1. Active Directory の
移行のお話し
‘11/06/25
@ ヒーロー島
アイティデザイン株式会社
知北直宏
Copyright 2011 ITdesign Corporation , All Rights Reserved 1

2. 自己紹介
• 福岡でアイティデザイン株式会社という会社の代表取締役をやってます。しかし実態は。。。
• 2011年1月に、マイクロソフトさんより
「Microsoft MVP (Directory Services Jan2011 - Dec2011) 」を受賞させていただきました。
• 2010年1月には次の書籍を執筆、発売しました。
標準テキスト Windows Server 2008 R2 構築・運用・管理パーフェクトガイド
著者：知北直宏、出版社：ソフトバンク クリエイティブ
（2011年5月現在で第五版まで発行。総発行部数はヒミツ。たくさん買ってもらってます。）
Copyright 2011 ITdesign Corporation , All Rights Reserved 2

3. アジェンダ
• そもそも Active Directory って？
• Active Directory 導入によるメリット
• Active Directory のこれからの利用
• Active Directory を移行する理由
• Active Directory を移行する方法
• アップグレードによる移行の概要
• 再構築による移行の概要
• 再構築による移行の注意点
• 移行のためのActive Directory関連用語の整理
• ADMTって？
• アップグレードによる移行の方法
• 再構築による移行の方法
• 各種機能の移行
• Active Directoryの移行に関してその他いろいろ
Copyright 2011 ITdesign Corporation , All Rights Reserved 3

4. そもそも Active Directory って？
• 2000年にデビューした、Windows Server 標準の
ディレクトリサービス。
• 多数のユーザーやコンピューター（PC）を管理す
るのになくてはならない機能。
Copyright 2011 ITdesign Corporation , All Rights Reserved 4

5. Active Directory 導入によるメリット
• 認証/承認によるセキュリティ強化
• シングルサインオンによる業務効率向上
• デスクトップ環境の統一による操作性の向上
• ユーザー操作の抑制
• 管理コスト削減
• 生産性向上
• 容易なセキュリティ更新プログラムの配信の実現
• 内部統制対応など、コンプライアンス強化
• その他いろいろ！
Copyright 2011 ITdesign Corporation , All Rights Reserved 5

6. Active Directory のこれからの利用
• 高度なテクノロジーを使ったサーバーの集中管理
のためにも必要になってきた。
• フェデレーション技術によって、組織間での認証
統合
• クラウドサービス利用時の認証統合、認証連携
Copyright 2011 ITdesign Corporation , All Rights Reserved 6

7. Active Directory を移行する理由
• 新機能を使いたい！
（機能のサービス化、RODC、きめ細かなパスワードポリシー、ごみ箱機能、
オフラインドメイン参加、Active Directory管理センター、その他いろい
ろ。。。）
• サポート切れ対策
（OS、ソフト、ハードのサポートが切れてしまう。。。）
• 企業合併、市町村合併などへの対応
• きれいなAD環境にしたい！
Copyright 2011 ITdesign Corporation , All Rights Reserved 7

8. Active Directory を移行する方法
• 方法は2つ。
「アップグレード」か、
「再構築（新規構築してアカウントなどを移行）」。
• 「アップグレード」が推奨される。
しかし、次のようなケースでは「再構築」を検討。
• 大規模環境などで、段階的に移行したい
• ぐちゃぐちゃな構成をすっきりしたい、作り直したい
Copyright 2011 ITdesign Corporation , All Rights Reserved 8

9. アップグレードによる移行の概要
1. 新ドメインコントローラーを追加。
2. 機能や役割を旧ドメインコントローラーから
新ドメインコントローラーへ移動。
3. 旧ドメインコントローラーを停止、撤去。
①
新ドメインコントローラーを追加
②
機能や役割を移動。
新ドメインコントローラー 旧ドメインコントローラー
③
Active Directory ドメイン 旧ドメインコントローラーを撤去
Copyright 2011 ITdesign Corporation , All Rights Reserved 9

10. 再構築による移行の概要
1. 新ドメインを構築。
2. ユーザーやコンピューターなどアカウントを
旧ドメインから新ドメインへ移動。
アカウント移動はADMT（Active Directory Migration Tool）を、パスワー
ド移行はPES（Password Export Server）を利用。
3. 旧ドメインを停止。
① ② ③
新ドメインを構築 ユーザーやコンピューター ドメインを停止。
などアカウントを移動。
新 Active Directory ドメイン 旧 Active Directory ドメイン
Copyright 2011 ITdesign Corporation , All Rights Reserved 10

