Windows 2000ドメインからWindows Server 2003ドメインへのアップグレード

Windows 2000ドメインからWindows Server 2003ドメインへのアップグレードの概要

　ネットワークオペレーティングシステムをWindows 2000 ServerからWindows Server 2003, Standard Edition、Windows Server 2003, Enterprise Edition、またはWindows Server 2003, Datacenter Editionオペレーティングシステムにアップグレードすると、現在のネットワーク構成およびドメイン構成を維持したままで、ネットワークインフラストラクチャのセキュリティ、拡張性、および管理性を向上させることができます。
　現在利用中のWindows 2000ドメインをアップグレードする前に、ビジネスの目的を再確認して、それが既存のActive Directoryインフラストラクチャとどのように結び付いているかを明確にします。その結果、現在の環境に大きな変更を加える必要はないという結論に達することもあります。しかし、オペレーティングシステムをアップグレードするときというのは、既存のActive Directoryの設計（Active Directoryの論理構造、サイトトポロジ、ドメインコントローラの処理能力など）を見直す機会として最適です。効率を高めたりコストを削減したりできそうなポイントを見つけ、それをアップグレードのプロセスに組み込むことができる場合もあります。

Windows 2000ドメインからWindows Server 2003ドメインへのアップグレードの基礎知識

　Windows 2000のActive Directory環境からWindows Server 2003のActive Directoryへアップグレードするには、まずアップグレードのプロセスに影響するいくつかの重要な項目について理解しておく必要があります。

ADPrep

　Windows 2000のフォレストやドメインをWindows Server 2003のActive Directoryへアップグレードする、あるいはWindows Server 2003ベースの新しいドメインコントローラを導入するためには、ADPrep（Active Directory Preparation Tool、adprep.exe）コマンドラインユーティリティを実行して、既存の環境をアップグレードできるように準備する必要があります。ADPrepはWindows Server 2003セットアップCD-ROMの［I386］フォルダにあります。
　ADPrepとは、Windows Server 2003ベースの最初のドメインコントローラのインストールに先立って一連の処理を行い、Active Directoryをアップグレードできるようにフォレストとドメインを準備するためのツールです。この中で行われる処理には次のようなものがあります。

• ADPrepが提供する新しいスキーマ情報を使って、現在のスキーマが拡張されます。このとき、現在の環境でスキーマにもともと加えられていた変更はそのまま維持されます。
• コンテナおよびオブジェクトに対するアクセス許可がディレクトリ全体でリセットされ、新しいWindows Server 2003ドメインでのセキュリティおよび相互運用性の強化に対応できるようになります。

新しいWindows Server 2003ドメインを管理するための管理ツールがローカルコンピュータにコピーされます。

DNS用のアプリケーションディレクトリパーティション

　アプリケーションディレクトリパーティションとは、アプリケーション用のデータを格納しておく場所で、同じフォレスト内のドメインコントローラにのみレプリケートできます。Windows Server 2003が動作しているドメインコントローラがフォレスト内に少なくとも1つあり、そのうちのいずれかがドメイン名前付けマスタであれば、アプリケーションディレクトリパーティションを利用することができます。
　たとえば、Windows Server 2003ベースのドメインコントローラでは、DNSデータの格納にアプリケーションディレクトリパーティションを使用できます。Windows Server 2003ベースの新しいドメインコントローラやWindows Server 2003にアップグレードしたドメインコントローラにDNSサービスがインストールされるときに、フォレストおよび各ドメインにDNS用のアプリケーションディレクトリパーティションが自動的に作成されます。Active Directoryのインストール時にアプリケーションディレクトリパーティションの作成が失敗した場合は、DNSは毎回のサービス起動時に再びパーティションを作成しようとします。

　Active Directoryのインストール時には、DNS用のアプリケーションディレクトリパーティションとして次の2つが作成されます。

• ForestDnsZones─ フォレストレベルのアプリケーションディレクトリパーティションです。同じフォレスト内のすべてのDNSサーバーによって共有されます。
• DomainDnsZones─ ドメイン全体のアプリケーションディレクトリパーティションです。同じドメイン内のすべてのDNSサーバーによって共有されます。

SRVリソースレコード

　Windows Server 2003ベースのドメインコントローラのNet Logonサービスは、動的更新を使って、SRVリソースレコードをDNSデータベースに登録します。SRVリソースレコードについては、RFC 2782「A DNS RR for specifying the location of services（DNS SRV）」で解説されています。このドラフトの詳細については、IETF（Internet Engineering Task Force）のWebページ（http://www.ietf.org/）を参照してください。SRVレコードは、LDAP（Lightweight Directory Access Protocol）などのサービス名を、そのサービスを提供するサーバーのDNSコンピュータ名に対応付けるのに使用されます。Windows Server 2003のネットワークでは、LDAPを表すリソースレコードを使って、ドメインコントローラの位置が特定されます。Windows Server 2003ドメインにログオンしているクライアントコンピュータがDNSに対してSRVレコードを照会するときには、一般に次のような形式を使用します。

