160625 cloud samurai_adds_migration_160625
100
Active Directory Domain Services 移行 指南 ~ みんな大好き AD DS !! ~ アイティデザイン株式会社 知北直宏 Copyright 2016 ITdesign Corporation , All Rights Reserved ‘16/6/25 @ Interact × Cloud Samurai 2016 Summer
-
Upload
wintechq -
Category
Technology
-
view
1.553 -
download
0
Transcript of 160625 cloud samurai_adds_migration_160625
Active Directory Domain Services移行指南
~ みんな大好き AD DS !! ~
アイティデザイン株式会社
知北直宏Copyright 2016 ITdesign Corporation , All Rights Reserved
‘16/6/25@ Interact×Cloud Samurai 2016 Summer
2
はじめに
AD DS(Active Directory Domain Services)は、多くの組織で、無くてはならない認証基盤として利用されています。
このセッションでは、Windows Server 2008からWindows Server 2016までのAD DSの特徴や進化、そして、移行を行うための実践的な情報について解説します。
Windows Server 2016についての情報は、TP5(Technical Preview 5)の仕様に基づいております。正式版リリース時には仕様が変わっている可能性があることにご注意ください。
次へ
3
知北の自己紹介
知北直宏(ちきたなおひろ)Twitter: @wanto1101 福岡生まれの福岡育ち Microsoft MVP (Cloud and Datacenter Management) アイティデザイン株式会社 代表取締役社長 ITPro、Sierとして、Active Directory、Hyper-V など、
マイクロソフトのサーバー製品の提案・構築・サポートなど担当。大手、地場インテグレーターさんの後方支援など。
Active Directoryの移行案件は年がら年中やってます。 マイクロソフトのホワイトペーパー執筆、イベントスピーカー Microsoft Azureのトレーニングコース開発 書籍執筆
次へ
4
書籍のご紹介
標準テキストWindows Server 2012 R2 構築・運用・管理パーフェクトガイド
次へ
• 2014年9月発売• Windows Server 2012 R2 の主要機能について、
全39章、800ページオーバーで、解説• 日本マイクロソフト サポートチーム全面監修• 2016年4月に第4版を出版!• 電子書籍版も好評発売中!
http://www.sbcr.jp/products/4797377040.htmlISBN:978-4-7973-7704-0
5
書籍のご紹介
次へ
01章 Windows Server 2012 R2の概要と導入計画02章 Windows Server 2012 R2の導入03章 ストレージの管理04章 ネットワークの管理05章 ユーザーとグループの管理06章 Active Directoryの概要07章 Active Directoryの構築手順08章 Active Directoryの削除09章 サイトの構築と管理10章 RODCの構築と管理11章 OUの作成と管理12章 アカウントの管理13章 グループポリシーの管理14章 ユーザー環境の管理15章 Active Directoryの高度な管理16章 Active Directoryの保守17章 Active Directoryのマイグレーション18章 AD CSによるPKI環境の構築19章 Hyper-Vの概要20章 Hyper-Vの構築手順
21章 Hyper-VレプリカによるDR対策22章 ライブマイグレーション環境の構築とHyper-Vクラスター23章 Windows Server Essentialsエクスペリエンスの活用24章 WSUSサーバーの構築と管理25章 DNSサーバーの構築と管理26章 DHCPサーバーの構築と管理27章 ファイルサーバーの構築と管理28章 ダイナミックアクセス制御の利用29章 iSCSIによるストレージエリアネットワークの構築30章 WebサーバーとFTPサーバーの構築と管理31章 Server Coreの利用32章 NAPによる検疫ネットワークの構築と管理33章 DirectAccess環境の構築34章 NLBクラスターの構築と管理35章 フェールオーバークラスターの構築と管理36章 パフォーマンス監視37章 セキュリティ管理38章 バックアップと回復39章 障害復旧
6
アジェンダ
1. AD DS 移行の心構え2. AD DS バージョンごとの機能3. AD DS 移行方法の例4. AD DS 移行の注意点
次へ
1. 移行の心構え
次へ
8
移行を成功させるための心構え
しっかりと現状把握しましょう 早期に移行方法を決定しましょう バージョンアップによる影響や新機能を把握しましょう 準備、動作検証しっかりと 動作確認はこまめに 移行作業時には時間と気持ちの余裕を
次へ
9
1.移行の心構え >
しっかりと現状把握しましょう
移行の目的は?
OSのサポート終了対策? プラットフォームのサポート終了対策? 新機能を利用するため?
次へ
10
1.移行の心構え > しっかりと現状把握しましょう
【参考】Windows Server のサポート終了日
次へ
製品名メインストリームサポート
終了日延長サポート
終了日
Windows Server 2008 2015/01/13 2020/01/14
Windows Server 2008 R2 2015/01/13 2020/01/14
Windows Server 2012 2018/01/09 2023/01/10
Windows Server 2012 R2 2018/01/09 2023/01/10
Windows Server 2016 ??? ???
11
1.移行の心構え >
しっかりと現状把握しましょう(つづき)
現在の環境、構成、ライセンスの所有状況は?
ドメインコントローラーでAD DS以外の役割は動いてないか?(DNS Server、DHCP Server、WINS Server、AD CS、etc…)
AD DSと密接に連携しているアプリケーションはないか?
