Active DirectoryをWindows Server 2012 R2へ移行する際の注意点3つ
Windows Updateを面倒臭がって、Active Directory移行作業しようとする人が居たので、備忘録を兼ねて書き込み。
Windows Updateを行わずにWindows Server 2003からActive Directoryを移行すると、特定の条件でログオンができなくなります。
上記は2014年に発覚したものです。メーカー製サーバのプリインストールOSではパッチが当たった状態で出荷されていることが多いですが、いちからインストールした場合、同様のケースに陥るケースがあります。
Windows Updateはセキュリティパッチだけでなく、バグ修正も沢山あるので、Windows Updateは必ず行ってから作業するようにしてください。
他の原則は以下の通り。
1.ドメインコントローラの構築、移行はWindows Updateを行ってから実施してください。
最低でもドメインコントローラのサービスパックは合わせてください。Windows Server 2012 R2 ”Update”まで合わせることを強く推奨します。
2.ADサーバのFSMOは、必ず物理サーバにしてください。
上記記事ではFSMOとは書いていませんが、FSMOを物理サーバにしたほうが懸命です。時刻がおかしくなると認証情報に不整合が発生することになり、AD全体の障害に発展します。FSMOにタスクマネージャを設定し、NTPサーバに時刻の矯正を頻繁に行っているケースをたまに見ますが、それはNTPとネットワークが正常であることが大前提の実装で、例えばNTPサーバやネットワークを計画停止して復旧したらADにログオンできなくなった、というトラブルが発生します。
3.ドメインコントローラに別のサーバをインストールしない。
同じマイクロソフトのサーバ内の機能でもWSUS、RemoteAppのRD接続ブローカーは共存が推奨されません。インストール自体は可能ですが、あくまで検証環境用と考えてください。ドメインコントローラに他のサーバをインストールすること自体が非推奨です。
上記原則を無視して本番環境を構築した場合、1、2を無視してトラブルが発生すると「正常なバックアップデータ」が無いと復旧不可能です。最悪の展開では、ADを再構築して、PC1台ごとにドメイン参加とローカルデータ移行をやりなおすことになります。
3を無視した場合、ドメインコントローラのアップグレードと他のサーバのアップグレードを同時に行わなければならないリスクを抱えて運用することになります。トラブル発生はドメインコントローラと、他のサーバ機能が同時に利用不可になります。仮想化全盛の昨今では、1サーバ1機能を徹底しているお客様が多く、SEにとってはありがたいのですが、仮想化が進んでいないお客様では機器費用削減のために3を強行することがあります。認証サーバに他の機能を持たせること自体が危険と考えて頂ければ幸いです。
最後に、本記事と重複しますが去年1月に書いた記事をリンクしておきます。こちらも合わせて見て頂ければありがたいです。