_＜サービス＞._＜プロトコル＞.＜DNSドメイン名＞

　ここで、＜サービス＞は要求するサービス、＜プロトコル＞は要求するプロトコル、＜DNSドメイン名＞はActive Directoryドメインの完全修飾DNS名を表します。
　Active Directoryサーバーは、TCPプロトコル上でLDAPサービスを提供します。したがって、クライアントは次のような形式でDNSを照会し、LDAPサーバーを見つけます。

_ldap._tcp.＜DNSドメイン名＞

_msdcs.＜ドメイン名＞サブドメイン

　Microsoft固有のこのサブドメインでは、Windows Server 2003固有の役割を持つドメインコントローラをドメイン内で見つけることができます。ドメインの名前が変更された場合は、グローバル一意識別子（Globally Unique Identifier：GUID）によって見つけることも可能です。
Windows Server 2003ベースのドメインコントローラを見つけやすくするために、Net Logonサービスは、標準的な_＜サービス＞._＜プロトコル＞.＜DNSドメイン名＞形式のレコードに加えて、主なサーバーの種類を表す略号をプレフィックスとしてSRVレコードを_msdcs.＜ドメイン名＞サブドメインに登録します。「dc」（ドメインコントローラ）、「gc」（グローバルカタログ）、「pdc」（プライマリドメインコントローラ）、「domains」（GUID）などの略号です。サーバーの種類とGUIDのどちらでもドメインコントローラを見つけられるようにするために、Windows Server 2003ベースのドメインコントローラは、次の形式のSRVレコードを_msdcs.＜ドメイン名＞サブドメインに登録します。

_＜サービス＞._＜プロトコル＞.＜サーバーの種類＞._msdcs.＜DNSドメイン名＞

_msdcs.＜フォレストルートドメイン＞サブドメイン

　_msdcs.＜フォレストルートドメイン＞には、フォレストレベルのリソースレコード、つまり、フォレスト内のあらゆるクライアントやドメインコントローラに関係するリソースレコードが格納されます。たとえば、フォレスト内のすべてのドメインコントローラは、CNAME、LDAP、Kerberos、GCの各SRVリソースレコードを_msdcs.＜フォレストルートドメイン＞サブドメインに登録します。CNAMEリソースレコードは、レプリケーションシステムがレプリケーションの相手を見つけるときに使用されます。また、GCリソースレコードは、クライアントがグローバルカタログサーバーを見つけるときに使用されます。
　2つのドメインコントローラが互いをレプリケートするには、フォレストレベルのロケータレコードを両者が見つけられなくてはなりません。同じドメインのドメインコントローラどうしの場合でも同様のことが言えます。また、新規に作成されたドメインコントローラがレプリケートに参加するためには、自分自身を表すレコードをフォレストレベルでDNSに登録でき、他のドメインコントローラがそれらを見つけることができなくてはなりません。したがって、レプリケーションやグローバルカタログの検索を行うには、_msdcs.＜フォレストルートドメイン＞サブドメインを管理するDNSサーバーにアクセスできる必要があります。
　こうした理由から、_msdcs.＜フォレストルートドメイン＞ゾーンは別個に作成し、フォレスト内のすべてのDNSサーバーにレプリケートされるようにレプリケーションスコープを定義しておくことをお勧めします。
　Windows 2000 Active Directoryを利用している組織では、クライアントが効率よくドメインコントローラを見つけられるように、_msdcs.＜フォレストルートドメイン＞ゾーンが既に作成済みの場合もあります。現在使用中のWindows 2000環境に_msdcs.＜フォレストルートドメイン＞ゾーンが既に存在する場合は、フォレスト内のすべてのドメインコントローラをWindows Server 2003ベースにした後で、このゾーンをForestDnsZonesアプリケーションディレクトリパーティションに移動することをお勧めします。加えて、フォレスト内の各ドメインについて、_msdcs.＜ドメイン名＞ゾーンをそのドメインのDomainDnsZonesアプリケーションディレクトリパーティションに移動します。
　Active Directory統合DNSゾーンを、ドメインおよびフォレストレベルのアプリケーションディレクトリパーティションに移動すると、次のようなメリットがあります。

• フォレストレベルのアプリケーションディレクトリパーティションは、ドメインの外部にもレプリケートできます。また、_msdcs.＜フォレストルートドメイン＞をフォレストレベルのアプリケーションディレクトリパーティションに移動すると、フォレスト内でDNSサービスが動作しているすべてのドメインコントローラにレプリケートできます。この2つの理由から、DNSゾーンの転送を使ってドメイン外のDNSサーバーにゾーンファイル情報をレプリケートする必要がなくなります。
• DNSサービスを実行しているドメインコントローラのうち、どれに対してDNSゾーンデータを送るかを管理者が指定できるので、ドメイン全体のレプリケーションによるトラフィックを最小限に抑えることができます。
• DNSデータはグローバルカタログにレプリケートされなくなるので、フォレストレベルのレプリケーションによるトラフィックを最小限に抑えることができます。

フォレスト内のグローバルカタログサーバーに置かれているDNSレコードがなくなるので、グローバルカタログでレプリケートされる情報の量を最小限に抑えることができます。