- 0
- 0
- 5
質問
-
【Windowsサーバ】2012 R2 -> 2016へのローリングアップデート手順について
質問
参考にした手順とかあれば、示しておくとよいかと。
昔、これの2008->2012版の手順を参考に更新したことはありますが・・・。
@sysjojoさん
ご返信いただきありがとうございますmm
▷参考URL
Active Directory の移行手順 その2【Windows Server 2008 → 2016】
FSMOの役割を他のドメインコントローラに移行する – Active Directory on AWS(4)
FSMOの転送はGUIで実施し、FSMOの設定確認時のみCUIで実施しました。
改めて調べてみるとFSMO転送→IP・コンピュータ名の変更→降格という手順が多いですね…。
早とちりだったかもしれません…。
>> fuyurey
すみません。質問ちゃんと読んでなかったですが、2台のDCのセカンダリにFSMOを移して、プライマリをアップグレードしようとしている、ってことですかね?
(ここでいうインプレースアップグレード?)
であればやったことないので、アドバイスできることないんですが、インプレースアップグレードってMSにできる、って書いてあるんですけど、手順を示しているサイトは見つけられませんでした(ローリング・アップグレードばっか)。
物理サーバーだったら古い機器の買い替えでやる場合が多い気がするのと、仮想サーバーだったら新しいインスタンス立てて追加すればいいので、サービス停止を伴うインプレースアップグレードってあまりやらなそうな気はします。
参考にされたサイトは1個めはローリング・アップグレードの手順の後半で、2個めはFSMOを入れ替えるだけ、なので手順が違う/足りない、のでは?
>> sysjojo
ご返信ありがとうございますmm
実は本アップグレードを実施前にローリングアップデートも試したのですが、結局Windows Update系のエラーが出て2016に上げることが出来なかったんですよね…。
であればどうせVMware上だし、サーバ停止時間が少ないローリングアップデートでやろうかなと。
別ドメイン環境下で降格前にIP/コンピュータ名を入れ替えてみます。
諸々ありがとうございましたmm
私も自分でやったことがないのであくまで調べた範囲ですが、富士通の手順に以下の注意事項が書かれていました。
DC サーバでは、ほとんどの場合 DNS サーバの役割を兼務します。DC 兼 DNS サーバをドメインメンバサーバに降格した場合、ドメインメンバコンピュータの TCP/IP 設定によっては参照する DNS が存在 しない状況になります。このような場合、ドメインメンバコンピュータはActive Directoryでの認証要求が 行えなくなります。 本手順では、移行前の DC で使用していた IP アドレスを、Windows Server 2016 DC の IP アドレスと することで、これらの問題を解決します。
※これの36ページです。
これが原因だった場合は起きてしまっている現象もなんとなく納得できるかなぁと。
手動でDNSサーバーのアドレスを書き換えれば解消できるかもしれません。
自分もDNS回りかなーと。
もしかしたらこれにも該当しているのかと思います。
https://blogs.technet.microsoft.com/jpntsblog/2018/07/11/ws2016_dns_duplicate_srv/
検証もやってないですし実際に作業したわけではないですが、事象としてはこんな感じでしょうか。
1) 現行設定。SRVレコードとしてAD1とAD2が登録されている。
2) 2012R2を降格→AD1のSRVレコードが削除される。(実際の動作になるかはわかりません。)
3) この時点で、DCとしてのSRVレコードは "AD02.hoge.local=10.0.0.2" に向いている
4) AD2のIPとホスト名を変更
5) "AD01.hoge.local=10.0.0.1"は生きているが、"AD02.hoge.local=10.0.0.2"はいない。
6) SRVレコードを使って認証したくても"AD02.hoge.local=10.0.0.2"がいないから認証できない。
せっかく3台用意しているそうですし、こんな感じでやってみては。
AD1 2012 R2 :既存プライマリ
AD2 2016 :既存セカンダリ
AD3 2016 :新しいやつ
1) FSMO転送
AD1(2012R2)→AD2
2) AD1の降格
3) ホスト名IP変更
AD1→AD3
AD3→AD1
4) AD1(2016)の昇格
5) FSMOの転送
AD2→AD1(2016)
AD2のホスト名IPアドレスはせず、AD1/AD3だけを変更するのがよいかと。
AD2はFSMO転送の中継役みたいな感じですね。
@bonyariさん
ご返信ありがとうございますmm
SRV レコード辺りは探っていませんでした、ご助言感謝です。
また手順についても細かく記載いただきありがとうございました。
別ドメイン環境下にて再度トライしてみます、結果ご報告します!
よこからすみません。
ご回答いただいている方々のリンク先に記述があるのかもしれませんが
dcdiagコマンドとか使うと、ADの現状がしれてよいかもしれません。
それと、VMで(hyper-vも)ADをたてると、時刻同期に遅延が発生するケースもままあるので
マメに気をつけておいた方がよいです。
MSさんは対応した、とは言っていますが、なかなか。。
#弊社では必ずFMSOは物理サーバで作ります。
ケルベロス認証の関係で、PDCとBDCに時刻の差異が発生した場合にうまくいかないです。
https://docs.vmware.com/jp/vRealize-Orchestrator/7.3/com.vmware.vrealize.orchestrator-use-plugins.doc/GUID-D452862F-7E6C-453E-8E13-DBC231881E02.html
以上、ご参考までに。。
お役に立ちましたか?他にもたくさんの ノウハウが共有されています。
質問
こんにちは。情シスの端くれです。
先日、社内のVM上で運用しているActiveDirectoryサーバのローリングアップデート(2012 R2 -> 2016)を実施した結果盛大に失敗したので、詳しい方いらっしゃればお知恵を貸していただきたく書き込ませていただきますm(__)m
▷AD DS構成
※パラメータは仮です。
[環境] VMware
[フォレスト] hoge.local
[DC]
プライマリDC×1式(FSMO)
セカンダリDC×1式
[OS]
プライマリDC:Windows Server 2012 R2
セカンダリDC:Windows Server 2016
[IP・ホスト名]
プライマリDC:10.0.0.1/24・AD01
セカンダリDC:10.0.0.2/24・AD02
▷実施手順
1.FSMOの転送
1-1.スキーママスタ
1-2.ドメイン名前付け操作マスタ
1-3.RIDマスタ、PDCマスタ、インフラストラクチャマスタ
1-4.プロンプトにてFSMOの転送を確認
2.AD01 DC降格
3.AD01 マシン設定変更
3-1.コンピュータ名:AD03
3-2.IP:10.0.0.3
4.AD02 マシン設定変更(旧AD01と入れ替える)
4-1.コンピュータ名:AD01
4-2.IP:10.0.0.1
5.動作確認
5-1.PCログイン
5-2.その他AD連携ツールへのログイン
▷現象
・【2.AD01 DC降格】後、hoge.localのAD認証が通らなくなった
・AD認証が通らないため、
1.【3.AD01 マシン設定変更】にてコンピュータ名の変更不可
2.AD02へのログイン不可
3.AD01のDC再昇格不可
となった。
何等かの理由でADの認証先がAD01からAD02に切り替わらなかった(なのでAD01を降格後にAD認証が通らない結果となった)のかなと思っており、
降格前にAD01とAD02のIPとコンピュータ名を切り替えたらどうなるか?を別フォレストで検証中になるのですが
・そもそも順番間違ってるよ…
・必要な手順足りないよ…
などありましたら、ぜひぜひご指摘いただきたく思います。
よろしくお願いいたします…!