CALの所有状況は?
次へ
12
1.移行の心構え >
しっかりと現状把握しましょう(つづき)
潜在的な問題、障害はない?
ドメインコントローラーの正常性は?(イベントログ、Dcdiag、Repadmin、Nltest、etc…)
目に見えない障害はない?
次へ
13
1.移行の心構え >
早期に移行方法を決定しましょう
Active Directory ドメインの移行方法は複数ある
Active Directory ドメインをアップグレード Active Directory ドメインの再編とオブジェクトの移行
バージョンによっては、「(OSの)インプレースアップグレード」も可能
次へ
14
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインをアップグレードする」移行方法とは?
既存の Active Directory ドメインに、新たなドメインコントローラーを追加して、古いドメインコントローラーを削除(降格)して、アップグレードします。
次へ
Active Directory ドメイン サービス (AD DS) の社内への展開http://technet.microsoft.com/ja-jp/library/hh472160.aspx
15
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインをアップグレードする」移行方法の流れ
次へ
Old Windows Server
フォレスト / ドメイン
Old Windows Server
16
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインをアップグレードする」移行方法の流れ
次へ
Old Windows Server
フォレスト / ドメイン
Old Windows Server
Phase 0 : 準備例)機能レベルを要件にあわせて昇格する(SYSVOL複製方法変更)
17次へ
Old Windows Server
フォレスト / ドメイン
Old Windows Server
Phase 1新しいドメインコントローラーを追加する
New Windows Server New Windows Server
ディレクトリ情報の複製
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインをアップグレードする」移行方法の流れ
18次へ
Old Windows Server
フォレスト / ドメイン
Old Windows Server
Phase 2FSMO の操作マスターの役割を転送する
New Windows Server New Windows Server
ディレクトリ情報の複製
FSMO
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインをアップグレードする」移行方法の流れ
19次へ
Old Windows Server
フォレスト / ドメイン
Old Windows Server
Phase 3古いドメインコントローラーを降格する
New Windows ServerNew Windows Server
FSMO
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインをアップグレードする」移行方法の流れ
20次へ
フォレスト / ドメイン
Phase 4(可能であれば)機能レベルを昇格する
New Windows ServerNew Windows Server
FSMO
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインをアップグレードする」移行方法の流れ
21次へ
フォレスト / ドメイン
+ α・IPアドレスの引継ぎ・SYSVOL複製方法変更・ごみ箱の有効化・その他
New Windows ServerNew Windows Server
FSMO
IP アドレス引継ぎ
セントラルストアの作成
SYSVOL複製方法
変更
ごみ箱の有効化
動作確認
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインをアップグレードする」移行方法の流れ
22
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインの再編とオブジェクトの移動」による移行方法とは?
新規にドメインを作成して、ツールを使って徐々にアカウントを移行する方法
アカウント移動は ADMT(Active Directory Migration Tool)を使用 パスワード移行は PES(Password Export Server)を使用
次へ
Active Directory 移行ツール (ADMT) ガイド: Active Directory ドメインの移行と再構築http://www.microsoft.com/ja-jp/download/details.aspx?id=19188
23
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインの再編とオブジェクトの移動」による移行の流れ
次へ
移行元 フォレスト / ドメイン
Old Windows Server
Phase 0 : 準備移行元の機能レベルを昇格
24
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインの再編とオブジェクトの移動」による移行の流れ
次へ
移行元 フォレスト / ドメイン
Old Windows Server
Phase 1新しいドメインコントローラーで、移行先のフォレスト/ドメインを構築。
信頼関係を結ぶ。
移行先 フォレスト / ドメイン
New Windows Server
信頼関係
25次へ
移行元 フォレスト / ドメイン
Old Windows Server
Phase 2「ADMT用サーバー」を移行先ドメインに参加
移行先 フォレスト / ドメイン
New Windows Server
信頼関係 ADMT用サーバー
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインの再編とオブジェクトの移動」による移行の流れ
26次へ
移行元 フォレスト / ドメイン
Old Windows Server
Phase 3ADMTやPESをインストール。その他、各種設定。
移行先 フォレスト / ドメイン
New Windows Server
信頼関係 ADMT用サーバー
ADMT
PES
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインの再編とオブジェクトの移動」による移行の流れ
27次へ
移行元 フォレスト / ドメイン
Old Windows Server
Phase 4各種アカウントの移行を実行
移行先 フォレスト / ドメイン
New Windows Server
信頼関係 ADMT用サーバー
ADMT
PESアカウント
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインの再編とオブジェクトの移動」による移行の流れ
28次へ
Phase 5終了処理。
移行先 フォレスト / ドメイン
New Windows Server
ADMT用サーバー
ADMT
移行元 フォレスト / ドメイン
Old Windows Server
PESアカウント
信頼関係
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインの再編とオブジェクトの移動」による移行の流れ
29
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインの再編とオブジェクトの移動」の注意点
ドメインを新規構築して、アカウントを移動するため、手間がかかる。
ドメイン名など、設定や環境が大きく変わるため、各種システムへの影響が大きい。
旧ドメインに参加していたコンピューターなどは、新ドメインへ参加しなおす必要があるため、再起動必須。
ADMT の対応バージョンに注意。
次へ
30
1.移行の心構え > 早期に移行方法を決定しましょう
Active Directory の 2 つの移行方法の比較
次へ
方法 ドメインをアップグレードドメインを再編してオブジェクトを移行
概要既存ドメインに新しいドメインコントローラーを追加して古いドメインコントローラーを削除(降格)
新しいドメインを構築して既存ドメインからオブジェクトを順次移行
メリット ・簡単・ドメインの再構成が可能・段階的な移行が可能
デメリット・課題
・ドメインの構成は変わらず・段階的な移行が困難
・難易度が高い・多くの工数、コストを要する
オススメ!これ以降はこちらについて解説!
