月: 2020年11月

ドメインコントローラ移行手順(Win2008→2016) 4.事後確認

移行の全体概要はこちらの記事で。

https://ameblo.jp/m-o-q/entry-12617997296.html

 

4.事後確認

 

4-1.NTPの同期状況確認

上位NTPサーバーとの時刻同期設定
1. PDCのコマンドラインから、上位NTPサーバーとの時刻同期を設定する

w32tm /config /update /manualpeerlist:上位NTPサーバ,0x9 /syncfromflags:manual /reliable:YES

2. 設定した内容で時刻同期を開始する

w32tm /resync /rediscover

PDCの時刻同期サービスの再起動と設定確認
1. PDCのコマンドラインから、時刻同期サービスの再起動を行い、設定を確認する

net stop w32time && net start w32time

w32tm /query /status

BDCの時刻同期の確認
1. BDCのコマンドラインから、時刻同期状態を確認

w32tm /query /status

 

 

4-2.DNSの同期状況確認

PDC側DNSでの操作

1. スタートメニューの「管理ツール」から「DNS」を起動する
2. ゾーン名の右クリックメニューから[プロパティ]を表示

3. ネームサーバーの欄に新DCの古いホスト名(subDCS1,subDCS2)が表示されている場合は削除する

4. 前方参照ゾーンの「sub.foo.bar.com」の「_msdcs」を開く

5. 新DCの古いホスト名(subDCS1,subDCS2)が表示されている場合は削除する

6. PDCのDNSサービスの再起動を行い、BDCのDNSと同期させる
※登録されている情報の量によって、同期に時間が掛かる場合があります

 

BDC側での操作

1. スタートメニューの「管理ツール」から「DNS」を起動する
2. BDCのDNSサービスの再起動を行い、PDCで削除や更新した内容が反映されている事を確認
 

同期状態の確認

1. 各ゾーン毎にSOAのシリアル番号がPDCとBDCで同じ値である事を確認

2. 異なる場合、BDC→PDCの順でサービスの再起動を実施

3. サーバーデータファイルの更新を実施

4. 再度シリアル番号を確認する
 

 

4-3.ADクライアントからのドメインログオン確認

今回はドメインユーザアカウントの数が少なかった事もあった為、全数確認を実施しました。

 

・Windows10端末で、全てのドメインユーザアカウントでログイン可否を確認

・WindowsXPで、該当端末利用時のドメインアカウントでのログイン可否を確認

(業務上の理由でOSが更新出来ず、イントラ限定で利用しているケースです)

・ドメインに接続する端末群から、セグメント毎に数台をピックアップして、該当端末利用時のドメインアカウントでのログイン可否を確認

・ドメインアカウントで起動するサービス、アプリケーションへの接続と基本動作確認

(弊社の場合、SQLserverやWSFCクラスタの管理者に専用のドメインアカウントを割り当てています)

・更新後のドメインコントローラ環境に対して、新しいPCがドメイン参加出来る事

 

 

 

 

数回に分けたドメインコントローラ移行手順は、今回で終了となります。

 

ドメイン機能の動作確認としては、他にもたくさん確認すべき項目があると思います。

今回掲載した内容だと、FSMOで制御されるようなドメイン管理の機能や、

ユーザに割り当てた利権の確認などは実施していません。

上位ドメインコントローラの移行を来年実施する予定なので、

その時調べた情報で追記できればと思います。

 

ドメインコントローラ移行手順(Win2008→2016) 3.DCサーバ正(PDC)の移行

移行の全体概要はこちらの記事で。

https://ameblo.jp/m-o-q/entry-12617997296.html

 

3.DCサーバ正(PDC)の移行

対象となるサーバが異なるだけで、手順自体は基本的にBDCと変わりません。

 

 

3-1.subDC01をDCから降格・シャットダウン

①グローバルカタログサーバの確認

1. [Active Directory サイトとサービス]を起動

2. 左ペインのツリーを展開し、各サーバの[NTDS Setting]を右クリックして[プロパティ]を選択

3. グローバルカタログにチェックが入っている事を確認(いずれか1台がGCであればOK)

 

②PDCの降格

1. [サーバーマネージャ]>[役割と機能の削除]>[ActiveDirectoryドメインサービス]のチェックを外す。

2. [ActiveDirectoryドメインサービス構成ウィザード]が表示されます。

3. 資格情報を指定。ドメインAdminを指定すればOKです。

4. 役割削除の警告。[削除の続行]にチェックを入れます。

5. 削除オプションの表示。[DNS委任の削除]のチェックを外します。

6. 降格後の新しいAdministratorのパスワード設定を指定します。

7. 降格の確認。降格ボタンをクリック。成功すると下記メッセージが表示されます。

 

