NTT東日本「AWS Cloud Express Roadshow 2019 in 札幌」レポート
NTT東日本「AWS Cloud Express Roadshow 2019 in 札幌」の、AWSおよびNTT東日本のセッション模様をレポートさせていただきます。
COLUMN
オンプレミスのADサーバーとファイルサーバーをAWS上に移行してみた(第1回:ADサーバーの移行)
はじめまして。NTT東日本にて、パブリッククラウドのSIを担当しているチャン・佐々木と申します。
近年、BCP(事業継続計画)対策のためにクラウドを導入する企業が増えています。その中でも要望が多い、ADサーバーやファイルサーバーのパブリッククラウドへの移行について、複数回に分けてご紹介できればと思います。
- 第1回:ADサーバー移行
- 第2回:ファイルサーバーのデータ移行
構成図/環境スペック
構成図
オンプレミス上のADサーバーから、AWS上のADサーバーに移行します。
環境スペック
OS:
移行元:Windows Server 2012 R2
移行先:Windows Server 2016
AWS上にADサーバー(Windows)構築
まずは開設したAWSアカウントにてAWSマネージメントコンソールにアクセスしインスタンスを作成します。
今回はAD用のサーバーを2台(AZ毎に1台ずつ)作成します。
AWS上のADサーバーを既存ドメインに参加
オンプレミスのネットワークとAWSが閉域接続で接続確認後、先ほど作成したAWS上のWindowsサーバーをオンプレミスの既存ドメインに参加いたします。
既存ドメインにドメイン参加後、Windowsの再起動が行われます。その後、ドメインアカウントを用いて再度ログインし直します。
(既存ドメインにて作成したドメインユーザーとそのパスワードとなります。)
AWS上のADサーバーをドメインコントローラーに昇格
AWS上に構築したADサーバーをドメインコントローラーに昇格します。
「役割と機能の追加」から「Active Directoryドメインサービス」をインストールします。
「Active Directoryドメインサービス構成ウィザード」を起動し既存ドメインのドメインコントローラーとして構成します。
構成が完了すると既存ドメインコントローラーの情報が同期されます。
AWS上のADサーバーとオンプレミスのADサーバーの同期確認
net shareコマンドにて共有の確認
複数台のドメインコントローラーが存在する場合には、ドメインコントローラーの機能提供のための情報をお互いに共有することにより、耐障害性を確保しております。その情報が正常に複製されているかを確認します。
- PowerShellを起動し「net share」コマンドを実行します。
- 「NETLOGON」フォルダと「SYSVOL」フォルダが存在していれば正常です。
repadmin /showreplコマンドにて複製結果の確認
上記コマンドを実行することにより、複製が正常に行われているか否かを確認します。
実行結果にて、最後に実行した日時と結果が表示され、「成功しました。」となっていることを確認します。
repadmin /syncallコマンドにて複製を実施し正常に行われるか確認
「/showrepl」オプションにて直近の実施日時を確認しましたが、念のため「/syncall」オプションにて同期を手動実行し、「SyncAllはエラーなしで終了しました。」となっていることを確認します。
gpo toolにてグループポリシーの整合性確認
ADにて重要な機能の一つであるグループポリシーの整合性が取れているかを確認します。
グループポリシーはSYSVOLフォルダに格納されていますが、そのままでは確認が行えませんので、Microsoft社が提供している純正ツール(gpo tool※)をダウンロードし展開します。※Windows Server 2003 Resource Kit Toolsは、Windows Server 2003専用ではございません。
gpo toolのダウンロードと展開が完了したらPowerShellを起動し、「Set-Location」コマンドにてカレントディレクトリーを変更します。
「.\gpotool.exe /dc:localhost /verbose」と入力、実行を行います。
実行結果にて、全項目が「Policy OK」と表示されていることを確認します。
dcdiagコマンドにてドメインコントローラーの状況確認
「/a」オプションにて、実行した端末が所属するサイト内の全てのドメインコントローラーの状況を確認できます。
