漸く物理サーバーに移行完了かな? [Windows Server]
漸く、物理サーバーに移行できたような気がします。
とにかく、追加したAD ServerにSYSVOLの情報がコピーされないので、新しいサーバーだけにすると、ドメイン参加が出来ませんでした。
ドメインの機能レベルが2003レベルだったのは気がついて2012R2までは引き上げてありましたが、それが影響したのかFRSのままだったSYSVOLがコピーされなかった模様。
ごそごそ調べていたら、フォレストの機能レベルも2003のまんま(^^;
すっかり忘れてました。
ということで、古い記事ですが、
http://www.atmarkit.co.jp/fwin2k/win2ktips/1169adfunclevup/adfunclevup.html
みて、レベルを引き上げます。
それからDFSRへ移行。ちなみにDFSの管理ツールが入っていないと、一部コマンドが使えません。
typoがありますが、
https://blogs.technet.microsoft.com/junichia/2008/01/24/windows-server-2008-sysvol-frs-dfsr-dfsrmig-exe-124/
の記事がわかりやすいかな。
まずは、元のサーバー1台だけの状態で実行です。
コマンド的には...
# dfsrmig /GetGlobalState
# dfsrmig /GetMigrationState
# dsrmig /CreateGlobalObjects
# dfsrmig /SetGlobalState 1
ここでちょいと立ち止まります。
通常FSRなSYSVOLはc:\Windows\system32\SYSVOLなはずです。
/SetGlobalState 1で、c:\Windows\system32\SYSVOL_DFSRが作成されてコピーされるはずです。
15分から1時間ぐらいの間で実行されるようですが... 待てないので
# dfsrdiag pollad
これやって、「成功しました」って出てきたら、c:\Windows\system32\SYSVOL_DFSRが出来て、その下にSYSVOLのコピーが出来ていることを確認しましょう。
ここで
# dfsrmig /GetMigrationState
を叩いて、整合性のとれた状態になっていれば、次の状態に進めます。
# dfsrmig /SetGlobalState 2
ここでも
# dfsrdiag pollad
# dfsrmig /GetMigrationState
して、整合性のとれた状態になるのを積極的にpolladして突きながら待ちます:-)
整合性が取れたら最後のステージに進みます。もう後戻りできません。
# dfsrmig /SetGlobalState 3
# dfsrdiag pollad
# dfsrmig /GetMigrationState
これで整合性が取れたときにはc:\Windows\system32\SYSVOLは消えています。
これでDFSRへの移行は完了。
次に、ドメインコントローラーの移行に備えて、念のため、ディレクトリサービス復元モード管理者のパスワードを初期化して、追加するドメインコントローラーでセットアップするパスワードと一致させておきます。
元ネタページは
https://support.microsoft.com/ja-jp/help/322672/how-to-reset-the-directory-services-restore-mode-administrator-account
です。
# ntdsutil
ntdsutil: set dsrm password
Reset DSRM Administrator password: reset password on server パスワードを変更するサーバーのFQDN
DS 復元モードの管理者アカウントのパスワードを入力してください: ********************
新しいパスワードの確認を入力してください: ********************
パスワードは正しく設定されました。
Reset DSRM Administrator password: q
ntdsutil: q
ここまで来たら、新しいドメインコントローラーを追加しますが、その前にDFSの管理をインストールしておきます。
これに関しては
https://blog.engineer-memo.com/2014/07/27/sysvol-共有の複製を-dfs-の管理コンソールで確認-2012-r2/
が参考になります。
さらに、ドメインコントローラーとして追加する場合のSYSVOLのレプリケート先を「忘れずに」SYSVOL_DFSRにしておきます。
ドメインコントローラーを追加したら、手動でDNS Serverのエントリーをコントロールしている場合はc:\Windows\system32\config\netlogon.dnsの内容を反映させます。
この時点ではPDCは移管されていないしので「_ldap._tcp.pdc._msdcs.ドメイン名」のエントリーは書き換えずに、他のエントリーのみ追加します。
DNS Serverの情報を更新した後、ドメインコントローラーとして、ドメインに参加後にPDC側で次のコマンドを叩いて、強制的に同期を取ります。
# dfsrdiag syncnow /RGName:”Domain System Volume” /Partner:新しいドメインコントローラーのFQDN /Time:15 /v
# dfsrdiag pollad
複製先の新しいドメインコントローラー側のSYSVOL_DFSRディレクトリの下に、きちんと複製があれば、大丈夫です。
あとは、新しいドメインコントローラーを昇格させます。
https://docs.microsoft.com/en-us/windows-server-essentials/migrate/step-2--install-windows-server-essentials-as-a-new-replica-domain-controller
の通りで(日本語ページだと訳わからず...)
