Windows Server 2016 Active Directory環境へのドメイ …jp.fujitsu.com/platform/server/primergy/technical/construct/pdf/... · Windows Server 2016” に変更します。機能レベル変更

2018年2月富士通株式会社

Windows Server® 2016 Active Directory® 環境へのドメイン移行の考え方

Copyright 2016-2018 FUJITSU LIMITED

第1.1版


改版日時版数改版内容 2016.11 1.0 新規作成 2018.02 1.1 ADMTの開発終了に伴い、記載を変更。

改版履歴

目次はじめに 1章 2016ドメインへの移行のポイント

１．移行メリット２．移行方法の種類３．各移行方法のメリット・デメリット４．既存ドメインからの移行パス

2章既存ドメインから2016ドメインへの移行１．移行方法選択の考え方２．既存ドメインのバージョンアップ

移行概要移行手順

３．新規ドメイン構築&アカウント移行移行概要移行手順


はじめに本書は、Fujitsu Server PRIMERGYを用いて、既存のActive Directory®環境を

Windows Server® 2016 Active Directory® 環境へドメイン移行する際の考え方・概要をご紹介するものです。

本書では、以下の略称を使用します。


正式名称略称

Microsoft® Windows Server® 2003 Windows Server 2003


Microsoft® Windows Server® 2008 R2 Windows Server 2008 R2


Microsoft® Windows Server® 2012 R2 Windows Server 2012 R2


Microsoft® Windows Server® 2003 Active Directory®のドメイン 2003ドメイン


Microsoft® Windows Server® 2008 R2 Active Directory®のドメイン 2008 R2ドメイン


Microsoft® Windows Server® 2012 R2 Active Directory®のドメイン 2012 R2ドメイン


ドメインコントローラー DC

※図表では、更に省略した表記を使用する場合があります。

注意事項注意事項本ドキュメントを輸出または第三者へ提供する場合は、お客様が居住する国および米国輸出

管理関連法規等の規制をご確認のうえ、必要な手続きをおとりください。本書に記載されたデータの使用に起因する、第三者の特許権およびその他の権利の侵害に

ついては、当社はその責を負いません。



1. 移行メリット 2. 移行方法の種類 3. 各移行方法のメリット・デメリット 4. 既存ドメインからの移行パス

１章 2016ドメインへの移行のポイント


1章 2016ドメインへの移行のポイント

新しい認証方式「Microsoft Passport」への対応 Microsoft Passport は、Windows 10 から採用されたパスワードレスのユーザー認証を可能に

する新しいテクノロジーです。この新しい認証方法は、登録済みデバイスと、PIN あるいは生体認証の多要素認証から成り、従来のパスワード方式に比べてより強固なセキュリティ基盤を構築することができます。これまでは Microsoft アカウントと Azure AD アカウントでサポートされていましたが、Windows Server 2016 の登場によりオンプレミスの Active Directory に参加する Windows 10 でもサポートされるようになりました。

クラウドとオンプレミスとのハイブリット統合 Azure AD Connect ツールを使用して Azure AD のディレクトリとオンプレミスの Active

Directory ドメインをディレクトリ統合することで、社内外のデバイスからオンプレミスの ID を用いて、クラウドアプリやオンプレミスのリソースにシングルサインオンでアクセスできる環境を実現できます。Windows Server 2016 の Active Directory フェデレーションサービスの機能強化により、社内外で Microsoft Passport を利用した認証が可能になります。

特権アクセス管理 (PAM) によるセキュリティリスクの低減 Windows 2016 ドメインでは、Microsoft Identity Manager (MIM) 2016 の特権アクセス管理

(Privileged Access Management, PAM) 機能がサポートされます。この機能により、ユーザーに対して永続的ではなく、必要なときに有効期限付きの特権アクセスの権限を付与し、有効期限が経過すると特権アクセスの権限をはく奪することできるため、セキュリティリスクを低減することができます。MIM 2016 の PAM は、Windows Server 2012 R2 以降の Active Directory ドメインをサポートしています。

