Windows NT ユーザーのための Windows 2000 移行ガイド
第 4 章 ‐ 移行ツールの紹介
「Windows NT ユーザーのための Windows 2000 移行ガイド 」 (発行 : 株式会社リックテレコム) より抜粋
Windows 2000 環境と Active Directory サービスのセットアップが終了したら、既存のインフラストラクチャが保有するユーザー、コンピュータアカウント、ファイルなどを、新しいインフラストラクチャに移行するツールが必要となります。本章では、それらのツールを紹介します。
トピック
.gif "4-1 移行ツールの概要"){kind=icon}
4-1 移行ツールの概要
4-2 ADMT とは?
4-3 その他の移行ツールの紹介
4-4 DMA とは?
4-1 移行ツールの概要
本章では、Windows NT 4.0 環境から、Active Directory サービス使用した Windows 2000 環境に移行するためのツールを、以下に紹介します。
ADMT
ClonePrincipal
NetDom
MoveTree
Domain Migration Administrator(DMA)
ワンポイント
SID ( Security IDentifier )について
SID とは、ユーザーアカウント、グループ、コンピュータのアカウントを識別する値です。SID はドメイン内で一意な値で、アカウントがはじめて作成されたときに作成されます。Windows NTドメインとWindows 2000ドメインでは、リソースがアクセスされるとき、OS はユーザー名やグループ名ではなくアカウントの SID を参照し、リソースへのアクセスを許可します。
移行の際、管理者はユーザーアカウント、グループ、コンピュータアカウントなどを移行元のドメインから移行先のドメインへコピーしますが、実際は、新規にアカウントならびにその SID が作成されます。コピーされたアカウント名は、コピー元のドメインのアカウント名と一致しますが、SID 情報は新規のドメインなので新しくなり、コピー元とは異なります。新しい SID は、アカウントのリソースに対して権利やセキュリティ情報を全く保持していないので、既存の各種ファイル、フォルダ、共有などのオブジェクトのアクセス制御リスト(以下、ACL)にアクセス許可させてもらえません。
管理者はこの場合、コピーされたアカウントの SID をコピー元のドメインのものと同じにするためには、変換作業が必要です。SID を変換するには、すべてのコンピュータ、ドメインに手作業で変換する必要があるので、大規模な組織でのユーザー、グループ、コンピュータのセキュリティ、アクセス権を変換するときは、完了するまでに相当な時間がかかります。
.gif "ページのトップへ"){kind=icon}
ページのトップへ
4-2 ADMT とは?
Active Directory Migration Tool(以下、ADMT)は、1999 年に米国 Microsoft 社が Mission Critical Software 社(現 NetIQ 社)からライセンスしたテクノロジーをベースにし、Windows NT 4.0 から Windows 2000 Server の Active Directory サービスへ移行をおこなうためのツールです。ADMT は企業等に向けられて開発され、Windows NT Server でフラットに構成されたドメインを、Windows 2000 Server のツリー型のドメイン構成に移行します。このソフトウェアは 2000 年 2 月 17 日より米国 Microsoft 社の Web サイトから無料でダウンロードできます。また ADMT は、Microsoft 社から提供されている各種リソース CD に収録されています。
さらに、ADMT を使用すれば Windows 2000 Active Directory ドメイン構造を分析、再構築ができ、移行をおこなう前に、不必要なドメインの削除をしたり、複数のドメインに統合したりできます。ADMT を使用してドメイン構造をシンプルにすることにより、移行の際、TCO(Total Cost of Ownership)を削減することが可能になります。
4-2-1 ADMT の機能
ADMT は、Windows NT ドメインのユーザー、グループ、コンピュータアカウント、ファイルのアクセス権、および Microsoft Exchange Server のメールボックスを、既存ドメインから新しい Windows 2000 ドメインに簡単に移行できるツールです。
[移行の対応](図 4-1 )
Windows NT → Windows 2000 ネイティブモード
Windows 2000 ネイティブモード → Windows 2000 ネイティブモード
.gif "w2kmigg401")
図 4-1: ADMT 移行の対応
これは、ActiveAgent テクノロジーを採用した高速セキュリティの変換をおこなっています。
ワンポイント
ActiveAgentテクノロジーは、分散エージェント技術を利用することにより可能になった高速並列処理のことです。ADMT では、コンソールコンピュータとなるマシンから、移行元となるコンピュータにセキュリティ変換などの情報を収集するエージェントをインストールし、移行に関連する複雑な処理を高速に実行します。エージェントはタスクが完了すると自動的にアンインストールされます。
