Dell Migration Manager for Active Directory 8.11

Dell Migration Manager for Active
Directory 8.11
製品の概要
©
2014 Dell Inc.
ALL RIGHTS RESERVED.
本ガイドには知的財産情報が記載されており、その情報は著作権によって保護されております。本ガイドに記載されてい
るソフトウェアは、ソフトウェア使用許諾または守秘義務契約に下で提供されております。本ソフトウェアは、該当する
契約の条件に準拠する場合に限り、使用およびコピーすることができます。形式や理由、電子通信や機械に関わらず、本
ガイドの一部であっても複製および送信を禁止します。Dell Inc. からの書面による許可なしでの、購入者以外による写真
複写や記録も禁止します。
本ドキュメント内の情報は Dell 製品に関連して規定されています。明示あるいは黙示を問わず、禁反言あるいは別の方
法で、本ドキュメントから許可を受ける知的所有権あるいは Dell 製品譲渡に関連する知的所有権に対しては、ライセン
スはありません。本製品のライセンス契約同様、DELL の条件および規約の記載を除いて、DELL は一切の責任を負いませ
ん。また、製品に関係する黙示的法令保証の権利を放棄します。制限はありませんが、その製品は市場性、特定の目的に
対する適用度、または反侵害行為を含む黙示的保証があります。DELL SOFTWARE は、損害が生じる可能性について報告を
受けたとしても、本ドキュメントの使用、または使用できないことから生じるいかなる、直接的、間接的、必然的、懲罰
的、特有または偶然的な障害 (無期限、利益の損失、事業中断、情報の紛失も含む) に対しても責任を負わないものとし
ます。Dell は、本ドキュメント内容の精密さや完全性について表明および保証しません。また、Dell は告知なしで製品
使用や製品解説書を変更する権限があります。Dell は、本ドキュメントに記載されている情報を更新する義務はありませ
ん。
本製品の使用に関する質問は、こちらにご連絡ください。
Dell Inc.
Attn: LEGAL Dept
5 Polaris Way
Aliso Viejo, CA 92656
地域および国際事業所の情報につきましては、当社の Web サイト (www.software.dell.com) を参照してください。
商標
Dell および Dell のロゴは、Dell Inc. およびその関連会社の商標です。このドキュメント内でその他の商標
および商品名が、第三者が主張する製品の商標や商品名を表す目的で使用されていることがあります。Dell
は、他の企業/人々が保有する商標や商品名について、独占的所有権を主張することはありません。
凡例
注意: 注意アイコンは、指示に従わないと、ハードウェアの損傷またはデータの損失につながる可能性
があることを表しています。
警告: 警告アイコンは、潜在的に所有物の損傷、人員の負傷や死亡の可能性があることを表していま
す。
重要、メモ、ヒント、モバイル、またはビデオ: 情報アイコンは参考情報を示しています。
目次
はじめに
4
なぜ再構築するのか?
5
組織的な変更
5
Active Directory 設計上の問題
5
Active Directory および Exchange の展開
6
課題
7
再構築のシナリオ
8
Migration Manager for Active Directory の主要機能
11
ユーザーの ZeroIMPACT™
11
ディレクトリの同期
11
テストモード
12
集中プロジェクト管理
12
タスクの委任
12
統合製品セット
13
総合的なリソースアップデート
13
Undo 機能
14
移行後のクリーンアップ
14
移行プロセスの概要
16
アカウントの移行
16
マイグレーションセッション
17
継続的な同期
17
Resource Processing (リソース処理)
18
新しいドメインへの切り替え
22
移行後のクリーンアップ
22
Dell について
24
連絡先Dell
24
テクニカルサポート用リソース:
24
Migration Manager for Active Directory 8.11
製品の概要
3
はじめに
Migration Manager for Active Directory について
Dell™ Migration Manager for Active Directory は、Active Directory の再構築に適した、効率的で柔軟
かつ広範なソリューションです。Migration Manager for Active Directory には、「剪定と接合」による
ディレクトリの再設計、および Active Directory 間の移行機能が用意されています。また、Active
Directory から Microsoft Office 365 にユーザーアカウントを移行することもできます。Migration
Manager for Active Directory を利用すれば、日常作業を中断することなく、主なディレクトリ構造の変更を
安全に管理することができます。
Migration Manager for Exchange について
Migration Manager for Active Directory の姉妹製品となる Dell™ Migration Manager for Exchange では、
ユーザーのメールボックス、パブリックフォルダ、その他の Exchange データを、Exchange
2000/2003/2007/2010 組織から他の Exchange 2000/2003/2007/2010/2013 組織に、エンドユーザーの生産性に
影響を与えずに透過的に移行することができます。また、オンプレミスの Exchange 組織から Microsoft
Office 365 にユーザーメールボックスを移行することもできます。Migration Manager for Active Directory
と Migration Manager for Exchange は、連携使用できるように設計されています。
これ以降、特定のバージョンの Exchange を示す場合を除き、「Exchange」は Exchange 2000、Exchange
2003、Exchange 2007、Exchange 2010、および Exchange 2013 の組織、サーバー、メールボックスなどを表
しています。
Migration Manager for Active Directory 8.11
製品の概要
4
なぜ再構築するのか?