「/v」オプションにて、コマンドを実行したドメインコントローラーの状況を「/a」オプションよりも詳細に確認する事ができます。
「/v」は自端末のみとなるため、「/s」オプションにて対象ドメインコントローラー名を追記すると、リモートで自端末以外のドメインコントローラーの内容確認ができます。
例: dcdiag /v /s: example.local\AD1
各テストにて、「合格しました」、「Passed」表示であることを確認してください。
※/aオプションの結果抜粋
※/vオプションの実行結果抜粋
ntdsutilコマンドにてFSMOとしての機能をオンプレミス上のADサーバーが所持していることを確認。
上記にてFSMO移行前の同期チェックは完了です。
FSMO転送にて、AWS上のADサーバーを操作マスターへ
オンプレミス上のADサーバーからAWS上のADサーバーに、FSMO移行を行い、操作マスターとします。
FSMOは、以下5つの機能となります。
| 名称 | 役割 |
|---|---|
| スキーマ マスター | Active Directory Databaseのスキーマを管理するマスター。 |
| ドメイン名前付けマスター | フォレスト内のドメインの追加や削除を管理するマスター。 |
| PDCエミュレータ | PDC(Primary Domain Controller)とはWindowsNT時代のNTドメインのユーザ情報を管理する機能となります。 NTドメインの情報を扱うためにPDCをエミュレーションする機能がPDCエミュレータです。 |
| RIDマスター | RID(Relative ID)と呼ばれるセキュリティIDの割り当てプールを管理するマスター。 |
| インフラストラクチャマスター | グループに含まれるユーザー等のドメインの構造を管理するマスター。 |
スキーマ マスターの移行
PowerShellにて「ActiveDirectoryスキーマ」を起動します。
「regsvr32 schmmgmt.dll」と入力します。
「mmc.exe」を実行し管理コンソールを起動します。
「ファイル」→「スナップインの追加と削除」をクリックします。
「スナップインの追加と削除」にて「ActiveDirectoryスキーマ」を選択し「追加」をクリックします。
管理コンソールの左ペインに「Active Directoryスキーマ」が追加されますので、右クリックし「Active Directory ドメインコントローラーの変更」をクリックします。
ディレクトリサーバーの変更画面が表示されたら「次のドメインコントローラーまたはAD LDSインスタンス」を選択し、スキーママスターの役割を移行するドメインコントローラーにAWS上のADサーバーを選択し「OK」をクリックします。
下記ダイアログが表示されますが、そのまま「OK」をクリックしてください。
※スキーママスターの役割をオンプレミス上のADサーバーが保持した状態で、AWS上のADサーバーに管理コンソールが接続したため表示された注意。
管理コンソール画面に戻りましたら、左ペインの表示がオンプレミス上のADサーバーからAWS上のADサーバーに変更されていることを確認し、右クリックメニューから「操作マスター」をクリックします。
スキーママスターの変更画面が表示されるので「現在のスキーママスター」が「オンプレミス上のADサーバー」に、転送先が「AWS上のADサーバー」になっていることを確認し「変更」をクリックします。
確認ダイアログと完了ダイアログが表示されますので、「はい」と「OK」をクリックします。
「現在のスキーママスター(オンライン)」の項目が「AWS上のADサーバー」(AD2)に変わったことを確認します。
ドメイン名前付けマスターの移行
Windows管理ツールから「Active Directoryドメインと信頼関係」を起動します。
左ペインに「オンプレミス上のADサーバー」が表示されていることを確認し右クリックします。
右クリックメニューにて「Active Directoryドメインコントローラーの変更」をクリックします。
ディレクトリサーバーの変更画面が表示されたら「次のドメインコントローラーまたはAD LDSインスタンス」を選択し、スキーママスターの役割を移行するドメインコントローラー「AWS上のADサーバー」を選択し「OK」をクリックします。
左ペインの表示がAWS上のADサーバーに変わったことを確認し右クリックします。
右クリックメニューにて「操作マスター」をクリックします。
操作マスター画面が表示されるので「現在のスキーママスター」がオンプレミス上のADサーバーに、転送先がAWS上のADサーバーになっていることを確認し「変更」をクリックします。
