このドキュメントでは、Microsoft Windows環境を正常に移行する方法を示します 2000 o マイクロソフトのWindows 2003 Microsoft Windowsへ 2008. Active Directory の移行であること 2000 又は 2003 宛先 2008. Active Directory は、この新しいバージョンの新しいドメイン コントローラーに移行されます. 古いドメイン コントローラーが消えます. したがって、Windowsをインストールするには新しいサーバーが必要になります 2008, ドメイン コントローラーにする, ロールを渡してから、古いドメイン コントローラーの昇格を解除します. 最後に、ドメインとフォレストの機能レベルが「Windows 2008」に引き上げられます. 従うべき正しい手順は次のとおりです:

ドメイン コントローラーの状態を確認する – ここは, (推奨されますが、必須ではありません)
Active Directory の準備 – ここは,
既存の Active Directory への参加 – ここは,
ロールの移行 – ここは,
古いドメイン コントローラーの昇格解除 – ここは,
機能レベルを上げる – ここは,

目, 始める前に、バックアップが必要であることを考慮に入れる必要があります, ドメインコントローラとActive Directoryの両方 (何か問題が発生した場合に備えて). また、Active Directoryを次のように更新するためのすべての要件も考慮に入れる必要があります。 2008:

– 現在のドメインは「混合モード」である必要はありません, 「ネイティブモード」でない場合’ または「Windows」 2003 サーバー’
– HCLを確認する (ハードウェア互換性リスト) 新しいドメイン コントローラーの数, MS Windowsでサポートされる予定 2008 – ここは.
– Windows ベースのドメイン コントローラー 2000 SP4 がインストールされている必要があります. Windowsの場合 2003 SP1を持っている.

ドメイン コントローラーの状態を確認する,

悪くありません, 最初に行うことは、 Active Directory の移行前に実行するには、AD が正しく動作していることを確認します. ADを適切に構成する必要があること, Active Directory サイトとサービス, レプリカが動作していることを確認します, つまり、GPO は 1 つのサイトから別のサイトにコピーされます, あるドメイン コントローラーから別のドメイン コントローラーへ, スクリプトは Sysvol にレプリケートされます… Active Directoryには、存在しない古いドメインコントローラーのような古いオブジェクトがある汚れはありません… 移行が正しく行われるため, これらすべてを確認する必要があります, このため、Microsoftは私たちを助ける特定のツールを提供しています. エラーがない常に便利なイベントビューアは別として.

例えば, DCDIAGがあります. このユーティリティは、ドメインコントローラーの診断を行うのに役立ちます. このコマンド ライン ツールは、フォレスト内の 1 つまたはすべてのドメイン コントローラーの状態を分析し、問題があれば報告して、問題の解決を容易にします. 続きを読む, Microsoftのウェブサイトにアクセス – ここは. 図の例では、ドメインコントローラでコマンドを実行します, 私の場合はメインのもので、テキスト出力をTXTテキストファイルにリダイレクトします:
dcdiag.exe > FICHERO_DE_LOG

生成されたLOGファイルを開くと、次のようなテキストが表示されます:

---

ドメイン コントローラーの診断

初期設定の実行:
初期情報の収集が完了しました.

テストサーバー: HXXXXXXXIHXXXXXXX1
開始テスト: 接続
……………………. HXXXXXXX1 テストに合格した 接続性

テストサーバー: HXXXXXXXIHXXXXXXX1
開始テスト: レプリケーション
[レプリケーション チェック,HXXXXXXX1] 最近のレプリケーションの試行が失敗した:
AXXXXX1からHXXXXXXX1へ
ネーミングコンテキスト: CN=スキーマ,CN=設定,DC=XXXXXXX,DC=es
レプリケーションでエラーが発生しました (1722):
RPC サーバーを使用できません.
障害は 2008-07-15 07:38.25.
最後の成功は 2008-07-01 18:51.20.
91 前回の成功以降に失敗が発生している.
[AXXXX01] DsBind(ディーズバインド)() エラーで失敗しました 1722,
RPC サーバーを使用できません。.
ソースはダウンしたままです. 機械を確認してください.
[レプリケーション チェック,HXXXXXXX1] 最近のレプリケーションの試行が失敗した:
MXXXX01からHXXXXXXX1へ
ネーミングコンテキスト: CN=スキーマ,CN=設定,DC=XXXXXXX,DC=es
レプリケーションでエラーが発生しました (1722):
RPC サーバーを使用できません.
障害は 2008-07-15 07:38.48.
最後の成功は 2008-07-01 18:51.20.

