Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする方法

文書翻訳 文書翻訳
文書番号: 325379 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Microsoft Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする方法、および Windows 2000 ドメインに新しい Windows Server 2003 ドメイン コントローラーを追加する方法について説明します。ドメイン コントローラーを Windows Server 2008 または Windows Server 2008 R2 にアップグレードする方法の詳細については、次のマイクロソフト Web サイトを参照してください。
http://technet.microsoft.com/ja-jp/library/ee522994(WS.10).aspx#

ドメインおよびフォレストのインベントリ

Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする前、または Windows 2000 ドメインに新しい Windows Server 2003 ドメイン コントローラーを追加する前に、次の手順を実行します。
  1. SMB 署名の互換性に対処するために、Windows Server 2003 ドメイン コントローラーをホストするドメイン内のリソースにアクセスするクライアントのインベントリを実行します。

    各 Windows Server 2003 ドメイン コントローラーでは、ローカル セキュリティ ポリシーで SMB 署名が有効になっています。SMB/CIFS プロトコルを使用して Windows Server 2003 ドメイン コントローラーをホストするドメイン内の共有ファイルやプリンターにアクセスするすべてのネットワーク クライアントが、SMB 署名をサポートするように構成またはアップグレードできることを確認します。できない場合は、更新プログラムをインストールできるようになるまで、または SMB 署名をサポートしている新しいオペレーティング システムにクライアントをアップグレードできるようになるまで、一時的に SMB 署名を無効にします。SMB 署名を無効にする方法の詳細については、この手順の最後にある「SMB 署名を無効にする方法」を参照してください。

    対処方法

    一般的な SMB クライアントの場合の対処方法を以下に示します。
    • Microsoft Windows Server 2003、Microsoft Windows XP Professional、Microsoft Windows 2000 Server、Microsoft Windows 2000 Professional、および Microsoft Windows 98

      対処は必要ありません。
    • Microsoft Windows NT 4.0

      Windows Server 2003 ベースのコンピューターを含んだドメインにアクセスするすべての Windows NT 4.0 ベースのコンピューターに、Service Pack 3 以降 (Service Pack 6a を推奨) をインストールします。または、Windows Server 2003 ドメイン コントローラーで一時的に SMB 署名を無効にします。SMB 署名を無効にする方法の詳細については、この手順の最後にある「SMB 署名を無効にする方法」を参照してください。
    • Microsoft Windows 95

      Windows 95 ベースのコンピューターに Windows 9x ディレクトリ サービス クライアントをインストールするか、Windows Server 2003 ドメイン コントローラーの SMB 署名を一時的に無効にします。オリジナルの Win9x ディレクトリ サービス クライアントは、Windows 2000 Server の CD-ROM に含まれています。ただし、このクライアント アドオンは、強化された Win9x ディレクトリ サービス クライアントに置き換えられています。SMB 署名を無効にする方法の詳細については、この手順の最後にある「SMB 署名を無効にする方法」を参照してください。
    • Microsoft Network Client for MS-DOS および Microsoft LAN Manager クライアント

      Microsoft Network Client for MS-DOS (MS-DOS 用ネットワーク クライアント) および Microsoft LAN Manager 2.x ネットワーク クライアントは、ネットワーク リソースへのアクセスに使用されることがあります。また、ソフトウェアのインストール処理の一環としてオペレーティング システム ファイルや他のファイルをファイル サーバー上の共有ディレクトリからコピーするために、起動用フロッピー ディスクに組み込まれていることもあります。これらのクライアントは、SMB 署名をサポートしていません。別のインストール方法を使用するか、SMB 署名を無効にしてください。SMB 署名を無効にする方法の詳細については、この手順の最後にある「SMB 署名を無効にする方法」を参照してください。
    • Macintosh クライアント

      一部の Macintosh クライアントは、SMB 署名との互換性がなく、ネットワーク リソースに接続しようとすると、次のエラー メッセージが表示されます。
      - Error -36 I/O
      更新対象のソフトウェアがインストールされていない場合は、インストールします。または、Windows Server 2003 ドメイン コントローラーで SMB 署名を無効にします。SMB 署名を無効にする方法の詳細については、この手順の最後にある「SMB 署名を無効にする方法」を参照してください。
    • その他のサードパーティの SMB クライアント

      一部のサードパーティの SMB クライアントは、SMB 署名をサポートしていません。SMB の提供元に、更新版が存在するかどうかを問い合わせてください。または、Windows Server 2003 ドメイン コントローラーで SMB 署名を無効にします。
    SMB 署名を無効にする方法

    Windows Server 2003 の導入前にインストールされた Windows 95、Windows NT 4.0、または他のクライアントを実行している、影響を受けるドメイン コントローラーにソフトウェア更新プログラムをインストールできない場合は、クライアント ソフトウェアの更新版を展開できるようになるまで、グループ ポリシーで SMB サービス署名の要件を一時的に無効にしてください。

    SMB サービス署名は、Domain Controllers 組織単位の Default Domain Controllers Policy の次のノードで無効にすることができます。
    コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\Microsoft ネットワーク サーバー:常に通信にデジタル署名を行う
    ドメイン コントローラーの組織単位内にドメイン コントローラーが存在しない場合は、既定のドメイン コントローラーのグループ ポリシー オブジェクト (GPO) を、Windows 2000 または Windows Server 2003 のドメイン コントローラーをホストするすべての組織単位にリンクする必要があります。または、それらの組織単位にリンクされている GPO で SMB サービス署名を設定することもできます。
  2. ドメイン内およびフォレスト内にあるドメイン コントローラーのインベントリを実行します。
    1. フォレスト内のすべての Windows 2000 ドメイン コントローラーに、適切な修正プログラムおよび Service Pack がすべてインストールされていることを確認します。

      マイクロソフトでは、すべての Windows 2000 ドメイン コントローラーで Windows 2000 Service Pack 4 (SP4) 以降のオペレーティング システムを実行することをお勧めします。Windows 2000 SP4 以降を全体に展開できない場合は、すべての Windows 2000 ドメイン コントローラーに、日付スタンプとバージョンがそれぞれ 2001 年 6 月 4 日および 5.0.2195.3673 以降の Ntdsa.dll ファイルを配置する必要があります。 関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
      331161 adprep /Forestprep コマンドを実行してフォレストとドメインに Windows Server 2003 ベースのドメイン コントローラを追加する準備を行う前に、Windows 2000 ドメイン コントローラにインストールする修正プログラム
      既定で、Windows 2000 SP4、Windows XP、および Windows Server 2003 クライアント コンピューターの Active Directory 管理ツールは LDAP (Lightweight Directory Access Protocol) 署名を使用します。それらのコンピューターが Windows 2000 ドメイン コントローラーをリモートから管理する際に NTLM 認証を使用する (またはフォール バックする) 場合、接続が機能しません。この現象を解決するには、リモートで管理するドメイン コントローラーに Windows 2000 SP3 以降をインストールする必要があります。それを行わない場合は、管理ツールを実行するクライアントで LDAP 署名を無効にする必要があります。 LDAP の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
      325465 Windows Server 2003 管理ツールを使用する場合、Windows 2000 ドメイン コントローラは SP3 またはそれ以降の Service Pack が必要
      NTLM 認証が使用されるのは、以下の場合です。
      • NTLM (非 Kerberos) 信頼で接続されている外部フォレストにある Windows 2000 ドメイン コントローラーを管理する場合。
      • Microsoft 管理コンソール (MMC) スナップインで、IP アドレスを指定して特定のドメイン コントローラーを表示する場合。たとえば、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックし、次のコマンドを入力した場合。
        dsa.msc /server=ipaddress
      Active Directory ドメイン内の Active Directory ドメイン コントローラーのオペレーティング システムおよび Service Pack リビジョン レベルを調べるには、フォレスト内の Windows XP Professional または Windows Server 2003 メンバー コンピューターから Windows Server 2003 バージョンの Repadmin.exe をインストールし、フォレスト内の各ドメインにあるドメイン コントローラーに対して次の repadmin コマンドを実行します。
      >repadmin /showattr name of the domain controller that is in the target domain ncobj:domain:/filter:"(&(objectCategory=computer)(primaryGroupID=516))" /subtree /atts:operatingSystem,operatingSystemVersion,operatingSystemServicePack

