【第2回】Windows Server 2012からWindows Server 2019へのActive Directoryリプレース
イントロ
本コラムは2023年10月のWindows Server 2012/2012 R2のサポート切れに伴い、Active Directoryサーバーの新OSへの移行を検討している方をターゲットとして執筆しています。第1回のコラムでは、Active Directoryリプレースの必要性や、Windows Server 2019へのActive Directoryリプレースにより利用できる新機能について解説しました。2回目となる今回は、稼働中のWindows Server 2012からWindows Server 2019へのActive Directoryのリプレースを行った事例などを踏まえて、実際の作業について説明します。
留意事項
今回は実際に運用中のActive Directoryサーバーのリプレースを行うため以下の事項に留意し、作業を行いました。
- サーバーのIPアドレスおよびホスト名は変更せずにリプレースを行う。
- 万一作業中に問題が発生した場合にシステムの復元が行える方法で作業を行う。
- リプレース作業は1台ずつ行い、サービスの停止が発生しないように注意して行う。
Active Directoryリプレース前の確認
Active Directoryリプレースを行うにあたり、以下の事項について確認しました。
- ①FSMOの役割を持つサーバーの確認
- ②DNSフォワーダーの確認
⇒ DNSフォワーダーの設定は各Active Directoryサーバー間で同期されないため手動で再設定する必要があります。 - ③時刻同期先の確認
⇒ PDCエミュレーターの役割を持つサーバーは移行後に同期先の再設定が必要。 - ④Active Directoryドメインコントローラー以外の機能の有無の確認
⇒ 例えばWebサーバーや証明機関として使用している場合はこれらの機能の移行も必要となる。 - ⑤ドメイン、フォレスト機能レベルの確認
⇒ 移行先サーバーのOSと現在のドメインコントローラーの機能レベルが2バージョン以上離れている場合は移行作業前に機能レベルの昇格が必要。
Active Directory リプレース作業
実際に運用中のActive Directoryサーバーの移行を行った事例について詳細な手順を踏まえてご紹介します。
- ①移行先サーバーの構築を行いホスト名、IPアドレスなどの基本設定を完了しておきます。
またトラブル発生時に切り戻しを行うため、移行元サーバー(旧サーバー)および移行先サーバー(新サーバー)にWindows Serverバックアップ機能をインストールし、フルバックアップを取得します。
- ②移行先サーバーを既存のドメインへ追加し、ドメインコントローラーへと昇格します。
- ③移行先サーバーで「Active Directoryドメインと信頼関係」を開き、ドメイン名を右クリックし「操作マスター」をクリックします。
- ④操作マスターウィザードの「変更」をクリックし、FSMOの移行を行います。
- ⑤移行先サーバーで「Active Directoryユーザーとコンピューター」を開き、ドメイン名を右クリックし「操作マスター」をクリックします。
操作マスターウィザードで「RIDマスター」、「PDCエミュレーター」、「インフラストラクチャ」の各タブについて「変更」をクリックしFSMOの移行を行います。
- ⑥「ファイル名を指定して実行」にて「regsvr32 schmmgmt.dll」を実行します。移行先サーバーで「Active Directoryスキーマ」を右クリックし、「操作マスター」をクリックします。
- ⑦操作マスターウィザードの「変更」をクリックしFSMOの移行を行います。
- ⑧移行先サーバーにて「netdom /query fsmo」コマンドを実行し、「スキーママスター」、「ドメイン名前付けマスター」、「PDC」、「RIDプールマネージャー」、「インフラストラクチャマスター」の5つについて移行先サーバーのコンピューター名が表示されていることを確認します。
- ⑨移行先サーバーにて「repadmin /syncall」コマンドを実行し、「SyncAllはエラーなしで終了しました」というメッセージが表示されることを確認します。
- ⑩移行元サーバーをドメインコントローラーから降格、ドメインからの離脱を行いシャットダウンします。
- ⑪移行先サーバーで「Active Directoryユーザーとコンピューター」を開き、シャットダウンした移行元サーバーのコンピューターオブジェクトを削除します。
- ⑫移行先サーバーで「Active Directoryサイトとサービス」を開き、シャットダウンした移行元サーバーのサーバーオブジェクトを削除します。
- ⑬移行先サーバーのIPアドレスを移行元サーバーで使用していたものに付け替えます。
- ⑭移行先サーバーにて「netdom computername %computername% /add:<移行元サーバーで使用していたコンピューター名>」コマンドを実行し代替名を設定します。
※GUIを使用してコンピューター名を変更するとまれにActive Directoryサービスが起動しなくなるなどのエラーが発生する可能性があるためコマンドで設定を行います。
- ⑮移行先サーバーにて「netdom computername %computername% /enum」コマンドを実行します。
2つのコンピューター名が設定されていることを確認します。
- ⑯移行先サーバーにて「netdom computername %computername% /makeprimary: <移行元サーバーで使用していたコンピューター名>」コマンドを実行します。
- ⑰移行先サーバーにて「ipconfig」、「netdom computername %computername% /enum」コマンドを実行します。ホスト名およびIPアドレスが移行元サーバーで使用していたものになっていることを確認した後「netdom computername %computername% /remove: <移行先サーバーで使用していたコンピューター名>」を実行し、代替名を削除します。
- ⑱2台目のサーバーでも同様の操作を行いIPアドレスおよびホスト名を変更します。
変更が完了したら必要に応じてドメイン、フォレストの機能レベルをWindows Server 2016へ昇格します。
- ⑲PDCエミュレーターのFSMOを保持している移行先サーバーにて「w32tm /config /syncfromflags:manual /manualpeerlist:<同期先サーバーを指定> /update」コマンドを実行し、時刻同期先を設定します。
- ⑳移行先サーバーにて「dcdiag」、「repadmin /showrepl」、「repadmin /syncall」、「net share」コマンドを実行しエラーが発生していないことを確認します。
- ㉑ドメインメンバーサーバーにドメインユーザーでログインし、「whoami /fqdn」コマンドを実行します。FQDNが正しく表示されていることを確認します。
まとめ
今回はWindowsServer2012からWindowsServer2019へのActive Directory移行について説明しましたがいかがでしたでしょうか。
Active Directoryのリプレースについて少しでも参考になれば幸いです。
- Microsoft, Active Directory, Windows Serverは、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。
- その他の商品名、会社名、団体名は、各社の商標または登録商標です。