、SIDフィルターが有効に

なっていると SID の履歴を使用した既存リソースへのアクセスが失敗します。

SID の履歴を使用して新規ドメインから既存ドメインのリソースにアクセスできるようにする

には、以下のコマンドを実行して SID フィルターを無効にしてください。

本手順は、2008DC-１で行います。


2 コマンドプロンプトを起動して以下のコマンドを実行します。 Netdom trust (既存ドメイン名) /domain:(新規ドメイン名) /quarantine:No /userD:(新規ドメインの管理者アカウント) /passwordD:(新規ドメインの管理者アカウントのパスワード) ※本書では以下のコマンドを実行します。 Netdom trust fujitsu.local /domain:fujitsu2.co.jp /quarantine:No /userD:fujitsu \Administrator /passwordD:(fujitsu\administrator のパスワード)

※Windows Server 2008 のローカライズ版では上記の Netdom コマンドが失敗することがあ

ります。この場合、以下のコマンドを実行してコマンドプロンプトを英語のコードページに

変更することで回避できます。

Chcp 437

詳細は以下 URL を参照してください。

マイクロソフト「Windows Server 2008 のローカライズ版で Netdom コマンドの一部が

正しく動作しません」

http://support.microsoft.com/kb/969030/ja

http://support.microsoft.com/kb/969030/ja�



4.2.6 既存ドメインの破棄

既存ドメインから新規ドメインへの全ての移行が完了した時点で、既存ドメインを破棄します。

(1)信頼関係破棄

既存ドメインと新規ドメインの信頼関係を破棄します。




Directory ドメインと信頼関係」をクリッ

クします。


が表示されます。左ペインの「Active

Directory ドメインと信頼関係」-「(新規

ドメイン名)」を右クリックし、「プロパティ」


4 「(新規ドメイン名)のプロパティ」が表示

されます。「信頼」タブをクリックします。

「このドメインに信頼されるドメイン (出

力方向の信頼)」から既存ドメインを選択

します。「削除」をクリックします。




が表示されます。「ローカルドメインと

他方のドメインの両方から信頼を削除

する」を選択します。既存ドメインの管理

者アカウントとパスワードを入力します。


6 「(既存ドメイン名) ドメインとの出力方

向の信頼を削除しますか?」が表示され

ます。「はい」をクリックします。

7 「(新規ドメイン名)のプロパティ」の「この

ドメインを信頼するドメイン(入力方向の

信頼)」から既存ドメインを選択します。

「削除」をクリックします。


が表示されます。「ローカルドメインと

他方のドメインの両方から信頼を削除

する」を選択します。「OK」をクリックしま

す。

9 「(既存ドメイン名) ドメインとの入力方

向の信頼を削除しますか?」が表示され

ます。「はい」をクリックします。



10 「(新規ドメイン名)のプロパティ」で「OK」


(2)DNS セカンダリゾーンの削除

新規ドメインの DNS から既存ドメインのセカンダリゾーンを削除します。また、既存ドメイン

の DNS に許可しているゾーン転送の設定を削除します。









ゾーン」-「(既存ドメインのゾーン名)」を

右クリックし、「削除」をクリックします。



4 「DNS」が表示されます。「はい」をクリッ

クします。

5 「サーバーマネージャ」の左ペインの

「サーバーマネージャ(サーバ名)」-「役

割」-「DNS サーバー」-「DNS」-「(DNS

サーバ名)」-「前方参照ゾーン」-「(新規

ドメインのゾーン名)」を右クリックし、「プ

ロパティ」をクリックします。


ティ」が表示されます。「ゾーンの転送」

タブを選択します。「ゾーン転送を許可

するサーバー」のチェックを外します。




(3)DNS 設定の変更



2 「インターネットプロトコルバージョン

4 (TCP/IPv4)のプロパティ」を表示しま

す。「代替 DNS サーバー」に、新規ドメ

イン(2 台目)の DNS サーバの IP アドレ

スを入力します。

※メンバサーバ/クライアントで既存ドメインの DNS を設定している場合も変更を行ってくださ

い。

(4)アカウント管理の監査ポリシーの無効化

本手順は、2008-DC1、2008-DC2 で行います。









名)」-「ドメイン」-「(新規ドメイン名)」-「グ

ループポリシーオブジェクト」-

「Default Domain Controllers Policy」を

右クリックし、「編集」をクリックします。





成」-「ポリシー」-「Windows の設定」-

「セキュリティの設定」-「ローカルポリ

シー」－「監査ポリシー」をクリックしま

す。右ペインの「アカウント管理の監査」

をダブルクリックします。

5 「アカウント管理の監査のプロパティ」が

表示されます。「セキュリティポリシー

の設定」タブを選択します。「これらのポ

リシーの設定を定義する」のチェックを

外します。「OK」をクリックします。







ます。

※2008DC-2 でも同様の手順でグルー

プポリシーを変更します。ポリシーを新の情報に更新していま

す．．．


しました。

上記の手順で既存ドメインと新規ドメインを分離した後、Windows 2000 Server の DC を

WORKGROUP へ降格することで、既存ドメインを破棄します。



おわりに

本書では、Windows 2000 ドメインから Windows 2008/2008 R2 ドメインへの移行を予定されている

一般的なお客様環境を想定し、移行の全体イメージと詳細な手順を紹介しました。お客様の実際の

環境にあわせて適宜読み替えて活用してください。

富士通では、Windows Server 2008 R2 の先行評価、Windows NT 時代から積み上げた豊富なノウ

ハウをもって確実なドメイン移行をサポート致します。ドメイン移行をお考えの際は、ぜひ富士通にご

相談ください。

富士通 PC サーバ PRIMERGY につきましては、以下の技術情報を参照願います。

・PC サーバ PRIMERGY

http://primeserver.fujitsu.com/primergy/

・PC サーバ PRIMERGY 機種比較表

http://primeserver.fujitsu.com/primergy/catalog/select-spec/

富士通 PC サーバ PRIMERGY のお問い合わせ先。

・PC サーバ PRIMERGY（プライマジー）のお問い合わせ

http://primeserver.fujitsu.com/primergy/contact/

http://primeserver.fujitsu.com/primergy/�

http://primeserver.fujitsu.com/primergy/catalog/select-spec/�

http://primeserver.fujitsu.com/primergy/contact/�



Documents

～Windows 2000 ドメインからの移行～ · 2019-06-12 · Windows 2000ドメインからWindows 2008/2008 R2ドメインへの移行では、全ての既存DCが Windows 2000