③降格後の確認

新BDCで下記コマンドを実行。降格したsubDC01が表示されない事を確認。

netdom query dc

④PDCのシャットダウン

 

 

3-2.subDC01の情報を下位ドメイン上から削除
①subDC01のコンピュータ情報を削除

1. 新subDC02(FSMO)で[Active Directoryユーザーとコンピュータ]を起動する

2. 左ペインのツリーを展開し、[sub.foo.bar.com]>[Computers]を開く

3. subDC01の右クリックメニューで[アカウントを無効にする]をクリック

4. 確認ダイアログで[はい]をクリックし、次のメッセージボックスで[OK]をクリック

5. 再度subDC01の右クリックメニューで[削除]をクリック

6. 確認ダイアログで[はい]をクリック

 

②subDC01のサイト情報を削除

1. 新subDC02で[Active Directoryサイトとサービス]を起動する

2. 左ペインのツリーを展開し、[Default-First-Site-Name]>[Servers]を開く

3. subDC01の右クリックメニューで[削除]をクリック

4. 確認ダイアログで[はい]をクリック

 

 

3-3.新下位DCサーバ正(subDCS1)のホスト名をsubDC01に変更
1. 代替名を付与

netdom computername %COMPUTERNAME% /add:subDC01.sub.foo.bar.com

2. 名前リストを確認

netdom computername %COMPUTERNAME% /enum

3. 代替名を優先名に変更し、再起動して変更を反映

netdom computername %COMPUTERNAME% /makeprimary:subDC01.sub.foo.bar.com

4. 優先名変更後の名前リストを確認

netdom computername %COMPUTERNAME% /enum

5. 元の名前を削除

netdom computername %COMPUTERNAME% /remove:subDCS1.sub.foo.bar.com

6. ホスト名の変更が反映されている事を確認

・Active Directoryユーザーとコンピュータのコンピューターアカウント([DomainControllers])
・Active Directoryサイトとサービスの[Servers]
 

 

3-4.新下位DCサーバ正(新subDC01)のネットワーク設定を変更
①IPアドレスの変更

②netlogonサービスの再起動

net stop netlogon && net start netlogon

③DNS情報の更新

ipconfig /registerdns

 

 

3-5.新subDC01にて、新subDC02からFSMOを転送

※sub.foo.bar.comはfoo.bar.comのサブドメインの為、スキーマとドメイン名前付けのマスタは保持していません。全体概要参照ください。

①操作マスター(RID、PDC、インフラストラクチャ)の転送

1. 新subDC01で[Active Directoryユーザーとコンピュータ]を起動

2. 左ペインの[Active Directoryユーザーとコンピュータ]の右クリックメニューで[すべてのタスク]>[操作マスター]を選択

3. [RID]、[PDC]、[インフラストラクチャ]の各タブで[変更]ボタンをクリック

 

②操作マスターの確認

1. subDC02で下記コマンドを実行

netdom query fsmo 

2. RID、PDC、インフラストラクチャの値がsubDC01になっている事を確認

 

③操作マスター転送後の確認

・ドメインユーザでドメインログオン出来る事

・エクスプローラで\\subDC01にアクセスし、NETLOGON、SYSVOLが表示出来る事

 

 

ここまでで移行はほぼ完了です。

あとは事後確認のみ。

 

ドメインコントローラ移行手順(Win2008→2016) 2.DCサーバ副(BDC)の移行

移行の全体概要はこちらの記事で。

https://ameblo.jp/m-o-q/entry-12617997296.html

 

2.DCサーバ副(BDC)の移行

2-1.既存下位DCサーバ副(subDC02)をDCから降格・シャットダウン

グローバルカタログサーバの確認

降格するサーバがGCの場合、ドメイン内からGCが居なくなってしまわないよう、他にGCが存在する事を確認します。

 

1. [Active Directory サイトとサービス]を起動

 

2. 左ペインのツリーを展開し、各サーバの[NTDS Setting]を右クリックして[プロパティ]を選択

 

3. グローバルカタログにチェックが入っている事を確認(いずれか1台がGCであればOK)

 

BDCの降格

有名なdcpromoコマンドは、Win2012では使えません。

サーバーマネージャで役割を削除する流れで降格させます。

 

1. [サーバーマネージャ]>[役割と機能の削除]>[ActiveDirectoryドメインサービス]のチェックを外す。

機能の削除を実行すると、下記のメッセージが表示されます。

 

