本ページは広告が含まれています。気になる広告をクリック頂けますと、サーバ運営費になります(^^
条件
Windows2012R2 サーバのサポート期限切れから
Windows2022サーバへのActiveDirectory引継ぎ
シングルフォレスト・シングルドメインである。
移行元のドメインコントローラーは複数あり、Windows Server 2012 R2 Standard。
ホスト名はそれぞれad1がFSMOの機能をすべて保持している。
移行先のドメインコントローラーのOSは、Windows Server 2022。
ホスト名はそれぞれtest-ad01からdc11にFSMOの機能をすべて移行する。
現行ActiveDirectoryサーバの正常性検査
PowerShell
net shareコマンドにて、 NETLOGONと、SYSVOLがshareされている事を確認
C:\Users>net share
共有名 リソース 注釈
-------------------------------------------------------------------------------
C$ C:\ Default share
IPC$ Remote IPC
ADMIN$ C:\Windows Remote Admin
CertEnroll C:\Windows\system32\CertSrv\CertEnroll
Active Directory 証明書サー...
NETLOGON C:\Windows\SYSVOL\sysvol\DNS\SCRIPTS
Logon server share
SYSVOL C:\Windows\SYSVOL\sysvol Logon server share
コマンドは正常に終了しました。複製結果の確認
PowerShellを管理者として実行し
repadmin /showrepl
を実行し各項目において 「最後の試行は成功しました」 と表示されている事
PS C:\Windows\system32> repadmin /showrepl
Repadmin: フル DC localhost に対してコマンド /showrepl を実行しています
Default-First-Site-Name\AD1
DSA オプション: IS_GC
サイト オプション: (none)
DSA オブジェクト GUID: 07e9c383-64c3-47c6-b688-00494c03fe0a
DSA 起動 ID: 38449900-beb3-440d-b90c-e83dac15c7e8
==== 入力方向の近隣サーバー======================================
DC=DNS
Default-First-Site-Name\NT1 (RPC 経由)
DSA オブジェクト GUID: 2424efbe-90a7-4275-9d63-8573207b8841
2023-07-12 15:59:15 の最後の試行は成功しました。
CN=Configuration,DC=DNS
Default-First-Site-Name\NT1 (RPC 経由)
DSA オブジェクト GUID: 2424efbe-90a7-4275-9d63-8573207b8841
2023-07-12 15:55:15 の最後の試行は成功しました。
CN=Schema,CN=Configuration,DC=DNS
Default-First-Site-Name\NT1 (RPC 経由)
DSA オブジェクト GUID: 2424efbe-90a7-4275-9d63-8573207b8841
2023-07-12 15:55:15 の最後の試行は成功しました。
DC=DomainDnsZones,DC=DNS
Default-First-Site-Name\NT1 (RPC 経由)
DSA オブジェクト GUID: 2424efbe-90a7-4275-9d63-8573207b8841
2023-07-12 15:58:50 の最後の試行は成功しました。
DC=ForestDnsZones,DC=DNS
Default-First-Site-Name\NT1 (RPC 経由)
DSA オブジェクト GUID: 2424efbe-90a7-4275-9d63-8573207b8841
2023-07-12 15:55:15 の最後の試行は成功しました。複製結果の確認
PowerShellを管理者として実行し
repadmin /syncall
エラーが出ていない事を確認
PS C:\Windows\system32> repadmin /syncall
コールバック メッセージ: 次のレプリケーションが進行中です:
レプリケーション元: 2424efbe-90a7-4275-9d63-8573207b8841._msdcs.DNS
レプリケーション先: 07e9c383-64c3-47c6-b688-00494c03fe0a._msdcs.DNS
コールバック メッセージ: 次のレプリケーションが完了しました:
レプリケーション元: 2424efbe-90a7-4275-9d63-8573207b8841._msdcs.DNS
レプリケーション先: 07e9c383-64c3-47c6-b688-00494c03fe0a._msdcs.DNS
コールバック メッセージ: SyncAll が完了しました。
