■Windows NT Server 4.0のサポートが完全に終了する2004年12月末をめどに，ドメイン移行を計画しているユーザーは多いことだろう。
■マイクロソフトはNTドメインからActive Directory（AD）ドメインへの移行を支援するツールADMTを無償提供している。新たにユーザー・アカウントのパスワードを引き継ぐ機能を備えたADMT 2.0の使い方の勘所を詳細に解説する。
■この記事は，『日経Windowsプロ』2004年2月号の特集2「ドメイン移行成功の必携ツール ADMT 2.0を使いこなす」のサブテキストとして，記事中で解説している操作をより詳しく知るため，49点の画像を中心に構成したものである。

　NTドメインからADドメインへ移行するには，（1）インプレース・アップグレード，（2）移行ツール，（3）新規構築――といった3種類の方法がある。2番目の方法は，元のドメインのアカウントを引き継げる。Windows Server 2003には標準で移行ツール「Active Directory Migration Tool（ADMT）2.0」が標準で付属している。新版になって，ユーザーのパスワードも引き継げるようになった。

△　図をクリックすると拡大されます 図1●ADMT 2.0のインストール

　最初はADMT 2.0をインストールしよう。Windows Server 2003のCD-ROMにある「I386」フォルダの中の「ADMT」フォルダに「admigration.msi」というプログラムがありこれをダブル・クリックして実行する。左の図1をクリックするとインストール画面が確認できる。画面は次のような8点からなる。
（1）CDドライブからadmigration.msiを実行する
（2）ADMTセットアップウィザードの開始画面
（3）許諾内容を確認する
（4）ツールのインストール先を指定する
（5）［次へ］をクリックしてインストール開始
（6）インストールが開始された
（7）インストール完了

△　図をクリックすると拡大されます 図2●ドメインの機能レベルは［Windows 2000ネイティブ］または［Windows Server 2003］に上げる

　ADMTのインストールが終わったら，次はADMTを実行する前の準備作業を行う。それは次のような4つのステップを踏んで行う。（1）ドメインの機能レベルを「Windows 2000ネイティブ」または「Windows Server 2003」に引き上げる，（2）移行元/先のドメイン間で双方向の信頼関係を結ぶ，（3）双方のドメイン管理者グループに相手の管理者権限も持たせる，（4）移行元ドメインのレジストリを編集する――というものだ。第1のドメインの機能レベルを上げる方法は，スタート・メニューの［管理ツール］－［Active Directoryユーザーとコンピュータ］で，ドメイン・オブジェクトを右クリックして，現れたメニューから［ドメインの機能レベルを上げる］を選択して実行する。すると図2のような画面が現れる。ここで［Windows 2000ネイティブ］を選択すると，機能レベルが［Windows 2000ネイティブ］となる。

△　図をクリックすると拡大されます 図3●移行先（Windows 2003）から移行元（Windows NT）への信頼関係を設定する

　第2に「移行先と移行元のドメイン間で双方向の信頼関係を結ぶ」作業を行う。最初に移行先ドメインから移行元ドメインへの信頼関係を結ぶ。そのためにはWindows Server 2003で操作する。スタートメニューから［管理ツール］－［Active Directoryドメインと信頼関係］を開く。図3に従って作業を行う。図3の画面遷移は以下の通り。
（1）移行元を選択し［プロパティ］を実行。
（2）［新しい信頼ウィザード］の起動。
（3）［信頼の名前］を入力。
（4）［信頼の方向］では［一方向 入力方向］を選択。
（5）［信頼パスワード］を入力。
（6）信頼の設定を確認して［次へ］をクリック。
（7）信頼関係が作成された。
（8）［確認しない］を選択する。
（9）［新しい信頼ウィザード］の完了。
（10）作成された信頼関係が表示されている。

△　図をクリックすると拡大されます 図4●移行元（Windows NT）から移行先（Windows 2003）への信頼関係を設定する

　図3では「移行先→移行元」であったが，図4では「移行元→移行先」の信頼関係を結ぶ作業だ。そのためにはWindows NT Server 4.0で操作を行う。スタート・メニューから［プログラム］－［管理ツール］－［ドメインユーザーマネージャ］と選択して実行する。そして図4に従って作業を行う。図4の画面遷移は以下の通り。
（1）ドメインユーザーマネージャで［原則］－［信頼関係］を選択。
（2）ドメインを追加する。
（3）信頼関係を確立したという確認画面。
以上で双方向の信頼関係「移行先←→移行元」が結べたことになる。

