AD RMS の Windows Server 2016 へのアップグレード

  • [アーティクル]

はじめに

Active Directory Rights Management サービス (AD RMS) は、機密性の高いドキュメントと電子メールを保護する Microsoft のサービスです。 ファイアウォールや ACL などの従来の保護方法とは異なり、AD RMS による暗号化と保護は、ファイルの転送先や転送方法には関係なく永続的です。

このドキュメントでは、SQL Server 2012 を使用する Windows Server 2012 R2 から Windows Server 2016 と SQL Server 2016 に移行するためのガイダンスを提供します。 この同じプロセスを、以前の、ただしサポートされているバージョンの AD RMS からの移行にも使用できます。 Active Directory Rights Management サービスは積極的な開発が行われなくなっているため、顧客が最新の機能を使用するには、より完全なデバイスおよびアプリケーション サポートを備えた、はるかに包括的な機能セットを提供する Azure Information Protection への移行を検討する必要があることに注意してください。

コンテンツを再保護することなく AD RMS から Azure Information Protection に移行する方法については、Azure Information Protection の移行ドキュメントに関するページを参照してください。

このガイドで使用されている環境について

AD FS は、AD RMS インストールのオプション コンポーネントです。 このガイドでは、AD FS の使用が想定されています。 AD RMS ユーザーをサポートするために環境内で AD FS が使用されていなかった場合は、AD FS に関連するすべての手順をスキップできます。

このガイドでは、並列インストールを実行し、データベースをバックアップ経由で移動することによって SQL Server が SQL Server 2016 にアップグレードされます。 あるいは、AD RMS および AD FS データベース サーバーをインプレースで SQL Server 2016 にアップグレードできる場合は、このセクションの手順に従うことなくそれを完了した後、このドキュメントの次のセクションに進むこともできます。

インストール

SQL Server 2016 の構成

次のセクションでは、SQL Server 2016 の構成に直接関連する実装タスクについて詳細に説明します。 このガイドでは、サーバー マネージャーと SQL Server Management Studio を使用してこれらのタスクを完了することに重点を置いています。

これらの手順は、SQL Server 2016 インストール上で完了する必要があります。 組織の標準の手法とポリシーに従って、適切なハードウェアに SQL Server 2016 をインストールします。

SQL Server の準備

次のセクションでは、Windows Server 2016 を使用するために AD RMS プラットフォーム内の他のサービスをアップグレードする前に、SQL Server 2016 にアップグレードできるように SQL Server を準備する方法について詳細に説明します。

SQL Server 2016 の CNAME の DNS への追加

CNAME は、新しい SQL Server 2016 を指すようになるため、Windows Server 2016 セットアップで適切なデータを取得できるようにするために使用されます。 注: 既に AD FS および AD RMS サービスに CNAME を使用している場合は、次の手順に進むことができます。

SQL Server 2016 の CNAME を DNS に追加するには

  1. Windows Server 2012 R2 ドメイン コントローラーにドメイン管理者の資格情報でログオンします。

  2. サーバー マネージャーを開きます。

  3. [ツール] をクリックし、[DNS] を選択して DNS マネージャーを開きます。

  4. 左側のナビゲーション ウィンドウで [DC] を展開し、[前方参照ゾーン] を開きます。

  5. 適切なドメイン リソースを開いてから、右側の表示ウィンドウを右クリックし、[新しいエイリアス (CNAME)] を選択して CNAME の作成を開始します。

  6. エイリアス名には論理名を入力して、存在する可能性がある他の名前 (たとえば、SQLADRMS や SQLADFS) と区別します。

  7. 名前を入力したら、新しい SQL Server 2016 サーバーになるターゲット ホストの FQDN を指定します。 (例: SQL2016.contoso.com)

  8. すべての情報が入力されたら、[OK] をクリックします。

AD RMS および AD FS データベースをバックアップする

AD RMS および AD FS データベースには、サーバー ライセンサー証明書の公開キー、権利ポリシー テンプレート、AD FS 構成データ、ログ情報などの AD RMS に必要な重要な情報が保持されます。 これらのデータベースがないと、他の問題はさておき、保護されたコンテンツを使用するためのライセンスをクライアントが発行できなくなります。

データベースの中でも、AD RMS 構成データベースは SLC、権利ポリシー テンプレート、ユーザーのキー、構成情報を格納するため、最も重要であると見なされます。 そのため、すべての AD RMS および AD FS データベースをバックアップするように注意する必要がありますが、構成データベースについては定期的なバックアップを計画する必要があります。