SyncAll はエラーなしで終了しました。AD1、AD2がDNSサーバ
AD1,AD2ともに、DNSサーバが稼働しています。
Active Directory の複製の孤立を発生させないことです。Active Directory 統合ゾーンをご利用の場合は Active Directory の複製の孤立を防ぐために、以下の手順を実施する前に各 DC 兼 DNS サーバーの IP 設定の優先 DNS サーバーおよび代替 DNS サーバーを確認し、互いに参照し合うように設定
ドメイン コントローラーの IP アドレス変更
AD2がDHCPサーバ
AD2がAD CS
Windows Server OS にて「Active Directory 証明書サービス」という役割があります。
この機能をインストールすれば、簡単にプライベートの証明機関を構築することができます。
RADIUS認証サーバを構築するため、AD CSは、AD2サーバにインストールされている。合わせて、NPSも稼働している。NPSは、AD1でも稼働
AD1の稼働状態
AD2の稼働状態
TEST-AD1サーバをメンバーサーバにする
DNSサーバ機能をインストール
TEST-AD1に仮のIPアドレスを振る
優先DNSサーバは、AD1のIPアドレス
代替DNSサーバは、ローカル
詳細設定
システムのプロパティー → 変更
所属するグループをドメインに参加させる
この時TEST-DOMAINの認証が必要。 Domain Admins権限をもったユーザで認証する事
ドメインに参加できると、ドメインへようこそ画面が表示される
この変更にて再起動必要
以降は、ドメインユーザ権限を持っていると、そのメンバーサーバにログインできるようになる。
ドメインコントローラへ昇格
役割と機能の追加によって、「Active Directory Domain Services」 を追加します。
昇格する
既存のドメインにドメインコントローラを追加する
追加登録するドメインの権限があるユーザに変更しないと、「ユーザアカウント名を指定してください」と表示され次に進めなくなる。
レプリカの検証に失敗しました-フォレストの機能レベル
Windows2012 R2 Srv → Windows 2022 Srv へ、ドメインコントローラの移行をしようと考えています。Windows2022 Srvをドメインコントローラへ昇格する際に下記のように表示され、ドメインコントローラへ昇格できませんでした。
レプリカの検証に失敗しました。フォレストの機能レベルはサポートされていません。Windows 2022 ドメイン またはドメインコントローラーをインストールするには、フォレストの機能レベルがWindows Server 2008以上である必要があります。
ActiveDirestoryドメインと信頼関係を開く
フォレストの機能レベルの昇格
そもそもフォレストの「機能レベル」って何?
ActiveDirectoryには過去のバージョンと互換性を保つべく「機能レベル」という概念があります。機能レベルは上げることのみ可能で下げることは不可能です。
機能レベルにはドメインの機能レベルとフォレストの機能レベルがあります。ドメインの機能レベルはそのドメインのドメインコントローラとして許可される最小バージョンを意味します。
ドメインコントローラが許可される最小バージョンで、上げると戻せなくなるとの事。
現在のドメインコントローラのWindowsバージョンは2012 Standard
ドメインコントローラは2台稼働していますが、どちらも同じ構成です。なので、フォレストの機能レベルは、Windows Server 2012に上げました。
レプリカの検証に失敗しました-FSRは使用されなくなりました
レプリカの検証に失敗しました。指定したドメインは、SYSVOL共有のレプリケートにファイルレプリケーションサービス(FRS)を使用していますが、FRSは使用されなくなりました。
昇格されているサーバーはFSRをサポートしておらず、指定したドメインにレプリカとして昇格する事ができません。
続行する前に、DFRMIGコマンドを使い、指定したドメインを移行してDFSレプリケーションを使用する必要があります。
Active Directory ドメインが当初から機能レベル Windows Server 2008 以上で構成されている場合は、既定で DFSR で構成されていますが、古い環境からリプレースを行ってきた環境の場合(Windows Server 2003 の機能レベルから移行を行っている環境)では、同期方式を DFSR へ切り替えておらず、FRS のままとなっている場合があります。
その場合は、DFSR への切り替えを行う必要がありますが、まず最初に今の環境の同期方式が FRS なのかということの確認が必要になります。
net share コマンドを実行したところ、
NETLOGON C:\Windows\SYSVOL\sysvol\DNS\SCRIPTS
→ SYSVOL 部分がSYSVOL_DFSRになっていると、DFSRに切り替えられているとの事。Windows2003Srvからドメインコントローラを引き継いできているので、これがFSR方式のままになっているのが引継ぎできない原因。
Microsoft Windows [Version 6.2.9200]
(c) 2012 Microsoft Corporation. All rights reserved.
