Active Directory 移行ツールバージョン 2 を使用した Windows 2000 から Windows Server 2003 への移行方法

概要

この資料では、Microsoft Windows 2000 ベースのドメインから Microsoft Windows Server 2003 ベースのドメインに移行するための Active Directory 移行ツール (ADMT) のセットアップ方法について説明します。

先頭へ戻る

ADMT を使用すると、ユーザー、グループ、およびコンピュータをあるドメインから別のドメインに移行したり、実際の移行プロセスの実行前および実行後に移行による影響を分析したりできます。

注 : この資料は、移行元のドメインが Windows 2000 ベースのドメイン、移行先ドメインが Windows 2000 ネイティブモード以降の Windows Server 2003 ベースのドメインの場合を対象としています。

先頭へ戻る

Windows 2000 から Windows Server 2003 に移行するための ADMT の設定方法

Active Directory 移行ツールバージョン 2 をインストールできるのは、Windows 2000 以降が実行されているコンピュータです。これには以下のものが含まれます。

Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows XP Professional
Microsoft Windows Server 2003

ADMT をインストールするコンピュータは、移行元ドメインまたは移行先ドメインのいずれかのメンバである必要があります。

フォレスト内の移行

フォレスト内の移行の場合には、ドメインで特別な構成を行う必要はありません。ADMT を実行するアカウントには、ADMT の操作の実行に必要なアクセス許可が与えられている必要があります。たとえば、このアカウントには移行元のドメインのアカウントを削除する権限や、移行先ドメインにアカウントを作成する権限などが必要です。

フォレスト内の移行は、コピー操作ではなく、移動操作です。移動操作後、移行したオブジェクトが移行元のドメインから削除されるため、移動操作による移行は破壊的とされています。オブジェクトがコピーではなく移動されるため、フォレスト間の移行では任意指定になっているいくつかのアクションが自動的に実行されます。特に、sIDHistory およびパスワードは、フォレスト内の移行では常に自動的に移行されます。

フォレスト間の移行

ADMT が適切に実行されるためには、以下のアクセス許可が必要です。

移行元ドメインの管理者権限
移行する各コンピュータにおける管理者権限
セキュリティが変換される各コンピュータの管理者権限

Windows 2000 ベースのドメインから Windows Server 2003 ベースのドメインに移行する前に、ドメインを作成し、セキュリティを構成する必要があります。コンピュータの移行およびセキュリティの変換には、ドメインの構成に特別な制限はありません。ただし、移行元の各コンピュータには、管理用共有の C$ および ADMIN$ が必要です。

ADMT を実行するアカウントには、必要なタスクを完了するためのアクセス許可が必要です。そのアカウントには、移動先のドメインおよび組織単位にコンピュータアカウントを作成できるアクセス許可が与えられていて、移行する各コンピュータのローカルの Administrators グループのメンバである必要があります。

ユーザーとグループの移行

移行元ドメインは、移行先ドメインを信頼するように構成しておく必要があります。また、移行元ドメインを信頼するように移行先ドメインを構成することもできます。移行先ドメインもこのように構成することにより移行が容易になる場合がありますが、ADMT による移行を行うのに必ずしも必要ではありません。

オプションの移行タスクの要件

ユーザーの移行ウィザードをテストモードで実行し、[ユーザーの SID を移行先ドメインへ移行] オプションを選択することにより、以下のタスクを自動的に完了できます。自動構成を正常に完了するには、ADMT を実行するユーザーアカウントが、移行元ドメインおよび移行先ドメインの両方で管理者になっている必要があります。

重要 : このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを編集する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしておくと、問題が発生した場合にレジストリを復元することができます。バックアップおよび復元方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

322756? (http://support.microsoft.com/kb/322756/ ) Windows でレジストリをバックアップおよび復元する方法

移行元ドメインに、%sourcedomain%$$$ という名前で新しいローカルグループを作成します。このグループには、メンバを追加しません。
両方のドメインでデフォルトのドメインコントローラポリシーを編集し、[アカウント管理の監査] の [成功] と [失敗] の監査を有効にします。
SAM への RPC アクセスを許可するように、移行元ドメインを構成します。これを行うには、移行元ドメインで PDC エミュレータの以下のレジストリエントリに DWORD 値 1 を設定します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport
この変更を行った後、PDC エミュレータを再起動する必要があります。