2. [ActiveDirectoryドメインサービス構成ウィザード]が表示されます。

 

3. 資格情報を指定。ドメインAdminを指定すればOKです。

 

4. 役割削除の警告。[削除の続行]にチェックを入れます。

 

5. 削除オプションの表示。[DNS委任の削除]のチェックを外します。

 

6. 降格後の新しいAdministratorのパスワード設定を指定します。

 

7. 降格の確認。降格ボタンをクリック。成功すると下記メッセージが表示されます。

再起動すると、ドメインコントローラではなくドメインメンバーとして起動します。

 

降格後の確認

現行PDCで下記コマンドを実行。降格したsubDC02が表示されない事を確認。

netdom query dc

 

BDCのシャットダウン

subDC02をシャットダウンします。

起動した際のIPアドレス重複を予防する為、LANケーブルも抜きました。

 

 

2-2.subDC02の情報を下位ドメイン上から削除

subDC02のコンピュータ情報を削除

1. subDC01で[Active Directoryユーザーとコンピュータ]を起動する

2. 左ペインのツリーを展開し、[sub.foo.bar.com]>[Computers]を開く
 

3. subDC02の右クリックメニューで[アカウントを無効にする]をクリック
 

4. 確認ダイアログで[はい]をクリックし、次のメッセージボックスで[OK]をクリック
 

5. 再度subDC02の右クリックメニューで[削除]をクリック
 

6. 確認ダイアログで[はい]をクリック

 

subDC02のサイト情報を削除

1. subDC01で[Active Directoryサイトとサービス]を起動する
 

2. 左ペインのツリーを展開し、[Default-First-Site-Name]>[Servers]を開く

※弊社環境ではデフォルトですが、個別の名前を指定している場合はそちらを指定。
 

3. subDC02の右クリックメニューで[削除]をクリック
 

4. 確認ダイアログで[はい]をクリック

 

 

2-3.新下位DCサーバ副(subDCS2)のホスト名をsubDC02に変更

subDCS2にログインして下記コマンドを実行し、ホスト名のすげ替えを実施します。

 

1. 代替名を付与

netdom computername %COMPUTERNAME% /add:subDC02.sub.foo.bar.com

 

2. 名前リストを確認

netdom computername %COMPUTERNAME% /enum

 

3. 代替名を優先名に変更

netdom computername %COMPUTERNAME% /makeprimary:subDC02.sub.foo.bar.com

※変更を反映させる為に再起動が必要となります。

 

4. 優先名変更後の名前リストを確認

netdom computername %COMPUTERNAME% /enum

 

5. 元の名前を削除

netdom computername %COMPUTERNAME% /remove:subDCS2.sub.foo.bar.com

 

6. ホスト名の変更が反映されている事を確認

・Active Directoryユーザーとコンピュータのコンピューターアカウント([DomainControllers])
・Active Directoryサイトとサービスの[Servers]
 

 

2-4.新下位DCサーバ副(新subDC02)のネットワーク設定を変更

IPアドレスの変更

新subDC02のIPアドレスを、既存subDC02のものに変更します。

1. [コントロールパネル]>[ネットワークと共有センター]>[アダプターの設定の変更]をクリック

 

2. 設定対象となるアダプタを右クリックメニューから[プロパティ]

 

3. TCP/IPv4を選択して[プロパティ]ボタンをクリック

 

4. ネットワークパラメータを指定

 

netlogonサービスの再起動

net stop netlogon && net start netlogon

 

DNS情報の更新

ipconfig /registerdns

 

2-5.新subDC02にて、既存下位DCサーバ正(subDC01)からFSMOを転送

操作マスター(RID、PDC、インフラストラクチャ)の転送

1. 新subDC02で[Active Directoryユーザーとコンピュータ]を起動

 

2. 左ペインの[Active Directoryユーザーとコンピュータ]の右クリックメニューで[すべてのタスク]>[操作マスター]を選択

 

3. [RID]、[PDC]、[インフラストラクチャ]の各タブで[変更]ボタンをクリック

 

操作マスターの確認

1. subDC02で下記コマンドを実行

netdom query fsmo 

 

2. RID、PDC、インフラストラクチャの値がsubDC02になっている事を確認

 

操作マスター転送後の確認

ドメイン環境が正常に動いている事の確認として、以下のような作業を実施

・ドメインユーザでドメインログオン出来る事

・エクスプローラで\\subDC02にアクセスし、NETLOGON、SYSVOLが表示出来る事

 

 

次のステップ、PDCの移行も基本的には同じ手順です。