はじめに
皆様お疲れ様です。
オンプレミス環境からAWS環境にADサーバーを移行して行きます。
AWSにAD移行となれば、主に「AWS Managed Microsoft AD」と「Active Directory Server on EC2」の2つがあると思います。
下記にメリット・デメリット、コストの比較を記載します。
| AWS Managed Microsoft AD | Active Directory Server on EC2 | |
|---|---|---|
| メリット | ・管理の簡素化: AWSが管理・運用を担当するため、管理の負担が軽減される。 ・セキュリティの向上: AWSのセキュリティベストプラクティスに準拠し、セキュリティ機能が強化されている。 ・スケーラビリティ: ユーザー数やリソースの増減に柔軟に対応できる。 |
・柔軟性: ユーザーが自由に設定やカスタマイズを行えるため、柔軟性が高い。 ・制御: ユーザーが独自に管理・運用できるため、制御が容易。 ・低コスト: EC2インスタンスを使用するため、従量課金制であり、必要なときにリソースを削減できる。 |
| デメリット | ・柔軟性の制限: AWSが管理するため、カスタマイズや制御が限られる場合がある。 ・コスト: マネージドサービスとして提供されるため、料金がかかる場合がある。 |
・管理の負担: ユーザーが自ら管理・運用するため、管理の負担が大きい場合がある。 ・高可用性の実現: 高可用性を確保するためには、ユーザーが手動で冗長構成を実装する必要がある。 ・セキュリティ: セキュリティ機能の実装や管理が、AWS Managed Microsoft ADに比べてユーザーが負担する必要がある。 |
| コスト (月/単一のVPCでの運用/東京リージョンの場合) |
[Standard Edition]ディレクトリオブジェクト最大30,000の場合(ユーザー数最大5000人) ドメインコントローラー1つにつき0.073USD/1時間 デフォルトでドメインコントローラーが2つ作成されるので0.146USD/1時間 24時間×30日=720時間 0.146×720=月105.12USD [Enterprise Edition]ディレクトリオブジェクト最大500,000の場合 |
ユーザー数などのオブジェクトの数で変動するためAWS Managed Microsoft ADのStandard Editionに合わせて5000人のユーザーがいると仮定し下記の要件とする。 (条件によりハードウェア要件は変動し価格も変わってくるということをご承知おきください。) CPU-8 メモリ-16 インスタンスタイプ-c6i.2xlarge EBS-100GB,gp3 [オンデマンド] |
Active Directoryハードウェア要件に関して下記サイトを参考にしました。
「AWS料金見積もりツール」
「Windows Serverのハードウェア要件」
「Active Directory Domain Services のキャパシティ プランニング」
「Windows Serverのサイジング」
今回はAWS Managed Microsoft ADへの移行とActive Directory Server on EC2への移行を行い、ブログを作成いたしました。
AWS Managed Microsoft ADへの移行では信頼関係を構築しオンプレADドメインの参照ができるようにし、移行ツールを使用してユーザーやコンピューターなどのオブジェクトの移行します。
Active Directory Server on EC2への移行ではドメインを完全に移行します。on EC2をドメインコントローラーに昇格させて、FSMOの移行を行い完全にプライマリサーバーにします。
オンプレミスのドメインを移行先で変更してはならない場合、最適解はActive Directory Server on EC2に移行することだと思います。
EC2をドメイン参加させてドメインコントローラーへの昇格、権限を移行してあげると、AWS Managed Microsoft ADへの移行より簡単に移行できます。
(AWS Managed Microsoft ADへの移行は、厳密には移行ではなく参照になる。)
ネックなのは管理とコストですね。そのあたりは要件次第となっているのかなと思います。
AWS Managed Microsoft ADへの移行のブログもありますので参考にしてみてください。