確認ダイアログと完了ダイアログが表示されますので「はい」と「OK」をクリックします。
「現在のスキーママスター(オンライン)」の項目が「AWS上のADサーバー」(AD2)に変わったことを確認します。
PDCエミュレータ、RIDマスター、インフラストラクチャマスターの移行
Windows管理ツールからActive Directoryユーザーとコンピュータを起動します。
左ペインの「Active Directoryユーザーとコンピュータ」を右クリックして「すべてのタスク」→「操作マスター」をクリックします。
操作マスター画面が表示されたら「RID」タブであることを確認し「操作マスター」がオンプレミス上のADサーバー、転送先がAWS上のADサーバーになっていることを確認し「変更」をクリックします。
確認ダイアログと完了ダイアログが表示されますので「はい」と「OK」をクリックします。
操作マスター画面に戻るので「操作マスター」がAWS上のADサーバーになっていることを確認し「PDC」タブをクリックします。
「PDC」タブであることを確認し「操作マスター」がオンプレミス上のADサーバー、転送先がAWS上のADサーバーになっていることを確認し「変更」をクリックします。
確認ダイアログと完了ダイアログが表示されますので「はい」と「OK」をクリックします。
操作マスター画面に戻るので「操作マスター」がAWS上のADサーバーになっていることを確認し「インフラストラクチャ」タブをクリックします。
「インフラストラクチャ」タブであることを確認し「操作マスター」がオンプレミス上のADサーバー、転送先がAWS上のADサーバーになっていることを確認し「変更」をクリックします。
確認ダイアログと完了ダイアログが表示されますので「はい」と「OK」をクリックします。
操作マスター画面に戻るので「操作マスター」がAWS上のADサーバーになっていることを確認し「閉じる」をクリックします。
ntdsutilコマンドにてFSMOとしての機能をAWS上のADサーバーが所持していることを確認
下図赤枠内がAWS上のADサーバーとなっていることを確認します。
以上で、AWS上のADサーバーへの移行が完了となります。
まとめ・次回予告
ここまで下記項目を実施いたしました。
- AWS上にADサーバー(Windows)構築
- AWS上のADサーバーを既存ドメインに参加
- AWS上のADサーバーをドメインコントローラーに昇格
- AWS上のADサーバーとオンプレミスのADサーバーの同期確認
- FSMO転送にてAWS上のADサーバーを操作マスターとする
重要なポイント
AD移行時には必ずオンプレミスとAWS上のサーバーが正常に同期されていることを確認後、FSMO転送することが重要となります。
次回はお客様の要望が多い、ファイルサーバーのデータ移行に関してご紹介しますので、お楽しみに!
AWS導入に向けて他に知っておくべきこと
ファイルサーバーなど、AWS導入の入門的な情報システムのクラウド化を検討される場合には、ストレージ以外にも理解しておくべきことがあります。以下のコラムもご参照ください。
- AWSでのLinuxサーバー構築について学びたい方はこちらから
AWSでサーバーを構築するために理解すべき手順とポイント - AWSでのWindowsサーバー構築について学びたい方はこちらから
AWS上にWindows Serverを構築する7つのステップ - AWSでのストレージ構築について学びたい方はこちらから
ファイルサーバー構築ならどれ?4つのAWSストレージサービスを比較・解説 - AWSでのネットワーク構築について学びたい方はこちらから
AWSのネットワークを構築する!押さえておきたいポイントを解説 - AWSでのID管理について学びたい方はこちらから
【AWS】IAMのスイッチロールの設定方法 - ネットワーク経由でのデータ移行について学びたい方はこちらから
オンプレミスのADサーバーとファイルサーバーをAWS上に移行してみた(第2回:ファイルサーバーのデータ移行について) - AWSのデータ移行サービスでの移行について学びたい方はこちらから
AWS Snowballを使ってみた
AWSの各サービスは構築する情報システムによって利用適性が異なります。実際の構築にあたってはクラウド導入・運用支援事業者が提供している支援サービスを活用することで、自社の検討・構築・運用工数の削減が期待できます。
- はじめてのクラウド導入や社内ファイル共有環境のクラウド化を検討されている方向け
はじめてのクラウドはファイルサーバーから
クラウド導入の社内説得前にチェックシートで
障害対応のポイントを確認する!