注 : Windows 2000 ドメインでは、ADMT を実行するアカウントには、移行元ドメインおよび移行先ドメインの両方の管理者アクセス許可が必要です。移行先の Windows Server 2003 ドメインでは、"Migrate sIDHistory" は委任されます。詳細については、Windows Server 2003 のヘルプとサポートを参照してください。

LSA のコンテキストで実行される DLL をインストールすることで、フォレスト間のパスワード移行を有効にできます。LSA を使用して保護されたコンテキストでフォレスト間のパスワード移行を実行すると、パスワードがクリアテキストで参照されることがないように保護され、オペレーティングシステムからも参照できなくなります。この DLL のインストールは ADMT で作成される秘密キーで保護されます。また、この DLL は管理者がインストールする必要があります。

パスワード移行 DLL をインストールするには、次の操作を行います。

ADMT がインストールされているコンピュータに、管理者または同等のアクセス許可を持つユーザーとしてログオンします。
コマンドプロンプトでコマンド ADMT KEY sourcedomainpath [* | password] を実行して、パスワードエクスポートキーファイル (.pes) を作成します。この例で、sourcedomain には移行元ドメインの NetBIOS 名が、path にはキーが作成される場所へのファイルパスが入ります。パスは、ローカルである必要がありますが、フロッピーディスクドライブ、ZIP ドライブ、書き込み可能な CD メディアなどのリムーバブルメディアへのパスも指定可能です。このコマンドの最後にオプションのパスワードを入力すると、.pes ファイルは ADMT によってパスワード保護されます。パスワードの代わりにアスタリスク (*) を入力すると、ADMT からパスワードの入力が要求されます。ここで入力するパスワードは入力時に画面に表示されません。
手順 2. で作成した .pes ファイルを、移行元ドメインで指定されたパスワードエクスポートサーバー (PES) に移動します。任意のドメインコントローラを PES にすることができますが、ADMT が実行されているコンピュータに対して高速かつ信頼性の高い接続ができる必要があります。
Pwdmig.exe ツールを実行して、パスワード移行 DLL をパスワードエクスポートサーバーにインストールします。Pwdmig.exe は Windows Server 2003 インストールメディアの I386\ADMT\PWDMIG フォルダ、またはインターネットから ADMT をダウンロードしたフォルダにあります。
手順 2. で作成した .pes ファイルへのパスを指定するよう指示されたら、パスを指定します。指定するパスは、ローカルのファイルパスである必要があります。
インストールの完了後、サーバーを再起動する必要があります。
パスワード移行の準備が完了している場合は、次のレジストリキーの DWORD 値を 1 に変更します。セキュリティを最大限に高めるために、移行の準備が完了するまでは、この手順は実行しないでください。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport

ADMT をダウンロードするには、次のマイクロソフト Web サイトを参照してください。

http://www.microsoft.com/downloads/details.aspx?familyid=788975B1-5849-4707-9817-8C9773C25C6C&displaylang=en (http://www.microsoft.com/downloads/details.aspx?familyid=788975B1-5849-4707-9817-8C9773C25C6C&displaylang=en)

ADMT を使用して移行を行う方法の詳細については、ADMT のヘルプを参照してください。ヘルプを参照するには、Active Directory 移行ツールを起動して [ヘルプ] メニューの [トピックの検索] をクリックし、[目次] タブをクリックして、[Active Directory Migration Tool] をクリックします。

ADMT の詳細については、次のマイクロソフト Web サイトを参照してください。

http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/proddocs/reskit/admtool.mspx (http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/proddocs/reskit/admtool.mspx)

Active Directory 移行ツールバージョン 2 は、Windows Server 2003 の CD の I386\Admt フォルダに格納されています。

先頭へ戻る

この資料は以下の製品について記述したものです。

Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server

先頭へ戻る

kbactivedirectory kbhowto kbmigrate KB326480

先頭へ戻る

"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。（Microsoft Corporation、その関連会社またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"