「AWS Managed Microsoft ADへの移行」
要件・構成図・目次
今回の要件、構成図は下記になります。
基本は高可用性のためにActive Directory Server on EC2はAZが違うプライベートサブネットに1台ずつ、計2台構築します。
(今回は1台のみ作成していきます。)
構築に入る前にまずオンプレミスADサーバーのバックアップを取ります。トラブルがあった際に対応できるようにです。
最初にAWS環境からオンプレミスADドメインへ参加するEC2を構築します。
ドメイン参加後にドメインコントローラー(DC)の全権限をオンプレミスADサーバーからon EC2の1台に移します。
その後オンプレミスサーバーをAD,DNSから削除します。この削除はオンプレミスを残すのであれば不要になります。
個人的な意見としてオンプレミスとAWSのハイブリッドが可用性的には強いのかなと思います。
今回はオンプレミスADサーバーのドメイン「CPI.Local」を使用して移行していきます。
要件
- オンプレミス環境は既存の環境を使用。
- Site to SiteVPN接続は構築済み。
- AWS環境も既存の環境を使用。
- オンプレミスのドメイン「CPI.Local」を移行先で変更してはならない。
- Active Directory Server on EC2はWindowsServer2022を使用。
構成図
構成図はこちらになります。
目次
- オンプレミスサーバーのバックアップ
- Active Directory Server on EC2の構築
- オンプレミスドメイン参加
- ADサーバーの移行
- DNS委任レコードの変更
- オンプレミスDCの降格
- DNSサーバーの設定
- オンプレミス環境からAD参加検証
- まとめ
- 参考
オンプレミスADサーバーのバックアップ
まず最初にオンプレミスサーバーのバックアップを行います。
(こちらは念のための作業になるので、不要な方は飛ばしても大丈夫です。)
移行時のトラブルに対応するためです。
虫眼鏡アイコンからバックアップと検索し「単発バックアップ」を押下。
別のオプションを選択し次へ、
サーバー全体を選択し次へ、
バックアップの作成先を選択し次へ、
作成先のボリュームまたはフォルダを指定し次へ、
確認画面で間違いなければ「バックアップ」を押下し完了。
Active Directory Server on EC2の構築
まずActive Directory Server on EC2の構築まずを行います。
基本ADサーバーは高可用性のため2台以上建てます。
(今回は1台のみ構築していきます。)
それでは構築を始めていきます。
WindowsServer2022をEC2にデプロイ
EC2コンソール画面から、インスタンスを起動を押下。
インスタンス名を入力し、「アプリケーションおよび OS イメージ (Amazon マシンイメージ)」の検索欄で「Windows 2022 Japan」と検索。
「Windows_Server-2022-Japanese-Full-Base-2023.11.15」を選択。
インスタンスタイプを要件にあったものにする。
*基本はユーザー数を軸に考えるとよい
キーペアを選択または新規作成し、
ネットワークを既存のVPC、プライベートサブネット、パブリックIPを無効化、
セキュリティグループのインバウンドルールを下記のように設定。
| プロトコル | ポート | ロール |
|---|---|---|
| TCP/UDP | 53 | DNS |
| TCP/UDP | 88 | Kerberos |
| TCP/UDP | 389 | LDAP |
| TCP/UDP | 464 | Kerberosパスワードの変更/設定 |
| TCP | 135 | レプリケーション |
| TCP | 445 | SMB/CIFS |
| TCP | 636 | LDAP SSL |
| TCP | 3268-3269 | LDAP GCおよびLDAP GC SSL |
| TCP | 3389 | リモートデスクトップ |
| TCP | 49152-65535 | RPC |
| 全て | 全て | LocalVPC内 |
その他はデフォルトのまま「インスタンスを起動」を押下して作成完了。
オンプレミスドメインへの参加