      DN:CN=NA-DC-01,organizational unit=Domain Controllers,DC=company,DC=com
      1> operatingSystem:Windows Server 2003
      1> operatingSystemVersion: 5.2 (3718)
      DN:CN=NA-DC-02,organizational unit=Domain Controllers,DC=company,DC=com

      1> operatingSystem:Windows 2000 Server
      1> operatingSystemVersion:5.0 (2195)
      1> operatingSystemServicePack:Service Pack 1
      :ドメイン コントローラーの属性に、個々の修正プログラムのインストール履歴は記録されていません。
    2. フォレスト全体のエンド ツー エンドの Active Directory レプリケーション (複製) を確認します。

      アップグレードされたフォレスト内の各ドメイン コントローラーが、ローカルに保持している名前付けコンテキストを、サイト リンクまたは接続オブジェクトで定義されたスケジュールで、一貫してパートナーに複製していることを確認します。フォレスト内の Windows XP または Windows Server 2003 ベースのメンバー コンピューター上にある Windows 2003 バージョンの Repadmin.exe を、以下の引数と共に使用します。
      REPADMIN /REPLSUM /BYSRC /BYDEST /SORT:DELTA              <-output formatted to fit on page
      
      DestDC    largest delta    fails/total  %%  error
      
      NA-DC-01 13d.21h:10m:10s    97 / 143  67  (8240) There is no such object...
      NA-DC-02 13d.04h:11m:07s   180 / 763  23  (8524) The DSA operation...
      NA-DC-03 12d.03h:54m:41s     5 /   5 100  (8524) The DSA operation...
      フォレスト内のすべてのドメイン コントローラーでエラーが発生することなく Active Directory がレプリケートされる必要があります。また、repadmin の出力の "Largest Delta" 列の値が、指定したレプリケート先ドメイン コントローラーによって使用される、対応するサイト リンクまたは接続オブジェクトのレプリケーション間隔を極端に上回らないようにする必要があります。

      廃棄 (Tombstone) の有効期間 (TSL) の日数 (既定では 60 日) 以内に入力方向のレプリケーションに失敗したドメイン コントローラー間のレプリケーション エラーをすべて解決します。レプリケーションが正常に機能しない場合は、ドメイン コントローラーを強制的に降格し、Ntdsutil の metadata cleanup コマンドを使用してそれらをフォレストから削除した後、それらを再びフォレスト内で昇格させることが必要な場合があります。孤立したドメイン コントローラー上のオペレーティング システムとプログラムの両方を保存するために、強制降格を使用することができます。 孤立した Windows 2000 ドメイン コントローラーをドメインから削除する方法の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
      216498 ドメイン コントローラの降格に失敗した後、Active Directory のデータを削除する方法
      この操作は、オペレーティング システムおよびインストールされたプログラムを修復する最後の手段として実行してください。この操作を行うと、ユーザー、コンピューター、信頼関係、それらのパスワード、グループ、グループ メンバーシップなどのレプリケートされていないオブジェクトおよび属性が、孤立したドメイン コントローラー上から失われます。

      廃棄の有効期間の日数より長い期間、特定の Active Directory パーティションに対する入力方向の変更をレプリケートしていないドメイン コントローラーでレプリケーション エラーを解決する際には、注意が必要です。エラーを解決する際、あるドメイン コントローラーで削除されたオブジェクトの削除の情報が、過去 60 日以内にその直接的または推移的なパートナーに送信されていない場合、削除されたオブジェクトが復元される場合があります。

      過去 60 日以内に入力方向のレプリケーションを実行していないドメイン コントローラーの残留オブジェクトを削除することを検討してください。また、廃棄の有効期間の日数以内に特定のパーティションに対して入力方向のレプリケーションを実行していないドメイン コントローラーを強制的に降格し、Ntdsutil などのユーティリティを使用して、残っているメタデータを Active Directory フォレストから削除することもできます。詳細については、サポート プロバイダーまたは Microsoft PSS に問い合わせてください。
    3. Sysvol 共有の内容に整合性があることを確認します。

      グループ ポリシーのファイル システム部分に整合性があることを確認します。リソース キットの Gpotool.exe を使用して、ドメイン内のポリシーに不一致がないかどうかを調べることができます。Sysvol 共有のレプリカ セットが各ドメイン内で正しく機能しているかどうかを、Windows Server 2003 サポート ツールの Healthcheck を使用して調べてください。

      Sysvol 共有の内容に矛盾がある場合は、すべての矛盾を解決します。
    4. サポート ツールの Dcdiag.exe を使用して、すべてのドメイン コントローラーに共有 Netlogon および Sysvol 共有が存在することを確認します。このためには、コマンド プロンプトで次のコマンドを入力します。
      dcdiag.exe /e /test:frssysvol
    5. 操作の役割のインベントリを実行します。

      スキーマおよびインフラストラクチャの操作マスターを使用して、フォレストおよびドメイン全体のスキーマ変更を、Windows Server 2003 の adprep ユーティリティによって作成されるフォレストとそのドメインに導入します。フォレスト内の各ドメインのスキーマの役割とインフラストラクチャの役割をホストするドメイン コントローラーがオンラインのドメイン コントローラーに存在するかどうか、および最後の再起動以降に各役割の所有者がすべてのパーティションに対して入力方向のレプリケーションを実行したかどうかを確認します。

      フォレスト全体およびドメイン全体の操作の役割を参照するためには、DCDIAG /test:FSMOCHECK コマンドを使用できます。存在しないドメイン コントローラーにある操作マスターの役割は、Ntdsutil を使用して正常なドメイン コントローラーに配置する必要があります。正常ではないドメイン コントローラーに存在する役割は、可能であれば転送します。転送できない場合は、役割を強制する必要があります。NETDOM QUERY FSMO コマンドでは、削除されたドメイン コントローラーに存在する FSMO の役割は識別されません。

