none
IIS+SQLServer 設定済のWindows Server2008 における,参加ドメイン変更の影響 RRS feed

  • 質問

  • Windows 2008R2サーバに以下が設定されています。

    ・IIS
    ・SQLServer2008

    現在このサーバは,Aというドメインに参加していますが,
    あるタイミングでBというドメインに変更し,IPアドレスも変更したいと考えています。

    こうした場合,現在IIS+SQLServerで動いているアプリケーションはともかく,
    そもそも現行動いているIISとSQLServerの通常動作としての影響が懸念されます。
    ベストな切り替え方法はありますでしょうか。

    2015年9月4日 1:26

回答

  • こんにちは

    ベストな切り替え方法と言われると迂闊なことは言えませんが…

    現状のドメインAで動作しているIISのAppPoolの実行アカウントとWebアプリケーションからSQLサーバーへの
    LoginアカウントがドメインAのユーザーで設定している場合は切り替え前に削除(変更)する必要がありますね。
    (削除しないでドメインから離脱したらどうなるか試したことは無いです)

    また、IPの変更に合わせてDNSの変更が必要でしょうか。

    ドメインBに参加後にドメインAで設定していた項目(AppPool、SQL ServerへのLogin等)を
    対応させれば動作出来る気がしますが如何でしょうか?

    IIS、SQL Serverの権限設定でドメインユーザーを使用していないのであれば
    そんなに設定する項目は無いような。
    Webアプリの認証でADを使っていればWebConfigは要修正でしょうが。

    参考まで。



    • 編集済み Koba33 2015年9月7日 0:38
    • 回答の候補に設定 佐伯玲 2015年9月8日 4:18
    • 回答としてマーク 佐伯玲 2015年9月15日 6:39
    2015年9月4日 18:53
  • こんにちは

    IISの起動画面の左側のペインに「アプリケーションプール」というノードが表示されていると思います。
    これを選択するとアプリケーションプールの設定画面が表示されます。

    ここには幾つかの名前が登録されていると思います。(添付参照)
    IIS/AppPoolの正確な説明については他のprofessionalな方々にお聞きすることをお勧めしますが、
    AppPoolはIIS上で動作するWebサイトの実行権限を司っています。
    初期では「DefaultAppPool」がDefaultWebSiteに設定されていると思います。
    (Webサイト選択して基本設定を参照すると設定しているAppPoolが判ります)
    その場合の実行権限はApplicationPoolIdentityになっています。(ローカルアカウントです)

    ken1989さんのサーバーはローカルアカウントでIISを動作させ、SQLサーバーをご利用とのことですので、
    恐らくAppPoolとしてDefaultAppPoolを選択されていると思います。
    また、SQLサーバーのLoginに「IIS APPPOOL\DefaultAppPool」が設定されており、ユーザーマッピングで
    使用しているDBにdbowner等の設定がされていると思いまが如何でしょうか?
    (上記設定が無いとSQLサーバーにWebサイトが接続できません。)

    → SQLサーバー認証であると書いてありますね。すいません。

    当方ではWebサイト、SQLサーバーをドメインアカウントで動作させています。
    その場合のIISの設定例が添付の赤字で表示しています。
    AppPoolの名前を定義し(HogeHoge)、実行権限としてdomainのUserHogeを選択しています。
    このような設定の場合、SQLサーバーにおいてもLoginでdomain\UserHogeに権限を設定します。
    SQLサーバーとWebサーバーを分離する場合には必須の構成と思っています。
    (当方ではSQLサーバーはClusterサーバー、WebサーバーはNLBを組んでいますので分離されています)

    ken1989さんのサーバーではすべてローカルアカウントで動作しているとのことですが、
    そうであればあまり設定は無さそうですね。(ドメインに参加しなくても…)
    杞憂かもしれませんが、Webサイト以外でSQLサーバーに対してWindows認証(ドメインユーザー)が設定されていないか
    チェックすることをお勧めします。

    また、ドメインを変えるということでDNSの変更も必須です。
    FireWallの設定(確認)も必要ですね。

    参考まで。

    AppPool





    • 編集済み Koba33 2015年9月7日 1:02
    • 回答の候補に設定 佐伯玲 2015年9月8日 4:18
    • 回答としてマーク 佐伯玲 2015年9月15日 6:39
    2015年9月7日 0:31

すべての返信

  • こんにちは

    ベストな切り替え方法と言われると迂闊なことは言えませんが…

    現状のドメインAで動作しているIISのAppPoolの実行アカウントとWebアプリケーションからSQLサーバーへの
    LoginアカウントがドメインAのユーザーで設定している場合は切り替え前に削除(変更)する必要がありますね。
    (削除しないでドメインから離脱したらどうなるか試したことは無いです)

    また、IPの変更に合わせてDNSの変更が必要でしょうか。

    ドメインBに参加後にドメインAで設定していた項目(AppPool、SQL ServerへのLogin等)を
    対応させれば動作出来る気がしますが如何でしょうか?