C:\Users>net share
共有名 リソース 注釈
-------------------------------------------------------------------------------
C$ C:\ Default share
IPC$ Remote IPC
ADMIN$ C:\Windows Remote Admin
CertEnroll C:\Windows\system32\CertSrv\CertEnroll
Active Directory 証明書サー...
NETLOGON C:\Windows\SYSVOL\sysvol\DNS\SCRIPTS
Logon server share
SYSVOL C:\Windows\SYSVOL\sysvol Logon server share
コマンドは正常に終了しました。DFSR利用条件
SYSVOL 複製に DFSR を利用するにはドメイン機能レベルが Windows Server 2008 以上である必要があります。
FRS から DFSR への移行 (SYSVOL)
FSR → DFSRへ移行する手順
DFSR への移行は管理者が 1 台の DC ( 可能な限り PDC ) で以下のコマンドを順に実行する事により実施されます。
dfsrmig.exe /CreateGlobalObjects
FRS から DFSR への移行 (SYSVOL)
dfsrmig.exe /SetGlobalState 1
dfsrmig.exe /SetGlobalState 2
dfsrmig.exe /SetGlobalState 3
現在正常に動作している事を確認
Windows PowerShell
Copyright (C) 2012 Microsoft Corporation. All rights reserved.
PS C:\Users> dcdiag /v
ディレクトリ サーバー診断
初期セットアップを実行しています:
ホーム サーバーの検索を試みています...
* ローカル コンピューター AD1 がディレクトリ サーバーであることを確認しています。
ホーム サーバー = AD1
* サーバー AD1 のディレクトリ サービスに接続しています。
* AD フォレストが識別されました。
Collecting AD specific global data
* サイトの情報を収集しています。AD1 はテスト ○○○○○○○ に合格しました
が出てくればOK
万一のためにシステム状態のバックアップをとっておく。USBメモリに取ろうかと思ったけど拒否られたので、USBハードディスクにとった。
C:\Users>wbadmin start systemstatebackup -backupTarget:E: -quiet
wbadmin 1.0 - バックアップ コマンド ライン ツール
(C) Copyright 2012 Microsoft Corporation. All rights reserved.
システム状態のバックアップを開始しています [2023/07/31 15:52]...
ボリューム情報を取得しています...
ボリューム システムで予約済み (350.00 MB),(C:) から E: にシステム状態をバックア
ップします。
バックアップに指定されたボリュームのシャドウ コピーを作成しています...
バックアップに指定されたボリュームのシャドウ コピーを作成しています...
バックアップするシステム状態ファイルを識別する間、しばらくお待ちください。
これには数分間かかることがあります...
(1086) 個のファイルが見つかりました。
(2460) 個のファイルが見つかりました。
(3797) 個のファイルが見つかりました。
(4415) 個のファイルが見つかりました。
(5072) 個のファイルが見つかりました。
(5814) 個のファイルが見つかりました。
(8426) 個のファイルが見つかりました。万一の場合の復元方法
復元手順 (一部のドメイン コントローラーを復元する場合)
ドメイン コントローラーのバックアップとリストアについて
復元を実施する DC に管理者権限を持つユーザーでサインインします。
[ファイル名を指定して実行] から msconfig を実行します。
[ブート] タブの [セーフ ブート] をオンにします。
[Active Directory 修復] を選択し、[OK] をクリックします。
[再起動] をクリックします。
OS が起動してきたら、ディレクトリ サービス復元モードの Administrator でサインインします。
コマンド プロンプトを起動します。
以下のコマンドを実行し、対象のバックアップの “バージョン識別子” を確認します。
FSR → DFSRへ移行
基本的にこちらの手順で行っています
Microsoft Windows [Version 6.2.9200]
(c) 2012 Microsoft Corporation. All rights reserved.
