2013年10月28日

Windows Server 2012

この記事では、Windows Server2012環境の構築のログを残します。

従来のサーバがWindowsServer2003R2でしたが、ドメインサービスを

ほぼ無停止でWindows Server2012環境に移行できました。

(旧サーバと新サーバのIP入れ替え作業時の間だけ停止。)

完全な完成まではもう少しかかりますが、基本的なサービス等は、

運用状態になりました。

 今となっては、Windows Server2012R2への移行を考えないと、

仮想マシン環境の差が大きすぎます。私にとっての欠点が、

ほぼ解決されている感じです。

 この記事について、体裁を整えたり、内容の追加をしばらく行います。

 dc02SS.jpg

 

◆NetworkSystem

DC_and_HyperV.jpg

RDP_System.jpg

★サーバの準備

  Windows 8と同様のデスクトップ環境でサーバを操作したいなら、
 下記若干の追加機能を入れる必要があります。

1.ハードウェアの製作

2.OSインストール

3.ドライバインストール

  チップセット、グラフィック、サウンド、ネット等

4.機能の追加(適宜)

  ここでは、AD,DNS,DHCP等サーバの役割は追加してはいけない。

  ・NET Framework 3.5 

     サードパーティー製のツール・アプリの実行で要求される
    ことがある。
 
  ・ユーザーインターフェースとデスクトップエクスペリエンス
   ⇒デスクトップエクスペリエンス
 
    個人設定が使えるようになり、デスクトップのカスタマイズが
   可能

  ・高品質なWindowsオーディオビデオエクスペリエンス

    オーディオ機能を使えるようにする。

  ・ワイヤレスLANサービス

    ワイヤレスLANカードを使えるようにする。

5.Visual Studio 2005 / 2008 / 2012 のC++ Runtime Libのインストール

   様々なツール・アプリの実行時に要求されることがあるので、
  予め入れておく。

6.Windows Update

7.「コンピューター名」を決めて、設定する。:超重要です。

   ActiveDirectoryを構築して、各種サーバを立てた後では、
  変更不可能です。 

8.ネットワークの設定

   仮の固定IPアドレスを設定する。
  後で、旧ドメインコントローラのIPアドレスに設定し直す。

 

★Active Directoryサーバ構築

  私の環境では、WindowsServer2003R2 Active Directoryから、
 2012へのローリングアップグレードを実施しました。

 参考文献:

  ・Windows Server2012テクノロジ入門 日経BP

  ・富士通のPCサーバPRIMERGYのWebサイトの技術情報

 ググれば色々出てきますが、上記2点で漏れは、ほぼないと思います。
 細かいワーニング等は、TechNetの情報等で対処します。

 

1.既存ドメインコントローラWindows Server 2003R2の
  「機能レベル」と「フォレストレベル」を2003まで昇格させる

  作業対象:DC01 (Windows Server2003R2)

  ツール:「管理ツール」→「Active Directory ドメインと信頼関係」

  ドメイン機能レベル昇格

    <ドメイン名>を右クリック
     →「ドメインの機能レベルを上げる」

  フォレストの機能レベル昇格

  <Active Directory ドメインと信頼関係>を右クリック
    →「フォレストの機能レベルを上げる」
 
  DC_Forest_Level.JPG
 
  ldpコマンドを使用することで、現状のドメインレベルやフォレストレベルが
 どうなっているかわかります。ldpは、Microsoftから入手可能なツールです。
 本サイトでは、御覧のようにWindows2000混在モードで動作
 していることがわかります。
 
  DC_Up.JPG
 
  ドメイン機能を2003まで昇格

  Forest_Up.JPG

  フォレストレベルを2003まで昇格

  DC_Forest_Level_2003.JPG

  機能レベル、フォレストレベルが2003になっていることが確認できます。

 

2.既存ドメイン(Windows2003ドメイン)へ新サーバを参加させる。

  作業前に、予めドメインに参加させておくことで、ドメイン管理者で

  新サーバを操作できるようになるので、何かと、トラブル回避になると思います。

  予めドメイン参加してなくとも、ADの構成時に自動的に参加するし、

  ドメイン管理者の名前とパスワードを聞いてくるので、安全サイドの策です。

  AD構築時に、ドメイン管理者関係の承認行為で作業ストップさせると、

  ロクなことが無いので、私は予めドメイン参加させる手順を踏んでます。

 

