this document
Dell Migration Manager for Active Directory 8.11 リソース処理ガイド © 2014 Dell Inc. ALL RIGHTS RESERVED. 本ガイドには知的財産情報が記載されており、その情報は著作権によって保護されております。本ガイドに記載されてい るソフトウェアは、ソフトウェア使用許諾または守秘義務契約に下で提供されております。本ソフトウェアは、該当する 契約の条件に準拠する場合に限り、使用およびコピーすることができます。形式や理由、電子通信や機械に関わらず、本 ガイドの一部であっても複製および送信を禁止します。Dell Inc. からの書面による許可なしでの、購入者以外による写真 複写や記録も禁止します。 本ドキュメント内の情報は Dell 製品に関連して規定されています。明示あるいは黙示を問わず、禁反言あるいは別の方 法で、本ドキュメントから許可を受ける知的所有権あるいは Dell 製品譲渡に関連する知的所有権に対しては、ライセン スはありません。本製品のライセンス契約同様、DELL の条件および規約の記載を除いて、DELL は一切の責任を負いませ ん。また、製品に関係する黙示的法令保証の権利を放棄します。制限はありませんが、その製品は市場性、特定の目的に 対する適用度、または反侵害行為を含む黙示的保証があります。DELL SOFTWARE は、損害が生じる可能性について報告を 受けたとしても、本ドキュメントの使用、または使用できないことから生じるいかなる、直接的、間接的、必然的、懲罰 的、特有または偶然的な障害 (無期限、利益の損失、事業中断、情報の紛失も含む) に対しても責任を負わないものとし ます。Dell は、本ドキュメント内容の精密さや完全性について表明および保証しません。また、Dell は告知なしで製品 使用や製品解説書を変更する権限があります。Dell は、本ドキュメントに記載されている情報を更新する義務はありませ ん。 本製品の使用に関する質問は、こちらにご連絡ください。 Dell Inc. Attn: LEGAL Dept 5 Polaris Way Aliso Viejo, CA 92656 地域および国際事業所の情報につきましては、当社の Web サイト (www.software.dell.com) を参照してください。 商標 Dell および Dell のロゴは、Dell Inc. およびその関連会社の商標です。このドキュメント内でその他の商標 および商品名が、第三者が主張する製品の商標や商品名を表す目的で使用されていることがあります。Dell は、他の企業/人々が保有する商標や商品名について、独占的所有権を主張することはありません。 凡例 注意: 注意アイコンは、指示に従わないと、ハードウェアの損傷またはデータの損失につながる可能性 があることを表しています。 警告: 警告アイコンは、潜在的に所有物の損傷、人員の負傷や死亡の可能性があることを表していま す。 重要、メモ、ヒント、モバイル、または ビデオ: 情報アイコンは参考情報を示しています。 目次 リソース更新の概要 6 分散リソースの更新 7 運用サーバーの更新 7 Resource Updating Manager による分散更新 9 事前設定された Resource Updating Manager の使用 10 リソースを更新する前に 10 コンピュータに対する管理者権限の取得 10 エージェント使用の判断 11 Resource Updating Manager エージェントのプリインストール 12 処理スコープの指定 13 コンピュータの Discovery 15 特定のコンピュータまたはコレクションの検出 16 コンピュータのソート 16 リソースの処理 16 処理の開始 17 処理の設定 18 他のドメインへのコンピュータの移動 20 コンピュータの移動の開始 20 ドメインへのコンピュータの移動設定 22 他のドメインへの Exchange サーバーの移動 22 他のドメインへのクラスタサーバーの移動 23 コンピュータの名前変更 23 タスクのスクリプト 24 後処理操作 25 タスクを即実行する 26 処理アルゴリズム 26 カテゴリの管理 27 ログファイルの表示 27 処理の中断 28 ユーザープロファイルの更新 28 ユーザープロファイルの基本 29 ユーザープロファイルの仕組み 29 ローカルプロファイルの更新 30 移動プロファイルの更新 30 プロファイル重複の防止 31 分散リソース処理の自動化 31 Migration Manager for Active Directory 8.11 リソース処理ガイド 3 Resource Updating Toolkit for PowerShell のローカルでの使用 32 Resource Updating Toolkit for PowerShell のリモートでの使用 32 共通のリソースの更新ワークフロー 33 明示的に処理するオブジェクトの選択 33 リソース更新の委任 33 タスクセットアップパッケージを使ったリソースの更新 34 リソース更新用 INI ファイルの作成 34 リソース更新の検討事項 35 Active Directory Processing 36 Active Directory Processing Wizard を使用する場合 36 Active Directory 処理の開始 37 Standalone モードの使用 37 Console Integration モードの使用 40 Delegation モードの使用 44 Active Directory 更新の実行 44 Exchange サーバーの処理 46 Exchange Processing Wizard を使用する場合 46 フォレスト内ドメイン移行 47 ソースフォレストが ERF 48 ERF トポロジ内でユーザーがフォレストを変更 49 前提条件 (Exchange