１．移行メリット

ドメインの移行には以下の２つの方法があります。既存ドメインのバージョンアップ新規ドメイン構築&アカウント移行


1章 2016ドメインへの移行のポイント

既存ドメインの構成、情報をそのままに、 DCのリプレースを行うことでバージョンアップする方法です。

既存ドメインのアカウント情報を新規構築したドメインへコピーする方法です。

※ Windows Server 2012 R2までは、ADMT（Active Directory移行ツール）を利用して新規ドメインへアカウントを移行する方法を紹介しておりました。2017年6月、ADMTは開発が終了しており、 Windows Server 2016に対して動作保証されたADMTはリリースされないことがアナウンスされました。そのため、ADMTを使用した移行方法は推奨いたしません。アカウントの移行は手動で行うか、スクリプトなどを作成して行う必要があります。 ADMTの対応状況に関して詳細は次の情報をご参照ください。 Windows 10/Windows Server 2016 の環境における ADMT を使用する場合の対応状況について https://blogs.technet.microsoft.com/jpntsblog/2017/06/02/windows-10windows-server-2016-%e3%81%ae%e7%92%b0%e5%a2%83%e3%81%ab%e3%81%8a%e3%81%91%e3%82%8b-admt-%e3%82%92%e4%bd%bf%e7%94%a8%e3%81%99%e3%82%8b%e5%a0%b4%e5%90%88%e3%81%ae%e5%af%be%e5%bf%9c%e7%8a%b6/

バージョンアップ撤去

旧DC 新DC

アカウント移行

旧DC 新DC

２．移行方法の種類

https://blogs.technet.microsoft.com/jpntsblog/2017/06/02/windows-10windows-server-2016-%e3%81%ae%e7%92%b0%e5%a2%83%e3%81%ab%e3%81%8a%e3%81%91%e3%82%8b-admt-%e3%82%92%e4%bd%bf%e7%94%a8%e3%81%99%e3%82%8b%e5%a0%b4%e5%90%88%e3%81%ae%e5%af%be%e5%bf%9c%e7%8a%b6/




1章 2016 ドメインへの移行のポイント

各移行方法のメリット・デメリットは次のとおりです。 “既存ドメインのバージョンアップ”を推奨いたします。

既存ドメインのバージョンアップ

○ 既存ドメインのドメイン名やアカウント情報を完全に引継ぎ可能 ○ クライアントPCのドメイン再参加作業が不要 ○ ファイルサーバなどのアクセス権再設定作業が不要

新規ドメイン構築&アカウント移行 ○ 既存ドメイン環境を維持したまま移行可能なため、段階的な移行が可能 × 既存ドメインのアカウント、グループ、権限等の移行方法を検討する必要がある × ドメイン名が変更になるため、既存システムへの影響が大きい × クライアントPCのドメイン再参加作業が必要となり、移行時のユーザ負担が増加

３．各移行方法のメリット・デメリット

ドメイン移行の移行パス


1章 2016 ドメインへの移行のポイント

2016 ドメイン

2003 ドメイン

2008 ドメイン

2008 R2 ドメイン

2012 ドメイン

移行後移行前

※1 2003ドメインから2016ドメインへの直接移行は可能です。2016ドメインでも2003機能レベルはサポートされますが推奨されていないため、移行後は機能レベルを Windows Server 2008 以上に変更してください。 ※2 Windows Server, version 1709ではFRSのサポートが削除されたため2003ドメインから直接2016ドメインに移行することはできません。いったん2008/2008 R2/2012/2012 R2ドメインに移行し、FRSからDFSRに変更した上で、2016ドメインに移行します。

ドメインのバージョンアップ新規ドメイン構築＆アカウント移行



ドメインのバージョンアップ ※1 ※2 新規ドメイン構築＆アカウント移行

４．既存ドメインからの移行パス

2012 R2 ドメイン



1. 移行方法選択の考え方 2. 既存ドメインのバージョンアップ

移行概要移行手順

3. 新規ドメイン構築&アカウント移行移行概要移行手順

２章既存ドメインから 2016ドメインへの移行

2003/2008/2008 R2/2012/2012 R2ドメインからの移行は、“既存ドメインのバージョンアップ”を推奨します。

移行を機にドメイン環境を一新したい場合や、以下のような特別な要件がある場合には、“新規ドメイン構築&アカウント移行”を選択することになります。ただし、ADMTはサポートされないため、別途、アカウント、グループ、権限等の移行方法を検討する必要があります。互換性確認が必要な既存サーバが多いため、既存ドメインを残しつつ、段階的に移行を行いたい。 M&Aに伴いドメイン環境を統合したいなど、既存ドメインをそのまま使用したくない事情がある。


