Windows Server 2012 R2からWindows Server 2022へのActive Directory移行は、次世代セキュリティや新機能を取り入れ、企業のITインフラの安定性と信頼性を向上させるために大きな意味があります。本記事では、移行をスムーズに進めるための事前準備から具体的な手順、さらに移行後の最適化までを詳しく解説します。ぜひ参考にして、安心かつ効率的に移行を進めてください。
Windows Server 2012 R2から2022へのActive Directory移行とは
Windows Server 2012 R2はリリースから長い年月が経過しており、セキュリティやサポートの面で最新の機能が活かせなくなりつつあります。一方、Windows Server 2022はクラウド環境との親和性やセキュリティ機能の強化が図られており、今後のITインフラを支える上で非常に有用です。
Active Directory(以下AD)は企業のユーザー管理やリソース管理の中核を担っており、その移行には慎重な計画が必要です。ドメインやフォレストの機能レベル、グループポリシーの互換性、さらにはアプリケーションやファイルサーバーとの連携など、多角的に検証しながら移行を進めることで、ビジネスへの影響を最小限に抑えることができます。
移行前の事前準備
移行の成否は、事前準備がどれだけ入念に行われるかにかかっています。以下に代表的なチェックポイントをまとめました。
ハードウェア要件の確認
Windows Server 2022を導入するには、サーバーのCPUアーキテクチャやメモリ、ストレージなどがMicrosoftの推奨要件を満たしている必要があります。特にドメインコントローラーを運用する場合は、ディスクI/O性能や冗長化構成も考慮すると安心です。
| 項目 | Windows Server 2012 R2 | Windows Server 2022 |
|---|---|---|
| CPU | 64ビットアーキテクチャ (1.4GHz以上) | 64ビットアーキテクチャ (1.4GHz以上推奨、複数コア推奨) |
| メモリ | 最低512MB (推奨4GB以上) | 最低512MB (推奨8GB以上) |
| ストレージ | 最小32GB | 最小32GB (推奨64GB以上) |
ソフトウェア互換性の確認
既存の社内アプリケーションやサービスが、Windows Server 2022で問題なく動作するかどうか事前検証を行いましょう。特にLDAPやKerberosを利用するアプリケーション、サードパーティ製の監査ログ取得ツールなどは事前テストが欠かせません。
移行ツールの選定
ADのオブジェクトを移行する際には、Microsoftが提供するActive Directory Migration Tool (ADMT)がよく利用されます。ADMTを使うと、ユーザーやグループ、コンピューターオブジェクトを一括で移動でき、SIDHistoryによって旧環境でのアクセス権を維持したまま移行可能です。
ただし、環境によってはサードパーティ製のツールを選択したほうが柔軟性が高い場合もあります。たとえば複数フォレスト間の大規模移行や、特殊な属性を持つユーザーオブジェクトを移行する場合は、機能やライセンス面も比較検討してみてください。
権限とアクセス制御の見直し
移行作業を実行するアカウントは、ドメイン管理者レベルの権限を持っている必要があります。また、移行前にはグループポリシーやOUの委任設定など、複雑化している権限設定を整理しておくと、トラブルを回避しやすくなります。不要なアカウントやセキュリティグループを整理する絶好の機会にもなるため、移行計画と同時に権限の棚卸しを行うことをおすすめします。
移行手順
ここからは、実際の移行作業の流れを具体的に見ていきましょう。以下のステップは一般的な例であり、環境によっては若干の変更や追加が必要になる場合があります。
1. OU構造とグループポリシーの再設計
OU構造は組織の規模やセキュリティ要件によって大きく異なります。移行を機に、不要なOUや複雑化し過ぎた階層構造を整理しやすくなります。加えて、グループポリシーも従来の設定を踏襲するだけでなく、見直しや統合を行うと運用管理が楽になります。
- OU名の命名規則を明確化し、将来の組織変更にも対応しやすい形にする
- グループポリシー(GPO)の整理: 同じポリシーが重複していないか、適用範囲が適切かをチェック
- テンプレート化: よく使うGPOや設定はテンプレートとしてまとめる
2. 新しいフォレスト・ドメインコントローラーの構築
現行のドメインをそのままアップグレードする方法もありますが、多くの場合は新規でWindows Server 2022上にフォレストまたはドメインを構築し、そこにオブジェクトを移行したほうがクリーンに作業できます。
新規フォレストを立てる場合は、以下の手順で進めます。
- Windows Server 2022にAD DS役割をインストール
- dcpromoやサーバーマネージャーからドメインコントローラーを昇格
- ドメインおよびフォレスト機能レベルを適切に設定 (最低でもWindows Server 2012 R2以上を推奨)
3. フォレストトラストの構成
既存のフォレスト(旧環境)と新フォレスト(新環境)を段階的に移行する場合は、フォレストトラストを設定します。トラストを結ぶことで、ユーザーが旧・新環境双方のリソースにアクセスでき、移行期間中の業務継続が容易になります。
SIDHistoryを利用する場合は、SIDフィルタリングを無効化しておく必要があります。以下はSIDフィルタリングを無効にするコマンドの例です。
nltest /trust:旧ドメイン名 /domain:新ドメイン名 /user:ユーザー名 /disableSIDHistory移行後も旧ドメインに残っているファイルサーバーなどにユーザーがスムーズにアクセスできるよう、SIDHistoryは正しく設定しておきましょう。
