[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
ここでは微に入り細にうがった回答はできないが、具体的な質問には的確に答える。
(質問)
2003から2008への移行手順
はじめまして、お世話になります。
ユーザ数20人弱のドメインのDCを「2003Server」から「2008Server」へ移行することとなりました。
こちらのフォーラムや、Technet技術文書を参考に自分なりに手順を考えているのですが、
初めての作業で不安でして、皆さんのお知恵を貸していただきたく、投稿させていただきました。
以下の、[手順]のレビュー・ツッコミと、
最後に記載します[■皆さんに質問したいこと■]へのご回答を宜しくお願いできますでしょうか。
ひとつの質問だけにでもご回答を頂ければ幸いです。
[環境]
旧)DC(DNS・DHCPサーバ)2003 SPなし ⇒ 新)DC(DNS・DHCPサーバ)2008 SP2
※ドメインにDCは1台のみ。ホスト名・IPアドレス変更予定
[手順]
================
1.新DC受入準備
================
◎バックアップとリストア手順の確認
毎日フルバックアップを習得している
◎機能レベルの確認
2008の受け入れにはドメインの機能レベルが「Windows2000」ネイティブ以上である必要がある。
◎スキーマ拡張
adprep/adprep.exe /forestprep
adprep/adprep.exe /domainprep /gpprep
adprep/adprep.exe /rodcprep
◎スキーマ拡張の確認
移行元DCの以下のレジストリを参照⇒[44]になっていること
キー:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
値:Schema Version
値は以下の通り
objectVersion OS
[30] Windows Server 2003
[31] Windows Server 2003 R2
>[44] Windows Server 2008
================
2.新DC昇格
================
◎DCの追加
「Dcpromo」でADをインストール
DNS、グローバルカタログのオプションにチェックを入れる
◎FSMO移動
ntdsutilコマンドで行う。GUIからも可能らしいがコマンドならまとめて行える
◎グローバルカタログ移動
[旧DC]「ADDSサイトとサービス」で「グローバルカタログ」のチェックをオフ
◎DHCPサーバ移行
DHCPオプションのDNSアドレスを旧DcのIP⇒新DcのIPに変更
DHCPの設定のExport/ImportをNetshコマンドにて行う
◎並行期間
2台並行で試運転(1日以上)
================
3.旧DC切り離し
================
◎直前に強制レプリケーション
[Active Directoryサイトとサービス]を起動し[NTDS Settings]を選択する。
そして右側のペインに表示されるサーバ名を右クリックし、ポップアップ・メニューから[今すぐ複製]を選択する。
◎旧DC降格(Dcpromo
※※「このサーバはドメインの最後のDCです」にチェックをしない
◎残骸処理
新DCで以下の場所から旧DCの残骸を処理する。("ユーザとコンピュータ"や"サイトとサービス")
◎機能レベルを上げる(2008へ)
==============================
■皆さんに質問したいこと■
==============================
0.機能レベルを2008にするタイミング
現手順では、最後に2008へ上げていますが、スキーマ拡張の前に実施しなくても大丈夫でしょうか?
1.FSMO移動完了の確認方法は?
FSMOが新DCに移動したことを確認するにはどうすればよいでしょうか?
2.グローバルカタログ移動完了の確認方法は?
グローバルカタログが移動できたことを確認するには?
3.ADの移行確認は?
何をもってADのオブジェクトやポリシーが"完全"に移行できたとすれば良いでしょう?
ログの場所・見方やコマンドなどの操作方法を教えてください?
4.リストア手順は?
毎日一回深夜にテープライブラリにフルバックアップを取っています。
万が一の時のADの修復には、どのファイル・フォルダをどこに戻せばよいのでしょうか?
