160625 cloud samurai_adds_migration_160625

Active Directory Domain Services
移行指南
～みんな大好き AD DS !! ～
アイティデザイン株式会社
知北直宏
Copyright 2016 ITdesign Corporation , All Rights Reserved
‘16/6/25
@ Interact×Cloud Samurai 2016 Summer

2
はじめに
 AD DS（Active Directory Domain Services）は、
多くの組織で、無くてはならない認証基盤として利用されています。
 このセッションでは、Windows Server 2008からWindows Server 2016
までのAD DSの特徴や進化、そして、移行を行うための実践的な情報について
解説します。
 Windows Server 2016についての情報は、TP5（Technical Preview 5）の
仕様に基づいております。
正式版リリース時には仕様が変わっている可能性があることにご注意ください。
次へ

3
知北の自己紹介
 知北直宏（ちきたなおひろ）Twitter: @wanto1101
 福岡生まれの福岡育ち
 Microsoft MVP (Cloud and Datacenter Management)
 アイティデザイン株式会社代表取締役社長
 ITPro、Sierとして、Active Directory、Hyper-V など、
マイクロソフトのサーバー製品の提案・構築・サポートなど担当。
大手、地場インテグレーターさんの後方支援など。
 Active Directoryの移行案件は年がら年中やってます。
 マイクロソフトのホワイトペーパー執筆、イベントスピーカー
 Microsoft Azureのトレーニングコース開発
 書籍執筆
次へ

4
書籍のご紹介
標準テキスト
Windows Server 2012 R2 構築・運用・管理パーフェクトガイド
次へ
• 2014年9月発売
• Windows Server 2012 R2 の主要機能について、
全39章、800ページオーバーで、解説
• 日本マイクロソフトサポートチーム全面監修
• 2016年4月に第4版を出版！
• 電子書籍版も好評発売中！
http://www.sbcr.jp/products/4797377040.html
ISBN：978-4-7973-7704-0

5
書籍のご紹介
次へ
01章 Windows Server 2012 R2の概要と導入計画
02章 Windows Server 2012 R2の導入
03章ストレージの管理
04章ネットワークの管理
05章ユーザーとグループの管理
06章 Active Directoryの概要
07章 Active Directoryの構築手順
08章 Active Directoryの削除
09章サイトの構築と管理
10章 RODCの構築と管理
11章 OUの作成と管理
12章アカウントの管理
13章グループポリシーの管理
14章ユーザー環境の管理
15章 Active Directoryの高度な管理
16章 Active Directoryの保守
17章 Active Directoryのマイグレーション
18章 AD CSによるPKI環境の構築
19章 Hyper-Vの概要
20章 Hyper-Vの構築手順
21章 Hyper-VレプリカによるDR対策
22章ライブマイグレーション環境の構築とHyper-Vクラスター
23章 Windows Server Essentialsエクスペリエンスの活用
24章 WSUSサーバーの構築と管理
25章 DNSサーバーの構築と管理
26章 DHCPサーバーの構築と管理
27章ファイルサーバーの構築と管理
28章ダイナミックアクセス制御の利用
29章 iSCSIによるストレージエリアネットワークの構築
30章 WebサーバーとFTPサーバーの構築と管理
31章 Server Coreの利用
32章 NAPによる検疫ネットワークの構築と管理
33章 DirectAccess環境の構築
34章 NLBクラスターの構築と管理
35章フェールオーバークラスターの構築と管理
36章パフォーマンス監視
37章セキュリティ管理
38章バックアップと回復
39章障害復旧

6
アジェンダ
1. AD DS 移行の心構え
2. AD DS バージョンごとの機能
3. AD DS 移行方法の例
4. AD DS 移行の注意点
次へ

8
移行を成功させるための心構え
 しっかりと現状把握しましょう
 早期に移行方法を決定しましょう
 バージョンアップによる影響や新機能を把握しましょう
 準備、動作検証しっかりと
 動作確認はこまめに
 移行作業時には時間と気持ちの余裕を
次へ

9
1.移行の心構え >
しっかりと現状把握しましょう
 移行の目的は？
 OSのサポート終了対策？
 プラットフォームのサポート終了対策？
 新機能を利用するため？
次へ

10
1.移行の心構え > しっかりと現状把握しましょう
【参考】Windows Server のサポート終了日
次へ
製品名
メインストリームサポート
終了日
延長サポート
終了日
Windows Server 2008 2015/01/13 2020/01/14
Windows Server 2008 R2 2015/01/13 2020/01/14
Windows Server 2012 2018/01/09 2023/01/10
Windows Server 2012 R2 2018/01/09 2023/01/10
Windows Server 2016 ??? ???