ログ データベースには、証明書や使用ライセンスのための AD RMS クラスターへのユーザー要求に関する情報が格納されます。 このデータベースのバックアップ戦略は、この種類の情報を保持するための会社のポリシーに基づいている必要があります。

ディレクトリ サービス データベースは AD RMS 機能にとって重要なものではなく、最新のデータが失われた場合は、AD RMS サーバーが証明書や使用ライセンスに対する要求を受信すると、このデータベースに再び情報が入力されます。 このデータベースを定期的にバックアップする必要はありませんが、最初は AD RMS を展開した後に構成されたため、少なくともデータベースのコピーを保持しておく必要があります。

Microsoft SQL Server を使用して AD RMS または AD FS データベースをバックアップするには

  1. SQL 2012 を使用する Windows Server 2012 R2 AD RMS データベース サーバーにログオンします。

  2. [スタート][すべてのプログラム][Microsoft SQL Server] の順にクリックし、[SQL Server Management Studio] をクリックします。

  3. [サーバーへの接続] ウィンドウで、AD RMS データベースをホストしているサーバーが [サーバー名] ボックスにあることを確認し、[接続] をクリックします。

  4. [データベース] を展開します。 適切なデータベース ([DRMS][Adfs]) を右クリックし、[タスク] をポイントして [バックアップ] を選択します。

  5. 残りのデータベースに対して手順 4 を繰り返します。

  6. これらのデータベースのバックアップにネットワーク上の他のマシンから、または記憶装置を使用してアクセスできることを確認します。これらは、移行中の後の手順で必要になります。

これで、データベースのコピーを安全な場所に格納できます。 データベースを頻繁にバックアップすることを忘れないでください。

ドメイン管理者、SQL、AD RMS、または AD FS サービス アカウントの SQL Server 2016 への追加

次の手順では、Windows Server 2012 R2 環境からのデータの移行を支援するために、さまざまなサービス アカウントを SQL Server 2016 に追加する方法を示します。 これにより、コンテンツにアクセスしてデータを処理しようとするときに、適切なアクセス許可が提供されます。

ドメイン管理者、SQL、AD RMS、または AD FS サービス アカウントを SQL Server に追加するには

  1. SQL Server 2016 を使用するサーバーにローカル管理者アカウントとしてログオンします。

  2. [スタート][すべてのプログラム][Microsoft SQL Server] の順にクリックし、[SQL Server Management Studio] をクリックします。

  3. [サーバーへの接続] ウィンドウで、AD RMS データベースをホストしているサーバーが [サーバー名] ボックスにあることを確認してから、[認証] でドロップダウン メニューをクリックし、[SQL Server 認証] を選択します。

  4. [ログイン] フィールドに、ローカル管理者アカウントの名前 (例: localadmin) を入力し、適切なパスワードを入力して [接続] をクリックします。

  5. [セキュリティ] を展開し、[ログイン] を右クリックして、表示されるコンテキスト メニューから [新しいログイン] を選択します。

  6. ウィンドウが表示されたら、[ログイン名] フィールドにドメイン管理者アカウント (例: Contoso\ContosoAdmin) を入力します。

  7. 左側のナビゲーション ウィンドウで、[サーバーの役割] を選択します。

  8. 次に、サーバーの役割の下にある [sysadmin] のチェックボックスをオンにして [OK] をクリックします。

  9. SQL Server Management を再起動します。

  10. [サーバーへの接続] ウィンドウで、AD RMS データベースをホストしているサーバーが [サーバー名] ボックスにあることを確認してから、[認証] でドロップダウン メニューをクリックし、[Windows 認証] を選択して [接続] をクリックします。

AD RMS および AD FS データベースの SQL Server 2016 への復元

次の手順では、以前の SQL Server インスタンスから新しい 2016 インスタンスにデータを復元する方法を示します。 これにより、新しい SQL で、以前の AD RMS および AD FS データベースの関連する構成データを利用できるようになります。