    IIS、SQL Serverの権限設定でドメインユーザーを使用していないのであれば
    そんなに設定する項目は無いような。
    Webアプリの認証でADを使っていればWebConfigは要修正でしょうが。

    参考まで。



    • 編集済み Koba33 2015年9月7日 0:38
    • 回答の候補に設定 佐伯玲 2015年9月8日 4:18
    • 回答としてマーク 佐伯玲 2015年9月15日 6:39
    2015年9月4日 18:53
  • ご回答,ありがとうございます。

    > 現状のドメインAで動作しているIISのAppPoolの実行アカウントとWebアプリケーションからSQLサーバーへの
    > LoginアカウントがドメインAのユーザーで設定している場合は切り替え前に削除(変更)する必要がありますね。
    > (削除しないでドメインから離脱したらどうなるか試したことは無いです)

    現状,World Wide Web Publishing Service は,Local Systemでサービスが動いています。
    無知で恐縮ですが,AppPoolの実行アカウントとは,どこで確認できるのでしょうか?

    SQL Serverは,混合認証で設定しており,アプリケーションは,DBユーザで接続しています。

    webアプリケーションは,ドメイン認証こそしておりませんが,
    WebページにアクセスしたPCのドメインユーザは取得していた気がしますので,
    こちらは確認してみたいと思います。

    頂いたご回答から察すると,右クリックでドメイン変更,IP変更すれば
    問題ない・・!?気がしてきました。(安直過ぎでしょうか…)

    2015年9月6日 23:11
  • こんにちは

    IISの起動画面の左側のペインに「アプリケーションプール」というノードが表示されていると思います。
    これを選択するとアプリケーションプールの設定画面が表示されます。

    ここには幾つかの名前が登録されていると思います。(添付参照)
    IIS/AppPoolの正確な説明については他のprofessionalな方々にお聞きすることをお勧めしますが、
    AppPoolはIIS上で動作するWebサイトの実行権限を司っています。
    初期では「DefaultAppPool」がDefaultWebSiteに設定されていると思います。
    (Webサイト選択して基本設定を参照すると設定しているAppPoolが判ります)
    その場合の実行権限はApplicationPoolIdentityになっています。(ローカルアカウントです)

    ken1989さんのサーバーはローカルアカウントでIISを動作させ、SQLサーバーをご利用とのことですので、
    恐らくAppPoolとしてDefaultAppPoolを選択されていると思います。
    また、SQLサーバーのLoginに「IIS APPPOOL\DefaultAppPool」が設定されており、ユーザーマッピングで
    使用しているDBにdbowner等の設定がされていると思いまが如何でしょうか?
    (上記設定が無いとSQLサーバーにWebサイトが接続できません。)

    → SQLサーバー認証であると書いてありますね。すいません。

    当方ではWebサイト、SQLサーバーをドメインアカウントで動作させています。
    その場合のIISの設定例が添付の赤字で表示しています。
    AppPoolの名前を定義し(HogeHoge)、実行権限としてdomainのUserHogeを選択しています。
    このような設定の場合、SQLサーバーにおいてもLoginでdomain\UserHogeに権限を設定します。
    SQLサーバーとWebサーバーを分離する場合には必須の構成と思っています。
    (当方ではSQLサーバーはClusterサーバー、WebサーバーはNLBを組んでいますので分離されています)

    ken1989さんのサーバーではすべてローカルアカウントで動作しているとのことですが、
    そうであればあまり設定は無さそうですね。(ドメインに参加しなくても…)
    杞憂かもしれませんが、Webサイト以外でSQLサーバーに対してWindows認証(ドメインユーザー)が設定されていないか
    チェックすることをお勧めします。

    また、ドメインを変えるということでDNSの変更も必須です。
    FireWallの設定(確認)も必要ですね。

    参考まで。

    AppPool





    • 編集済み Koba33 2015年9月7日 1:02
    • 回答の候補に設定 佐伯玲 2015年9月8日 4:18
    • 回答としてマーク 佐伯玲 2015年9月15日 6:39
    2015年9月7日 0:31