何かあっても切戻しが可能なActiveDirectoryのリプレース

はじめに

今回担当するインフラ担当の山本です
業務でActiveDirectory(AD)のリプレース作業がありましたのでそのことについて書いていきたいと思います
細かい画面やコマンドなどはより詳しく書かれたサイトがありますのでここでは割愛し、CCIのADリプレースの手順を紹介していきたいと思います

ミッション

ADのIPアドレスとホスト名を変えずにリプレースを実施すること
安心・安全であり、何かあっても切戻しが可能であること
(弊社過去にAD障害がありADにかかわる作業は相当センシティブになっております
 その当時、復旧を担当しましたが、二度とやりたくない作業です。機会があれば紹介します)

環境

現行ADサーバ(現AD-1、現AD-2)
 WindowsServer2008R2 Std
中継用サーバ(AD-3)
 WindowsServer2008R2 Std
 (上位バージョンのOSをADとして参加させると設定変更が自動的に行われるため、
  それを避けるために同一バージョンで作成する)
リプレース後AD(新AD-1、新AD-2)
 WindowsServer2012R2 Std

作業の流れ

①事前準備

中継用サーバ(AD-3):リプレース後は使用しないためディスクトップPCにWindowsサーバをインストールして構築する
リプレース後の新AD-1と新AD-2をドメインに参加させず初期設定を行う(パッチは最新にする)

②中継用サーバのドメイン参加

中継用サーバをドメイン参加させる

③中継用サーバのAD化

中継用サーバのAD機能を有効化する
*ADの情報同期には多少時間がかかる

④中継用サーバの切離し

LAN線を外し、社内ネットワーク環境から切離しを行う
FSMOの強制転送を実施する
AD-1、AD-2の情報を削除をする

⑤新AD-1のドメイン参加

新AD-1のIPとホスト名を現AD-1と同一にしてからドメイン参加させ、AD化する

⑥FSMO移管

FSMOを新AD-1に引き渡しをする
中継用サーバの降格を実施する
新ADの機能レベルが2008R2のままなので、2012R2にUPする

⑦ 新AD-2のドメイン参加

新AD-2のIPとホスト名を現AD-2と同一にしてドメイン参加させ、AD化する

⑧現ADの停止

現AD-1、現AD-2をシャットダウンする

⑨新ADへ切替

新AD-1に現AD-1、 新AD-2に現AD-2のLAN線を差し替える

稼働確認、認証確認を実施し問題なければリプレース終了

作業の流れの各ADの状態を表にすると

まとめ

前回(2003から2008R2へ)のリプレース時も同一の方法を実施していますが、特に問題は発生していません
この方法であれば、「④中継用サーバの切り離し」後は社内ネットワークとは別の環境になるため以下のメリットがあります
 ・リプレースの事前検証が何度でもできる(*都度検証用サーバと新ADの再構築は必要)
 ・現ADをシャットダウンするだけなので、リプレース当日に不具合が発生しても切戻しが楽にできる

ADリプレースで参考にしたサイト

Active Directory の移行手順 その1 【Windows Server 2008 → 2016】
 https://server-network-info.blogspot.com/2016/12/active-directory-windows-server-2008.html

Active Directory の移行手順 その2【Windows Server 2008 → 2016】
 https://server-network-info.blogspot.com/2016/12/active-directory-windows-server-2008_13.html

DC降格時にエラーがでたため参考にしたサイト
 http://miyamon-se-exp.hatenablog.jp/entry/2016/09/21/003134

FRS から DFSR への移行 (SYSVOL)
 https://blogs.technet.microsoft.com/jpntsblog/2009/12/04/frs-dfsr-sysvol/

Windows Server 2008R2 FSMO強制転送
 http://pcmemorin.blog.fc2.com/blog-entry-1321.html?sp