Active Directory を再構築する理由はさまざまです。以下に例を示します。
l
組織的な変更
l
Active Directory 設計上の問題
l
Active Directory および Exchange の展開
組織的な変更
何らかの組織的な変更があった場合、Active Directory を変更する必要があります。組織の変更により、フォ
レストやドメインの分割/結合、Active Directory の一部の「剪定」や別の場所への「接合」などの作業が必要
になることがあります。
Active Directory に影響する組織的な変更の例を以下に示します。
l
合併や買収: フォレストの結合や既存の Active Directory オブジェクトの新しいフォレストへの移動な
どの作業が必要になります。
l
売却: Active Directory の一部を「剪定」する必要があります。
l
企業の再構築または部門の再編成: Active Directory を「剪定および接合」する必要があります。
l
l
l
組織的な分割: 既存の Active Directory を複数の個別の Active Directory に分割する必要があ
ります。
社員の転勤: ユーザーアカウントとアクセス許可の「剪定と接合」が必要になります。
オンプレミスインストールから Microsoft Office 365 や Microsoft Exchange Online などのクラウド
ベースのサービスへの移動。
Active Directory 設計上の問題
「現在の Active Directory ユーザーの半数が、NT からの移行時に再構築を行っておらず、それらのユー
ザーの一部はドメインのデザインを再検討しています。
また、部門間のもめ事など、技術的な問題以外の理由でも、Active Directory の再構築が必要なことがありま
す。我々が遭遇した落とし穴の例として、Active Directory 設計と展開の政治的側面に頼れなかったことが挙
げられます。」
John Enck
Gartner Research 副社長兼調査担当役員
現在の Active Directory設計がニーズを満たしていない、またはネットワークトポロジーに適していない場合
もあります。時間的な制約、リソースの制限、再設定用ツールの欠如、Active Directory に関する情報や経験
の不足など、Active Directory の初期展開時に妥協せざるを得ないさまざまな理由が考えられます。
既存の Active Directory を再設計しなければならないような例としては、以下のような状況が考えられます。
Migration Manager for Active Directory 8.11
製品の概要
5
l
l
l
l
NT ドメインから Active Directory へのアップグレード時に、Active Directory 機能を十分に活用でき
ないようなデザインのまま放置した。
Microsoft の当初のアドバイスに基づいて 1 つのフォレストを 1 つのドメインで使用したが、その
Active Directory デザインがニーズを満たしていないことに気が付いた。単一フォレスト、単一ドメイ
ン構成は設計と管理が容易ですが、しばしば複製の遅延に悩まされます。
セキュリティ上の問題や規制により、部門や作業単位を分割する必要がある。要望を満たすために、複数
フォレストデザインを導入する必要があります。
Active Directory のデザインは、特に技術的な要件よりも政策的な要件により影響されます。アナリス
トによると、多くの組織が Active Directory への移行時に、この件を考慮せずに失敗しています。この
ような組織の現実に対処するために、新たなドメインやフォレストを作成する必要があります。
Active Directory および Exchange の展開
Active Directory または Exchange の展開に関与する任意のプロジェクトが、Active Directory の再構築につ
ながる可能性があります。Active Directory を評価し、変更を行う状況の例を以下に示します。
Windows Server 2003/2008/2008 R2/2012 の新たな Active Directory への移行
Windows 2000 から Windows Server 2003/2008/2008 R2/2012 Active Directory に移行したいと考えています
が、現在のディレクトリデザインは組織のニーズを満たしていません。そこで、そのままアップグレードする代
わりに、新たな Active Directory への移行を検討することにしました。
Exchange から Microsoft Office 365 への移行
オンプレミス Exchange 環境をクラウドベースのサービス Microsoft Office 365 に移行することにしました
が、Active Directory も Microsoft Office 365 に移行する必要があることが分かりました。
Migration Manager for Active Directory 8.11
製品の概要
6
課題
Active Directory 再構築の理由が何であれ、再構築プロジェクトが複雑かつ困難になる場合があります。再構
築には以下のような課題が存在しています。
l
l
l
l
l
l
l
l
l
規模と複雑さ:再構築プロジェクトでは、大量のユーザー/リソースへの変更を管理する必要があります。
フォレスト内またはフォレスト間で移行する必要があるオブジェクトも、おそらく大量に存在しているこ
とでしょう。さらに、リソースはネットワーク全体にまたがって分散されています。
ユーザーに与える影響:ディレクトリの変更作業は、ユーザーの生産性を妨害したり、ヘルプデスクへの
問い合わせを増やしたりせずに完了できるのが理想的です。再構築プロジェクト中および完了後も、ユー
ザーはログアウトすることなく、また適切なすべてのリソースにアクセスできなければなりません。
移行期間中の二重管理:フォレスト間移行 (フォレスト間でのアカウントやリソースの移動) の実施時
には、古い環境と新しい環境の両方を保持しなければならない期間が必ず存在しています。大規模な環境
では、すべてを移行して古い環境を廃止するまでに数ヶ月以上かかることもあります。そのような期間中
