Active Directoryの移行をした話
2022/11/15修正 ドメイン機能レベルの以降の制限について修正
2023/09/12修正 旧サーバのIP変更タイミングについて
移行後のDNSサーバの設定変更についてを追記
どこもかしこもみんなクラウドを使っている令和の時代に使うのかわからないけど、ADの移行をした話を書き記す。
今回はWindows server 2008 からWindows Server 2016に移行した時の話です。概ね2019でも変わりはないと考える。
事前に用意しておくもの
・新サーバの移行前のIPアドレス
・現行サーバの移行後のIPアドレス
大まかな流れ
①新サーバの初期設定を行い、ドメインに参加させる(2台以上を想定)
②現状のドメイン・フォレスト機能レベルなどの各種確認
③ドメインに参加させた新サーバにドメインコントローラに昇格する
④昇格後のドメインコントローラの正常性の確認
⑤FSMOを現行サーバから新サーバに移行する
(2台の新サーバのうち1台のみ対象)
⑥現行サーバのアドレスを移行後のIPアドレスに変更し、
新サーバのアドレスを現行サーバのアドレスに変更する
⑦現行サーバをドメインコントローラから降格する
⑧現行サーバをドメインからも抜き、停止。
新サーバの初期設定
新サーバで以下の設定を行う。
・サーバ名
・IPアドレス
・ドメインへの参加
・機能の追加から「Active Directory ドメインサービス」のインストール
※
ドメイン・フォレスト機能レベルの確認
「スタート」-「Windows管理ツール」-「Active Directoryドメインと信頼関係」を開き、表示されたドメイン名を右クリックし、「ドメインの機能レベルの昇格」を開き、「現在のドメインの機能レベル」を確認する。
ドメイン機能レベルは2世代前しか対応していないため、2019の場合は2012R2の機能レベルでないと対応しないことに注意。離れている場合は移行完了までは一旦途中のレベルに変えて、移行後に最新にすることで可能。2022/11/15修正
2000→2008R2→2019の実例があるため、「2世代前」という制限ではないようだ。あまりに離れていると合間に移行用のドメコンを挟まないといけないので注意しよう。
下記の「ドメイン機能レベルの対応バージョン一覧」に同居できるバージョンがあるので参照しておきましょう。
新サーバのドメインサーバへの昇格
サーバマネージャ上部の「旗」をクリックし、「このサーバーをドメインコントローラに昇格する」をクリックする。
「Acitve Directoryドメインサービス構成ウィザードが起動するので、既存のドメインを指定することで昇格が完了し、現行サーバと新サーバの両方がドメインサーバになっていることになる。
※通常はADは2台構成だと思うので、2台目も同様に構成する。
移行前の動機確認
ドメインコントローラの同期を確認するため、新サーバで管理者で実行されたコマンドプロンプトで以下のコマンドを入力し、「成功しました」が出ることを確認する。
Repadmin /showrepl続いてドメインサーバに必要なフォルダである「NETLOGON」と「SYSVOL」が共有化されていることを確認する。
Net ShareSYSVOLの同期を確認するため以下を実行し、ReplicatedFolderName=SYSVOL ShareのState=4になっていることを確認する。
wmic /namespace:\\root\microsoftdfs path DfsrReplicatedFolderinfo get /format:textvaluelistドメインコントローラの各種テストの実行為に以下を実行し、各項目が「合格しました」になることを確認。
dcdiag /vドメインの中に一つしかない重要な機能FSMO機能を持ったサーバを特定
netdom /query fsmo移行作業 FSMOの移行(スキーママスタの転送)
FSMOサーバ=現行サーバに管理者権限を持ったユーザでログインし、管理者権限のコマンドプロンプトから以下を実行する。
regsvr32 schmmgmt.dll
mmc「ファイル」-「スナップインの追加と削除」から「Active Directory スキーマ」を追加する。
サーバ名を右クリックし、「Active Directory ドメインコントローラの変更」を起動する。
変更先を、新サーバに指定する。
「Active Directory スキーマ」を右クリックし、「操作マスタ」を開き、変更先が新サーバになっていることを確認し、変更を実行する。
移行作業 FSMOの移行(ドメイン名前付け操作マスタの転送)
「スタート」から「Active Directoryドメインと信頼関係」を開き、「Active Directoryドメインと信頼関係」を右クリックし、「Active Directoryドメインコントローラの変更」を開く。
変更先を新サーバに選択し、実行する。
移行作業 FSMOの移行(PDCマスタ、RIDマスタ、インフラストラクチャマスタの転送)
「スタート」から「Active Directory ユーザーとコンピューター」を開き、「Active Directory ユーザーとコンピューター」を右クリックし、「Active Directoryドメインコントローラの変更」を開く。
変更先を、新サーバに指定する。
再度「(ドメイン名)」を右クリックし、「操作マスター」を開く。
RID、PDC、インフラストラクチャそれぞれを新サーバに変更する。
移行後の確認
移行前動作確認でも行った以下のコマンドで確認する
Repadmin /showrepl
wmic /namespace:\\root\microsoftdfs path DfsrReplicatedFolderinfo get /format:textvaluelist
dcdiag /v
netdom /query fsmoドメインに所属しているPCにて以下を以下を確認する。
・確認PCにプロファイルがないユーザでのログイン確認
・確認PCで一旦ワークグループにし、再度ドメインに所属できるか確認
・ドメインのユーザでログインできるか確認
新旧サーバのIPアドレスを変更
以下の順番で行う。
①旧サーバのセカンダリを移行後アドレスに変更
②新サーバのセカンダリを旧サーバの元アドレスに変更
③旧サーバのプライマリを移行後アドレスに変更
④新サーバのプライマリを旧サーバの元アドレスに変更
⑤旧サーバの電源を落とした上で、前記の「移行後の確認」を実施。
問題なければ次へ。
現行サーバ=旧サーバの降格
現行サーバで「ファイル名を指定して実行」から以下を実行する
dcpromo※2008R2までは上記で対応可能だったが、それ以降はサーバマネージャの「管理」より「役割と機能の削除」から実行。
ウィザードに従い、Active Directory Domain Sevices の削除を行い、降格する。
途中で「このサーバーはドメインの最後のドメインコントローラなのd、ドメインを削除する。」というチェックボックスはチェックしないで進めることが重要。
旧サーバのドメインからの脱退
ドメイン降格が終われば、そのままドメインから取り外して旧サーバはお役御免。お疲れ様でした。
DNSサーバの設定変更
DNSを起動し、「サーバ」名→「前方参照ゾーン」→「_msdcs.ドメイン名」のプロパティを開く。
「ネームサーバー」タブの中に旧サーバが残ったままになっているので、削除する。
「ゾーンの転送」が以下のようになっていることを確認する。
移行完了
以上の流れで、移行が完了しました。実際行った当初から2年たってますが、今のところ異常なしです。出来れば、オンプレAD自体さよならして、そろそろクラウドへ移行していきたいところ。
おまけ
認証局を使っている方は以下のありがたいblogをご参照ください。