お世話になります。
古いWinNT4.0(PDC)があり、今回Win2003経由でWin2008R2にAD移行し、別セグメントに
設置することになりました。その際に、
クライアントPCのドメイン名がNetBiosからFQDNに切り替わらず、AD認証ができません。
クライアントPCの台数が多いため、参照DNS変更のみで、できないものでしょうか?
クライアントPCのドメイン再参加(ワークグループ→ドメイン参加)ではうまくいきます。
また、同一セグメント上でAD移行した際は、クライアントPCのドメイン名がNetbiosから
FQDNに自動的に切り替わり、参照DNSを新サーバのIPアドレスに変更するだけで、利用可
能な状態となりました。
要件、環境は以下になります。どうぞ、宜しくお願いします。
【要件】
・旧サーバのドメイン名(NetBios)を継続する。
・仲介サーバ(NT→2003アップグレードインストール)を利用する。
・新サーバのIPアドレスは別セグメントとする。
・名前解決はHOSTS/LMHOSTSから新サーバのDNSとする。
・信頼関係を再設定する。名前解決はDNS。
・クライアントPCはドメインの再参加せず、参照DNSの変更、再起動を行う
・トラブル対応のため、旧サーバでロールバックができるように考慮する。
【現行環境】
1.旧サーバ(WinNT4.0(PDC)SP6)
・IPアドレス:192.168.0.10
・信頼関係:ファイルサーバ(名前解決:LMHOSTS)
・ドメイン名(Netbios):NTDOM
2.ファイルサーバ(Win2003R2(AD)SP2)
・IPアドレス:172.16.1.30 ※別セグメント
・信頼関係:旧サーバ(名前解決:LMHOSTS)
・ドメイン名(Netbios):FILEDOM
・ドメイン名(FQDN):FILEDOM.local
3.クライアントPCグループA(Win2000/XP/Vista)
・IPアドレス:192.168.0.xxx
・旧サーバ、ファイルサーバの名前解決はHOSTSで解決
・ドメイン名(Netbios):NTDOM ※ログオン先:FILEDOMも可能
・ファイルサーバの共有フォルダ:アクセス可能
4.クライアントPCグループB(Win2000/XP/Vista)
・IPアドレス:172.16.1.xxx ※別セグメント
・旧サーバ、ファイルサーバの名前解決はLMHOSTSで解決
・ドメイン名(Netbios):NTDOM ※ログオン先:FILEDOMも可能
・ファイルサーバの共有フォルダ:アクセス可能
5.各セグメント間通信
・L3/L2スイッチ等を利用
【新環境】
6.新サーバ(Win2008R2(AD)SP1)×2台構成
・IPアドレス:172.16.20.11、172.16.20.12(2台目の新サーバ)
・信頼関係:ファイルサーバ(名前解決:DNS)
・ドメイン名(Netbios):NTDOM
・ドメイン名(FQDN):NTDOM.hogehoge.local.net
【サーバ手順】
1.旧サーバ(WinNT4.0(PDC))から仲介サーバ(WinNT4.0(BDC))を構築
2.仲介サーバをネットワークから切り離す。
3.仲介サーバをBDCからPDCへ強制的に昇格する。
旧サーバ情報削除
信頼関係削除
4.仲介サーバのIPアドレスを172.16.20.10に変更する
5.仲介サーバへWin2003をアップグレードインストールする。
AD構築:FQDNを「NTDOM.hogehoge.local.net」とする
DNS構築:正引きのみ構築
ドメイン機能レベル:2003に昇格
6.仲介サーバへWin2008R2のCDからスキーマ拡張を実施。
7.新サーバ2台にDCを追加する。
8.新サーバ(1号機)に操作マスタ(FSMO)を転送する
9.仲介サーバからDC降格し、メンバサーバとする。
10.仲介サーバをメンバサーバから降格し、撤去する。
11.新サーバを機能レベルを変更する
フォレスト機能レベル:2008R2
ドメイン機能レベル:2008R2
12.新サーバをネットワーク環境に接続する。
13.ファイルサーバと信頼関係を結ぶ
新サーバ、ファイルサーバでの名前解決はDNSへセカンダリ追加、
又は条件付きフォワーダで解決
【クライアント手順】
1.HOSTS/LMHOSTSの旧サーバ、ファイルサーバの記述を削除する
2.参照DNSを変更する
3.再起動する。
4.ドメインにログオンする。
↑↑ ・ここで認証ができない。
・キャッシュログオンできる。
・ドメイン名がNetbios表示の状態
・nslookupでFQDNでは名前解決は可能
以上、宜しくお願いします。