31
1.移行の心構え >
準備、動作検証しっかりと
実際の移行作業をスムーズに行うためにも、準備、動作検証は重要(リカバリーの設計や検証もお忘れなく)
移行の手順書は細かくフェーズをわけることを推奨
フェーズわけの例) 1台目のドメインコントローラー追加(スキーマ拡張) 2台目、3台目…のドメインコントローラー追加 サイトの構成変更 DNS Server、DHCP Server、WINS Server、AD CSのアップグレード FSMOの転送 古いドメインコントローラーの降格 機能レベル昇格 SYSVOL複製方法変更、ごみ箱有効化、etc…
次へ
32
1.移行の心構え >
準備、動作検証しっかりと(つづき)
動作検証は可能な限り実環境に近いもので実施することを推奨
実際の移行作業でそのまま実行できるコマンド集の準備
次へ
33
1.移行の心構え >
動作確認はこまめに
試験項目の洗い出し、試験仕様書の作成
試験項目の例) 各ドメインコントローラー、メンバーサーバー、
クライアントコンピューターのイベントログ確認 各種コマンドによる正常性確認(Dcdiag、Repadmin、Nltest、etc…) 名前解決に問題はないか ディレクトリ複製はできているか、特にサイト間 グループポリシーに問題はないか メンバーサーバーやクライアントコンピューターの再起動、ログオン、
業務利用に問題はないか ドメインコントローラーの追加機能は正しく動作しているか
フェーズごとに動作確認を行うことを推奨
次へ
34
1.移行の心構え >
移行作業時には時間と気持ちの余裕を
サービスやアプリケーション、環境によっては、複数回にわける必要あり
必ずデータのバックアップを取得してから実施(システム状態、グループポリシーオブジェクト、etc…)
十分に時間の余裕を持たせたタイムスケジュールとしましょう
主だった作業の時間帯を記録しましょう 1台目のドメインコントローラー追加(スキーマ拡張) 2台目、3台目…のドメインコントローラー追加 サイトの構成変更 DNS Server、DHCP Server、WINS Server、AD CSのアップグレード FSMOの転送 古いドメインコントローラーの降格 機能レベル昇格 SYSVOL複製方法変更、ごみ箱有効化、etc…
次へ
2. バージョンごとの機能
次へ
36
2. バージョンごとの機能 >
OS のバージョンごとの新機能、追加機能
OS のバージョンが新しくなることにより、AD DS、ドメインコントローラーに機能が追加されている
Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 (TP5)
利用するためには、「フォレストの機能レベル」や「ドメインの機能レベル」も上げなければならないもの、追加の操作を要するものもある
次へ
37
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
Windows Server 2008 の AD DS 追加機能
機能のサービス化 RODC(Read Only Domain Controller)のサポート グループポリシーの基本設定 監査機能の改善 フリガナのサポート きめ細やかなパスワードポリシー
1 つのドメインの中で、複数のパスワードポリシーを設定できるようになりました。例えば、一般ユーザーと管理者ユーザーのパスワードの長さや複雑さの要件を変えることなどが可能です。※「ドメインの機能レベル」が「Windows Server 2008以上」であること。
次へ
38
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
Windows Server 2008 R2 の AD DS 追加機能
Active Directory 管理センター Active Directory Web サービス Active Directory ベストプラクティスアナライザー オフラインドメイン参加のサポート 管理されたサービスアカウントのサポート Active Directory のごみ箱機能のサポート
Active Directory のオブジェクトを削除しても、比較的容易に復元できるようになりました。※「フォレストの機能レベル」が「Windows Server 2008 R2以上」であること。
次へ
39
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
Windows Server 2012 の AD DS 追加機能
ダイナミックアクセス制御 Active Directoryによるライセンス認証 DirectAccessオフラインドメイン参加のサポート グループの管理されたサービスアカウントのサポート 仮想化されたドメインコントローラーの複製 ドメインコントローラーの安全な仮想化
Windows Server 2012やWindows Server 2012 R2のHyper-Vなど、「VM-GenerationID」をサポートしたハイパーバイザープラットフォーム上で安全に仮想化することが可能になりました。
次へ
40
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
Windows Server 2012 R2 の AD DS 追加機能
Protected Usersグループのサポート 認証ポリシーサイロのサポート
AD FSによる追加機能いろいろ 多要素認証サポート ワークプレース参加
次へ
41
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
【参考】Protected Usersグループ
Windows Server 2012 R2 から追加された、ビルトインの新しいグローバルセキュリティグループ。
Windows 8.1以降を実行するコンピューターからの認証セキュリティをさらに強化することが可能。
AES 暗号化による Kerberos 認証が必須 既定のKerberosチケット保証チケット(TGT)の有効期限が 4 時間に Windows 8.1クライアントのローカルにパスワードがキャッシュされなくなる
次へ
42
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
【参考】認証ポリシーサイロ
フォレスト レベルで管理されるKerberos認証の新しいポリシー Kerberosチケット保障チケット(TGT)の有効期限の制限や、
アクセス制御条件を定義した認証ポリシーの適用が可能 Windows 8.1以降、Windows Server 2012 R2 でサポートされる
