久々に Hyper-V を使って、
ドメインコントローラーのOS を Windows Server 2008 R2 から、Windows Server 2016 にマイグレーションしてみました。
Windows Server 2008 のサポート期限も 2020年1月14日 までですので、
そろそろ、お祭りがあるんだと思うのですが、
その中でも最もレガシーなパターンの
オンプレミス to オンプレミスのパターンの参考になるかもしれません。
ちなみに、今回使ってる Hyper-V の環境は、Windows 10(1709)です。
ドメインコントローラーのマイグレーション
WS2008R2からWS2016の場合(DFSR利用)
今回は、Windows Server 2008 R2 を新規でインストールして、ドメインの機能レベルが Windows Server 2008 R2 の状態で試しました。
ちなみに、このパターンは、SYSVOL などのレプリケーションに、DFSR がデフォルトで適用されています。
もし、Windows Server 2008 / 2008 R2 をインストールしても、ドメインの機能レベルが Windows Server 2008 以上でない場合や、
Winodows Server 2008 以前のOSで運用されていたドメインコントローラーをマイグレーションが行われた環境の場合は、
FRS が適用されているかもしれません。
FRS は、Windows Server 2012 R2 より推奨されない機能となっていますので、
DFSR に変更しちゃいましょう。
確認の仕方などは、下の方にある「今回のマイグレーションの補足」 の項目をご覧ください
ってことで、ざっくり今回試した手順。
- Windows Server 2008 R2 にドメインコントローラーが構成されている状態
(ドメインの機能レベルが、Windows Server 2008 R2) - Windows Server 2016 のサーバを構成し、ドメインコントローラーに昇格
adprep 関連は、ドメインコントローラーに昇格した時点で自動的に更新されているっぽい。
Windows Server 2016 をインストールして、ドメインメンバサーバとして導入してから、Domain Admin のアカウントでログインして adprep した方がよかったっぽいです。
自動更新に頼ると問題が起きた場合の切り分けが大変になりますからね。ドキュメントを見ると、以下の4つを実施するみたいです。
・adprep /forestprep
・adprep /domainprep
・adprep /domainprep /gpprep
・adprep /rodcprep - FSMO の移動
・[Active Directory ユーザとコンピュータ]:RID,PDC,インフラストラクチャ
・[Active Dorectory ドメインと信頼関係」:操作マスタ
・[Active Directory スキーマ(MMC)]:スキーマ
※ ファイル名を指定して実行でアドイン追加できます。regsvr32 schmmgmt.dll - ntdsutil で FSMO が移動したことを確認
こんな感じです。
> ntdsutil: roles
> fsmo maintenance: connections
> server connections: connect to server localhost
localhost に結合しています…
ローカルでログオンしているユーザーの資格情報を使って localhost に接続しました。
> server connections: quit
> fsmo maintenance: select operation target
> select operation target: list roles for connected server - Windows Server 2008 R2(2台目) のドメインコントローラーからの降格
・元 PDC の機能を持っていない DC を dcpromo でドメインコントローラーから降格
・降格後 IP アドレスを変更 + 再起動
・DNS の変更を確認 - Windows Server 2016 のドメインコントローラーの構築(2台目)
IP アドレスは、5で使用していたIPに変更後、ADDS をインストール - Windows Server 2008 R2(1台目) のドメインコントローラーからの降格
・優先DNSを、6で作った WIndows Server 2016 のドメインコントローラーに変更
・dcpromoを使ってドメインコントローラーから降格
・IPの変更 - Windows Server 2016 のドメインコントローラーのIP変更
・IPを変更
・Windows Server 2016 のドメインコントローラー1台目のリブート - ドメインの機能レベルの変更
- フォレストの機能レベルの変更
後半部分のIPアドレスを入れ替えてるのは、クライアントPCのDNSの向き先とかを変えたくないってパターンを想定してのことなので、本質的な手順ではないです。
参考情報
今回のマイグレーションの補足
FRS or DFSR
ドメインコントローラーを新規構築する際に、ドメインの機能レベルが「Windows Server 2008」以上の場合、SYSVOL の複製には既定で DFSR が利用される。
ってことは、DFSR かどうかは、以下の方法で確認できる。
参考情報
repadmin /showrepl /v で、両方向のレプリケーションが成功しない場合
2台目のWindows Server 2016 の DCをインストールした時に、レプリケーションが一方向でしかできず、逆方向からがエラーとなっていました。
そのため、以下のブログを参考に解決しました。
参考情報
Windows Server 2016 で削除またた推奨されなくなった機能
WIndows Server 2016 になってから削除または推奨されなくなった機能があります。
運用デザインをする前には、見ていただいた方がいいと思います。
それにしても、wuauclt.exe がいなくなってると思わなかった。
Windows as a Service の影響なんでしょうねー。
参考情報
Features Removed or Deprecated in Windows Server 2016
https://docs.microsoft.com/ja-jp/windows-server/get-started/deprecated-features
久々にHyper-V をいじって少しはまったこと
仮想マシンの世代を第2世代にして、インストールが始まらない。
ゲストOSの世代のサポートは、以下のドキュメントに乗っています。
Windows Server 2008 R2 は、第2世代はサポートされていないんですねー。
第2世代は、Windows Server 2012 / Windows 8 以降の OS でサポートされています。
えっ、Windows Server 2016 がドキュメントに載ってないじゃんって。。。
MS さん、英語サイトくらいドキュメントを更新してください。
メディアの取り出し/挿入がちゃんと機能しない
これなんでなんですかねー。
「メディア」→「DVD」→「メディアの挿入」
をやっても何も応答しないんですよねー。
まぁー、「設定」ところから DVD ドライブに、ISO をマウントしちゃったからいいんですけどね。。。
まとめ
今回は、オンプレミスに Domain Controller が残る場合は、ほぼ間違いなくやるパターンだと思います。
もし、Azure 上にファイルサーバを置くことを考えた場合は、Azure に Domain Controller を立てる必要がでてくるかもです。
あとは、クライアントPC が すべてWindows 10 であれば、これまでのドメインコントローラーによる運用を捨てて、Azure Actuve Directory を使う運用というのも選択肢かもしれません。
この辺は、IT 基盤の全体デザインにもひょるのかな。
余談ですが、久々に、Hyper-V をいじってなごみました。
多分、今、Windows Server 2008 / 2008 R2 をアップグレードする場合は、WIndows Server 2016 の一択だと思います。
でも、Windows Server の次バージョンの話も出てきてるので、来年あたりはどうなんでしょうかねー。
っていうか、Windows as a Service で、もう、Windows のバージョンってあげないんじゃなかったっけ?
コメント