マイクロソフト社のサーバーOS「Windows Server」の旧バージョンのサポート終了が決定しています。他にも新サーバーを導入する理由で、Active Directory(AD)の移行が必要になることがあります。
そこで本記事では、Active Directory移行を準備している組織に向けて、2つの移行手段を手順に沿って紹介します。
「Active Directory」とは?
Active Directory(アクティブディレクトリ)とは、マイクロソフト社が提供するサーバーOS「Windows Server」の機能のひとつです。「AD」の略語で呼ばれることもあります。
Active Directory は、情報やコンピューターを整理し、セキュリティを守るために役立ちます。取り扱うデータの関係性や場所を「ディレクトリ」の概念で扱い、人材や情報などの各種リソースを効率的に管理するのが特徴です。
ディレクトリは、イメージとして、コンピューター内でファイルを整理するためのフォルダととらえてもいいかもしれません。ディレクトリを使うと、関連するファイルをひとまとめに管理できます。例えば、写真ディレクトリにはすべての写真ファイルを、文書ディレクトリには文書ファイルを入れるイメージで、このように整理されていることで、必要なファイルをすぐ見つけることできます。
Active Directoryの主な機能
次にActive Directoryの主な機能を順に解説します。
1.ID/パスワードの一元管理
Active Directoryは、階層構造でドメイン内のユーザーのID/パスワードを管理できる「フェデレーションサービス」の機能を搭載しています。
クラウドサービスを含む複数のシステムへ、一度のログインで認証できるSSO(シングルサインオン)を採用しているため、ユーザーが管理するのは1組のID/パスワードで済みます。これまでのようなシステムごとに都度、ID/パスワードを設定・管理し、ログインする手間が不要です。
2.ユーザー認証とアクセス制御
Active DirectoryではユーザーID/パスワードだけでなく、各ユーザーのアクセス権限や認証の管理も容易です。ユーザーごとやグループごとに「閲覧可」「データ編集可」などのアクセス権限を付与し、これに基づいた認証を行います。
3.機器やソフトウェアの管理
Active Directoryは、ユーザーだけでなくネットワーク(同一ドメイン)上に接続されている機器やソフトウェアを管理する機能もあります。ネットワーク上のPCやプリンター、USBメモリなどの機器類から、Windows OSやセキュリティアプリなどのソフトウェア、ファイルやフォルダまで管理者側で一括管理が可能です。
「ソフトウェアのアップデートを一括で行う」「ファイルの書き込みを不可能にする」「機器のドライバーを一斉配布する」「IPアドレスを変更する」といった対応も可能なため、機器やソフトウェアの管理や運用の作業の効率化にもつながります。
4.操作ログの閲覧・管理
Active Directory上で操作するとログが残り、このログの閲覧や管理ができます。
また、ログインや特権の割り当て、チケット要求といった認証に関するログは「イベントログ」として記録。アカウントの悪用やサイバー攻撃などを受けた場合は、イベントログを確認することで、攻撃の手がかりとなる情報を得られる可能性もあります。
なお、Active Directoryで個々のパソコンの操作ログを取得することはできません。
Active Directoryの「移行」すべきはどんなとき?
サーバーOS「Windows Server」の新しいバージョンがリリースされたとき、Active Directoryの移行が必要です。
例えば「Windows Server 2012/2012 R2」のマイクロソフト社のサポートが2023年10月に終了します。
現在、2012/2012 R2バージョンのWindows Serverを利用している場合は、他のバージョンのWindows ServerへのActive Directoryの移行が必要です。Windows Serverには様々なバージョンがあり(2022 / 2019 / 2016 / 2012 r2 /2012 / 2008 r2 / 2008 / 2003 など)、Active Directoryはそれらの間を移行できます。
他にも何らかの理由で新しいサーバーに入れ替えるときや、サーバー環境をオンプレミスからクラウドへ移行するときも、Active Directoryの移行作業が必要です。
2つのActive Directory移行方法
Active Directory移行方法は2種類あります。それぞれ紹介します。
AD移行(1)ADをバックアップした後、別のサーバーで復元
2台のWindows Server PCを使用し、コマンドラインでActive Directoryをバックアップ後別のサーバーに以下の手順で転送する方法です。
- ターゲットサーバーを使用して新しいドメインコントローラーを導入し、ドメインの新しいFSMOロールホルダーにする
- フォレストルートとドメインツリーレベルに対して新しいドメインコントローラーを導入する
- ローカル管理者グループのメンバーとしてターゲットサーバーコンピューターにログインし、サーバーを既存のドメインにメンバーとして追加する
- Windows Serverの再起動後、Enterprise Administratorとしてサーバーへロゴを追加し、静的IPアドレスをサーバーに割り当てる
- Windowsアイコンを右クリックして、「Windows PowerShell(管理者)」を選択する
- 「Install-WindowsFeature –Name AD-Domain-Services -IncludeManagementTools」と入力し、指定されたサーバーにActive Directoryドメインサービスをインストールする
- 新しいサーバーを追加のドメインコントローラーとして構成するため、以下のコマンドを1行ずつ入力する
『
Install-ADDSDomainController
-CreateDnsDelegation:$false
-InstallDns:$true