以前の SQL Server から新しい SQL Server にデータを復元するには

  1. SQL Server 2016 を使用するサーバーに適切なアカウントでログオンします。

  2. 左側のナビゲーション ウィンドウで、[データベース] を右クリックし、[データベースの復元] を選択して復元プロセスを開始します。

  3. [ソース][デバイス] を選択してから、前の手順でデータベース ファイルが格納された場所を参照します。

  4. ファイルが選択されたら、[OK] をクリックします。

  5. すべてのデータベース ファイルが追加されたことを確認し、[OK] をクリックしてプロセスを完了します。

Windows Server 2016 Active Directory フェデレーション サービス (AD FS) の構成

アプリケーションとして AD RMS へのシングル サインオン (SSO) アクセスを提供するために AD FS が展開されました。 そこではまた、エンド ユーザーへの Mac やモバイル デバイスのサポートを可能にする AD RMS モバイル デバイス拡張機能 (MDE) も構成されています。

以降のセクションでは、AD FS の展開での実行が必要になる可能性がある運用タスクに関するガイダンスを提供します。

2016 AD FS サーバーのファームへの追加

AD RMS の展開をサポートするために、追加の AD FS サーバーを展開できます。 このアクションは、AD RMS サーバーや追加のアプリケーションへのトラフィックが増えた場合、または現在 AD FS に使用されているいずれかのサーバーを廃止する必要が発生した場合に実行を選択できます。

2016 AD FS サーバーをファームに追加するには

  1. Microsoft Entra Connect サーバーから、"Microsoft Entra Connect" アイコンをダブルクリックして、Microsoft Entra Connect ウィザードを起動します。

  2. ウェルカム ページで、[構成] をクリックします。

  3. [追加のタスク] ページで、[追加のフェデレーション サーバーの展開] をクリックし、[次へ] をクリックします。

  4. [Microsoft Entra ID に接続] ページで、全体管理権限を持つアカウントのユーザー名とパスワードを入力し、[次へ] をクリックします。

  5. [ドメイン管理者の資格情報] ページで、ドメイン管理者のアクセス許可を持つアカウントのユーザー名とパスワードを入力し、[次へ] をクリックします。

  6. [参照] をクリックし、Microsoft Entra Connect を使用して AD FS ファームを構成するときに使用した証明書ファイルを選択します。

  7. [パスワードの入力] をクリックして [証明書のパスワード] ダイアログ ボックスを開きます。

  8. [パスワード] フィールドに証明書のパスワードを入力し、[OK] をクリックします。

  9. [次へ] をクリックします。

  10. [AD FS サーバー] ページで、新しい AD FS サーバーの名前または IP アドレスを入力し、[追加] をクリックします。

  11. [構成の準備完了] ページで、[インストール] をクリックします。

  12. [インストールが完了しました] ページで、[終了] をクリックします。

AD FS ファームの動作レベルを上げる

AD FS が Windows Server 2012 R2 上にあり、その後に AD FS Windows Server 2016 を追加する場合など、現在の環境レベルを超える AD FS サーバーを展開する場合は、ファームの動作レベルを上げる必要があります。 これは、その環境で、最新の情報や機能が確実に使用されるようにするために必要です。

AD FS ファームの動作レベルを上げるには

  1. Windows Server 2016 AD FS に移動します。

  2. PowerShell の管理セッションを開きます。

  3. コマンド $cred = Get-Credential を入力します。

  4. 資格情報の入力を求めるウィンドウが表示されたら、ドメイン管理者の資格情報を入力します。

  5. 次に、コマンド Invoke-AdfsFarmBehaviorLevelRaise -Credential $cred を入力します。

  6. [この操作を続行しますか?] とたずねるプロンプトが表示されたら、「a」と入力してそのプロンプトを受け入れます。

  7. このコマンドが完了すると、ファームの動作レベルが設定され、準備が完了します。

モバイル デバイス拡張機能のログ記録の有効化

モバイル デバイス拡張機能では、エンド ユーザーのデバイスから受信した要求をログに記録できます。 ログ記録は、既定では無効になっており、トラブルシューティングのシナリオでのみ有効にすることをお勧めします。 ブートストラップするか、またはエンド ユーザー ライセンスを取得するためのモバイル デバイスやデスクトップ マシンからの要求はすべて、AD RMS ログ データベースまたは Azure ストレージ アカウントにログ記録されます。 MDE のログ記録では、AD RMS によって使用される SQL Server に、クライアント デバッグ ログ テーブルとクライアント パフォーマンス ログ テーブルという 2 つの追加テーブルが作成されます。

モバイル デバイス拡張機能のログ記録を有効にするには

  1. AD RMS サーバーから、管理者として Windows PowerShell を開きます。

  2. コマンド Import-Module AdRmsAdmin を入力し、Enter キーを押します。

  3. コマンド New-PSDrive -Name AdrmsCluster -PsProvider AdRmsAdmin -Roothttps://localhost を入力し、Enter キーを押します。

