Windows Server 2012/2012 R2 Active Directory環境 …...改版内容 2012.9 1.0 新規作成 2013.4 1.1 ・ ADMT ツールのWindows Server 2012対応状況を更新。・「新規ドメイン構築

2018年2月富士通株式会社

Windows Server® 2012/2012 R2 Active Directory® 環境へのドメイン移行の考え方

第2.3版

Copyright 2012-2018 FUJITSU LIMITED


改版日時版数改版内容 2012.9 1.0 新規作成 2013.4 1.1 ・ADMTツールのWindows Server 2012対応状況を更新。

・「新規ドメイン構築&アカウント移行」のデメリットに、「クライアントPCのドメイン再参加作業が必要となり、移行時のユーザ負担が増加」の記載を追加。

2013.10 2.0 ・Windows Server 2012 R2に対応 2014.3 2.1 ・ADMTツールのWindows Server 2012/2012 R2対応状況を

更新。 2014.12 2.2 ・ADMTツールのWindows Server 2012/2012 R2対応に伴い、

記載を修正。 2018.2 2.3 ・ADMTツールのサポート方針変更に伴い、注釈を追加。

改版履歴

目次はじめに 1章 2012/2012 R2ドメインへの移行のポイント

１．移行メリット２．移行方法の種類３．各移行方法のメリット・デメリット４．2000/2003/2008/2008 R2ドメインからの移行パス

2章 2003/2008/2008 R2ドメインからの移行１．移行方法選択の考え方２．既存ドメインのバージョンアップ

移行概要移行手順

３．新規ドメイン構築&アカウント移行移行概要移行手順

3章 2000ドメインからの移行１．移行方法選択の考え方２．既存ドメインのバージョンアップ



はじめに本書は、Fujitsu Server PRIMERGYを用いて、既存のActive Directory®環境を

Windows Server® 2012/2012 R2 Active Directory® 環境へドメイン移行する際の考え方・概要をご紹介するものです。

本書では、以下の略称を使用します。


正式名称略称

Microsoft® Windows® 2000 Windows 2000

Microsoft® Windows Server® 2003 Windows Server 2003


Microsoft® Windows Server® 2008 R2 Windows Server 2008 R2


Microsoft® Windows Server® 2012 R2 Windows Server 2012 R2

Microsoft® Windows® 2000 Server Active Directory®のドメイン 2000ドメイン

Microsoft® Windows Server® 2003 Active Directory®のドメイン 2003ドメイン


Microsoft® Windows Server® 2008 R2 Active Directory®のドメイン 2008 R2ドメイン


Microsoft® Windows Server® 2012 R2 Active Directory®のドメイン 2012 R2ドメイン

ドメインコントローラー DC

Windows PowerShell® Windows PowerShell

※図表では、更に省略した表記を使用する場合があります。

注意事項注意事項本ドキュメントを輸出または第三者へ提供する場合は、お客様が居住する国および米国輸出

管理関連法規等の規制をご確認のうえ、必要な手続きをおとりください。本書に記載されたデータの使用に起因する、第三者の特許権およびその他の権利の侵害に

ついては、当社はその責を負いません。



1. 移行メリット 2. 移行方法の種類 3. 各移行方法のメリット・デメリット 4. 2000/2003/2008/2008 R2ドメインからの移行パス

１章 2012/2012 R2ドメインへの移行のポイント


1章 2012/2012 R2ドメインへの移行のポイント

※ オブジェクトの変更状態の管理に使用する一意の識別名を更新シーケンス番号（USN:Update Sequence Number）といいます。

展開作業の簡略化 DCに昇格するコマンド（DCpromo）が廃止され、DCへの昇格はサーバーマネージャーに統合さ

れたため、DC昇格時の操作が簡略化されます。既存ドメインにDCを追加する際、自動的にスキーマが拡張されるため、既存DC上で実施してい

たスキーマ拡張の操作（ADprep）が不要になり、DCの展開が容易になります。

操作性の向上 Windows PowerShell等での設定が必要だったActive Directoryごみ箱機能でのオブジェクトの

復元が、Active Directory管理センターのGUIからできるようになり、削除したオブジェクトの復元が容易になります。

設定が非常に煩雑だった、細かい設定が可能なパスワードポリシーの設定や適用がActive Directory管理センターのGUIから簡単に行えるようになり、操作性が大幅に向上しています。