      最後の再起動以降にスキーマ マスターおよび各インフラストラクチャ マスターが Active Directory の入力方向のレプリケーションを実行したかどうかを確認します。入力方向のレプリケーションは、REPADMIN /SHOWREPS DCNAME コマンドを使用して確認できます。DCNAME には、NetBIOS コンピューター名、またはドメイン コントローラーの完全修飾コンピューター名を指定します。 操作マスターとその配置の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
      197132 Windows 2000 Active Directory の FSMO 役割
      223346 Active Directory ドメイン コントローラ上への FSMO の配置と最適化
    6. イベント ログを確認します。

      すべてのドメイン コントローラー上のイベント ログで、問題のあるイベントがあるかどうかを調べます。以下のプロセスおよびコンポーネントのいずれかに関する問題を示す重大なイベント メッセージが、イベント ログに含まれていないことを確認します。
      物理的な接続
      ネットワーク接続
      名前登録
      名前解決
      認証
      グループ ポリシー
      セキュリティ ポリシー
      ディスク サブシステム
      スキーマ
      トポロジ
      レプリケーション エンジン
    7. ディスク領域のインベントリを実行します。

      Active Directory データベース ファイル Ntds.dit を含むボリュームには、少なくとも Ntds.dit ファイルのサイズの 15 〜 20% の空き領域が必要です。Active Directory ログ ファイルを含むボリュームにも、少なくとも Ntds.dit ファイルのサイズの 15 〜 20% の空き領域が必要です。ディスクの空き領域を増やす方法の詳細については、この資料の「十分なディスク領域のないドメイン コントローラー」を参照してください。
    8. DNS の清掃を行います (オプション)。

      フォレスト内のすべての DNS サーバーで、7 日間隔の DNS 清掃を有効にします。最良の結果を得るため、この処理はオペレーティング システムをアップグレードする 61 日以上前に実行してください。この日数があれば、Ntds.dit ファイルに対してオフラインのディスク最適化が実行されるときに、DNS 清掃デーモンで古い DNS オブジェクトのガベージ コレクションを行うことができます。
    9. DLT サーバー サービスを無効にします (オプション)。

      分散リンク トラッキング (DLT) サーバー サービスは、新規インストールおよびアップグレード インストールの Windows Server 2003 ドメイン コントローラーでは無効になります。分散リンク トラッキングを使用しない場合は、Windows 2000 ドメイン コントローラーで DLT サーバー サービスを無効にして、フォレスト内の各ドメインから DLT オブジェクトを削除できます。詳細については、次のサポート技術情報の資料の「Windows 2000 ベースのサーバーでの分散リンク トラッキングに関するマイクロソフトの推奨事項」を参照してください。
      312403 Windows ベースのドメイン コントローラでの分散リンク トラッキング
    10. システム状態をバックアップします。

      フォレスト内のドメインごとに、少なくとも 2 つのドメイン コントローラーのシステム状態をバックアップします。アップグレードが正常に行われなかった場合に、バックアップを使用してフォレスト内のすべてのドメインを復元することができます。

Windows 2000 フォレストにおける Microsoft Exchange 2000

  • この説明は、Windows 2000 フォレストに Exchange 2000 Server がインストールされている場合、または Exchange 2000 Server をこれからインストールする場合に、Windows Server 2003 の adprep /forestprep コマンドを実行する前に読んでください。
  • Microsoft Exchange Server 2003 スキーマの変更をインストールする場合は、Windows Server 2003 の adprep コマンドを実行する前に「概要:Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする」に進んでください。
Exchange 2000 スキーマでは、RFC (Request for Comment) に準拠していない LDAPDisplayName を使用して、3 つの inetOrgPerson 属性(houseIdentifiersecretary、および labeledURI) が定義されています。

Windows 2000 InetOrgPerson Kit および Windows Server 2003 の adprep コマンドでは、RFC に準拠した 3 つの属性が定義されています。これらの属性には、RFC に準拠していないバージョンと同じ LDAPDisplayName が使用されています。

Windows 2000 および Exchange 2000 のスキーマの変更を含んだフォレストで修正スクリプトを使用せずに Windows Server 2003 の adprep /forestprep コマンドを実行すると、houseIdentifierlabeledURI、および secretary 属性の LDAPDisplayName が破損します。ディレクトリ内のオブジェクトおよび属性の名前が一意になるように、競合する属性名の先頭に"Dup"または他の一意の文字が追加された場合、属性は "破損" します。


次の場合は、Active Directory のフォレストでこれらの属性の LDAPDisplayName が破損する危険性はありません。
  • Exchange 2000 スキーマを追加する前に、Windows 2000 スキーマを含むフォレストで Windows Server 2003 の adprep /forestprep コマンドを実行する場合
  • Windows Server 2003 ドメイン コントローラーがフォレストの最初のドメイン コントローラーである状況で作成されたフォレストに、Exchange 2000 スキーマをインストールする場合
  • Windows 2000 スキーマを含むフォレストに Windows 2000 InetOrgPerson Kit を追加してから Exchange 2000 スキーマの変更をインストールし、その後で Windows Server 2003 の adprep /forestprep コマンドを実行する場合
  • Exchange 2000 スキーマを既存の Windows 2000 フォレストに追加してから、Windows Server 2003 の adprep /forestprep コマンドを実行する前に Exchange 2003 /forestprep を実行する場合
次の場合に、Windows 2000 で属性の破損が発生します。
  • Windows 2000 InetOrgPerson Kit をインストールする前に、Windows 2000 フォレストに Exchange 2000 版の labeledURI 属性、houseIdentifier 属性、および secretary 属性を追加した場合
  • 最初にクリーンアップ スクリプトを実行せず、Windows Server 2003 の adprep /forestprep コマンドを実行する前に、Windows 2000 フォレストに Exchange 2000 版の labeledURI 属性、houseIdentifier 属性、および secretary 属性を追加した場合
それぞれの事例に対する対処方法を以下に示します。

事例 1:Windows Server 2003 の adprep /forestprep コマンドの実行後に Exchange 2000 スキーマの変更を追加した

Windows Server 2003 の adprep /forestprep コマンドを実行した後に Exchange 2000 スキーマの変更を Windows 2000 フォレストに適用する場合、クリーンアップは必要ありません。「概要:Windows 2000 ドメイン コントローラーの Windows Server 2003 へのアップグレード」に進みます。

事例 2:Windows Server 2003 の adprep /forestprep コマンドの実行前に Exchange 2000 スキーマの変更をインストールした