  4. コマンド Set-ItemProperty -Path AdrmsCluster:\ -Name IsLoggingEnabled -Value $true を入力し、Enter キーを押します。

トラブルシューティングのために MDE のログ記録を使用している場合は、問題に対処した後、それを無効にすることをお勧めします。

モバイル デバイス拡張機能のログ記録を無効にするには

  1. AD RMS サーバーから、管理者として Windows PowerShell を開きます。

  2. コマンド Import-Module AdRmsAdmin を入力し、Enter キーを押します。

  3. コマンド New-PSDrive -Name AdrmsCluster -PsProvider AdRmsAdmin -Roothttps://localhost を入力し、Enter キーを押します。

  4. コマンド Set-ItemProperty -Path AdrmsCluster:\ -Name IsLoggingEnabled -Value $false を入力し、Enter キーを押します。

AD RMS の Windows Server 2016 へのアップグレード

以降のセクションでは、Windows Server 2016 ベースの AD RMS サーバーを現在の Windows Server 2012 R2 クラスターに追加する方法に関するガイダンスを提供します。 このサーバーはクラスターに追加され、リソースを解放するために以前の AD RMS サーバーを非推奨にできるように、そこに情報がレプリケートされます。

Windows Server 2016 ベースの 1 つの AD RMS サーバーが AD RMS クラスターに追加されると、以前のバージョンの Windows に基づくすべてのノードが非アクティブになります。 これが完了したら、これらのサーバーをプロビジョニング解除できます (たとえば、Windows Server 2016 を AD RMS クラスターに参加させて、シャットダウン、再利用、または再インストールします)。

AD RMS の展開での負荷をサポートするために、クラスターに追加の AD RMS サーバーを展開できます。 このアクションはまた、AD RMS サーバーへのトラフィックが増えた場合にも実行を選択できます。

このガイドでは、廃止しようとしているサーバーを除外し、クラスターに追加しようとしているサーバーを含めるために、ユーザーが環境内で使用している可能性のある負荷分散メカニズムを変更するために必要な手順は説明されていません。

2016 AD RMS サーバーの追加

AD RMS クラスターでサーバー ライセンサー証明書のために一元管理型のキーではなく、ハードウェア セキュリティ モジュールが使用されている場合は、AD RMS をインストールする前に、サーバーにソフトウェアやその他の HSM 成果物 (キーや構成ファイルなど) をインストールする必要があります。 また、HSM をそのサーバーに (物理的に、または関連するネットワーク構成を経由して) 接続することも必要です。 これらの手順については、HSM のガイダンスに従ってください。

2016 AD RMS サーバーを追加するには

  1. 目的の Windows Server 2016 の展開に AD RMS ロールをインストールします。

  2. インストールが完了したら、[追加の構成を行います] へのリンクを選択します。

  3. [既存の AD RMS クラスターに参加する] を選択し、[次へ] をクリックします。

  4. [構成データベースの選択] ページで、2016 SQL Server の DNS で指定されている CNAME (FQDN) を入力します。

  5. 2 行目にある [一覧] をクリックし、ドロップダウンから [DefaultInstance] を選択します。

  6. [構成データベース名] で、ドロップダウン メニューを選択し、表示される DRMS 構成を選択します。 続けて、 [次へ] をクリックします。

  7. [データベース情報] ページで、表示されるフィールドにクラスター キー パスワードを入力します。 その後、[次へ] をクリックします。

  8. ウィザードの次のページで、AD RMS サービス アカウントとそのパスワードを指定し、それが検証されたら [次へ] をクリックします。

  9. [クラスター Web サイト] ページが表示されたら、単純に適切な Web サイトが選択されたことを確認し、[次へ] をクリックします。

  10. [サーバー認証証明書の選択] ページで、インポートされた SSL 証明書を選択し、[次へ] をクリックします。

  11. [インストール] をクリックしてインストールを開始します。

  12. 構成が完了したら、AD RMS を管理するために、ログオフしてから再度ログオンする必要があります。

  13. 再度ログオンしたら、[サーバー マネージャー] を開き、[ツール][Active Directory Rights Management] の順に選択します。 管理ウィンドウが表示され、クラスター内に追加のサーバーが存在することが示されます。