ADMT の機能のうち、11 種類のウィザード機能の一覧を以下に示します(表 4-1、表 4-2)。
表 4-1 オペレーションウィザード (8 種類)
ウィザード |
説明 |
|---|---|
ユーザーの移行 |
あるドメインから別のドメインにユーザーアカウントを移行します。 |
グループの移行 |
あるドメインから別のドメインにグループをコピーできます。 |
コンピュータの移行 |
メンバサーバーおよびワークステーションコンピュータのドメインメンバシップを変更できます。 |
セキュリティ変換 |
移行元ドメインにあるユーザー、グループアカウントを参照するファイル、フォルダ、共有、プリンタのセキュリティ記述子を変換して、移行先ドメインで同じ名前のアカウントを参照できます。
|
サービスアカウントの移行 |
サービスアカウントに関する情報を収集します。 |
Exchange セキュリティ変換 |
移行元ドメインにあるユーザー、グループアカウントを参照し、それらの Exchange のセキュリティ記述子を変換して、移行先ドメインからでも同じアカウントを利用することができます。 |
信頼の移行 |
あるドメインから別のドメインに信頼関係を移行します。 |
グループマッピング、結合ウィザード |
あるドメインの 1 つまたは複数のグループを、別のドメインにおける単一のグループにマップします |
表 4-2 コンフィグ・リカバリウィザード (3 種類)
ウィザード |
説明 |
|---|---|
Undo |
前に実行した移行操作を元に戻すことができます。 |
タスクの再実行 |
失敗したタスクの再実行をおこなえます。 |
レポーティング |
情報を収集し多彩なレポートを生成できます。 |
ADMT の機能のうち、レポート機能の一覧を以下に示します(表 4-3)。
表 4-3 レポート機能
レポート |
説明 |
|---|---|
移行されたユーザー、グループ |
ユーザーとグループの移行操作の結果が要約されています。 |
移行されたコンピュータ |
コンピュータの移行操作の結果が要約されています。 |
期限切れのコンピュータ |
パスワードの期限が切れているコンピュータアカウントの一覧が表示されています。 |
影響の分析 |
コンピュータの移行操作の影響を受けるユーザー、グループアカウントの一覧が表示されています。 |
ユーザー名、グループ名の競合 |
移行元と移行先の両方のドメインに存在するユーザー、グループアカウントの一覧が表示されています。 |
4-2-2 ADMT を使用するケース
ADMT はユーザー、グループ、コンピュータアカウント、信頼関係の反映、セキュリティの変換をおこないたい場合に最適です。使いやすいグラフィックインタフェースを提供しているので、すべての移行タスクを 1 つのツールから実行したい場合に便利です(図 4-2)。
.gif "w2kmigg402")
図 4-2: ADMT
ページのトップへ
4-3 その他の移行ツールの紹介
Microsoft 社では、ADMT 以外にも移行ツールを「Windows 2000 Server リソースキット」で提供しています。ここではそれらの移行ツールを紹介しますが、詳細な機能および使用方法については、それぞれのツールのドキュメントを参照してください。
4-3-1 ClonePrincipal
ClonePrincipal は COM(Component Object Model)オブジェクトとサンプルスクリプトで構成されるユーティリティです。既存の Windows NT 環境に影響を与えず、ユーザーを段階的に Windows 2000 環境に移行するために使用します。
ClonePrincipal では、Windows 2000 環境に Windows NT 環境のユーザーおよびグループを複製することで移行を可能にします。
ClonePrincipal 機能
ユーザーは、宛先アカウント(複製)にログインすることができます。緊急時には、移行元アカウントにロールバックすることができます。
複数のユーザーを同時に移行先の Windows 2000 環境に移動できます。
ユーザーを移行先ドメインに移行している間は、移行元の業務環境がそのまま維持されます。
ACL を更新しなくても、宛先アカウントのグループメンバシップ、およびネットワークアクセスが維持されます。
名前または目的が同じで移行元ドメインが異なる複数のグループを、同じ宛先オブジェクトに結合できます。
ローカルグループを複製し、多数の小規模なリソースドメインを Windows 2000 の OU(組織単位)に集約できます。
VBScript を使用することにより、移行プロセスのカスタマイズが可能です。
ClonePrincipal 制約条件
移行元および移行先のドメインが、同じフォレスト内に存在しないようにします。
移行元アカウントの SID が、移行先フォレスト内にプライマリ SID としてすでに存在しないように、また任意のセキュリティプリンシパル(ユーザー、グループ、コンピュータアカウント)の SID History(4-4-1「DMA **の主要機能」**を参照)内にすでに存在しないようにします。
ユーザーは、移行元および移行先の両方のドメインでドメイン管理者権限をもっている必要があります。