Exchange 2000 スキーマの変更を既にインストール済みで、Windows Server 2003 の adprep /forestprep コマンドを実行していない場合は、以下の対処方法を検討します。
  1. Schema Admins セキュリティ グループのメンバーであるアカウントを使用して、スキーマ操作マスターのコンソールにログオンします。
  2. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、[名前] ボックスに「notepad.exe」と入力し、[OK] をクリックします。
  3. 次のテキストを、"schemaUpdateNow: 1" の後の "-" も含め、メモ帳にコピーします。
    dn:CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
    changetype:Modify
    replace:LDAPDisplayName
    LDAPDisplayName:msExchAssistantName
    -

    dn:CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
    changetype:Modify
    replace:LDAPDisplayName
    LDAPDisplayName:msExchLabeledURI
    -

    dn:CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
    changetype:Modify
    replace:LDAPDisplayName
    LDAPDisplayName:msExchHouseIdentifier
    -

    dn:
    changetype:Modify
    add:schemaUpdateNow
    schemaUpdateNow:1
    -
  4. 各行の末尾に空白がないことを確認します。
  5. [ファイル] メニューの [上書き保存] をクリックます。[名前を付けて保存] ダイアログ ボックスで、次の手順を実行します。
    1. [ファイル名] ボックスに次のように入力します。
      \%userprofile%\InetOrgPersonPrevent.ldf
    2. [ファイルの種類] ボックスの一覧の [すべてのファイル] をクリックします。
    3. [文字コード] ボックスの一覧の [Unicode] をクリックします。
    4. [保存] をクリックします。
    5. メモ帳を終了します。
  6. InetOrgPersonPrevent.ldf スクリプトを実行します。
    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに「cmd」と入力し、[OK] をクリックします。
    2. コマンド プロンプトで次のように入力し、Enter キーを押します。
      cd %userprofile%
    3. 次のコマンドを入力します。
      c:\documents and settings\%username%>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "domain name path for forest root domain"
      構文について:
      • DC=X は定数であり、大文字と小文字が区別されます。
      • ルート ドメインのドメイン名パス (domain name path for the root domain) は、二重引用符で囲む必要があります。
      たとえば、フォレストのルート ドメインが TAILSPINTOYS.COM である Active Directory フォレストのコマンド構文の例を以下に示します。
      c:\documents and settings\administrator>ldifde -i -f inetorgpersonprevent.ldf -v -c DC=X "dc=tailspintoys,dc=com"
      以下のメッセージが表示される場合は、
      Schema Update Allowed
      レジストリ サブキーを変更する必要があります。
      スキーマの更新はこのドメイン コントローラーで許可されていません。レジストリ キーが設定されていないか、またはドメイン コントローラーがスキーマの FSMO の役割の所有者ではありません。
      このレジストリ サブキーを変更する方法の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
      285172 スキーマの更新には、Active Directory のスキーマに対する書き込みのアクセス許可が必要
  7. Windows Server 2003 の adprep /forestprep コマンドを実行する前に、スキーマ名前付けコンテキストの CN=ms-Exch-Assistant-Name 属性、CN=ms-Exch-LabeledURI 属性、および CN=ms-Exch-House-Identifier 属性の LDAPDisplayName が、msExchAssistantName、msExchLabeledURI、および msExchHouseIdentifier として表示されていることを確認します。
  8. 概要:Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする」に進み、adprep /forestprep コマンドおよび /domainprep コマンドを実行します。

事例 3:最初に inetOrgPersonFix を実行せずに Windows Server 2003 の forestprep コマンドを実行した

Exchange 2000 スキーマの変更を含む Windows 2000 フォレストで Windows Server 2003 の adprep /forestprep コマンドを実行すると、houseIdentifiersecretary、および labeledURI の LdapDisplayname 属性が破損します。破損した名前を特定するには、Ldp.exe を使用して影響を受けた属性を見つけます。
  1. Microsoft Windows 2000 または Windows Server 2003 のメディアの Support\Tools フォルダーから、Ldp.exe をインストールします。
  2. フォレスト内のドメイン コントローラーまたはメンバー コンピューターから Ldp.exe を実行します。
    1. [Connection] メニューの [Connect] をクリックします。[Server] ボックスは空のままにし、[Port] ボックスに「389」と入力し、[OK] をクリックします。
    2. [Connection] メニューの [Bind] をクリックし、すべてのボックスを空にして [OK] をクリックします。
  3. SchemaNamingContext 属性の識別名のパスを記録します。たとえば、CORP.ADATUM.COM フォレストのドメイン コントローラーでは、識別名のパスは CN=Schema,CN=Configuration,DC=corp,DC=company,DC=com です。
  4. [Browse] メニューの [Search] をクリックします。
  5. 以下の設定を使用して、[Search] ダイアログ ボックスを構成します。
    • Base DN:手順 3. で確認したスキーマ名前付けコンテキストの識別名のパス
    • Filter:(ldapdisplayname=dup*)
    • Scope:Subtree
  6. 破損している houseIdentifier 属性、secretary 属性、および labeledURI 属性は、次のような形式の LDAPDisplayName 属性として表示されます。
    LDAPDisplayName:DUP-labeledURI-9591bbd3-d2a6-4669-afda-48af7c35507d;
    LDAPDisplayName:DUP-secretary-c5a1240d-70c0-455c-9906-a4070602f85f
    LDAPDisplayName:DUP-houseIdentifier-354b0ca8-9b6c-4722-aae7-e66906cc9eef
  7. 手順 6. で labeledURI、secretary、および houseIdentifier の LDAPDisplayName が破損していた場合は、Windows Server 2003 の InetOrgPersonFix.ldf スクリプトを実行して修復した後、「Winnt32.exe を使用して Windows 2000 ドメイン コントローラーをアップグレードする」に進みます。
    1. %Systemdrive%\IOP という名前のフォルダーを作成し、InetOrgPersonFix.ldf ファイルをこのフォルダーに抽出します。
    2. コマンド プロンプトで、「cd %systemdrive%\iop」と入力します。
    3. Windows Server 2003 インストール メディアの Support\Tools フォルダーにある Support.cab ファイルから InetOrgPersonFix.ldf を抽出します。
    4. スキーマ操作マスターのコンソールから、Ldifde.exe を使用して InetOrgPersonfix.ldf ファイルを読み込み、houseIdentifiersecretary、および labeledURI 属性の LdapDisplayName 属性を修正します。これを行うには、以下のコマンドを入力します。<X> は大文字と小文字を区別する定数で、<dn path for forest root domain> はフォレストのルート ドメインのドメイン名のパスです。
      C:\IOP>ldifde -i -f inetorgpersonfix.ldf -v -c DC=X "domain name path for forest root domain"
      構文について:
      • DC=X は定数であり、大文字と小文字が区別されます。
      • フォレストのルート ドメインのドメイン名パスは、二重引用符で囲む必要があります。
  8. Exchange 2000 をインストールする前に、スキーマの名前付けコンテキスト内の houseIdentifier 属性、secretary 属性、および labeledURI 属性が破損していないことを確認します。
Services for UNIX 2.0 と競合する関連スキーマの関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
293783 Windows Services for UNIX 2.0 をインストールした Windows 2000 Server を Windows Server 2003 にアップグレードできない