C:\Users>dfsrmig.exe /CreateGlobalObjects
DFSR の現在のグローバル状態: '開始'
成功しました。
C:\Users>dfsrmig.exe /GetGlobalState
DFSR の現在のグローバル状態: '開始'
成功しました。C:\Users>dfsrmig.exe /GetMigrationState
すべてのドメイン コントローラーがグローバル状態 ('開始') に移行しました。
移行状態が、すべてのドメイン コントローラー上で整合性のとれた状態になりました。
成功しました。C:\Users>dfsrmig.exe /SetGlobalState 1
DFSR の現在のグローバル状態: '開始'
新しい DFSR のグローバル状態: '準備完了'
'準備完了' 状態に移行します。DFSR サービスによって
SYSVOL が SYSVOL_DFSR フォルダーにコピーされ
ます。
いずれかのドメイン コントローラーで移行を開始できない場合は、手動ポーリングを試
行してください。
または、/CreateGlobalObjects オプションを指定して実行してください。
移行は 15 分から 1 時間までの任意の時点で開始されます。
成功しました。C:\Users>dfsrmig.exe /GetGlobalState
DFSR の現在のグローバル状態: '準備完了'
成功しました。dfsrmig.exe /SetGlobalState 1 処理が終わっているか確認する
C:\Users>dfsrmig.exe /GetMigrationState
次のドメイン コントローラーは、グローバル状態 ('準備完了') になっていません:
ドメイン コントローラー (ローカル移行状態) - DC の種類
===================================================
KANORIS ('開始') - Writable DC
AD2 ('開始') - Writable DC
移行状態が、すべてのドメイン コントローラー上で整合性のとれた状態にまだなってい
ません。
Active Directory ドメイン サービスの待ち時間が原因で状態の情報が最新になっていな
い可能性があります。ドメイン名一覧を取得
PS C:\Users> nltest /dclist:dns
ドメイン 'dns' の DC 一覧を '\\AD1.DNS' から取得します。
AD1.DNS [PDC] [DS] サイト: Default-First-Site-Name
KANORIS
AD2.DNS [DS] サイト: Default-First-Site-Name
コマンドは正常に完了しましたrepadminコマンドでドメイン・コントローラ間での複製状況を確認する
通信状態が正常な場合
C:\Users>repadmin /showrepl
Repadmin: フル DC localhost に対してコマンド /showrepl を実行しています
Default-First-Site-Name\AD1
DSA オプション: IS_GC
サイト オプション: (none)
DSA オブジェクト GUID: 07e9c383-64c3-47c6-b688-00494c03fe0a
DSA 起動 ID: 38449900-beb3-440d-b90c-e83dac15c7e8
==== 入力方向の近隣サーバー======================================
DC=DNS
Default-First-Site-Name\AD2 (RPC 経由)
DSA オブジェクト GUID: 2424efbe-90a7-4275-9d63-8573207b8841
2023-07-31 18:48:44 の最後の試行は成功しました。通信できない場合
C:\Users>repadmin /showrepl kanoris
次のエラーのため、repadmin で "ホーム サーバー"に接続できません。
/homeserver:[DNS 名] オプションで、別のホーム サーバーを指定してみてください。
エラー: LDAP 参照の操作が失敗しました。エラーは次のとおりです:
LDAP エラー 81(0x51): サーバーがダウンしています
サーバー Win32 エラー 0(0x0):KANORISは中々見つからなかった。
ちゃんとしたドメインコントローラなら、ntdutilsを利用すれば削除できそうなのだが、それだとドメインコントローラとして出てこない。
Active Directory ユーザーとコンピュータ
Computers の中に発見
削除しようとすると警告が出た
警告: Active Directory インストールウィザード(DCPromo)を使用せずに Active Directoryドメインサービスからドメインコントローラを削除しようとしています。AD DSドメインからドメインコントローラを適切に削除するには、削除するドメインコントローラに対して DCPromoを実行する必要があります。
ここで削除するかどうか迷ったが
