ドメインコントローラを Windows 2000 にアップグレードする
SERVER
はじめに
Windows NT Server 4.0 で構築されているドメインコントローラを、Windows 2000 Server にアップグレードしてみようと思います。
理由はというと、どうもいつだったか、いままでは FrontPage でサイトを作成する際に、自動的にログオン中のアカウントでログオンできていたのですけどね。FrontPage 2000 くらいを使い始めてからだったか、毎回パスワードを聞かれ、しかもパスワードを記憶するにチェックを入れても、該当するドメインだけは毎回入力しなくてはいけなかった、というのが主な理由です。
ずっとまえに友達に聞いたときには、「そんなことはないけどなぁ」 といっていたので、ドメインコントローラを Windows 2000 Server にアップグレードすればもしかしたらなおるのではないか、という感じです。
それに先立って、念のためアップグレードの仕方を調べてみることにしました。
というのも、いつだったか別の機会で Windows NT Server 4.0 を Windows 2000 Server にアップグレードしたときに、うっかり DNS がインストールされなくて大変な目にあったような記憶があるからです。
その時は入れなおしたんだったかどうしたんだったか、記憶がどうもはっきりしないので改めてチェックなのです。
とりあえず、互換性のモードの選択のところで、特に必要がない限りは 「Windows 2000 以前のサーバと互換性があるアクセス許可」 に設定しておくのがいいようです。
こうせずに Windows 2000 サーバのみにすると、Windows NT クライアントからパスワードが変更できなかったり、そもそもってまあこれは選択どおりなのですけど、Windows NT Server 4.0 でバックアップドメインコントローラが稼動していたりすると正常に複製が行えなくなるなどの問題が出るとのことです。
…、って、なんだか Windows 2000 専用モードにしてしまってもいいような気がするのは気のせいでしょうか…。自分は、冗長よりもしっかりと設定するのが好きみたいで、その性格がときに (しょっちゅう) トラブルを招きこんでくれるのですけどね。
あと、忘れてはいけないのが DNS サービスのインストールです。
Windows 2000 Server のドメインコントローラは DNS に依存するところがあるようなので、これを忘れてしまうと正常に機能しないなんていうことになってしまいます。
そういえば以前は、この DNS のインストールを意識的にキャンセルしてしまってトラブルに陥ってしまったようなきがします。
Windows 2000 Server へアップグレード
今回は、プライマリドメインコントローラな Windows NT Server 4.0 を、直接 Windows 2000 Server へアップグレードします。
アップグレードに失敗すると大変なことになりますので、もし同じことをやろうとしている方がいましたら、バックアップドメインコントローラを立ち上げてアカウントを複製しておいたり、必要なファイルをバックアップしたりなどなど、万全の体制を整えてから行ってください。
今回、インストールするコンピュータ (Windows NT) には、現在 DNS サービスがインストールされていません。その状態で Windows 2000 Server の CD-ROM をドライブに入れて、インストール作業を開始してみることにします。
新規ではなくアップグレードとしてインストールするよう選択されているか、念のため慎重にチェックしながら、インストール作業を進めていきます。
途中で、"Microsoft IntelliPoint Software" が互換性がないとのことで警告がでましたが、これはたぶん問題ないでしょう…。マウスまわりの挙動が変だったらば後で入れなおすこととして、そのまま作業を進めてみることにします。
ファイルのコピーが終わって再起動…、そのまま順調に駆け上がるかと思ったら、Windows 2000 Server のロゴこそ拝めたものの青画面で停止してしまいました。