---

目, それは私に間違いを与えます, 私たちはそれを見なければならないでしょう, しかし、私の場合、エラーはパイロットを実行しており、このドメイン コントローラーが別の分離されたコントローラーの隣にあるためです, 私たちが関係するドメインの場合、 40 ドメインコントローラーと私はこのドキュメントを作成するため、私のネットワーク上にそれらを持っていません. だから問題ない. 😉

もっとその, REPADMINがあります, このコマンドを使用すると、ActiveDirectoryのレプリカのステータスが表示されます. レプリケーション関連のタスクの実行, 含む, レプリケーション トポロジの管理と変更, レプリケーション イベントの強制, レプリケーションメタデータと更新されたベクトルを表示します. 続きを読む, Microsoftのウェブサイトにアクセス – ここは.

ポイントは、サイト間およびドメイン コントローラー間のレプリカが正しいことを確認することです, このために、REPADMINを次の形式で実行します:

repadmin.exe /showreps > FICHERO_DE_LOG

これは私のActive Directoryの例です, 彼が上で言ったことで完全に堕落していることを私は知っています, 私には欠けているもの 38 ネットワーク上のドメイン コントローラー:

---

HXXXXXXXIHXXXXXXX1
DSAオプション : IS_GC
オブジェクト・グイド : C35F9D05-C11B-4F10-BFC0-022218FE3C31
invocationID (呼び出し ID): 65DE4042-EFE6-4619-B3C5-11B5FBBCB264F

==== インバウンドネイバー ======================================

CN=スキーマ,CN=設定,DC=XXXXXXX,DC=es
RPC経由のUXXXXXXIAXXXXX1
オブジェクト・グイド: C14AA802-564C-4667-AA8A-D610AA5C4CD0
最後の試み@ 2008-07-15 07:41.05 失敗 しました, 結果 1722:
RPC サーバーを使用できません.
最後の成功@ 2008-07-01 18:51.21.
91 連続した失敗(s).
RPC経由のCXXXXXNAXXXXX1
オブジェクト・グイド: D14300DE-A51A-4E8D-A770-DC44B7F029AB
最後の試み@ 2008-07-15 07:41.51 失敗 しました, 結果 1722:
RPC サーバーを使用できません.
最後の成功@ 2008-07-01 18:51.21.

---

他, GPOTOOLがあります. このツールまたはユーティリティは、ActiveDirectoryにある各ポリシーのステータスを確認するために使用されます, レプリケーションに失敗し、異なる構成の異なるサイトで同じ GPO を持つ可能性があります. このツールはそれらのステータスを確認します.

問題のコマンドは次のように実行されます:

gpotool.exe > FICHERO_DE_LOG

これは私のGPOToolログファイルの例です: DC の検証…

---

使用可能な DC:
hXXXXXXX1.XXXXXXX.es
ポリシーの検索…
設立する 167 檄
============================================================
政策 {02506CA9-82F2-4B58-8E6D-1B0B49F81801}
ポリシー: OK
============================================================
政策 {03A44330-75E1-4A8C-8C08-B574E0FCF63C}
ポリシー: OK
============================================================
政策 {05000318-0434-43CE-9C6A-60A07B1EEDE8}
ポリシー: OK
============================================================
政策 {05B4D52D-CA72-4BC4-9DC2-99D184E8F963}
ポリシー: OK
============================================================
政策 {07F58F8E-356A-4CD5-AE37-3461EE2849D4}
ポリシー: OK
============================================================
政策 {0959942F-21A2-4FF0-B84C-1A3748E24815}
ポリシー: OK
============================================================
政策 {097AB751-C12A-4A42-B8BE-26B54190FB12}
ポリシー: OK
============================================================
政策 {09BCAA04-49D8-4434-87ED-820DC2753E1F}
ポリシー: OK
============================================================
…
============================================================
政策 {FF00FDCE-229C-4EFA-B442-4CADE83A49EA}
ポリシー: OK

ポリシー: OK

---

Active Directory の準備,

正しいActive Directoryがあることを確認した後, Microsoft WindowsでドメインコントローラーをサポートするようにActive Directoryを準備する必要があります 2008 オペレーティング システム. これを行うには、次のコマンドを実行し、エラーなしで正しく終了することを確認する必要があります.

最初です, スキーマ マスタ ロールを持ち、エンタープライズ管理者の権限を持つユーザーを持つサーバー上, Schema Administrator と Domain Administrator が実行されます:

アドプレップ/フォレストプレップ

続行するには、 “C”, ただし、すべてのドメインコントローラーは少なくともWindowsであることを考慮に入れます 2000 SP4の,

… Active Directoryの森が私たちを更新するまで数分待ちます (上記の例では、バージョンから更新されます 13 森とは 2000, バージョンへ 44 森とは 2008)…

わかりました, 正しく終了することを確認します.