参考になるようなURLのご紹介も頂けるとありがたいです。
------------------------
(回答)
○○○○です。
申し訳ないですが、個人的には、微に入り細にうがった回答はできません。ですから[手順]について、細かいチェックはしていません。ですが、細かいところについて、他の方からご指摘があるかもしれませんね。
ちなみに、こういう資料は参考になりそうです。
http://primeserver.fujitsu.com/primergy/technical/construct/pdf/win2008-active-directory03.pdf
質問にも簡単に答えます。
0. Windows Server 2003 ドメインコントローラが存在する状況で「ドメイン機能レベル」を2008にあげることはできません。
1. ntdsutilコマンドで確認しましょう。GUIでもできます。
http://support.microsoft.com/kb/234790/ja
2. [Active Directory サイトとサービス] コンソールから、直接確認しましょう。
3. したのURLに一覧が書いてあります。「Active Directoryが正常にインストールおよび複製できているか」を確認する方法ですが、おおむね同じです。
http://technet.microsoft.com/en-us/library/cc794717(WS.10).aspx
4. フルバックアップがとってあるなら、すべてのドメインコントローラを同時にフルリストアすることが確実です。フルバックアップならNTバックアップの「システム状態」をとっておく必要があります。こういうURLが参考になるでしょう。
http://technet.microsoft.com/ja-jp/ee676512.aspx
http://technet.microsoft.com/ja-jp/library/cc985001.aspx (多少古い内容です)
[0回]
Csvdeコマンドまたはldifdeコマンドを使うが、コマンドの知識が無いとかなり難しい。
(質問)
あるドメインから別のネットワークのまったく別のドメインへコピーしたいと思っています。
コピーする内容は、登録したUO名、User(属性含む)、Group名(所属するUser含む)のみです。
ミスが発生しないよう出来るだけ人的作業が少ない形でコピーするにはどのような方法がありますでしょうか?
よろしくお願いいたします。
OS: Windows 2008 std
(回答)
○○○○です。
csvdeというコマンドを使って、エクスポートとインポートができます。ただしパスワードの移行はできません。MSのページではありませんが、こういうページがありますね。
http://gihyo.jp/admin/serial/01/ad2010/0003?page=3
(MSのページ)
http://technet.microsoft.com/ja-jp/library/cc758935(WS.10).aspx
http://technet.microsoft.com/ja-jp/library/cc787549(WS.10).aspx
文書番号: 237677 - 最終更新日: 2007年2月20日 - リビジョン: 4.1
http://support.microsoft.com/kb/237677/ja
(参考資料)
http://itpro.nikkeibp.co.jp/article/COLUMN/20080125/292017/
[0回]
従来のMBR形式では数百GBのディスク数本でRAID5を構成しても2TBを超える領域を設定できない
(質問)
GPT形式のディスク(アレイ)にOSを導入する
○○○○です。
GPT形式とディスク容量について、教えて頂きたい事項がございます。
現行考案している環境は以下の通りです。
・OS:Win2008R2Server_64BitStandartEdition
・500GB HDD×8本 RAID5-HSP1(総容量約3TB)
質問内容
:RAID5+HSP1の構成ですと、1つのアレイを作成後、総容量が約3.0TB足らずになるのですが。
○Win2008OSメディアにてCDブートで構築を開始⇒OS構築完了後。
ディスク管理上にて、Cドライブ以下の空き領域にて、2TB以上の領域が作成出来ませんでした。
確か32BitOSではGPT形式にしなければならず、64Bitから改善されたとのことでしたが、
なぜでしょうか?またシステムが導入されているアレイをGPT形式にしても問題ないのでしょうか?
調査をしていたら、メーカーサイトですが、以下の情報がございました。
http://www.dell-faq.com/detail.asp?baID=1&FAQID=%20198342
この手法、修復セットアップにてGPTに変更後、OSを入れる手法ですが。問題ないのでしょうか?
正しいのでしょうか?問題点などもあればご教授いただきたく思います。
GPT形式にてOSを導入することへの正式サポート、MS社様の見解などについてもご教授いただきたく思います。
何とぞご教授の程、よろしくお願いします。
以上
---------------------------
(回答)
(略)
32bit/64bit 問わず、従来の MBR 形式では 2TB を超えるパーティーションからの起動はできません。
以下の KB は Vista 向けになっていますが、Windows Server 2008 R2 でも同様のはずです。
http://support.microsoft.com/kb/946557/ja
(略)
BIOS ではなく、EFI にできているのであれば、できると思われますが、私は試したことがないので断言しかねます。
また、問題点の有無についても何とも言えません。
ただ、MBR 形式から GPT 形式に変換する際、パーティションを削除する必要があるようなので、修復セットアップではなく、新規セットアップになるとみられます。
http://technet.microsoft.com/ja-jp/library/cc725671(WS.10).aspx
(略)
(答えてねっと for Businessでの参考魚拓)
http://megalodon.jp/2009-0609-2025-52/www.biz.kotaete-net.net/Default.aspx?pgid=14&qid=160648723289
[0回]
[0回]
FSMOを強制転送するとフルバックアップは使えなくなる。リストアの予定があるなら強制転送すべきではない。
(質問)
フルバックアップがある場合のFSMO強制転送について
お世話になります。
フルバックアップがある場合のFSMO強制転送について
環境
Windows Server 2008
AD1 (GC FSMO)DNS、DHCP フルバックアップあり
AD2 (GC) DNS、DHCP フルバックアップあり
FSMOを保持しているAD1が、ハード障害が発生しダウン。復旧させるのに3日を要とします。
こういう場合は、使えるフルバックアップがあっても、AD2へFSMOを強制転送させるのがセオリーなのでしょうか?