  14. 元の AD RMS クラスターに AD RMS モバイル デバイス拡張機能がインストールされていた場合は、更新されたクラスター ノードにも MDE をインストールする必要があります。 MDE のドキュメントの手順に従って、AD RMS クラスターに MDE を追加します。 この時点で、既存のすべてのノードを再利用するか、またはそれを Windows Server 2016 にアップグレードし、前に概要を説明したのと同じプロセスを使用して AD RMS クラスターに再度参加させることができます。

Windows Server 2016 Web アプリケーション プロキシ (WAP) の構成

以降のセクションでは、Web アプリケーション プロキシの展開での実行が必要になる可能性がある運用タスクに関するガイダンスを提供します。 他のメカニズムを使用して AD RMS をインターネットに公開している場合、これは省略可能な手順であり、必須ではありません。

Windows Server 2016 WAP サーバーの追加

AD RMS の展開をサポートするために、追加の Web アプリケーション プロキシ サーバーを展開できます。 このアクションは、AD RMS サーバーへのトラフィックが増えた場合、または現在 Web アプリケーション プロキシに使用されているいずれかのサーバーを廃止する必要が発生した場合に実行を選択できます。

2016 Web アプリケーション プロキシ サーバーを追加するには

  1. Web アプリケーション プロキシとしてセットアップするサーバーから、サーバー マネージャー コンソールに移動し、[役割と機能の追加] をクリックします。

  2. [役割と機能の追加ウィザード] で、[サーバーの役割の選択] 画面が表示されるまで [次へ] をクリックします。

  3. [サーバーの役割の選択] 画面で、[リモート アクセス] を選択し、[サーバーの役割の選択] 画面に戻るまで [次へ] をクリックします。

  4. [サーバーの役割の選択] 画面で、[Web アプリケーション プロキシ] を選択し、[機能の追加] をクリックして [次へ] をクリックします。

  5. [ インストール オプションの確認 ] 画面で、[ インストール] をクリックします。

  6. インストールが完了したら、[閉じる] をクリックします。

  7. 次に、サーバーを構成する必要があります。 これを行うには、Web アプリケーション プロキシ サーバーでリモート アクセス管理コンソールを開きます。 [スタート] メニューを開き、「RAMgmtUI.exe」と入力し、このアプリケーションを選択します。

  8. ナビゲーション ウィンドウで [Web アプリケーション プロキシ] をクリックします。

  9. リモート アクセス管理コンソールで、[Web アプリケーション プロキシ構成ウィザードを実行する] をクリックします。 ウィザードが表示されたら、[次へ] をクリックします。

  10. [フェデレーション サーバー] 画面で、AD FS サーバーの完全修飾ドメイン名 (例: adfs.contoso.com) を入力し、AD FS サーバーの管理者の資格情報を入力します。

  11. [AD FS プロキシの証明書] 画面の Web アプリケーション プロキシ サーバーに現在インストールされている証明書の一覧で、AD FS プロキシ用に Web アプリケーション プロキシによって使用される証明書を選択し、[次へ] をクリックします。

  12. [確認] 画面で、設定を確認してから [構成] をクリックします。

  13. 構成が完了したら、[閉じる] をクリックします。

2016 WAP サーバーの DNS 構成

Windows Server 2016 Web アプリケーション プロキシ サーバーがセットアップされたら、DNS にいくつかの変更を加える必要があります。 それには、DNS サービス (GoDaddy など) を使用して、AD FS および AD RMS サービスで 2016 WAP サーバーを指すようにする必要があります。

DNS で WAP サーバーを指すようにするには

  1. プロバイダーの Web サイト (例: GoDaddy) に移動します。

  2. [ドメイン管理]、[DNS 管理] の順に移動します。

  3. AD FS および AD RMS サービスを見つけ、Points to の部分を 2016 WAP サーバーのパブリック IP アドレスに置き換え、[保存] を選択します。

  4. この変更が伝達されるまでに時間がかかる場合がありますが、伝達されると、この設定が完了します。

デバッグ ログの有効化

Web アプリケーション プロキシ サーバーでは、詳細なログ情報を使用できます。 イベント ビューアーを使用すると、高度なデバッグ ログを構成できます。 これらの分析が表示しているユーザーに確実に役立つようにするために、ログのサイズに対して追加の設定を選択することもできます。

