横山 哲也グローバルナレッジネットワーク株式会社

今さら聞けないActive Directoryのアップグレードと移行～基礎から応用まで～

横山 哲也(ヨコヤマ テツヤ) グローバルナレッジネットワーク株式会社

http://www.globalknowledge.co.jp

Windows Server関連研修を担当

Microsoft MVP 2003年4月～2015年3月

Directory Services(2012年のみVirtual Machine)

最近の著書

プロが教えるWindows Server 2012システム管理(アスキー)

グループポリシー逆引きリファレンス厳選92(日経BP)

ソーシャルメディア

ブログ「ヨコヤマ企画(http://yp.g20k.jp)」

Twitter…yokoyamat

Facebook…yokoyama.tetsuya

趣味…写真 (猫とライブ) 1

はじめに

本セッションの目標

既存のActive DirectoryドメインサービスをWindows Server 2012 R2ドメインにする

アジェンダ

Active Directoryドメインサービスの復習

現状分析と移行方針

インプレースアップグレード

マイグレーション

Microsoft Azureの利用2

Active Directoryドメインサービスの復習

Active Directoryの呼称

ドメイン名とドメイン階層

組織単位(OU)

機能レベル

Windows Server 2012/2012 R2の新機能

3

Active Directoryの呼称

Active Directoryドメインサービス

Windows Server 2008から変更

現在の「Active Directory」

IDとアクセス制御のブランド

一般には「Active Directoryドメインサービス」の意味で使うことも多い 4

Active Directoryは形容詞

そもそも米国の商標は形容詞

ドメイン名とドメイン階層

Active Directoryドメイン=DNSドメインを流用

インターネットと接続している必要はない

シングルラベルドメイン禁止 (階層必須)

禁止例: GLOBALKNOWLEDGE

参考

Windows 2000ではシングルラベルドメイン可能

15文字のNetBIOS名でバグが出るサービスがあった

NetBIOS名はピリオドを許可 5

組織単位(OU)

主な目的

管理者の分類単位

管理制御の委任単位

グループポリシーの適用単位

比較的簡単に変更可能なので、意識しなくて良い

統合時は、移行元ドメインが識別できた方が良い

6

機能レベル…互換性を維持する機能

ドメイン機能レベル…ドメインの互換性

ドメイン内のドメインコントローラーの最小バージョン

ドメイン機能レベル ≦ DCのバージョン

例: Windows Server 2008 R2 機能レベルではWindows Server 2003 DC 不可

フォレスト機能レベル…フォレストの互換性

フォレスト内のドメインの機能レベルの最小値

フォレスト機能レベル ≦ ドメイン機能レベル

7

Windows Server 2012/2012 R2の新機能

Windows Server 2012 DCの新機能

ごみ箱機能のGUI

きめ細かなパスワードポリシーのGUI

ダイナミックアクセス制御

Windows Server 2012 仮想マシンDCの新機能

スナップショット対応…USN整合性/RIDプール更新

DC複製対応…SYSPREPに似た複製メカニズム

その他…PowerShellの強化など 8

ドメインコントローラーは仮想マシンへ

現状分析と移行方針

ドメイン名とドメイン階層

OSのバージョン

機能レベル

9

ドメイン名とドメイン階層

現状の把握

アップグレード(インプレースアップグレード)

マイグレーション

10

ドメイン名とドメイン階層:現状の把握

Active Directoryドメイン=DNSドメインを流用

既存ドメイン階層を変更したいか?