11
しっかりと現状把握しましょう（つづき）
 現在の環境、構成、ライセンスの所有状況は？
 ドメインコントローラーでAD DS以外の役割は動いてないか？
（DNS Server、DHCP Server、WINS Server、AD CS、etc…）
 AD DSと密接に連携しているアプリケーションはないか？
 CALの所有状況は？
次へ

12
しっかりと現状把握しましょう（つづき）
 潜在的な問題、障害はない？
 ドメインコントローラーの正常性は？
（イベントログ、Dcdiag、Repadmin、Nltest、etc…）
 目に見えない障害はない？
次へ

13
早期に移行方法を決定しましょう
 Active Directory ドメインの移行方法は複数ある
 Active Directory ドメインをアップグレード
 Active Directory ドメインの再編とオブジェクトの移行
 バージョンによっては、「（OSの）インプレースアップグレード」も可能
次へ

14
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインをアップグレードする」移行方法とは？
 既存の Active Directory ドメインに、
新たなドメインコントローラーを追加して、
古いドメインコントローラーを削除(降格)して、アップグレードします。
次へ
 Active Directory ドメインサービス (AD DS) の社内への展開
http://technet.microsoft.com/ja-jp/library/hh472160.aspx

15
「ドメインをアップグレードする」移行方法の流れ
次へ
Old Windows Server
フォレスト / ドメイン
Old Windows Server

16
次へ
Old Windows Server
Old Windows Server
Phase 0 : 準備
例）
機能レベルを要件にあわせて
昇格する
（SYSVOL複製方法変更）

17
次へ
Old Windows Server
Old Windows Server
Phase 1
新しいドメインコントローラー
を追加する
New Windows Server New Windows Server
ディレクトリ情報
の複製

18
次へ
Old Windows Server
Old Windows Server
Phase 2
FSMO の
操作マスターの役割を
転送する
New Windows Server New Windows Server
ディレクトリ情報
の複製
FSMO

19
次へ
Old Windows Server
Old Windows Server
Phase 3
古いドメインコントローラーを
降格する
New Windows ServerNew Windows Server
FSMO

20
次へ
Phase 4
（可能であれば）
機能レベルを昇格する
FSMO

21
次へ
＋ α
・IPアドレスの引継ぎ
・SYSVOL複製方法変更
・ごみ箱の有効化
・その他
FSMO
IP アドレス
引継ぎ
セントラル
ストアの作成
SYSVOL
複製方法
変更
ごみ箱の
有効化
動作確認

22
「ドメインの再編とオブジェクトの移動」による移行方法とは？
 新規にドメインを作成して、ツールを使って徐々にアカウントを移行する方法
 アカウント移動は ADMT（Active Directory Migration Tool）を使用
 パスワード移行は PES（Password Export Server）を使用
次へ
 Active Directory 移行ツール (ADMT) ガイド: Active Directory ドメインの移行と再構築
http://www.microsoft.com/ja-jp/download/details.aspx?id=19188

23
「ドメインの再編とオブジェクトの移動」による移行の流れ
次へ
移行元フォレスト / ドメイン
Old Windows Server
Phase 0 : 準備
移行元の機能レベルを昇格

24
次へ
Old Windows Server
Phase 1
新しいドメインコントローラーで、
移行先のフォレスト/ドメインを
構築。
信頼関係を結ぶ。
移行先フォレスト / ドメイン
New Windows Server
信頼関係

25
次へ
Old Windows Server
Phase 2
「ADMT用サーバー」を
移行先ドメインに参加
New Windows Server
信頼関係 ADMT用サーバー

26
次へ
Old Windows Server
Phase 3
ADMTやPESをインストール。
その他、各種設定。
New Windows Server
ADMT
PES

27
次へ
Old Windows Server
Phase 4
各種アカウントの移行を実行
New Windows Server
ADMT
PES
アカウント

28
次へ
Phase 5
終了処理。
New Windows Server
ADMT用サーバー
ADMT
Old Windows Server
PES
アカウント
信頼関係

29
「ドメインの再編とオブジェクトの移動」の注意点
 ドメインを新規構築して、アカウントを移動するため、手間がかかる。
 ドメイン名など、設定や環境が大きく変わるため、各種システムへの影響が大きい。
 旧ドメインに参加していたコンピューターなどは、
新ドメインへ参加しなおす必要があるため、再起動必須。
 ADMT の対応バージョンに注意。
次へ

30
Active Directory の 2 つの移行方法の比較
次へ
方法ドメインをアップグレード
ドメインを再編して
オブジェクトを移行
概要
既存ドメインに
新しいドメインコントローラーを追加して
古いドメインコントローラーを削除(降格)
新しいドメインを構築して
既存ドメインから
オブジェクトを順次移行
メリット・簡単
・ドメインの再構成が可能
・段階的な移行が可能
デメリット
・課題
・ドメインの構成は変わらず
・段階的な移行が困難
・難易度が高い
・多くの工数、コストを要する
オススメ！
これ以降はこちら
について解説！

31
準備、動作検証しっかりと
 実際の移行作業をスムーズに行うためにも、準備、動作検証は重要
（リカバリーの設計や検証もお忘れなく）
 移行の手順書は細かくフェーズをわけることを推奨
フェーズわけの例）
 1台目のドメインコントローラー追加（スキーマ拡張）
 2台目、3台目…のドメインコントローラー追加
 サイトの構成変更
 DNS Server、DHCP Server、WINS Server、AD CSのアップグレード
 FSMOの転送
 古いドメインコントローラーの降格
 機能レベル昇格
 SYSVOL複製方法変更、ごみ箱有効化、etc… 次へ

