Active Directory 移行作業: Windows 2000ドメイン --> Windows 2008 R2ドメイン
概略
いろいろな手順があるが、今回は、既存のActive Directoryに、新規のWindows Server 2008 R2ドメイン コントローラ (DC) を追加し、操作マスタを受け継がせるやり方を取る。
ドメイン | domain.jp | ||
現DC (FSMO付き)、DNS (プライマリ) | DC2000A | 移行前IP: 192.168.0.1 | 移行後IP: DHCP |
現DC (FSMOなし)、DNS (セカンダリ) | DC2000B | 移行前IP: 192.168.0.2 | 移行後IP: DHCP |
新DC (FSMO付き)、DNS (プライマリ) | DC2008A | 移行前IP: 192.168.0.3 | 移行後IP: 192.168.0.1 |
新DC (FSMOなし)、DNS (セカンダリ) | DC2008B | 移行前IP: 192.168.0.4 | 移行後IP: 192.168.0.2 |
大まかな手順
- 既存フォレスト、ドメインのスキーマを拡張 (DC2000A)
- 新規Windows Server 2008 R2サーバ機の準備、DCとして追加 (DC2008A、DC2008B)
- FSMOの転送 (DC2000A)
- Windows 2000 Server DCの降格 (DC2000A、DC2000B、DC2008A、DC2008B)
- DNSの移行 (本来は不要?)
- ドメイン、フォレストの機能レベル変更 (DC2008A)
- SYSVOL複製方式の変更
なお、作業は不要なトラブルを避けるため、定時後に行う。残業している方には申し訳ないが、休日出勤はいやなので……。
既存フォレスト、ドメインのスキーマ拡張
この作業は、DC2000Aで実施する。
事前準備
- ドメインの管理者権限でログオン。
- サポートツールの入手。
http://www.microsoft.com/japan/windows2000/downloads/servicepacks/SP4/supporttools.mspxで入手する。
フォレストのスキーマ拡張
- コマンドプロンプトで "repadmin /options DC2000A.domain.jp +DISABLE_OUTBOUND_REPL" を実行。AD複製を無効にする。
- Windows Server 2008 R2のインストールメディアをDVDドライブへ挿入。
- コマンドプロンプトで "
:\support\adprep\adprep32 /forestprep" を実行すると、「ADPREP の警告:」が表示されるので [c]キー、[Enter]キーと押す。
※ アップグレード前の環境が64bit OSの場合、":\support\adprep\adprep /forestprep" (adprep32ではなくadprep) を実行する。しばらくかかるので、完了するまで待つ。
※ Windows 2008 R2ドメインでなく、Windows 2008ドメインへ移行する場合、Windows Server 2008のインストールメデイアを挿入し、":\sources\adprep\adprep /forestprep" を実行する。 - adprep /forestprep が完了したら、"repadmin /options DC2000A.domain.jp -DISABLE_OUTBOUND_REPL" を実行し、無効にしていたAD複製を有効にする。
ドメイン操作モードのネイティブモードへの変更
ドメイン操作モードがネイティブモードである必要がある。既にネイティブモードとなっている場合、次の「ドメインのスキーマ拡張」へすすむ。
- [スタート] - [プログラム] - [管理ツール] - [Active Directory ドメインと信頼関係] と選択。[Active Directory ドメインと信頼関係]が表示される。
- リストから「Active Directory ドメインと信頼関係」 - 「domain.jp」を選択し、右クリックする。メニューからプロパティを選択する。[domain.jpのプロパティ] が表示される。
- [ドメイン操作モード] を確認し、「混在モード」になっている場合、[モードの変更] をクリックする。
- 「このドメインをネイティブモードに変更しますか? …」と表示されるので [はい] をクリックする。
- [domain.jpのプロパティ] で [OK] をクリックする。「操作は正常に完了しました。…」とでるので、[OK] をクリックする。
ドメインのスキーマ拡張
- コマンドプロンプトで "repadmin /options DC2000A.domain.jp +DISABLE_OUTBOUND_REPL" を実行。AD複製を無効にする。
- Windows Server 2008 R2のインストールメディアをDVDドライブへ挿入。
- コマンドプロンプトで "
:\support\adprep\adprep32 /domainprep /gpprep" を実行すると、