Active Directory管理センターから実施した操作を、Windows PowerShellの履歴として参照することができるため、スクリプトによる自動化などを容易に行うことができます。

仮想環境における機能強化 DCとして動作している仮想マシン（VHD）を、Sysprepでの汎用化を行わずにクローン（コピー）を

作成して、追加のDCとして構築することができるようになり、仮想環境におけるDCの展開が容易になります。

スナップショットからの復元等によりUSN（※）ロールバックが発生した場合、自動的に回復処理が行われるため、仮想環境でのDCの運用が容易になります。

１．移行メリット

ドメインの移行には以下の２つの方法があります。既存ドメインのバージョンアップ新規ドメイン構築&アカウント移行



既存ドメインの構成、情報をそのままに、 DCのリプレースを行うことでバージョンアップする方法です。

既存ドメインのアカウント情報を、ADMT（※）

を使用して新規構築したドメインへコピーする方法です。

※ ADMT（Active Directory移行ツール）とは、既存ドメイン環境からWindows Server 2012/2012 R2 Active Directoryへの移行を簡単、安全、かつ高速に実現するツールです。

※ 2017年6月、ADMTは開発が終了し、マイクロソフト社によるサポートは限定的な提供となることがアナウンスされました。そのため、ADMTを使用した移行方法は推奨いたしません。詳細は次の情報をご参照ください。 Windows 10/Windows Server 2016 の環境における ADMT を使用する場合の対応状況について https://blogs.technet.microsoft.com/jpntsblog/2017/06/02/windows-10windows-server-2016-%e3%81%ae%e7%92%b0%e5%a2%83%e3%81%ab%e3%81%8a%e3%81%91%e3%82%8b-admt-%e3%82%92%e4%bd%bf%e7%94%a8%e3%81%99%e3%82%8b%e5%a0%b4%e5%90%88%e3%81%ae%e5%af%be%e5%bf%9c%e7%8a%b6/

バージョンアップ撤去

旧DC 新DC

アカウント移行

旧DC 新DC

２．移行方法の種類

https://blogs.technet.microsoft.com/jpntsblog/2017/06/02/windows-10windows-server-2016-%e3%81%ae%e7%92%b0%e5%a2%83%e3%81%ab%e3%81%8a%e3%81%91%e3%82%8b-admt-%e3%82%92%e4%bd%bf%e7%94%a8%e3%81%99%e3%82%8b%e5%a0%b4%e5%90%88%e3%81%ae%e5%af%be%e5%bf%9c%e7%8a%b6/





各移行方法のメリット・デメリットを理解し、要件に見合った方法を選択してください

既存ドメインのバージョンアップ

○ 既存ドメインのドメイン名やアカウント情報を完全に引継ぎ可能 ○ クライアントPCのドメイン再参加作業が不要 ○ ファイルサーバなどのアクセス権再設定作業が不要

新規ドメイン構築&アカウント移行 ○ 既存ドメインのアカウント、グループ、権限等はツールで移行可能 ○ 既存ドメイン環境を維持したまま移行可能なため、段階的な移行が可能 × ドメイン名が変更になるため、既存システムへの影響が大きい × クライアントPCのドメイン再参加作業が必要となり、移行時のユーザ負担が増加

３．各移行方法のメリット・デメリット

ドメイン移行の移行パス



2012/ 2012 R2 ドメイン

2000 ドメイン

2003 ドメイン

2008 ドメイン

2008 R2 ドメイン

移行後移行前

※1 2000ドメインから2012/2012 R2ドメインへの直接移行はサポートされていません。そのため、本書では2008/2008 R2ドメインを経由しての移行方法を紹介しています。 ※2 「新規ドメイン構築＆アカウント移行」による2000ドメインから2008 R2ドメインへの移行は行えません。

