Active Directoryをクラウドスタイルで提供

2015年6月25日

迫る2015年7月15日

　はじめまして。村松です。日頃セミナーなどで、Microsoft製品技術に関する情報を技術者の視点からご案内しております。少しでも多くのお客様のお役に立てればと思い、コラムという形で発信していきたいと思います。
　第1回目は、今年の7月15日でサポート終了を迎える「Windows Server 2003で構築したActive Directoryの移行と対策」について解説していきたいと思います。

　耳にタコかもしれませんが、改めてWindows Server 2003のサポートライフサイクルについて説明いたします。Windows Server 2003および Windows Server 2003 R2のプロダクトサポートライフサイクルの終了日は、「2015年7月15日（日本時間）」です。もう、残された時間はありません。
また、OSだけではなく、Windows Server 2003で構築されたシステムが稼動しているサーバーは概ね4～5年前頃に構築されたものが多く、つまりサーバーハードウェアもリプレイス時期を迎えているものが多いという状況です。

　2015年7月15日以降も、Windows Server 2003を利用し続ける事自体は、ライセンス許諾の観点では問題がなく、またサーバーハードウェアも修理保証が続く限り利用し続けることが可能です。実際のところ、マイクロソフトのサポート終了日後もしばらく使い続けるという判断をされているお客様がいらっしゃいます。では、この「サポート終了」がもたらす危険とは具体的にどういったものなのでしょうか？

　まず1点目は「セキュリティ」です。サポート終了後はセキュリティパッチの提供がなくなります。セキュリティホールを抱えた状態で運用していると、ウイルス感染の危険度が上がります。新手の攻撃に対しても無防備の状態となります。お客様の中には、「インターネットに接続できない環境にサーバーがあるので、ウイルス感染リスクは無い」とお考えの方もいらっしゃいますが、ネットワークウイルスなどによる別経路での感染事例が報告されています。言うまでもありませんが、ウイルス感染による被害は企業にとって甚大です。
2点目は「サポートサービス」です。サポート終了後は、Windows OSの障害対応サービスや、Q&A対応がサービスとして受けることができません。また、過去に掲載された技術情報の参照もできなくなり、お客様ご自身での問題解決が困難な状態となります。
仮に不具合（バグ）が発見されたとしても修正されることもありません。
このように、サポート終了がもたらすリスクは大きく、またサーバーハードウェアも陳腐化が進み、その費用対効果は下がる一方です。

進化した Windows Server 2012

　それでは新バージョンである Windows Server 2012の進化について少し触れていきたいと思います。と、その前にお伝えしておきたい点があります。
これから移行をお考えの方には、Windows Server 2012への移行をお薦めします。それは何故かというと、「Windows Server 2008」に移行しても良いのではないか？とお考えの方もいらっしゃるかと思いますが、Windows Server 2008 R2は、2020年1月14日にサポートが終了してしまうからです。今買っても5年経つ前にサポート終了日を迎えてしまうというわけなのです。

　Windows Server 2012および Windows Server 2012 R2は、クラウドOSというコンセプトに基づき大きく機能向上しています。OSとしての基本スペック向上はもとより、主に仮想環境（HYPER-V）の機能拡張が目玉となっています。その他にも運用管理のGUI化や柔軟なコマンドスクリプトの提供といった機能向上も見られます。
Windows Server 2003のサポート終了に伴うリプレイスはネガティブな事ではなく、既存環境の高可用性化やセキュリティ強化といった新しいWindowsがもたらす機能改善強化を行えるポジティブな好機でもあるのです。

Active Directory の移行パターン

　Windows Server 2012のドメインコントローラ環境への移行には大きく3つのシチュエーションが考えられます。一つ目は、OSバージョンアップパターンです。Windows Server 2003のドメインコントローラをWindows Server 2012のOSのドメインコントローラに入れ替えます。その上で、Active Directoryの機能レベル・設定を変更することによる移行で、この方法ではアクセス権やアカウントの移行などが発生しません。後述の移行のポイントを抑えれば、この移行方法が最もリスクが少ないといえます。

▼進化した Windows Server 2012

　二つ目の移行パターンは、会社の合併などによるドメイン統合といった要素が複合的に移行作業に絡むパターンです。このシチュエーションでは、ドメインを新規に構築する形となりますので、アカウントの移行やアクセス権の移行、クライアントPCのドメイン再参加/プロファイルの移行が伴う形となります。単純なバージョンアップに比べると作業が当然多くなりますが、次の手法を取ることによってスムーズな移行が可能となります。アカウントの移行については「ADMT（Active Directory Migration ToolKit）」を使うことによって、パスワードをはじめとするアカウント情報を新ドメインへ移行することができます。アクセス権の移行は、一括変換と移行を同時に行えるようなVBScriptを使った方法を弊社では取っています。
最後にクライアントPCのプロファイルの移行となりますが、人海戦術で行うケースが多いと思います。しかし、人海戦術では、多大な労力と多大な時間を必要とし、且つ作業者によって成功率や生産性にバラつきが出てしまうことになりかねません。かといって、現場のユーザー自身に移行作業を強いることも困難です。そこで、ドメイン参加からプロファイル移行を自動で行うVBScriptを用意することによって、人海戦術で行う場合の問題点を解消することができるというわけです。
三つ目のパターンは、ワークグループ環境からの移行となりますが、上述のVBScriptを使った方法を応用することで速やかにWindows Server 2012ドメイン環境へ移行することが可能となります。

失敗と成功の分岐点

　移行を成功に導くポイントは、①しっかりと移行前に現状調査を行うこと。移行には、ご担当者様が把握しきれていない、もしくは把握できていると思っていたが、知らないものが出てきたといった不測の事態がつきものです。異常がないか、複製の正常性、Windows Server 2012のドメイン参加可否、デバイス対応可否といったポイントを事前にしっかり抑えることが重要です。
②バージョンアップが可能か事前に確認する。ドメインコントローラをバージョンアップする場合、ドメインコントローラにインストールされているその他のアプリケーション（アンチウィルス等）のバージョンアップも同時に検討する必要があります。
③新OSに修正パッチを適用すること。特に、「KB3038562（Windows Server 2003→Windows Server 2012ドメイン移行で、サーバーにログオンできなくなる）」は忘れずに適用を行ってください。
④ドメインの機能の設定を行うこと。Windows Server 2012および Windows Server 2012 R2ではドメインの機能レベルをいつでも変更できるようになっています。移行後は機能レベルの設定を行い、ドメインコントローラ間の複製の設定もDFS-Rへ変更する必要があります。