Web アプリケーション プロキシでのデバッグ ログの有効化

  1. Web アプリケーション プロキシで [イベント ビューアー] コンソールを開きます。

  2. [Microsoft] ノードを展開します。

  3. [Windows] ノードを展開します。

  4. [Web アプリケーション プロキシ] ログを開きます。

  5. 次に、[管理] ログを開くことができます。

  6. 左上にある [アクション] メニューを開き、[プロパティ] を選択します。

  7. [全般] タブで、[ログを有効にする] のオプションを選択します。

  8. 最後に、最大ログ サイズと、イベント ログの最大サイズに達したときの動作をカスタマイズできます。

Windows Server 2016 サービスでの高可用性の構成

以降のセクションでは、高可用性で Windows Server 2016 環境を設定するために必要になる可能性がある運用タスクに関するガイダンスを提供します。

高可用性のための 2016 AD RMS サーバーの追加

高可用性を設定するために、追加の AD RMS サーバーを展開できます。 このアクションは、AD RMS サーバーへのトラフィックが増えた場合に実行を選択できます。

高可用性のために 2016 AD RMS サーバーを追加するには

  1. 目的の Windows Server 2016 の展開に AD RMS ロールをインストールします。

  2. インストールが完了したら、[追加の構成を行います] へのリンクを選択します。

  3. [既存の AD RMS クラスターに参加する] を選択し、[次へ] をクリックします。

  4. [構成データベースの選択] ページで、2016 SQL Server の DNS で指定されている CNAME (FQDN) を入力します。

  5. 2 行目にある [一覧] をクリックし、ドロップダウンから [DefaultInstance] を選択します。

  6. [構成データベース名] で、ドロップダウン メニューを選択し、表示される DRMS 構成を選択します。 続けて、 [次へ] をクリックします。

  7. [データベース情報] ページで、表示されるフィールドにクラスター キー パスワードを入力します。 その後、[次へ] をクリックします。

  8. ウィザードの次のページで、AD RMS サービス アカウントとそのパスワードを指定し、それが検証されたら [次へ] をクリックします。

  9. [クラスター Web サイト] ページが表示されたら、単純に適切な Web サイトが選択されたことを確認し、[次へ] をクリックします。

  10. [サーバー認証証明書の選択] ページで、インポートされた SSL 証明書を選択し、[次へ] をクリックします。

  11. [インストール] をクリックしてインストールを開始します。

  12. 構成が完了したら、AD RMS を管理するために、ログオフしてから再度ログオンする必要があります。

  13. 再度ログオンしたら、[サーバー マネージャー] を開き、[ツール][Active Directory Rights Management] の順に選択します。 管理ウィンドウが表示され、クラスター内に追加のサーバーが存在することが示されます。

  14. サーバーのセットアップを確認したら、クラスター内の異なる AD RMS サーバー間で負荷を分散させるように負荷分散サービスを構成します。

高可用性のための Windows Server 2016 AD FS サーバーの追加

高可用性を設定するために、追加の AD FS サーバーを展開できます。 このアクションは、AD FS サーバーへのトラフィックが増えた場合に実行を選択できます。 注: ファームの動作レベルを上げた後、SQL Server 2016 (Adfs Configv3) に新しいデータベース エントリが入力されるため、これらの手順を続行する前に古い構成データベースを削除する必要があります。

高可用性のために Windows Server 2016 AD FS サーバーを追加するには

  1. 目的の Windows Server 2016 の展開に AD RMS ロールをインストールします。

  2. インストールが完了したら、[このサーバーでフェデレーション サービスを構成します] へのリンクを選択します。

  3. ウィザードのウェルカム セクションで、[フェデレーション サーバー ファームにフェデレーション サーバーを追加する] のオプションを選択し、[次へ] をクリックします。

  4. 適切な管理者アカウントを指定し、[次へ] をクリックします。

  5. [ファームの指定] ページで、[SQL Server を使用して既存のファームのデータベースの場所を指定する] を選択してから、[データベース ホスト名] に SQL サービスの CNAME を入力し、[次へ] をクリックします。