-DomainName "rebeladmin.net"
-SiteName "Default-First-Site-Name"
-ReplicationSourceDC "DC08.rebeladmin.net"
-DatabasePath "C:\Windows\NTDS"
-LogPath "C:\Windows\NTDS"
-SysvolPath "C:\Windows\SYSVOL"
-Force:$true
』 - SafeMode Administrator Passwordが要求された場合、新しい複雑なパスワードを入力する
- サーバーシステムを再起動し、管理者としてログインする
- 「Get-Service adws,kdc,netlogon,dns」と入力しADDSのステータスを確認する
- 「Get-ADDomainController -Filter * | Format-Table Name, IPv4Address, Site」「Move-ADDirectoryServerOperationMasterRole -Identity REBEL-DC2019 -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster」と入力し、すべてのFSMOロールを新しいドメインコントローラーに移行する
- 「Netdom query fsmo」と入力し、新しいFSMOロールホルダーの役割を確認する
- 「Uninstall-ADDSDomainController -DemoteOperationMasterRole -RemoveApplicationPartition」と入力し、古いWindowsドメインコントローラーを廃止する
- 「Set-ADDomainMode –identity therebeladmin.com -DomainMode Windows2016Domain」と入力し、ドメインの機能レベルを上げる
- 「Set-ADForestMode -Identity therebeladmin.com -ForestMode Windows2016Forest」と入力し、フォレストの機能レベルを上げる
- 「Get-ADDomain | fl Name,DomainMode」「Get-ADForest | fl Name,ForestMode」と入力し、サーバーADの移行プロセスが完了したか確認する
AD移行(2)AD移行ツールを利用する
マイクロソフト社から提供されている、AD移行ツール(ADMT)を利用してActive Directoryを移行する方法もあります。ADMTには、以下の機能が搭載されています。
- ユーザーアカウントの移行
- サービスアカウントの移行
- グループを移行する
- コンピューターアカウントの移行
- ローカルプロファイルのセキュリティの変換
Active Directory移行時の課題
Active Directoryの移行に失敗すると、「ドメインへの参加人数が増えた際にファイルにアクセスできなかったり、通信速度が低下したりする」「ADのグループへの接続を前提としていた業務が停止する」といった問題が発生する可能性があります。
特に移行後のテスト運用では移行がうまくいっているように見えても、本運用時にアクセスできない、デスクトップ画面が表示されない、といったトラブルが発生する場合もあるでしょう。
Active Directoryの移行に関して、ありがちな課題を解説します。
手動移行は一定以上のスキルが必要
Active Directoryの移行作業は、前述通りツールを使用したコマンドライン操作が必須です。
Active Directoryを失敗なく適切に移行するには、コマンド入力やツール操作をするための、一定以上のスキルが求められます。
社内に移行作業に関するスキルを持つ人材がいない場合、外部サービスの活用なども検討する必要があります。
移行元と移行先のバージョンにより時間を要する
Active Directoryを移行先、移行元それぞれのバージョンによって整理すべき事柄が変わります。ユーザー、グループ、コンピューター、サーバー、アプリケーションが新しいバージョンへ移動するため、移行後機器やシステム、ファイルなどの管理を理解するのに多くの時間が必要です。
Active Directoryの移行には一定以上の専門知識が必須
前章の「Active Directory移行時の課題」で解説したように、Active Directoryの移行作業は、専門的な知識やスキルが求められるのです。万が一、移行に失敗すると接続が重くなる、業務が停止になるなどの重大な影響が出る可能性もあります。
組織によっては、AD移行作業に必要な専門知識のある人材や時間などのリソースを確保できない場合もあるでしょう。そこで外部の支援サービスの利用を検討してはいかがでしょうか。
マイクロソフト社から認定されたパートナー企業であるテクバンでは、Active Directoryの移行にお悩みのお客様向けのサービスとして、「Microsoft Office 365移行支援サービス」と「Microsoft Azure導入支援サービス」を提供しております。
Microsoft Office 365移行支援サービスでは、確かな技術と豊富な導入実績を基にActive Directoryの移行を含めたクラウドアプリケーションに関する最適な支援を提供します。Microsoft Azure導入支援サービスでは、お客様の状況ごとのファイルサーバーに関する課題や問題点をヒアリングし、ご要望に沿った構成の検討、提案、導入までを支援します。
ぜひお気軽にご相談ください。
Microsoft Azureについて、詳しい記事をご用意しております。ぜひご覧ください。
▼Azureとはどのようなサービス? 初心者でもわかる基本から運用のメリットまで徹底解説
Active Directory移行は十分な準備と余裕のある計画を
Active Directoryの移行が必要な理由や、移行作業の手順を解説しました。
Active Directoryの移行は正確な作業を行わないと、業務に支障をきたす重大な問題が発生する場合があります。
十分な事前準備や余裕を持った計画を立てて、確実に移行作業を行いましょう。