サーバーの処理) 49 Exchange 更新の開始 50 ステップ 1:New Exchange Processing Task 50 ステップ 2:Select Configuration Mode 50 ステップ 3:Specify Re-Permissioning Options 51 ステップ 4:Delegate Resource Processing Task 52 ステップ 5:Select Exchange Servers 53 ステップ 6:Select Objects 56 ステップ 7:Specify Scheduling Options 57 ステップ 8:Complete the Exchange Processing Wizard 58 Exchange 更新の実行 59 SMS Processing 60 SMS 更新の開始 60 ステップ 1:New SMS Processing Task 60 ステップ 2:Select Configuration Mode 60 ステップ 3:Specify Re-Permissioning Options 61 ステップ 4:Delegate Resource Processing Task 63 ステップ 5:Select SMS Servers 64 Migration Manager for Active Directory 8.11 リソース処理ガイド 4 ステップ 6:Specify Scheduling Options 64 ステップ 7:Complete the SMS Processing Wizard 65 SMS 更新の実行 66 SQL Server の処理 67 処理された SQL オブジェクト 67 前提条件 (SQL Server の処理) 73 SQL 更新の開始 73 ステップ 1:New SQL Processing Task 74 ステップ 2:Select Configuration Mode 74 ステップ 3:Specify Re-Permissioning Options 74 ステップ 4:Delegate Resource Processing Task 75 ステップ 5:Select SQL Server 76 ステップ 6:Specify Scheduling Options 77 ステップ 7:Complete the SQL Processing Wizard 78 SQL 更新の実行 78 クラスタサーバーの移行 80 オプション 1 (クラスタサーバーの移行) 80 オプション 2 (クラスタサーバーの移行) 81 コマンドラインによるリソースの更新 82 コマンドラインパラメータ 82 リモート更新 84 SIDHistory マッピング 84 SharePoint の処理 87 SharePoint Permissions Processing Wizard のインストール 87 システム要件 (SharePoint の処理) 87 必要なアクセス許可 (SharePoint の処理) 87 SharePoint アクセス許可の処理 88 Dell について 90 連絡先Dell 90 テクニカルサポート用リソース: 90 Migration Manager for Active Directory 8.11 リソース処理ガイド 5 リソース更新の概要 Active Directory では、アクセス許可はアクセス制御リスト (ACL) を介してユーザーに割り当てられます。こ のリストには、権利が与えられるアカウントのセキュリティ識別子 (SID) への参照が含まれています。 ユーザーがターゲットアカウントの使用を開始し、SIDHistory を消去しても、ユーザーがリソースを引き続き 利用できるように、リソースへのアクセス用にソースアカウントに割り当てていたアクセス許可を、ターゲット アカウントに再割り当てする必要があります。この場合、ネットワーク内のすべてのリソースの ACL を処理し て、新しい SID を参照させるようにする必要があります。 ソースアカウントを無効にした後も、サービスやスケジュールタスクが正常に動作するように、サービスアカウ ントやスケジュールタスクの実行に使用していたアカウントも、対応するターゲットアカウントに変更する必要 があります。これは、リソース更新フェーズ時に実行します。 リソースは 2 種類のグループに分けられます。 1. エンドユーザーワークステーション、ファイル/プリントサーバー、IIS を実行するサーバー、スケ ジュールタスク、その他のサービスやアプリケーションなどの分散リソース。 2. Exchange サーバー、SQL サーバー、SharePoint サーバー、Systems Management Server (SMS)、および System Center Configuration Manager (SCCM) などの運用サーバー。 ユーザーに透過的に移行を実施するために、Dell™ Migration Manager for Active Directory は、ドメイ ンの再設定を反映する自動リソース処理機能を提供する一連のツールを使用します。これらのツールの説明を以 下の表に示します。 リソース更新 タスク 説明 使用するツール 参照 分散リソース の更新 クラスタやサーバーに常駐している ものも含めて、分散リソース、サー ビスアカウント、ユーザープロファ イルなどの ACL を更新します。 Resource Updating Manager 「リソース更新の委任」を 参照してください。 Active Directory の 更新 選択したドメインの Active Directory オブジェクトのセキュリ ティ記述子を更新します。 Active Directory Processing Wizard 「Active Directory Processing」を参照してく ださい。 