|
この記事は2014年6月19日に作成されました。 |
前回に引き続き、Active Directoryについてのお話です。
既存のActive Directoryドメイン構造に問題がある場合、構造を変更するよりも新しく作り直した方が早いことが多いようです。
既存ドメインから新規ドメインへの移行作業を「マイグレーション」と呼びます。今回は、Active Directoryマイグレーションについて紹介します。
【2】 Active Directoryマイグレーション:アップグレード準備
【3】 Active Directory マイグレーション:アップグレード手順
【4】 Active Directory マイグレーション:ADMT
【5】 ユーザー・グループの移行
【6】 サーバー役割の移行
Widows 2000とともにActive Directoryが登場したとき、マイクロソフトは複数ドメイン環境がもっと一般的に使われると予想していたようです。そのため、Windows 2000の研修教材でも複数ドメイン環境の使用パターンがいくつも紹介されていました。
当時はWAN回線の速度が不十分だったため、地域をまたがった単一ドメインを作るのが難しかったという事情もあります。
しかし、現在は高速なWAN回線が安価で利用できるため、複数ドメインのメリットは薄れています。一方で、セキュリティ管理など、会社全体で統一したポリシーが要求されるシーンが増えました。ドメインを超えた統一設定は面倒だったり効率が落ちたりするので、できれば避けたいところです。
マイクロソフトの公式テキスト(MSU)でも「原則は単一ドメイン」と明記されるようになり、複数ドメイン構築についての記述は減っています。また、シングルドメインをサポートするための機能強化も測られています。
Windows Server 2003で追加された「メディアからのインストール(IFM)」は、低速回線で結ばれた拠点にドメインコントローラーを効率よく追加する機能です。Windows Server 2008で追加された「読み取り専用ドメインコントローラー(RODC)」は、低速回線で結ばれた拠点でシングルドメインを効率よく運用するための機能です。
もちろん、複数ドメインが必要な場合もありますから、何が何でも単一ドメインというわけではありません。ただ、当初考えられていたよりもシングルドメインの利点が大きいことが分かったということです。
そのため、Windows 2000当時に作成した複数ドメイン環境から、単一ドメイン環境に移行したいというニーズはよく聞きます。
実は、Windows Server 2003からドメインの付け替えが可能になっています。RENDOMというツールを使うことで、ドメイン名の変更や、フォレストルートを除くドメイン構造の変更が可能です。
しかしこのRENDOM、使いこなすのはなかなか面倒です。まず、必要なステップ数が10を超えます。各ステップは、前のステップが完全に終わり、全ドメインコントローラーに設定が伝搬してから次のステップへ進む必要があります。
以前、ある雑誌にRENDOMの記事を書いた人が
編集部が付けたタイトルは『楽々移行』やけど、どこが『楽々』やねん
と自分で突っ込んでました(関西弁なのは、ライターが関西在住なためで、他意はありません)。
ドメイン構造を変更したい方の大半は、現在よりもシンプルにしたいと考えています。そして、多くの方はシングルドメインに移行しようとしています。
シングルドメインへの移行であれば、RENDOMを使って苦労してドメイン構造を変えるより、新しいドメインを作成し、そこに既存の情報を移行した方が簡単です。
Active Directory Migration Tool (ADMT) は、既存ドメインから新規ドメインへ移行するための万能ツールです。以前はその他の移行ツールも存在したのですが、現在ではADMTだけ知っていれば十分です。
ADMTの主な機能は以下の通りです。
ユーザーの移行時に、パスワードエクスポートサーバー(PES)を利用することで、パスワードの移行も可能です。
一般的には、以下の順序でドメインを移行します。ドメインコントローラーは移行できません。
ADMTは、これらの手順すべてをサポートします。
実際には、クライアントPCは移行せずに新しく用意することもよくあります。またサービスアカウントも移行せずに、再構成する場合もあります。
そのため、グローバルナレッジの教育コース「Windows環境マイグレーション実践」では、クライアント移行についてはそれほど詳しく扱っていません。新しいPCに既存の環境を移行する方法については、別のコースで扱う予定です。
ADMTの最新バージョンは3.2ですが、3.0から3.2の機能差はなく、インストール先のOSによって使い分けます。Windows Server 2012用のADMTは、現在テスト中だそうです。ADMTは大規模環境で使われることが多く、高い信頼性が求められるので十分なテストが必要だということです。
ただし、ADMTをWindows Server 2008 R2以前で動作させれば問題ないので、移行先をWindows Server 2012にすることは可能です。
ADMTを使えば、ユーザーやグループは簡単に移行できるのですが、ADMTを利用するにはいくつかの事前設定が必要です。大半は自動的に設定してくれますが、どうしても管理者が別途行わなければならないものもあります。
また、グループの移行とユーザーの移行を同時に行うにはどうするか、パスワード移行のための追加設定をどうするのかなど、公開されている文書だけでは分かりにくい部分もあります。
「Windows環境マイグレーション実践」では、演習を通してこれらの疑問にお答えします。