■前回は,Windows Server 2003を使ってActive Directory(AD)ドメインを新規に構築する方法を解説した。今回は,NTドメインをWindows 2003のADドメインへ移行する手順を説明する。
■ドメインの移行方法には,NT 4.0のドメイン・コントローラに対してWindows 2003をアップグレード・インストールする「アップグレード」と,新しくADを構築して,ユーザー/グループ/コンピュータの各アカウントをNTドメインからADドメインへコピーする「再構築」の2つがある。
■それぞれ一長一短があるが,ここでは「再構築」の手順を中心に解説しよう。

(石川 祥英)

 この連載では,Windows Server 2003を導入・構築・運用するための基礎知識を紹介している。前回はWindows Server 2003をドメイン・コントローラ*1(DC)としてセットアップし,Active Directory(AD)ドメインを新規に構築する方法を解説した。ADドメインは,NTドメインとの互換性を維持しつつインターネット技術を取り入れたもので,DNS(Domain Name System)サーバーが不可欠になる。また,Windows 2000のADドメインとWindows 2003のADドメインの仕組みはほぼ同じだが,細部が異なっていることを理解してもらいたい。

 今回は,NTドメインをWindows 2003のADドメインへ移行する手順を説明する。ドメインの移行とは,NTドメインのドメイン・コントローラに登録されているユーザー・アカウント,グループ・アカウント,コンピュータ・アカウントなどセキュリティ・プリンシパルと総称するものをWindows 2003のADドメインでそのまま使えるようすることである。



△ 図表をクリックすると拡大されます
表1●ドメインの新規構築と移行の違い

 ドメイン移行では,移行先システムで移行元のNTドメインのユーザーやパスワードがそのまま使えるので,アクセス権の再設定などが不要になるのが最大の利点だ(表1)。これに対してドメインの新規構築では,ユーザー・アカウントなどはすべて登録し直しになり,アクセス権などをすべて再設定しなければならない。Windows 2003を含めたWindows NT系のOSはアカウントをSID*2という識別子で区別している。登録し直されたアカウントはたとえ移行元と同じ名前でもSIDが違うのでこうしたことが起きる。

移行元となるNTドメインの構造を調べる
 移行作業は,移行元となるNTドメインの構造や設定を調べることから始める。移行元のNTドメインが1つで移行先のADドメインが1つでも前回説明したようにDNSサーバーの準備などが必要である。ましてネットワークの規模が大きく複数のNTドメインがある環境で移行の手順を簡単に決定することはできない。具体的には以下の段階がある。

(1)移行の計画
 移行の目的を明確にし,現在のNTドメイン環境に関する情報を収集する。例えば,NTドメインの数,ドメイン間で結ばれている信頼関係*3という設定の内容およびアカウントの管理方法などを確認する。これを移行完了後のWindows 2003によるADドメインの構造と比較して検討項目を洗い出してほしい。

(2)移行計画の設計
 移行計画書を作成する。必要に応じて移行作業のより詳細な計画を作る。詳細な計画では,ドメインごとに最適な移行パス,戦略,展開および回復計画に必要なガイドラインを示しておく。

 また,ドメインをアップグレードするか,再構築するか,アップグレード後に再構築するかを最終的に決定する。ドメインのアップグレードは,NTドメイン内のドメイン・コントローラのOSをNT Server 4.0からWindows Server 2003にアップグレード・インストールすることで実現する。再構築よりも比較的作業は簡単だが,NTドメインの構造を引きずりやすい。NTドメインが乱立している企業では,次に述べる再構築と併用するのが望ましいだろう。

 再構築は,既存のNTドメインとは別に構築したADドメインにNTドメインのアカウントなどをコピーして,NTドメインを廃止する方法である。2つ以上あるNTドメインを1つのADドメインにまとめるなどの場合に適している。ADドメインはOU(組織単位)などの新機能を使えば,1つしかドメインがなくても管理の分散化が可能である。NTドメインが複数ある場合は,1つのドメインをADドメインへアップグレードして,そこへ他のドメインのアカウント類をコピーすることも可能だ。ただし,再構築の手順は複雑だ。条件によってサード・パーティ製のツールが必要になる。

(3)移行計画の吟味とパイロット・テストの実施
 移行計画を吟味し,一部のユーザーをサンプルにして移行を実施する(パイロット・テスト)。その結果を分析して,必要な要件をすべて満たすことを確認する。設計上の問題があれば変更を行ってから,移行計画を組織全体に展開する。

(4)移行計画の展開
 これは,会社など組織全体のドメインを移行する段階である。作業は慎重に行わねばならない。ドメインのアップグレードの場合は,アップグレード・インストールに失敗した場合に備えてドメイン・コントローラのバックアップを作成しておく。再構築の場合は,アカウント類のコピー先となるADドメインを新規に構築する必要がある。