ご教授いただけたら、助かります。
---------------------------
(回答)
○○○○です。 FSMOを強制割り当てした場合、以前のFSMOマシンのバックアップは永久に使えなくなります。リストアの予定があるなら、強制割り当てするべきではないです。2~3日FSMOはなくても、大丈夫です。
[0回]
事前にAD DSサービスを停止させればよい。
(質問)
ADDS構築後の「データベース」と「ログの場所」を変更する方法について
ADDS構築後、「データベース」と「ログの場所」を変更方法について
WindowsServer2008R2(フルバージョン)でADDS(Active Directory Domain Service)をインストール後、
最初に設定する、「データベース」と「ログの場所」を変更したいのですが、
どのような手順で変更すればよろしいのでしょうか?
既存環境からドメイン降格して再インストールが望ましいかもしれませんが、
降格しない方法で手順はありますでしょうか?
バージョンは違いますが、ADDSインストール画面上では、こちらの画面で設定する項目です。
http://www.aibsc.jp/joho/otasuke_m/clientserver/03/img/adr_3_08_1.jpg
参考URL1:http://support.microsoft.com/kb/315131/ja
参考URL2:http://journal.mycom.co.jp/series/AD/080/index.html
単純に、コマンドプロンプトを起動して、
(デフォルト状態で)ntdsutilコマンドを実行し、Filesと入力すると以下のようになります。
C:\Users\Administrator>ntdsutil
ntdsutil: Files
アクティブ インスタンスが設定されていません。アクティブインスタンスを設定するに
は "Activate Instance" を使用してください。
よろしくお願いいたします。
----------------------------
(回答)
○○○○です。
こうしたら、できますよ。
(事前に) net stop NTDS コマンドで AD DSサービスを停止させておいて、
ntdsutil
Activate Instance NTDS
Files
あとは KB315131 の方法で、対応できるでしょう。
[0回]
PSOとDefault Domain Policyは同時実装できる
(質問)
PSOとDefault Domain Policyパスワードポリシーの同時運用
2. 製品とプラットフォームのバージョン ( エディションを含む) とサービス パック
Windows Server 2008 SP2
3. お問い合わせ内容
Windows 2008 Active Directoryサーバーを導入し、細かい設定が可能なパスワード ポリシー(PSO)を
実装したいと考えています。
Windows 2003まではDefault Domain Policyでドメインに対して、1つのパスワードポリシーのみが有効となりますが、PSOで使用するシャドウグループなどの運用を簡素化するためにDefault Domain
PolicyとPSOの同時実装を検討しています。
PSOとDefault Domain Policyのパスワードポリシーは同時に実装可能なのでしょうか?
また同時に実装可能なのであれば、パスワードポリシーとしての優先順位はどのようになるのでしょうか?
4. 投稿する前に確認した内容
下記Technetの情報を確認しました。
http://technet.microsoft.com/ja-jp/library/bb633158.aspx
PSOについてはRSOPで適用されるパスワードポリシーの優先順位がmsDS-PasswordSettingsPrecedenceで指定することができると認識しています。
5. お問い合わせの目的、回答として提供を希望する内容
・Windows 2008機能レベルでのPSOとDefault Domain Policyのパスワードポリシーは同時実装可能なのか?
・上記が可能であれば、PSOとDefault Domain Policyのパスワードポリシーの優先順位の決め方はどのようになるのか?
よろしくお願いいたします。
(回答)
○○○○です。
もしかしたらですが、「MSさん(開発元ベンダー)からの正式な回答」がご希望ですか?であるなら、必要な有償パスからお問い合わせください。
普通の人の回答でよい、という前提で答えます。
したのページに全部書いてあります。
http://technet.microsoft.com/ja-jp/library/cc754544(WS.10).aspx
答えとしては、
PSOとDefault Domain Policyは同時実装できます。
まずPSOの適用について検査され、適用されない場合Default Domain Policyの内容が適用されます。
PSOとDefault Domain Policyは仕組みがそもそも違うので、排他的な関係になることはありません。
[0回]
プロフィール
カレンダー
カウンター
リンク
最新記事
最新コメント
最新トラックバック
カテゴリー
アーカイブ
ブログ内検索
リンク
忍者画像RSS
忍者AdMax
フリーエリア