概要:Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードする

Windows Server 2003 の adprep コマンドを Windows Server 2003 メディアの \I386 フォルダーから実行し、Windows 2000 フォレストとそのドメインに Windows Server 2003 ドメイン コントローラーを追加するための準備を行います。Windows Server 2003 の adprep /forestprep コマンドにより、以下の機能が追加されます。
  • オブジェクト クラスの既定のセキュリティ記述子の強化
  • ユーザーおよびグループの新しい属性
  • inetOrgPerson と同様の新しいスキーマ オブジェクトおよび属性
adprep ユーティリティは、以下の 2 つのコマンドライン引数をサポートします。
adprep /forestprep:フォレストのアップグレード操作を実行します。
adprep /domainprep:ドメインのアップグレード操作を実行します。
adprep /forestprep コマンドは、フォレストのスキーマ操作マスター (FSMO) で実行される 1 回限りの操作です。adprep /domainprep をドメイン内で実行するためには、forestprep 操作を完了して各ドメインのインフラストラクチャ マスターをレプリケートする必要があります。

adprep /domainprep コマンドは、新しいまたはアップグレードされた Windows Server 2003 ドメイン コントローラーをホストするフォレストの各ドメインの、インフラストラクチャ操作マスター ドメイン コントローラーで実行する 1 回限りの操作です。adprep /domainprep コマンドにより、forestprep による変更がドメイン パーティションにレプリケートされていることが確認された後、domainprep の変更がドメイン パーティションおよび Sysvol 共有のグループ ポリシーに適用されます。

/forestprep および /domainprep の処理が完了して、そのドメイン内のすべてのドメイン コントローラーにレプリケートされていない場合は、以下の操作はどちらも実行できません。
  • Winnt32.exe を使用して Windows 2000 ドメイン コントローラーを Windows Server 2003 ドメイン コントローラーにアップグレードする。

    :Windows 2000 のメンバー サーバーおよびコンピューターを Windows Server 2003 メンバー コンピューターにアップグレードする操作は、いつでも実行できます。
  • Dcpromo.exe を使用して、新しい Windows Server 2003 ドメイン コントローラーを昇格させる。
adprep /forestprep および adprep /domainprep の両方を実行する必要があるのは、スキーマ操作マスターをホストするドメインのみです。その他のすべてのドメインでは、実行する必要があるのは adprep /domainprep だけです。

adprep /forestprep コマンドおよび adprep /domainprep コマンドでは、グローバル カタログの部分属性セットに属性が追加されることも、グローバル カタログの完全な同期が行われることもありません。RTM 版の adprep /domainprep は、Sysvol ツリーの \Policies フォルダーの完全同期を行います。forestprep および domainprep を数回実行した場合でも、完全な操作は一度だけ実行されます。

adprep /forestprep および adprep /domainprep による変更が完全にレプリケートされると、Windows Server 2003 メディアの \I386 フォルダーから Winnt32.exe を実行することにより、Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードできます。また、Dcpromo.exe を使用することにより、新しい Windows Server 2003 ドメイン コントローラーをドメインに追加することもできます。

adprep /forestprep コマンドを使用してフォレストをアップグレードする

Windows Server 2003 ドメイン コントローラーを導入するために Windows 2000 フォレストおよびドメインを準備するには、まずテスト環境で以下の手順を実行した後、運用環境で実行します。
  1. 特に以下の項目に注意して、"フォレスト インベントリ" のすべての操作を完了したことを確認します。
    1. システム状態のバックアップを作成済みであること
    2. フォレスト内のすべての Windows 2000 ドメイン コントローラーに、適切な修正プログラムと Service Pack がすべてインストールされていること
    3. Active Directory のエンド ツー エンド レプリケーションがフォレスト全体で実行されていること
    4. FRS により、各ドメイン内でファイル システム ポリシーが正常にレプリケートされていること
  2. Schema Admins セキュリティ グループのメンバーであるアカウントを使用して、スキーマ操作マスターのコンソールにログオンします。
  3. Windows NT コマンド プロンプトで次のコマンドを入力して、そのスキーマの FSMO によってスキーマ パーティションの入力方向のレプリケーションが実行されていることを確認します。
    repadmin /showreps
    (repadmin は Active Directory の Support\Tools フォルダーによってインストールされます)
  4. 以前のマイクロソフトのドキュメントでは、adprep /forestprep を実行する前にプライベート ネットワークでスキーマ操作マスターを分離することが推奨されています。しかし、この操作は不要であることが実際の経験からわかっています。この操作を行うと、スキーマ操作マスターがプライベート ネットワークで再起動されるときに、スキーマの変更が拒否される場合があります。adprep によって作成された追加スキーマを分離する必要がある場合は、コマンド ライン ユーティリティの repadmin を使用して、Active Directory の出力方向のレプリケーションを一時的に無効にすることをお勧めします。これを行うには、次の手順を実行します。
    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに「cmd」と入力し、[OK] をクリックします。
    2. 次の行を入力し、Enter キーを押します。
      repadmin /options +DISABLE_OUTBOUND_REPL
  5. スキーマ操作マスターで adprep を実行します。実行するには、[スタート] ボタンをクリックして [ファイル名を指定して実行] をクリックし、「cmd」と入力して [OK] をクリックします。スキーマ操作マスターで次のコマンドを実行します。
    X:\I386\adprep /forestprep
    X:\I386\は、Windows Server 2003 インストール メディアのパスです。このコマンドにより、フォレスト全体のスキーマのアップグレードが実行されます。

    : 次の例のような、ディレクトリ サービス イベント ログに記録されたイベント ID 1153 のイベントはすべて無視することができます。

    種類: エラー
    イベント ソース: NTDS General
    イベント カテゴリ: 内部処理
    イベント ID: 1153
    日付: YYYY/MM/DD
    時刻: HH:MM:SS AM|PM
    ユーザー: Everyone コンピューター:<some DC>
    説明: クラス識別子 655562 (クラス名 msWMI-MergeablePolicyTemplate) に無効なスーパークラス 655560 があります。継承を無視します。

  6. スキーマ操作マスター上で adprep /forestprep コマンドが正常に実行されたことを確認します。そのためには、スキーマ操作マスターのコンソールで、以下の項目を確認します。
    • adprep /forestprep コマンドの実行が完了し、エラーが出力されていないこと。
    • CN=Windows2003Update オブジェクトが CN=ForestUpdates,CN=Configuration,DC=forest_root_domain の下に書き込まれたこと。Revision 属性の値を記録します。
    • (オプション) スキーマのバージョンが 30 に増加したこと。これを確認するには、CN=Schema,CN=Configuration,DC=forest_root_domain の下の ObjectVersion 属性を参照します。
    adprep /forestprep が実行されない場合は、以下の項目を確認します。
    • adprepの実行時に、インストール メディアの \I386 フォルダーにある Adprep.exe の完全修飾パスを指定したこと。そのためには、次のコマンドを入力します。
      x:\i386\adprep /forestprep
      x は、インストール メディアがホストされているドライブです。
    • adprep を実行しているログオン ユーザーが、Schema Admins セキュリティ グループのメンバーであること。この確認には、whoami /all コマンドを使用します。
    • 上記の項目を確認しても adprep が動作しない場合は、%systemroot%\System32\Debug\Adprep\Logs\Latest_log フォルダーの Adprep.log ファイルを参照します。
  7. 手順 4. で、スキーマ操作マスターで出力方向のレプリケーションを無効にした場合は、adprep /forestprep によって行われたスキーマの変更が伝達されるように、レプリケーションを有効にします。これを行うには、次の手順を実行します。
    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに「cmd」と入力し、[OK] をクリックします。
    2. 次の行を入力し、Enter キーを押します。
      repadmin /options -DISABLE_OUTBOUND_REPL
  8. adprep /forestprep の変更が、フォレスト内のすべてのドメイン コントローラーでレプリケートされたことを確認します。これは、以下の属性を参照することにより確認できます。
    1. スキーマ バージョンの増加。
    2. CN=Windows2003Update、CN=ForestUpdates,CN=Configuration,DC=forest_root_domain または CN=Operations,CN=DomainUpdates,CN=System,DC=forest_root_domain およびレプリケーションを行っている操作 GUID。
    3. inetOrgPerson など、adprep /forestprep によって追加される新しいスキーマ クラス、オブジェクト、属性、または他の変更を探します。%systemroot%\System32 フォルダーの SchXX.ldf ファイル (XX は 14 から 30 の数字) を参照して、どのオブジェクトおよび属性が存在するべきかを判定します。たとえば、InetOrgPerson は Sch18.ldf で定義されています。
  9. 破損した LDAPDisplayName を探します。