# ntdsutil
ntdutils: activate instance NTDS
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server 新しいドメインコントローラーのFQDN
server connections: q
fsmo maintenance: transfer pdc
ダイアログが出るので「Yes」or「 はい」を選択
fsmo maintenance: transfer infrastructure master
ダイアログが出るので「Yes」or「 はい」を選択
fsmo maintenance: transfer naming master
ダイアログが出るので「Yes」or「 はい」を選択
fsmo maintenance: transfer rid master
ダイアログが出るので「Yes」or「 はい」を選択
fsmo maintenance: transfer schema master
ダイアログが出るので「Yes」or「 はい」を選択
fsmo maintenance: q
ntdsutil: q
# netdom query fsmo
して、新しいドメインコントローラーに責務が移ったのを確認。
この状態で、DNSの設定で「_ldap._tcp.pdc._msdcs.ドメイン名」のエントリーを新しいドメインコントローラーに変更して、漸く完了。
評価用ライセンスがあるウチに、もう一つVM上にインストールして、新しいドメインコントローラーだけが動いている状態にして、ドメイン参加できることを確認して終了です。
残るはDNS Serverの移行かな...
とにかく、追加したAD ServerにSYSVOLの情報がコピーされないので、新しいサーバーだけにすると、ドメイン参加が出来ませんでした。
ドメインの機能レベルが2003レベルだったのは気がついて2012R2までは引き上げてありましたが、それが影響したのかFRSのままだったSYSVOLがコピーされなかった模様。
ごそごそ調べていたら、フォレストの機能レベルも2003のまんま(^^;
すっかり忘れてました。
ということで、古い記事ですが、
http://www.atmarkit.co.jp/fwin2k/win2ktips/1169adfunclevup/adfunclevup.html
みて、レベルを引き上げます。
それからDFSRへ移行。ちなみにDFSの管理ツールが入っていないと、一部コマンドが使えません。
typoがありますが、
https://blogs.technet.microsoft.com/junichia/2008/01/24/windows-server-2008-sysvol-frs-dfsr-dfsrmig-exe-124/
の記事がわかりやすいかな。
まずは、元のサーバー1台だけの状態で実行です。
コマンド的には...