11. 再構築による移行の注意点
• ドメインを新規構築して、アカウントを移動するため、手間がかかる。
• ドメイン名など、設定や環境が大きく変わるため、各種システムへの
影響が大きい。
• 旧ドメインに参加していたコンピューターなどは、新ドメインへ参加
しなおす必要があるため、再起動必須。
（ADMTによって自動的に再起動させることは可能）
• 移行はマイクロソフトの無償のツールである
ADMT（Active Directory Migration Tool）を使うが、
結構難易度が高い。。。
• Windows Server 2000 ベースのActive Directoryを
再構築でWindows Server 2008 R2ベースに移行することはできませ
ん。 Copyright 2011 ITdesign Corporation ,
11
All Rights Reserved

12. 移行のためのActive Directory関連用語の整理（1/4）
• フォレスト
1 つ以上の Active Directory ドメインの集合。同じクラス
と属性の定義 (スキーマ)、サイトおよびレプリケーション
の情報 (構成)、およびフォレスト全体の検索機能 (グロー
バル カタログ) を共有します。同じフォレストにあるドメ
インは双方向の推移性の信頼関係でリンクされています。
（ADMTのヘルプより引用。。。）
Copyright 2011 ITdesign Corporation ,
12
All Rights Reserved

13. 移行のためのActive Directory関連用語の整理（2/4）
• 機能レベル
ドメインまたはフォレストの機能レベルは、対象のドメインまたは
フォレストで利用できる高度の Active Directory の各機能を定義しま
す。ドメインまたはフォレストの機能レベルは、対象のドメインまた
はフォレストにあるドメイン コントローラーで動作できる Windows
オペレーティング システムの種類も定義します。
機能レベルには、次のような重要な注意点があります。
・機能レベルを上げると、古いドメインコントローラーが存在できなくなる。（メン
バーサーバーは古くてもOK）
・機能レベルは「上げる」ことはできるけど、「下げる」ことは（基本的には）できな
い。
・機能レベルに依存したアプリケーションがまれにあるため要注意。
（例えば、Exchange 2003が存在するドメインは「Windows Server 2008」以上の機
能レベルはサポートされない、など）
Copyright 2011 ITdesign Corporation ,
13
All Rights Reserved

14. 移行のためのActive Directory関連用語の整理（3/4）
• FSMO（Flexible Single Master Operation）
「操作マスター」とも呼ばれます。
フォレスト内やドメイン内の1台のドメインコントローラーでしか保持
できない機能。
特に、アップグレードの移行の際には、これをどのタイミングで、ど
の新ドメインコントローラーに移すかが重要。
次の5つがあります。
– スキーママスター
– ドメイン名前付けマスター
– PDCエミュレーター
– RIDマスター
– インフラストラクチャマスター
Copyright 2011 ITdesign Corporation ,
14
All Rights Reserved

15. 移行のためのActive Directory関連用語の整理（4/4）
• セキュリティ識別子 (SID)
ユーザー、グループ、およびコンピューターのアカウントを識別する
可変長のデータ構造。ネットワーク上のすべてのアカウントに対して、
そのアカウントが最初に作成されたときに、一意の SID が発行されま
す。Windows の内部処理では、ユーザー名やグループ名ではなく、ア
カウントの SID が参照されます。
（ADMTのヘルプより引用。。。）
• 再構築による移行の際には、「SIDの履歴」という機能を使うかどうか
がカギ。
この機能を使うことにより、移行するアカウント（例えばユーザーア
カウント）に新旧2つのドメインのSIDが割り当てられます。これによ
り、移行中に新旧どちらのドメインのリソースにもアクセスできるよ
うになります。
Copyright 2011 ITdesign Corporation ,
15
All Rights Reserved

16. ADMTって？
• Active Directoryを再構築して各種アカウントを移行する
際に必須のツール。
• Windows Serverのバージョンに合わせて複数バージョン
が存在する。
• Windows Server 2008 R2に対応したものはADMT 3.2。
（SQL Server Express Editionが組み込まれなくなった）
• ADMTを使って再構築、移行するときはこのドキュメント
は絶対読みましょう！！
Active Directory 移行ツール (ADMT) ガイド : Active Directory ドメインの移行と再構築
http://www.microsoft.com/downloads/ja-jp/details.aspx?FamilyID=6D710919-1BA5-41CA-
B2F3-C11BCB4857AF Copyright 2011 ITdesign Corporation ,
16
All Rights Reserved