次へ
43
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
Windows Server 2016 (TP5) の AD DS 追加・削除機能
※Windows Server 2016 正式リリース時には仕様が変わる可能性があります。
特権アクセス管理(Privileged Access Management:PAM) Microsoft Passport for Work SYSVOLとNETLOGON共有のセキュリティ強化 Kerberos TGT lifetime の制御
「Windows Server 2003」機能レベルがノンサポートに FRSがノンサポートに
AD FSは機能強化がたくさん、
Azure AD、AD FSがないと使えない機能いろいろ。。。次へ
44
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
【参考】特権アクセス管理(PAM)
Microsoft Identity Manager (MIM) を使って、特権アクセス管理を行い、Active Directory 環境のセキュリティ脅威を緩和
「特定の時間のみ、特定の処理を実現」
次へ
de:code 2016「マイクロソフトの特権管理ソリューションの全貌 ~狙われる特権を守れ!~」https://channel9.msdn.com/Events/de-code/2016/INF-023
45
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
【参考】特権アクセス管理(PAM)の構成手順
次へ
MIMサーバー
信頼関係
山田太郎(たまに管理者)
既存フォレストCORP
CorpAdmin管理グループ
CORP¥Taroユーザー
特権管理フォレスト(要塞フォレスト)PRIV
CorpAdminシャドウグループ
PRIV¥Taroユーザー
SID(SID History)
① 特権管理フォレストを構築グループ、ユーザー作成
② 信頼関係(片方向)
③ MIMサーバーを構築PAMロールなど設定誰がどのグループに所属できる?有効期限は?MFA使う?承認必要?
①
②
③
46
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
【参考】特権アクセス管理(PAM)の使い方
次へ
MIMサーバー
信頼関係
山田太郎(たまに管理者)
既存フォレストCORP
CorpAdmin管理グループ
CORP¥Taroユーザー
特権管理フォレスト(要塞フォレスト)PRIV
CorpAdminシャドウグループ
PRIV¥Taroユーザー
SID(SID History)
① リクエスト
② 特権管理フォレストのグループにユーザーを追加(MFA、承認、ログ)
③ 特権管理フォレストのユーザーとして管理タスク実行
④ 自動で特権管理フォレストのグループからユーザーを削除
①
②
③
④
47
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
【参考】Microsoft Passport for Work
MicrosoftアカウントおよびAzure Active Directory参加で利用可能な、パスワード入力を必要としないWindows 10の「Microsoft Passport 認証」を、オンプレミスに展開する機能
AD FSが必要
次へ
48
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
【参考】SYSVOLとNETLOGON共有のセキュリティ強化
ドメインに参加する Windows 10 および Windows Server 2016 は、SYSVOLおよびNETLOGON共有への接続時にSMB署名およびKerberos認証による相互認証が既定で要求される
MS15-011のグループ ポリシーの脆弱性への対策
次へ
49
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
【参考】Kerberos TGT lifetime の制御
TGTの有効期限制御によるグループメンバーシップの管理
Windows Server 2016 フォレスト機能レベル
一度有効化すると、無効化できない
次へ
50
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
【参考】機能レベル要件変更
Windows Server 2016は、「Windows Server 2003」フォレストの機能レベル、ドメインの機能レベルをサポートしない
次へ
51
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
【参考】FRSはノンサポートに
ADSIエディターで確認可能 「CN=DFSR-GlobalSettings」以下に
「CN=Domain System Volume」があればDFS-R 「CN=File Replication Services」以下に
「CN=Domain System Volume (SYSVOL share)」があればFRS
FRSであれば、移行前にDFS-Rへ変更
(・・・TP5ではドメインコントローラーの追加もできて、再起動後のレプリケーションもできてしまった。。。)
次へ
SYSVOL レプリケーション移行ガイド: FRS から DFS レプリケーションhttps://technet.microsoft.com/library/dd640019.aspx
FRS から DFSR への移行 (SYSVOL)https://blogs.technet.microsoft.com/jpntsblog/2009/12/04/frs-dfsr-sysvol/
52
2. バージョンごとの機能 >
「フォレストの機能レベル」を昇格することにより利用できる機能
次へ
フォレストの機能レベル 利用可能となる機能
Windows Server 2008 (「Windows Server 2003」と同じ)
Windows Server 2008 R2 Active Directory のごみ箱
Windows Server 2012 (「Windows Server 2008 R2」と同じ)
Windows Server 2012 R2 (「Windows Server 2012」と同じ)
Windows Server 2016Kerberos TGT lifetime の制御???