# dfsrmig /GetGlobalState
# dfsrmig /GetMigrationState
# dsrmig /CreateGlobalObjects
# dfsrmig /SetGlobalState 1
ここでちょいと立ち止まります。
通常FSRなSYSVOLはc:\Windows\system32\SYSVOLなはずです。
/SetGlobalState 1で、c:\Windows\system32\SYSVOL_DFSRが作成されてコピーされるはずです。
15分から1時間ぐらいの間で実行されるようですが... 待てないので
# dfsrdiag pollad
これやって、「成功しました」って出てきたら、c:\Windows\system32\SYSVOL_DFSRが出来て、その下にSYSVOLのコピーが出来ていることを確認しましょう。
ここで
# dfsrmig /GetMigrationState
を叩いて、整合性のとれた状態になっていれば、次の状態に進めます。
# dfsrmig /SetGlobalState 2
ここでも
# dfsrdiag pollad
# dfsrmig /GetMigrationState
して、整合性のとれた状態になるのを積極的にpolladして突きながら待ちます:-)
整合性が取れたら最後のステージに進みます。もう後戻りできません。
# dfsrmig /SetGlobalState 3
# dfsrdiag pollad
# dfsrmig /GetMigrationState
これで整合性が取れたときにはc:\Windows\system32\SYSVOLは消えています。
これでDFSRへの移行は完了。
次に、ドメインコントローラーの移行に備えて、念のため、ディレクトリサービス復元モード管理者のパスワードを初期化して、追加するドメインコントローラーでセットアップするパスワードと一致させておきます。
元ネタページは
https://support.microsoft.com/ja-jp/help/322672/how-to-reset-the-directory-services-restore-mode-administrator-account
です。
# ntdsutil
ntdsutil: set dsrm password
Reset DSRM Administrator password: reset password on server パスワードを変更するサーバーのFQDN
DS 復元モードの管理者アカウントのパスワードを入力してください: ********************
新しいパスワードの確認を入力してください: ********************
パスワードは正しく設定されました。
Reset DSRM Administrator password: q
ntdsutil: q
ここまで来たら、新しいドメインコントローラーを追加しますが、その前にDFSの管理をインストールしておきます。
これに関しては
https://blog.engineer-memo.com/2014/07/27/sysvol-共有の複製を-dfs-の管理コンソールで確認-2012-r2/
が参考になります。
さらに、ドメインコントローラーとして追加する場合のSYSVOLのレプリケート先を「忘れずに」SYSVOL_DFSRにしておきます。
ドメインコントローラーを追加したら、手動でDNS Serverのエントリーをコントロールしている場合はc:\Windows\system32\config\netlogon.dnsの内容を反映させます。
この時点ではPDCは移管されていないしので「_ldap._tcp.pdc._msdcs.ドメイン名」のエントリーは書き換えずに、他のエントリーのみ追加します。
DNS Serverの情報を更新した後、ドメインコントローラーとして、ドメインに参加後にPDC側で次のコマンドを叩いて、強制的に同期を取ります。
# dfsrdiag syncnow /RGName:”Domain System Volume” /Partner:新しいドメインコントローラーのFQDN /Time:15 /v
# dfsrdiag pollad
複製先の新しいドメインコントローラー側のSYSVOL_DFSRディレクトリの下に、きちんと複製があれば、大丈夫です。
あとは、新しいドメインコントローラーを昇格させます。
https://docs.microsoft.com/en-us/windows-server-essentials/migrate/step-2--install-windows-server-essentials-as-a-new-replica-domain-controller
の通りで(日本語ページだと訳わからず...)
# ntdsutil
ntdutils: activate instance NTDS
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server 新しいドメインコントローラーのFQDN
server connections: q
fsmo maintenance: transfer pdc
ダイアログが出るので「Yes」or「 はい」を選択
fsmo maintenance: transfer infrastructure master
ダイアログが出るので「Yes」or「 はい」を選択
fsmo maintenance: transfer naming master
ダイアログが出るので「Yes」or「 はい」を選択
fsmo maintenance: transfer rid master
ダイアログが出るので「Yes」or「 はい」を選択
fsmo maintenance: transfer schema master
ダイアログが出るので「Yes」or「 はい」を選択
fsmo maintenance: q
ntdsutil: q
# netdom query fsmo
して、新しいドメインコントローラーに責務が移ったのを確認。
この状態で、DNSの設定で「_ldap._tcp.pdc._msdcs.ドメイン名」のエントリーを新しいドメインコントローラーに変更して、漸く完了。
評価用ライセンスがあるウチに、もう一つVM上にインストールして、新しいドメインコントローラーだけが動いている状態にして、ドメイン参加できることを確認して終了です。
残るはDNS Serverの移行かな...
ご訪問ありがとうございましたm(_ _)m
梅吉もいつも通りになりました^^
by ちぃ (2018-06-18 20:38)
ちぃさん
こんばんは
梅吉くんともども無事で何よりです:-)
by tama (2018-06-19 23:42)