オンプレミスのADサーバーとファイルサーバーをAWS上に移行してみた(第1回:ADサーバーの移行)

はじめまして。NTT東日本にて、パブリッククラウドのSIを担当しているチャン・佐々木と申します。
近年、BCP(事業継続計画)対策のためにクラウドを導入する企業が増えています。その中でも要望が多い、ADサーバーやファイルサーバーのパブリッククラウドへの移行について、複数回に分けてご紹介できればと思います。

  • 第1回:ADサーバー移行
  • 第2回:ファイルサーバーのデータ移行

構成図/環境スペック

構成図

オンプレミス上のADサーバーから、AWS上のADサーバーに移行します。

環境スペック

OS:

移行元:Windows Server 2012 R2

移行先:Windows Server 2016

AWS上にADサーバー(Windows)構築

まずは開設したAWSアカウントにてAWSマネージメントコンソールにアクセスしインスタンスを作成します。
今回はAD用のサーバーを2台(AZ毎に1台ずつ)作成します。

AWS上のADサーバーを既存ドメインに参加

オンプレミスのネットワークとAWSが閉域接続で接続確認後、先ほど作成したAWS上のWindowsサーバーをオンプレミスの既存ドメインに参加いたします。
既存ドメインにドメイン参加後、Windowsの再起動が行われます。その後、ドメインアカウントを用いて再度ログインし直します。
(既存ドメインにて作成したドメインユーザーとそのパスワードとなります。)

AWS上のADサーバーをドメインコントローラーに昇格

AWS上に構築したADサーバーをドメインコントローラーに昇格します。
「役割と機能の追加」から「Active Directoryドメインサービス」をインストールします。

「Active Directoryドメインサービス構成ウィザード」を起動し既存ドメインのドメインコントローラーとして構成します。

構成が完了すると既存ドメインコントローラーの情報が同期されます。

AWS上のADサーバーとオンプレミスのADサーバーの同期確認

net shareコマンドにて共有の確認

複数台のドメインコントローラーが存在する場合には、ドメインコントローラーの機能提供のための情報をお互いに共有することにより、耐障害性を確保しております。その情報が正常に複製されているかを確認します。

  • PowerShellを起動し「net share」コマンドを実行します。
  • 「NETLOGON」フォルダと「SYSVOL」フォルダが存在していれば正常です。

repadmin /showreplコマンドにて複製結果の確認

上記コマンドを実行することにより、複製が正常に行われているか否かを確認します。
実行結果にて、最後に実行した日時と結果が表示され、「成功しました。」となっていることを確認します。

repadmin /syncallコマンドにて複製を実施し正常に行われるか確認

「/showrepl」オプションにて直近の実施日時を確認しましたが、念のため「/syncall」オプションにて同期を手動実行し、「SyncAllはエラーなしで終了しました。」となっていることを確認します。

gpo toolにてグループポリシーの整合性確認

ADにて重要な機能の一つであるグループポリシーの整合性が取れているかを確認します。

グループポリシーはSYSVOLフォルダに格納されていますが、そのままでは確認が行えませんので、Microsoft社が提供している純正ツール(gpo tool※)をダウンロードし展開します。※Windows Server 2003 Resource Kit Toolsは、Windows Server 2003専用ではございません。

gpo toolのダウンロードと展開が完了したらPowerShellを起動し、「Set-Location」コマンドにてカレントディレクトリーを変更します。

「.\gpotool.exe /dc:localhost /verbose」と入力、実行を行います。
実行結果にて、全項目が「Policy OK」と表示されていることを確認します。

dcdiagコマンドにてドメインコントローラーの状況確認

「/a」オプションにて、実行した端末が所属するサイト内の全てのドメインコントローラーの状況を確認できます。
「/v」オプションにて、コマンドを実行したドメインコントローラーの状況を「/a」オプションよりも詳細に確認する事ができます。
「/v」は自端末のみとなるため、「/s」オプションにて対象ドメインコントローラー名を追記すると、リモートで自端末以外のドメインコントローラーの内容確認ができます。
例: dcdiag /v /s: example.local\AD1
各テストにて、「合格しました」、「Passed」表示であることを確認してください。
※/aオプションの結果抜粋

※/vオプションの実行結果抜粋

ntdsutilコマンドにてFSMOとしての機能をオンプレミス上のADサーバーが所持していることを確認。

上記にてFSMO移行前の同期チェックは完了です。

FSMO転送にて、AWS上のADサーバーを操作マスターへ

オンプレミス上のADサーバーからAWS上のADサーバーに、FSMO移行を行い、操作マスターとします。
FSMOは、以下5つの機能となります。

名称 役割
スキーマ マスター Active Directory Databaseのスキーマを管理するマスター。
ドメイン名前付けマスター フォレスト内のドメインの追加や削除を管理するマスター。
PDCエミュレータ PDC(Primary Domain Controller)とはWindowsNT時代のNTドメインのユーザ情報を管理する機能となります。
NTドメインの情報を扱うためにPDCをエミュレーションする機能がPDCエミュレータです。
RIDマスター RID(Relative ID)と呼ばれるセキュリティIDの割り当てプールを管理するマスター。
インフラストラクチャマスター グループに含まれるユーザー等のドメインの構造を管理するマスター。
スキーマ マスターの移行