Exchange Server のサポート一覧https://technet.microsoft.com/library/ff728623(v=exchg.150).aspx
ドメインに参加しているシステムが、上位の「フォレストの機能レベル」をサポートしているか要確認。
例えば、Exchange Server 2007 は「Windows Server 2012 R2」以上のフォレストの機能レベルをサポートしていないよう。
53
2. バージョンごとの機能 >
「ドメインの機能レベル」を昇格することにより利用できる機能
次へ
ドメインの機能レベル 利用可能となる機能
Windows Server 2008
DFS-RによるSYSVOL複製サポートAES128および256によるKerberosプロトコルサポート前回の対話型ログオンの情報きめ細やかなパスワードポリシー
Windows Server 2008 R2 認証保障
Windows Server 2012 ダイナミックアクセスポリシーやKerberos防御のためのポリシーサポート
Windows Server 2012 R2Protected Usersグループのサポート認証ポリシーの強化認証ポリシーサイロ
Windows Server 2016 ???
3. 移行方法の例
次へ
55
3. 移行方法の例 >
Windows Server 2012 R2 AD DS への移行例
古いWindows Serverによる AD DSを、Windows Server 2012 R2 AD DSへ移行する方法の「例」を紹介
移行元、移行先のバージョンによって手順は若干異なります
次へ
56
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 0:準備
ドメインコントローラーのシステム状態のバックアップを取得します。 ドメインの機能レベルと、フォレストの機能レベルを
「Windows Server 2003」にします。(Windows Server 2003 よりも古いドメインコントローラーが存在しないこと。)
「Active Directory ドメインと信頼関係」で操作します。
次へ
57
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 1:新しいドメインコントローラーの追加(1/3)
Windows Server 2012 R2 コンピューターをドメインに参加させて、ドメインの管理者でログオンして操作。
「サーバーマネージャー」から「役割と機能の追加ウィザード」を起動して、「Active Directory ドメインサービス」を追加します。
次へ
58
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 1:新しいドメインコントローラーの追加(2/3)
「役割と機能の追加ウィザード」の「結果」ページの「このサーバーをドメインコントローラーに昇格する」リンクを開いて、「Active Directory ドメイン サービス構成ウィザード」を開き、進めます。
次へ
59
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 1:新しいドメインコントローラーの追加(3/3)
スキーマの拡張など、ドメインのアップグレード処理はウィザードが実行してくれます。
次へ
前提条件にパスできたならば、インストールができます。 インストールが終わると自動で再起動しますからご注意。
新しいドメインコントローラーの台数分繰り返す
既存ドメインコントローラーで「Remote Registry」
サービスが動作していること
60
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 2:FSMO 操作マスターの転送(1/5)
FSMO( Flexible Single Master Operation )の操作マスターは、5 種類あります。
スキーママスター(フォレストに 1 台) ドメイン名前付けマスター(フォレストに 1 台)
RID プールマスター(ドメインに 1 台) PDC エミュレーター(ドメインに 1 台) インフラストラクチャマスター(ドメインに 1 台)
次へ
61
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 2:FSMO 操作マスターの転送(2/5)
スキーママスターを転送するには、まずは次のコマンドを実行します。regsvr32 schmmgmt.dll
MMCを開いて、「Active Directoryスキーマ」スナップインを追加して、操作。
次へ
フォレストで1 回実行
62
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 2:FSMO 操作マスターの転送(3/5)
ドメイン名前付けマスターの転送は、「Active Directory ドメインと信頼関係」で行います。
次へ
フォレストで1 回実行
63
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 2:FSMO 操作マスターの転送(4/5)
RID プールマスター、PDC エミュレーター、インフラストラクチャマスターの転送は、「Active Directory ユーザーとコンピューター」で行います。
次へ
ドメインごとに1 回づつ
実行
64
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 2:FSMO 操作マスターの転送(5/5)
FSMO 操作マスターの転送はコマンドでも実行できます。
ntdsutil "roles" "connections" "connect to server (新DC名)" quit "transfer schema master" quit quitntdsutil "roles" "connections" "connect to server (新DC名)" quit "transfer naming master" quit quitntdsutil "roles" "connections" "connect to server (新DC名)" quit "transfer RID master" quit quitntdsutil "roles" "connections" "connect to server (新DC名)" quit "transfer PDC" quit quitntdsutil "roles" "connections" "connect to server (新DC名)" quit "transfer infrastructure master" quit quit
次へ
「Move-ADDirectoryServerOperationMasterRole」コマンドレットならばもっと簡単
65
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 3:古いドメインコントローラーの降格(1/2)
古いドメインコントローラーで、「dcpromo.exe」を実行して、「Active Directory のインストールウィザード」で「降格」します。
次へ
チェックは「オフ」のままで!
66
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 3:古いドメインコントローラーの降格(2/2)
ドメインコントローラーの降格に失敗する場合は、次のような対応を行ってみましょう。
DNS の参照先を確認、変更する(新しいドメインコントローラーに向ける) 「dcpromo.exe /forceremoval」で強制降格を行ってから、
「メタデータクリーンアップ」処理を行う
次へ
ドメイン コントローラーの降格に失敗した後、Active Directory のデータを削除する方法http://support.microsoft.com/kb/216498/ja
Metadata Cleanuphttp://technet.microsoft.com/en-us/library/cc731035.aspx
Clean Up Server Metadatahttp://technet.microsoft.com/ja-jp/library/cc816907.aspx
67
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 4:機能レベルを上げる
ドメインの機能レベルと、フォレストの機能レベルを「Windows Server 2012 R2」にします。
「Active Directory ドメインと信頼関係」で操作します。
次へ
機能レベルは昇格すると、
基本的には戻せない!