は、あるディレクトリに対する変更は、もう一方のディレクトリに対しても同じように行う必要がありま
す。
IT リソースの制約:再構築プロジェクトにより、ただでさえ忙しい IT 部門にさらに負担がかかる可能性
があります。管理者が、深夜や休日に働かなければならないこともあります。残業が必要になることもあ
るでしょう。また、再構築プロジェクトが何週間から何ヶ月も長引く場合もあります。
ツールの欠如:ネイティブのツールや多くのサードパーティ製ツールでは、Active Directory 再構築のあ
らゆる側面に対応することはできません。Active Directory には、複数のドメインの結合、分割、ドメ
インやフォレスト間のオブジェクトの移動、その他の Active Directory 再設定を自動的に実行するツー
ルが用意されていません。
また、ネイティブのツールや多くのサードパーティ製ツールでは、すべての種類の Active Directory オ
ブジェクトや属性を移行できる訳ではありません。Exchange、SQL、Active Directory などのすべてのプ
ラットフォームにまたがって、アクセス許可を更新することもできません。既存のツールでは対処できな
い、さまざまな再構築上の問題に直面することになるでしょう。
政治的な問題:組織では、内部の政治上の問題がディレクトリデザインに与える影響がしばしば見過ごさ
れてしまいます。特定のグループや部門が個別の設定を希望し、また管理者達は各自の責任分担に応じて
アクセスを制限したいと考えることでしょう。このような考え方の違いから、個別の組織単位 (OU)、ド
メイン、フォレストの作成時に、反対意見につながることもあります。これらの要因を軽視すると、再構
築プロジェクトにかかる時間や労力が増加する危険性があります。
調整上の問題:Active Directory の一部を、排他アクセスを持つ管理者にリモート管理させなければなら
ないこともあります。すべてのリモートサイトから適切なアクセス権を取得したり、プロジェクトの標準
規格を遵守したりすることが困難な場合もあります。
リスク:実働環境を直接変更することには、リスクも存在しています。変更内容をネットワーク環境に適
用する前に、それをプレビュー、テストできるようなディレクトリの再構築方法が必要です。また、予期
しない事態が発生した時に、選択的にロールバックを行える手段も必要になります。
セキュリティ上の検討事項:再構築中は、パスワードやアクセス権などの既存のセキュリティ手段を維持
する必要があります。安全な環境を維持するために、SIDHistory を消去して、すでに移行が完了したオ
ブジェクトのソースオブジェクトを追跡、削除する必要があります。ネイティブのツールでは、これらの
作業は容易ではありません。
Migration Manager for Active Directory 8.11
製品の概要
7
再構築のシナリオ
いままで、組織にとってActive Directory の再構築が必要な場合、目的に適した良い手段は存在していません
でした。Dell がそれを変えました。Dell は、特に Active Directory の再構築作業用に開発されたソ
リューションを提供しています。Migration Manager for Active Directory では、Active Directory の制
約を素早く効果的に克服して、組織特有の、常に変化し続けるニーズに対応したディレクトリを作成、管理する
ことができます。
Migration Manager for Active Directory は、フォレスト内/フォレスト間の移動や Microsoft Office
365 サービスへの移行など、多彩な再構築シナリオをサポートしています。このようなシナリオの例を以下に示
します。
l
l
フォレストの分割:たとえば、別個のフォレストを作成して、Active Directory 内の各部に対する安全な
境界を作成することができます。
複数のフォレストを新しいフォレストに結合:たとえば、合併や再編成のために複数のエンティティを結
合して、それらをまとめたエンティティを作成します。
Migration Manager for Active Directory 8.11
製品の概要
8
l
l
l
フォレストを既存のフォレストに結合:たとえば、買収や再編成により、あるエンティティを別のエン
ティティに結合しなければならないことがあります。
フォレスト内のオブジェクト間でのオブジェクトの移動:たとえば、社員が新しいグループや部門に異動
しなければならないことがあります。
フォレスト間のオブジェクトの移動:たとえば、テスト用フォレストでユーザーを設定した後に、それら
を実働環境のフォレストに移行します。または、複数フォレスト環境で、組織や従業員の場所や部門の変
更に伴い、フォレスト間でユーザーを移動します。
Migration Manager for Active Directory 8.11
製品の概要
9
l
l
l
困難な再構築プロジェクトの引き継ぎ:おそらく上記のようなシナリオに対処するためにネイティブの
Active Directory ツールを使って、再構築に失敗した経験があると思います。Migration Manager
for Active Directory は、実行中の再構築プロジェクトを引き継いで、迅速に成功を収めることがで
きます。
アカウント同期:アカウントの移行だけでなく、複数のフォレストにまたがるシナリオの場合 (単一の
フォレスト内での再構築ではなく、フォレスト間の移行)、Migration Manager for Active Directory に
は同期機能が用意されています。アカウントを同期することにより、アカウントのプロパティ、グループ
メンバーシップ、またはパスワードの変更が、他の環境にも複製されます。
Exchange および Active Directory の移行:Migration Manager for Active Directory と Migration
Manager for Exchange を使用することにより、ユーザーを Exchange メールボックスおよびその他の
Exchange データと一緒に、他のフォレストに移行することができます。また、Active Directory から
Microsoft Office 365 へのユーザーの移行時に、そのメールボックスをオンプレミス Exchange 組織か