今, Active Directoryに興味がある場合は、読み取りドメインコントローラーを使用できるように準備する必要があります, このコマンドはオプションです. これは、「ドメイン命名マスター」の役割を持つサーバー上で実行されます’ または RID (ドメイン管理者のアクセス許可レベル). コマンドは次のようになります:

ADPREP/ロッドプレップ

コマンドが完了するのを待ち、すべてが正しく行われたことを確認します.

次に、ドメインを準備し、パラメーターを追加します [いい知らせ] ポリシーまたは GPO を準備するには. このコマンドは、ドメイン管理者権限を持つインフラストラクチャマスターで実行されます:

アドプレップ /ドメインプレップ /gpprep

コマンドが完全に実行され、結果が正しくなるのを待ちます.

Active Directoryが大きく、レプリケーション時間が異なる異なるサイトがある場合は、それを考慮に入れる必要があります, コマンド間で Active Directory がレプリケートされる時間を与えます. 約 15 各コマンド間の分.

既存の Active Directory への参加,

Active DirectoryをWindowsバージョンに更新したら 2008 このバージョンのWindowsでは、すでにドメインコントローラーを作成できるようになります. そこで、Windowsをインストールします 2008 この手順に従う任意のサーバー上 – ここは. そして、現在のドメインのドメインコントローラーにあなたを昇格させます.

サーバー上 2008 新しくインストール, Active Directory Domain Servicesロールを追加するには、コマンド 'dcpromo’ の “実行する” スタートメニューから. そして、私たちは受け入れます.

… Active Directory Domain Services インストール ウィザードを準備する間、待機します…

インストールウィザードを起動してドメインを作成または参加する, “次”,

私たちは注意深く読み、Windows NTクライアントがない場合は 4.0 またはそうでない - Microsoft SMB, 続ける, “次”,

オプションを選択する必要があります “既存のフォレスト” そして “既存のドメインにドメイン コントローラーを追加する”, “次”,

ドメインコントローラーとして参加するドメインの名前を指定します, ドメインに参加するためのアクセス許可を持つ資格情報を示します。 “次”,

参加するドメインを選択します, “次”,

現在のドメインが構成したサイトが表示されます, このドメイン コントローラーがどのサイトに属しているかを示す必要があります & “次”,

追加のオプションとして、このコントローラーのグローバル カタログを作成することを示します, 古いドメインコントローラーを削除する場合, CGロールを持つサーバーが必要です. ユーザーはログインを検証するサーバーを持つ必要があるため. “次”,

アクティブディレクトリのデータベースを保存する場所を選択する必要があります, データベースだけでなく、そのログファイルとSysvolフォルダの場所も, デフォルトのパスは次のとおりです: C:WindowsNTDS および C:WindowsSYSVOL. これらを変更すると、このドメイン コントローラーのパフォーマンスを向上させることになります, 充電が多い場合, “次”,

悪くありません, 次に、コンピューターを復元モードで入力する必要がある場合は、管理者ユーザーのパスワードを指定する必要があります (再起動時にF8を押す), “次”,

このサーバーを昇格させる準備ができているかどうかの概要を今すぐ確認します, “次”,

… すべてのオブジェクトをこのサーバーにレプリケートし、このサーバーを Active Directory の追加ドメイン コントローラーとして構成するまで待機します…

悪くありません, ADサービスがインストールされたら、をクリックします “終わり”,

このサーバーを再起動する必要があります, クリック “今すぐ再起動”,

ロールの移行,

Windowsで最初のドメインコントローラーを作成したら 2008, 私たちがしなければならないことは、Active Directoryのすべての役割を彼に渡し、古いサーバーから機能を削除してそれらを置き換えることができるようにすることです. これには 2 つの方法があります, GUIの仲介, またはを通じて コマンド. そして、Active Directoryが正しく機能せず、機能の転送を強制する必要がある場合に攻撃的になる3番目の方法があります – ここは. 次に、GUIを使用してそれを行います:

ロールを変更するには, のコンソールに移動します “Active Directory ユーザーとコンピューター” ロールの移行先のサーバーの, 可能であれば, 然も無くば, 次のように、コンソールから目的のサーバーに接続します: ドメインについて, 右クリック “ドメイン コントローラーを変更する… “

ロールを渡すドメイン コントローラーを選択し、受け入れます.

悪くありません, それでは、ロールの移行を始めましょう, こちらは, 右クリック ドメインについて > “オペレーションマスター…”

3つのオプションをすべて変更する必要があります, まずは, [RID]タブから, 現在のRIDサーバーと、クリックするとどちらに渡すかが表示されます “変える…”, です.

