Windows Server 2003 の ドメイン コントローラー から Windows Server 2008 R2 、Windows Server 2012 への移行作業 (グループ ポリシー編)

  • Article

こんにちは。Windows プラットフォーム サポート担当の名和です。

 

Windows XP の延長サポートが 2014 年 4 月 8 日に終了するのに続いて

Windows Server 2003 もサポートが、 2015 年 7 月をもって終了となります。

 

サポート ライフサイクル

https://support.microsoft.com/lifecycle/search/default.aspx?sort=PN&alpha=windows+server&Filter=FilterNO

 

Windows Server 2003 から Windows Server 2008 R2 や Windows Server
2012への移行作業を検討されている方も多いのではないかと思います。

今回は、ドメイン コントローラー( DC の移行作業を行う上で、考慮が必要な点をいくつかご案内をいたします。

 

1. ドメイン コントローラー移行の方法

Windows Server 2003ベースのドメイン コントローラーをWindows Server 2008 R2 もしくは、Windows Server 2012 へのリプレースする方法についてご案内します。

通常は、H/W の要件などもクリアするために、新しい OS のドメイン コントローラーを既存の環境に追加し、Windows Server 2003 のドメイン コントローラーを降格、撤去する方法を採用されるケースも多いかと思いますので、今回もそれに沿って説明いたします。

 

手順の概要は、以下となります。

(1) H/W 要件を満たした新しい筐体に Windows Server 2008 R2 もしくは、Windows Server 2012 をインストールする

(2) 既存環境で、スキーマ拡張を行う

     ※ Windows Server 2012 を追加する場合には、 (3) の手順を実行するのみで自動的にスキーマ拡張が行われますので、(2) の作業を別におこなう必要はありません。

 

(3) Windows Server 2008 R2 もしくは、Windows Server 2012 上で、[Active Directory ドメイン サービス (ADDS)] のインストールを行う            
  

     ※ Windows Server 2012 では、”dcpromo” コマンドでの、ADDS のインストールができないため、  [サーバー マネージャー] – [役割と機能の追加] からインストールを行います。

 

(4) FSMO の機能を追加ドメイン コントローラーに移行する

(5) Windows Server 2003 のドメイン コントローラーで、”dcpromo” コマンドで、ADDS の機能のアンインストールを行う

(6) Windows Server 2003 を撤去する

 

2. 移行に関する影響

Windows Server 2003ベースのドメイン コントローラーをWindows Server 2008 R2 もしくは、Windows Server 2012への移行に関しての影響については、いろいろ考慮する点はありますが、今回はグループポリシーの観点に着目してみます。

 

Windows Server 2008 以降、グループ ポリシーの設定値が大きく追加されています。

ドメイン コントローラーをWindows Server 2008 R2 もしくは、Windows Server 2012へ移行した場合、それまでに設定していたグループ ポリシーの設定情報を引き継ぎます。

そのため、通常は、追加で設定を行う必要はありません。

 

しかし、[グループ ポリシー 管理 エディター (GPMC)]
で GPO を確認すると、設定値に矛盾があるような記載となっている項目があります。

一見、混乱を招く記載となっているのですが、見た目上の問題のみで設定値に差異はなく、Windows Server 2003 のドメイン コントローラーの 設定値を引き継いでいます。

 

(1) [ 暗号化ファイル システム (EFS) を使用したファイルの暗号化 ]

Windows Server 2003では、既定の状態で、[暗号化ファイルシステム (EFS) を使用するファイルの暗号化を許可する] にチェックが入っています。

グループ ポリシーの設定情報として関連するレジストリは設定されず、結果として EFS を利用できるという状態になります。

この設定は、Windows Server 2008 R2 、Windows Server 2012の [暗号化ファイル システム (EFS) を使用したファイルの暗号化] の [未定義] と同等です。

 

  • Windows Server 2003 の設定画面

[コンピューターの構成] -  [Windows の設定] - [セキュリティの設定] - [公開キーのポリシー]  -  [ファイルシステムの暗号化] -  [暗号化ファイルシステム (EFS) を使用するファイルの暗号化を許可する]

既定値:チェック ON

 

 

  • Windows Server 2012 の設定画面

[コンピューターの構成] - [ポリシー] - [Windows の設定] - [セキュリティの設定] - [公開キーのポリシー] - [暗号化ファイル システム (EFS) を使用したファイルの暗号化]

既定値:[未定義]

 

[暗号化ファイル システム (EFS) を使用したファイルの暗号化]: [有効] とした場合、より詳細に、EFS の利用に関するオプションが指定できます。

 

 

元々 Windows Server 2003 では有効としているのにも関わらず、未構成と同じ状態であったことが問題点としてあり、それを Windows Server 2008 以降で修正した結果、生じている事象になります。

この件につきましては、英文とはなりますが公開情報があります。

 

-     
参考情報

EFS may not be enabled expectedly after you disable a policy and this policy turn
off the EFS feature

https://support.microsoft.com/kb/960050

 

 

(2) [ 自動登録のポリシー ]

公開キーのポリシー/自動登録の設定のポリシーも、 Windows Server 2003 R2 において既定の状態 (以下の状態) の設定は、

 Windows Server 2008 R2 の [証明書サービス クライアント - 自動登録] のポリシーにて [未構成] を選択した状態と同等になります。

 

  • Windows Server 2003 の設定画面

[コンピューターの構成] - [Windows の設定] - [セキュリティの設定] - [公開キーのポリシー] - [自動登録の設定]

 

既定値:

  - [証明書を自動的に登録する] 有効

  - [有効期限が切れた証明書を更新、保留中の証明書を更新、及び破棄された証明書を削除する] チェック オフ

  - [証明書テンプレートを使用する証明書を更新する] チェック オフ

 

 

  • Windows Server 2012 の設定画面

[コンピューターの構成] - [ポリシー] - [Windows の設定] - [セキュリティの設定] - [公開キーのポリシー] - [証明書サービス クライアント - 自動登録]

既定値:未構成

 

 

 

-     参考資料

Misleading Autoenrollment Settings in Group Policy Management Console and Gpedit Tool

https://support.microsoft.com/kb/2018984

 

各OS にて、設定可能な GPO の値の一覧について、纏めた資料です。

Group Policy Settings Reference for Windows and Windows Server

https://www.microsoft.com/en-us/download/details.aspx?id=25250

 

Windows Server 2003 のサポート終了まで残りわずかとなりましたが、引き続き、弊社製品を何卒よろしくお願いいたします。

 

コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。