4. ADMTを利用したユーザー移行
Active Directory Migration Tool (ADMT)を使うことで、ユーザー、グループ、コンピューターアカウントを新ドメインへ一括移行できます。以下は簡単な利用例です。
- 旧DC(2012 R2)と新DC(2022)双方にADMTをインストール
- SIDHistoryを有効にした上でユーザーやグループを移行
- 移行後のアカウントに対して、旧ドメインで利用していたアクセス権が保持されているか確認
ADMTの設定画面では「セキュリティ情報の移行」や「sIDHistoryのコピー」を忘れずに有効化しましょう。また、大量のオブジェクトを一度に移行すると、ネットワーク負荷やDCへの負荷が高まります。時間帯を分けたり、部門ごとに移行を段階的に進めるのが一般的です。
5. グループポリシーやログオンスクリプトの移行
ユーザーやコンピューターアカウントを移行したあと、グループポリシーも適切に適用されているかを確認する必要があります。GPOのエクスポートとインポート機能を使えば、既存の設定をある程度再利用できます。ただし、パスや設定が旧ドメイン名に依存している場合は修正が必要です。
さらに、ログオンスクリプトを利用している環境の場合、スクリプト内のパス指定が旧ドメインのサーバー名を指していないかなどを細かくチェックしてください。
6. アプリケーションとデータの移行
ファイルサーバーやDBサーバー、メールサーバーなどもAD移行の影響を受けるため、事前に移行手順を整理しておきます。
特に、アプリケーションサーバーがユーザー認証のためにADに接続しているケースでは、移行前後でアプリケーション設定を更新しなければならない場合があります。新ドメイン名、LDAPバインドのURL、サービスアカウント情報などを正しく書き換えるかを忘れずに確認しましょう。
7. 移行完了後のテストと検証
移行が一通り終わったら、実際にユーザーがログオンできるか、ファイルサーバーにアクセスできるか、グループポリシーが適切に適用されているかなどを細かくテストします。
さらに、ドメインコントローラー間のレプリケーションが正常に機能しているかどうかを定期的に確認しましょう。PowerShellやrepadmin /replsummaryコマンドなどを使い、レプリケーションエラーが発生していないかをチェックします。
repadmin /replsummary
repadmin /showreplこれらのコマンドを定期的に実行することで、レプリケーションの遅延や障害を早期に発見できます。
8. 旧環境のクリーンアップ
新環境の稼働が安定してきたら、旧ドメインコントローラーや不要になったサーバーを整理します。役割を解除し、最終的に旧ドメインを削除するプロセスを踏むことで、トラブルを予防します。
ただし、すぐに旧ドメインをシャットダウンするのではなく、移行後しばらくは旧ドメインを保持しておき、万が一の際にロールバックできる状態にしておく企業も少なくありません。運用ルールやリスク許容度に応じて最適なタイミングを見計らいましょう。
移行後の検証と最適化
新ドメインが運用を開始した後も、定期的な監視と最適化が欠かせません。以下のポイントをチェックし、必要に応じて改善を行いましょう。
ドメインおよびフォレスト機能レベルの引き上げ
移行直後は旧ドメインとの互換性を考慮してドメイン機能レベルを下げた状態で運用しているかもしれません。互換性の問題が解消されたら、Windows Server 2022の新機能を活かすためにドメイン機能レベル、フォレスト機能レベルを引き上げることを検討しましょう。
セキュリティ機能の強化
Windows Server 2022では、Credential GuardやWindows Defenderの拡充、TLS1.3への対応など、セキュリティを高める仕組みが多く用意されています。
ドメインコントローラーのグループポリシーでパスワードポリシーを見直す、さらに多要素認証を導入するといった対策を実施することで、全体のセキュリティレベルを大幅に向上させることができます。
移行の注意点とトラブルシューティング
DNSの設定不備による問題
ADはDNSに大きく依存しているため、移行時にDNSレコードの誤設定やレプリケーション失敗などが起こりやすくなります。DC昇格の前後でDNSサーバーのフォワーダー設定やゾーン転送設定を細かくチェックし、トラブルを未然に防ぎましょう。
移行後のライセンス管理
Windows ServerライセンスやCAL(Client Access License)を適切に管理しているかどうかを改めて確認しましょう。新サーバーに導入するOSライセンスはもちろん、RDSやSQL Serverなどのサブライセンスも漏れなく把握しておく必要があります。
運用ドキュメントの更新
移行作業によってドメイン名やサーバー名が変わると、社内の運用マニュアルや問い合わせ先情報、監査ログの取得方法なども書き換えが必要になります。現場の混乱を防ぐためにも、移行完了後には迅速にドキュメントを更新し、周知徹底しましょう。
ロールバックプランの策定
もし移行後に深刻な不具合が発生した場合、直ちに旧環境へ戻す措置を行える準備が不可欠です。移行前にシステム全体のバックアップを取得しておき、戻し方をドキュメント化しておくとスムーズに対応できます。
まとめ
Windows Server 2012 R2からWindows Server 2022へのActive Directory移行は、大きなメリットとともに多くの注意点が存在します。しかし、十分な事前準備と手順に沿った移行、そして移行後の継続的な検証と最適化を行えば、セキュアかつスケーラブルな環境を実現できます。環境に合わせた最適なアプローチを検討し、計画的に進めていきましょう。
コメント