68
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
移行後の追加作業
必要に応じて次のような作業も行います。
IPアドレスの引継ぎ セントラルストアの作成 SYSVOL 複製方法変更 Active Directory のごみ箱の有効化
動作確認
次へ
69
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Active Directory のごみ箱機能の有効化
Active Directory のごみ箱機能を有効化することにより、削除したオブジェクトの復元が容易になります。
有効化する必要があります(いったん有効化すると無効化できません)
次へ
70
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
動作確認
イベントビューアーでのログの確認 dcdiag コマンドや repadmin コマンドによる状態確認 ベストプラクティスアナライザーの実行
次へ
4. 移行の注意点
次へ
72
4. 移行の注意点 >
ケースごとの移行の注意点
次のケースにおける、移行の注意点を紹介
【参考】ドメインコントローラーのOSの2008アップグレード時の注意点 ドメインコントローラーのOSの2008 R2アップグレード時の注意点 ドメインコントローラーのOSの2012アップグレード時の注意点 ドメインコントローラーのOSの2012 R2アップグレード時の注意点 【参考】ドメインコントローラーのOSの2016アップグレード時の注意点 フォレスト、ドメインの機能レベルの昇格時の注意点 Azure仮想マシンをドメインコントローラーにするときの注意点
次へ
73
4. 移行の注意点 >
【参考】ドメインコントローラーのOSの2008アップグレード時の注意点
ドメインコントローラーのOSを、Windows Server 2008にアップグレードする際には、次のような注意点がある
1. LDAP に関する制限値の変更2. NSPI 接続の制限3. Kerberos 認証における暗号化方式4. グループ ポリシーの管理用テンプレートの変更5. LMHash の制限6. LAN Manger 認証レベル7. Computer Browser サービスの無効化8. RODC に対応するための互換性パック9. Outlook 2003 / OCS 2005 の問題
次へ
74
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008アップグレード時の注意点
LDAP に関する制限値の変更
LDAP のクエリー要求を受けた際にどれだけの件数のエントリを一度に応答するかといったパラメーターは既定値から変更することが可能
Windows Server 2008 以降では、設定可能な最大値が変更されている
次へ
Windows Server 2008 and newer domain controller returns only 5000 values in a LDAP responsehttp://support.microsoft.com/default.aspx?scid=kb;en-US;2009267
表示および Active Directory の Ntdsutil.exe を使用して LDAP ポリシーを設定する方法http://support.microsoft.com/kb/315071
75
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008アップグレード時の注意点
NSPI 接続の制限
Outlook などのアプリケーションが、ドメインコントローラーに対してNSPI(Name Service Provider Interface)を利用して接続することがある
Windows Server 2008以降では、既定で1ユーザーあたり50接続に制限された
次へ
NSPI connections to a Windows 2008-based domain controller may cause MAPI client applicationsto fail with an error code:"MAPI_E_LOGON_FAILED“http://support.microsoft.com/kb/949469/en-us
76
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008アップグレード時の注意点
Kerberos 認証における暗号化方式
Windows Server 2008 以降では、より強度の高い暗号化方式としてAESが追加サポートされた
Windows Server 2008 R2 以降では、既定でDES暗号化方式をサポートしなくなった
DES暗号のみをサポートしているアプリケーションなどでは、Kerberos認証に問題が生じる可能性がある
次へ
Kerberos 認証の変更点http://technet.microsoft.com/ja-jp/library/dd560670(v=WS.10).aspx
77
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008アップグレード時の注意点
グループ ポリシーの管理用テンプレートの変更
Windows Server 2008以降では、グループポリシーの管理用テンプレートが従来のADMファイルからADMXファイルに変更
Windows Server 2008以降でも従来のADMファイルを読み込ませることは可能だが、影響が出る可能性あり
次へ
グループ ポリシー管理での ADMX ファイルの使用に関するステップ バイ ステップ ガイドhttp://technet.microsoft.com/ja-jp/library/cc709647(v=WS.10).aspx
78
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008アップグレード時の注意点
LMHash の制限
Windows Server 2008以降のドメインでは、セキュリティの観点で脆弱なLMHash形式のハッシュを保持しない
LMHashを必要とするクライアント、アプリケーションが存在する場合には、ポリシーを変更する必要がある
次へ
Windows Server 2008 ベースのドメイン コントローラーを Windows Server 2008 より前の既存のドメインに追加すると、クライアント コンピューターが正常に動作しないことがあるhttp://support.microsoft.com/kb/946405/ja
79
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008アップグレード時の注意点
LAN Manger 認証レベル
Windows Sever 2008以降では、NTLM認証で利用されるLAN Managerの認証レベルの既定値が「3」(「NTLMv2 応答のみを送信する」) になっている
「NTLMv2 応答のみを送信する」、ドメインコントローラーがNTLM認証を行う際のクライアントとして動作する場合に NTLMv2 方式のみを使用するというもの(認証を受けるという観点では、特に変更はない)
次へ
LmCompatibilityLevelhttp://technet.microsoft.com/en-us/library/cc960646.aspx
80
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008アップグレード時の注意点
Computer Browser サービスの無効化