△　図をクリックすると拡大されます 図5●移行元のドメイン管理者グループに移行先のドメイン管理者を追加する

　第3のステップでは「双方のドメイン管理者グループに相手の管理者権限も持たせる」というものだ。まずは，Windows NT Server 4.0側の設定を行う。図4で使って，開いたままになっている［ドメインユーザマネージャ］でドメインを追加する（これが図5）。さらに，Windows Server 2003側の設定を行う。［Active Directoryユーザーとコンピュータ］を開いてドメイン名の下の［Builtin］ノードを広げ，その中のAdministratorsグループに移行元ドメインの管理者グループを追加する［domain\Domain Admins］。

△　図をクリックすると拡大されます 図6●ドメインのPDC上のレジストリを編集し，新しくDWORDエントリとして「TcpipClientSupport」を追加する

　移行前の準備作業は，最後の第4ステップに入った。ここではプライマリ・ドメイン・コントローラであるWindows NT Server 4.0（移行元ドメイン）のレジストリを編集する作業だ。ここでTCP/IPネットワークを使ったクライアントをサポートするように設定する必要がある。Windows NTでレジストリ・エディタを起動して編集している画面が図6である（画面1点）。画面の中で，「HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Contol\ Lsa」というサブキーで，DWORDエントリとして「TcpipClientSupport」を追加する。エントリの値を「1」に設定し，ドメイン・コントローラに再起動をかける。以上で，移行前に必要な準備作業の4つのステップが終わった。

△　図をクリックすると拡大されます 図7●「ユーザーアカウントの移行ウィザード」の操作

　次は実際にADMTを実行して移行の中心になる作業を行う。先ほど，ADMTをインストールした移行先のWindows Server 2003で，スタート・メニューから［Active Directory移行ツール］を実行して，ADMTを起動する。ここには，「グループ・マッピングおよび結合」や「Exchangeディレクトリの移行」など，11種類ものウィザードが収録されている。この中からADMT 2.0のメイン機能である「ユーザー・アカウントの移行ウィザード」を実行してみよう。画面遷移は図7の通りになる（画面18点）。
（1）ユーザーアカウントの移行ウィザードを起動。
（2）「ユーザーアカウントの移行ウィザード」起動画面。
（3）テスト・モードを選択。
（4）［移行元ドメイン］と［移行先ドメイン］を入力。
（5）移行するユーザー・アカウントを選択。［追加］をクリックする。
（6）追加するユーザーを入力する。
（7）ユーザーが追加された。
（8）移行先のOUを入力。
（9）移行先のコンテナを選択。
（10）移行先OUの識別名が入力された。
（11）パスワードの種類を選択。ここでは［複雑なパスワード］を選択している。
（12）移行した後の状態を設定する。［移行先を移行元と同じ状態にする］オプションをおすすめする。
（13）移行元の管理者のアクセス許可を入力する。
（14）他のユーザー・オプションが設定できる。
（15）移行先ドメインの既存アカウントと重複するユーザー名だった場合に用いられるリネーム用のオプションを設定する。
（16）移行ウィザードを完了し，実行する。
（17）移行作業が進行中。
（18）移行作業が完了した。

△　図をクリックすると拡大されます 図8●「ADMTパスワード移行DLL」のインストール

　新版のADMT 2.0になって追加された機能を試そう。ユーザーのパスワードの移行である。第1に，移行先ドメイン（Windows Server 2003）でEveryoneグループに匿名ユーザーを含める（操作方法は本誌2004年2月号p.60を参照のこと）。第2に，移行先ドメインのドメイン・コントローラ上でコマンド操作によって「パスワード・キー・ファイル」を生成する（操作法は本誌参照）。第3に，移行元ドメイン（Windows NT Server 4.0）と移行先ドメインの両方に「Internet Explorer高度暗号化パック」を導入する。第4に，ようやくADMTのパスワード移行ツールを使う。Windows Server 2003のCD-ROMのADMTが入っていたフォルダの「pwdmig」フォルダにある「pwdmig.exe」を実行する（移行元がWindows 2000/2003のときは，pwdmig.msiを使う）。図8に画面遷移を掲載する。以下のような6点の画像がある。
（1）インストールウィザードの開始。
（2）暗号化キーを選択する。
（3）暗号化キーのパスワードを指定。
（4）インストールの開始。
（5）インストールの完了。
（6）インストールの完了後，レジストリエディタでAllowPasswordのDWORD値を「1」にする。
以上で，パスワードも含めてアカウントの移行が完了する。