ドメインのバージョンアップ新規ドメイン構築＆アカウント移行





※2

ドメインのバージョンアップ新規ドメイン構築＆アカウント移行 × ※1

×

４．2000/2003/2008/2008 R2ドメインからの移行パス


1. 移行方法選択の考え方 2. 既存ドメインのバージョンアップ


3. 新規ドメイン構築&アカウント移行移行概要移行手順

２章 2003/2008/2008 R2ドメインからの移行

2003/2008/2008 R2ドメインからの移行は、“既存ドメインのバージョンアップ”を推奨します。

移行を機にドメイン環境を一新したい場合や、以下のような特別な要件がある場合には、“新規ドメイン構築&アカウント移行”を選択します。互換性確認が必要な既存サーバが多いため、既存ドメインを残しつつ、段階的に移行を行いたい。 M&Aに伴いドメイン環境を統合したいなど、既存ドメインをそのまま使用したくない事情がある。


２章 2003/2008/2008 R2ドメインからの移行１．移行方法選択の考え方

移行概要既存ドメインの構成、情報をそのままに、ドメインコントローラーのリプレースを行うことでバージョンアップする方法です。


２章 2003/2008/2008 R2ドメインからの移行

移行前・移行後ともにDCは2台構成ハードウェアは新しいものにリプレース

以下の前提で移行手順をご紹介します。

バージョンアップ

2012/2012 R2ドメイン

DC

Windows Server 2012/2012 R2

DC


移行後

2003/2008/2008 R2ドメイン

DC DC

Windows Server 2003/2008/2008 R2

移行前


２．既存ドメインのバージョンアップ（1/3）

移行手順


２章 2003/2008/2008 R2ドメインからの移行

1 新規にDCとして使用するサーバ（新規DC）に、Windows Server 2012/2012 R2をインストールします。

2 新規DCを既存ドメインに参加させて、DCに昇格します。 ※DCに昇格する際に、自動的にス

キーマの拡張が行われます。

3 2台目の新規DCを既存ドメインのDCとして追加します。



×2台


×2台

FSMO 追加


×2台

FSMO スキーマの拡張


DC昇格



２章 2003/2008/2008 R2ドメインからの移行

4 FSMO(※)を新規DCに転送します。

5 既存DCをメンバーサーバへ降格します。

6 機能レベルを“Windows Server 2012” もしくは“Windows Server 2012 R2”に変更します。

機能レベル変更


×2台

FSMO


×2台


×2台

FSMO FSMO


×2台


×2台

FSMO

降格降格

※特定の1台のDCが処理を実行する、特別な役割を「操作マスタ (FSMO:Flexible Single Master Operation)」といいます。


移行概要新規構築した2012/2012 R2ドメインに既存の2003/2008/2008 R2ドメインの情報をADMTを使用して移行します。


２章 2003/2008/2008 R2ドメインからの移行

移行前・移行後ともにDCは2台構成新規ドメインを別途構築し、既存ドメインのアカウントを移行


アカウントの移行

ADMT

移行前

2003/2008/2008 R2ドメイン

DC DC



移行後

2012/2012 R2ドメイン

DC



DC

３．新規ドメイン構築&アカウント移行（1/3）

※ 2017年6月、ADMTは開発が終了し、マイクロソフト社によるサポートは限定的な提供となることがアナウンスされました。そのため、ADMTを使用した移行方法は推奨いたしません。詳細は次の情報をご参照ください。 Windows 10/Windows Server 2016 の環境における ADMT を使用する場合の対応状況について https://blogs.technet.microsoft.com/jpntsblog/2017/06/02/windows-10windows-server-2016-%e3%81%ae%e7%92%b0%e5%a2%83%e3%81%ab%e3%81%8a%e3%81%91%e3%82%8b-admt-%e3%82%92%e4%bd%bf%e7%94%a8%e3%81%99%e3%82%8b%e5%a0%b4%e5%90%88%e3%81%ae%e5%af%be%e5%bf%9c%e7%8a%b6/




移行手順


２章 2003/2008/2008 R2ドメインからの移行

1 新規に、2012/2012 R2ドメインを構築します。

2 既存ドメインと双方向信頼関係を作成します。

3 ADMTを使用し、既存ドメインから新規

ドメインへ、アカウントの移行を行います。


×2台


×2台

新規構築

信頼関係


×2台


×2台

ADMT アカウント


×2台


×2台



２章 2003/2008/2008 R2ドメインからの移行

4 クライアント、メンバサーバ等のリソース移行完了後に、信頼関係を破棄します。

5 既存ドメイン環境を破棄します。


×2台


×2台

信頼関係破棄


×2台


×2台

破棄



1. 移行方法選択の考え方 2. 既存ドメインのバージョンアップ


３章 2000ドメインからの移行

2000ドメインから2012/2012 R2ドメインへの直接移行パスはありません。 ⇒一旦2008または2008 R2ドメインを経由する必要があります。ただし、「新規ドメイン構築＆アカウント移行」による2000ドメインから2008 R2ドメインへの移行は行うことができません。