Exchange サーバーの更 新 Exchange 2000~2013 サーバー上の アクセス許可セットの更新 Exchange Processing Wizard 「Exchange サーバーの処 理」を参照してください。 Systems Management Server の更 新 Systems Management Server および System Center Configuration Manager 上のアクセス許可の更新 SMS Processing Wizard 「SMS Processing」を参照 してください。 SQL Server の更新 SQL Server のアクセス許可を更新し ます。 SQL Processing Wizard 「SQL Server の処理」を 参照してください。 SharePoint アクセス許可 の更新 移行後に SharePoint アクセス許可 を割り当て直します。 SharePoint Permissions Processing Wizard 「SharePoint の処理」を 参照してください。 Migration Manager for Active Directory 8.11 リソース処理ガイド 6 分散リソースの更新 分散リソースの更新は、もっとも時間がかかるため、入念にプランニングを行う必要があります。この作業 は、Resource Updating Manager コンソールから行います。 一般的な Resource Updating Manager による作業を以下に示します。 1. 処理対象のコンピュータを識別し、それらのコンピュータ上にリソース処理エージェントをインストール します。 2. スケジュール目的で、コンピュータをコレクションに編成します。 3. コレクションの処理とそれ以降の移動操作をスケジュールします。 4. コンピュータをターゲットドメインに移動後、それらにインストールされているリソース処理エージェン トをデコミットします。 Resource Updating Manager の使用方法の詳細は、「Resource Updating Manager による分散更新」を参照 してください。 Resource Updating Manager は、Migration Manager コンソールコンピュータ上から集中的に使用することがで きます。パッケージ化して、スタンドアロンの Resource Updating Manager コンソールを使用することも可能 です。この方法を利用すれば、他の管理者にタスクを委任することができます。詳細は、「リソース更新の委 任」を参照してください。 運用サーバーの更新 Resource Updating Manager が関与しない運用サーバー関連タスクは、2 種類の方法で実行することができま す。 l l Migration Manager コンソールから集中的に実行する。この場合、目的のタイプのリソース処理タスクを 作成して開始する必要があります。「リソース更新の概要」に記載されている表を参照してください。タ スクを作成するには、Migration Manager で [Processing] | [Tasks] に移動して、右パネルの適切なボ タンをクリックします。詳細は、「リソース更新の概要」に記載されている表を参照してください。 他の担当者にリソース処理タスクを委任してローカルに実行する。たとえば、ローカルリソースの管理作 業を担当しており、リソースを更新するための適切なアクセス許可を持っているサイト管理者に委任しま す。リソース処理タスクを委任するには、2 種類の方法があります。 a. リソース処理タスクのセットアップパッケージを作成して、それをリソースの更新担当者に送信 します。担当者はパッケージをインストールして、タスクを実行します。 b. リソース処理設定を内蔵したエクスポート INI ファイルを作成します。リソース処理は後ほどリ ソース更新ツール (「リソース更新の概要」に記載されている表を参照) からスタンドアロン モードで、またはコマンドラインから INI ファイルを指定して実行されます。詳細は、「リソー ス更新の委任」を参照してください。 詳細は、関連する項目を参照してください。 l 明示的に処理するオブジェクトの選択 l リソース更新の委任 l リソース更新の検討事項 l Active Directory Processing l Exchange サーバーの処理 Migration Manager for Active Directory 8.11 リソース処理ガイド 7 l SMS Processing l SQL Server の処理 l クラスタサーバーの移行 l コマンドラインによるリソースの更新 l SharePoint の処理 Migration Manager for Active Directory 8.11 リソース処理ガイド 8 Resource Updating Manager による分散 更新 リソースの更新作業は、移行時にもっとも困難で手間のかかる作業の 1 つです。一般的にディレクトリデータ は集中管理されていますが、リソース (サーバーおよびエンドユーザーワークステーション) はさまざまなドメ イン、サイト、建物、オフィス、および国にまたがって存在していることがあります。Resource Updating Manager は、ネットワーク内の各種リソースを自動更新するための主要ツールです。 ディレクトリ移行の実行後は、ソースドメインのユーザーが保有していたアクセス許可を、ターゲットドメイン 内の対応する新しいユーザーにも与えるために、Resource Updating Manager を使ってリソースを更新します。 Resource Updating Manager によって、以下のタスクを自動化し、リソースの更新作業を簡単に行うことがで きます。 