「このドメインコントローラは完全いオフラインなため、Active Directory ドメインサービスインストールウィザード(DCPROMO)を使用して降格できない」
というチェックボックスがあって、まさにこれなので、ここで削除していいだろうと判断。
良かった。これで、すべてのドメインコントローラが(’準備完了’)となった
C:\Users>dfsrmig.exe /GetMigrationState
すべてのドメイン コントローラーがグローバル状態 ('準備完了') に移行しました。
移行状態が、すべてのドメイン コントローラー上で整合性のとれた状態になりました。
成功しました。SYSVOL_DFSRができている事を確認
dfsrmig.exe /SetGlobalState 2 を実行
dfsrmig.exe /SetGlobalState 2 を実行し、状態 2 (リダイレクト済み) に移行します。 ここでの処理により SYSVOL 共有がこれまでの SYSVOL から新しい SYSVOL_DFSR に切り替わります。
C:\Users>dfsrmig.exe /SetGlobalState 2
DFSR の現在のグローバル状態: '準備完了'
新しい DFSR のグローバル状態: 'リダイレクト済み'
'リダイレクト済み' 状態に移行します。SYSVOL 共有が、
DFSR を使用してレプリケートされた SYSVOL_DFSR
フォルダーに変更されます。
成功しました。C:\Users>dfsrmig.exe /GetGlobalState
DFSR の現在のグローバル状態: 'リダイレクト済み'
成功しました。C:\Users>dfsrmig.exe /GetMigrationState
すべてのドメイン コントローラーがグローバル状態 ('リダイレクト済み') に移行しま
した。
移行状態が、すべてのドメイン コントローラー上で整合性のとれた状態になりました。
成功しました。net shareを実行して、共有がSYSVOL_DFSRになっている事を確認
C:\Users\mabito>net share
共有名 リソース 注釈
-------------------------------------------------------------------------------
C$ C:\ Default share
IPC$ Remote IPC
ADMIN$ C:\Windows Remote Admin
CertEnroll C:\Windows\system32\CertSrv\CertEnroll
Active Directory 証明書サー...
NETLOGON C:\Windows\SYSVOL_DFSR\sysvol\DNS\SCRIPTS
Logon server share
SYSVOL C:\Windows\SYSVOL_DFSR\sysvol Logon server share
コマンドは正常に終了しました。dfsrmig.exe /SetGlobalState 3
C:\Users>dfsrmig.exe /SetGlobalState 3
DFSR の現在のグローバル状態: 'リダイレクト済み'
新しい DFSR のグローバル状態: '削除済み'
'削除済み' 状態に移行します。このステップを元に戻すことは
できません。
いずれかの読み取り専用ドメイン コントローラーが長時間にわたって '削除済み' 状態
になっている場合は、/DeleteRoNtfrsMember オプションを指定して実行してください。
成功しました。このコマンドを実行した後、なぜか、 /GetMigrationStateをつけて実行しようとすると
「このアプリはお使いのPCでは実行できません」
と表示されるようになってしまった。
C:\Users>dfsrmig.exe /GetMigrationState
アクセスが拒否されました。途中でWindowsUpdateを走らせちゃったからかなぁ。
とりあえず、もう一台のドメインコントローラで確認
C:\Users\mabito>dfsrmig.exe /GetMigrationState
すべてのドメイン コントローラーがグローバル状態 ('削除済み') に移行しました。
移行状態が、すべてのドメイン コントローラー上で整合性のとれた状態になりました。
成功しました。SYSVOLフォルダも削除されてる
ドメインコントローラオプション(昇格の続き)
DNSオプション
DNSサーバはインストールしてあるけど、ゾーン設定などはしてないので、ここでは何もできない。
準備オプション
ドメインコントローラ稼働確認
C:\Users>nltest /dclist:dns
ドメイン 'honden_dns' の DC 一覧を '\\TEST-AD01.DNS' から取得します。
TEST-AD01.DNS [DS] サイト: Default-First-Site-Name
AD2.DNS [DS] サイト: Default-First-Site-Name
AD1.DNS [PDC] [DS] サイト: Default-First-Site-Name
コマンドは正常に完了しました