ら Microsoft Exchange Online に移行することもできます。
Migration Manager for Active Directory 8.11
製品の概要
10
Migration Manager for Active
Directory の主要機能
l
ユーザーの ZeroIMPACT™
l
ディレクトリの同期
l
テストモード
l
集中プロジェクト管理
l
タスクの委任
l
統合製品セット
l
総合的なリソースアップデート
l
Undo 機能
l
移行後のクリーンアップ
ユーザーの ZeroIMPACT™
Migration Manager for Active Directory を利用すれば、ユーザーやネットワークを妨害することなく
Active Directory を再構築できます。Migration Manager for Active Directory では再構築作業中も、移行
中かどうかにかかわらず、ユーザーはすべてのリソースにアクセスすることができます。オンライン中のユー
ザーを移行することができます。移行されたユーザーは、各自のコンピュータを再起動したり、アカウントにロ
グインし直す必要はありません。
ディレクトリの同期
週末だけで完了できる移行プロジェクトはほとんどありません。特にユーザーやリソースをあるフォレストから
他のフォレストに移動する場合が挙げられます。その結果、古い環境と新しい環境を共存させて管理しなければ
ならない期間が生じてしまいます。
Migration Manager for Active Directory には、環境共存時の負担を減らすための同期機能が用意されていま
す。アカウントのプロパティやグループメンバーシップとパスワードを同期できるため、管理者は単にある環境
で必要な変更を行うだけで、もう一方の環境にもそれらの変更が自動的に反映されます。
これにより管理上の負担が減り、環境の整合性を保つことでセキュリティも維持できます。
Migration Manager for Active Directory 8.11
製品の概要
11
テストモード
マイグレーションセッションにおいて、テストモードで実行できます。テストモードの場合、Migration
Manager for Active Directory は実際の移行作業を実行しようと試みますが、ターゲット環境にアカウント
は作成されません。
このテスト中には、アクセス許可不足、競合、存在しないリンク先オブジェクト (グループメンバーなど) を含
め、移行に関する問題の大部分が検出されます。この機能により安全に移行作業を試しながら、実際の移行時に
発生する問題に対処することができます。
集中プロジェクト管理
Migration Manager for Active Directory を利用して、移行プロジェクトを制御することができます。以下の
ような機能が用意されています。
l
l
l
移行プロジェクト中のアクセス許可の委任:たとえば、ローカル管理者にプロジェクトに対する読み取り
専用アクセス権を与えながら、一連の OU の移行に関するすべての作業を実施させることができます。
エラー、競合、存在しないリンクされたオブジェクト (例: 存在しないグループメンバー) 用のオンライ
ンキュー:管理者は、キューを確認して問題への対処を行えます。Migration Manager for Active
Directory は、同期の実行を引き続き試みます。問題が解決したら、Migration Manager for Active
Directory は自動的にオブジェクトを同期します。
統計ポータル:Migration Manager for Active Directory には、統計ポータルが同梱されています。移行
プロジェクトの、Web ベースのレポートおよび監視機能を提供しています。高レベルの統計情報と低レベ
ルの移行詳細の両方を提供することができます。このツールを利用すれば、プロジェクト関係者に移行情
報に対する読み取り専用アクセス権を簡単に与えることができます。
タスクの委任
Migration Manager for Active Directory は、大規模な移行プロジェクトを考慮して設計されています。以下
のような機能が用意されています。
l
l
l
ロールベースの管理:移行タスクには、それに関連するアクセス許可があります。移行プロジェクトを、
複数の移行チームに分割することができます。相互のプロジェクトタスクの妨げになる危険もありませ
ん。
複製されたプロジェクトデータベース:Migration Manager for Active Directory は、Microsoft
Active Directory をアプリケーションモード (ADAM) をバックエンドデータベースとして使用してい
ます。ADAM には Active Directory セキュリティモデルをサポートする複製機能があるため、複数の
場所に Migration Manager for Active Directory を設定し、それぞれのチームに各自の作業分担に合
わせたアクセス許可を与え、同じ共通のプロジェクト内で各自の移行作業を達成できるように複製機能を
設定することができます。
リソース処理用 MSI パッケージの生成機能:その他のリソース処理の委任方法として、リモート管理者向
けの Windows インストーラ (MSI) パッケージの作成機能が用意されています。MSI パッケージには必要
な実行形式ファイルとアカウントマッピングが含まれており、リモート管理者側での Migration Manager
のインストールや移行プロジェクトへのアクセスは不要です。
Migration Manager for Active Directory 8.11
製品の概要
12
統合製品セット
Migration Manager for Active Directory は、Active Directory 再構築のあらゆる側面に対処します。すべて
の作業を単一のインターフェイスで管理できるため、多数のツールの使い方を覚える必要はありませ
ん。Migration Manager for Active Directory には、再構築作業を支援して、ユーザーへの影響を最低限に抑
えるためのユーティリティを持つリソースキットも用意されています。
Migration Manager for Active Directory は特に Active Directory の再構築を目的に設計されているため、
