1 / 102

Windows Server 2003 サポート終了前 ! 新環境 への移行 解説解説 セミナー

Windows Server 2003 サポート終了前 ! 新環境 への移行 解説解説 セミナー. Active Directory とグループポリシーの移行編. アジェンダ. 移行の手順確認 移行前に知っておきたい基礎知識 Active Direcrtory の 移行 新機能の検討 まとめ. 移行の手順確認. サポート終了までの期間. 2015 年 7 月 15 日(日本時間) に Windows Server 2003 のサポートが終了 サポート終了までの間に、移行を完了させるための、計画や実施が必要. 現状の把握.

eileen
Download Presentation

Windows Server 2003 サポート終了前 ! 新環境 への移行 解説解説 セミナー

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Windows Server 2003 サポート終了前!新環境への移行解説解説セミナー Active Directory とグループポリシーの移行編

  2. アジェンダ • 移行の手順確認 • 移行前に知っておきたい基礎知識 • Active Direcrtoryの移行 • 新機能の検討 • まとめ

  3. 移行の手順確認

  4. サポート終了までの期間 • 2015 年 7 月 15 日(日本時間)に WindowsServer2003 のサポートが終了 • サポート終了までの間に、移行を完了させるための、計画や実施が必要

  5. 現状の把握

  6. 現状の把握:アプリケーション • 既存のアプリケーションやドライバーなど、アップグレードするOSに対応しているかの確認は必須 • マルウェア対策ソフト • UPS関連 • デバイスドライバー • プリンタードライバー

  7. 検討と準備 • 移行先の決定 • オンプレミス • 物理マシン • 仮想マシン • クラウド • SaaS • IaaS • 移行方法の決定 • 新規構築 • アップグレード • Windows Server 2003 から Windows Server 2012 R2 へのインプレースアップグレードは不可 • P2VおよびV2V • 「サポート終了対策」にはならない WindowsAzure 物理マシン Hyper-V

  8. [参考]Windows 2012 R2 がサポートしているインプレース アップグレード パス ・ 既存のドメイン コントローラーが 64 ビット版であること (Windows Server 2012 R2 は 64 ビットのみ提供) ・ 同じ言語であること ・ 既存の Server Core ドメイン コントローラーを Windows Server 2012 R2 のフル インストール モードに 切り替える (および、その逆方向に切り替える) 場合は、インプレース アップグレード後に構成を変える

  9. 検討と準備 • 新機能の確認 • 設計 • 移行手順、リカバリー手順の設計 • スケジュールの確定 • 移行、運用に関わるドキュメント作成 • 事前検証 • 機材やサービスの新規調達のための業務処理(予算化なども) • その他各種調整

  10. 移行の実施 • 新規ドメイン構築 • ドメイン設計の基本はシングルドメイン、シングルフォレスト • アップグレード • 既存ドメインを維持したままアップグレード • 仮想化 • P2V ではサポート終了対策にならない • V2V による VMware から Hyper-V への移行 • 物理環境もしくは仮想環境の Windows Server 2003 を仮想環境の Windows Server 2012 R2 へ移行

  11. 移行実施時の考慮点 • サービスやアプリケーション、環境によっては、複数回にわける必要あり • 必ずデータのバックアップを取得してから実施 • 何か問題が発生した場合、ロールバックできる状態を保持 • 十分に時間の余裕を持たせたタイムスケジュールの確保 • 業務時間外の十分な日程スケジュール

  12. P2V および V2V の使用 • Windows Server 2003 サーバーを P2V および V2V で仮想マシン化して使用し続ける「塩漬け」は、「サポート終了対策」の観点から非推奨 • 移行を進める際に P2V および V2V が有効に使える場合 • 移行作業実施前にハードウェア保守が終わってしまう • ハードウェアが老朽化していて移行作業に耐えられない可能性がある • 完璧なバックアップを保持したい • 本番環境を完璧にコピーした検証環境を作りたい

