はじめに
ActiveDirectory(AD)がシングル構成で構築されている環境で、ADサーバの更改を想定した検証を行いましたので、複数の記事で紹介したいと思います。
もしかするとADがシングルで構築されていること自体が珍しいかもしれないですが、世の中にないとも言い切れません。私自身が実際にそのような環境での更改がありましたので、同じような場面に出会った方がいれば、その助けになれれば幸いです。
なお、今回は既存ADのホスト名とIPは変更しない条件での更改を検証しています。新旧のサーバが同時に存在(通信できる状態)しないように注意する必要があります。
更改の流れ
作業のどこかのタイミングで、更改対象のADサーバを停止させる必要がありますが、何も考えずに停止するとデータが失われる可能性があります。今回は既存ADを停止する前に仮のADサーバを構築し、そのADにFSMOロールを転送してから既存のADと新規ADを入れ替える流れで更改します。物理サーバ同士の更改では採用できませんが、仮想化基盤に構築されたサーバであれば空きのリソースで構築可能かと思います。
作業概要
本記事では検証環境を作ることを含めて紹介しますので、ADがいない環境に1台目のADを構築するところから始めます。作成された1台目のADほ本番環境で動いているADに見立てて検証します。
以下の順番で作業を行います。
1.既存AD構築
2.仮AD構築
3.FSMOロールの転送
4.既存AD降格、ネットワークからの切り離し
5.新規ADの構築(ホスト名、IPアドレスの変更含)
補足①ホスト名の変更について
「仮サーバを構築しなくても、新規ADがドメインに参加してレプリケーションした後に、ホスト名とIPを単純に変更すれば良いのでは?」という疑問に対しての補足です。一般的に「ドメインコントローラが自身のホスト名を変更できない」言われているのですが、その根拠がいまいち分かりませんでした。という事で、何が起こるか試してみた結果…そのホストにログインができなくなりました。システム的に壊れてしまうんですかね。以下の記事で試した結果を残したので、参照してみてください。
補足②FSMOロールについて
工程の一つにFSMOロールの転送がありますが、転送せずともロールを持っているADが停止すれば、自動的に稼働しているサーバに送られないのかな?という疑問がありました。
結果から言うと、FSMOロールは停止時に自動で転送されません。そのADを起動できないと判断した場合には強制転送する必要が出てきます。
検証環境では色々試せるので、強制転送した際の記録は以下の記事を参照してみて下さい。
そもそもFSMOって?という理解度だったので、自分なりに調べて検証しました。概念どまりのところを実機の操作で少し理解を試みるのは結構好きです。
構成
検証の構成は以下の通りです。adsv01が別の用途で既に動いていたので、adsv02を更改する想定で検証しました。
ホスト名:adsv02
OS:WindowsServer 2022
IPアドレス:172.16.1.148
ホスト名:adsv03
OS:WindowsServer 2022
IPアドレス:172.16.1.149
