- 締切済み
こんにちは、教えてください。下記のようなお客さんからDCサーバの老朽化
こんにちは、教えてください。下記のようなお客さんからDCサーバの老朽化をしているということで AD再構築案を考えております。ついでに再構成も考えてます。 【状況】 某会社で、会社統合の関係で、Aフォレスト・Bフォレスト・Cフォレストという 3フォレストが同セグメントに混在している。いずれのフォレストもシングルドメイン構成。 (Aフォレスト A.local) ドメインコントローラ2台(WIN2003、もう一台不明)、DNS・ファイルサーバを兼務。 ここのドメイン内に、sharepointサーバ、各業務サーバが配置。 NTドメイン⇒ADに移行した経緯あり。 (Bフォレスト B.local) ドメインコントローラ1台(WIN2003R2)、DNS・ファイルサーバを兼務 新規構築ドメイン。 (Cフォレスト C.local) ドメインコントローラ1台(WIN2003R2)、DNS・ファイルサーバを兼務 新規構築ドメインだと思われる。本フォレストは廃止予定。 【問題点】 (1)A.localは、ドメイン・フォレストレベルをwin2003に上げられない。 (2)フォレスト間、現状信頼関係結べない。(1)の理由のため。 (3)それぞれのフォレストのDCは老朽化している。 (4)社内に3フォレストあるので構成が複雑。 最終目標:1フォレストにまとめる。 上記に関して、質問です。細かい話はあると思いますが、以下可能でしょうか。 1.新規にDフォレストを構築 Dフォレストにフォレストルートドメインとして、A.localを作成す る。同じフォレスト内にB.localを作成する。1フォレスト・マルチツリードメイン。 2.ADMTでAフォレストのA.local→DフォレストのA.localへのリソース移行を実施。 3.Aフォレスト・A.localに参加している各業務サーバ・クライアントのDNS情報をDフォレストのDC に変更し、入りなおす。→お客さんは特にNEWドメインに入ったという意識なし。(ありえないと思い ますが) 4.Aフォレスト移行完了 5.ADMTでBフォレストのB.local→DフォレストB.localへのリソース移行を実施。 6.Bフォレスト・B.localに参加している各業務サーバ・クライアントのDNS情報をDフォレストのDC に変更し、入りなおす。→お客さんは特にNEWドメインに入ったという意識なし。(ありえないと思い ますが) 7.Bフォレスト移行完了 8.Cフォレストに関しては、廃止予定なので、DフォレストA.localに新規にユーザを作成し、 ドメインに再参加してもらう。ドメイン変更に伴い、クライアントのプロファイル等の移行を 実施する。 質問1、そもそもこんなこと可能なのか。 質問2、同じセグメント内にAフォレスト(もしくはBフォレスト)とDフォレストがあるが、 同じ名前のドメインを構築できるか。 質問3、フォレスト統合の際、業務サーバ・クライアントが影響が少ない形で、Dフォレストの各 ドメインに入るには、どのような方法があるのか。プロファイル移行とかなしで・・。 以上よろしくお願いいたします。
- avalonhead
- お礼率50% (4/8)
- Windows系OS
- 回答数2
- ありがとう数7
- みんなの回答 (2)
- 専門家の回答
みんなの回答
>フォレスト・ドメインレベルとは関係なく単純な双方向の信頼関係って結べますか? 結べます。 >Active Directory ドメインと信頼関係からですか? そのとおりです。 ドメイン名を右クリックし[プロパティ] [信頼]タブを開き、画面左下[新しい信頼]をクリックして信頼関係を作成します。 双方向で名前解決が可能であれば、片側のDCから両方向の信頼の設定ができます。 >ゴミデータって具体的に、どのようなものをさしますか? 1.システム管理者が作成した、まったく使用していないアカウント セキュリティホールの原因になるので不要になったら削除したほうがいいでしょう。 2.6ヶ月以上前のバックアップデータ、a.local に関しては2ヶ月以上前のバックアップ Windows 2000 ADのコンピューター アカウントのパスワード有効期間は30日間です。 Windows Server 2003 以降のADのコンピューター アカウントのパスワード有効期間が90日間です。 コンピューターアカウントは2個パスワードを保持しているため、それぞれ6ヶ月、2ヶ月です。 公式には、どちらも30日と記述されていますが・・・ http://support.microsoft.com/kb/175468/ja このデータでリストアすると、ユーザーとパスワードが合っていても認証に失敗します。 ディスクの肥やしになるだけなので、古すぎるバックアップは削除したほうがいいです。 3.存在しないアドレスを指しているDNSレコード 気分の問題が多分に含まれますが、メンバーコンピューターの見通しがよくなるので、削除をおすすめします。
検証作業が必要な案件を他人に聞くのは「会社として」どうなのよってのは置いといて。 嘘やいい加減な情報を書かれたらどうするんだ? (1)A.localは、ドメイン・フォレストレベルをwin2003に上げられない。 → Windows 2000 Server が他にいるようですね。 それから、個々のドメインは正常動作が確認出来ていますか? 参考 http://www.upken.jp/kb/ActiveDirectoryCheckList.html (2)フォレスト間、現状信頼関係結べない。(1)の理由のため。 → 推移的な信頼関係は結べませんが、単純な双方向の信頼関係は結べるはずです。 3つのシングルフォレスト、シングルドメインなので推移的な信頼関係は不要です。 もしできないのであれば、名前解決の問題です。 >質問1、そもそもこんなこと可能なのか。 2の時点で信頼関係が結べないのでアウトですね。 >質問2、同じ名前のドメインを構築できるか。 できません。 >質問3、ドメインに入るには、どのような方法があるのか。 Dフォレストという発想そのものを諦めるべき。 やるとしたら、 1.a.local から詳細不明なDCを降格させる。ゴミデータを削除して身奇麗にする。 2.a.local,b.local,c.local を互いに名前解決できるようにする。 すべて2003,2003R2なので、ドメイン指定のフォワーダができます。 NTドメイン名もすべて違う名前ですよね? 3.互いに名前解決ができるようになれば、信頼関係が結べるのでADMTで移行する。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_3_thumbnail_img_sm.png)
補足
回答ありがとうございます。AD歴が長くないもので、勉強になります。 なんとなくすっきりしました。おっしゃるとおり、発想を練り直してみます。 >推移的な信頼関係は結べませんが、単純な双方向の信頼関係は結べるはずです。 >3つのシングルフォレスト、シングルドメインなので推移的な信頼関係は不要です。 >もしできないのであれば、名前解決の問題です。 そもそもよくわからないのですが、フォレスト・ドメインレベルとは関係なく 単純な双方向の信頼関係って結べますか? Active Directory ドメインと信頼関係からですか?やり方がわかりません。 1.a.local から詳細不明なDCを降格させる。ゴミデータを削除して身奇麗にする。 ゴミデータって具体的に、どのようなものをさしますか? 2.NTドメイン名はすべて違います。nslookup上では、相互のドメインは、名前解決できています。