Active Directory 移行作業: Windows 2000ドメイン --> Windows 2008 R2ドメイン

How To Windows

概略

いろいろな手順があるが、今回は、既存のActive Directoryに、新規のWindows Server 2008 R2ドメイン コントローラ (DC) を追加し、操作マスタを受け継がせるやり方を取る。

ドメイン domain.jp
現DC (FSMO付き)、DNS (プライマリ) DC2000A 移行前IP: 192.168.0.1 移行後IP: DHCP
現DC (FSMOなし)、DNS (セカンダリ) DC2000B 移行前IP: 192.168.0.2 移行後IP: DHCP
新DC (FSMO付き)、DNS (プライマリ) DC2008A 移行前IP: 192.168.0.3 移行後IP: 192.168.0.1
新DC (FSMOなし)、DNS (セカンダリ) DC2008B 移行前IP: 192.168.0.4 移行後IP: 192.168.0.2

大まかな手順

  1. 既存フォレスト、ドメインスキーマを拡張 (DC2000A)
  2. 新規Windows Server 2008 R2サーバ機の準備、DCとして追加 (DC2008A、DC2008B)
  3. FSMOの転送 (DC2000A)
  4. Windows 2000 Server DCの降格 (DC2000A、DC2000B、DC2008A、DC2008B)
  5. DNSの移行 (本来は不要?)
  6. ドメイン、フォレストの機能レベル変更 (DC2008A)
  7. SYSVOL複製方式の変更

なお、作業は不要なトラブルを避けるため、定時後に行う。残業している方には申し訳ないが、休日出勤はいやなので……。

既存フォレスト、ドメインスキーマ拡張

この作業は、DC2000Aで実施する。

事前準備
  1. ドメインの管理者権限でログオン。
  2. サポートツールの入手。
    http://www.microsoft.com/japan/windows2000/downloads/servicepacks/SP4/supporttools.mspxで入手する。
フォレストのスキーマ拡張
  1. コマンドプロンプトで "repadmin /options DC2000A.domain.jp +DISABLE_OUTBOUND_REPL" を実行。AD複製を無効にする。
  2. Windows Server 2008 R2のインストールメディアをDVDドライブへ挿入。
  3. コマンドプロンプトで ":\support\adprep\adprep32 /forestprep" を実行すると、「ADPREP の警告:」が表示されるので [c]キー、[Enter]キーと押す。
    ※ アップグレード前の環境が64bit OSの場合、":\support\adprep\adprep /forestprep" (adprep32ではなくadprep) を実行する。しばらくかかるので、完了するまで待つ。
    Windows 2008 R2ドメインでなく、Windows 2008ドメインへ移行する場合、Windows Server 2008のインストールメデイアを挿入し、":\sources\adprep\adprep /forestprep" を実行する。
  4. adprep /forestprep が完了したら、"repadmin /options DC2000A.domain.jp -DISABLE_OUTBOUND_REPL" を実行し、無効にしていたAD複製を有効にする。
ドメイン操作モードのネイティブモードへの変更

ドメイン操作モードがネイティブモードである必要がある。既にネイティブモードとなっている場合、次の「ドメインスキーマ拡張」へすすむ。

  1. [スタート] - [プログラム] - [管理ツール] - [Active Directory ドメインと信頼関係] と選択。[Active Directory ドメインと信頼関係]が表示される。
  2. リストから「Active Directory ドメインと信頼関係」 - 「domain.jp」を選択し、右クリックする。メニューからプロパティを選択する。[domain.jpのプロパティ] が表示される。
  3. [ドメイン操作モード] を確認し、「混在モード」になっている場合、[モードの変更] をクリックする。
  4. 「このドメインをネイティブモードに変更しますか? …」と表示されるので [はい] をクリックする。
  5. [domain.jpのプロパティ] で [OK] をクリックする。「操作は正常に完了しました。…」とでるので、[OK] をクリックする。
ドメインスキーマ拡張
  1. コマンドプロンプトで "repadmin /options DC2000A.domain.jp +DISABLE_OUTBOUND_REPL" を実行。AD複製を無効にする。
  2. Windows Server 2008 R2のインストールメディアをDVDドライブへ挿入。
  3. コマンドプロンプトで ":\support\adprep\adprep32 /domainprep /gpprep" を実行すると、
    ※ アップグレード前の環境が64bit OSの場合、":\support\adprep\adprep /domainprep /gpprep" (adprep32ではなくadprep) を実行する。
    Windows 2008 R2ドメインでなく、Windows 2008ドメインへ移行する場合、Windows Server 2008のインストールメデイアを挿入し、":\sources\adprep\adprep /domainprep /gpprep" を実行する。
  4. adprep /domainprep /gpprep が完了したら、"repadmin /options DC2000A.domain.jp -DISABLE_OUTBOUND_REPL" を実行し、無効にしていたAD複製を有効にする。