PowerShellにて「ActiveDirectoryスキーマ」を起動します。
「regsvr32 schmmgmt.dll」と入力します。

「mmc.exe」を実行し管理コンソールを起動します。

「ファイル」→「スナップインの追加と削除」をクリックします。

「スナップインの追加と削除」にて「ActiveDirectoryスキーマ」を選択し「追加」をクリックします。

管理コンソールの左ペインに「Active Directoryスキーマ」が追加されますので、右クリックし「Active Directory ドメインコントローラーの変更」をクリックします。

ディレクトリサーバーの変更画面が表示されたら「次のドメインコントローラーまたはAD LDSインスタンス」を選択し、スキーママスターの役割を移行するドメインコントローラーにAWS上のADサーバーを選択し「OK」をクリックします。

下記ダイアログが表示されますが、そのまま「OK」をクリックしてください。
※スキーママスターの役割をオンプレミス上のADサーバーが保持した状態で、AWS上のADサーバーに管理コンソールが接続したため表示された注意。

管理コンソール画面に戻りましたら、左ペインの表示がオンプレミス上のADサーバーからAWS上のADサーバーに変更されていることを確認し、右クリックメニューから「操作マスター」をクリックします。

スキーママスターの変更画面が表示されるので「現在のスキーママスター」が「オンプレミス上のADサーバー」に、転送先が「AWS上のADサーバー」になっていることを確認し「変更」をクリックします。

確認ダイアログと完了ダイアログが表示されますので、「はい」と「OK」をクリックします。

「現在のスキーママスター(オンライン)」の項目が「AWS上のADサーバー」(AD2)に変わったことを確認します。

ドメイン名前付けマスターの移行

Windows管理ツールから「Active Directoryドメインと信頼関係」を起動します。

左ペインに「オンプレミス上のADサーバー」が表示されていることを確認し右クリックします。

右クリックメニューにて「Active Directoryドメインコントローラーの変更」をクリックします。

ディレクトリサーバーの変更画面が表示されたら「次のドメインコントローラーまたはAD LDSインスタンス」を選択し、スキーママスターの役割を移行するドメインコントローラー「AWS上のADサーバー」を選択し「OK」をクリックします。

左ペインの表示がAWS上のADサーバーに変わったことを確認し右クリックします。

右クリックメニューにて「操作マスター」をクリックします。

操作マスター画面が表示されるので「現在のスキーママスター」がオンプレミス上のADサーバーに、転送先がAWS上のADサーバーになっていることを確認し「変更」をクリックします。

確認ダイアログと完了ダイアログが表示されますので「はい」と「OK」をクリックします。

「現在のスキーママスター(オンライン)」の項目が「AWS上のADサーバー」(AD2)に変わったことを確認します。

PDCエミュレータ、RIDマスター、インフラストラクチャマスターの移行

Windows管理ツールからActive Directoryユーザーとコンピュータを起動します。

左ペインの「Active Directoryユーザーとコンピュータ」を右クリックして「すべてのタスク」→「操作マスター」をクリックします。

操作マスター画面が表示されたら「RID」タブであることを確認し「操作マスター」がオンプレミス上のADサーバー、転送先がAWS上のADサーバーになっていることを確認し「変更」をクリックします。

確認ダイアログと完了ダイアログが表示されますので「はい」と「OK」をクリックします。

操作マスター画面に戻るので「操作マスター」がAWS上のADサーバーになっていることを確認し「PDC」タブをクリックします。

「PDC」タブであることを確認し「操作マスター」がオンプレミス上のADサーバー、転送先がAWS上のADサーバーになっていることを確認し「変更」をクリックします。

確認ダイアログと完了ダイアログが表示されますので「はい」と「OK」をクリックします。

操作マスター画面に戻るので「操作マスター」がAWS上のADサーバーになっていることを確認し「インフラストラクチャ」タブをクリックします。

「インフラストラクチャ」タブであることを確認し「操作マスター」がオンプレミス上のADサーバー、転送先がAWS上のADサーバーになっていることを確認し「変更」をクリックします。

確認ダイアログと完了ダイアログが表示されますので「はい」と「OK」をクリックします。

操作マスター画面に戻るので「操作マスター」がAWS上のADサーバーになっていることを確認し「閉じる」をクリックします。

ntdsutilコマンドにてFSMOとしての機能をAWS上のADサーバーが所持していることを確認

下図赤枠内がAWS上のADサーバーとなっていることを確認します。

以上で、AWS上のADサーバーへの移行が完了となります。

まとめ・次回予告

ここまで下記項目を実施いたしました。

  • AWS上にADサーバー(Windows)構築
  • AWS上のADサーバーを既存ドメインに参加
  • AWS上のADサーバーをドメインコントローラーに昇格
  • AWS上のADサーバーとオンプレミスのADサーバーの同期確認
  • FSMO転送にてAWS上のADサーバーを操作マスターとする
重要なポイント

AD移行時には必ずオンプレミスとAWS上のサーバーが正常に同期されていることを確認後、FSMO転送することが重要となります。

次回はお客様の要望が多い、ファイルサーバーのデータ移行に関してご紹介しますので、お楽しみに!

移行準備段階で知っておくべきAmazon Web Servicesの
サービスを学び、具体的にクラウド検討を考える!

クラウド移行を活用した重要システム環境の見直しをしてみましょう!

Amazon Web Services(AWS)、Microsoft Azureの
導入支援サービスのご相談、お問い合わせをお待ちしております。

ページ上部へ戻る