[Admintech.jp|http://itpro.admintech.jp] > [[ADMIN TIPS|Administration TIPS]] > [[Windows Knowledge]] > [[ADMT v3.1]] [Checklist: Performing an Interforest Migration|http://technet.microsoft.com/en-us/library/cc974327.aspx] 2008/8/29 版をもとに翻訳しています !!!フォレスト間移行の実行チェックリスト フォレスト間の Active Directory ドメインの移行 (フォレスト間移行) とは、特定のフォレスト上にあるソース ドメインから他のフォレスト上にあるターゲット ドメインへのオブジェクトの移動を意味します。フォレスト間の Active Directory ドメインの再構築は、以下に述べるような理由で実施しなくてはなりません。 **パイロット ドメインを実環境に移行する **Active Directory フォレストを他の組織にある Active Directory フォレストにマージし、2 つの情報技術 (IT) インフラストラクチャを統合する !! !タスク Active Directory Migration Tool version 3.1 (ADMT v3.1) のインストール説明を確認する。 !リファレンス [Install ADMT v3.1|http://technet.microsoft.com/en-us/library/3a9e90de-8e57-42e7-b95b-669d04211c4a] !! !タスク ターゲット ドメインのドメイン コントローラが Windows Server 2008 を実行している環境に Windows 2000、Windows XP、Windows Server 2003 を実行するコンピュータを移行する場合、最初にターゲット ドメイン コントローラへ次のレジストリ キーを設定します。 **レジストリ パス: HKLM\System\CurrentControlSet\Services\Netlogon\Parameters **レジストリ値: AllowNT4Crypto **種類: REG_DWORD **データ: 1 ""ノート ""もしターゲットとなる Windows Server 2008 ドメイン コントローラでグループ ポリシーを設定できるなら、"グループ ポリシーの管理" を使用して設定を変更してください。このレジストリ設定は "Windows NT 4.0 と互換性のある暗号化アルゴリズムを許可する (Allow cryptography algorithms compatible with Windows NT 4.0 setting)" グループ ポリシーに対応しています。 !リファレンス グループ ポリシーを使用して設定変更するために追加の情報が必要であれば、[Known Issues for Installing and Removing AD DS|http://go.microsoft.com/fwlink/?LinkId=119321] をご確認ください。 ""関連部分の抜粋 ""Data Encription Standard (DES) のみをサポートするクライアントは、Windows Server 2008 を実行するドメイン コントローラに対して Netlogon によるセキュア チャネルを確立できません。その結果、Windows Deployment Service や Active Directory Migration Tool (ADMT) を実行することによる、安全ではないドメインへの参加操作は失敗します。また、マイクロソフト製でなく MD5 をサポートしない Server Message Block (SMB) や network-attached storage (NAS) デバイスは、セキュア チャネルの確立に失敗します。 ""これを回避するためには、すべてのクライアント コンピュータとドメイン コントローラを Windows 2000 またはそれ以降にアップグレードしてください。マイクロソフト製ではない SMB や NAS デバイスはベンダーに問い合わせ、MD5 をサポートするバージョンを入手してください。 ""もし DES のサポートが必要なら、Windows NT 4.0 の暗号化サポートを有効にしてください。グループ ポリシー管理スナップ インを開き、コンピュータの管理を選択し、管理テンプレートを選択し、システムを選択し、最後に Netlogon を選択します。"Windows NT 4.0 と互換性のある暗号化アルゴリズムを許可する (Allow cryptography algorithms compatible with Windows NT 4.0 setting)" を右クリックし、プロパティを選択し、有効を選択し、そして OK をクリックします。 !! !タスク いくつかの移行タスクはエージェントを展開・使用しますので、Windows Firewall を利用している場合、ファイルとプリンタの共有の例外を有効にしてください。これは次のシチュエーションの移行を含みます。 **Windows Vista もしくは Windows Server 2008 を実行するワークステーション コンピュータとメンバー サーバーの移行 **セキュリティ設定の移行やセキュリティ変換の実行 ""やまにょんメモ ""「セキュリティ変換」(原文で "Security Transration" と記載されています) における "Security" とは、要は NTFS アクセス権に絡む設定のことを示します。この設定を移行するには、ADMT のエージェントをコンピューターに送り込む必要があるので、ファイアウォールを無効にしてくださいということを、この文で示しています。このエージェントは所属するドメイン名の変更やプロファイルの移行まで実施する機能を持ってますので、結局のところコンピューター上で実施するすべての操作を行うためには、ファイアウォールを無効にし、サーバー サービスなどの一連のサービスを動作させなくてはなりません。 !リファレンス Windows Firewall の変更を実施するために追加の情報が必要であれば、[Enable or Disable the File and Printer Sharing Exception|http://go.microsoft.com/fwlink/?LinkID=119315] をご確認ください。 !! !タスク フォレスト内の Active Directory ドメインの再構築を準備します。このタスクは次のサブタスクで構成されます。 **アカウント移行プロセスを決定する ([[アカウント移行プロセスを決定する]]に訳文あり) **オブジェクトの役割と場所を割り当てる **移行のための試験計画を開発する **ロールバック手法を確立する **ユーザー、グループ、ユーザー プロファイルを管理する **ユーザーとのコミュニケーション手法を確立する !リファレンス [Install ADMT v3.1|http://technet.microsoft.com/en-us/library/3a9e90de-8e57-42e7-b95b-669d04211c4a] [Planning to Restructure Active Directory Domains Between Forests|http://technet.microsoft.com/en-us/library/01a6885b-4a33-4990-ac0f-b123d98adf36] !! !タスク ソースとターゲット ドメインを準備します。このタスクは次のサブタスクで構成されます。 **128-bit 暗号化ソフトウェアをインストールする **移行に必要な信頼関係を確立する **移行に必要なマイグレーション アカウントを作成する **セキュリティ識別子 (SID) 履歴の移行のためにソースとターゲット ドメインを設定する **ターゲット ドメインの組織単位 (OU) を構築し設定する **ターゲット ドメインに ADMT をインストールする **移行に使用するサービス アカウントを指定する !