新規Windows Server 2008 R2サーバ機の準備、DCとして追加 (DC2008A、DC2008B)

この作業は、新しいDCとなるDC2008A、DC2008Bで行う。今回のケースではDC2008AはCore Installとなっている。Core Installの場合、dcpromoのインストールウィザードが使用できないため、DC2008Bを先にDCに昇格し、その情報をファイル化する。そのファイルを元にDC2008AをDCへ昇格させる。

DC2008BのDCへの昇格
  1. [スタート] - [ファイル名を指定して実行] をクリック。名前に "dcpromo" と入力し、[OK] をクリック。いくらかメッセージが表示された後、「Active Directory ドメイン サービス インストールウィザード] が起動するので、[次へ] 進む。
  2. 「オペレーティング システムの互換性」が表示されるので、[次へ] 進む。
  3. 「展開の構成の選択」が表示されるので、[既存のフォレスト]、[既存のドメインドメイン コントローラを追加する] をチェックし、[次へ] 進む。
  4. 「ネットワーク資格情報」 でドメイン名を入力する。また、ドメインへの追加の資格がない権限でログインしている場合、[設定] を押し、資格情報を入力する。元の画面で [次へ] 進む
  5. ドメインの選択」で domain.jp を選択し、[次へ] 進む。
  6. 「"adprep /rodcrep" がまだ実行されていないため、……」と表示されたら、[はい] をクリック。
  7. 「サイトの選択」が表示されたら、サイト名を選択し、[次へ] 進む。サイトは、何もしていない場合、「Default-First-Site-Name」となっている。
  8. 「追加のドメイン コントローラー オプション」で [DNS サーバー]、[グローバル カタログ] をチェックし、[次へ] 進む。
  9. 「権限のある親ゾーンが見つからないか……」のメッセージが出るので、[次へ] 進む。
  10. 「データベース、ログファイル、及びSYSVOL の場所」が表示されるので、[次へ] 進む。
  11. ディレクトリ サービス復元モード Administrator パスワード」が表示されるので、パスワードを入力し、[次へ] 進む。
  12. 「概要」が表示されるので、内容を確認する。
  13. [設定のエクスポート] をクリックし、ファイルへ保存する。
  14. DNSドメインサービスのインストールが開始するので、[完了時に再起動する] をチェックする。
  15. インストールが完了すると、自動的に再起動する。
DC2008AのDCへの昇格
  1. DC2008BのDCへの昇格時に保存した設定ファイルをDC2008Aの任意のフォルダへコピーする。(ここでは "C:\unattend.txt" ファイルとして説明する)
  2. unattend.txtを編集する。
    "Password="
    "SafeModeAdminPassword=<ローカルAdministratorのパスワード>"
  3. DC2008Aで "dcpromo /unattend:C:\\unattend.txt" を実行する。しばらくすると、再起動する。