32
準備、動作検証しっかりと（つづき）
 動作検証は可能な限り実環境に近いもので実施することを推奨
 実際の移行作業でそのまま実行できるコマンド集の準備
次へ

33
動作確認はこまめに
 試験項目の洗い出し、試験仕様書の作成
試験項目の例）
 各ドメインコントローラー、メンバーサーバー、
クライアントコンピューターのイベントログ確認
 各種コマンドによる正常性確認（Dcdiag、Repadmin、Nltest、etc…）
 名前解決に問題はないか
 ディレクトリ複製はできているか、特にサイト間
 グループポリシーに問題はないか
 メンバーサーバーやクライアントコンピューターの再起動、ログオン、
業務利用に問題はないか
 ドメインコントローラーの追加機能は正しく動作しているか
 フェーズごとに動作確認を行うことを推奨
次へ

34
移行作業時には時間と気持ちの余裕を
 サービスやアプリケーション、環境によっては、複数回にわける必要あり
 必ずデータのバックアップを取得してから実施
（システム状態、グループポリシーオブジェクト、etc…）
 十分に時間の余裕を持たせたタイムスケジュールとしましょう
 主だった作業の時間帯を記録しましょう
 1台目のドメインコントローラー追加（スキーマ拡張）
 2台目、3台目…のドメインコントローラー追加
 サイトの構成変更
 DNS Server、DHCP Server、WINS Server、AD CSのアップグレード
 FSMOの転送
 古いドメインコントローラーの降格
 機能レベル昇格
 SYSVOL複製方法変更、ごみ箱有効化、etc…
次へ

2. バージョンごとの機能
次へ

36
2. バージョンごとの機能 >
OS のバージョンごとの新機能、追加機能
 OS のバージョンが新しくなることにより、
AD DS、ドメインコントローラーに機能が追加されている
 Windows Server 2008
 Windows Server 2008 R2
 Windows Server 2012
 Windows Server 2012 R2
 Windows Server 2016 (TP5)
 利用するためには、「フォレストの機能レベル」や「ドメインの機能レベル」も
上げなければならないもの、追加の操作を要するものもある
次へ

37
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
Windows Server 2008 の AD DS 追加機能
 機能のサービス化
 RODC（Read Only Domain Controller）のサポート
 グループポリシーの基本設定
 監査機能の改善
 フリガナのサポート
 きめ細やかなパスワードポリシー
1 つのドメインの中で、複数のパスワードポリシーを設定できるようになりました。
例えば、一般ユーザーと管理者ユーザーのパスワードの長さや複雑さの要件を変え
ることなどが可能です。
※「ドメインの機能レベル」が「Windows Server 2008以上」であること。
次へ

38
Windows Server 2008 R2 の AD DS 追加機能
 Active Directory 管理センター
 Active Directory Web サービス
 Active Directory ベストプラクティスアナライザー
 オフラインドメイン参加のサポート
 管理されたサービスアカウントのサポート
 Active Directory のごみ箱機能のサポート
Active Directory のオブジェクトを削除しても、
比較的容易に復元できるようになりました。
※「フォレストの機能レベル」が「Windows Server 2008 R2以上」であること。
次へ

39
Windows Server 2012 の AD DS 追加機能
 ダイナミックアクセス制御
 Active Directoryによるライセンス認証
 DirectAccessオフラインドメイン参加のサポート
 グループの管理されたサービスアカウントのサポート
 仮想化されたドメインコントローラーの複製
 ドメインコントローラーの安全な仮想化
Windows Server 2012やWindows Server 2012 R2のHyper-Vなど、
「VM-GenerationID」をサポートしたハイパーバイザープラットフォーム上で
安全に仮想化することが可能になりました。
次へ

40
Windows Server 2012 R2 の AD DS 追加機能
 Protected Usersグループのサポート
 認証ポリシーサイロのサポート
 AD FSによる追加機能いろいろ
 多要素認証サポート
 ワークプレース参加
次へ

41
【参考】Protected Usersグループ
 Windows Server 2012 R2 から追加された、
ビルトインの新しいグローバルセキュリティグループ。
 Windows 8.1以降を実行するコンピューターからの認証セキュリティを
さらに強化することが可能。
 AES 暗号化による Kerberos 認証が必須
 既定のKerberosチケット保証チケット（TGT）の有効期限が 4 時間に
 Windows 8.1クライアントのローカルにパスワードがキャッシュされなくなる
次へ

42
【参考】認証ポリシーサイロ
 フォレストレベルで管理されるKerberos認証の新しいポリシー
 Kerberosチケット保障チケット（TGT）の有効期限の制限や、
アクセス制御条件を定義した認証ポリシーの適用が可能
 Windows 8.1以降、Windows Server 2012 R2 でサポートされる
次へ