正常にEC2インスタンスが起動したら次はオンプレミスドメインへの参加をします。
まずは使用するDNSサーバーをオンプレミスADサーバーのものに指定し、その後オンプレミスADサーバーのドメインに参加します。
DNSサーバーの指定
起動したEC2インスタンスにSSMを使用してRDP接続します。
画面右下の虫眼鏡アイコンで「con」と検索すればコントロールパネルと表示されるので、そちらを押下。
「ネットワークとインターネット」→「ネットワークと共有センター」→「アダプターの設定の変更」から現在のネットワーク接続を右クリック「プロパティ」を押下。
「インターネットプロトコルバージョン4(TCP/IPv4)」を選択して「プロパティ」を押下。
「次のDNSサーバーのアドレスを使う」を選択して、オンプレミスADサーバーのIPアドレスを入力し「OK」を押下して完了。
ドメイン参加
コントロールパネルのホーム画面に戻って、「システムとセキュリティ」→「システム」→「システムの詳細設定」と進んでいく。
「コンピューター名」タブの「変更」を押下。
所属するグループを「ワークグループ」から「ドメイン」に変更し、オンプレミスADサーバーのドメインを入力。
ユーザー情報入力ウィンドウが出てくるので、権限のあるユーザー名とパスワードを入力して「OK」を押下。
しばらくすると「ドメインへようこそ」の文言が表示されるので「OK」を押下し、再起動が促されるのでそのまま再起動を行う。
ADサーバーの移行
再起動が完了したら、on EC2にADサーバーとDNSサーバーの機能を追加していきます。
次にADサーバーとDNSサーバーのセットアップを行います。その後、on EC2をドメインコントローラーに昇格させ、オンプレミスのドメインコントローラーと同期させます。
同期した後、FSMOをon EC2に移行を行います。
FSMOの移行ができたらADとDNSからオンプレミスADサーバーの情報を削除し、ADとDNSにon EC2の情報を登録して完了となります。
役割と機能の追加
Server Managerを起動していきます。
この画面の虫眼鏡アイコンを押下して、検索欄に「Server Manager」と入力し、出てきた「サーバーマネージャー」を押下します。
ダッシュボードに来ましたら「②役割と機能の追加」を押下します。
「開始する前」にでデフォルトのまま次へ。
「インストールの種類」で「役割ベースまたは機能ベースのインストール」を選択し次へ。
「サーバーの選択」で「サーバープールからサーバーを選択」を選んで、下のプールから使用するサーバーを選び次へ。
「サーバーの役割」で
「Active Directory ドメインサービス」、「DNSサーバー」を選択し次へ。
「機能の選択」で
「グループポリシーの管理」、「リモートサーバー管理ツール→役割管理ツール→AD DSツール」、「DNSサーバーツール」を選択し次へ。
機能の確認等を行い、必要に応じて確認画面で必要に応じて対象サーバーを自動的に再起動するにチェックを入れインストールする。
インストールが完了したら、ウィンドウを閉じます。
ADサーバーの構築
ADサーバーのセットアップを開始します。
今回はOSのバージョンが2019から2022への移行になる。しかし、ドメインの機能レベル・フォレストの機能レベルが移行元、移行先で「WindowsServer2016」とそろっているため、機能レベルの昇格無しでそのまま移行する。
下記に確認方法を記載します。
機能レベルの確認方法
確認方法はオンプレミスADサーバー、EC2ADサーバー両方とも同様です。
まずはドメインの機能レベルの確認をします。
サーバ―マネージャーの「ツール」→「Active Directoryドメインと信頼関係」を押下。
ドメイン名を右クリックし、「ドメインの機能レベルの昇格」をクリック。
現在のドメインの機能レベルと利用可能なドメインの機能レベルが表示されます。
次にフォレストの機能レベルの確認をします。
「Active Directoryドメインと信頼関係<DC名>」を右クリックし、「フォレストの機能レベルの昇格」を押下。
現在のフォレストの機能レベルと利用可能なフォレストの機能レベルが表示されます。
ドメインコントローラーの昇格
サーバ―マネージャー画面右上の旗マークを押下。
「このサーバーをドメインコントローラーに昇格する」を押下。
「既存のドメインにドメインコントローラーを追加する」を選択しドメイン名と資格者情報を入力して次へ。
