2016年6月26日日曜日

Active Directory 機能レベルを下げる

ADの機能レベルを下げるというのはすごく難しいと思っていたけど、やるだけなら簡単だった。
ADゴミ箱が有効になっているかどうかがカギな様子。

<ADゴミ箱が有効な場合に戻せると言われてるパターン>
WS12R2→WS12
WS12R2→WS08R2
WS12→WS08R2

<ADゴミ箱が無効な場合に戻せると言われてるパターン>
WS12R2→WS12
WS12R2→WS08R2
WS12R2→WS08
WS12→WS08R2
WS12→WS08
WS08R2→WS08

らしい。
今回はWS12R2→WS08R2パターンをやってみる。
1,まずはいつもどおりADの正常性を確認する。
2,PowerShellで「Get-ADDomain」をすると情報が出てくる。「DomainMode」は「Windows2012R2Domain」になってることが確認できる。
※WS08R2だと「Import-Module ActiveDirectory」やってからじゃないとだめかも
AD09_FunctionalLevelDown_000001

AD09_FunctionalLevelDown_000002

2,「Get-ADForest」でフォレストの情報も確認できる。「ForestMode」が「Windows2012R2Forest」であることが確認できる。
AD09_FunctionalLevelDown_000004

3,そもそもこっちでも確認できるけど。
AD09_FunctionalLevelDown_000005

4,まずはフォレストのほうから戻す。PowerShellで「Set-ADForestMode –Identity adtest.local(ドメイン名) –ForestMode windows2008r2(戻したいところ)」を実行する。
AD09_FunctionalLevelDown_000006

5,戻したいので「Y」入力して、Enter押下する。
AD09_FunctionalLevelDown_000008

6,「Get-ADForest」をすると戻っていることが確認できる。
AD09_FunctionalLevelDown_000009

7,戻ってるね。
AD09_FunctionalLevelDown_000010

8,次はドメイン。おんなじ要領で「Set-ADDomainMode –Identity adtest.local –DomainMode windows2008r2domain」を実行する。
AD09_FunctionalLevelDown_000011

9,戻したいので「Y」を入力して、Enterを押下する。
AD09_FunctionalLevelDown_000012

10,「Get-ADDomain」を実行すると戻っていることを確認する。
AD09_FunctionalLevelDown_000016

11,完全に戻ってる。
AD09_FunctionalLevelDown_000017

また上げようと思えば上げれる。

これで戻せるから超便利と思ったけど、上の機能レベルで動き出してるミドルとかアプリってどうなるんだろうなあ。

やっぱ機能レベルを下げるのは最終手段かなあと思う。

Active Directory 機能レベルを上げる

WS08R2のDCがいなくなったので、今度は機能レベルを上げる。

これまでのあらすじ↓
1,http://harablo2012.blogspot.jp/2016/06/active-directory-windowsserver2008r2.html
2,http://harablo2012.blogspot.jp/2016/06/active-directory-ws08r2ws12r2dc.html
3,http://harablo2012.blogspot.jp/2016/06/active-directory.html
4,http://harablo2012.blogspot.jp/2016/06/active-directory-fsmo2008r22012r2.html
5,http://harablo2012.blogspot.jp/2016/06/active-directory-dc.html

上げるだけなのであまり難しくない感じ。ここではドメイン→フォレストの順番でやる。
1,FSMOの確認や、他にADいるならレプリケーションやらなんやらを確認する。※この環境では他にADいない
AD08_FunctionalLevelUp_000000

2,まずはドメインの機能レベルを上げる。Active Directory ドメインと信頼関係を起動して、ドメイン名右クリックして「ドメインの機能レベルの昇格」をクリックする。
AD08_FunctionalLevelUp_000001

3,好きなバージョン選択して「上げる」(直球)をクリックする。
AD08_FunctionalLevelUp_000003

4,「OK」をクリックする。
AD08_FunctionalLevelUp_000004

5,「OK」をクリックする。
AD08_FunctionalLevelUp_000005

6,次はフォレストの機能レベルを上げる。引き続きActive Directory ドメインと信頼関係で、今度は「Active Directory ドメインと信頼関係」を右クリックして、「フォレストの機能レベルの昇格」をクリックする。
AD08_FunctionalLevelUp_000006

7,好きなバージョン選択して「上げる」をクリックする。
AD08_FunctionalLevelUp_000008

8,「OK」をクリックする。
AD08_FunctionalLevelUp_000009

9,「OK」をクリックする。
AD08_FunctionalLevelUp_000010

10,確認するとちゃんと上がっている。
AD08_FunctionalLevelUp_000012

Active Directory 不要なDCを降格する

前回でFSMOを移動したので、不要になったDCを降格する。

これまでのあらすじ↓
1,http://harablo2012.blogspot.jp/2016/06/active-directory-windowsserver2008r2.html
2,http://harablo2012.blogspot.jp/2016/06/active-directory-ws08r2ws12r2dc.html
3,http://harablo2012.blogspot.jp/2016/06/active-directory.html
4,http://harablo2012.blogspot.jp/2016/06/active-directory-fsmo2008r22012r2.html

この作業はいらないDCで行う。
また、WS08R2なので、まだ「DCPROMO」が使える。

1,まずは「netdom query fsmo」でFSMOがこれから降格しようと思ってるDCに残っていないことを確認する。
AD07_DomainDemotion_000000