    Windows Server 2003 の adprep /forestprep コマンドを実行する前に Exchange 2000 がインストールされていた場合は、サポート技術情報の次の資料を参照してください。
    314649 Windows Server 2003 の ADPREP コマンドが原因で Exchange 2000 Server を含む Windows 2000 フォレストで属性が破損する
    破損した名前が見つかった場合は、この資料の事例 3 を参照してください。
  10. スキーマ操作マスターをホストするフォレストの Schema Admins セキュリティ グループに所属するアカウントを使用して、スキーマ操作マスターのコンソールにログオンします。

adprep /domainprep を使用してドメインをアップグレードする

Windows Server 2003 ドメイン コントローラーをホストする予定の各ドメインで、/forestprep による変更がインフラストラクチャ マスターのドメイン コントローラーに完全にレプリケートされた後、次のように adprep /domainprep を実行します。これを行うには、以下の手順を実行します。
  1. アップグレードするドメイン内で、インフラストラクチャ マスターのドメイン コントローラーを特定し、アップグレードするドメインの Domain Admins セキュリティ グループに所属するアカウントでログオンします。

    :エンタープライズ管理者は、フォレストの子ドメインにおいて、Domain Admins セキュリティ グループのメンバーではない場合があります。
  2. インフラストラクチャ マスター上で adprep /domainprep を実行します。そのためには、[スタート]、[ファイル名を指定して実行] をクリックして「cmd」と入力し、インフラストラクチャ マスターで次のコマンドを入力します。
    X:\I386\adprep /domainprep
    X:\I386\ は、Windows Server 2003 インストール メディアのパスです。このコマンドにより、対象となるドメイン内でドメイン全体の変更が実行されます。

    : adprep /domainprep は、Sysvol 共有のファイルのアクセス許可を変更します。これらの変更により、ディレクトリ ツリー内のファイルの完全同期が行われます。
  3. domainprep が正常に終了したことを確認します。そのためには、次の項目を確認します。
    • adprep /domainprep コマンドの実行が完了し、エラーが出力されていないこと。
    • CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=dn path of domain you are upgrading が存在していること。
    adprep /domainprep が実行されない場合は、以下の項目を確認します。
    • adprep を実行しているログオン ユーザーが、アップグレードするドメインの Domain Admins セキュリティ グループのメンバーであること。これを確認するには、whoami /all コマンドを使用します。
    • adprepの実行時に、インストール メディアの \I386 ディレクトリにある Adprep.exe の完全修飾パスを指定したこと。これを行うには、コマンド プロンプトで次のコマンドを入力します。
      x:\i386\adprep /forestprep
      x は、インストール メディアがホストされているドライブです。
    • 上記の項目を確認しても adprep が動作しない場合は、%systemroot%\System32\Debug\Adprep\Logs\Latest_log フォルダーの Adprep.log ファイルを参照します。
  4. adprep /domainprep の変更がレプリケートされたことを確認します。そのためには、ドメイン内の残りのドメイン コントローラーで、以下の項目を確認します。
    • CN=Windows2003Update,CN=DomainUpdates,CN=System,DC=dn path of domain you are upgrading オブジェクトが存在し、revision 属性の値が、ドメインのインフラストラクチャ マスターの同じ属性の値と一致していること。
    • (オプション) adprep /domainprep で追加されたオブジェクト、属性、またはアクセス制御リスト (ACL) の変更内容を探します。
    残りのドメインのインフラストラクチャ マスターで一括して手順 1. 〜 4. を再度実行します。あるいは、それらのドメインで Windows Server 2003 ドメイン コントローラーを追加する際、またはドメイン コントローラーを Windows Server 2003 にアップグレードする際に、手順 1. 〜 4. を実行します。これで、フォレスト内で DCPROMO を使用して新しい Windows Server 2003 コンピューターを昇格することができます。また、WINNT32.EXE を使用して既存の Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードすることもできます。

Winnt32.exe を使用して Windows 2000 ドメイン コントローラーをアップグレードする

/forestprep および /domainprep からの変更が完全に複製され、以前のバージョンのクライアントとのセキュリティ相互運用性に関する決定を下した後、Windows 2000 ドメイン コントローラーを Windows Server 2003 にアップグレードして、新しい Windows Server 2003 ドメイン コントローラーをドメインに追加することができます。

以下のコンピューターは、フォレストで Windows Server 2003 を実行する最初のドメイン コントローラーとして、各ドメイン内に存在する必要があります。
  • フォレスト内のドメイン名前付けマスター。これにより、既定の DNS プログラム パーティションを作成できます。
  • フォレスト ルート ドメイン内のプライマリ ドメイン コントローラー。これにより、Windows Server 2003 の forestprep が追加するエンタープライズ全体のセキュリティ プリンシパルが、ACL エディターで表示可能になります。
  • ルート ドメイン以外の各ドメイン内のプライマリ ドメイン コントローラー。これにより、ドメイン固有の新しい Windows Server 2003 のセキュリティ プリンシパルを作成できます。
この操作を行うには、Winnt32 を使用して、必要な操作の役割をホストする既存のドメイン コントローラーをアップグレードします。または、新しく昇格した Windows Server 2003 ドメイン コントローラーに役割を転送します。Winnt32 を使用して Windows Server 2003 にアップグレードする各 Windows 2000 ドメイン コントローラー、および昇格させる各 Windows Server 2003 ワークグループまたはメンバー コンピューターで、以下の手順を実行します。
  1. Winnt32 を使用して Windows 2000 メンバー コンピューターおよびドメイン コントローラーをアップグレードする前に、Windows 2000 の管理ツールを削除します。削除には、コントロール パネルのアプリケーションの追加と削除を使用します(Windows 2000 からのアップグレードの場合のみ)。
  2. マイクロソフトまたは管理者によって重要と判断される修正プログラム ファイルやその他の修正をインストールします。
  3. 各ドメイン コントローラーで、発生する可能性のあるアップグレードの問題を確認します。そのためには、インストール メディアの \I386 フォルダーから次のコマンドを実行します。
    winnt32.exe /checkupgradeonly
    互換性チェックにより検出されるすべての問題を解決します。
  4. インストール メディアの \I386 フォルダーから Winnt32.exe を実行します。アップグレードの完了後、Windows Server 2003 にアップグレードしたドメイン コントローラーを再起動します。
  5. 以前のバージョンのクライアントに対応するため、必要に応じてセキュリティ設定を下げます。