「ドメインコントローラーオプション」で、各オプションを選択し、パスワードを入力して次へ。
残りをすべてデフォルトのまま、「前提条件のチェック」まで進む。
「前提条件のチェック」画面上部で、「すべての前提条件のチェックに合格しました。」の文言が出てきたらインストールを押下し完了。
インストールが完了するとサインアウトするので、ADのユーザーで再度ログインします。
各DCとの同期確認
新規DCと既存DCの動機が完了しているかを確認します。
on EC2のコマンドプロンプトで、
「repadmin /replsummary」コマンドを実行する。
・「失敗/合計」を列で失敗の数が0であることを確認する。
on EC2のコマンドプロンプトで、
「net hsare」コマンドを実行する。
・共有名の列に「NETLOGON」と「SYSVOL」の共有が出力されていることを確認する。
on EC2のPowerShellで
「Get-CimInstance -Namespace "root\microsoftdfs" -ClassName "DfsrReplicatedFolderInfo"」コマンドを実行する。
・「ReplicatedFolderName : SYSVOL Share」の「State : 4」となっていることを確認する。
FSMOの移行
FSMOいわゆる管理マスターのようなものです。
それを、オンプレミスADサーバーからon EC2に移行していきます。
最初に作成したon EC2ので作業します。
PowerShellを管理者として開きます。
MoveADDirectoryServerOperationMas terRole -Identity "○○" OperationMasterRole PDCEmulator,RIDMaster,Infrastr uctureMaster,SchemaMaster,Do mainNamingMaster
コマンドを実行する。
*○○の部分はon EC2のコンピューター名を入力してください。
*確認メッセージが表示されたら「Y」を入力しEnterを押下してください。
移行完了確認
管理者として開いたPowerShellで
Get-ADDomain | Select-Object PDCEmulator,RIDMaster,Infrastr uctureMaster | fl
を実行する。
コンピューター名がon EC2のものに代わっているかを確認する。
そのままPowerShellで
Get-ADForest | Select-Object SchemaMaster,DomainNamingMaster | fl
を実行する。
先ほどのコマンドと同様、コンピューター名がon EC2のものに代わっているかを確認する。
DNS委任レコードの変更
on EC2で作業します。
サーバ―マネージャーの「ツール」→「DNS」を押下。
「前方参照ゾーン」→「ドメイン名」の「_msdcs」を開いて右クリックし、「プロパティ」を押下。
*ここにプロパティが表示されなかったらDNS委任レコードの変更は不要
ネームサーバー欄にある既存のオンプレミスADサーバーを選択し削除を押下。
追加を押下し、「サーバーの完全修飾ドメイン名」にon EC2のFQDNを入力し解決を押下。
on EC2のIPアドレス(IPv4)が表示されたら完了。
*IPv6「::1」が表示されたら削除する。
オンプレミスDCの降格
オンプレミスサーバーをDCから降格させます。
今回は降格させるのですが、オンプレミスとのハイブリッドで使用される等オンプレミスADサーバーを残す場合は降格させないで大丈夫です。
ADサーバー機能の削除
オンプレミスADサーバーで作業します。
サーバ―マネージャーの「管理」→「役割と機能の削除」を押下。
開始する前にを次へ、
サーバーの選択でオンプレミスADサーバーを選択し次へ、
サーバーの役割で「Active Directoryドメインサービス」のチェックを外すして次へ、
「役割と機能の削除ウィザード」が表示されたら、機能の削除を押下、
検証結果が面が表示されるので「このドメインコントローラーを降格する」を押下、
資格情報はそのまま次へ、
警告は「削除の続行」にチェックを入れ次へ、
新しいAdministratorパスワードで降格後のローカルコンピューターのAdministratorパスワードを入力し次へ、
オプションの確認で「降格」を押下。