43
Windows Server 2016 (TP5) の AD DS 追加・削除機能
※Windows Server 2016 正式リリース時には仕様が変わる可能性があります。
 特権アクセス管理（Privileged Access Management：PAM）
 Microsoft Passport for Work
 SYSVOLとNETLOGON共有のセキュリティ強化
 Kerberos TGT lifetime の制御
 「Windows Server 2003」機能レベルがノンサポートに
 FRSがノンサポートに
 AD FSは機能強化がたくさん、
Azure AD、AD FSがないと使えない機能いろいろ。。。
次へ

44
【参考】特権アクセス管理（PAM）
 Microsoft Identity Manager (MIM) を使って、
特権アクセス管理を行い、Active Directory 環境のセキュリティ脅威を緩和
 「特定の時間のみ、特定の処理を実現」
次へ
 de:code 2016「マイクロソフトの特権管理ソリューションの全貌～狙われる特権を守れ!～」
https://channel9.msdn.com/Events/de-code/2016/INF-023

45
【参考】特権アクセス管理（PAM）の構成手順
次へ
MIMサーバー
信頼関係
山田太郎
（たまに管理者）
既存フォレスト
CORP
CorpAdmin
管理グループ
CORP¥Taro
ユーザー
特権管理フォレスト（要塞フォレスト）
PRIV
CorpAdmin
シャドウグループ
PRIV¥Taro
ユーザー
SID
(SID History)
① 特権管理フォレストを構築
グループ、ユーザー作成
② 信頼関係（片方向）
③ MIMサーバーを構築
PAMロールなど設定
誰がどのグループに所属できる？
有効期限は？
MFA使う？
承認必要？
①
②
③

46
【参考】特権アクセス管理（PAM）の使い方
次へ
MIMサーバー
信頼関係
山田太郎
（たまに管理者）
既存フォレスト
CORP
CorpAdmin
管理グループ
CORP¥Taro
ユーザー
特権管理フォレスト（要塞フォレスト）
PRIV
CorpAdmin
シャドウグループ
PRIV¥Taro
ユーザー
SID
(SID History)
① リクエスト
② 特権管理フォレストのグルー
プにユーザーを追加
(MFA、承認、ログ)
③ 特権管理フォレストのユー
ザーとして管理タスク実行
④ 自動で特権管理フォレストの
グループからユーザーを削除
①
②
③
④

47
【参考】Microsoft Passport for Work
 MicrosoftアカウントおよびAzure Active Directory参加で利用可能な、
パスワード入力を必要としないWindows 10の「Microsoft Passport 認証」
を、オンプレミスに展開する機能
 AD FSが必要
次へ

48
【参考】SYSVOLとNETLOGON共有のセキュリティ強化
 ドメインに参加する Windows 10 および Windows Server 2016 は、
SYSVOLおよびNETLOGON共有への接続時に
SMB署名およびKerberos認証による相互認証が既定で要求される
 MS15-011のグループポリシーの脆弱性への対策
次へ

49
【参考】Kerberos TGT lifetime の制御
 TGTの有効期限制御によるグループメンバーシップの管理
 Windows Server 2016 フォレスト機能レベル
 一度有効化すると、無効化できない
次へ

50
【参考】機能レベル要件変更
Windows Server 2016は、
「Windows Server 2003」フォレストの機能レベル、ドメインの機能レベルを
サポートしない
次へ

51
【参考】FRSはノンサポートに
 ADSIエディターで確認可能
 「CN=DFSR-GlobalSettings」以下に
「CN=Domain System Volume」があればDFS-R
 「CN=File Replication Services」以下に
「CN=Domain System Volume (SYSVOL share)」
があればFRS
 FRSであれば、
移行前にDFS-Rへ変更
（・・・TP5ではドメインコントローラーの追加もできて、
再起動後のレプリケーションもできてしまった。。。）
次へ
SYSVOL レプリケーション移行ガイド: FRS から DFS レプリケーション
https://technet.microsoft.com/library/dd640019.aspx
FRS から DFSR への移行 (SYSVOL)
https://blogs.technet.microsoft.com/jpntsblog/2009/12/04/frs-dfsr-sysvol/

52
「フォレストの機能レベル」を昇格することにより利用できる機能
次へ
フォレストの機能レベル利用可能となる機能
Windows Server 2008 （「Windows Server 2003」と同じ）
Windows Server 2008 R2 Active Directory のごみ箱
Windows Server 2012 （「Windows Server 2008 R2」と同じ）
Windows Server 2012 R2 （「Windows Server 2012」と同じ）
Windows Server 2016
Kerberos TGT lifetime の制御
？？？
 Exchange Server のサポート一覧
https://technet.microsoft.com/library/ff728623(v=exchg.150).aspx
 ドメインに参加しているシステムが、上位の「フォレストの機能レベル」を
サポートしているか要確認。
 例えば、Exchange Server 2007 は「Windows Server 2012 R2」以上
のフォレストの機能レベルをサポートしていないよう。