※ アップグレード前の環境が64bit OSの場合、":\support\adprep\adprep /domainprep /gpprep" (adprep32ではなくadprep) を実行する。
※ Windows 2008 R2ドメインでなく、Windows 2008ドメインへ移行する場合、Windows Server 2008のインストールメデイアを挿入し、":\sources\adprep\adprep /domainprep /gpprep" を実行する。 - adprep /domainprep /gpprep が完了したら、"repadmin /options DC2000A.domain.jp -DISABLE_OUTBOUND_REPL" を実行し、無効にしていたAD複製を有効にする。
新規Windows Server 2008 R2サーバ機の準備、DCとして追加 (DC2008A、DC2008B)
この作業は、新しいDCとなるDC2008A、DC2008Bで行う。今回のケースではDC2008AはCore Installとなっている。Core Installの場合、dcpromoのインストールウィザードが使用できないため、DC2008Bを先にDCに昇格し、その情報をファイル化する。そのファイルを元にDC2008AをDCへ昇格させる。
DC2008BのDCへの昇格
- [スタート] - [ファイル名を指定して実行] をクリック。名前に "dcpromo" と入力し、[OK] をクリック。いくらかメッセージが表示された後、「Active Directory ドメイン サービス インストールウィザード] が起動するので、[次へ] 進む。
- 「オペレーティング システムの互換性」が表示されるので、[次へ] 進む。
- 「展開の構成の選択」が表示されるので、[既存のフォレスト]、[既存のドメインにドメイン コントローラを追加する] をチェックし、[次へ] 進む。
- 「ネットワーク資格情報」 でドメイン名を入力する。また、ドメインへの追加の資格がない権限でログインしている場合、[設定] を押し、資格情報を入力する。元の画面で [次へ] 進む
- 「ドメインの選択」で domain.jp を選択し、[次へ] 進む。
- 「"adprep /rodcrep" がまだ実行されていないため、……」と表示されたら、[はい] をクリック。
- 「サイトの選択」が表示されたら、サイト名を選択し、[次へ] 進む。サイトは、何もしていない場合、「Default-First-Site-Name」となっている。
- 「追加のドメイン コントローラー オプション」で [DNS サーバー]、[グローバル カタログ] をチェックし、[次へ] 進む。
- 「権限のある親ゾーンが見つからないか……」のメッセージが出るので、[次へ] 進む。
- 「データベース、ログファイル、及びSYSVOL の場所」が表示されるので、[次へ] 進む。
- 「ディレクトリ サービス復元モード Administrator パスワード」が表示されるので、パスワードを入力し、[次へ] 進む。
- 「概要」が表示されるので、内容を確認する。
- [設定のエクスポート] をクリックし、ファイルへ保存する。
- DNS、ドメインサービスのインストールが開始するので、[完了時に再起動する] をチェックする。
- インストールが完了すると、自動的に再起動する。
DC2008AのDCへの昇格
- DC2008BのDCへの昇格時に保存した設定ファイルをDC2008Aの任意のフォルダへコピーする。(ここでは "C:\unattend.txt" ファイルとして説明する)
- unattend.txtを編集する。
"Password="
"SafeModeAdminPassword=<ローカルAdministratorのパスワード>" - DC2008Aで "dcpromo /unattend:C:\\unattend.txt" を実行する。しばらくすると、再起動する。
FSMOの転送
この作業はDC2000Aで実行する。
スキーママスタの転送
- [スタート] - [ファイル名を指定して実行] を選択。「regsrv32 schmmgmt.dll」と入力し、[OK] を押す。
- [RegSrv32] が表示されるので、[OK] を押す。
- [スタート] - [ファイル名を指定して実行] を選択。「mmc」と入力し、[OK] を押す。
- [コンソール1] で [コンソール] - [スナップインの追加と削除] を選択する。
- [スナップインの追加と削除] で [追加] をクリックする。
- [スタンドアロン スナップインの追加] で「Active Directoryスキーマ」を選択、[追加] し、[閉じる] をクリックする。
- [スナップインの追加と削除] で [OK] をクリックし、[スナップインの追加と削除] を終了する。
- [コンソール1] の [コンソール ルート] - [Active Directory スキーマ] を選択し、右クリックする。
- 表示されたメニューから、[ドメイン コントローラの変更] を選択する。