17. アップグレードによる移行の方法（1/3）
• Windows Server 2003ベースのActive Directoryを、
Windows Server 2008 R2ベースのものにアップグレードして移行するときの
手順の例です。（構成や環境によっては手順が異なる場合があります）
画面ショット付の詳細は、ぜ、ぜひ、書籍のほうで。。。（宣伝）
1. 準備をします。各種アプリケーションなどが新たなドメイン環境に合致してい
るか確認します。また、ドメインコントローラーのバックアップなどを採取し
ます。
2. ドメインの機能レベルを「Windows 2000 ネイティブ」以上に上げます。
3. フォレストのスキーマを拡張します。（ adprep32 /forestprep ）
4. RODCのためのスキーマを拡張します。（ adprep32 /rodcprep ）
5. ドメインのスキーマを拡張します。（ adprep32 /domainprep /gpprep ）
6. Windows Server 2008 R2コンピューターをドメインに参加させて、ドメイン
コントローラーに昇格させます。（スキーマを拡張しているからこそ、新しい
Windows Serverをドメインコントローラーにすることができます。）
（続く）
Copyright 2011 ITdesign Corporation ,
17
All Rights Reserved

18. アップグレードによる移行の方法（2/3）
7. FSMO・操作マスターを旧ドメインコントローラーから、新ドメインコント
ローラーへ移します。GUIでもできますが、あらかじめコマンドを用意してお
いたほうがラクです。
ntdsutil “roles” “connections” “connect to server (新DC名)" quit "transfer schema master" quit quit
ntdsutil "roles" "connections" "connect to server (新DC名)" quit "transfer naming master" quit quit
ntdsutil "roles" "connections" "connect to server (新DC名)" quit "transfer RID master" quit quit
ntdsutil "roles" "connections" "connect to server (新DC名)" quit "transfer PDC" quit quit
ntdsutil "roles" "connections" "connect to server (新DC名)" quit "transfer infrastructure master" quit quit
8. DNSサーバーやNTPサーバーの微調整を行います。
9. 旧ドメインコントローラーをメンバーサーバーに降格させます。
（使用しないのであればドメインから削除して停止します。）
（続く）
Copyright 2011 ITdesign Corporation ,
18
All Rights Reserved

19. アップグレードによる移行の方法（3/3）
• 前のページの手順までで、Windows Server 2008 R2ベースのActive
Directoryにアップグレードが完了していますが、必要に応じて次のような追加
操作も行います。
• 機能レベルを上げる。
最新の機能を使うことができるようになる。
一度上げた機能レベルは（基本的には）下げることができない、古いドメイン
コントローラーを追加できなくなる、新しい機能レベルに対応していないアプ
リケーションがあるかも、など懸念点いろいろ。
• SYSVOLの複製方法を変更する。
従来のFRS（File Replication Service）から、DFS-R（DFS Replication)に変
更することが可能。複製パフォーマンスの向上などが期待できる。
• ベストプラクティスアナライザーを使って構成をチェックする。
Copyright 2011 ITdesign Corporation ,
19
All Rights Reserved

20. アップグレードによる移行の補足・注意点
• IPアドレスの変更（入れ替え）について
ドメインコントローラーがDNSサーバーやDHCPサーバーを兼ねていて、ドメ
インに参加しているコンピューターのそれら設定（参照設定）を変更すること
が困難な場合は、旧ドメインコントローラーのIPアドレスを、新ドメインコン
トローラーに引き継ぐことを検討する。
（ただし、同じIPながら実体は変わっているため、ドメインに参加しているコ
ンピューター側でケルベロスのエラーなどが発生する可能性がある。ドメイン
に参加しているコンピューターを一度リブートしたほうがいいかも。）
• 旧ドメインコントローラーの降格不可について
データベースが破損している場合などには、旧ドメインコントローラーが通常
の方法（dcpromoを素で動かした方法）で降格できない場合があります。
その際は次の情報などを参照しながら強制削除します。
ドメイン コントローラーの降格に失敗した後、Active Directory のデータを削除する方法
http://support.microsoft.com/kb/216498
Copyright 2011 ITdesign Corporation ,
20
All Rights Reserved