53
「ドメインの機能レベル」を昇格することにより利用できる機能
次へ
ドメインの機能レベル利用可能となる機能
Windows Server 2008
DFS-RによるSYSVOL複製サポート
AES128および256によるKerberosプロトコルサポート
前回の対話型ログオンの情報
きめ細やかなパスワードポリシー
Windows Server 2008 R2 認証保障
Windows Server 2012 ダイナミックアクセスポリシーやKerberos防御のためのポリシーサポート
Windows Server 2012 R2
Protected Usersグループのサポート
認証ポリシーの強化
認証ポリシーサイロ
Windows Server 2016 ？？？

55
3. 移行方法の例 >
Windows Server 2012 R2 AD DS への移行例
 古いWindows Serverによる AD DSを、
Windows Server 2012 R2 AD DSへ移行する方法の「例」を紹介
 移行元、移行先のバージョンによって手順は若干異なります
次へ

56
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 0：準備
 ドメインコントローラーのシステム状態のバックアップを取得します。
 ドメインの機能レベルと、フォレストの機能レベルを
「Windows Server 2003」にします。
（Windows Server 2003 よりも古いドメインコントローラーが存在しないこと。）
 「Active Directory ドメインと信頼関係」で操作します。
次へ

57
Phase 1：新しいドメインコントローラーの追加（1/3）
 Windows Server 2012 R2 コンピューターをドメインに参加させて、
ドメインの管理者でログオンして操作。
 「サーバーマネージャー」から「役割と機能の追加ウィザード」を起動して、
「Active Directory ドメインサービス」を追加します。
次へ

58
 「役割と機能の追加ウィザード」の「結果」ページの
「このサーバーをドメインコントローラーに昇格する」リンクを開いて、
「Active Directory ドメインサービス構成ウィザード」を開き、進めます。
次へ

59
 スキーマの拡張など、ドメインのアップグレード処理はウィザードが実行してくれます。
次へ
 前提条件にパスできたならば、インストールができます。
 インストールが終わると自動で再起動しますからご注意。
新しいドメインコ
ントローラーの台
数分繰り返す
既存ドメインコントローラーで
「Remote Registry」
サービスが動作していること

60
Phase 2：FSMO 操作マスターの転送（1/5）
 FSMO（ Flexible Single Master Operation ）の操作マスターは、
5 種類あります。
 スキーママスター（フォレストに 1 台）
 ドメイン名前付けマスター（フォレストに 1 台）
 RID プールマスター（ドメインに 1 台）
 PDC エミュレーター（ドメインに 1 台）
 インフラストラクチャマスター（ドメインに 1 台）
次へ

61
 スキーママスターを転送するには、まずは次のコマンドを実行します。
regsvr32 schmmgmt.dll
 MMCを開いて、「Active Directoryスキーマ」スナップインを追加して、操作。
次へ
フォレストで
1 回実行

62
 ドメイン名前付けマスターの転送は、
「Active Directory ドメインと信頼関係」で行います。
次へ
フォレストで
1 回実行

63
 RID プールマスター、PDC エミュレーター、インフラストラクチャマスターの転送は、
「Active Directory ユーザーとコンピューター」で行います。
次へ
ドメインごとに
1 回づつ
実行

64
 FSMO 操作マスターの転送はコマンドでも実行できます。
ntdsutil "roles" "connections" "connect to server (新DC名)" quit "transfer schema master" quit quit
ntdsutil "roles" "connections" "connect to server (新DC名)" quit "transfer naming master" quit quit
ntdsutil "roles" "connections" "connect to server (新DC名)" quit "transfer RID master" quit quit
ntdsutil "roles" "connections" "connect to server (新DC名)" quit "transfer PDC" quit quit
ntdsutil "roles" "connections" "connect to server (新DC名)" quit "transfer infrastructure master" quit quit
次へ
 「Move-ADDirectoryServerOperationMasterRole」
コマンドレットならばもっと簡単

65
Phase 3：古いドメインコントローラーの降格（1/2）
 古いドメインコントローラーで、「dcpromo.exe」を実行して、
「Active Directory のインストールウィザード」で「降格」します。
次へ
チェックは
「オフ」の
ままで！

66
Phase 3：古いドメインコントローラーの降格（2/2）
 ドメインコントローラーの降格に失敗する場合は、
次のような対応を行ってみましょう。
 DNS の参照先を確認、変更する（新しいドメインコントローラーに向ける）
 「dcpromo.exe /forceremoval」で強制降格を行ってから、
「メタデータクリーンアップ」処理を行う
次へ
 ドメインコントローラーの降格に失敗した後、Active Directory のデータを削除する方法
http://support.microsoft.com/kb/216498/ja
 Metadata Cleanup
http://technet.microsoft.com/en-us/library/cc731035.aspx
 Clean Up Server Metadata
http://technet.microsoft.com/ja-jp/library/cc816907.aspx

67
Phase 4：機能レベルを上げる
 ドメインの機能レベルと、フォレストの機能レベルを
「Windows Server 2012 R2」にします。
 「Active Directory ドメインと信頼関係」で操作します。
次へ
機能レベルは
昇格すると、
基本的には戻
せない！