  13. P2V および V2V の手法 • System Center 2012 Virtual Machine Manager のP2VおよびV2V機能 • SystemCenter 2012 R2は P2V 対象外 • Microsoft Virtual Machine Converter • 無償提供の V2V ツール • Disk2vhd • WindowsSysinternals • サードパーティー製移行ツール • Platespin Migrate(ネットアイキュー) • Backup&Recovery(アクロニス) • System Recovery(シマンテック)

  14. Disk2vhd • P2V が可能な無償ツール • マイクロソフトの無償ツール群である、Windows Sysinternalsの 1 つ(ノーサポート) • Windows Server 2003 SP1 以降で、インストールすることなく実行して、物理サーバーを仮想化イメージに変換することが可能 • VHDX に対応 • Disk2vhdhttp://technet.microsoft.com/ja-jp/sysinternals/ee656415.aspx

  15. Disk2vhd の使用方法 • Prepare for use in Virtual PCはチェックオフ • VHDXファイルの出力パスを指定 • 変換するディスクを選択 • [Create]をクリック 1 2 3 4

  16. 事前検証の重要性 • 多くの場合、移行は新規構築よりもリスクや制約が多くなる • 事前に、可能な限り本番環境に近い検証環境を用意して、何度も事前検証を行うことを推奨 • P2VやV2Vによる仮想化が不可の場合は、可能な限り本番環境に類似した検証環境を新規構築する • Hyper-V上に仮想環境を構築することにより、チェックポイントを使用したトライ&エラーが可能

  17. スケジュール(移行実施日)についての参考情報スケジュール(移行実施日)についての参考情報 • 大がかりな移行の場合は、連休中の実施などが必要になる • 2015 年 7 月までの連休の把握

  18. 移行前に知っておきたい基礎知識

  19. Active Directory 移行とドメイン環境整理の指針 統制が取れず、何となく運用 乱立したドメイン環境 おすすめ 新ドメイン 新ドメイン 新ドメイン 新ドメイン 旧ドメイン シングル フォレスト シングル ドメイン シングル フォレスト マルチ ドメイン マルチ フォレスト マルチ ドメイン 既存ドメインをそのまま活用 運用負荷や複雑性は変わらず 移行途中の段階として利用 複雑な組織や会社で有効 例えば親会社と子会社を管理 親と子会社は独立した運用可能 ツリーは 1 階層まで もっともシンプルで効率が高い 運用の簡素化 ポリシーの一元化

  20. ドメインとは ? ドメインは、 アカウントを登録して、管理する単位 1 つのドメインに、何万個ものアカウントを登録可能 ドメイン ユーザー アカウント グループ アカウント Active Directory データベース ドメインに登録するアカウント ・ ユーザー アカウント ・ グループ アカウント ・ コンピュータ アカウント コンピュータ アカウント

  21. フォレストとは ? フォレストは、Active Directory ドメイン環境における、 • 一番大きな管理範囲 • 1 つ 以上のドメインで構成する • 一番大きな認証範囲 • フォレスト内は、シングル サインオンが可能 ツリー : 木 フォレスト : 森

  22. シングル フォレスト/シングル ドメイン • 推奨するドメイン モデル • 要件に合わない場合のみ、マルチ ドメイン、マルチ フォレストを検討する フォレスト ドメイン ドメインを集約することによって、社内の ID 管理基盤、認証基盤、セキュリティ基盤をシンプルに構成できる

  23. Active Directory ログオンプロセス • ActiveDirectoryでは、DNSが必須 • DCの情報をクライアントに提示する DNSサーバ ① ドメインコントローラは? (SRVリソースレコード) ドメインコントローラ ②応答 ③ ログオン(認証)要求

  24. SYSVOL • %systemroot%\sysvol • 以下のファイルを格納 • スクリプト ファイル(ログオン、ログオフ、スタート、シャットダウン) • グループ ポリシーのファイル • グループ ポリシー テンプレート(GPT) • FRS(File Replication Service)またはDFSR(DFS Replication)を使用して、同一ドメイン内のドメインコントローラー間で複製し合う • FRS は、従来のバージョンから使用しているサービス • DFSR は、Windows Server 2008 ドメイン機能レベルで使用可能なサービス