処理が完了すると自動で再起動が入る。
ドメインからの離脱
コントロールパネルのホーム画面に戻って、「システムとセキュリティ」→「システム」→「システムの詳細設定」と進んでいく。
「コンピューター名」タブの「変更」を押下。
所属するグループを「ドメイン」から「ワークグループ」に変更し、WORKGROUPと入力しOKを押下。
「ドメインから抜けた後で…」の警告文が表示されたらOKを押下。
「WORKGROUPワークグループへようこそ」の文言が出てきたらOKを押下。
ナビゲーションに則って再起動出来たらドメインからの離脱完了。
DNSサーバーの設定
on EC2でDNSサーバーの設定・変更を行います。
ドメインコントローラーに昇格させたon EC2のIPアドレスをここで指定します。
ドメインに参加する全てのオブジェクトで変更します。
DNSサーバーの変更
画面右下の虫眼鏡アイコンで「con」と検索すればコントロールパネルと表示されるので、そちらを押下。
「ネットワークとインターネット」→「ネットワークと共有センター」→「アダプターの設定の変更」から現在のネットワーク接続を右クリック「プロパティ」を押下。
「インターネットプロトコルバージョン4(TCP/IPv4)」を選択して「プロパティ」を押下。
「次のDNSサーバーのアドレスを使う」を選択して、on EC2のIPアドレスを入力し「OK」を押下して完了。
DNSサーバーの設定
サーバ―マネージャーの「ツール」→「DNS」を押下。
「前方参照ゾーン」→「ドメイン名」を開いて、オンプレミスADサーバーのIPアドレスを削除していきます。
また、2つのon EC2のIPアドレスが登録されていない場合は登録します。
「前方参照ゾーン」→「ドメイン名」を右クリックしし「新しいホスト」を押下。
on EC2のIPアドレスを入力し「関連付けられたポインター…」にチェックを入れ「ホストの追加」を押下。
「DomainDnsZones」を開いてオンプレミスADサーバーのIPアドレスがあるか、2つのon EC2のIPアドレスがあるかを確認する。
オンプレミスADサーバーのIPアドレスがあれば削除、on EC2のIPアドレスが登録されていなければ先ほどと同様に追加していく。
「ForestDnsZones」も「DomainDnsZones」と同様に確認する。
これでADサーバーのActive Directory Server on EC2への移行が完了しました。
オンプレミス環境からAD参加検証
オンプレミスの検証用サーバーからActive Directory Server on EC2に移行したドメインへの参加ができるかどうか検証していきます。
まずシステムのプロパティからドメイン参加していることを確認します。
次にDNSサーバーの確認をします。
「コントロールパネル」→「ネットワークとインターネット」→「ネットワーク接続」の有効にされているアダプターから確認するとDNSがオンプレミスのADサーバーを指定していたので、ドメイン参加はできているがネットワーク接続ができていない状態だった。
優先DNSサーバーの部分をActive Directory Server on EC2のIPアドレスを指定してあげることで、無事接続されました。
再起動しログイン画面を確認するとサインイン先でADドメインが指定されていることがわかります。
無事ログインすることができました。
まとめ
今回はActive Directory Server on EC2へのADサーバー移行を行いました。
個人的な感想といたしましては、AWS Managed Microsoft ADへの移行よりも非常に簡単でした。
ただAWS Managed Microsoft ADの方が優れている点が多く、今回のように「ドメイン名を絶対に変更したくない」場合などの要件でActive Directory Server on EC2を使用するのがよいのかなと思います。
おわり!!
参考
AWSドキュメント
「Active Directoryの移行」
富士通
「Windows Server 2019 / 2022 Active Directory 移行の手引き」
NTTデータ先端技術株式会社
「Windows Server 2012からWindows Server 2019へのActive Directoryリプレース」
しょぼんブログ
「[Active Directory] FSMOを別のドメインコントローラに移す方法」