68
移行後の追加作業
 必要に応じて次のような作業も行います。
 IPアドレスの引継ぎ
 セントラルストアの作成
 SYSVOL 複製方法変更
 Active Directory のごみ箱の有効化
 動作確認
次へ

69
Active Directory のごみ箱機能の有効化
 Active Directory のごみ箱機能を有効化することにより、
削除したオブジェクトの復元が容易になります。
 有効化する必要があります（いったん有効化すると無効化できません）
次へ

70
動作確認
 イベントビューアーでのログの確認
 dcdiag コマンドや repadmin コマンドによる状態確認
 ベストプラクティスアナライザーの実行
次へ

72
4. 移行の注意点 >
ケースごとの移行の注意点
次のケースにおける、移行の注意点を紹介
 【参考】ドメインコントローラーのOSの2008アップグレード時の注意点
 ドメインコントローラーのOSの2008 R2アップグレード時の注意点
 ドメインコントローラーのOSの2012アップグレード時の注意点
 ドメインコントローラーのOSの2012 R2アップグレード時の注意点
 【参考】ドメインコントローラーのOSの2016アップグレード時の注意点
 フォレスト、ドメインの機能レベルの昇格時の注意点
 Azure仮想マシンをドメインコントローラーにするときの注意点
次へ

73
【参考】ドメインコントローラーのOSの2008アップグレード時の注意点
ドメインコントローラーのOSを、Windows Server 2008にアップグレードする際には、
次のような注意点がある
1. LDAP に関する制限値の変更
2. NSPI 接続の制限
3. Kerberos 認証における暗号化方式
4. グループポリシーの管理用テンプレートの変更
5. LMHash の制限
6. LAN Manger 認証レベル
7. Computer Browser サービスの無効化
8. RODC に対応するための互換性パック
9. Outlook 2003 / OCS 2005 の問題
次へ

74
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008アップグレード時の注意点
LDAP に関する制限値の変更
 LDAP のクエリー要求を受けた際にどれだけの件数のエントリを一度に
応答するかといったパラメーターは既定値から変更することが可能
 Windows Server 2008 以降では、設定可能な最大値が変更されている
次へ
Windows Server 2008 and newer domain controller returns only 5000 values in a LDAP response
http://support.microsoft.com/default.aspx?scid=kb;en-US;2009267
表示および Active Directory の Ntdsutil.exe を使用して LDAP ポリシーを設定する方法
http://support.microsoft.com/kb/315071

75
NSPI 接続の制限
 Outlook などのアプリケーションが、ドメインコントローラーに対して
NSPI（Name Service Provider Interface）を利用して
接続することがある
 Windows Server 2008以降では、
既定で1ユーザーあたり50接続に制限された
次へ
NSPI connections to a Windows 2008-based domain controller may cause MAPI client applications
to fail with an error code:"MAPI_E_LOGON_FAILED“
http://support.microsoft.com/kb/949469/en-us

76
Kerberos 認証における暗号化方式
 Windows Server 2008 以降では、
より強度の高い暗号化方式としてAESが追加サポートされた
 Windows Server 2008 R2 以降では、
既定でDES暗号化方式をサポートしなくなった
 DES暗号のみをサポートしているアプリケーションなどでは、
Kerberos認証に問題が生じる可能性がある
次へ
Kerberos 認証の変更点
http://technet.microsoft.com/ja-jp/library/dd560670(v=WS.10).aspx

77
グループポリシーの管理用テンプレートの変更
 Windows Server 2008以降では、グループポリシーの管理用テンプレートが
従来のADMファイルからADMXファイルに変更
 Windows Server 2008以降でも
従来のADMファイルを読み込ませることは可能だが、影響が出る可能性あり
次へ
グループポリシー管理での ADMX ファイルの使用に関するステップバイステップガイド
http://technet.microsoft.com/ja-jp/library/cc709647(v=WS.10).aspx

78
LMHash の制限
 Windows Server 2008以降のドメインでは、
セキュリティの観点で脆弱なLMHash形式のハッシュを保持しない
 LMHashを必要とするクライアント、アプリケーションが存在する場合には、
ポリシーを変更する必要がある
次へ
Windows Server 2008 ベースのドメインコントローラーを Windows Server 2008 より前の既存のドメインに追加すると、
クライアントコンピューターが正常に動作しないことがある

79
LAN Manger 認証レベル
 Windows Sever 2008以降では、
NTLM認証で利用されるLAN Managerの認証レベルの既定値が
「3」(「NTLMv2 応答のみを送信する」) になっている
 「NTLMv2 応答のみを送信する」、ドメインコントローラーがNTLM認証を行う際
のクライアントとして動作する場合に NTLMv2 方式のみを使用するというもの
（認証を受けるという観点では、特に変更はない）
次へ
LmCompatibilityLevel
http://technet.microsoft.com/en-us/library/cc960646.aspx