サイトやサブネット、連絡先、プリンタキュー、およびボリュームオブジェクトなど、任意のタイプのオブ
ジェクトを移行することができます。パスワード、セキュリティ記述子、リンクされた属性を含め、あらゆるオ
ブジェクト属性を移行することができます。
ツールには、同期およびスケジューリング機能が統合されているため、コマンドラインを使ったり、Windows ス
ケジュールされたタスクを設定したりする必要はありません。
総合的なリソースアップデート
再構築中および再構築後もユーザーによるネットワークアクセスを保持するために、Migration Manager for
Active Directory は総合的なリソースアップデート機能を提供しています。移行後は、ソースオブジェクトか
らターゲットオブジェクトにアクセス許可を適用するために、ネットワークリソースをアップデートする必要が
あります。
Migration Manager for Active Directory は、アクセス許可や所有権にかかわらずすべてのファイルとフォル
ダを処理できます。また、以下のものを含め、すべてのリソースをアップデートすることができます。
l
ファイル、フォルダ、サービス、ユーザープロファイルなどの分散リソース
l
Active Directory オブジェクトのセキュリティ記述子
l
Microsoft Exchange Server 2000/2003/2007/2010/2013 管理者、ディレクトリ、およびクライアント
アクセス許可
l
Microsoft SQL Server 2000、2005、2008、2008 R2、および 2012 SP1 の権限
l
Microsoft Internet Information Services (IIS) Server 4、5、6、7、および 7.5 のアクセス許可
l
Microsoft Systems Management Server 2003 および System Center Operations Manager 2007
のアクセス許可
Migration Manager for Active Directory は、リソースをローカルにアップデートすることで、素早く効率的
にリソースをアップデートします。また、別のソースドメインから移行された場合も含め、移行されたユーザー
とコンピュータすべてのアクセス許可を更新します。
また、オフピーク時のリソースアップデートをスケジュールし、コンピュータがオフラインの場合の再試行間隔
を指定することもできます。
Migration Manager for Active Directory 8.11
製品の概要
13
図 1:Migration Manager for Active Directory は、すべての Active Directory オブジェクトを移行して、
ネットワーク内のすべてのリソースをアップデートします。
Undo 機能
Migration Manager for Active Directory には、状態を元に戻すためのさまざまなオプションが用意されてい
ます。再構築の結果、何らかの予期しない事態が発生しても、変更を素早くロールバックすることができます。
複数のセッションで行われた変更から、単一オブジェクトに対する単一の操作による変更まで、実行した任意の
変更をロールバックすることができます。オブジェクトを移行すると、マイグレーションセッションによりター
ゲットドメインに対して行われたすべての変更をプロジェクトデータベースがキャプチャします。ソースドメイ
ンは、無効化または削除されるまでそのまま保持されます。
すべてのリソースアップデートツールに、Undo 機能が用意されており、リソース ACL 内のソースアクセス許可
を復元することができます。
移行後のクリーンアップ
Migration Manager for Active Directory には、再構築した環境のセキュリティ、整合性、パフォーマンスを
最大限に保つためのさまざまなオプションとツールが用意されています。再構築後もリソースに適切にアクセス
Migration Manager for Active Directory 8.11
製品の概要
14
できるように、Migration Manager for Active Directory では移行したアカウントの SIDHistory エントリを
削除し、ACL からソースアカウントへの参照を削除することができます。
また、Migration Manager for Active Direcotyは、セキュリティや安定した環境に影響を及ぼす、ネット
ワーク環境の不要オブジェクトをクリーンアップする機能を提供しております。
Migration Manager for Active Directory 8.11
製品の概要
15
移行プロセスの概要
Migration Manager for Active Directory には、移行プロセス全体の管理を支援するためのさまざまなツール
と機能が用意されています。移行には、ソースドメインからターゲットドメインへの、Active Directory オブ
ジェクト (ユーザー、グループ、リソースなど) の移行作業が含まれています。
企業ネットワーク内での移行作業は、基本的に 5 つの主要ステージから構成されています。
1. アカウントの移行:選択したアカウントを、ソースドメインからターゲットドメインにコピーします。
2. 継続的なディレクトリ同期:選択した移行対象アカウントすべてに対して同期が行われます。これによ
り、旧環境と新環境の共存期間中も、アカウントプロパティ (パスワードおよびグループメンバーシップ
を含む) の整合性が保たれます。
3. リソースの処理:ファイル、共有、プリンタ、および他の保護されているオブジェクトへのアクセス権を
更新します。
4. 新しいドメインへの切り替え:ソースアカウントを無効化し、ターゲットアカウントを有効化します。
ユーザーは、新しいドメインへのログインを開始します。
5. 移行後のクリーンアップ:ソースアカウントをクリーンアップ、削除します。また、ターゲット環境のセ
キュリティ、整合性、およびパフォーマンスを最大限に保つために、すべてのターゲットアカウントから
SIDHistory を削除します。
メモ:
l
l
移行作業を成功させるためには、プランニングも重要になります。Dell Migration Suite for