    Windows NT 4.0 クライアントに NT 4.0 SP6 がインストールされていない場合、または Windows 95 クライアントにディレクトリ サービス クライアントがインストールされていない場合、Domain Controllers 組織単位の Default Domain Controllers Policy で SMB サービス署名を無効にし、ドメイン コントローラーをホストするすべての組織単位にこのポリシーをリンクします。
    コンピューターの構成 \Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション\Microsoft ネットワーク サーバー:常に通信にデジタル署名を行う
  6. 以下の点から、アップグレードが正常であることを確認します。
    • アップグレードが正常に完了したこと。
    • インストール環境に追加した修正プログラムで元のバイナリが正常に置き換えられたこと。
    • Active Directory の入力方向および出力方向のレプリケーションが、ドメイン コントローラーにより保持されているすべての名前付けコンテキストで行われていること。
    • Netlogon 共有および Sysvol 共有が存在すること。
    • イベント ログに、ドメイン コントローラーとそのサービスが正常であることが示されていること。

      : アップグレード後、次のイベント メッセージが記録されることがあります。

      種類: エラー
      イベント ソース: NTDS Backup
      イベント カテゴリ: バックアップ
      イベント ID: 1913
      日付: Date
      時刻: HH:MM:SSAM|PM
      ユーザー: 該当なし
      コンピューター: computername
      説明: 内部エラー:Active Directory のバックアップおよび復元操作で予期しないエラーが発生しました。これが修正されるまでバックアップおよび復元は成功しません。

      このイベント メッセージは無視しても問題ありません。
  7. Windows Server 2003 管理ツールをインストールします (Windows 2000 アップグレードおよび Windows Server 2003 非ドメイン コントローラーのみ)。Adminpak.msi は、Windows Server 2003 CD-ROM の \I386 フォルダーにあります。Windows Server 2003 メディアの Support\Tools\Suptools.msi ファイルには、更新されたサポート ツールが含まれています。このファイルを再インストールしたことを確認してください。
  8. フォレストの各ドメインで Windows Server 2003 にアップグレードした Windows 2000 ドメイン コントローラーのうち、少なくとも最初の 2 つについて新たなバックアップを作成します。Windows Server 2003 にアップグレードした Windows 2000 コンピューターのバックアップはロックされた記憶域に置き、既に Windows Server 2003 を実行しているドメイン コントローラーの復元に誤って使用されることのないようにします。
  9. (オプション) 単一インスタンス ストア (SIS) が完了した後、Windows Server 2003 にアップグレードしたドメイン コントローラー上の Active Directory データベースに対してオフラインの最適化を実行します (Windows 2000 からのアップグレードの場合のみ)。

    SIS は、Active Directory に格納されているオブジェクトの既存のアクセス許可を見直し、より効率的なセキュリティ記述子をそれらのオブジェクトに適用します。SIS は、アップグレードされたドメイン コントローラーが最初に Windows Server 2003 オペレーティング システムを起動する際に、自動的に起動します (ディレクトリ サービス イベント ログでイベント 1953 として識別できます)。ディレクトリ サービス イベント ログに次のようなイベント ID 1966 のイベント メッセージが記録された場合にのみ、強化されたセキュリティ記述子ストアの効果が現れます。

    種類: 情報
    イベント ソース: NTDS SDPROP
    イベント カテゴリ: 内部処理
    イベント ID: 1966
    日付: YYYY/MM/DD
    時刻: HH:MM:SS AM|PM
    ユーザー: NT AUTHORITY\ANONYMOUS LOGON
    コンピューター: <computername>
    説明: セキュリティ記述子伝達子は、完全な伝達パスを完了しました。
    割り当てられた領域 (MB):
    XX 空き領域 (MB):XX

    これにより Active Directory データベースの空き領域が増えた可能性があります。
    ユーザー操作:データベース オフラインを最適化し、Active Directory データベースで利用できる可能性のある空き領域を増やすことを検討してください。詳細な情報は、http://support.microsoft.com の [ヘルプとサポート センター] を参照してください。

    このイベント メッセージは、単一インターフェイス ストア操作が完了したことを示し、管理者が Ntdsutil.exe を使用して Ntds.dit の最適化をオフラインで実行することを促しています。

    オフラインでの最適化により、Windows 2000 の Ntds.dit ファイルのサイズが最大で 40% 縮小する可能性があり、Active Directory のパフォーマンスが向上します。また、リンク値属性をより効率的に保存できるようにデータベース内のページが更新されます。 Active Directory データベースを最適化する方法の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
    232122 Active Directory データベースのオフライン デフラグの実行
  10. 分散リンク トラッキング (DLT) サーバー サービスを調べます。Windows Server 2003 ドメイン コントローラーでは、新規インストールおよびアップグレード インストールにおいて DLT サーバー サービスが無効になります。組織内の Windows 2000 クライアントまたは Windows XP クライアントが DLT サーバー サービスを使用している場合、グループ ポリシーを使用して、新規インストールまたはアップグレード インストールの Windows Server 2003 ドメイン コントローラー上で DLT サーバー サービスを有効にします。または、Active Directory から分散リンク トラッキング オブジェクトを少しずつ削除します。 関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
    312403 Windows ベースのドメイン コントローラでの分散リンク トラッキング
    315229 サポート技術情報資料 312403 の Dltpurge.vbs のテキスト版
    多数の DLT オブジェクトまたは他のオブジェクトをまとめて削除すると、バージョン ストアの不足のためにレプリケーションが妨げられることがあります。最後の DLT オブジェクトを削除した後、廃棄の有効期間の日数 (既定では 60 日)、およびガベージ コレクションの終了を待ち、その後 Ntdsutil.exe を使用して Ntds.dit ファイルのオフラインでの最適化を実行します。
  11. 最適な組織単位の構造を構成します。マイクロソフトでは、あらゆる Active Directory ドメインにおいて最適な組織単位の構造を積極的に展開することを管理者に推奨しています。Windows Server 2003 ドメイン コントローラーを Windows Server 2003 ドメイン モードでアップグレードまたは展開した後で、以前のバージョンの API で作成するユーザー、コンピューター、およびグループの既定のコンテナーを、管理者が指定する組織単位コンテナーにリダイレクトしてください。

    最適な組織単位の構造に関する詳細については、ホワイト ペーパー『Best Practice Active Directory Design for Managing Windows Networks』の「Creating an Organizational Unit Design」を参照してください。このホワイト ペーパーを参照するには、次のマイクロソフト Web サイトを参照してください。
    http://technet.microsoft.com/ja-jp/library/bb727085.aspx
    以前のバージョンの API で作成するユーザー、コンピューター、およびグループの既定のコンテナーを変更するための情報を参照するには、以下のサポート技術情報番号をクリックしてください。
    324949 Windows Server 2003 ドメインの Users および Computers コンテナのリダイレクト
  12. フォレスト内にある新規インストールまたはアップグレード インストールの Windows Server 2003 ドメイン コントローラーごとに、手順 1. 〜 10. を必要に応じて繰り返し、Active Directory ドメインごとに手順 11. (最適な組織単位構造) を繰り返します。