80
Computer Browser サービスの無効化
 Windows Server 2008以降では、
既定で「Computer Browser」サービスは無効化されている
 PDCエミュレーターの役割を持つドメインコントローラーは、
ドメイン全体にわたるリストを管理するドメインマスタブラウザーという役割を担う
 「Computer Browser」を利用しているアプリケーションが存在する場合には、
正常にネットワークのコンピューター一覧を取得することができなる
 （サービスとしては存在しているので、必要であればスタートアップを自動化する）
次へ

81
RODC に対応するための互換性パック
 Windows Vista / Windows Server 2008 より前のドメインメンバーが
RODC を利用する場合には、いくつかの問題がある
次へ
Description of the Windows Server 2008 read-only domain controller compatibility pack for Windows Server
2003 clients and for Windows XP clients and for Windows Vista

82
Outlook 2003 / OCS 2005 の問題
 Outlook 2003やOffice Communications Server 2005が
Windows Server 2008以降のドメインコントローラーに対応するためには
Hotfixパッケージの適用が必要
次へ
Description of the Outlook 2003 hotfix package (Engmui.msp, Olkintl.msp): February 24, 2009
Office Communications Server or Live Communications Server 2005 does not work correctly after you
upgrade a domain controller to Windows Server 2008

83
ドメインコントローラーのOSの2008 R2アップグレード時の注意点
ドメインコントローラーのOSを、Windows Server 2008 R2に
アップグレードする際には、次のような注意点がある
1. チャネルバインドトークン (CBT)の拡張保護認証
2. Windows NT 4 ドメインとの信頼関係の非サポート
3. 濁音、半濁音、拗音、促音の区別
次へ

84
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008 R2アップグレード時の注意点
チャネルバインドトークン (CBT)の拡張保護認証
 Windows Server 2008 R2以降のOSでは、
チャネルバインドトークン (CBT) の拡張保護認証が有効になってる
 Windows以外のOSからの認証に問題が発生する、
プロキシサーバーにおいてNTLM認証が失敗する可能性がある
次へ
Authentication failure from non-Windows NTLM or Kerberos servers

85
Windows NT 4 ドメインとの信頼関係の非サポート
 Windows NT 4 ドメインと信頼関係を結んでいる状態の場合、
ドメインコントローラーをWindows Server 2008 R2以降に変更することで
信頼関係が正常に機能しなくなる
 ドメインのメンバーとしてもWindows NT 4 については想定していないため、
ドメインがアップグレードされることにより Windows NT 4 メンバーで
問題が発生する可能性がある
次へ
Windows Server 2008 R2 Outbound trusts with Windows NT 4.0 domains do not validate or function
correctly
The Net Logon service on Windows Server 2008 and on Windows Server 2008 R2 domain controllers does
not allow the use of older cryptography algorithms that are compatible with Windows NT 4.0 by default

86
濁音、半濁音、拗音、促音の区別
 Windows Server 2008 R2からは
LDAPで促音、拗音および長音を区別するように実装が変更された
 （Windows Server 2008 までの Active Directory の LDAP 検索につ
いては、“濁音、半濁音、拗音、促音を区別しない” という制約があった）
次へ

87
ドメインコントローラーのOSの2012アップグレード時の注意点
ドメインコントローラーのOSを、Windows Server 2012に
1. Resource SID Compression に関する問題
次へ

88
Resource SID Compression に関する問題
 Windows Server 2012 以降のドメインコントローラーには、
Resource SID Compressionと呼ばれる機能が追加されている
 リソースサーバーへアクセスする際に使用されるKerberosチケットにおいて、
情報を圧縮する機能
 ドメイン環境に存在するNASデバイスがこの機能に対応していない場合、
クライアントがNASデバイスにアクセスできなくなる可能性がある
次へ
Resource SID Compression in Windows Server 2012 may cause authentication problems on NAS devices

89
ドメインコントローラーのOSの2012 R2アップグレード時の注意点
ドメインコントローラーのOSを、Windows Server 2012 R2に
1. Windows Server 2003との混在時のログオン障害
2. パスワード変更後に資格情報に問題
3. 匿名接続可能な共有の制限
次へ

90
Windows Server 2003との混在時のログオン障害
 Windows Server 2003関連。
ドメインコントローラーの OS を Windows Server 2012 R2 へ移行して
30 日から 60 日程度経過した後に、Kerberos 認証に問題が発生
 ドメインのコンピューターにログオンできない、ドメインのリソースにアクセスできないと
いった事象が発生するため、更新プログラム適用など適切な対処が必要
 Windows Server 2003ドメインコントローラーが存在しなくなった環境でも
起こる可能性があります
次へ
Windows Server 2012 R2 と Windows Server 2003 の混在環境で、コンピューターアカウントのパスワードを変更した後にログオ
ンできない
https://support.microsoft.com/ja-jp/kb/2989971
AD DSの役割インストール「前」であれば、 %systemroot%¥WinSxS¥ 配下に amd64_microsoft-windows-
k..distribution-center_<ID>_6.3.9600.17278_none_<ID> のように、「6.3.9600.17278」よりも大きな数字であれば適用
済み
AD DSの役割インストール「後」であれば、%systemroot%¥system32 配下の kdcsvc.dll のバージョンが「6.3.9600.17278」よ
りも大きければ適用済み

