none
ADMTによるActiveDirectoryドメイン統合 RRS feed

  • 質問

  • つい先日同類の質問をさせていただいたものです。
    前回の質問時より詳細な条件をもとに再度ご質問させていただくことを
    ご容赦ください。

    複数ドメインのActiveDirectory環境を統合する必要があります。
    以下、環境と要件です。

    ■環境

    ドメインは合計5ドメイン。それぞれ以下のとおりで

    ドメイン①が統合先、その他ドメインが統合元となります。(②~⑤を①に統合する)

    ドメイン①→Windows Server 2012 R2
    ドメイン②→Windows Server 2016
    ドメイン③→Windows Server 2003
    ドメイン④→Windows Server 2012 R2
    ドメイン⑤→Windows Server 2008 R2

    ■要件
    1.ドメイン②~⑤のユーザアカウント、グループアカウントをドメイン①に移行する。
    2.移行元で割り当てられていたSIDを保持させたまま移行させる。
    3.ドメイン②~⑤に存在する業務サーバ((例)ファイルサーバ)は統合元ドメインから脱却後、統合先ドメインへ再参加させる。
    4.上記3において、ドメイン再参加後の業務サーバのアクセス権限(アクセス許可)はユーザから見た場合に統合前と変わらないようにする。

    ■質問①
    ActiveDirectoryの移行においてユーザ・グループなどのアカウントのSIDを
    保持させたい場合は、ADMTを使用した移行方法を採用するのが一般的かと思いますが、
    今回は移行元サーバにWindows Server 2016が含まれています。
    ADMTツールはWindows 2016での動作保障がされていないのでADMTを使用しない移行方法を
    検討する必要がありますが、何か方法はありますでしょうか。
    (移行先はWindows Server 2012 R2です)

    ■質問②
     Windows Server 2016でADMTツールを使用できる場合、移行先が下位バージョンであるWindows Server 2012 R2であっても使用できますか。

    ■質問③

     (何らかの手段でユーザ・グループのSIDを引継いで移行できている前提で)統合先ドメインに再参加した場合
     ファイルサーバは統合前と変わらないNTFSアクセス許可を維持できるでしょうか。

    ■質問④

     ③→①へ統合する際、ADMTツールを使用する想定ですが、③からADMTツールを使用して情報を抽出し、
     抽出した情報を①へ単純に移行することは可能でしょうか。(2008等を経由する必要等はございますでしょうか。)

    ■質問⑤
     下記サイトのP20ページにADMT v3.2についての記載があり、内容を拝見すると移行元/先の機能レベルが”Windows Server 2003”以上となっております、つまり、OSの制限はなく、移行元/移行先のOSは2016でも問題なく、ADMTツールは使用できるということでしょうか。

    https://www.microsoft.com/ja-jp/download/details.aspx?id=19188

    以上です。

    2019年5月28日 4:55

回答

  • チャブーンです。

    この件ですが、率直に申し上げて「誰に対する、どんなレベルの質問」になりますか?言葉尻はおいておいて、実態として「MSの中の人」に「製品仕様」を聞きたいということなら、有償サポートを使ってください。前回の回答で明らかになったように、MSとしては「ADMTと同じ機能のADMT以外の製品・ソリューション」は用意していません。おそらくは「移行するならクラウド基盤(Azure AD)にお願いしたい」という意向があるからだと思っていますが、こればかりは中の人に聞かないとわからないでしょう。

    仕方がないのでコメントしますが、

    1. 基本的に自分で作りこむかサードパーティ製品を検討するしかないと思います。自分で作りこむ場合、したのようなスクリプトを使う、ということになります。このやり方ではパスワードの移行だけはできません。
      https://gallery.technet.microsoft.com/update-active-directory-cd5c5513
      https://code.msdn.microsoft.com/windowsdesktop/SIDCloner-add-sIDHistory-831ae24b
    2. ADMTは、移行先と移行元は対応OSであればどれでも使えます。またADMT自体は移行元・移行先どちらにインストールしてもよいです。ただしPES(Password Export Service)を構成するにはx86PESは今は存在しないので、Windows Server 2003を移行元にした場合パスワード移行だけはできません。
    3. 移行先アカウントに「sidHistory」がきちんと入っていれば、理論上は可能です。ただしその「確かめ」はご自身で行ってください。
    4. 2の回答の通りです。
    5. わからない(それに言及した情報はみたことがない)ので、有償サポートに聞いてください。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年6月3日 2:21
    モデレータ

すべての返信

  • 04-6400こんにちは。フォーラム オペレーターのHarukaです。
    MSDNフォーラムにご投稿くださいましてありがとうございます。

    ご質問内容から以下フォーラムのほうが投稿場所として適切かと思いましたので、
    質問の移動をさせていただきました。

    Windows Server > Active Directory

    移動後はスレッドの URL が変わりますが以前の URL でもリダイレクトされて、
    以前のページが表示されますのでご安心ください。

    どうぞよろしくお願いします。


    MSDN/ TechNet Community Support Haruka

    ~参考になった投稿には「回答としてマーク」をご設定ください。なかった場合は「回答としてマークされていない」も設定できます。同じ問題で後から参照した方が、情報を見つけやすくなりますので、
    ご協力くださいますようお願いいたします。また、MSDNサポートに賛辞や苦情がある場合は、MSDNFSF@microsoft.comまでお気軽にお問い合わせください。~

    2019年6月3日 1:40
    モデレータ
  • チャブーンです。

    この件ですが、率直に申し上げて「誰に対する、どんなレベルの質問」になりますか?言葉尻はおいておいて、実態として「MSの中の人」に「製品仕様」を聞きたいということなら、有償サポートを使ってください。前回の回答で明らかになったように、MSとしては「ADMTと同じ機能のADMT以外の製品・ソリューション」は用意していません。おそらくは「移行するならクラウド基盤(Azure AD)にお願いしたい」という意向があるからだと思っていますが、こればかりは中の人に聞かないとわからないでしょう。

    仕方がないのでコメントしますが、

    1. 基本的に自分で作りこむかサードパーティ製品を検討するしかないと思います。自分で作りこむ場合、したのようなスクリプトを使う、ということになります。このやり方ではパスワードの移行だけはできません。
      https://gallery.technet.microsoft.com/update-active-directory-cd5c5513
      https://code.msdn.microsoft.com/windowsdesktop/SIDCloner-add-sIDHistory-831ae24b
    2. ADMTは、移行先と移行元は対応OSであればどれでも使えます。またADMT自体は移行元・移行先どちらにインストールしてもよいです。ただしPES(Password Export Service)を構成するにはx86PESは今は存在しないので、Windows Server 2003を移行元にした場合パスワード移行だけはできません。
    3. 移行先アカウントに「sidHistory」がきちんと入っていれば、理論上は可能です。ただしその「確かめ」はご自身で行ってください。
    4. 2の回答の通りです。
    5. わからない(それに言及した情報はみたことがない)ので、有償サポートに聞いてください。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年6月3日 2:21
    モデレータ