複数ドメインの統合について

会社の合併に伴い2社のActiveDirectoryドメインを以下のように1つに統合しようと考えています。
ADは全てWindowsServer2008R2で、フォレスト/ドメイン機能レベルも2008です。

【会社A】Domain-A.local
【会社B】Domain-B.local
【合併後新会社】Domain-New.local

どのような方法を利用するのが一般的でしょうか？
やはりADMTを利用してのドメイン情報移行が一般的でしょうか？

また、ADMTを利用した場合にはクライアントのプロファイル移行は発生せず、
ドメインの再参加作業等は発生しない認識でよろしいでしょうか？

手順や注意点などご教示いただければ幸いです。

No.1 回答者： x-1919 回答日時： 2016/05/17 20:55

ちょっと前に全く同じシチュエーションで工事を行いましたので参考になれば幸いです。

本店 / 支店が独自にシングル フォレスト / シングル ドメインの AD を構築していたので、これを 1つのシングル フォレスト / シングル ドメインに統合しました。

工事方法は 2つのパターンから選択できました。
A) 新規で Domain-New.local のフォレストを構築し、Domain-A や Domain-B のリソースを引っ越す方法
B) Domain-A または Domain-B の名前を Domain-New に変更したのち、残りのドメインのリソースを引っ越す方法

私の場合は B パターンを選択。
私が勤務する側の Domain-A を Domain-New に改名し、のちにもう一方を引っ越しする順番。
この場合は 2種類の工事が必要でした。
第1期の工事は Rendom コマンド ツールを中心にしてフォレストやドメイン名を変更する作業で、去年の年末連休中に実施。
全てのクライアントを起動して再起動てな作業も必要だったのと、バックアップ ツールとウイルス対策ツールの作業も必要だったので 2名で 4日間かけました。
この工事で Domain-A が完全に Domain-New として機能するようにしておきます。

サーバーのバックアップ ツールや企業向けウイルス対策ツールなど、事前にサポートへ相談して変更箇所と変更方法を特定しておくことが重要です。
NAS 製品などで Active Directory のグループをアクセス権設定に使っている機器でのドメイン名変更時の対応方法も調べておく。

第2期の工事は ADMT を使って Domain-B のリソースを Domain-New に引っ越す工事で、先日のゴールデンウィークに実施しました。(SID 履歴を使った方法を選択)
これは Domain-B 側の拠点に出張して作業を行い、4名 4日間で一気に終わらせました。
前半はサーバー作業なので、せいぜい作業者と確認者の 2名でよく、後半全てのクライアントで作業する工程はサーバー作業 1名と現場作業 3名で実施。
ファイル サーバーの移行は最後の方に行うのですが、フォルダーやファイル数によっては変換に時間がかかります。(と言っても最大で 1台 1時間ぐらいだった)

私の環境では Domain-A と Domain-B の体制で 10年以上運用していたため、両ドメインにファイル サーバーがあり、双方向の信頼関係を使ってお互いのサーバーへアクセスしていました。
このため Domain-A の Domain Local Group には Domain-B の Global Group やユーザー アカウントが登録されていて、Domain-B の Domain Local Group には Domain-A の Global Group やユーザー アカウントが登録されている複雑な状況でした。
それでも ADMT がきちんと仕事をしてくれたため、Domain-B から引っ越してきた Domain Local Group の中身は矛盾もなくすっきりした状態になりました。
しかし旧 Domain-A 側にあった Domain Local Group には Domain-B のリソースが残ってしまい、Domain-B が消滅した後は名前解決できないゴミ エントリーになってしまったため手動での整理を行いました。

移行先と移行元オブジェクトの名前がバッティングしないように事前に調整が必要。
未使用なオブジェクトは移行対象から外す。
移行作業がしやすいように OU を適宜作成。
GPO の移行方法も確認しておく。(「移行テーブル エディター」 の使い方と情報の見方をきちんと勉強しておく)
というところが注意点でしょうか。

RENDOM を使う工程は VMWare の仮想環境にテスト環境を構築して手順を確認しました。
ADMT の工程はさすがに VMWare で環境を構築できるスペックのハードがなかったので無理でした。

Microsoft の資料は実戦用の資料ではなく、細かく情報が網羅されている資料なので分かりづらかったですが、それでもがんばって読みました。
あとは数は限られてきますが各種 Web サイトの情報もありますね。(細かいところが違ってたりするのですが)
そして、できれば事前に外部研修を受けておいた方がいいと思います。
Windows環境マイグレーション実践
http://www.globalknowledge.co.jp/reference/cours …
1日間で 55,000円しますが、自信をつけるためにも絶対に受けといたほうがいいでしょう。(私は日程の関係で受けられませんでした)


Active Directory 移行ツール (ADMT) ガイド : Active Directory ドメインの移行と再構築
https://www.microsoft.com/ja-JP/download/details …

この回答へのお礼

x-１９１９様

ご丁寧にありがとうございます。
本当に助かります。

移行手順はAの新規ドメイン構築し、ドメインオブジェクトの移行を想定しております。
手順概要は把握出来たのですがまだ細かい点が想像できず、以下教えていただけませんでしょうか。

1.新旧のドメインに信頼関係を結ぶので、ドメインオブジェクトの移行は段階的に行える認識でよいでしょうか。
例えば、月曜日に支店Aのドメインオブジェクトを移行して新ドメインに参加、支店Bは火曜日にドメインオブジェクトを
移行する予定なので月曜日の段階では旧ドメインに参加した状態ですが、支店A、支店Bともに業務に影響はない。

2.クライアントはコンピューターアカウント移行後に、再起動すれば自動的にドメインが切り替わる認識でよいでしょうか。クライアント側の作業は再起動ぐらいかと考えています。

3.ドメインに参加している各種サーバー（例えばグループウェアなど）も、クライアントど同様に再起動してドメインの
再参加する作業だけでよいでしょうか。
また、「ファイル サーバーの移行の際のフォルダーやファイル数の変換」とは、コンピューターアカウント移行後の再起動でのドメイン再参加作業の際に自動でされる内容でしょうか？

お礼日時：2016/05/17 23:11