91
パスワード変更後に資格情報に問題
 ドメインコントローラーのOSをWindows Server 2012 R2にアップグレード後、
パスワードを変更するとユーザー証明書や保存された資格情報が
利用できなくなる事象が発生する可能性がある
 DPAPI（データ保護API）と呼ばれる機密情報を保護するためのAPIを利用し
て、暗号化された情報にアクセスできなくなっていることに起因
次へ
Cannot access DPAPI data after an administrator resets your password on a Windows Server 2012 R2-based
domain controller
https://support.microsoft.com/ja-jp/kb/3038562/en-us

92
匿名接続可能な共有の制限
 Windows Server 2012 R2では、
匿名接続でアクセス可能な共有に制限あり（アクセス可能なパスが減った）
 共有に匿名接続するアプリケーションが存在している場合には影響がある
 次のレジストリを確認。
HKLM¥SYSTEM¥CurrentControlSet¥Services¥Lanmanserver¥Pa
rameters キー配下の NullSessionPipes や NullSessionShares
次へ

93
【参考】ドメインコントローラーのOSの2016アップグレード時の注意点
※Windows Server 2016 正式リリース時には仕様が変わる可能性があります。
ドメインコントローラーのOSを、Windows Server 2016に
1. FRSはノンサポート
2. Windows Server 2003機能レベルはノンサポート
「2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能」をご参照ください。
次へ

94
フォレスト、ドメインの機能レベルの昇格時の注意点
 ドメインの機能レベルを「Windows Server 2008」以降に
昇格する場合の注意事項
 Kerberos認証で利用される「krbtgtアカウント」でAESが利用可能に
 機能レベルの更新後、各ドメインコントローラー上の「KDC サービス」が
krbtgtアカウントのAES用のキーを生成する必要がありますが、
複製のタイミングによっては、このAESキーが生成されないケースがある
 ドメインの機能レベルの昇格の後に、認証障害が疑われる場合には、
ドメインコントローラーの再起動か、「KDC サービス」の再起動を行う
次へ

95
Azure仮想マシンをドメインコントローラーにするときの注意点
次へ
 複数台のドメインコントローラーを配置することを推奨
 ドメインコントローラーのOSバージョンは、Windows Server 2012以降を推奨
 固定のIPアドレスの割り当てが必要（ただし、ゲストOSで固定設定しない）
 データディスクを追加して、データベースとSYSVOLの配置先とする
 オンプレミスの Active Directory 環境と連携させるには、VPN 接続する
 Azureからのデータ送信の課金を抑えるために、サイト分割などを行う

96
Azure仮想マシンをドメインコントローラーにするときの注意点（つづき）
次へ
 仮想ネットワークのDNSサーバーのアドレスを変更
 ディレクトリサービス復元モード（DSRM）で起動する際は、
「bcdedit /set safeboot dsrepair」を実行してから再起動
 「DHCP Server」、「WINS Server」など、
Azure仮想マシンでサポートしていない機能あり
Microsoft server software support for Microsoft Azure virtual machines
https://support.microsoft.com/en-us/kb/2721672

97
Azure仮想マシンをドメインコントローラーにするときの注意点（つづき）
次へ
「シャットダウン」に関する注意事項
ゲストオペレーティングシステム内でドメインコントローラーロールを実行する VM を、
Azure の管理ポータルでの [シャットダウン] オプションを使用せずに、シャットダウンし、再起
動する必要があります。現在のところ、管理ポータルを使用して VM をシャットダウンすると、VM
の割り当ては解除されます。割り当てが解除された VM では料金が発生しないという利点がありま
すが、VM-GenerationID がリセットされます。これは DC に対しては望ましくありません。VM-
GenerationID がリセットされると、AD DS データベースの invocationID もリセットされ、RID
プールは破棄され、SYSVOL は権限がないとマークされます。
「Azure の仮想マシンでの Windows Server Active Directory のデプロイガイドライン」より抜粋
https://msdn.microsoft.com/ja-jp/library/azure/jj156090.aspx

99
まとめ
 AD DSはWindows環境の認証の基盤のため、
移行に失敗すると大きなダメージとなります。
 本セッションの情報などを参考にして、移行を成功させてください。
 Windows Server 2016など、これからの「Active Directory」は
AD DSはもちろん、AD FS、そしてAzure Active Directoryも
組み合わせて利用するケースが増えます。。。勉強しましょう！
次へ

ご清聴ありがとうございました！
知北直宏
Twitter: @wanto1101
mailto:contact123@itd-corp.jp
100
Thank You!

160625 cloud samurai_adds_migration_160625

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (19)

Destacado

Destacado (20)

Similar a 160625 cloud samurai_adds_migration_160625

Similar a 160625 cloud samurai_adds_migration_160625 (20)

Más de wintechq

Más de wintechq (20)

160625 cloud samurai_adds_migration_160625