21. 再構築による移行の方法（1/4）
• Windows Server 2003ベースのActive Directoryを、
Windows Server 2008 R2ベースのものに再構築して移行するときの手順の例
です。フォレスト間移行、SID履歴を使用する場合を想定しています。
（構成や環境によっては手順が大きく異なります）
1. 準備をします。各種アプリケーションなどが新たなドメイン環境に合致してい
るか確認します。また、ドメインコントローラーのバックアップなどを採取し
ます。
2. 移行元ドメインの機能レベルを「Windows Server 2003」に上げます。
3. Windows Server 2008 R2コンピューターによる、新ドメイン・移行先ドメイ
ンを構築します。
4. 旧ドメイン・移行元ドメインと、移行先ドメインとの間で信頼関係を結びます。
また、そのためにDNSに相手のセカンダリゾーンを登録したり、条件付きフォ
ワーダーを設定して、相互に名前解決ができるようにします。
5. 移行元ドメインに移行用ユーザーアカウントを登録します。
もしくは、お互いにDomain Adminsグループを相手のAdministratorsグルー
プのメンバーとします。
（続く）
Copyright 2011 ITdesign Corporation ,
21
All Rights Reserved

22. 再構築による移行の方法（2/4）
6. ADMT実行のための準備（SID履歴監査のためのグループ登録、監査設定、場
合によっては一部レジストリー操作）を行います。ただし、この操作は初めて
ADMTを実行するときに自動で行うこともできます。
7. 移行先ドメインに参加しているWindows Server 2008 R2コンピューター（ド
メインコントローラーよりもメンバーサーバーを推奨）に、SQL Server
Express Editionを「Windows認証モード」でインストール。
（2005であればSP3以上、2008であればSP1以上）
8. （SQL Serverをインストールしたサーバーに）ADMT3.2をインストール。
9. コマンドプロンプトでADMT付属のコマンドを実行して、パスワード移行用の
キーファイルを作成する。また、このファイルを移行元ドメインコントロー
ラーにコピーする。
10.移行元ドメインコントローラーにPESをインストールする。その際に移行先か
らコピーしたPESのキーファイルを指定する。なお、PESはサービスとして動
作するが、アカウント移行時のみ起動することが推奨されている。
11.（ADMT実行のための準備を行っていない場合には、この時点でADMTを使っ
てグローバルグループのテスト移行を行う。これにより準備が自動実行され
る。）
（続く）
Copyright 2011 ITdesign Corporation ,
22
All Rights Reserved

23. 再構築による移行の方法（3/4）
12.サービスアカウントの識別操作を行うために、ADMTで「サービスアカウント
の移行ウィザード」を実行する。ここで指定したコンピューターにエージェン
トが送り込まれて、サービスアカウントのチェックを行う。
13.サービスアカウントの切り替え操作を行うために、ADMTで「ユーザーアカウ
ントの移行ウィザード」を実行する。
14.グローバルグループの一回目の移行を行うために、ADMTで「グループアカウ
ントの移行ウィザード」を実行する。
15.ユーザーアカウントの移行を行うために、ADMTで「ユーザーアカウントの移
行ウィザード」を実行する。ただしこの時点では移行先ではユーザーアカウン
トは無効のままとしておく。
16.ユーザープロファイルの移行のために、ADMTで「セキュリティの変換ウィ
ザード」を実行する。
17.ワークステーション（ドメインに参加しているコンピューター）の移行のため
に、ADMTで「コンピューターの移行ウィザード」を実行する。ここで指定し
たコンピューターにエージェントが送り込まれて、参加ドメインの変更処理が
行われる。また、指定した時間後に自動再起動する。
Copyright 2011 ITdesign Corporation ,
（続く）
23
All Rights Reserved

24. 再構築による移行の方法（4/4）
18.ユーザーアカウントの最終の移行を行うために、ADMTで「ユーザーアカウン
トの移行ウィザード」を再び実行する。このときにPESのサーバーの指定など
を行って、パスワードを引き継ぎながら移行する。
19.グローバルグループの再度の移行を行うために、ADMTで「グループアカウン
トの移行ウィザード」を実行する。
20.ファイルサーバーなど、リソースの移動を行う。
21.（必要であれば）移行元ドメインのドメインコントローラーを降格させて、移
行先ドメインのドメインコントローラーに昇格させる。
22.信頼関係を解除する。
Copyright 2011 ITdesign Corporation ,
24
All Rights Reserved

25. 各種機能の移行
• Active Directory環境で利用されることが多い、次の機能の移行についてのヒ
ントです。
– グループポリシー
– DNS
– DHCP
– WINS
– ファイルサーバー
Copyright 2011 ITdesign Corporation ,
25
All Rights Reserved