  25. GC(グローバルカタログ) • フォレスト内の全ドメインパーティションの部分レプリカ • 全ドメインの全オブジェクトが対象だが一部の属性項目だけを持つ • 既定でフォレストルートドメインの最初のDCがGCとなる • 機能 • フォレスト全体でのオブジェクトの検索を提供する • ユニバーサルグループのメンバーシップを提供する • UPNログオン名を管理する • ポイント • シングルフォレスト・シングルドメイン構成の際は、全てのDCにGCの設定を行うことにより検索のパフォーマンスが上がる

  26. FSMO(操作マスター)とは • FSMO:Flexible Single Master Operation • フォレストルートドメイン(1台目のDC) • マルチマスターレプリケーションの競合の課題を解決 • ADにおける重要機能(シングルマスターレプリケーション) • スキーママスター • ドメイン名前付けマスター • PDCエミュレーター • RIDマスター • インフラストラクチャマスター

  27. 操作マスターの配置 1 ドメインにつき 1 台 ・ RID マスター ・ PDC エミュレーター マスター ・ インフラストラクチャ マスター 1 フォレストにつき 1 台 ・ スキーマ マスター ・ ドメイン名前付けマスター DC DC 既定では、 フォレストとドメインに、最初にインストールした ドメイン コントローラーが、操作マスターの役割を持つ 1 ドメインにつき 1 台 ・ RID マスター ・ PDC エミュレーター マスター ・ インフラストラクチャ マスター DC DC

  28. FSMO(操作マスター) ◎ フォレスト単位 ( 1 フォレストにつき 1 台) ◎ ドメイン単位 (1 ドメインにつき 1 台)

  29. 操作マスターを別のサーバーに転送 (変更) • 以下の状況において、GUI ツールまたは NTDSutil.exe を実行して操作マスターを変更可能 • ドメインをアップグレード • ドメイン コントローラーの老朽化 • ドメイン コントローラーの負荷分散 例:Windows Server 2003 DC の操作マスターをWindows Server 2012 DC に転送 (変更) ↓ Windows Server 2003 DC を撤去可能 ・ スキーマ マスター ・ ドメイン名前付けマスター ・ RID マスター ・ PDC エミュレーター マスター ・ インフラストラクチャ マスター 変更 Windows 2003 DC Windows 20012 R2 DC

  30. ADの機能について • Windows Server 2003 から Windows Server 2012 R2 まで、次のように複数バージョンがある • Windows Server 2003 / 2003 R2 • Windows Server 2008 • Windows Server 2008 R2 • Windows Server 2012 • Windows Server 2012 R2 ! 機能レベルの注意事項 ! ・機能レベルは自動的に上がらない ⇒ 手動で上げる ・基本的に、1 度上げたら下げない

  31. ドメイン機能レベル Windows Server 2008 機能レベルをスタート地点として行き来できる フォレスト機能レベルと同等のレベルまで下げることが可能 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012R2 Set-ADDomainMode –DomainMode <機能レベル> -Identity <ドメイン名>

  32. フォレスト機能レベル Windows Server 2008 機能レベルをスタート地点として行き来できる ADゴミ箱が有効な場合Windows Server 2008 R2まで下げることが可能 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012R2 Set-ADForestMode –ForestMode <機能レベル> -Identity <ドメイン名>

  33. Windows Server 2008 の Active Directory 追加機能 • 機能のサービス化 • RODC(Read Only Domain Controller)のサポート • グループポリシーの基本設定および管理用テンプレート • 監査機能の改善 • フリガナのサポート • きめ細やかなパスワードポリシー

  34. グループポリシーの基本設定とポリシー 出典「グループ ポリシーの基本設定の概要」(Jerry Honeycutt 著)