3.新サーバで、Active Directoryをインストール

  ActiveDirectory機能追加の所までは、特に気にならなかったので省略。

  Windows Server 2012でActiveDirectoryの構成

   ポイントはドメインコントローラオプションで、

     ・DNS

     ・グローバルカタログ(GC)

     にチェックが入っていることの確認位のものかと思います。

    (Backup Domain Controllerとして、構築される。)

  AD_Setting_1.jpg

  既存のドメインコントローラに追加する

  AD_Setting_2.jpg

  ドメインコントローラの機能に、

   ・DNSサーバ

   ・グローバルカタログ(GC)

  がチェックされていること。ワーニングは、現在のドメインコントローラが

  2003なので、読み取り専用サーバとして追加できない旨のメッセージ

  であり、無視します。

  AD_Setting_3.jpg

  本サイトは、ドメインのトップフォレストで、DNSの親はインターネットゾーン

  なので、手動セッテイングしますので、無視します。

  AD_Setting_4.jpg

  何もせずOKです。

  AD_Setting_5.jpg

  フォルダの設定は、デフォルトのまま進みます。

  AD_Setting_6.jpg

  確認だけで、そのまま進みます。

  AD_Setting_7.jpg

  確認だけで、そのまま進みます。

  AD_Setting_8.jpg

  1番目と3番目のワーニングはADのローリングアップグレードの情報で

  見つかる内容で、そのつもりなので問題ありません。

  2番目のワーニングは、ネットワークデバイスに対するワーニングで、

  これも無視できます。

  本サーバは、無線LANと、チームを組むために複数のLANデバイスが

  存在していて、これらを完全に構成せず、第一LANポートにネット接続

  してセッティングをしているため、他のポートが未接続で浮いた状態です。

  このため、書いてある通りのメッセージが出てしまいますが、これも

  後で、きちんとセッティングされるので、問題ないです。

  チームを組めば、単一の有線接続になり、無線アクセスポイント

  構築時にこのポートにも、それなりの固定IPを振ることになります。

 

4.新サーバのDNSの設定

   DNSの設定時に出たワーニングのへの対応です。

  DNSのフォーワーダーの設定は、上記構築で引き継がれませんでした。

  127.0.0.1自分自身に設定されて、キャッシュアウトしたサイトの

  名前解決に、上位サーバに問い合わせができなく、

  インターネットアクセスが、できません。(ドメインのコンピュータへは、

  名前でアクセスできます。あたりまえではあります。)

  更に「フォーワーダー設定に自身の登録は、不適切」のDNSイベントが

  延々と、出続けます。

   従って、手動で設定します。何を設定するのが適切かは環境によります。

     ・インターネット接続プロバイダが指定してくるDNS

     ・自分で調べた高速DNS

     ・ルーターのアドレス(ルータの機能による)

     ・ローカルネット内の上位DNSサーバのアドレス。

    DNS.jpg

 

5.新サーバをドメインマスタに昇格

 1.FSMOの転送

  1)スキーママスタの転送

    作業対象:DC02 (Windows Server2012)
      DC01 (Windows Server2003R2)でもOKと思います。
     mmc_1.jpg
    コマンドの実行
      regsvr32 schmmgmt.dll

    mmc_2.jpg

     コマンドの実行
      mmc
    「スナップインの追加と削除」
      「Active Directory スキーマ」を追加

    ・Active Directory スキーマの転送

     schema.jpg

    「コンソール ルート」→「Active Directory スキーマ [<サーバ名>]」を右クリック
      →「ドメイン コントローラの変更」

       「名前の指定」で、DC02 (WindowsServer2012)を指定

    「Active Directory ドメインと信頼関係」を右クリック
      →「操作マスタ」

        「スキーマ マスタの変更」で、DC02 (WindowsServer2012)を指定

    ・ちなみに、失敗事例。 

     転送前のマスターは、DC01(Windows Server  2003R2)だから、

     こちらに接続すれば上手く行くと思って作業したら、怒られました。

     schema_ failure.jpg

 