FSMOの転送

この作業はDC2000Aで実行する。

スキーママスタの転送
  1. [スタート] - [ファイル名を指定して実行] を選択。「regsrv32 schmmgmt.dll」と入力し、[OK] を押す。
  2. [RegSrv32] が表示されるので、[OK] を押す。
  3. [スタート] - [ファイル名を指定して実行] を選択。「mmc」と入力し、[OK] を押す。
  4. [コンソール1] で [コンソール] - [スナップインの追加と削除] を選択する。
  5. [スナップインの追加と削除] で [追加] をクリックする。
  6. [スタンドアロン スナップインの追加] で「Active Directoryスキーマ」を選択、[追加] し、[閉じる] をクリックする。
  7. [スナップインの追加と削除] で [OK] をクリックし、[スナップインの追加と削除] を終了する。
  8. [コンソール1] の [コンソール ルート] - [Active Directory スキーマ] を選択し、右クリックする。
  9. 表示されたメニューから、[ドメイン コントローラの変更] を選択する。
  10. [ドメインコントローラの変更] で、[名前の指定] を選択し、DC2008AのFQDN (DC2008A.domain.jp) を入力後、[OK] を押す。
  11. [コンソール1] で [コンソール ルート] - [Active Directory スキーマ] を選択し、右クリックする。
  12. 表示されたメニューから、[操作マスタ] を選択する。
  13. [変更] をクリックし、「操作マスタを変更しますか?」メッセージで、[OK] を、「操作マスタは転送されました。」メッセージでも [OK] をクリック。
  14. [スキーマ マスタの変更] で、[キャンセル] をクリック。
ドメイン名前付け操作マスタの転送
  1. [スタート] - [プログラム] - [管理ツール] - [Active Directory ドメインの信頼関係] を選択する。
  2. [Active Directory ドメインと信頼関係] で、「Active Directory ドメインと信頼関係」を右クリックし、メニューから [ドメイン コントローラに接続] を選択する。
  3. リストから、「DC2008A.domain.jp」を選択し、[OK] をクリック。
  4. Active Directory ドメインと信頼関係」を右クリックし、メニューから [操作マスタ] を選択する。
  5. [操作マスタの変更] で、[変更] をクリック。メッセージが2回表示されるので、いずれも [OK] をクリックする。
  6. [操作マスタの変更] で、[閉じる] をクリック。
インフラストラクチャマスタ、PDCマスタ、RIDマスタの転送
  1. [スタート] - [プログラム] - [管理ツール] - [Active Directory ユーザーとコンピュータ] を選択する。
  2. Active Directory ユーザーとコンピュータ [DC2000A.domain.jp]」-「domain.jp」を右クリックし、メニューから[ドメイン コントローラに接続] を選択する。
  3. リストから「DC2008A.domain.jp」を選択し、[OK] をクリック。
  4. Active Directory ユーザーとコンピュータ [DC2000A.domain.jp]」を右クリックし、メニューから [操作マスタ] を選択する。
  5. [インフラストラクチャ] タブを選択し、[変更] をクリック。「操作マスタの役割を転送しますか?」のメッセージで、[はい] を選択。
    続いて表示される「操作マスタの役割が正しく転送されました。] のメッセージでは、[OK] をクリックする。
  6. [PDC]、[RID] タブも同様に処理する。

Windows 2000 Server DCの降格

Windows 2000 Server DCの降格

この作業はDC2000A、DC2000Bで実行する。

  1. DC2000Aで [スタート] - [ファイル名を指定して実行] を選択。「dcpromo」と入力し、[OK] をクリック。
  2. Active Directory のインストール ウィザードの開始」で [次へ] 進む。
  3. 「このドメイン コントローラはグローバル カタログ サーバーです。……」のメッセージが表示されたら、[OK] をクリックする。
  4. Active Directory の削除」で [このサーバーはドメインの最後のドメイン コントローラです」のチェックがオフになっていることを確認し、[次へ] 進む。
  5. 「Administratorのパスワード」で、パスワードを入力し、[次へ] 進む。
  6. 「概要」が表示されるので、内容を確認し、「次へ] 進む。
    Active Directory を構成しています。…」と表示されるので、しばらく待つ。
  7. Active Directory のインストール ウィザードの完了」が表示されたら、[完了] をクリック。
  8. Active Directory のインストール ウィザードによって……」のメッセージが表示されたら、[再起動する] をクリック。
  9. 再起動後、2000Aをドメインメンバからも外し、ネットワーク上から撤去する。
  10. DC2000Bでも同様に処理し、DCから降格する。
DNSの移行

この作業はDC2000AとDC2000B、DC2008Aで行う。まず、Remote Server Administration Tools (RSAT) を入れてあるクライアントPCか、フルインストールしているWindows Server 2008にログインして作業する。
この作業は、本来不要なのかも……、うまく行かなかったので、追加した。