Windows Server 2008以降では、既定で「Computer Browser」サービスは無効化されている
PDCエミュレーターの役割を持つドメイン コントローラーは、ドメイン全体にわたるリストを管理するドメインマスタブラウザーという役割を担う
「Computer Browser」を利用しているアプリケーションが存在する場合には、正常にネットワークのコンピューター一覧を取得することができなる
(サービスとしては存在しているので、必要であればスタートアップを自動化する)
次へ
81
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008アップグレード時の注意点
RODC に対応するための互換性パック
Windows Vista / Windows Server 2008 より前のドメイン メンバーがRODC を利用する場合には、いくつかの問題がある
次へ
Description of the Windows Server 2008 read-only domain controller compatibility pack for Windows Server 2003 clients and for Windows XP clients and for Windows Vistahttp://support.microsoft.com/kb/944043/en-us
82
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008アップグレード時の注意点
Outlook 2003 / OCS 2005 の問題
Outlook 2003やOffice Communications Server 2005がWindows Server 2008以降のドメインコントローラーに対応するためにはHotfixパッケージの適用が必要
次へ
Description of the Outlook 2003 hotfix package (Engmui.msp, Olkintl.msp): February 24, 2009http://support.microsoft.com/kb/968614/en-us
Office Communications Server or Live Communications Server 2005 does not work correctly after you upgrade a domain controller to Windows Server 2008http://support.microsoft.com/kb/958980/en-us
83
4. 移行の注意点 >
ドメインコントローラーのOSの2008 R2アップグレード時の注意点
ドメインコントローラーのOSを、Windows Server 2008 R2にアップグレードする際には、次のような注意点がある
1. チャネル バインド トークン (CBT)の拡張保護認証2. Windows NT 4 ドメインとの信頼関係の非サポート3. 濁音、半濁音、拗音、促音の区別
次へ
84
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008 R2アップグレード時の注意点
チャネル バインド トークン (CBT)の拡張保護認証
Windows Server 2008 R2以降のOSでは、チャネル バインド トークン (CBT) の拡張保護認証が有効になってる
Windows以外のOSからの認証に問題が発生する、プロキシサーバーにおいてNTLM認証が失敗する可能性がある
次へ
Authentication failure from non-Windows NTLM or Kerberos servers http://support.microsoft.com/kb/976918/en-us
85
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008 R2アップグレード時の注意点
Windows NT 4 ドメインとの信頼関係の非サポート
Windows NT 4 ドメインと信頼関係を結んでいる状態の場合、ドメインコントローラーをWindows Server 2008 R2以降に変更することで信頼関係が正常に機能しなくなる
ドメインのメンバーとしてもWindows NT 4 については想定していないため、ドメインがアップグレードされることにより Windows NT 4 メンバーで問題が発生する可能性がある
次へ
Windows Server 2008 R2 Outbound trusts with Windows NT 4.0 domains do not validate or function correctly http://support.microsoft.com/kb/2021766/en-us
The Net Logon service on Windows Server 2008 and on Windows Server 2008 R2 domain controllers does not allow the use of older cryptography algorithms that are compatible with Windows NT 4.0 by default http://support.microsoft.com/kb/942564/en-us
86
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008 R2アップグレード時の注意点
濁音、半濁音、拗音、促音の区別
Windows Server 2008 R2からはLDAPで促音、拗音および長音を区別するように実装が変更された
(Windows Server 2008 までの Active Directory の LDAP 検索については、“濁音、半濁音、拗音、促音を区別しない” という制約があった)
次へ
87
4. 移行の注意点 >
ドメインコントローラーのOSの2012アップグレード時の注意点
ドメインコントローラーのOSを、Windows Server 2012にアップグレードする際には、次のような注意点がある
1. Resource SID Compression に関する問題
次へ
88
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2012アップグレード時の注意点
Resource SID Compression に関する問題
Windows Server 2012 以降のドメインコントローラーには、Resource SID Compressionと呼ばれる機能が追加されている
リソースサーバーへアクセスする際に使用されるKerberosチケットにおいて、情報を圧縮する機能
ドメイン環境に存在するNASデバイスがこの機能に対応していない場合、クライアントがNASデバイスにアクセスできなくなる可能性がある
次へ
Resource SID Compression in Windows Server 2012 may cause authentication problems on NAS devices http://support.microsoft.com/kb/2774190/ja
89
4. 移行の注意点 >
ドメインコントローラーのOSの2012 R2アップグレード時の注意点
ドメインコントローラーのOSを、Windows Server 2012 R2にアップグレードする際には、次のような注意点がある
1. Windows Server 2003との混在時のログオン障害2. パスワード変更後に資格情報に問題3. 匿名接続可能な共有の制限