Active Directory には、環境を評価して適切なプランニングを行うために必要なすべての情報を
収集するための、Dell Reporter が含まれています。
Active Directory から Microsoft Office 365 にユーザーを移行して、それらのユーザーのメー
ルボックスをオンプレミス Exchange 組織から Microsoft Exchange Online に移行するための作
業例については、Migration Manager ドキュメントセットに収録されている『Microsoft Office
365 への移行』を参照してください。
これらのステップの詳細は、関連トピックを参照してください。
アカウントの移行
継続的な同期
Resource Processing (リソース処理)
新しいドメインへの切り替え
移行後のクリーンアップ
アカウントの移行
アカウントの移行は、移行プロセスの中核となるステップです。このステップでは、アカウント (ユーザー、グ
ループ、コンピュータ) のグループを選択し、それをターゲットドメインに移行します。
Migration Manager for Active Directory 8.11
製品の概要
16
マイグレーションセッション
基本的にマイグレーションセッションは、移行するアカウントのグループです。アカウント移行の重要な機能を
以下に示します。
l
l
l
l
マイグレーションセッション:Migration Manager for Active Directory では、セッションを簡単に設定
することができます。セッション内で移行するアカウントを手動選択することができます。タブ区切り形
式のテキストファイルから、アカウントのリストをインポートすることもできます。また、インポート
ファイルに新しい属性値を指定して、任意のアカウントの属性を一括変更することも可能です。
Directory Synchronization Agent:すべての移行および同期アクティビティは、Migration Manager コ
ンソールを通じて設定します。ただし、アクティビティ自体は Directory Synchronization Agent
(DSA) により実行されます。環境の規模や複雑さに応じて、複数の Directory Synchronization Agent
を使用することができます。
テストモード:マイグレーションセッションにおいて、テストモードで実行できます。テストモードで
は、実際のオブジェクト移行は行われません。また、ソース環境とターゲット環境にも変更は行われませ
ん。このテストにより、アクセス許可不足、競合、存在しないリンク先オブジェクト (グループメンバー
など) を含め、移行に関する問題の大部分を検出することができます。この機能を利用することで、安全
にテストを実行し、実際の移行時にそれらの問題が発生しないように、問題に対処することができます。
問題を解決したら、実際にセッションを実行してオブジェクトを移行することができます。他の問題が発
生した場合は、それを解決してからセッションを再実行する必要があります。
委任した移行作業:移行のスコープをソースおよびターゲットドメイン内の特定の OU セットに制限
し、そのスコープ内で実際の移行作業を実施できる権限を持つユーザーを指定することができます。
この委任された管理者が実際の移行作業を行います。プロジェクトには結果とステータス情報が追加され
るため、委任した管理者数が多い場合でも、プロジェクト全体を追跡管理することができます。
委任した管理者は、アクセス権を与えたタスクにのみアクセスできるため、相互の作業への干渉を防止す
ることができます。
継続的な同期
ほとんどの移行プロジェクトは週末よりも長い時間がかかります。つまり、ソース環境とターゲット環境を共存
させなければならない期間が存在し、その間はそれらの環境間で同期を保つことが重要になります。たとえば、
ある名簿で電話番号を変更したら、もう一方の名簿でも同じように変更する必要があります。パスワードやグ
ループメンバーシップなどの、セキュリティ関連の属性の同期はさらに重要です。
Migration Manager for Active Directory では、ソース/ターゲットのアカウントやグループを継続的かつ
効率的に同期できます。このツールは、オブジェクトの前回の同期以降に行われた Active Directory 内のす
べての変更を検出し、それをもう一方の環境に反映します。同期は、Migration Manager for Active
Directory を通じてスケジュールすることができます。コマンドプロンプトや Windows のタスクのスケ
ジュール機能は不要です。
この機能により、移行期間中の環境間の整合性の保持に気を使う必要がなくなります。共存環境は、新たなディ
レクトリへの移行準備が完了するまで自動的に維持されます。
メモ: Microsoft Exchange を含む移行作業中、一般的には一致するものが見つからない任意のオブ
ジェクトを作成するように同期が設定されます。このようなオブジェクトは、特定のステージング OU で
作成され、後ほどマイグレーションセッションにより適切な OU に移動されます。こうすることにより、
両方の組織内で統一されたグローバルアドレス一覧 (GAL) を管理することができます。詳細
は、Migration Manager for Exchange のドキュメントを参照してください。
Migration Manager for Active Directory 8.11
製品の概要
17
Resource Processing (リソース処理)
アカウントの移行後、新たな SID を参照するように、すべてのリソースの ACL を処理する必要がありま
す。Migration Manager には、ターゲットドメイン内に新たに作成されたユーザーとグループが、ファイルシス
テムオブジェクト、ネットワーク共有、および共有プリンタなどのネットワークリソースへのアクセスレベルを
維持できるように、一連のツールが用意されています。また、一貫したデスクトップユーザーエクスペリエン
ス、ネットワークセキュリティ、および継続的な操作を保証するために、リモートコンピュータ上のユーザープ
ロファイル、サービスアカウント資格情報、およびシステムレジストリが処理されます。