２章既存ドメインから2016ドメインへの移行１．移行方法選択の考え方

移行概要既存ドメインの構成、情報をそのままに、ドメインコントローラーのリプレースを行うことでバージョンアップする方法です。


２章既存ドメインから2016ドメインへの移行

移行前・移行後ともにDCは2台構成ハードウェアは新しいものにリプレース

以下の前提で移行手順をご紹介します。

バージョンアップ

2016ドメイン

DC

Windows Server 2016

DC

Windows Server 2016

移行後

2003/2008/2008 R2/2012/2012 R2 ドメイン

DC DC

Windows Server 2003/2008/2008 R2/

2012/2012R2

移行前


2012/2012 R2

２．既存ドメインのバージョンアップ（1/3）

移行手順



1 新規にDCとして使用するサーバ（新規DC）に、Windows Server 2016をインストールします。

2 新規DCを既存ドメインに参加させて、DCに昇格します。 ※DCに昇格する際に、自動的にス

キーマの拡張が行われます。

3 2台目の新規DCを既存ドメインのDCとして追加します。

Windows Server 2016

Windows Server 2016

×2台

Windows Server 2003/2008/2008 R2/ 2012/2012 R2 ×2台

FSMO 追加

Windows Server 2003/2008/2008 R2/ 2012/2012 R2 ×2台

FSMO スキーマの拡張

Windows Server 2016

DC昇格




4 FSMO(※)を新規DCに転送します。

5 既存DCをメンバーサーバへ降格します。

6 機能レベルを“Windows Server 2016” に変更します。

機能レベル変更

Windows Server 2016 ×2台

FSMO



2012/2012 R2 ×2台

FSMO FSMO



2012/2012 R2 ×2台

FSMO

降格降格

※特定の1台のDCが処理を実行する、特別な役割を「操作マスタ (FSMO:Flexible Single Master Operation)」といいます。


移行概要新規構築した2016ドメインに既存の2003/2008/2008 R2/ 2012/2012 R2ドメインの情報を、手動や作成したスクリプトなどを使用して移行します。



移行前・移行後ともにDCは2台構成新規ドメインを別途構築し、既存ドメインのアカウントを移行

以下の前提で移行手順をご紹介します。

アカウント移行

移行前

2003/2008/2008 R2/2012/2012 R2 ドメイン

DC DC

Windows Server 2003/2008/2008 R2

2012/2012 R2


2012/2012 R2

移行後

2016ドメイン

DC

Windows Server 2016

Windows Server 2016

DC

３．新規ドメイン構築&アカウント移行（1/3）

移行手順



1 新規に、2016ドメインを構築します。

2 既存ドメインと双方向信頼関係を作成します。（移行作業期間中に、既存ドメインから新規ドメイン、新規ドメインから既存ドメインのリソースを利用できるようにするため。）

3 手動や作成したスクリプトなどを使用して、既存ドメインから新規ドメインへ、アカウントの移行を行います。


2012/2012 R2 ×2台


新規構築

信頼関係


2012/2012 R2 ×2台


アカウント


2012/2012 R2 ×2台





4 既存ドメインに所属しているクライアント、メンバサーバを新規ドメインに参加させます。

5 アカウント、および、クライアント、メンバサーバ等のリソース移行完了後に、信頼関係を破棄します。

6 既存ドメイン環境を破棄します。


2012/2012 R2 ×2台


信頼関係破棄


2012/2012 R2 ×2台


破棄


クライアント、メンバサーバ


2012/2012 R2 ×2台


登録商標について／免責事項登録商標について Microsoft, Windows, Windows Server, Active Directory, Azure, Microsoft Passport, は、米国

Microsoft Corporationの米国およびその他の国における登録商標または商標です。記載されている会社名、製品名は各社の登録商標または商標です。記載されている会社名、製品名等の固有名詞は各社の商号、登録商標または商標です。その他、本資料に記載されている会社名、システム名、製品名等には必ずしも商標表示を付記し

ておりません。

免責事項このドキュメントは単に情報として提供され、内容は予告なしに変更される場合があります。また、発行元の許可なく、本書の記載内容を複写、転載することを禁止します。このドキュメントに誤りが無いことの保証や、商品性又は特定目的への適合性の黙示的な保証や条件を含め明示的又は黙示的な保証や条件は一切無いものとします。富士通株式会社は、このドキュメントについていかなる責任も負いません。また、このドキュメントによって直接又は間接にいかなる契約上の義務も負うものではありません。このドキュメントを形式、手段（電子的又は機械的）、目的に関係なく、富士通株式会社の書面による事前の承諾なく、複製又は転載することはできません。



Documents

Windows Server 2016 Active Directory環境へのドメイ …jp.fujitsu.com/platform/server/primergy/technical/construct/pdf/... · Windows Server 2016” に変更します。 機能レベル変更

Windows Server 2016 Active Directory環境へのドメイ …jp.fujitsu.com/platform/server/primergy/technical/construct/pdf/... · Windows Server 2016” に変更します。機能レベル変更