  6. ウィザードの [サービス アカウントの指定] 領域で、AD FS サービス アカウントの資格情報を入力し、[次へ] をクリックします。

  7. [オプションの確認] で、[次へ] をクリックします。

  8. ボタンが使用可能になったら、[構成] をクリックします。

  9. 構成が完了したら、マシンを再起動します。

  10. サーバーのセットアップを確認したら、必要に応じて AD FS サーバーの負荷を分散させます。

高可用性のための Windows Server 2016 WAP サーバーの追加

高可用性を設定するために、追加の WAP サーバーを展開できます。 このアクションは、AD RMS サーバーへのトラフィックが増えた場合に実行を選択できます。

高可用性のために Windows Server 2016 Web アプリケーション プロキシ サーバーを追加するには

  1. Web アプリケーション プロキシとしてセットアップするサーバーから、サーバー マネージャー コンソールに移動し、[役割と機能の追加] をクリックします。

  2. [役割と機能の追加ウィザード] で、[サーバーの役割の選択] 画面が表示されるまで [次へ] をクリックします。

  3. [サーバーの役割の選択] 画面で、[リモート アクセス] を選択し、[サーバーの役割の選択] 画面に戻るまで [次へ] をクリックします。

  4. [サーバーの役割の選択] 画面で、[Web アプリケーション プロキシ] を選択し、[機能の追加] をクリックして [次へ] をクリックします。

  5. [ インストール オプションの確認 ] 画面で、[ インストール] をクリックします。

  6. インストールが完了したら、[閉じる] をクリックします。

  7. 次に、サーバーを構成する必要があります。 これを行うには、Web アプリケーション プロキシ サーバーでリモート アクセス管理コンソールを開きます。 [スタート] メニューを開き、「RAMgmtUI.exe」と入力し、このアプリケーションを選択します。

  8. ナビゲーション ウィンドウで [Web アプリケーション プロキシ] をクリックします。

  9. リモート アクセス管理コンソールで、[Web アプリケーション プロキシ構成ウィザードを実行する] をクリックします。 ウィザードが表示されたら、[次へ] をクリックします。

  10. [フェデレーション サーバー] 画面で、AD FS サーバーの完全修飾ドメイン名 (例: adfs.contoso.com) を入力し、AD FS サーバーの管理者の資格情報を入力します。

  11. [AD FS プロキシの証明書] 画面の Web アプリケーション プロキシ サーバーに現在インストールされている証明書の一覧で、AD FS プロキシ用に Web アプリケーション プロキシによって使用される証明書を選択し、[次へ] をクリックします。

  12. [確認] 画面で、設定を確認してから [構成] をクリックします。

  13. 構成が完了したら、[閉じる] をクリックします。

  14. サーバーのセットアップを確認したら、DMZ 内の WAP サーバーの負荷を分散させます。

Always On 高可用性のための SQL Server 2016 ノードの追加

Always On 高可用性を設定するために、追加の SQL Server を展開できます。 このアクションは、AD RMS サーバーへのトラフィックが増えた場合に実行を選択できます。 注: 両方の SQL Server で受信ポート 5022 が開いていることを確認してください。

Always On 高可用性のために SQL Server 2016 サーバーを追加するには

  1. 追加の SQL Server 2016 サーバーとしてセットアップするサーバーから、サーバー マネージャー コンソールに移動し、[役割と機能の追加] をクリックします。

  2. [機能の選択] ダイアログ ボックスが表示されるまで [次へ] をクリックします。

  3. [フェールオーバー クラスタリング] チェックボックスをオンにします。 注: 両方の SQL Server にフェールオーバー クラスタリング機能が設定されるように、元の SQL Server 2016 サーバーでもこの手順に従ってください。

  4. [インストール] をクリックして、フェールオーバー クラスタリング機能をインストールします。

  5. 次に、[サーバー マネージャー] を開き、[ツール][フェールオーバー クラスター マネージャー] の順に選択します。

  6. 左側のメニュー ウィンドウで、[フェールオーバー クラスター マネージャー] を右クリックし、[クラスターの作成] を選択します。

  7. これにより、クラスターの作成ウィザードが開きます。

  8. Always On 高可用性のために使用される SQL Server 2016 サーバーを参照し、それを入力して [次へ] をクリックします。

  9. 検証の警告が表示されます。 [はい] を選択してクラスター ノードを検証し、[次へ] をクリックします。

  10. [テスト オプション] ページで、[すべてのテストを実行する] オプションを選択し、[次へ] をクリックします。

  11. 注: クラスター検証ウィザードは、特に共有ストレージが使用されない場合、いくつかの警告メッセージを返すことが予測されます。 それ以外でも、何らかのエラー メッセージが表示された場合は、Windows Server フェールオーバー クラスターを作成する前にそれらを解決する必要があります。

  12. [クラスター管理用のアクセス ポイント] ダイアログ ボックスで、Windows Server フェールオーバー クラスターのクラスター名と仮想 IP アドレスを入力し、[次へ] をクリックします。