*** STOP: 0x0000007B (0x .....
INACCESSIBLE_BOOT_DEVICE
だそうな…。
ここにいたるまでにも何やら時間がかかっていたので、もしかするとメモリ不足かも…。というのも 96MB しかメモリを積んでいなかったのでした。なのでとりあえず 128MB につみなおして再起動です。
すると、まあ、初回限定の気まぐれだったのかもしれないですけど、今度はあっというまにすんなりと、Windows 2000 Server が起動して、無事にセットアップの続きが始まりました。
そして一通り、普通の Windows のアップデートが行われて再起動したら、自動的に Administrator でログオンされ、いよいよ Active Directory のインストール、要は、ドメインコントローラのインストール作業に入ります。作業自体はウィザードの指示の通りに進めれば難しいことはないですけど、一応手順をそのまま書いてみますと…。
まず、他にドメインコントローラが存在しない環境だったため、”新しいドメインツリーの作成” を行いました。フォレストも ”ドメインツリーの新しいフォレストを作成” するようにします。
そして、新しいドメイン名を入力せよ、とのことになります。たとえば、"ez-net.jp" などと入力すれば、EZ-NET.JP ドメインとなるわけなのです。が、DNS と関わってくるので、個人的にはこういう正式のものは避けたい気がします。もちろん、問題なければいいですけどね。なので今回は "ez-net.domain" とか、いわゆる架空のドメイン名をつけておくことにします。
そして、忘れてはいけない (と思われる) のが DNS の構成です。今回、「DNS を利用できません。新しいドメインの DNS サーバをウィザードでインストールして構成しますか?」 と聞かれたので、迷うことなく "はい、DNS をこのコンピュータにインストールして構成します」 を選択しておきます。
… でも、こういうのってどうもあまり好きではないんですよね。いざ不具合が起きたときに治しようがなくなってしまうじゃないですか。できることなら、どういう理由でどういうレコードが登録されているのか、手順を追いながら登録できるのが好きなのですけどね。
そして、アクセス許可の設定。これは Windows 2000 サーバ以前のサーバがあるかどうかで決めるもののようです。Windows NT Server 4.0 などが存在している場合は、互換性のあるものにしないと動作に支障をきたすことがあるそうです。
… アクセス許可、の問題なのならば、安全性こそ違いはあるものの、機能的にはどちらでも違いがないのかな…。とりあえず、下調べのときにも出てきたように、危険を感じないなら、互換性のあるアクセス許可にしておくのがいいかもしれないですね。
このくらいで、インストールに必要な情報の設定が完了しました。次へ進むといよいよインストール手続きの始まりです。
なお、ドメイン名についてなのですけど、上記で指定したドメイン名のほかに、NetBIOS 名、いわゆる Windows NT Server 4.0 のときに使用していたドメイン名も継続して使用されます。というか、基本的にはこちらのドメイン名をずっと使い続けるような感覚になるかと思います。
アップグレードではなくて、新たに Windows 2000 Server のドメインコントローラを設置したような場合には、合わせて NetBIOS 版のドメイン名も指定することになったと思います。
手続きがエラーなく終了すれば、これでドメインコントローラのアップロード作業は完了です。が、Windows Update は忘れずに実行しておきましょう。
接続してみる
さて、インストールも終わったことだし、正常に使えるかどうか確認してみます。とりあえずいったんログオフして再びログオンしてみると、問題なくできました。ということは、ちゃんとアップグレードは出来ているのでしょう。
ただ、管理ツールにドメインコントローラ系のものが見当たりませんでした。しらべてみると、コントロールパネルの中からいける管理ツールにはそれが入っていた、というかそれだけだったので、これらを使い分けるか、一箇所にまとめるなど、気をつける必要がありました。
FrontPage 2003 では、やはり、自動的にアカウント情報が手渡されることもなければ、パスワードの保存をするようにチェックしても、FrontPage を起動しなおすと、再び入力を促されてしまいます。
これは、何かセキュリティ面での調整が足りないのでしょうか…。ずっと前にもいちど確認してはみたのですけど、その時は特にそれらしいものは発見できませんでした。Windows 2000 固有のドメインセキュリティポリシとかにあるかもしれないので、気にしておくのがよさそうですね。とりあえず、ざっとみたところではそれらしいものはなかったのですけど…。