次へ
90
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2012 R2アップグレード時の注意点
Windows Server 2003との混在時のログオン障害
Windows Server 2003関連。ドメインコントローラーの OS を Windows Server 2012 R2 へ移行して30 日から 60 日程度経過した後に、Kerberos 認証に問題が発生
ドメインのコンピューターにログオンできない、ドメインのリソースにアクセスできないといった事象が発生するため、更新プログラム適用など適切な対処が必要
Windows Server 2003ドメインコントローラーが存在しなくなった環境でも起こる可能性があります
次へ
Windows Server 2012 R2 と Windows Server 2003 の混在環境で、コンピューター アカウントのパスワードを変更した後にログオンできないhttps://support.microsoft.com/ja-jp/kb/2989971
AD DSの役割インストール「前」であれば、 %systemroot%¥WinSxS¥ 配下に amd64_microsoft-windows-k..distribution-center_<ID>_6.3.9600.17278_none_<ID> のように、「6.3.9600.17278」よりも大きな数字であれば適用済み
AD DSの役割インストール「後」であれば、%systemroot%¥system32 配下の kdcsvc.dll のバージョンが「6.3.9600.17278」よりも大きければ適用済み
91
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2012 R2アップグレード時の注意点
パスワード変更後に資格情報に問題
ドメインコントローラーのOSをWindows Server 2012 R2にアップグレード後、パスワードを変更するとユーザー証明書や保存された資格情報が利用できなくなる事象が発生する可能性がある
DPAPI(データ保護API)と呼ばれる機密情報を保護するためのAPIを利用して、暗号化された情報にアクセスできなくなっていることに起因
次へ
Cannot access DPAPI data after an administrator resets your password on a Windows Server 2012 R2-based domain controllerhttps://support.microsoft.com/ja-jp/kb/3038562/en-us
92
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2012 R2アップグレード時の注意点
匿名接続可能な共有の制限
Windows Server 2012 R2では、匿名接続でアクセス可能な共有に制限あり(アクセス可能なパスが減った)
共有に匿名接続するアプリケーションが存在している場合には影響がある 次のレジストリを確認。
HKLM¥SYSTEM¥CurrentControlSet¥Services¥Lanmanserver¥Parameters キー配下の NullSessionPipes や NullSessionShares
次へ
93
4. 移行の注意点 >
【参考】ドメインコントローラーのOSの2016アップグレード時の注意点
※Windows Server 2016 正式リリース時には仕様が変わる可能性があります。
ドメインコントローラーのOSを、Windows Server 2016にアップグレードする際には、次のような注意点がある
1. FRSはノンサポート2. Windows Server 2003機能レベルはノンサポート
「2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能」をご参照ください。
次へ
94
4. 移行の注意点 >
フォレスト、ドメインの機能レベルの昇格時の注意点
ドメインの機能レベルを「Windows Server 2008」以降に昇格する場合の注意事項
Kerberos認証で利用される「krbtgtアカウント」でAESが利用可能に 機能レベルの更新後、各ドメインコントローラー上の「KDC サービス」が
krbtgtアカウントのAES用のキーを生成する必要がありますが、複製のタイミングによっては、このAESキーが生成されないケースがある
ドメインの機能レベルの昇格の後に、認証障害が疑われる場合には、ドメインコントローラーの再起動か、「KDC サービス」の再起動を行う
次へ
95
4. 移行の注意点 >
Azure仮想マシンをドメインコントローラーにするときの注意点
次へ
複数台のドメインコントローラーを配置することを推奨 ドメインコントローラーのOSバージョンは、Windows Server 2012以降を推奨 固定のIPアドレスの割り当てが必要(ただし、ゲストOSで固定設定しない) データディスクを追加して、データベースとSYSVOLの配置先とする オンプレミスの Active Directory 環境と連携させるには、VPN 接続する Azureからのデータ送信の課金を抑えるために、サイト分割などを行う
96
4. 移行の注意点 >
Azure仮想マシンをドメインコントローラーにするときの注意点(つづき)
次へ
仮想ネットワークのDNSサーバーのアドレスを変更
ディレクトリサービス復元モード(DSRM)で起動する際は、「bcdedit /set safeboot dsrepair」を実行してから再起動
「DHCP Server」、「WINS Server」など、Azure仮想マシンでサポートしていない機能あり
Microsoft server software support for Microsoft Azure virtual machineshttps://support.microsoft.com/en-us/kb/2721672
97
4. 移行の注意点 >
Azure仮想マシンをドメインコントローラーにするときの注意点(つづき)
次へ
「シャットダウン」に関する注意事項
ゲスト オペレーティング システム内でドメイン コントローラー ロールを実行する VM を、Azure の管理ポータルでの [シャットダウン] オプションを使用せずに、シャットダウンし、再起動する必要があります。現在のところ、管理ポータルを使用して VM をシャットダウンすると、VM の割り当ては解除されます。割り当てが解除された VM では料金が発生しないという利点がありますが、VM-GenerationID がリセットされます。これは DC に対しては望ましくありません。VM-GenerationID がリセットされると、AD DS データベースの invocationID もリセットされ、RID プールは破棄され、SYSVOL は権限がないとマークされます。
「Azure の仮想マシンでの Windows Server Active Directory のデプロイ ガイドライン」より抜粋https://msdn.microsoft.com/ja-jp/library/azure/jj156090.aspx
まとめ
次へ
99
まとめ
AD DSはWindows環境の認証の基盤のため、移行に失敗すると大きなダメージとなります。
本セッションの情報などを参考にして、移行を成功させてください。
Windows Server 2016など、これからの「Active Directory」はAD DSはもちろん、AD FS、そしてAzure Active Directoryも組み合わせて利用するケースが増えます。。。勉強しましょう!
次へ