- [ドメインコントローラの変更] で、[名前の指定] を選択し、DC2008AのFQDN (DC2008A.domain.jp) を入力後、[OK] を押す。
- [コンソール1] で [コンソール ルート] - [Active Directory スキーマ] を選択し、右クリックする。
- 表示されたメニューから、[操作マスタ] を選択する。
- [変更] をクリックし、「操作マスタを変更しますか?」メッセージで、[OK] を、「操作マスタは転送されました。」メッセージでも [OK] をクリック。
- [スキーマ マスタの変更] で、[キャンセル] をクリック。
ドメイン名前付け操作マスタの転送
- [スタート] - [プログラム] - [管理ツール] - [Active Directory ドメインの信頼関係] を選択する。
- [Active Directory ドメインと信頼関係] で、「Active Directory ドメインと信頼関係」を右クリックし、メニューから [ドメイン コントローラに接続] を選択する。
- リストから、「DC2008A.domain.jp」を選択し、[OK] をクリック。
- 「Active Directory ドメインと信頼関係」を右クリックし、メニューから [操作マスタ] を選択する。
- [操作マスタの変更] で、[変更] をクリック。メッセージが2回表示されるので、いずれも [OK] をクリックする。
- [操作マスタの変更] で、[閉じる] をクリック。
インフラストラクチャマスタ、PDCマスタ、RIDマスタの転送
- [スタート] - [プログラム] - [管理ツール] - [Active Directory ユーザーとコンピュータ] を選択する。
- 「Active Directory ユーザーとコンピュータ [DC2000A.domain.jp]」-「domain.jp」を右クリックし、メニューから[ドメイン コントローラに接続] を選択する。
- リストから「DC2008A.domain.jp」を選択し、[OK] をクリック。
- 「Active Directory ユーザーとコンピュータ [DC2000A.domain.jp]」を右クリックし、メニューから [操作マスタ] を選択する。
- [インフラストラクチャ] タブを選択し、[変更] をクリック。「操作マスタの役割を転送しますか?」のメッセージで、[はい] を選択。
続いて表示される「操作マスタの役割が正しく転送されました。] のメッセージでは、[OK] をクリックする。 - [PDC]、[RID] タブも同様に処理する。
Windows 2000 Server DCの降格
Windows 2000 Server DCの降格
この作業はDC2000A、DC2000Bで実行する。
- DC2000Aで [スタート] - [ファイル名を指定して実行] を選択。「dcpromo」と入力し、[OK] をクリック。
- 「Active Directory のインストール ウィザードの開始」で [次へ] 進む。
- 「このドメイン コントローラはグローバル カタログ サーバーです。……」のメッセージが表示されたら、[OK] をクリックする。
- 「Active Directory の削除」で [このサーバーはドメインの最後のドメイン コントローラです」のチェックがオフになっていることを確認し、[次へ] 進む。
- 「Administratorのパスワード」で、パスワードを入力し、[次へ] 進む。
- 「概要」が表示されるので、内容を確認し、「次へ] 進む。
「Active Directory を構成しています。…」と表示されるので、しばらく待つ。 - 「Active Directory のインストール ウィザードの完了」が表示されたら、[完了] をクリック。
- 「Active Directory のインストール ウィザードによって……」のメッセージが表示されたら、[再起動する] をクリック。
- 再起動後、2000Aをドメインメンバからも外し、ネットワーク上から撤去する。
- DC2000Bでも同様に処理し、DCから降格する。
DNSの移行
この作業はDC2000AとDC2000B、DC2008Aで行う。まず、Remote Server Administration Tools (RSAT) を入れてあるクライアントPCか、フルインストールしているWindows Server 2008にログインして作業する。
この作業は、本来不要なのかも……、うまく行かなかったので、追加した。
- DNS マネージャーを起動する。[スタート] - [管理ツール] - [DNS] とメニューを選択していく。
※ここでログインしているIDがサーバ管理者出ない場合、権限のあるアカウントで起動する必要があるので注意。 - [DNS マネージャー] で [DNS] を右クリック、[DNS サーバーに接続]を選択する。
- [次のコンピューター] を選択し、[DC2000A] と入力し、[OK] する。
- [DC2000A] - [前方参照ゾーン] - [domain.jp] を右クリックし、[プロパティ] を選択する。
- [domain.jp のプロパティ] で [ネーム サーバ] と [ゾーンの転送] を確認し、DC2008Aに転送できるようにしておく。