  2)ドメイン名前付け操作マスタの転送

    作業対象:DC02 (Windows Server2012)
      DC01 (Windows Server2003R2)でもOKと思います。
 
    ツール:「Active Directory ドメインと信頼関係
         管理ツールor サーバーマネージャのツールから呼出せます。

    SousaMaster.jpg

    ・ドメイン コントローラに接続

     「Active Directory ドメインと信頼関係」を右クリック
       →「ドメイン コントローラに接続」

        DC02 (WindowsServer2012)を指定

    ・操作マスタの変更

     「Active Directory ドメインと信頼関係」を右クリック
      →「操作マスタ」

        「操作マスタの変更」で、DC02 (WindowsServer2012)を指定

 

  3)インフラストラクチャマスタ、PDCマスタ、RIDマスタの転送

    作業対象:DC02 (Windows Server2012)
      DC01 (Windows Server2003R2)でもOKと思います。
 
    ツール:「管理ツール」→「Active Directory ユーザーとコンピュータ
         管理ツールor サーバーマネージャのツールから呼出せます。

    infra_pdc_rid_master.jpg

   ・ドメイン コントローラに接続

     「<ドメイン名>」を右クリック
       →「ドメイン コントローラに接続」

        DC02 (WindowsServer2012)を指定

    ・操作マスタの変更

     「<ドメイン名>」を右クリック
       →「操作マスタ」

     インフラストラクチャマスタ、PDCマスタ、RIDでそれぞれ、

     DC02 (WindowsServer2012)に変更

 

7.旧サーバWindowsServer2003R2を降格する

  作業対象:DC01 (Windows Server2003R2) 

  ・dcpromoを実行することで降格できます。降格に失敗すると厄介なことに

    遭遇しかねないので、注意して行います。 

 

    注意点

     1.ネットワークの設定の優先DNSの設定は、新サーバの仮アドレスを設定

       ドメインを降格してもDNSは生きているので問題ないはずですが、

       降格に失敗することがあるらしい。

     2.「このサーバーはドメインの最後のドメイン コントローラです」の

       チェックをオフにする。

       当然ですが、新サーバが稼働しているので最後のドメインコントローラ

       ではないです。

      dcpromo_remove.jpg

 

8.ネットワークアドレスの変更

   クライアント全てのDNS等の設定を変更するのは非常に面倒ですので、

   下記のように新サーバでも、旧サーバで使っていたアドレスを使うようにします。

   これを行うと、DNSやActiveDirectoryに問題を発生させないか心配でしたが、

   問題なく移行できます。(感心してしまいました。)

    ・旧サーバのIPアドレスを使っていない別の固定アドレスに変更

      優先DNSアドレス:元々の旧サーバのアドレス(新サーバのアドレス)

      色々なデータを移行が終わってから停止とした方が良いので、

      ドメインのメンバーサーバとしてしばらく稼働するようにします。

    ・新サーバのIPアドレスを旧サーバのアドレスに変更

      優先DNSサーバのアドレスを新規DCのIPアドレスor自分自身に設定

 
9.新サーバの機能をWindows2012ネイティブレベルまで昇格

  1. ドメインの機能レベルをWindows2012まで昇格

  2.フォレストレベルをWindows2012まで昇格

     AD_Admin_center.jpg

    「サーバー マネージャー」の「ツール」から、

     「Active Directory 管理センター」を起動する。 

    「<ドメイン名> (ローカル)」を選択すると、

    「ドメインの機能レベルの昇格」と

    「フォレストの機能レベルの昇格」のメニューが

    右側に現れるので、ここへアクセスして、双方とも

    Windows2012まで昇格させます。

  3.SYSVOL複製方式の変更

     FRS(File Replication Service)
        ⇒DFSR(Distributed File System Replication)
 
    Windows Server 2003のDCは、FRSを使用して
   SYSVOLを複製します。
    Windows Server 2008以降のDCでは、FRSの後継にあたる
   DFSRで複製可能になった。
 