Migration Manager は、オブジェクトのアクセス許可や所有権に関係なく、すべてのオブジェクトを処理して、
ネットワークリソースのすべてのプロパティを更新します。リソースアップデートを容易にするため
に、Migration Manager ではアップデート作業を自動化して、スケジュールを設定することができます。また、
リソースの進捗状況に関する統計情報を表示したり、ログファイルにアクセスしてエラーやイベントを確認した
りすることもできます。
図 2:Migration Manager はネットワーク内のすべてのリソースをアップデートします。
分散リソース
ネットワークにまたがって散在しているリソース (ファイルシステムオブジェクト、ネットワーク共有、共有プ
リンタなど) は、移行時にしばしば問題になります。大規模なネットワークの場合、Migration Manager コン
ソールからのリソースの集中処理では、スケーラビリティに関する要件を満たすことができません。
Migration Manager for Active Directory 8.11
製品の概要
18
これらの課題に対処するために、Migration Manager ではエージェントを使って並列処理によるリソースアップ
デートを行うことで、ネットワークの規模に関係なくパフォーマンスを維持することができます。選択されたす
べてのコンピュータが同時に更新されます。リソースはローカルにアップデートされるため、1,000 台のリソー
スサーバーのアップデートに必要な時間も 10 台のサーバーのアップデートに必要な時間も変わりありません。
高度に分散されたネットワーク環境の場合は、各サイトの管理者にリソースアップデート作業を委任することが
できます。この方法は、セキュリティ上の理由 (リソースの管理者に作業を委任する) や大規模ネットワークで
のパフォーマンス上の理由 (リソースがローカルでアップデートされるように) で使用されます。リモートサイ
トに、または必要なアクセス権を持ち、アップデート対象リソースサーバーへの接続が良好な場所に居る他のド
メイン管理者にタスクを委任することができます。
Migration Manager for Active Directory 8.11
製品の概要
19
Migration Manager for Active Directory 8.11
製品の概要
20
図 3:Migration Manager はネットワークに分散しているリソースを効率的にアップデートできます。
Microsoft Exchange サーバー
ユーザーアカウントの移行時に、それらのアカウントへの変更を反映するように Exchange メッセージングシス
テムを更新する必要があります。
Exchange 2000/2003/2007/2010/2013 の場合、Migration Manager for Active Directory には、ターゲットド
メイン内の移行したアカウントに割り当てられているアクセス許可が、ソースアカウントに割り当てられていた
アクセス許可と一致するように、Exchange アクセス許可を更新するツールが用意されています。
Migration Manager for Active Directory は、パブリックフォルダとメールボックスフォルダのクライアント
アクセス許可、およびメールボックスや他のすべての Exchange 2000/2003/2007/2010/2013 オブジェクトの管
理/ディレクトリアクセス許可を更新します。
Microsoft SQL Server
Migration Manager for Active Directory は、Microsoft SQL Server 2000、2005、2008、2008 R2、および
2012 SP 1 を更新し、移行時に行われた変更を反映させることができます。
Migration Manager for Active Directory は、データベースから移行情報を取得して、処理された SQL Server
の古いアカウントを、対応する新しいアカウントに置き換えます。アカウントを新しいドメインに移行後
は、SQL Server を更新する必要があります。
Microsoft Internet Information Server (IIS)
分散リソースアップデート時に、Migration Manager for Active Directory は IIS 4、5、または 6、7、また
は7.5 のアクセス許可セットを処理して、以前にソースアカウントに関連付けられていたアクセス許可を、ター
ゲットアカウントに割り当てることができます。
Microsoft Systems Management Server (SMS) および Microsoft System Center
Configuration Manager (SCCM)
Migration Manager for Active Directory は、Microsoft SMS 2003 および SCCM 2007 のアクセス許可を更新
して、移行時に行われた変更を反映することができます。
Migration Manager for Active Directory は、データベースからアカウントの移行情報を取得して、処理され
た SMS/SCCM サーバーの古いアカウントを、対応する新しいアカウントに置き換えます。アカウントを新しいド
メインに移行後は、SMS/SCCM サーバーを更新する必要があります。
ユーザープロファイル
Migration Manager for Active Directory では、ターゲットユーザーアカウントが、対応するソースアカウ
ントと同じローカル/ローミングプロファイルを保持することが保証されます。移行の各フェーズにおいて、
ユーザーは各自の個人プロファイル/設定へのアクセスが保持されます。Migration Manager for Active
Directoryは、アカウントの下で実行されているサービスによりロックされても、プロファイルを更新すること
もできます。
移行プランに応じて、ユーザープロファイルの更新には複数のオプションが用意されています。たとえ
ば、Migration Manager Resource Kit には、ユーザーのログオンスクリプトおよび更新プロファイルを通じて
配布できるユーティリティが収録されています。
Migration Manager for Active Directory 8.11
製品の概要