11

インターネット用例: microsoft.com

Active Directory用例: corp.microsoft.com

インターネット用例: g20k.jp

Active Directory用例: g20k.local

並列ドメイン子ドメイン

ドメイン名とドメイン階層:アップグレード

現状のドメイン階層で問題ない場合

利点: 簡単でトラブルが少ない

欠点: 現状の問題点がそのまま残る

12現状のドメイン階層に満足している場合に最適

ドメイン名とドメイン階層:マイグレーション

階層の変更: RENDOMツール

ドメインの名前変更

フォレストルート以外のドメイン階層の変更

マイグレーション: 別フォレストに移行

13

ドメインの付け替え

情報の複製

現状のドメイン階層に不満な場合に最適

OSのバージョン

ドメインコントローラー

×Windows 2000 Server

○Windows Server 2003以降

メンバーサーバー & クライアント

Active Directoryとは無関係

Windows NT以前は不可

暗号化アルゴリズムの問題

14

機能レベル

ドメイン機能レベル

フォレスト機能レベル

Windows 2000 混在

Windows 2000 ネイティブ

Windows Server 2003

Windows Server 2003 中間

Windows NTドメイン フォレスト機能レベル: Windows 2000×

×××

Windows Server 2008

Windows Server 2008 R2

Windows Server 2012

機能レベル: Windows Server 2012では

Windows Server 2003以降のみサポート

新規インストールの場合はWindows Server 2008以降

PowerShellを使うと降格可能

Windows Server 2008 R2 まで(ADごみ箱が有効の場合)

Windows Server 2008 まで(ADごみ箱が無効の場合)

162003

2008

2008 R2

2012

ごみ箱無効ごみ箱有効

現状分析と移行方針のまとめ

ドメイン名とドメイン階層の把握

アップグレードかマイグレーションか

OSのバージョンの把握

ドメイン機能レベルの選択

機能レベルの把握

フォレスト機能レベルの選択

17

インプレースアップグレード(アップグレード)

利点とリスク

アップグレード手順1: 準備

アップグレード手順2: 展開

アップグレード手順3: 後処理

18

アップグレードの利点とリスク

利点

簡単

リスク

望ましくない状態が続く可能性がある

「ゴミ」が残る

ポイント

19

現在のドメイン階層に満足している場合考慮点: ドメイン名の変更はかなり面倒

アップグレード手順1: 準備

Windows Server 2012以降…準備不要

ADPREP相当の作業が自動実行

従来のアップグレード…ADPREPツール

スキーマ拡張

セキュリティ修正

参考: Windows Server 2012 R2のADPREP

Windows Server 2008 以降で実行可能なx64コード

メンバーサーバーから実行可能

20

【参考】ADPREP自動実行の理由(のひとつ)

フォレスト機能レベルWindows 2000

スキーマ拡張はグローバルカタログの再構成を伴う

ネットワークとDCに大きな負担

フォレスト機能レベルWindows Server 2003

スキーマ拡張でグローバルカタログの再構成を伴わない

Windows Server 2012のフォレスト機能レベル

Windows Server 2003以上を保証

21

アップグレード手順2: 展開

旧DCを隔離し、バックアップとして使用可能

実際には難しいので最近は流行らない22

新DC

2012 R2 DCを追加 2012 R2ドメイン 旧DCを降格(その前に後処理)

アップグレード手順3: 後処理

操作マスターの移行

操作マスター正常降格時の自動移行は、移行先が不確実

グローバルカタログの維持

最近は全DCをグローバルカタログにしているはず

優先DNSサーバー (クライアント)

DCのIPアドレスの方を変更してもよい

SYSVOL複製

FRSからDFS-Rへ移行… DfsrMig.exeの使用

23

インプレースアップグレード

DEMO

24

マイグレーション

利点とリスク

マイグレーションツール

ユーザー移行

サーバー移行

セキュリティ統合

25

マイグレーションの利点とリスク

利点

現状を「リセット」できる

リスク

面倒

移行できない(または困難)な情報を考慮

ポイント

26

現在のドメイン階層を変更したい場合考慮点: ドメイン名を変更したい場合

マイグレーションツール

ADMT (Active Directory Migration Tool)

3.0…Windows Server 2003以前

3.1…Windows Server 2008

3.2…Windows Server 2008 R2 (SQL Server別)www.microsoft.com/ja-jp/download/details.aspx?id=8377

Windows Server 2012対応版は準備中http://support.microsoft.com/kb/2753560/ja

PES (Password Export Server)

3.1…ADMT 3.1および3.2と同時使用www.microsoft.com/ja-jp/download/details.aspx?id=1838 27

マイグレーションツール: ADMTの機能

主な機能

ユーザー移行(ユーザーとグループアカウント)

ユーザープロファイル移行

コンピューター移行(アカウント移行とドメイン変更)

