Active Directory 子ドメインのリプレース

有資格者の名に恥じない大変、情熱ある立派な回答である。

しかし、Windows Server 2008 ADはネットワークやグループポリシーに関するトラブルが多く見られることから、Windows Server 2003 ADからのアップグレードは怖い。

Windows Server 2003 ADの方が、面白味がないが安定している気がする。

 

（質問）

Active Directory 子ドメインのリプレースに関して

 

お世話になっております。

現在、Active Directory環境下で、サーバのリプレースを考えています。

【環境】
サーバA：　Windows Server 2003
用途　　 ：　ADサーバ（ルートサーバ）　ドメイン名を仮に　ServerA.aaa.localとします。

サーバB：　Windows Server 2003
用途　　 ：　ADサーバ（上記サーバのバックアップ的用途）　ドメイン名を仮に　ServerB.aaa.localとします。

サーバC1～C4：　Windows Server 2003
用途　　 ：　ADサーバ（上記の子ドメインサーバ）　ドメイン名を仮に　ServerC1～C4.bbb.aaa.localとします。
　　　　　　  サーバC1～C4は別々のサイトとして存在

【質問】
1.上記の環境下で今回、「サーバC1～C4」をWindows Server 2008へのリプレースを考えています。
その際、ADprepを実施する必要があると思いますが、ADprepの実施は、以下のどれに相当しますでしょうか？

1.サーバA、Bに対ADprepが必要
2.サーバC1～C4（リプレース対象サーバ）に対しADprepが必要
3.全サーバでADprepが必要

2.上記の作業はどのサーバで何を実施する必要がありますでしょうか？
（例：サーバA,Bでforestprepのみ等々）
　　
どのサーバにどのadprepを実施するか、感覚的には理解しているつもりですが
今回のような子ドメインのみのリプレースの経験がない為、念の為確認したく思います。
　
初歩的な質問で恐縮ですが、ご教示下さい。

よろしくお願いします。

 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

（回答１）

○○○です。

IT Proさんの記事にアップグレードの詳細な情報がありますのでこちらを参考にしてはいかがでしょうか？

Active Directoryアップグレード方法論
http://itpro.nikkeibp.co.jp/article/COLUMN/20080701/309864/

さて、アップグレードを行う際にはおっしゃる通りAdprepなどの前作業が必要になります。

行うべきことはフォレストに対する変更とドメインに対する変更になります。

ですのでルートドメインであるaaa.local上のFSMOのスキーママスタが存在するサーバー上でadprep /forestprepを実行する必要があります。

後はドメインごとの変更です。

ですので子ドメインであるbbb.aaa.local上のFSMOのインフラストラクチャマスタが存在するサーバー上でadprep /domainprep /gpprepを実行する必要がありますね。またRODCを今後使う予定があるのであれば、adprep /rodcprepも実行する必要があります。

今後ルートドメインにもWin2008DCを参加させるのであれば、上記操作が必要になります。

ここからは考え方次第なのですが、私なら今後のことも考えてルートドメインにも同様の動作を施しておきます。なぜなら毒にはならないからです。また、インストールする際にこれらの作業を実行していなかった場合は、これらの作業をするようにエラーメッセージが出てインストールできません。

FSMOサーバーを検索するコマンドとして簡単なのはnetdom query fsmoになります。ただし、Win2003にはデフォルトでこのコマンドは入っていません。サポートツールをインストールする必要があります

 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

（回答２）

ちょっと補足します

各ドメインで行う作業として
adprep /domainprep /gpprep
と書きましたが、これはWindows 2000 Serverドメイン内の最初のWin2008DCである場合です

Windows Server 2003ドメイン内の最初のWin2008DCの場合は
adprep /domainprep
でいいです。

またRODCをGCにする場合は全てのドメイン（そのドメインでWin2008DCを実行しなくても）で
adprep /domainprep
を実行します。

ちなみにgpprepスイッチを指定するとSYSVOL共有フォルダにあるGPOに継承可能なACEが追加
されドメイン内のコントローラ間でSYSVOL共有フォルダが同期されます。

 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

（回答３）

Windows Server 2008 で AD DS をサポートするために行われた Adprep.exe の変更に関する付録
http://technet.microsoft.com/ja-jp/library/cc770703(WS.10).aspx

この情報を見ると

フォレスト全体の更新がうまくいった場合は

CN=ActiveDirectoryUpdate,CN=ForestUpdates,CN=Configuration,DC=ForestRootDomain オブジェクトが作成され、このオブジェクトのリビジョン属性 (スキーマの CN=Revision、Integer 構文) が 1 に設定されます。

ドメイン全体の更新がうまくいった場合は

CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain オブジェクトは、正常に完了したことを示すためにリビジョン属性 (スキーマの CN=Revision、Integer 構文) が 1 に設定されます。

と書いてありますのでADSIエディタなどで確認することができると思われます。

 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/b397fb53-2a85-4e57-a89f-eaf69021f1fd