  13. [概要] で構成に成功したことを確認し、[完了] をクリックします。

  14. [フェールオーバー クラスター マネージャー] に戻り、クラスターを右クリックして [その他のアクション][クラスター クォーラム設定の構成] の順に選択します。

  15. [次へ] をクリックしてから、[クォーラム監視の選択] のオプションを選択し、もう一度 [次へ] をクリックします。

  16. [クォーラム監視の選択] ページで、[ファイル共有監視を構成する] オプションを選択します。 続けて、 [次へ] をクリックします。

  17. [参照] を選択し、[ファイル共有パス] ダイアログ ボックスで使用するファイル共有のパスを見つけます。 [次へ] をクリックします。

  18. [確認] ページで [次へ]をクリックします。

  19. [概要] ページで [完了]をクリックします。

  20. 次に、[スタート] メニューを開き、SQL Server 構成マネージャーを検索します。

  21. SQL Server 名を右クリックし、[プロパティ] を選択します。

  22. [プロパティ] ダイアログ ボックスで、[AlwaysOn 高可用性] タブを選択します。[AlwaysOn 可用性グループを有効にする] チェック ボックスをオンにします。 [OK] をクリックします。 注: これは、両方の SQL Server 2016 サーバーで行ってください。

  23. 次に、SQL Server サービスを再起動します。

  24. 次に、[スタート] メニューを開き、SQL Server Management Studio を検索します。左側のナビゲーション ウィンドウで、[可用性グループ] を右クリックして [新しい可用性グループ ウィザード] をクリックし、[次へ] をクリックします。

  25. [可用性グループ名の指定] ページで、グループ名 (SQLAvailabilityGroup2016 など) を選択します。 続けて、 [次へ] をクリックします。

  26. [データベースの選択] セクションで、データベースを指定します。 それから、[次へ] をクリックします。 注: データベースによっては、再度バックアップするか、または完全復旧モードにしなければならない場合があります

  27. [レプリカの指定] ページで、[レプリカの追加] ボタンをクリックし、他の 2016 SQL Server を選択します。

  28. 他のサーバーを追加したら、チェック ボックスをクリックして、このセカンダリ サーバーを読み取り可能なセカンダリに設定します。

  29. [エンドポイント] タブに移動し、[更新] オプションをクリックします。 ここでもまた、全体をスクロールして、プライマリ ノードとセカンダリ ノードに同じサービス アカウントが設定されていることを確認します。

  30. 次に、[バックアップの設定] タブを選択し、[セカンダリを優先する] オプションを選択します。

  31. [リスナー] タブに移動します。

  32. 名前 (SQLListener など) を指定し、ポートが 1433 であることを確認して [次へ] をクリックします。

  33. ウィザードの [最初のデータ同期を選択] ページで、[完全] オプションを選択し、すべての SQL Server からアクセスできるネットワークの場所を指定して [次へ] をクリックします。

  34. 最後に、[完了] をクリックすると、このプロセスが完了します。

Windows Server 2012 R2 ノードを使用停止にする

以降のセクションでは、AD RMS クラスターを Windows Server 2016 に正常にアップグレードした後に、Windows Server 2012 R2 サーバーを削除するために必要になる可能性がある運用タスクに関するガイダンスを提供します。

Windows Server 2012 R2 AD RMS サーバーの削除

アップグレードの後に、不要な AD RMS サーバーを削除できます。 このアクションは、AD RMS サーバーを使用停止にすることが必要になった場合に実行を選択できます。

Windows Server 2012 R2 AD RMS サーバーを削除するには

  1. Windows Server 2012 R2 AD RMS サーバーのサーバー マネージャーで、右上のメニューから [管理] を選択してから、[役割と機能の削除] を選択します。

  2. 役割と機能の削除ウィザードが開きます。[開始する前に] 画面で、[次へ] をクリックします。

  3. [サーバーの選択] 画面で、[次へ] をクリックします。

  4. [サーバーの役割] 画面で、[Active Directory Rights Management サービス] の横にあるチェックをオフにして [次へ] をクリックします。

  5. [機能] 画面で、[次へ] をクリックします。

  6. [確認] 画面で、[削除] をクリックします。

  7. これが完了したら、サーバーを再起動します。

  8. これで、このサーバーをシャットダウンし、必要に応じてリソースを再割り当てすることができます。