2,FSMOが残っていないなら「dcpromo」を実行する。
AD07_DomainDemotion_000001

3,「次へ」をクリックする。
AD07_DomainDemotion_000003

4,「OK」をクリックする。
AD07_DomainDemotion_000004

5,チェック入れずに「次へ」をクリックする。※チェックは絶対に入れない
AD07_DomainDemotion_000005

6,パスワードを入力して「次へ」をクリックする。
AD07_DomainDemotion_000007

7,「次へ」をクリックする。
AD07_DomainDemotion_000008

8,「完了時に再起動する」をチェック入れとけば勝手に再起動する。
AD07_DomainDemotion_000010

9,再起動後はドメインメンバーサーバーに格落ちしてる。
AD07_DomainDemotion_000011

※WS12R2側から見ると「Domain Controllers」からは消えて、「Computers」に移動してる。
AD07_DomainDemotion_000012

AD07_DomainDemotion_000013

あとは、ドメインから降格するなりなんなり。

2016年6月25日土曜日

Active Directory FSMOを2008R2から2012R2へ移動する

1,http://harablo2012.blogspot.jp/2016/06/active-directory-windowsserver2008r2.html
2,http://harablo2012.blogspot.jp/2016/06/active-directory-ws08r2ws12r2dc.html
3,http://harablo2012.blogspot.jp/2016/06/active-directory.html

ここまでで、WS08R2をDCにしてWS12R2を追加してというところまで行ったので、今回はFSMOをWS08R2のDCからWS12R2のDCへ移動させてみる。

今回の作業は基本的にはFSMOを持っている側(今はWS08R2のほう)で行うことにする。

1,まずはファイル名を指定して実行で、「regsvr32 schmmgmt.dll」を実行する。
AD05_FSMOMigration_000000

AD05_FSMOMigration_000001

2,mmcで「Active Directory スキーマ」を表示する。
AD05_FSMOMigration_000002

AD05_FSMOMigration_000003

AD05_FSMOMigration_000004

AD05_FSMOMigration_000005

3,「Active Directory スキーマ」を右クリックして、「Active Directory ドメイン コントローラーの変更」をクリックする。
AD05_FSMOMigration_000006

4,移動先をクリックして、「OK」をクリックする。
AD05_FSMOMigration_000009

5,「Active Directory スキーマ」を再び右クリックして、「操作マスター」をクリックする。
AD05_FSMOMigration_000011

6,転送先が移動したいマシンであることを確認して「変更」をクリックする。
AD05_FSMOMigration_000012

7,「はい」をクリックする
AD05_FSMOMigration_000013

8,「OK」をクリックする。
AD05_FSMOMigration_000014

9,スキーマ マスターが移動したことが確認できる。
AD05_FSMOMigration_000015

10,「Active Directory ドメインと信頼関係」を起動して、「Active Directory ドメインと信頼関係」を右クリックし、「Active Directory ドメイン コントローラーの変更」をクリックする。
AD05_FSMOMigration_000017

11,移動先をクリックして、「OK」をクリックする。
AD05_FSMOMigration_000019

12,「Active Directory ドメインと信頼関係」を右クリックし、「操作マスター」をクリックする。
AD05_FSMOMigration_000021

13,転送先が移動したいマシンであることを確認して「変更」をクリックする。
AD05_FSMOMigration_000022

14,「はい」をクリックする。
AD05_FSMOMigration_000023

15,「OK」をクリックする。
AD05_FSMOMigration_000024

16,操作マスターが移動したことが確認できる。
AD05_FSMOMigration_000025

17,「Active Directory ユーザーとコンピューター」を起動し、ドメイン名を右クリックして、「ドメイン コントローラーの変更」をクリックする。
AD05_FSMOMigration_000027

18,移動先をクリックして、「OK」をクリックする。
AD05_FSMOMigration_000028

19,「ドメイン名」を右クリックし、「操作マスター」をクリックする。※絵をとりわすれた
AD05_FSMOMigration_000029

20,まずは「RID」タブで、転送先が移動したいマシンであることを確認して「変更」をクリックする。
AD05_FSMOMigration_000030

21,「はい」をクリックし、その後「OK」をクリックする。
AD05_FSMOMigration_000031

AD05_FSMOMigration_000032

22,操作マスター「RID」が移動したことが確認できる。
AD05_FSMOMigration_000033

23,次に「インフラストラクチャ」タブで、転送先が移動したいマシンであることを確認して「変更」をクリックする。
AD05_FSMOMigration_000035

24,「はい」をクリックし、その後「OK」をクリックする。
AD05_FSMOMigration_000036

AD05_FSMOMigration_000037

25,操作マスター「インフラストラクチャ」が移動したことが確認できる。
AD05_FSMOMigration_000038

26,最後に「PDC」タブで、転送先が移動したいマシンであることを確認して「変更」をクリックする。
AD05_FSMOMigration_000039

27,「はい」をクリックし、その後「OK」をクリックする。
AD05_FSMOMigration_000040

AD05_FSMOMigration_000041

28,操作マスター「PDC」が移動したことが確認できる。
AD05_FSMOMigration_000042

29,最後にコマンドで「netdom query fsmo」を実行すると、今のFSMOの持ち主を表示できる。
AD05_FSMOMigration_000044

これでWS12R2へFSMOを移行出来たが、今度はWS12R2から同じような作業を行うことで、FSMOを戻すことも当然可能。