ユーザーパスワードはリセットされます。
[移行の対応](図 4-3 )
Windows NT 4.0(SP4 以降)→ Windows 2000 ネイティブモード
Windows 2000 混在モード → Windows 2000 ネイティブモード
Windows 2000 ネイティブモード → Windows 2000 ネイティブモード
.gif "w2kmigg403")
図 4-3: ClonePrincipal 移行の対応
ClonePrincipal を使用するケース
ClonePrincipal は、ユーザーやグループアカウントを Windows NT 4.0、および Windows 2000 から、Windows 2000 ネイティブモードへ移行するときに使います。ClonePrincipal は VBScript によってカスタマイズができるので、移行先ドメインへ移行をおこなう際に、ユーザーを新規グループアカウントに振り分けたい場合などに便利です(図 4-4)。
.gif "w2kmigg404")
図 4-4: ClonePrincipal
注意
ADMT と ClonePrincipal は異なった方式により、移行後にオブジェクトを発見するので、同時に実行されると望ましくない結果を招く可能性があります。
4-3-2 Netdom
Netdom は、コマンドラインから、コンピュータアカウントおよび信頼関係を Windows NT 4.0 または Windows 2000 から、Windows 2000 ドメインに移行するツールです。
Netdom 機能一覧(表 4-4)
表 4-4 Netdom の機能
機能 |
説明 |
|---|---|
Windows 2000 コンピュータを Windows NT または Windows 2000 ドメインに追加し、右の操作をおこないます。 |
|
ドメインのメンバクライアントおよびメンバサーバーのコンピュータアカウントを管理し、右の操作をおこないます。 |
|
右のタイプのドメイン間に信頼関係を確立します。 |
|
右の設定のセキュリティで保護されたチャネルを検証およびリセットします。 |
|
ドメイン間の信頼関係を管理します。 |
|
NetDom を使用するケース
コンピュータアカウントやドメインの信頼関係などを移行する場合に NetDom を使いましょう。一般的にフォレストの外にコンピュータアカウントを移行する NetDom は、ユーザーやグループアカウントの移行に使う ClonePrincipal とペアで使用するケースが多いでしょう(図4-5)。
.gif "w2kmigg405")
図 4-5: NetDom
4-3-3 MoveTree
MoveTree とは、Windows 2000 で利用できるユーザー、グループ、および OU を、フォレスト内のドメイン間での移行に使うツールです。このツールは、セキュリティプリンシパルを含むディレクトリオブジェクトを同じフォレスト内の Windows 2000 ドメイン間で移行することができ、同時に移行されたユーザーやグループの SID History を更新します。
MoveTree 制約条件(表 4-5)
表 4-5 MoveTree の制約条件
項目 |
説明 |
|---|---|
混在またはネイティブモードの移行元ドメイン |
オブジェクトの移行元のドメインは、必ず Windows 2000 の混在モードまたはネイティブモードのドメインでなければなりません。 |
ネイティブモードの移行先ドメイン |
オブジェクトの移行先のドメインは、必ず Windows 2000 のネイティブモードのドメインでなければなりません。 |
移行元および移行先のドメイン |
フォレスト内のみの移行しか実行できません。 |
空のグローバルグループ |
MoveTree は OU とその中身を移動し、移行元ドメインがネイティブモードで実行されていればユニバーサルグループとその中身を移動しますが、グローバルグループは空のものだけを移動します。 |
クローズドセット |
オブジェクトは「クローズドセット」の中に移動する必要があります。クローズドセットは、ユーザーおよびグローバルグループの移動の場合と、コンピュータの移動の場合とでは異なります。コンピュータの移動の場合、Windows NT ドメインコントローラにおいては共有ローカルグループを使用する場合があり、Windows 2000 ドメインコントローラにおいてはドメインローカルグループを使用する場合があります。さらに、ネイティブモードのドメインにおいては、サーバーおよびワークステーションを使用する場合があります。 |
[移行の対応](図 4-6 )
Windows 2000 混在モード → Windows 2000 ネイティブモード
Windows 2000 ネイティブモード → Windows 2000 ネイティブモード
.gif "w2kmigg406")
図 4-6: MoveTree 移行の対応
MoveTree を使用するケース
ユーザー、グループアカウントや OU を同じフォレストの中で移行する場合に MoveTreeを使いましょう。また、企業の吸収・合併でフォレストを統合しなくてはならないときに MoveTree を使用すると便利です(図 4-7)。
.gif "w2kmigg407")
図 4-7: MoveTree
ページのトップへ
4-4 DMA とは?