(例) [ゾーンの転送] で [ネーム サーバー タブの一覧にあるサーバーのみ] とし、[ネーム サーバー] で一覧に "DC2008A.doamin.jp" を追加する。 - [DNS マネージャー] で [DNS] を右クリック、[DNS サーバーに接続]を選択する。
- [次のコンピューター] を選択し、[DC2008A] と入力し、[OK] する。
- [DNS] - [DC2008A] - [前方参照ゾーン] を右クリック。[新しいゾーン] を選択しする。
- 「新しいゾーン ウィザードの開始」で [次へ] 進む。
- 「ゾーンの種類」で [セカンダリ ゾーン] を選択し、[次へ] 進む。
- 「ゾーン名」で "domain.jp" と入力し、[次へ] すすむ。
- 「マスター DNS サーバー」で "192.168.0.1" もしくは "DC2000A.domain.jp" と入力し、[次へ] 進む。
- 「新しいゾーン ウィザードの完了」で [完了] する。
- [DNS] - [DC2008A] - [前方参照ゾーン] - [domain.jp] を右クリック。[プロパティ] を選択しする。
- [全般] で [変更] をクリック。開いた画面で、[プライマリ ゾーン] を選択し、[OK] する。
- [domain.jp のプロパティ] で [OK] をクリック。
- 他にも管理しているゾーンがあれば、同様の処理を行う。
- [DNS] - [DC2008A] - [前方参照ゾーン] - [domain.jp] を右クリック。[プロパティ] を選択しする。
- [全般] で [変更] をクリック。開いた画面で、[Active Directory にゾーンを格納する] をチェックし、[OK] する。
- 「このゾーンを Active Directory 統合にしますか?」で [はい] を選択する。
- [動的更新] で "セキュリティ保護のみ" もしくは "非セキュリティ保護およびセキュリティ保護" にし、[OK] を押す。
- [DNS マネージャー] で [DNS] を右クリック、[DNS サーバーに接続]を選択する。
- [次のコンピューター] を選択し、[DC2008B] と入力し、[OK] する。
- DC2000A、DC2000BのDNSの役割を削除する。
この作業は Windows コンポーネントの追加と削除で行う。
ドメイン、フォレストの機能レベル変更 (DC2008A)
この作業は、DC2008Aで行う。Core Installの状態なので、他のPC (ホストPC) に Remote Server Administration Tools(以下RSAT)をインストールし、そちらから設定する。
RSATの設定は済んでいるものとして説明する。
ドメインの機能レベル変更
- ホストPCで [Active Directory ユーザーとコンピュータ] を起動する。Windows 7の場合、[スタート] - [すべてのプログラム] - [管理ツール] - [Active Directory ユーザーとコンピューター] と選択していく。
- 「Active Directory ユーザーとコンピューター [xxxx]」で、xxxxの部分が「DC2008A.domain.jp」でなければ、DC2008A.domain.jpに接続する。
右クリックし、メニューから [ドメイン コントローラの変更] を選択。リストから「DC2008A.domain.jp」を選択し、[OK] を押す。 - 「Active Directory ユーザーとコンピューター [DC2008A.domain.jp]」 - 「domain.jp」を右クリックし、メニューから [ドメインの機能レベルの昇格] を選択。
- リストから [Windows Server 2008 R2] を選択し、[上げる] をクリック。2回メッセージが表示されるので、どちらも [OK] をクリックする。
- もう一度、「Active Directory ユーザーとコンピューター [DC2008A.domain.jp]」 - 「domain.jp」を右クリックし、メニューから [ドメインの機能レベルの昇格] を選択する。ここで、ドメインの機能レベルが「Windows Server 2008 R2」になっていることを確認し、[閉じる]。
フォレストの機能レベル変更
- ホストPCで [Active Directory ドメインと信頼関係] を起動する。Windows 7の場合、[スタート] - [すべてのプログラム] - [管理ツール] - [Active Directory ドメインと信頼関係] と選択していく。
- 「Active Directory ドメインと信頼関係[xxxx]」で、xxxxの部分が「DC2008A.domain.jp」でなければ、DC2008A.domain.jpに接続する。
右クリックし、メニューから [ドメイン コントローラの変更] を選択。リストから「DC2008A.domain.jp」を選択し、[OK] を押す。 - 「Active Directory ドメインと信頼関係[DC2008A.domain.jp]」で右クリック、メニューから「フォレストの機能レベルの昇格」を選択。