  1. DNS マネージャーを起動する。[スタート] - [管理ツール] - [DNS] とメニューを選択していく。
    ※ここでログインしているIDがサーバ管理者出ない場合、権限のあるアカウントで起動する必要があるので注意。
  2. [DNS マネージャー] で [DNS] を右クリック、[DNS サーバーに接続]を選択する。
  3. [次のコンピューター] を選択し、[DC2000A] と入力し、[OK] する。
  4. [DC2000A] - [前方参照ゾーン] - [domain.jp] を右クリックし、[プロパティ] を選択する。
  5. [domain.jp のプロパティ] で [ネーム サーバ] と [ゾーンの転送] を確認し、DC2008Aに転送できるようにしておく。
    (例) [ゾーンの転送] で [ネーム サーバー タブの一覧にあるサーバーのみ] とし、[ネーム サーバー] で一覧に "DC2008A.doamin.jp" を追加する。
  6. [DNS マネージャー] で [DNS] を右クリック、[DNS サーバーに接続]を選択する。
  7. [次のコンピューター] を選択し、[DC2008A] と入力し、[OK] する。
  8. [DNS] - [DC2008A] - [前方参照ゾーン] を右クリック。[新しいゾーン] を選択しする。
  9. 「新しいゾーン ウィザードの開始」で [次へ] 進む。
  10. 「ゾーンの種類」で [セカンダリ ゾーン] を選択し、[次へ] 進む。
  11. 「ゾーン名」で "domain.jp" と入力し、[次へ] すすむ。
  12. 「マスター DNS サーバー」で "192.168.0.1" もしくは "DC2000A.domain.jp" と入力し、[次へ] 進む。
  13. 「新しいゾーン ウィザードの完了」で [完了] する。
  14. [DNS] - [DC2008A] - [前方参照ゾーン] - [domain.jp] を右クリック。[プロパティ] を選択しする。
  15. [全般] で [変更] をクリック。開いた画面で、[プライマリ ゾーン] を選択し、[OK] する。
  16. [domain.jp のプロパティ] で [OK] をクリック。
  17. 他にも管理しているゾーンがあれば、同様の処理を行う。
  18. [DNS] - [DC2008A] - [前方参照ゾーン] - [domain.jp] を右クリック。[プロパティ] を選択しする。
  19. [全般] で [変更] をクリック。開いた画面で、[Active Directory にゾーンを格納する] をチェックし、[OK] する。
  20. 「このゾーンを Active Directory 統合にしますか?」で [はい] を選択する。
  21. [動的更新] で "セキュリティ保護のみ" もしくは "非セキュリティ保護およびセキュリティ保護" にし、[OK] を押す。
  22. [DNS マネージャー] で [DNS] を右クリック、[DNS サーバーに接続]を選択する。
  23. [次のコンピューター] を選択し、[DC2008B] と入力し、[OK] する。
  24. DC2000A、DC2000BのDNSの役割を削除する。
    この作業は Windows コンポーネントの追加と削除で行う。
IPアドレスの変更

DC2000A、DC2000BのIPアドレスDNSを自動的に取得するに変更する。
DC2008A、DC2008BのIPアドレスをそれぞれDC2000A、DC2000Bが使用していたものに変更する。
全部再起動してみる。

ドメイン、フォレストの機能レベル変更 (DC2008A)

この作業は、DC2008Aで行う。Core Installの状態なので、他のPC (ホストPC) に Remote Server Administration Tools(以下RSAT)をインストールし、そちらから設定する。
RSATの設定は済んでいるものとして説明する。

ドメインの機能レベル変更
  1. ホストPCで [Active Directory ユーザーとコンピュータ] を起動する。Windows 7の場合、[スタート] - [すべてのプログラム] - [管理ツール] - [Active Directory ユーザーとコンピューター] と選択していく。
  2. Active Directory ユーザーとコンピューター [xxxx]」で、xxxxの部分が「DC2008A.domain.jp」でなければ、DC2008A.domain.jpに接続する。
    右クリックし、メニューから [ドメイン コントローラの変更] を選択。リストから「DC2008A.domain.jp」を選択し、[OK] を押す。
  3. Active Directory ユーザーとコンピューター [DC2008A.domain.jp]」 - 「domain.jp」を右クリックし、メニューから [ドメインの機能レベルの昇格] を選択。
  4. リストから [Windows Server 2008 R2] を選択し、[上げる] をクリック。2回メッセージが表示されるので、どちらも [OK] をクリックする。
  5. もう一度、「Active Directory ユーザーとコンピューター [DC2008A.domain.jp]」 - 「domain.jp」を右クリックし、メニューから [ドメインの機能レベルの昇格] を選択する。ここで、ドメインの機能レベルが「Windows Server 2008 R2」になっていることを確認し、[閉じる]。
フォレストの機能レベル変更
  1. ホストPCで [Active Directory ドメインと信頼関係] を起動する。Windows 7の場合、[スタート] - [すべてのプログラム] - [管理ツール] - [Active Directory ドメインと信頼関係] と選択していく。
  2. Active Directory ドメインと信頼関係[xxxx]」で、xxxxの部分が「DC2008A.domain.jp」でなければ、DC2008A.domain.jpに接続する。
    右クリックし、メニューから [ドメイン コントローラの変更] を選択。リストから「DC2008A.domain.jp」を選択し、[OK] を押す。
  3. Active Directory ドメインと信頼関係[DC2008A.domain.jp]」で右クリック、メニューから「フォレストの機能レベルの昇格」を選択。
  4. リストから [Windows Server 2008 R2] を選択し、[上げる] をクリック。2回メッセージが表示されるので、どちらも [OK] をクリックする。
  5. もう一度、「Active Directory ドメインと信頼関係[DC2008A.domain.jp]」で右クリック、メニューから「フォレストの機能レベルの昇格」を選択。ここで、フォレストの機能レベルが「Windows Server 2008 R2」になっていることを確認し、[OK] を押す。

