Windows 2003 から Windows 2016 への Active Directory の移行

tag-icon tag-icon active-directory windows-server-2003 migration windows-server-2016
Windows 2003 から Windows 2016 への Active Directory の移行

私は古い Windows 2003 ベースの Active Directory インストールを継承しており、それを最新の標準にアップグレードする任務を負っています。以下の計画を使用してラボでさまざまな (成功した) テストを実行しましたが、この分野の他の専門家からの現実的なチェックやベスト プラクティスの提案が本当に必要です。

現在のステータス:Windows 2003 インストール上で実行されている単一ラベルの Windows-2000 混在モード Active Directory ドメイン。DNS コンポーネントは、安全でない動的更新を使用して実行されています。

ターゲットステータス:Windows 2016 インストール上の Windows 2012R2 レベルのドメインに移行します (注: ターゲット レベルが Windows 2016 ではなく Windows 2012R2 なのは、顧客が他の Windows 2012R2 サーバーを所有しているためです)。移行は、できるだけ中断の少ない方法で実行する必要があります。いずれにしても、週末に作業する予定なので、短時間のサービス中断は許容されます。

注意:シングルラベル ドメインは廃止されていますが、現状のままで運用を続ける必要があります。ドメイン名の変更と新しい名前へのドメイン移行の両方を検討しましたが、顧客に要求するには要求が多すぎるように思われます。

私の計画:

  • 新しい Windows 2016 サーバーをインストールし、それを単純なメンバーとして現在のドメインに追加します。
  • 現在のフォレスト/ドメインの機能レベルを Windows 2003 に上げる
  • 新しい Windows 2016 サーバーをドメイン コントローラー (グローバル カタログ付き) の役割に昇格する
  • 古いサーバーを降格する(経由dcpromo
  • 新しい Windows 2016 サーバーでは、「Active Directory サイトとサービス」を使用して、降格操作で残ったものをすべて削除します。
  • 新しいWindows 2016では、「DNSマネージャー」を使用してDNS動的更新タイプを「セキュリティのみ」に変更します。
  • フォレスト/ドメインの機能レベルを Windows 2012R2 に上げる
  • 古いサーバーの元の IP アドレスを変更します (例: 192.168.1.1 から 192.168.1.2 へ)
  • 新しいサーバーの IP アドレスを古いドメイン コントローラーと一致するように変更します (例: 192.168.1.10 から 192.168.1.1)。注記:現在のDHCP設定とゲートウェイファイアウォール/VPNルールに基づいて、そうするつもりです
  • FSRからDFSRへの移行(ここそしてここ
  • ブランチ オフィスに別の Windows 2016 サーバーをインストールし、それを新しいドメイン コントローラー (グローバル カタログ付き) として追加します。

質問:

  • 何か重要なことを見逃しているのでしょうか?
  • ファイアウォール/VPN/DHCP の変更を最小限に抑えるために、古いサーバーと新しいサーバーの IP アドレスを交換するという私のアイデアは良いものでしょうか、それとも避けるべきでしょうか?
  • 何か注意すべきことはありますか?

アップデート:多くの議論とテストを経て、私は顧客を説得してドメイン名の変更マイクロソフトの推奨に従ってユーティリティを使用して実行しましたがrendom、すべてスムーズに進みました (幸いなことに、オンプレミスの Exchange サーバーはありませんでした)。

答え1

シングルラベル ドメインは廃止されていますが、現状のままで運用を続ける必要があります。ドメイン名の変更と新しい名前へのドメイン移行の両方を検討しましたが、顧客に要求するには要求が多すぎるように思われます。

正しいことをすることは、時には最も難しいことです。私の意見では、SLD の使用とサポートを継続することは、顧客に不利益を与えています。「正しい」ことをして、ドメイン名の変更または新しいドメインへの移行を実行してください。

答え2

新しい Windows 2016 サーバーでは、「Active Directory サイトとサービス」を使用して、降格操作で残ったものをすべて削除します。

補足ですが、2003/2008 を移行するときに常にクリーンアップしなければならない残りは DNS コンソール内にあります。古い DC は常に NS フィールドにリストされたままです。

正確に言えば、

ここに画像の説明を入力してください

2 つ目の注意点は、WINS も使用されていないことを確認することです。WINS を有効にする必要があるかどうかを再確認してください。当時は WINS が人気でした。

ドメイン名の変更については、お勧めしません。これは大きな作業であり、間違った手順を実行すると多くのエラーが残る可能性があります。

答え3

ドメイン コントローラーのメタデータをクリーンアップするために、サイトとサービスを手動で使用しないでください。間違いが起こる可能性があり、そのようなデータが存在するのはサイトとサービスだけではありません。ネイティブの NTDSUTIL コマンドを使用してください。このコマンドには、信頼性の高いメタデータ クリーンアップ操作があります。

古い DC を降格する前に、FSMO の役割を新しい DC に転送します。転送していない場合は警告が表示されると思いますが、試してみようと思ったことはありません。

Windows 以外のクライアントを使用している場合、安全な DNS 更新には追加の構成が必要です。これには、DHCP をサポートするプリンターなどのさまざまなデバイスが含まれます。ニーズに応じてオプションがあります。

  • このようなクライアントに代わってDNSレコードを登録するようにDHCPサーバーを構成することができます(複数のDHCPサーバーがある場合はDnsUpdateProxyグループに入力します)。
  • システムがセキュアアップデートを実行するように設定することもできます(たとえば、セキュアアップデートにはKerberos認証が必要なので、Linuxではキータブファイルが必要になります)。
  • 静的DNSレコードを作成し、それらのデバイスにDHCP予約を設定できます。

新しい DC の IP を変更する前に NETLOGON サービスを停止し、変更後すぐに再起動します。これにより、関連する DNS レコードがすぐに更新されることが保証されます。

単一ラベル ドメインからの脱却については前の投稿者と同意見ですが、ベスト プラクティスが必ずしも実現可能とは限らないことも理解しています。環境によっては、このような変更にかなりの作業が必要になる場合があります。

関連情報