  35. グループ ポリシーの保存場所 グループポリシー コンテナー オブジェクト (GPC) • ADDS にオブジェクトとして保存 • ⇒ドメイン パーティションの System\Policy コンテナー • リンクやバージョン番号などの基本属性 • 管理者がグループポリシーエディターで設定した各設定値は保存されない。 • AD DS レプリケーションによって同じドメインの DC に複製 グループポリシー グループポリシーテンプレート (GPT) • DC 上の SYSVOL 共有に作成されるファイル群 • ⇒ %windir%\SYSVOL\sysvol\<ドメイン名>\Policies フォルダー • 管理者がグループポリシーエディターでの設定した各設定値を保存 • FRS(File Replication Service) または DFS(DFS Replication)によって同じドメインの DC に複製

  36. ADMファイル • Windows Server 2003までのバージョンで使用 • GPOを作成すると、ローカルに格納されているTemplateファイルがGPOごとにコピーされる • Sysvolフォルダの肥大化が問題だった Sysvolフォルダのサイズが大きくなってしまう Template Template Sysvol Sysvol 4MB GPO GPO Template Template GPO作成時にコピーされる Policy Policy FRSにより 複製 GPO GPO Template Template 4MB Policy Policy

  37. ADMXファイル • Templateファイルは、GPOごとにコピーして保持しない • Sysvolフォルダのサイズとレプリケーション トラフィックが減少 Template Template GPOごとにTemplateファイルがコピーされないため、Sysvolフォルダのサイズとレプリケーション トラフィックが減少 Sysvol Sysvol セントラルストア セントラルストア 手動でコピーする Template Template FRS、DFS-R により複製 GPO GPO 各GPOフォルダのサイズが小さくなる Policy Policy GPOの編集時に参照する GPO GPO Policy Policy

  38. 管理用テンプレートのローカルストア • 編集をおこなっているコンピューターのローカルな %windir%\PolicyDefinitionsに保存されている管理用テンプレートを使用する。 • ADMX ファイルおよび ADML ファイルは、OS やサービス パックによって異なるため、一貫した管理インターフェースが維持できない。 グループポリシー 編集 ADMX ファイル ADMX ファイル ADML ファイル ADML ファイル

  39. 管理用テンプレートのセントラルストア • DC の SYSVOL フォルダー(%windir%SYSVOL\sysvol\<ドメイン名>\PolicyDefinitions )に管理用テンプレートをコピーする。 • ローカルに保存されている管理用テンプレートよりセントラルストアの管理用テンプレートが優先使用されるため、編集を行うコンピューターにかかわらず一貫した管理インターフェースが維持できる。 ADMX ファイル ADML ファイル グループポリシー 編集

  40. 一般社員 きめ細やかなパスワードポリシー • ドメイン内のユーザーやグループに対して、個別にパスワード ルールを適用できる機能 • パスワード設定オブジェクト (PSO) を作成し、管理者や監査担当者など、その人の職務や立場に応じて、パスワード ルールを厳しく設定することができる • Windows Server 2012 から GUI が提供された • [Active Directory 管理センター] (ADAC) を使用する ヘルプデスク グループ 管理者 監査グループ 期限:90 日 履歴:3回記録 期限:30 日 履歴:5 回記録 期限:60 日 履歴:4 回記録

  41. WindowsServer2008R2 の ActiveDirectory 追加機能 • Active Directory 管理センター • Active Directory Web サービス • Active Directory ベストプラクティスアナライザー • オフラインドメイン参加のサポート • 管理されたサービスアカウントのサポート • Active Directory のごみ箱機能のサポート

  42. Active Directory のごみ箱 • 削除したオブジェクトを、属性を維持したまま簡単に復元できる機能 • Windows Server 2012 から GUI が提供された • [Active Directory 管理センター] (ADAC) を使用する ユーザー オブジェクト コンピューター オブジェクト グループオブジェクト 削除 復元 削除 削除 復元 復元 “ごみ箱” には、属性情報を持ったままのオブジェクトが入る

  43. Windows Server 2012 の Active Directory 追加機能 • ダイナミックアクセス制御 • Active Directoryによるライセンス認証 • DirectAccessオフラインドメイン参加のサポート • グループの管理されたサービスアカウントのサポート • 仮想化されたドメインコントローラーの複製 • ドメインコントローラーの安全な仮想化