経由する2008/2008 R2ドメインへの移行の考え方は、従来の

2000ドメインから2008/2008 R2ドメインへの移行に準じます。


３章 2000ドメインからの移行１．移行方法選択の考え方

移行概要既存の2000ドメインから2008 R2ドメインへのバージョンアップ移行を実施します。続いて、2012/2012 R2ドメインへのバージョンアップ移行を実施します。



移行前・移行後ともにDCは2台構成 2008 R2ドメインを経由して、2012/2012 R2ドメインへ移行


移行前移行後

Windows 2000

Windows 2000

DC DC

2000ドメイン 2008 R2ドメイン 2012/2012 R2ドメイン


DC DC

Windows Server 2008

R2

移行中


DC 2000ドメイン 2012/2012 R2ドメイン

バージョンアップバージョンアップ

※2000ドメインから2008 R2ドメインへの移行は、ドメインのバージョンアップを実施します。 ※本書では記載しませんが、経由する2008 R2ドメインから2012/2012 R2ドメインへの移行では、「新規ドメイン構築&アカウ

ント移行」を行うこともできます。


移行手順



1 FSMO(※)の役割を持つ既存DCでWindows Server 2008 R2のDVDメディアを用いて、スキーマを拡張します。

2 2008 R2ドメインのDCとして使用するサーバ（新規DC）に、Windows Server 2008 R2をインストールします。

3 新規DCを既存ドメインに参加させて、DCに昇格します。

※特定の1台のDCが処理を実行する、特別な役割を「操作マスタ (FSMO:Flexible Single Master Operation)」といいます。

Windows 2000×2台

FSMO

Windows Server 2008 R2

スキーマの拡張



Windows 2000×2台

FSMO DC昇格




4 FSMOを新規DCに転送します。

5 既存DCをメンバーサーバへ降格します。

6 機能レベルを“Windows Server 2008 R2”に変更します。


Windows 2000 ×2台

FSMO

降格降格


FSMO

機能レベル変更



Windows 2000 ×2台

FSMO FSMO



7 2008 R2ドメインから2012/2012 R2ドメインへバージョンアップを行います。（手順は“ 2章 2003/2008/2008 R2 ﾄﾞメインからの移行”を参照してください。）


スキーマの拡張


追加


Windows Server 2012/2012 R2 ×2台

降格 ↓

撤去

追加


登録商標について／免責事項登録商標について Microsoft, Windows, Windows Server, Active Directory, Windows PowerShellは、米国

Microsoft Corporationの米国およびその他の国における登録商標または商標です。記載されている会社名、製品名は各社の登録商標または商標です。記載されている会社名、製品名等の固有名詞は各社の商号、登録商標または商標です。その他、本資料に記載されている会社名、システム名、製品名等には必ずしも商標表示を付記し

ておりません。

免責事項このドキュメントは単に情報として提供され、内容は予告なしに変更される場合があります。また、発行元の許可なく、本書の記載内容を複写、転載することを禁止します。このドキュメントに誤りが無いことの保証や、商品性又は特定目的への適合性の黙示的な保証や条件を含め明示的又は黙示的な保証や条件は一切無いものとします。富士通株式会社は、このドキュメントについていかなる責任も負いません。また、このドキュメントによって直接又は間接にいかなる契約上の義務も負うものではありません。このドキュメントを形式、手段（電子的又は機械的）、目的に関係なく、富士通株式会社の書面による事前の承諾なく、複製又は転載することはできません。


Documents

Windows Server 2012/2012 R2 Active Directory環境 …...改版内容 2012.9 1.0 新規作成 2013.4 1.1 ・ ADMT ツールのWindows Server 2012対応状況を更新。 ・「新規ドメイン構築

Windows Server 2012/2012 R2 Active Directory環境 …...改版内容 2012.9 1.0 新規作成 2013.4 1.1 ・ ADMT ツールのWindows Server 2012対応状況を更新。・「新規ドメイン構築