Active Directory ドメインコントローラ移行前の確認事項

記事タイトルとURLをコピーする

こんにちは。2022年12月に入社した脇江と申します。
現在AS部IE課にて研修中の身です。

Windows Server 2012/2012R2のサポート終了が2023年10月10日と迫ってきており、移行を検討するケースが増えているのではないかと思います。
今回はActive Directory ドメインコントローラを移行する前の確認事項について書いていきます。
※移行先がAWSであるかどうかに関わらず確認しておいた方がよいことを記載します。

また、本記事はある程度Active Directoryの用語が分かる方向けの記述となっておりますことをご容赦ください。

想定するケース

  • Active Directory(以下、AD)を運用中
  • ドメインコントローラの移行に伴って、Windows Serverのバージョンアップも実施
  • 2台以上のドメインコントローラで構成されている

なお、既存ドメインをAWSに拡張したいといった場合にはEC2インスタンスをドメインコントローラとして構成することになります。
「AWS Managed Microsoft AD」というマネージドサービスがありますが、新規ドメインの作成が必要です。
AWS Managed Microsoft ADへの移行については弊社ブログの以下の記事を参考にしていただければ幸いです。

blog.serverworks.co.jp blog.serverworks.co.jp blog.serverworks.co.jp

移行の流れ

2台以上のドメインコントローラで構成されているAD環境で想定される基本的な移行の流れです。

  1. FSMOを保有していれば他のドメインコントローラに移行
  2. 移行対象の既存ドメインコントローラを降格
  3. 移行対象の既存ドメインコントローラのコンピュータ名を変更
  4. 新規サーバのコンピュータ名を既存で使用していた値に変更
  5. 新規サーバをドメインコントローラとして昇格
  6. FSMOを新規ドメインコントローラに移行(必要に応じて)

既存ドメインコントローラのコンピュータ名を新規ドメインコントローラに引き継ぐ必要がない場合は先に新規ドメインコントローラを昇格しても問題ありません。

移行前に確認すべき点

ここから移行前に確認すべき点を記載していきます。

古いドメインコントローラ情報の削除

過去にドメインコントローラ降格時で強制降格を実施している場合などに強制降格したドメインコントローラのメタデータがADデータベースに残っている場合があります。
このメタデータが残っていると既に存在しないドメインコントローラに情報を同期しようとして失敗するなど、不具合が生じる可能性あるので事前に削除を実施しておきます。

以下の情報について削除を実施します。

  • コンピューターオブジェクト
  • 接続オブジェクト
  • FRSおよびDFSRのオブジェクト
  • DNSレコード

削除手順は以下のMicrosoft サポート情報ブログの[C] メタデータ クリーンアップが参考になります。

jpwinsup.github.io

機能レベル

フォレスト、ドメインそれぞれに機能レベルという設定が存在し、使用できる機能が決まります。
また、機能レベルによってフォレスト、ドメイン内のドメインコントローラとして稼働できるWindows Serverバージョンが決まります。
そのため、既存のフォレストやドメインの機能レベルが新規にドメインコントローラとして追加するWindows Serverバージョンをサポートしている必要があるため、移行前にサポートする機能レベルに上げておきます。
例)Windows Server 2019をドメインコントローラとして追加したい場合、機能レベルはWindows Server 2008以上でなければならない

learn.microsoft.com

※本記事執筆次点での最新の機能レベルは「Windows Server 2016」です。

また、機能レベルを上げる際の前提条件や注意点は以下のMicrosoftフォーラムの記事が参考になります。

social.technet.microsoft.com

SYSVOL同期方式

Windows Server 2008よりも前のバージョンではSYSVOLの同期に「FRS」が使用されていましたが、Windows Server 2008以降のバージョンでは「DFSR」が使用されるようになりました。
Winodws Server 2008よりも前のバージョンでActive Directory環境を構築し、OSアップグレードしてWindows Server 2008以降のバージョンで運用していてもSYSVOLの同期にはFRSが使用されている可能性があります。
現在FRSとDFSRのどちらを使用しているかの確認方法や移行手順については以下のMicrosoftフォーラムの記事が参考になります。

social.technet.microsoft.com

なお、Windows Server 2019はSYSVOL同期方式としてFRSをサポートしていません。
そのため、同期にFRSを使用している環境に新規でWindows Server 2019をドメインコントローラとして昇格しようとすると以下のようなエラーが発生し昇格できません。
Windows Server 2019以降をドメインコントローラに昇格する際には事前にDFSRへの切り替えが必須となります。

指定されたドメイン %1 は、引き続きファイル レプリケーション サービス (FRS) を使用して SYSVOL 共有をレプリケートしています。 FRS は非推奨です。 昇格するサーバーは FRS をサポートしていないため、レプリカとして指定されたドメインに昇格できません。 DFSRMIG コマンドを使用して DFS レプリケーションを使用するには、指定したドメインを移行してから続行する必要があります。 詳細については、https://go.microsoft.com/fwlink/?linkid=849270を参照してください。

fSMORoleOwner

ドメインコントローラ降格時に以下のエラーが発生することがあります。

ディレクトリ サービスで必須の構成情報が不足しているため、浮動単一マスター操作の役割に対する所有権を判断できません。

上記エラーはADデータベース内のfSMORoleOwnerという属性の値が既に存在しないドメインコントローラになっていると発生します。
こちらについても以前にドメインコントローラの強制降格を実施している場合に発生します。

fSMORoleOwnerの値の確認方法や修正方法については以下のMicrosoftフォーラムの記事が参考になります。

social.technet.microsoft.com

終わりに

今回はADのドメインコントローラ移行を実施するにあたって事前に確認しておいた方が良い事項について書きました。
未然に移行時のトラブルを防ぐためにもこれらの確認を実施しておくことをおすすめします。

本記事がどなたかのお役に立ちましたら幸いです。

脇江 凜 (記事一覧)

エンタープライズクラウド部クラウドリライアビリティ課

猫が好きです。