  44. 仮想化ドメイン コントローラーのサポート • 仮想ドメイン コントローラーの仮想ハード ディスク (VHD) をコピーまたは複製してはいけない →VHD/VM のクローニング機能のサポートにより、解決 • 仮想ドメイン コントローラーの仮想マシン(VM) をエクスポートしてはいけない →VHD/VMのクローニング機能のサポートにより、解決 • 仮想ドメイン コントローラーのスナップショットを使用してはいけない →GenerationIDのサポートにより、解決

  45. 仮想化ドメイン コントローラーのクローニング(複製) • クローン元仮想ハード ディスク (VHD)/仮想マシン (VM) をエクスポート/インポートすることで、仮想ドメイン コントローラーを容易に展開できる • クローン元に、複製構成ファイル (XML) を持たせておく Win2012DC-CLONE Win2012DC2 複製構成ファイルを読み込んで、仮想マシンを起動させる VHD ファイル VHD ファイル 仮想ドメイン コントローラー 仮想ドメイン コントローラー 複製構成ファイル 複製構成ファイル エクスポート/インポート <クローン元> <クローン先> クローン元となる仮想ドメイン コントローラーを1 つ用意しておく Windows 2012以降のハイパー バイザー Windows 2012 以降のハイパー バイザー

  46. 仮想化ドメイン コントローラーのスナップショットの適用 • Windows Server 2008/2008 R2 の仮想化ドメイン コントローラーに、スナップショットを適用してはいけなかった • Active Directory レプリケーションが、スナップショットの適用によって時間が逆戻りすることに対応していないため、データベースの整合性に問題が生じた • Windows Server 2012/2012 R2 の仮想化ドメイン コントローラーでは、適用可能 • スナップショットの適用によって時間が逆戻りしても、Active Directory データベースの整合性を維持できるようになった スナップショット 3 2013 年 9 月 30 日 14:00 スナップショット 2 DC 2013 年 9 月 20 日 14:00 適用 Windows 2012以降の ハイパー バイザー スナップショット 1 2013 年 9 月 16 日 14:00 仮想マシン 仮想マシンのスナップショット 2013 年 10 月 1 日

  47. Windows Server 2012 R2 の Active Directory 追加機能 • 多要素認証のサポート • Protected Usersグループのサポート • 認証ポリシーサイロのサポート • ワークプレース参加

  48. Windows Server 2012 R2 ドメインにアップグレード • ビジネス要件の変化に対応できる • 物理サーバーから、仮想化環境へ • 社内ネットワークのシステムから、クラウド サービスへ • 社内のデスクトップから、モバイル デバイスへ • 増加する BYOD (Bring Your Own Devices; 私物端末の業務利用) への対応 • 最新のグループ ポリシー テンプレートの使用 など もちろん、Windows Server 2012 までの機能もすべて使用可能 ・ 詳細な監査ログの取得 ・ 細かい設定が可能なパスワード ポリシー ・ Active Directory のごみ箱 ・ 動的アクセス制御 (DAC) ・ ドメイン コントローラーの仮想化のサポート ・ Server Core への容易な切り替え など多数

  49. 最新 OS にアップグレードするメリット • 保守契約期限が長い 2013 年 現在 2016 年 2018 年 2020 年 2022 年 2014 4/9 延長サポート Windows XP 2023 年までサポートが提供される 2015 7/15 Windows Server 2003 延長サポート Windows 8 & Windows Server 2012 延長サポート メイン ストリーム サポート ※Windows XP と組み合わせて運用している場合は、Windows XP と合わせてアップグレードできるとより良い • ネイティブな 64 ビット環境を利用できる • 64 ビット版のみ提供されている • 現在は、ハードウェア、ソフトウェア共に 64 ビット環境が充実 • 64 ビット版には、32 ビット版のときの 4 GB のメモリ サイズ上限がない • サーバ ハードウェアを購入するタイミングで、新しい OS に移行するのも良い

  50. Active Direcrtoryの移行

More Related