確認する, “はい”

“受け入れる”.

ロールが正しく移行されたことを確認し、次にタブを変更します,

次のタブで, のそれ “プライマリ・ドメイン・コントローラ”, クリック “変える…”

“はい”,

“受け入れる”,

プライマリ ドメイン コントローラーは既に Windows DC に移行しています 2008,

そして最後に、 “インフラ”, クリック “変える…”,

これは、現在のドメイン コントローラーもグローバル カタログであるために発生します, 推奨されない構成です, 原則として、小さな組織では何も起こりません, しかし、そのようにしておくことはお勧めできません, したがって、後でこの役割を変更するか、別のDC GCを作成します, 確認する, “はい”.

受け入れる,

そして、それが true であり、ロールがすでに移行されていることを確認します. 閉める,

わかりました, 別の役割, 今、オペレーションマスター, 封筒 “Active Directory ドメインと信頼”, 私たちは以前にやったことをやらなければなりません, この役割が正しいサーバーに適用されることを確認します, だから右クリック “Active Directory ドメインと信頼” > “Active Directory ドメイン コントローラーの変更…”

ロールを渡すドメイン コントローラーを選択し、受け入れます,

を右クリックします “Active Directory ドメインと信頼” を選択し、 “オペレーションマスター…”,

わかりました, 古いサーバーから 2008 ザ “オペレーションマスター”, 私たちは与えます “変える…”,

確認する, “はい”,

受け入れる,

今, 古いドメイン コントローラーの 1 つで MSDOS ウィンドウを開きます, 書く “regsvr32 schmmgmt.dll” スキーマサーバーを移行するには, あなたが与えるとき “入る” 確認を差し上げます, 私たちはそれを受け入れます.

私が言ったこと, “受け入れる”,

次に、MMC コンソールを開きます (Microsoft管理コンソール) の[スタート]メニューから “実行する” 'mmc と書く’ そして受け入れる.

クリック “ファイル” > “アドインを追加または削除する…”

クリック “足す”,

補数では、 “Active Directory スキーマ” をクリックし、をクリックします “足す” そして、 “閉める” そして “受け入れる”,

まず、このロールを移行するサーバーに接続する必要があります, 以前と同様に, こちらは, 右クリック “Active Directory スキーマ” そして、私たちは選びます “ドメイン コントローラーを変更する…”

移行先のサーバーの名前を入力して受け入れます.

スキーマをホストしているサーバーを変更するには, を右クリックします “Active Directory スキーマ” を選択し、 “オペレーションマスター…”

以前と同じ, の現在のサーバーを表示します “スキーママスター”, 一方から他方に移行するには、をクリックします。 “変える…” そして受け入れる.

変更することを確認します,

受け入れる.

最後に、Windowsサーバーの1つを確認します 2008 グローバル カタログ機能が有効になっている場合は、 “Active Directory サイトとサービス”, 封筒 “ADサイトとサービス” > “サイト” > 任意のドメイン コントローラー上, そして、新しいサーバーに移動して “NTDS 設定” > 右ボタン > “プロパティ”,

そして、チェックしてください “グローバルカタログ” そして受け入れる,

あ、まあ, これはロールではありません, しかし、それは心に留めておくべきことです, 私たちはすべてを移行しているので, DNSサービスをあるサーバーから別のサーバーに移行することも考慮する必要があります, 私たちのドメインとインバースゾーンの領域では、オプションをマークする必要があります。 “ゾーン転送を許可する” ゾーンを新しいドメイン コントローラーに持ち込むには.

古いドメイン コントローラーの昇格解除,

Active Directoryのすべての役割をWindowsサーバーに移行したら 2008, 古いドメインコントローラーを削除して、Windowsの新しいドメインコントローラーに興味がある場合は、それらを置き換えます 2008, こちらは, きれいに取り除きます, これは, ディスプロモーションを伴う.

したがって、古いサーバーでは、コマンド 'dcpromo.exe を使用して昇格を解除する必要があります’ の “実行する” スタートメニューから.

古い DC で DCPROMO を実行すると、Active Directory インストール ウィザードが表示されます, クリックする必要があります “次に”,

このサーバーはグローバルカタログであることに注意してください, したがって、これを昇格解除する場合は、ネットワーク上の少なくとも1つの他のサーバーがグローバルカタログになることを考慮に入れます, ユーザーログインに問題がない場合, GCがないとユーザーは検証されないため. 受け入れる.