    Windows Server 2003からWindows Server 2012ドメイン
   に移行した場合、
   DFSRへの移行は行われず、FRSが使用される。
   Windows 2003もDFSRを実装していたが、SYSVOLの複製には
   使用できない仕様で、DFSRはWindows Server 2003 DCが存在すると
   利用できない。つまり機能レベルやフォレストレベルがWindows 2008
   以降で利用できるということになります。
 
   SYSVOLについて。(引用文献:Microsoft サポートページ)
    システム ボリューム (Sysvol) は、ドメイン全体での共通アクセスと
   複製のために共有が必要な、ドメインのパブリック ファイルのサーバー
   コピーを保存する共有ディレクトリです。
    ドメイン コントローラの Sysvol フォルダには次の項目が含まれます。
 
     ・Net Logon 共有。
       これらは、一般的にネットワーク クライアント コンピュータ用の
      ログオン スクリプトとポリシー オブジェクトをホストします。
     ・管理者が Active Directory ユーザーとコンピュータを使用する
      ドメインのユーザー ログオン スクリプト。
     ・Windows グループ ポリシー。
     ・ドメイン コントローラ間で同期を取り、利用可能な状態にしておく必要のある、
      ファイル複製サービス (FRS) のステージング フォルダとファイル。
     ・ファイル システムの接続点。 
   
    SYSVOL は、BACKUP等の他のドメインコントローラにも複製され、
   すべてのドメインコントローラで同じ内容を持つようになっている。
    従って、メンテナンス等でスクリプトの更新を行った際にも、
   ドメイン内のクライアントが、どのドメインコントローラに接続しても、
   更新された内容を利用できる仕組みになっている。
 
   複製方式について。
    DFSRについての詳しい説明は私では不能ですので、
   Microsoftのサポートページや、TechNetの情報を参照してください
    メリットだけ抜粋
 
   1)DFSR では差分のみを複製する為、ネットワークの負荷が削減される。
   2)DFSR は Journal Wrap Error から自動復旧できる。
  
    とのことですので、ネット負荷低減とエラー時の自動復旧されるという
   ことで、利用しない手は無いと思います。
 
   DFSRを使用するためには、コマンドラインツールを使用して手動で
   変更します。

    DSFR_Log.jpg

    上図はログのSSです。

 以上で、Active Directory Serverの移行作業は完了です。

次回からのドメインサーバのアップグレードは比較的容易になると信じていますが、

さて〜。どうなるか。

 

★バックアップドメインコントローラの構築

上記のように、Active Directoryを構築して、問題なく稼働できるようにします。

その後、別のサーバマシンで、Active Directoryの機能を追加することで

構築できてしまいます。私の環境では、Windows Server2012の仮想マシン

で構築しました。特に注意するようなことはありませんでした。 

 

 (ADを立てて、仮想マシンの環境を構築した後に構築)

 バックアップのドメインコントローラは立てておくと何かと良いです。

 

マスターのドメインコントローラのマシンをアップデート等のメンテナンスで、

再起動をかけても、その間ドメインの機能はネット内で生きていますので、

ネットワークサービスのダウンが無いです。

 私の場合、色々サーバをいじったりしますので、たとえ、小規模の

ネットワーク環境でも、この構成は有用に思えました。

 ワーストケースで、1台ドメインコントローラが壊れても、データベースが

残っているわけですから、修復可能です。ドメインコントローラのデータは

生き物ですから、RAID 1や、バックアップで不測の事態に備えるという

考え方よりフェールオーバー構成のマシンを動かしておくという考え方が

改めて正しいと思いました。

 

★DHCPサーバの構築

 DHCPサーバの構築は、ADを立ててから実施するのが良いと思います。

 

ADを立てるとAD連携モードで運用することになるので、

Windows のドメインのDHCPサーバは、Domainが承認したものが

 

動作できるようになっています。実運用してから、色々直しが発生すると

面倒なので、大元を先に構築した方が良いでしょう。

 私の環境では、マスターのDHCPは、ドメインコントローラマスタに

立てることにしました。バックアップのDHCPサーバは、バックアップ

ドメインコントローラ(仮想マシン)上で、フェールオーバー構成(複製)

