
AWS入門 初心者が覚えておくべきAWSの基本
はじめまして。NTT東日本にて、パブリッククラウドのSIを担当しているチャン・佐々木と申します。
近年、BCP(事業継続計画)対策のためにクラウドを導入する企業が増えています。その中でも要望が多い、ADサーバーやファイルサーバーのパブリッククラウドへの移行について、複数回に分けてご紹介できればと思います。
オンプレミス上のADサーバーから、AWS上のADサーバーに移行します。
OS:
移行元:Windows Server 2012 R2
移行先:Windows Server 2016
まずは開設したAWSアカウントにてAWSマネージメントコンソールにアクセスしインスタンスを作成します。
今回はAD用のサーバーを2台(AZ毎に1台ずつ)作成します。
オンプレミスのネットワークとAWSが閉域接続で接続確認後、先ほど作成したAWS上のWindowsサーバーをオンプレミスの既存ドメインに参加いたします。
既存ドメインにドメイン参加後、Windowsの再起動が行われます。その後、ドメインアカウントを用いて再度ログインし直します。
(既存ドメインにて作成したドメインユーザーとそのパスワードとなります。)
AWS上に構築したADサーバーをドメインコントローラーに昇格します。
「役割と機能の追加」から「Active Directoryドメインサービス」をインストールします。
「Active Directoryドメインサービス構成ウィザード」を起動し既存ドメインのドメインコントローラーとして構成します。
構成が完了すると既存ドメインコントローラーの情報が同期されます。
複数台のドメインコントローラーが存在する場合には、ドメインコントローラーの機能提供のための情報をお互いに共有することにより、耐障害性を確保しております。その情報が正常に複製されているかを確認します。
上記コマンドを実行することにより、複製が正常に行われているか否かを確認します。
実行結果にて、最後に実行した日時と結果が表示され、「成功しました。」となっていることを確認します。
「/showrepl」オプションにて直近の実施日時を確認しましたが、念のため「/syncall」オプションにて同期を手動実行し、「SyncAllはエラーなしで終了しました。」となっていることを確認します。
ADにて重要な機能の一つであるグループポリシーの整合性が取れているかを確認します。
グループポリシーはSYSVOLフォルダに格納されていますが、そのままでは確認が行えませんので、Microsoft社が提供している純正ツール(gpo tool※)をダウンロードし展開します。※Windows Server 2003 Resource Kit Toolsは、Windows Server 2003専用ではございません。
gpo toolのダウンロードと展開が完了したらPowerShellを起動し、「Set-Location」コマンドにてカレントディレクトリーを変更します。
「.\gpotool.exe /dc:localhost /verbose」と入力、実行を行います。
実行結果にて、全項目が「Policy OK」と表示されていることを確認します。
「/a」オプションにて、実行した端末が所属するサイト内の全てのドメインコントローラーの状況を確認できます。
「/v」オプションにて、コマンドを実行したドメインコントローラーの状況を「/a」オプションよりも詳細に確認する事ができます。
「/v」は自端末のみとなるため、「/s」オプションにて対象ドメインコントローラー名を追記すると、リモートで自端末以外のドメインコントローラーの内容確認ができます。
例: dcdiag /v /s: example.local\AD1
各テストにて、「合格しました」、「Passed」表示であることを確認してください。
※/aオプションの結果抜粋
※/vオプションの実行結果抜粋
上記にてFSMO移行前の同期チェックは完了です。
オンプレミス上のADサーバーからAWS上のADサーバーに、FSMO移行を行い、操作マスターとします。
FSMOは、以下5つの機能となります。
名称 | 役割 |
---|---|
スキーマ マスター | Active Directory Databaseのスキーマを管理するマスター。 |
ドメイン名前付けマスター | フォレスト内のドメインの追加や削除を管理するマスター。 |
PDCエミュレータ | PDC(Primary Domain Controller)とはWindowsNT時代のNTドメインのユーザ情報を管理する機能となります。 NTドメインの情報を扱うためにPDCをエミュレーションする機能がPDCエミュレータです。 |
RIDマスター | RID(Relative ID)と呼ばれるセキュリティIDの割り当てプールを管理するマスター。 |
インフラストラクチャマスター | グループに含まれるユーザー等のドメインの構造を管理するマスター。 |
PowerShellにて「ActiveDirectoryスキーマ」を起動します。
「regsvr32 schmmgmt.dll」と入力します。
「mmc.exe」を実行し管理コンソールを起動します。
「ファイル」→「スナップインの追加と削除」をクリックします。
「スナップインの追加と削除」にて「ActiveDirectoryスキーマ」を選択し「追加」をクリックします。