21
ワークステーション
ユーザーとグループを移行したら、ソースコンピュータをターゲットドメインに移動できます。Migration
Manager for Active Directory には、ワークステーションをソースドメインからターゲットドメインに、再起
動することなく移動するためのツールが用意されています。
移行後に、ワークステーションで追加の更新作業 (デフォルトドメイン、コンピュータ名、レジストリ設定な
ど) が必要な場合があります。Resource Updating Manager は、ワークステーションの更新と名前変更に役立
ちます。
新しいドメインへの切り替え
特定のニーズや要件によっては、ソースドメインからターゲットドメインにユーザーを切り替える作業の一環と
して、さまざまな作業を行わなければならないこともあります。たとえば、ユーザーワークステーションのデ
フォルトログオンドメインの変更やソースからターゲットユーザーへのメール属性の転送作業が必要なことがあ
ります。
パスワードおよびグループメンバーシップの同期
新しいアカウントを作成してから、それらのアカウントを有効にするまでの期間に、パスワード、グループメン
バーシップ、およびその他のプロパティが変更される可能性があります。このような問題を回避するために、移
行したすべてのアカウントの自動同期を実行することができます。
同期されていることを確認するために、アカウントを再度移行する必要はありません。
新しいアカウントへの切り替え
ユーザープロファイルの更新後、ユーザーを新しいアカウントに切り替える必要があります。古いユーザーアカ
ウントと新しいユーザーアカウントを共存させることは可能ですが、一度にどちらか 1 つのアカウントしか
アクティブにはできません。Migration Manager for Active Directory では、古いアカウントが削除されてい
ない限り、ユーザーを古いアカウントに戻すことができます。
移行後のクリーンアップ
移行処理が完了し、新たな設定でネットワークが正常に機能している場合、古い廃止されたシステムのエレメン
トを消去する必要があります。これらのエレメントは、セキュリティ、安定性、サービス化要請、およびネット
ワークの他の側面に対して悪影響を与える可能性があります。
Migration Manager for Active Directory には、不要なエレメントを削除するためのカスタムオプションや特
殊なツールが用意されています。
分散リソースの権限のクリーンアップ
ユーザーがターゲットドメイン上で新たなアカウントにログオンを開始し、リソースへのアクセスに関する問題
がないならば、グループ、ユーザー権限、およびオブジェクトセキュリティ記述子内の、オリジナルのソースア
カウントへの参照を削除することができます。
Exchange 権限のクリーンアップとメールボックスの再ホーム設定
Migration Manager for Active Directory は移行後に、Exchange 2000/2003/2007/2010/2013 の設定、メール
ボックス、およびパブリックフォルダに対するアクセス許可を再割り当てします。
Migration Manager for Active Directory 8.11
製品の概要
22
ソースおよびターゲットドメインが同じフォレストに所属している場合 (フォレスト内移行が行われた場
合)、Exchange 2000/2003/2007/2010/2013 のメールボックスは引き続きソースドメインからのアカウントに所
属します。ソースアカウントを廃止する前に、これらのメールボックスをターゲットアカウントに割り当て直す
必要があります。Migration Manager for Active Directory には、Exchange メールボックスのホーム再設定お
よびターゲットアカウントへの再割り当てを行うためのツールが用意されています。
SIDHistory のクリーンアップ
すべてのリソースの処理が正常に完了したら、すべてのディレクトリオブジェクトの SIDHistory エントリを削
除することができます。SIDHistory エントリの削除は、Active Directory 環境において良好なパフォーマン
ス、セキュリティ、および整合性を保つために重要な作業です。
ソースアカウントの無効化または削除
ソースアカウントが不要になったら、Migration Manager for Active Directory を使って古いアカウントを
無効化または削除することができます。すべてのオブジェクトを削除したら、ソースドメインを廃止することが
できます。
Migration Manager for Active Directory 8.11
製品の概要
23
Dell について
Dell は、お客様のご意見、ご提案に真摯に耳を傾け、信頼でき価値ある斬新なテクノロジー、ビジネスソ
リューションおよびサービスを世界各国に提供しています。詳細は、http://software.dell.com/jp-ja/ をご覧
ください。
連絡先Dell
テクニカルサポート:
オンラインサポート
製品に関するご質問とセールス:
03-5908-3511
電子メール:
[email protected]
テクニカルサポート用リソース:
Dell のソフトウェアをご購入の上有効なメンテナンス契約をお持ちのお客様、およびトライアル版をご利用の
お客様は、テクニカルサポートをご利用いただけます。サポートポータルをご利用の場合
は、https://support.software.dell.com/jp を参照してください。
サポートポータルでは、問題を独自に素早く解決するための、自己支援ツールを毎日 24 時間ご利用いただけま
す。また、ポータルのオンラインサービスリクエストシステムを介して、製品サポートエンジニアと直接やり取
りすることも可能です。
このサイトでは、以下のような作業を行えます。
l
サービスリクエスト (事例) の作成、更新、管理
l
Knowledge Base 記事の参照
l
製品のお知らせの入手
l
ソフトウェアのダウンロードトライアル版ソフトウェアについては、Trial Downloads をご覧ください。
l
ハウツービデオの表示
l
コミュニティディスカッションへの参加
Migration Manager for Active Directory 8.11
製品の概要
24

Download Report