SYSVOL複製方式の変更

この作業は、DC2008Aで行う。

  1. コマンドプロンプトで "dfsrmig /GetGlobalState" を実行し、現在の状態を確認する。次のように表示される。
    DFSR 移行がまだ初期化されていません。移行を開始するには、グローバル状態を目的の値に設定してください。
  2. コマンドプロンプトで "dfsrmig /SetGlobalState 0" を実行し、DSFR移行のグローバル状態を「開始」にする。次のように表示される。
    DFSR の現在のグローバル状態: '開始'
    新しい DFSR のグローバル状態: '開始'
    無効な状態変更が要求されました。
  3. コマンドプロンプトで "dfsrmig /GetGlobalState" を実行し、再び、現在の状態を確認する。次のように表示される。
    DFSR の現在グローバル状態: '開始'
    成功しました。
  4. コマンドプロンプトで "dfsrmig /GetMigrationState" を実行し、グローバル状態が「開始」になっていることを確認する。次のように表示される。
    すべてのドメイン コントローラーがグローバル状態 '開始' に移行しました。
    移行状態が、すべてのドメイン コントローラ上で整合性の取れた状態になりました。
    成功しました。
  5. コマンドプロンプトで "dfsrmig /SetGlobalState 1" を実行し、DFSR移行のグローバル状態を「準備完了」にする。次のように表示される。
    DFSR の現在のグローバル状態: '開始'
    新しい DSFR のグローバル状態: '準備完了'

    '準備完了' 状態に移行します。DFSR サービスによって SYSVOL が SYSVOL_DFSR フォルダーにコピーされます。

    いずれかの DC で移行を開始できない場合は、手動ポーリングを試行してください。
    または、/CreateGlobalObjects オプションを指定して実行してください。
    移行は 15 分から 1 時間までの任意の時点で開始できます。
    成功しました。
  6. DFS Replicationのイベントログを確認する。イベントID 8010 (移行準備開始)、8014 (移行準備完了) が記録されていることを確認する。
    これには少し時間がかかるので記録されるまで待つ。
  7. コマンドプロンプトで "dfsrmig /GetMigrationState" を実行し、グローバル状態が「準備完了」になっていることを確認する。次のように表示される。
    すべてのドメイン コントローラーがグローバル状態 '準備完了' に移行しました。
    移行状態が、すべてのドメイン コントローラ上で整合性の取れた状態になりました。
    成功しました。
  8. コマンドプロンプトで "dfsrmig /SetGlobalState 2" を実行し、DFSR移行のグローバル状態を「リダイレクト済み」に設定する。次のように表示される。
    DFSR の現在のグローバル状態: '準備完了'
    新しい DFSR のグローバル状態: 'リダイレクト済み'

    'リダイレクト済み' 状態に移行します。SYSVOL 共有が、 DFSR を使用してレプリケートされた SYSVOL_DFSR フォルダーに変更されます。
    成功しました。
  9. 再びイベントログでID: 8015 (リダイレクト処理開始)、8017 (リダイレクト処理完了) が記録されていることを確認する。これも少し時間がかかる。
  10. コマンドプロンプトで "dfsrmig /SetGlobalState 3" を実行し、DFSRのグローバル状態を「削除済み」にする。次のように表示される。
    DFSR の現在のグローバル状態: 'リダイレクト済み'
    新しい DFSR のグローバル状態: '削除済み'

    '削除済み' 状態に移行します。このステップを元に戻すことはできません。

    いずれかの RODC が長時間にわたって '削除済み' 状態になっている場合は、/DeleteRoNtfrsMembers オプションを指定して実行してください。
    成功しました。
  11. もう一度イベントログを確認する。ID 8018 (削除済み開始)と8019 (削除済みリダイレクト処理完了) が記録されていることを確認する。これも少し時間がかかる。
  12. コマンドプロンプトで "dfsrmig /GetMigrationState" で、グローバル状態が「削除済み」になっていることを確認する。次のように表示される。
    すべてのドメイン コントローラーがグローバル状態 '削除済み' に移行しました。
    移行状態が、すべてのドメイン コントローラ上で整合性の取れた状態になりました。
    成功しました。