- リストから [Windows Server 2008 R2] を選択し、[上げる] をクリック。2回メッセージが表示されるので、どちらも [OK] をクリックする。
- もう一度、「Active Directory ドメインと信頼関係[DC2008A.domain.jp]」で右クリック、メニューから「フォレストの機能レベルの昇格」を選択。ここで、フォレストの機能レベルが「Windows Server 2008 R2」になっていることを確認し、[OK] を押す。
SYSVOL複製方式の変更
この作業は、DC2008Aで行う。
- コマンドプロンプトで "dfsrmig /GetGlobalState" を実行し、現在の状態を確認する。次のように表示される。
DFSR 移行がまだ初期化されていません。移行を開始するには、グローバル状態を目的の値に設定してください。 - コマンドプロンプトで "dfsrmig /SetGlobalState 0" を実行し、DSFR移行のグローバル状態を「開始」にする。次のように表示される。
DFSR の現在のグローバル状態: '開始'
新しい DFSR のグローバル状態: '開始'
無効な状態変更が要求されました。 - コマンドプロンプトで "dfsrmig /GetGlobalState" を実行し、再び、現在の状態を確認する。次のように表示される。
DFSR の現在グローバル状態: '開始'
成功しました。 - コマンドプロンプトで "dfsrmig /GetMigrationState" を実行し、グローバル状態が「開始」になっていることを確認する。次のように表示される。
すべてのドメイン コントローラーがグローバル状態 '開始' に移行しました。
移行状態が、すべてのドメイン コントローラ上で整合性の取れた状態になりました。
成功しました。 - コマンドプロンプトで "dfsrmig /SetGlobalState 1" を実行し、DFSR移行のグローバル状態を「準備完了」にする。次のように表示される。
DFSR の現在のグローバル状態: '開始'
新しい DSFR のグローバル状態: '準備完了'
'準備完了' 状態に移行します。DFSR サービスによって SYSVOL が SYSVOL_DFSR フォルダーにコピーされます。
いずれかの DC で移行を開始できない場合は、手動ポーリングを試行してください。
または、/CreateGlobalObjects オプションを指定して実行してください。
移行は 15 分から 1 時間までの任意の時点で開始できます。
成功しました。 - DFS Replicationのイベントログを確認する。イベントID 8010 (移行準備開始)、8014 (移行準備完了) が記録されていることを確認する。
これには少し時間がかかるので記録されるまで待つ。 - コマンドプロンプトで "dfsrmig /GetMigrationState" を実行し、グローバル状態が「準備完了」になっていることを確認する。次のように表示される。
すべてのドメイン コントローラーがグローバル状態 '準備完了' に移行しました。
移行状態が、すべてのドメイン コントローラ上で整合性の取れた状態になりました。
成功しました。 - コマンドプロンプトで "dfsrmig /SetGlobalState 2" を実行し、DFSR移行のグローバル状態を「リダイレクト済み」に設定する。次のように表示される。
DFSR の現在のグローバル状態: '準備完了'
新しい DFSR のグローバル状態: 'リダイレクト済み'
'リダイレクト済み' 状態に移行します。SYSVOL 共有が、 DFSR を使用してレプリケートされた SYSVOL_DFSR フォルダーに変更されます。
成功しました。 - 再びイベントログでID: 8015 (リダイレクト処理開始)、8017 (リダイレクト処理完了) が記録されていることを確認する。これも少し時間がかかる。
- コマンドプロンプトで "dfsrmig /SetGlobalState 3" を実行し、DFSRのグローバル状態を「削除済み」にする。次のように表示される。
DFSR の現在のグローバル状態: 'リダイレクト済み'
新しい DFSR のグローバル状態: '削除済み'
'削除済み' 状態に移行します。このステップを元に戻すことはできません。
いずれかの RODC が長時間にわたって '削除済み' 状態になっている場合は、/DeleteRoNtfrsMembers オプションを指定して実行してください。
成功しました。 - もう一度イベントログを確認する。ID 8018 (削除済み開始)と8019 (削除済みリダイレクト処理完了) が記録されていることを確認する。これも少し時間がかかる。
- コマンドプロンプトで "dfsrmig /GetMigrationState" で、グローバル状態が「削除済み」になっていることを確認する。次のように表示される。
すべてのドメイン コントローラーがグローバル状態 '削除済み' に移行しました。
移行状態が、すべてのドメイン コントローラ上で整合性の取れた状態になりました。
成功しました。