クラウド導入の社内説得前にチェックシートで
導入のポイントを確認する!
AWSの4つのファイルサーバー構成を月額料金で比較する!
肥大するファイルサーバー。
クラウド活用した現代のファイルサーバー4つの構成で検討する!
無料ダウンロード
自社のクラウド導入に必要な知識、ポイントを
この1冊に総まとめ!
あなたはクラウド化の
何の情報を知りたいですか?
- そもそも自社は本当にクラウド化すべき?オンプレとクラウドの違いは?
- 【AWS・Azure・Google Cloud】
どれが自社に最もマッチするの? - 情シス担当者の負荷を減らしてコストを軽減するクラウド化のポイントは?
- 自社のクラウド導入を実現するまでの具体的な流れ・検討する順番は?
初めての自社クラウド導入、
わからないことが多く困ってしまいますよね。
NTT東日本では
そんなあなたにクラウド導入に必要な情報を
1冊の冊子にまとめました!
クラウド化のポイントを知らずに導入を進めると、以下のような事になってしまうことも・・・
- システムインフラの維持にかかるトータルコストがあまり変わらない。。
- 情シス担当者の負担が減らない。。
- セキュリティ性・速度など、クラウド期待する効果を十分に享受できない。。
理想的なクラウド環境を実現するためにも、
最低限の4つのポイントを
抑えておきたいところです。
-
そもそも”クラウド化”とは?
その本質的なメリット・デメリット - 自社にとって
最適なクラウド環境構築のポイント - コストを抑えるための
具体的なコツ - 既存環境からスムーズにクラウド化を
実現するためのロードマップ
など、この1冊だけで自社のクラウド化のポイントが簡単に理解できます。
またNTT東日本でクラウド化を実現し
問題を解決した事例や、
導入サポートサービスも掲載しているので、
ぜひダウンロードして読んでみてください。
クラウドのわからない・
面倒でお困りのあなたへクラウドのご相談できます!
面倒でお困りのあなたへ
クラウドのご相談できます!
無料オンライン相談窓口
NTT東日本なら貴社のクラウド導入設計から
ネットワーク環境構築・セキュリティ・運用まで
”ワンストップ支援”が可能です!
NTT東日本が選ばれる5つの理由
- クラウド導入を
0からワンストップでサポート可能! - 全体最適におけるコスト効率・業務効率の改善を
中立的にご提案 - クラウド環境に問題がないか、
第3者目線でチェック
してもらいたい - 安心の24時間・365日の対応・保守
- NTT東日本が保有する豊富なサービスの組み合わせで
”課題解決”と”コスト軽減”を両立
特に以下に当てはまる方はお気軽に
ご相談ください。
- さまざまな種類やクラウド提供事業者があってどれが自社に適切かわからない
- オンプレミスのままがよいのか、クラウド移行すべきなのか、迷っている
- オンプレミスとクラウド移行した際のコスト比較を行いたい
- AWSとAzure、どちらのクラウドが自社に適切かわからない
- クラウド環境に問題がないか、第3者目線でチェックしてもらいたい
- クラウド利用中、ネットワークの速度が遅くて業務に支障がでている
クラウドを熟知するプロが、クラウド導入におけるお客さまのLAN 環境や接続ネットワーク、
クラウドサービスまでトータルにお客さまのお悩みや課題の解決をサポートします。
相談無料!プロが中立的にアドバイスいたします
クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。