他のドメイン環境ならば、同じ FrontPage でも問題ないんですけどね…。凝って調節していた時期があったので、変にレジストリいじったりしてしまったのでしょうか…。
DNS の修復へ…
気になりつつもいろいろ作業をしていると…、ふと、DNS の登録情報がやけに少ないことに気づきました。
新しく指定したドメイン名はゾーンとして登録されているものの、なぜだかその中にはドメインコントローラ自身の A レコードが 2 つだけ…。 2 つなのは、IP アドレスが 2 つほど割り当てられているためです。
正常に動作している Windows 2000 のドメインコントローラの場合、ここにはたくさんのサブキーやらが登録されているはずなので、これは明らかにおかしい…。何のエラーも起きなかったはずなのに、これはどうやら復旧作業をしなくてはならなそうです。
とはいえ、以前にもこのような感じになって挫折したことがあったので、これはどうしたものか…。まあ、以前のその時というのは、純粋に DNS サーバをインストールしなかったというせいなのですけど。
ともかく、思い当たるキーワードでいろいろと調べてみると、なにやらそれらしい記載が見つかりました。
それによりますと、動的更新をサポートしていない DNS であったり、SRV レコードに対応していなかったりした場合には、手動で netlogon.dns の内容を立ち上げろ、とのことでした。
探してみると、ドメインコントローラの C:\WINNT\Sysmte32\conf\ ディレクトリの中に、この netlogon.dns がありました。
とりあえず中身をテキストエディタで開いてみると、なんともそれらしい情報が記載されています。この内容を既存のゾーン情報に登録してあげればいいのでしょう…。
ただ、手動でちまちまと追加していくのは間違えたりしたときに大変なことになりそうなので、なんとか自動またはコピーで登録できる方法を探してみることにします。
該当するゾーンのプロパティをみると…、種類は 「Active Directory 統合」 となっていました。
ここをとりあえず、「標準プライマリ」 に変更して、ゾーンデータをファイルに落とすという試みで行ってみます。設定を変更するとゾーンファイル名が確定しますので、それがどこに出来上がったか探してみます。
すると C:\WINNT\System32\dns\ であるようなので、これをテキストエディタで開いて、中身をごっそりと netlogon.dns のものに書き換えて…、と思ったら、必要最小限のものだけが netlogon.dns に書かれているようでした。なので、それらの内容をごっそり追加、という形になりました。
しかし、追加してみてもどうも情報が更新されず…。が、これも DNS サーバを再起動したらしっかりと追加した分が更新されていました。あとはもう一度、「標準プライマリ」 から 「Active Directory 統合」 に変更すれば作業完了なはずです。
余談ですけど、Active Directory 統合に変えた時点で、 C:\WINNT\System32\dns\ から該当するゾーンファイルが消えていました。一応、その中に backup というディレクトリがありまして、そこには稼働中も移行後も、ファイルは残されているようでしたけど。
とりあえず、これでできた…、のでしょうか。
この方法で直接的に確認できるわけではないのですけど、とりあえず Windows 2000 Professional で動いていた PC をいっかい、ドメインからはずして、もう一度追加しなおしてみると、はずすときにはデータを消去できなかったとは言われるものの、追加はスムーズに行えました。
ただ、どうしても DNS への動的なホスト登録がなされないんです。
DNS のほうはもちろん、クライアントのほうも DNS への登録を行う設定になっているのですけどね。しかも、インストールしたてなのでさほど時間は流れていませんけど、一時期は出来ていて、ちゃんと名前解決が出来てたような気がするのです。
それが、心当たりがあるとするならば、Windows Update を実行した後…、いや、ターミナルサービスをインストールした後あたりからでしょうか…、いや、そのあとですね。そのあと…、何をしたかさっぱり覚えておりません。…、やっぱり、勘違いなのでしょうか。
そんな中、いろいろと試してみたところ、ようやく出来るようになりました。
これで解消したかどうかは確実ではないのですけどね、逆引きゾーンが正しく登録されていなかったため、それを DNS サーバへ登録してみたら出来るようになったようです。
そして、ドメインからの参加をやめる際にも、ちゃんとパスワードを聞かれて、正常に削除処理されるようになりました。
FrontPage からのパスワードを尋ねられる現象はまた別の問題みたいですけど、とりあえず、DNS の復旧がおそらく完了したので、ほっと一息なのでした。