としました。私の環境では、小規模ですので、複数DHCPの連携かつ

フェールオーバー構成は、さすがに必要ないので、この程度としました。

 

気付いたこと。

 複数のネットカードがあり、適切に構成されていないと単一ネットへの

構成にするよう、イベントが出続けます。

 またDHCPツール上の自身のサーバー名が外部の上位DNSサーバの

アドレスで、表示されます。

 

★AD CS(工事中)

 Windows でCAサービスを立てるのは、これが初めてで、

模索中ですので、私から何か言えることは無いです。

 参考文献を見ながら構築していますが、設定ツールや

設定場所が、初めてであったこともあり、わかりにくかったので、

下記はやったことのメモです。

 ここでは、Active Directory連携のCAサービスを構築します。 

(「エンタープライズCA」)

 CAサービスは、Active Directoryの構築後、役割と機能の追加

ウィザードで、「Active Directory証明書サービス」を追加します。

・注意点

 「AD CSの構成」で、「エンタープライズ CA」と「ルートCA」を選択

 

CAインストール後の設定。 

1.公開キーポリシーの設定

Group_Policy_Admin_Editor_1.jpg

「サーバーマネージャー」の「ツール」から、「グループポリシーの管理」を起動する。

 

「グループポリシーの管理」⇒「フォレスト:<ドメイン名>」

  ⇒「ドメイン」⇒「<ドメイン名>」⇒「Default Domain Policy」を右クリック。

 編集を選ぶと、「グループポリシー管理エディター」が起動する。

Group_Policy_Admin_Editor_2.jpg

 

「グループポリシー管理エディター」で、

コンピュータの構成¥ポリシー¥Windowsの設定¥セキュリティーの設定公開キーのポリシー

 証明書サービス クライアント - 自動登録

Group_Policy_Admin_Editor_3.jpg

ユーザーの構成ポリシー¥Windowsの設定¥セキュリティーの設定\公開キーのポリシー

 証明書サービス クライアント - 自動登録

 

2. 証明書テンプレートに「コンピュータ」を追加

Group_Policy_Admin_Editor_4.jpg

 

 

Group_Policy_Admin_Editor_5.jpg

 

 

Group_Policy_Admin_Editor_6.jpg

 

 

Group_Policy_Admin_Editor_7.jpg

  

 

★仮想マシンの構築(工事中)

ドメインへ参加

Hyper V構築

RDS仮想マシンベースシナリオで構築

失敗事例:超重要

 RDSを構築するには、Active Directoryドメインに参加が必須です。

  ドメイン参加前に、RDSをインストールして、構成未完了で、120日運用できます。

 ADを後で構築して、ドメイン参加して構成を完了させる行為は、ワーストケースで、

 OS破壊になりますので、危険です。

   ドメイン参加することで、サーバーのマシン名が、マシン名オンリーから、

  マシン名@ドメイン名になり、RDSインストール時のマシン名と、

  構成時のマシン名が異なる矛盾で、構成が完了できない。

  RDSのアンインストールもできない。ドメインから、離脱させても、

  構成失敗時に書き込まれた情報が残って、アンインストールできませんでした。

  つまり、OSを破壊したことになり、OS再インストールが最も楽な解決策に

  なってしまいます。 私は、OS再インストールになってしまいました。

   ドメイン参加前にインストールしてしまったRDSは、ドメイン参加前に一度、

  アンインストールしてから、ドメイン参加後に、インストールから、構成まで

  実施が安全です。(私はOSから再構築になったので試せていません。)

   初期の頃のActive Directoryの構築の迷宮トラブルを思い出すような、

  事態を体験してしまいました。

このブログ記事と同じカテゴリのブログ記事

トラックバックURL

このエントリーのトラックバックURL:
http://www.myme.mine.nu/cgi-bin/mt/mt-tb.cgi/446

コメントする

(初めてのコメントの時は、コメントが表示されるためにこのブログのオーナーの承認が必要になることがあります。承認されるまでコメントは表示されませんのでしばらくお待ちください)