リファレンス [Install ADMT v3.1|http://technet.microsoft.com/en-us/library/3a9e90de-8e57-42e7-b95b-669d04211c4a] [Planning to Restructure Active Directory Domains Between Forests|http://technet.microsoft.com/en-us/library/01a6885b-4a33-4990-ac0f-b123d98adf36] !! !タスク サービス アカウントの有無を調査し、それを変換するには、"Service Account Migration Wizard" か ADMT コマンド ライン ツールのどちらかを使用します。ソース ドメインのサービス アカウントの調査には、"admt service" コマンド ライン ツールを使用できます。指定したサービス アカウントを変換するには、"admt user" コマンド ライン ツールを使用できます。 !リファレンス [Transitioning Service Accounts in Your Migration|http://technet.microsoft.com/en-us/library/82011d27-fdd3-4e98-af6d-bac6110c741d] ""やまにょんメモ ""このリンク先ドキュメントには Account Migration Wizard の話しか書いていないのですよね。[Plan for Service Account Transitioning|http://technet.microsoft.com/en-us/library/cc785748.aspx] (Windows Server 2003 向け) や [Chapter 11: Intraforest Migration|http://technet.microsoft.com/en-us/library/bb727124.aspx] (Windows 2000 Server 向け) を見た方がよっぽど有意義な情報が得られそうです。 !! !タスク グローバル グループを移行するには、"Group Account Migration Wizard" か "admt group" コマンド ライン ツールのどちらかを使用します。 !リファレンス [Migrating Global Groups|http://technet.microsoft.com/en-us/library/70acc31f-00a1-4278-8af2-08cac4d31362] !! !タスク 一括変換する予定の SID 履歴を伴ったユーザー アカウントと業務用端末のアカウントを移行します。ユーザー アカウントの移行には、"User Account Migration Wizard" か "admt user" コマンド ライン ツールのどちらかを使用します。 !リファレンス [Migrating Accounts While Using SID History|http://technet.microsoft.com/en-us/library/95cc8ff1-68d7-407d-abae-5db5f2f74b85] ([[SID 履歴を利用した場合のアカウントの移行]]に訳文あり) !! !タスク メンバー サーバー、ドメイン コントローラー、ドメイン ローカル グループなどのリソースを移行します。コンピュータ アカウントの移行には、"Computer Account Migration Wizard" か "admt computer" コマンド ライン ツールのどちらかを使用します。グループの移行には、"Group Account Migration Wizard" か "admt group" コマンド ライン ツールのどちらかを使用します。 !リファレンス [Migrating All User Accounts|http://technet.microsoft.com/en-us/library/7774163c-b71a-4ed8-909a-e6561d161a29] (While Using SID) [Migrating All User Accounts|http://technet.microsoft.com/en-us/library/dff26f9e-3dff-4016-9101-a8476e4c7ada] (Without SID) !! !タスク サーバーでセキュリティ変換し、ターゲット ドメインのリソース上のアクセス制御リスト (ACL) にユーザーとグループ アカウントの SID を追加します。"Security Translation Wizard" か "admt security" コマンド ライン ツールのどちらかを使用します。 !リファレンス [Translating Security in Add Mode|http://technet.microsoft.com/en-us/library/f8abbdba-a4e4-4349-8666-72ae06bdebe1] !! !タスク ユーザー アカウント、ワークステーション コンピュータ、メンバー サーバーの移行を繰り返します。同時に、移行が早すぎたユーザーとコンピュータ オブジェクトのローカル ユーザー プロファイルを変換します。 !リファレンス [Migrating Workstations and Member Servers|http://technet.microsoft.com/en-us/library/61a9ea7f-600e-4f74-bc92-66a3d57b9a1c] !! !タスク ドメイン ローカル グループの移行に、"Group Account Migration Wizard" か "admt group" コマンド ライン ツールのどちらかを使用します。 !リファレンス [Migrating Domain and Shared Local Groups|http://technet.microsoft.com/en-us/library/3360b3dc-3924-49f8-849b-f7ff24b5d401] !! !タスク ドメイン コントローラーを移行します。 !リファレンス [Migrating Domain Controllers|http://technet.microsoft.com/en-us/library/e59e39af-7c6f-4ddc-8912-be43d8ca085b] !! !タスク 移行後の処理を完了します。このタスクは次のサブタスクで構成されます。 **メンバー サーバーのセキュリティを変換する **ソース ドメインを撤去する !リファレンス [Translating Security on Your Member Servers|http://technet.microsoft.com/en-us/library/a03f9282-d499-4228-b23e-76d8ff09a306] [Decommissioning the Source Domain|http://technet.microsoft.com/en-us/library/1e9fa905-9257-4830-b9e4-307a2a3d72f9] !!!書いた人 2008 年 11 月 10 日 やまにょん作成 2008 年 11 月 11 日 やまにょん修正 (リンク先の翻訳を一部追加) 2008 年 11 月 13 日 やまにょん修正 (Security Transration とはを追加、サービス アカウント周りの誤訳を修正) 2008 年 11 月 19 日 やまにょん修正 ([[SID 履歴を利用した場合のアカウントの移行]]へのリンク追加) 2008 年 11 月 20 日 やまにょん修正 (Service Account Migration Wizard に関して追記)