“次”,

このコンピューターのローカル管理者に持たせたいパスワードを入力します, “次”,

すべての手順を確認し、をクリックします “次” このドメイン コントローラーの昇格を解除するには,

… 数分待ちます…

“終わり”, 彼はよく離陸した,

変更を有効にするには、このサーバーを今すぐ再起動する必要があります. クリック “今すぐ再起動”,

パフォーマンスレベルを上げる,

Windowsオペレーティングシステムを搭載したドメインコントローラーであるサーバーがなくなったら 2000 o ウィンドウズ 2003 Active Directoryで, 私たちは、森林とドメインの両方の機能レベルを上げることができるでしょう, これにより、次の利点が得られます:

ドメインの機能レベル	有効な機能	サポートされているドメイン コントローラー オペレーティング システム
ウィンドウズ 2000 ネイティブ	すべてのデフォルトの Active Directory 機能と次の機能: • ユニバーサル グループは、配布グループとセキュリティ グループに対して有効になります. • グループネスト. • グループ変換が有効になっている, セキュリティ グループと配布グループ間の変換を可能にする. • セキュリティ識別子の履歴 (SIDの).	ウィンドウズ 2000 Windows サーバー 2003 Windows サーバー 2008
Windows サーバー 2003	すべてのデフォルトの Active Directory 機能, Windowsドメイン機能レベルのすべての機能 2000 そして、以下の特徴があります: • ドメイン管理ツールの利用可能性, netdom.exe, ドメイン コントローラーの名前変更を準備するには. • ログインタイムスタンプの更新. 属性 lastLogonTimestamp (英語) ユーザーまたはコンピューターが最後にログオンした時刻で更新されます. この属性はドメイン内でレプリケートされます. • 属性を設定する機能 ユーザーパスワード の有効なパスワードとして inetOrgPerson(英語) およびユーザーオブジェクト. • コンテナをリダイレクトする機能、ユーザー、チーム. デフォルトでは, ホストコンピュータとユーザー/グループアカウントには、おなじみの2つのコンテナが用意されています: 私が言いたいのは, cn=コンピュータ,<ドメインルート> および cn=Users,<ドメインルート>. この機能を使用すると、これらのアカウントに既知の新しい場所を定義できます. • 承認マネージャーが承認ポリシーをActive Directory Domain Servicesに格納することを許可します (AD DS). • 制限付き委任が含まれているため、アプリケーションは Kerberos 認証プロトコルを使用してセキュリティで保護されたユーザー資格情報の委任を利用できます. 委任は、特定のターゲット サービスでのみ許可するように構成できます. • 選択的認証をサポート, これにより、信頼されたフォレスト内のリソースサーバーへの認証が許可されている信頼されたフォレスト内のユーザーとグループを指定できます.	Windows サーバー 2003 Windows サーバー 2008
Windows サーバー 2008	すべてのデフォルトの Active Directory 機能, すべての Windows Server ドメイン機能レベルの機能レベル 2003 そして、以下の特徴があります: • 分散ファイル・システム・レプリケーションのサポート (DFSの) SYSVOLの場合, SYSVOL コンテンツのより堅牢で詳細なレプリケーションを提供. • Advanced Encryption Services のサポート (AESの 128 そして 256) Kerberos プロトコルを使用. • 最後のインタラクティブログインについて, これは、ユーザーが最後に成功したインタラクティブログインの時間を示します, 起動されたワークステーションと、最後のログイン以降に失敗したログイン試行の回数. • 非常に具体的なパスワードポリシー, これにより、ドメイン内のユーザーとグローバルセキュリティグループのパスワードポリシーとアカウントロックアウトポリシーを指定できます.	Windows サーバー 2008

まぁ, ドメインの機能レベルを上げるため, コンソールを開きます “Active Directory ドメインと信頼” そして右クリックのドメインで > “習熟度の機能レベルを上げる…”

ドメインの機能レベルを選択する必要があります “Windows Server 2008 の場合” そして、私たちはを押します “上げる”,

受け入れる, 目! これは元に戻せないことを覚えておく必要があります.

完ぺきですね, 受け入れる,

まぁ, 森林の機能レベルを上げるために, コンソールを開きます “Active Directory ドメインと信頼” そして約 “Active Directory ドメインと信頼” 右クリック > “森林の機能レベルを上げる…”

森林の機能レベルを選択する必要があります “Windows Server 2008 の場合” そして、私たちはを押します “上げる”,

以前と同じ, 私たちはそれを受け入れ、それが元に戻すことのできないプロセスになることを考慮に入れます.

“受け入れる” また、Windowsの機能レベルで更新されたActive Directoryがすでにあります 2008.

www.bujarra.com – エクトル・エレーロ – NH*****@bu*****.cオーム – v 1.0