    以下に手順の概要を示します。
    • Winnt32 を使用して Windows 2000 ドメイン コントローラーをアップグレードします (使用している場合は、スリップストリーム インストール メディアからアップグレードを行います)。
    • アップグレードされたコンピューターに修正プログラム ファイルがインストールされていることを確認します。
    • インストール メディアに含まれていない修正プログラムのうち、必要なものをインストールします。
    • 新規インストールまたはアップグレード インストールのサーバーの状態を確認します (AD、FRS、ポリシーなど)。
    • OS のアップグレード後、24 時間待機し、その後オフラインでの最適化を実行します (オプション)。
    • 必要な場合は DLT サービスを開始します。それ以外の場合は、フォレスト全体に domainprep を実行した後、資料 312403 および 315229 を使用して DLT オブジェクトを削除します。
    • DLT オブジェクトを削除してから 60 日以上 (廃棄の有効期間とガベージ コレクションの日数) 後に、オフラインでの最適化を実行します。

テスト環境でアップグレードをテストする

Windows ドメイン コントローラーを運用環境の Windows 2000 ドメインにアップグレードする前に、テスト環境でアップグレード処理の確認と練習を行います。運用環境のフォレストを正確に反映したテスト環境でアップグレードがスムーズに進行した場合、運用環境でも同様の結果を期待できます。複雑な環境の場合、テスト環境は以下の分野で運用環境を反映している必要があります。
  • ハードウェア:コンピューターの種類、メモリの種類、ページ ファイルの配置、ディスク サイズ、パフォーマンスおよび RAID 構成、BIOS およびファームウェア リビジョン レベル。
  • ソフトウェア:クライアントおよびサーバーのオペレーティング システム バージョン、クライアントおよびサーバーのアプリケーション、Service Pack のバージョン、修正プログラム、スキーマの変更、セキュリティ グループ、グループ メンバーシップ、アクセス許可、ポリシー設定、オブジェクト カウントの型および場所、バージョンの相互運用性。
  • ネットワーク インフラストラクチャ:WINS、DHCP、リンク速度、利用可能な帯域幅。
  • 負荷:負荷シミュレータは、パスワードの変更、オブジェクトの作成、Active Directory のレプリケーション、ログオン認証および他のイベントをシミュレートできます。目標は、運用環境の規模を再現することではありません。むしろ、繰り返し行う操作のコストおよび頻度を見極め、運用環境におけるそれらの影響 (名前照会、レプリケーション トラフィック、ネットワーク帯域幅およびプロセッサ使用率) を現在および将来における必要性に基づいて推測することです。
  • 管理:実行するタスク、使用するツール、使用するオペレーティング システム。
  • 操作:能力、相互運用性。
  • ディスク領域:以下の各操作を行った後、オペレーティング システム、Ntds.dit、および各ドメインのグローバル カタログとグローバル カタログ以外のドメイン コントローラーの Active Directory ログ ファイルについて、開始サイズ、ピーク サイズ、終了サイズに注意します。
    1. adprep /forestprep
    2. adprep /domainprep
    3. Windows 2000 ドメイン コントローラーの Windows Server 2003 へのアップグレード
    4. バージョン アップグレード後の、オフラインでの最適化の実行
アップグレード処理と環境の複雑さを理解し、詳細に観察することにより、運用環境をアップグレードする際の作業速度と、必要な注意の度合いを把握できます。少数のドメイン コントローラーおよび Active Directory オブジェクトが、可用性の高い WAN (ワイド エリア ネットワーク) リンクを経由して接続されている環境では、アップグレードは数時間で終了する場合があります。数百のドメイン コントローラー、または数十万の Active Directory オブジェクトを抱えるエンタープライズ環境では、さらに多くの注意が必要な場合があります。そのような状況では、数週間から数か月間かけてアップグレードを実行することをお勧めします。

テスト環境でのアップグレードのテストでは、以下の作業を行います。
  • アップグレード処理の内部作業と関連するリスクを理解する。
  • 使用している環境における展開処理で、問題が発生する可能性のある部分を明らかにする。
  • アップグレードに失敗したときの代替計画をテストおよび開発する。
  • 運用ドメインのアップグレード処理に適用する、適切なレベルの詳細を決定する。

十分なディスク領域のないドメイン コントローラー

十分なディスク領域のないドメイン コントローラーでは、以下の手順を使用して、Ntds.dit およびログ ファイルをホストするボリュームのディスクの空き領域を増やすことができます。
  1. *.tmp ファイル、インターネット ブラウザーが使用するキャッシュ ファイルなど、使用していないファイルを削除します。そのためには、以下のコマンドを入力します (各行の終わりで Enter キーを押します)。
    cd /d drive\
    del *.tmp /s
  2. ユーザーまたはメモリ ダンプ ファイルを削除します。そのためには、以下のコマンドを入力します (各行の終わりで Enter キーを押します)。
    cd /d drive\
    del *.dmp /s
  3. 他のサーバーからアクセス可能なファイル、または簡単に再インストールできるファイルを一時的に削除します。削除して簡単に再インストールできるファイルには、ADMINPAK、サポート ツール、%systemroot%\System32\Dllcache フォルダー内のすべてのファイルなどがあります。
  4. 古いユーザー プロファイル、または使用していないユーザー プロファイルを削除します。これを行うには、[スタート] ボタンをクリックし、[マイ コンピューター] を右クリックし、[プロパティ] をクリックします。次に、[詳細設定] タブをクリックし、[ユーザー プロファイル] をクリックし、古いアカウントおよび使用していないアカウントのプロファイルをすべて削除します。サービス アカウント用のプロファイルに該当する可能性があるものは削除しないでください。
  5. %systemroot%\Symbols で、シンボルを削除します。そのためには、次のコマンドを入力します。
    rd /s %systemroot%\symbols
    サーバーが完全な、または小さいシンボル セットのどちらを使用しているかによって、およそ 70 MB から 600 MB の領域を空けることができます。
  6. オフラインでの最適化を実行します。Ntds.dit ファイルのオフラインでの最適化によって空き領域を増やすことができますが、一時的に、現在の .dit ファイルの 2 倍の領域が必要になります。他のローカル ボリュームを利用できる場合は、それを使用してオフラインでの最適化を実行します。または、最も良い条件で接続されたネットワーク サーバーの領域を使用して、オフラインでの最適化を実行できます。それでもディスクの領域が不足する場合は、不必要なユーザー アカウント、コンピューター アカウント、DNS レコードおよび DLT オブジェクトを少しずつ Active Directory から削除します。

    : Active Directory では、廃棄の有効期間 の日数 (既定では 60 日) が経過してガベージ コレクションが完了するまで、データベースからオブジェクトが削除されません。廃棄の有効期間 をフォレスト内のエンド ツー エンド レプリケーションより小さい値にすると、Active Directory で矛盾が発生する可能性があります。

関連情報

関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
821076 Windows Server 2003 のヘルプ ファイルに、Windows 2000 ドメインのアップグレードに関して誤った情報が含まれている

プロパティ

文書番号: 325379 - 最終更新日: 2009年12月17日 - リビジョン: 23.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
キーワード:?
kbinfo KB325379
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com