管理コンソールの左ペインに「Active Directoryスキーマ」が追加されますので、右クリックし「Active Directory ドメインコントローラーの変更」をクリックします。
ディレクトリサーバーの変更画面が表示されたら「次のドメインコントローラーまたはAD LDSインスタンス」を選択し、スキーママスターの役割を移行するドメインコントローラーにAWS上のADサーバーを選択し「OK」をクリックします。
下記ダイアログが表示されますが、そのまま「OK」をクリックしてください。
※スキーママスターの役割をオンプレミス上のADサーバーが保持した状態で、AWS上のADサーバーに管理コンソールが接続したため表示された注意。
管理コンソール画面に戻りましたら、左ペインの表示がオンプレミス上のADサーバーからAWS上のADサーバーに変更されていることを確認し、右クリックメニューから「操作マスター」をクリックします。
スキーママスターの変更画面が表示されるので「現在のスキーママスター」が「オンプレミス上のADサーバー」に、転送先が「AWS上のADサーバー」になっていることを確認し「変更」をクリックします。
確認ダイアログと完了ダイアログが表示されますので、「はい」と「OK」をクリックします。
「現在のスキーママスター(オンライン)」の項目が「AWS上のADサーバー」(AD2)に変わったことを確認します。
Windows管理ツールから「Active Directoryドメインと信頼関係」を起動します。
左ペインに「オンプレミス上のADサーバー」が表示されていることを確認し右クリックします。
右クリックメニューにて「Active Directoryドメインコントローラーの変更」をクリックします。
ディレクトリサーバーの変更画面が表示されたら「次のドメインコントローラーまたはAD LDSインスタンス」を選択し、スキーママスターの役割を移行するドメインコントローラー「AWS上のADサーバー」を選択し「OK」をクリックします。
左ペインの表示がAWS上のADサーバーに変わったことを確認し右クリックします。
右クリックメニューにて「操作マスター」をクリックします。
操作マスター画面が表示されるので「現在のスキーママスター」がオンプレミス上のADサーバーに、転送先がAWS上のADサーバーになっていることを確認し「変更」をクリックします。
確認ダイアログと完了ダイアログが表示されますので「はい」と「OK」をクリックします。
「現在のスキーママスター(オンライン)」の項目が「AWS上のADサーバー」(AD2)に変わったことを確認します。
Windows管理ツールからActive Directoryユーザーとコンピュータを起動します。
左ペインの「Active Directoryユーザーとコンピュータ」を右クリックして「すべてのタスク」→「操作マスター」をクリックします。
操作マスター画面が表示されたら「RID」タブであることを確認し「操作マスター」がオンプレミス上のADサーバー、転送先がAWS上のADサーバーになっていることを確認し「変更」をクリックします。
確認ダイアログと完了ダイアログが表示されますので「はい」と「OK」をクリックします。
操作マスター画面に戻るので「操作マスター」がAWS上のADサーバーになっていることを確認し「PDC」タブをクリックします。
「PDC」タブであることを確認し「操作マスター」がオンプレミス上のADサーバー、転送先がAWS上のADサーバーになっていることを確認し「変更」をクリックします。
確認ダイアログと完了ダイアログが表示されますので「はい」と「OK」をクリックします。
操作マスター画面に戻るので「操作マスター」がAWS上のADサーバーになっていることを確認し「インフラストラクチャ」タブをクリックします。
「インフラストラクチャ」タブであることを確認し「操作マスター」がオンプレミス上のADサーバー、転送先がAWS上のADサーバーになっていることを確認し「変更」をクリックします。
確認ダイアログと完了ダイアログが表示されますので「はい」と「OK」をクリックします。
操作マスター画面に戻るので「操作マスター」がAWS上のADサーバーになっていることを確認し「閉じる」をクリックします。
下図赤枠内がAWS上のADサーバーとなっていることを確認します。
以上で、AWS上のADサーバーへの移行が完了となります。
ここまで下記項目を実施いたしました。
AD移行時には必ずオンプレミスとAWS上のサーバーが正常に同期されていることを確認後、FSMO転送することが重要となります。
次回はお客様の要望が多い、ファイルサーバーのデータ移行に関してご紹介しますので、お楽しみに!
ファイルサーバーなど、AWS導入の入門的な情報システムのクラウド化を検討される場合には、ストレージ以外にも理解しておくべきことがあります。以下のコラムもご参照ください。
AWSの各サービスは構築する情報システムによって利用適性が異なります。実際の構築にあたってはクラウド導入・運用支援事業者が提供している支援サービスを活用することで、自社の検討・構築・運用工数の削減が期待できます。
クラウド導入の社内説得前にチェックシートで
障害対応のポイントを確認する!
クラウド導入の社内説得前にチェックシートで
導入のポイントを確認する!
AWSの4つのファイルサーバー構成を月額料金で比較する!
肥大するファイルサーバー。
クラウド活用した現代のファイルサーバー4つの構成で検討する!