(5)移行中・後のネットワーク保守
 移行中および移行作業完了後は,ネットワーク機能に与える影響を最小限に抑えることを考慮しなければならない。現在サポートしているネットワーク機能によっては,必要に応じて移行時に検討事項を追加しなければならないことがある。



△ 図表をクリックすると拡大されます
表2●マイクロソフトが提供するドメイン移行ツールの例


△ 図表をクリックすると拡大されます
表3●ADMTの機能


△ 図表をクリックすると拡大されます
表4●用意されているADMTウィザードの種類と使用する状況

標準添付の移行ツールでドメインを再構築
 さて,早足でドメイン移行の流れを説明したが,ここではより具体的にドメインの再構築方法を解説していきたい。ドメインのアップグレードと再構築のおおまかな流れは連載の第1回で簡単に説明している。ドメインの再構築はやや手順が複雑なのでここで詳しく解説したい。

 NTドメインからADドメインへの移行を支援するツールは表2に示したものがある。この中で最も推奨できるものはADMT(Active Directory移行ツール)だ。Windows Server 2003のセットアップCD-ROMにはADMTの最新版v2.0が付属している。ウィザード形式のインターフェースで,以下のような機能がある(表3)。

●あるドメインから,別のドメインにユーザー,グループ,コンピュータ・アカウントをコピーする。v2.0ではパスワードのコピーも可能だ。

●ローカル・グループ*4,ユーザー・プロファイル*5,ファイルやフォルダ,プリンタに関するアクセス許可のセキュリティ設定を変換して,移行対象のドメインのユーザーやグループに対するアクセス許可を更新する。

●移行対象のセキュリティ・プリンシパルのSIDを移行先ドメインのアカウントのSIDHistory*6という属性に組み込む。ドメイン再構築では,移行先ドメインにコピーされたアカウントのSIDは移行元のものと同じにはならない。しかし,移行先ドメインのアカウントのSIDHistoryに以前のSIDを記録することで,SIDごとコピーしたのと同じ効果が得られる。

●コンピュータのセキュリティ設定を変換し,必要に応じて余分なSIDを削除する。

●共有リソースのアクセス許可を再定義し,コピーされるユーザーやグループに関連するファイル,フォルダ,共有フォルダのセキュリティ問題を解決する。

 これらの機能はいずれもウィザードによって実行できる(表4)。ただしADMTを使うには,移行先のWindows Server 2003ドメインの機能レベル*7が[Windows 2000ネイティブ]以上でなければならない。移行先のADドメインのすべてのドメイン・コントローラをWindows 2000あるいはWindows 2003にアップグレードして,管理ツールからこのモードに切り替えておこう。


*1 ドメイン・コントローラ
Windowsのドメイン内にあるコンピュータの情報やそこで使うユーザーの情報などを管理するサーバー。NT 4.0までのドメインでは,プライマリ・ドメイン・コントローラ(PDC)とバックアップ・ドメイン・コントローラ(BDC)の2種類がある。[戻る]

*2 SID
WSecurity Identifierの略。Windows NT系列のOSのユーザー・アカウントなどは,名前のほか,自動的に作成されるSIDという番号で区別される。異なるドメインにも,同じユーザー名のアカウントは作成できるが,SIDは異なる。[戻る]

*3 信頼関係
複数のWindowsドメインを連携させるときに行う設定。信頼関係を結ぶと,他のドメインに登録したユーザー・アカウントなどをログオンやアクセス権設定などに利用できる。[戻る]

*4 ローカル・グループ
1台のコンピュータの中だけでアクセス権設定などに利用できるグループ・アカウント。これに対してドメインに登録するグローバル・グループは複数のコンピュータで利用できる。[戻る]

*5 ユーザー・プロファイル
ログオン・ユーザー別にデスクトップ環境を用意する機能。マシンにログオンしたユーザーごとにデスクトップやスタート・メニュー内のファイルやそれらに関する設定などを「C:\Document and Settings\ユーザー名」以下に保存することで実現する。[戻る]

*6 SIDHistory
Active Directoryの中に登録されたアカウントが持つ属性の1つ。ドメインをまたいで移動したアカウントにおいて移行元のドメインのSIDが記録される。移行先のドメインでは新しいSIDとともにSIDHistoryにある古いSIDがアカウントの識別に使われる。[戻る]

*7 ドメインの機能レベル
Windows Server 2003のActive Directoryドメインでは複数のバージョンのWindowsのドメイン・コントローラが混在できる。混在の程度に応じてドメインの機能レベルを設定する。ドメインのほかフォレストの機能レベルがある。[戻る]