26. グループポリシーの移行
• アップグレードによる移行の場合は、グループポリシーもそのまま移行されま
す。
• 再構築による移行の場合は、ADMTを使ってグループポリシーを移行すること
はできないため、GPMC（Group Policy Management Console）を使って移
行する必要があります。
1. GPMCを使って移行元ドメインのグループポリシーをバックアップ。移行先ド
メインへコピー。
2. 移行テーブルエディターを使ってチェック。セキュリティプリンシパル（ユー
ザー、グループ、コンピューター）やUNCパスなどが定義されている場合は書
き換え。
3. GPMCを使って移行先ドメインにGPO（Group Policy Object）を作って、移行
元ドメインからコピーしてきたグループポリシー（GPO）をインポート。その
際に必要であれば移行テーブルを指定。
Copyright 2011 ITdesign Corporation ,
26
All Rights Reserved

27. DNSの移行
• アップグレードによる移行の場合は、Active Directory統合のゾーンは自動で
移行、複製されるはず。
• プライマリー/セカンダリーゾーンの場合は、複製を取らせて移行を実行。
• ゾーンの編集は dnscmd コマンドが便利。
セカンダリーゾーンを作る例
dnscmd /ZoneAdd (ゾーン名) /Secondary (マスターサーバーのアドレス)
DNS転送設定を「すべてのサーバー」にする例
dnscmd /ZoneResetSecondaries (ゾーン名)
セカンダリーゾーンをプライマリーゾーンに変更する例
dnscmd /zoneresettype (ゾーン名) /Primary /file (ゾーンファイル名)
（その他使い方いろいろ）
Copyright 2011 ITdesign Corporation ,
27
All Rights Reserved

28. DHCPの移行
• DHCPサーバーのデータベースを複製することにより、移行は完了。
• Windows Server 2003ベースのDHCPサーバーを、
Windows Server 2008 R2ベースのDHCPサーバーへ移行、なんてのもOK。
1. 新DHCPサーバーをセットアップ。DHCPサービスをいったん停止して、デー
タベースファイル（dhcp.mdb）を削除。その後サービスを起動。
2. 旧DHCPサーバーで次のコマンドを実行して、データベースをエクスポート。
netsh dhcp server export dhcpserver.dat all
エクスポートしたデータを新DHCPサーバーにコピー。
3. 新DHCPサーバーで次のコマンドを実行して、コピーしたデータベースをイン
ポート。
netsh dhcp server import dhcpserver.dat all
Copyright 2011 ITdesign Corporation ,
28
All Rights Reserved

29. WINSの移行
• WINSサーバー間の通常のレプリケーションでデータを移行。
• 十分にレプリケーションが終わったところで複製を解除。終わり。
ファイルサーバーの移行
• FSMT（File Server Migration Toolkit）を使うと、セキュリティ設定を保持し
たまま新旧ファイルサーバー間でファイルやフォルダーの複製ができる。。。
んだそう。
Microsoft File Server Migration Toolkit 1.2
http://www.microsoft.com/downloads/ja-jp/details.aspx?displaylang=ja&FamilyID=d00e3eae-
930a-42b0-b595-66f462f5d87b
Copyright 2011 ITdesign Corporation ,
29
All Rights Reserved

30. Active Directoryの移行に関してその他いろいろ
• 移行計画、トラブル発生時の復旧計画をしっかり立てることがとても重要です。
• 特に、事前の検証はできるだけ時間をかけて行いたいところです。
• 検証環境は可能な限り実環境に近いものを用意することを強く推奨します。
ドメインやドメインコントローラーの名前やIPアドレス、台数、機能レベル、
などなど、できるだけ。また、アプリケーションサーバーなども可能な限り再
現を。
• もしも許されるのであれば、実環境をP2Vで仮想マシン上に移して、クローズ
された環境で検証すると確実かも。
Disk2vhdでVHDファイル化して、Hyper-Vで検証なんかできるとよさそう。
（私もそういったP2V化した環境で事前検証したいといつも考えいるけど、な
にぶんにもそこに含まれているデータはアカウント情報だから、お客様環境以
外に持ち出したくない、といった事情もあって、結局毎回スクラッチで限りな
くお客様環境に近い検証環境を再現して、何度も何度も移行検証していたりし
ます。。。そういうときにHyper-Vのスナップショットは本当に便利。）
Copyright 2011 ITdesign Corporation ,
30
All Rights Reserved

31. おしまい
Copyright 2011 ITdesign Corporation ,
31
All Rights Reserved