Domain Migration Administrator(以下、DMA)は、NetIQ 社が Microsoft 社にライセンスした ADMT をコアとしたものに機能拡張を加えたソフトウェアで、Windows NT および Windows 2000 Active Directory サービスへの移行をサポートするツールです。
DMA は、以下の 2 つのコンポーネントによって構成されています。
Domain Migrator
Server Consolidator
Domain Migrator は、既存のユーザー、グループ、コンピュータアカウントを移行先のドメインにコピーし、これらオブジェクトに関連するセキュリティ設定を解決します。Server Consolidator は、ファイル、フォルダ、それに共有リソースを、移行先のコンピュータにアクセス許可とともにコピーします。
4-4-1 DMA の主要機能
DMA には、いくつかの主要機能があります。
移行前のモデリングと影響分析
DMA を使用すると、移行をおこなう前に移行計画のモデリングができます。この機能により、移行計画をシミュレーションし、計画段階で見落としていたことなどが確認できます。移行で発生する影響なども評価でき、計画を実行する前に何度でも変更できます。また、プレビュー機能を使用すれば、移行で生じる問題なども予測できるので、移行リスクに対してあらかじめ解決法を準備できます。
このプロセスを繰り返すことによって、移行計画は業務の要求を満たせるほか、全体の移行プロセスを最適化できます。
ネイティブと混在の両モードへの移行をサポート
他のツールではネイティブモードに移行するのが一般的です。しかし DMA では、Windows 2000 のネイティブと混在の両モードへの移行がサポートされています。
変更のロールバック
モデリングと影響分析で発見できなかった問題が発生した場合、DMA では強力なロールバック機能が提供されているので、各種変更をもとに移行前の環境に戻せます。これにより、さらに移行計画が最適化できるほか、複雑な移行のテストランが可能になります。
ファイル、フォルダ、共有リソースの統合
DMA ではファイル、フォルダ、共有オブジェクトの移行をアクセス許可の移動と同時におこなえます。Windows 2000 Datacenter Server でクラスタサーバーを使うのであれば、大規模な業務のリソースやオブジェクトを 1 つのサーバーに集約できます。
Active Script トリガを使った移行プロセスのカスタム化
DMA は Active Script トリガを作成し、それを実行することによって、特定のニーズにあわせて移行プロセスをカスタマイズすることができます。Active Script トリガは、VBScript または JScript で作成するので、誰にでも簡単に作成できます。作成された Active Script トリガは、移行プロセスの一部としてスクリプトを実行できます。また Active Script トリガは、移行前にユーザーやグループをチェックして、実際どのユーザーやグループを移行するのか決めるのに使ったり、移行後にオブジェクトに特定のプロパティを設定したりするのに使えます。(DMA で使用できるサンプル Active Script トリガは、付録-1「Active Script プログラミング」にあります)。
SID History の更新
Active Directory では、各種アカウントに SID History という属性が存在します。SID History は、コピーされてきたオブジェクトの SID を格納するのに使用されます。SID History にコピー元の SID を追加することによって、コピーされてきたユーザーは、移行する前にアクセスしていたリソースを以前と同様に使えるようになります。
DMA は、SID History 更新の機能をサポートしているので、移行してもユーザーはネットワークを利用するのに弊害はありません(図 4-8)。
.gif "w2kmigg408")
図 4-8: SID History
[さまざまな移行・統合に対応](図 4-9 )
Windows NT → Windows NT
Windows NT → Windows 2000 混在モード
Windows NT → Windows 2000 ネイティブモード
Windows 2000 混在モード → Windows 2000 ネイティブモード
.gif "w2kmigg409")
図 4-9: DMA 移行の対応
4-4-2 DMA を使用するケース
DMA は、大規模な業務用に設計された移行ツールなので、複雑な Windows NT ドメインからなるネットワーク構成から Windows 2000 Server への移行を進めたい場合などには便利です(図 4-10)。高度な移行プロジェクトのモデリングやレポートなどの分野は、移行後、プロジェクトの評価に付加価値をもたらすので、大規模な移行には ADMT よりも最適です。
.gif "w2kmigg410")
図 4-10: DMA
以下の表 4-6に、ADMT と DMA の違いをまとめます。
表 4-6 ADMT・DMA の機能一覧 (1)
機能 |
ADMT |
説明 |
|---|---|---|
ユーザーの移行 |
○ |
○ |
グループの移行 |
○ |
○ |
コンピュータの移行 |
○ |
○ |
セキュリティ変換 |
○ |
○ |
サービスアカウントの移行 |
○ |
○ |
Exchange メールボックスセキュリティ変換 |
○ |
○ |
信頼の移行 |
○ |
○ |
グループマッピング、結合ウィザード |
○ |
○ |
Undo |
○ |
○ |
タスクの再実行 |
○ |
○ |
レポーティング |
○ |
○ |
プロジェクトの作成 |
○ |
|
Windows 2000 混在モードへの移行 |
○ |
|
Windows NT 4.0 ドメインへの移行 |
○ |
|
ネイティブ、混在の両モードとフォレスト内外のユーザーパスワードの移行 |
○ |
|
SID History のクリーンアップ |
○ |
|
SID History のアカウントのセキュリティ変換 |
○ |
|
コンピュータのリネーム |
○ |
|
リモートリブート機能 |
○ |
|
Active Script を使った移行のカスタマイズ |
○ |
※ この文書は株式会社リックテレコムの協力により書籍の一部を抜粋したものです。
ページのトップへ