統合Windows認証を利用している環境でのADリプレースに伴う作業手順を知りたい
統合Windows認証を利用した環境で、Active Directoryのリプレースを行う際に必要な作業手順を説明します。
作業手順はActive DirectoryのIPアドレスもしくはホスト名の一覧に変更があるかによって異なります。
Active DirectoryのIPアドレスもしくはホスト名の一覧に変更がない場合
Active Directoryサーバの台数が変わらず、Active DirectoryサーバのIPアドレスも変わらない場合の手順は以下のとおりです。
| No. | 作業内容 | 備考 |
|---|---|---|
| 1 | Directory Syncの設定ファイル(config.yml,secret.yml)をバックアップします | |
| 2 | Directory Syncの定期実行を停止します | |
| 3 | Active Directoryサーバのいずれか一台にDirectory Syncをインストールします インストールの際に、設定ファイルの変更や定期実行の登録などは行わず、Directory Syncのインストールのみを行います。 インストール方法については、「Directory Syncのインストール」をご覧ください |
|
| 4 | Active Directoryのリプレース作業を実施します | |
| 5 | No1.でバックアップしたDirectory Syncの設定ファイルを、新たなDirectory Syncの実行環境に配置します | Directory Syncの実行環境を変更しない場合は、本作業はスキップします |
| 6 | Directory Syncを定期実行するアカウントで「recovery_mode_dry_run.bat」を実行します 出力された内容を確認し、意図しないユーザ及びグループに変更がないことと、問題なく処理が完了することを確認します。「recovery_mode_dry_run.bat」については、「実行ファイルの種類」をご覧ください |
|
| 7 | Directory Syncを定期実行するアカウントで「recovery_mode.bat」を実行します。 出力された内容を確認し、問題なく処理が完了することを確認します。「recovery_mode.bat」については、「実行ファイルの種類」をご覧ください |
|
| 8 | Directory Syncをタスクスケジューラに登録します。 タスクスケジューラの登録方法については、「Directory Syncをタスクスケジューラに登録」をご覧ください | Directory Syncの実行環境を変更しない場合は、本作業はスキップします |
| 9 | Directory Syncの定期実行を再開します |
Active DirectoryのIPアドレスもしくはホスト名の一覧に変更がある場合
Active Directoryサーバの台数に変更がある場合、もしくはActive DirectoryサーバのIPアドレスが変わる場合の手順は以下のとおりです。
| No. | 作業内容 | 備考 |
|---|---|---|
| 1 | エンドユーザーに対して作業期間中のIIJ IDサービスの利用を停止するように連絡します | |
| 2 | Directory Syncの設定ファイル(config.yml,secret.yml)をバックアップします | |
| 3 | Directory Syncの定期実行を停止します また、Directory Syncが実行中の場合は、停止するまで待ちます | |
| 4 | Active Directoryサーバのいずれか一台にDirectory Syncをインストールします インストールの際に、設定ファイルの変更や定期実行の登録などは行わず、Directory Syncのインストールのみを行います。 インストール方法については、「Directory Syncのインストール」をご覧ください |
|
| 5 | Active Directoryのリプレース作業を実施します | |
| 6 | No2.でバックアップしたDirectory Syncの設定ファイルを、新たなDirectory Syncの実行環境に配置します | Directory Syncの実行環境を変更しない場合は、本作業はスキップします |
| 7 | Directory Syncのconfig.ymlで「ad.ldap.server.addresses」をリプレース後のActive Directoryサーバ群に書き換えます | 記載するActive DirectoryサーバのIPアドレス及びホスト名は、389番ポート(LDAPSに割り当てている場合は636番ポート)でLISTENしている必要があります。Active Directoryサーバ上のコマンドプロンプトでnetstatコマンドを実行することで、調べることができます |
| 8 | Directory Syncを定期実行するアカウントで「recovery_mode_dry_run.bat」を実行します 出力された内容を確認し、意図しないユーザ及びグループに変更がないことと、問題なく処理が完了することを確認します。 「recovery_mode_dry_run.bat」については、「実行ファイルの種類」をご覧ください |
|
| 9 | Directory Syncを定期実行するアカウントで「recovery_mode.bat」を実行します。 出力された内容を確認し、問題なく処理が完了することを確認します。「recovery_mode.bat」については、「実行ファイルの種類」をご覧ください |
|
| 10 | Directory Syncをタスクスケジューラに登録します。 タスクスケジューラの登録方法については、「Directory Syncをタスクスケジューラに登録」をご覧ください | Directory Syncの実行環境を変更しない場合は、本作業はスキップします |
| 11 | Directory Syncの定期実行を再開させます | |
| 12 | 新規環境のActive Directory群のIPアドレスを元に、「Active Directoryを登録する(オンプレミスのActive Directoryサーバと連携する場合)」の手順8までの作業を実施します | |
| 13 | No.12を実施すると疎通確認画面が表示されます パスワードを入力後、登録したADのステータスが「セットアップ済み」になっていることを確認します ここで入力するパスワードは、初期導入時にADを登録した際に作成した「統合Windows認証 管理用ADアカウント」のパスワードです | |
| 14 | 既存のADとの認証連携を解除します。 認証連携の解除方法については、「Active Directoryとの認証連携を解除する(オンプレミスのActive Directoryサーバと連携する場合)」をご覧ください | |
| 15 | No.13で登録したADとの認証連携を有効します。 認証連携の有効については、「Active Directoryとの認証連携を有効にする(オンプレミスのActive Directoryサーバと連携する場合)」をご覧ください | |
| 16 | 統合Windows認証が問題なく行えることを確認します | |
| 17 | エンドユーザーに対して、IIJ IDサービスの利用の再開を連絡します |