セキュリティの変換

サービスアカウントの移行

制約

移行元と移行先で異なるDNSドメイン/NetBIOSドメイン/ドメインSID

28

ユーザー移行

クローズドセットの利用

ユーザーとグループのセット移行が必要な場合がある

29

グローバルグループ

グローバルグループのメンバーは同一ドメインに限られる

移行

ADMTによるユーザー移行

DEMO

30

サーバー移行

既存サーバーの流用…ADMT

メンバーサーバーとクライアント移行は基本的に同じ

1. コンピューターアカウントの移行

2. ドメインの付け替え

新規サーバーと置き換え…サーバー移行ツール

PowerShellベースの移行ツール

31

ADMTによるサーバー移行

DEMO

32

セキュリティ統合

ドメイン移行後はSIDが変化

アクセス許可の再設定が必要

TanakaSID: S-1-5-21-xxx-yyy

S-1-5-21-xxx-yyy: アクセス許可

TanakaSID: S-1-5-21-ZZZ-AAA

S-1-5-21-xxx-yyy

ドメイン移行(SID変化)

S-1-5-21-ZZZ-AAA

方法2:アクセス許可の変更(セキュリティ変換)

方法1: SIDヒストリの追加 旧SID33

セキュリティ統合

SIDヒストリの追加

利点: ADMT移行時に指定可能なので手軽

欠点: ログオンプロセスのセキュリティトークンの肥大

【参考】

How To Use Visual Basic Script to Clear SidHistoryhttp://support.microsoft.com/kb/295758/ja

セキュリティ変換

利点: 移行先のSIDに統合可能

欠点: セキュリティ変換を、アカウント移行後に実行34

Microsoft Azureの利用

Microsoft Azure IaaS

仮想マシン

読み取り専用ドメインコントローラー (RODC)

仮想ネットワーク

次のステップ

35

Microsoft Azure IaaS

Microsoft Azure

マイクロソフトが提供するクラウドサービス

http://azure.microsoft.com/ja-jp/

クラウドの全種類を提供

IaaS…仮想マシンを提供

36

SaaS Office 365など

PaaS Microsoft Azure Active Directory

IaaS Microsoft Azure仮想マシン

仮想マシン

AD DSのドメインコントローラー

Windows Server 仮想マシンとして構成

遠隔地の認証基盤を手軽に提供できる(例:南米)

Microsoft Azure Active Directoryとは機能が違う

注意

IPアドレスは動的に構成 (構成上はDHCPクライアント)

DSストアはCでもDでもない別のところ

C:はキャッシュの問題

D:は一時記憶場所37

読み取り専用ドメインコントローラー(RODC)

RODCの主な機能 = セキュリティリスクに対応

データベースが読み取り専用

サーバー管理者権限とディレクトリ管理者権限を分離

選択的なパスワード保存

Azure仮想マシンでの副次的効果

課金を節約 (ダウンロードのみ課金のため)

38

複製

RWDC RWDC RODC

複製

RODCをAzureに配置すると通信はほぼ無課金

仮想ネットワーク

サイト間接続仮想ネットワークの利用

ポイント対サイトは制約が大きい

DNSとしてDCを指定する

注意: 仮想ネットワーク同士の通信VNET to VNET で、複数の Microsoft Azure 仮想ネットワーク間を接続するhttp://blogs.technet.com/b/jpntsblog/archive/2014/07/16/vnet-to-vnet-microsoft-azure.aspx

39

仮想ネットワーク 仮想ネットワーク

本社

次のステップ

Azure Active Directory

クラウド認証基盤

ADFS: Active Directoryフェデレーションサービス

社内Active DirectoryとOffice 365などの連携

40

まとめ

Active Directoryドメインサービスの復習

現状分析と移行方針

インプレースアップグレード

マイグレーション

Microsoft Azureの利用

41

告知

「グローバルナレッジネットワーク」教育コース

Windows環境マイグレーション実践 (MSC0422G)

Active Directory最小構成実践(MSC0209G)

技術カンファレンス「G-Tech 2014」(無料)

www.globalknowledge.co.jp/topics/seminar/g-tech2014.html

東京10/10(金)10:30～17:00(懇親会17:20～18:30)場所:東京ラーニングセンター(地下鉄丸ノ内線西新宿)

大阪10/17(金)13:00～17:00(懇親会 17:20～18:30)場所: 大阪ラーニングセンター(地下鉄肥後橋)

42

Q & A

43

ありがとうございました

Thank You!

44