l 選択したすべてのコンピュータの並行処理 l アクセス許可、所有者情報の更新、およびレジストリ、共有、フォルダ、およびプリンタの監査 l ローカルグループメンバーシップの更新 l ユーザーの権限およびアクセス許可の更新 l ローカルユーザーのプロファイルの更新 l 移動ユーザーのプロファイルの更新 l サービスおよびスケジュールされたタスクの更新 l Internet Information Services (IIS) のアクセス許可の更新 l DCOM および COM+ オブジェクトのアクセス許可の更新 l 前の状態に復元 (Undo およびクリーンアップ) l l コンピュータアカウントのターゲットドメインへの移動 (再起動不要)、および前回ログインしたドメイ ンのターゲットドメインへの変更 コンピュータのターゲットドメインへの移動時に、公開されたリソースを処理 実際の処理は Resource Updating Manager エージェントが行います。このエージェントは処理対象のコン ピュータ上に展開され、Resource Updating Manager コンソールから管理されます。大規模な、地理的に分散し たネットワーク環境に対応するために、グループポリシーや SMS を使ってエージェントを分散することができ ます。Resource Updating Manager の主な機能の 1 つとして、リソース移行時の並行処理が挙げられます。実 際のリソース処理は、移行先コンピュータ上でローカルに行われます。選択されたすべてのコンピュータが同時 に更新されるため、1000 台のリソースサーバーを更新する場合でも、10 台のサーバーを更新する場合とかかる 時間に変わりはありません。 メモ: [COM+] ノード下にあるレガシコンポーネントは、リソース処理を開始する前に [DCOM] オプショ ンを選択した場合にのみ、Resource Updating Manager によって処理されます。 Resource Updating Manager を開始するには、Migration Manager コンソール管理ツリーで [Resource Processing] ノードを開いて、[Tasks] をクリックします。Migration Manager コンソールの右パネルで、 Migration Manager for Active Directory 8.11 リソース処理ガイド 9 [Resource Updating Manager] をクリックします。代わりに、[スタート] メニューからアプリケーションを直 接実行することもできます。 事前設定された Resource Updating Manager の使用 高度な分散環境下において地理的に分散している移行後のリソース処理担当管理者には、他の移行ツールから切 り離された専用のリソース更新コンソールがあると便利です。そのような目的から、Resource Updating Manager 自体をセットアップファイルにパッケージ化して、それを必要とする管理者に送ることができます。結 果として作成されるセットアップファイルには、ADAM/AD LDS データベースの接続設定などの、進行中の移行プ ロジェクトに関連するすべての設定が自動的に含まれます。 専用の事前設定された Resource Updating Manager セットアップファイルを作成するには、[Tools] | [Create Resource Updating Manager setup] を選択します。 次に、事前設定されたコンソールを使用させるユーザー (複数可) に対して、リソース更新権限を与えます。そ のためには、[Resource Updating] ノードを右クリックして [Delegate] を選択します。権限を与えるアカウン トの指定を要求するメッセージが表示されます。この方法で権限を与えない限り、ユーザーがコンソールを使用 することはできません。 リソースを更新する前に ネットワーク内のリソースの処理を開始する前に、以下の作業を完了しておく必要があります。 l コンピュータに対する管理者権限の取得 l エージェント使用の判断 l Resource Updating Manager エージェントのプリインストール コンピュータに対する管理者権限の取得 リソースを正常に更新するためには、処理対象コンピュータに対する管理者権限が必要です。 Resource Updating Manager は、リソース更新タスクの実行時に 2 種類のサービスアカウントを使用します。 これらのアカウントを以下に示します。 l Migration Manager RUM Controller service アカウント。このアカウントは以下の作業に用いられ ます。 l l l コンソールコンピュータ上で Migration Manager RUM Controller Service を実行する Resource Updating Agent のインストール/アンインストールのためにコンピュータにアクセスす る (ドメインのアカウントが明示的に指定されていない場合) Migration Manager RUM Agent service アカウントは、処理対象のコンピュータ上で Migration Manager RUM Agent サービスを実行するために用いられます。 注意: Migration Manager RUM Agent は、Resource Updating Manager コンソールまたは Migration Manager RUM Controller サービスの複数のインスタンスと連携することはできません。 Migration Manager for Active Directory 8.11 リソース処理ガイド 10 Migration Manager RUM Controller サービスアカウント デフォルトでは、Migration Manager RUM Controller サービスは補助アカウントを使用します。Migration Manager RUM Controller サービスアカウントを変更するには、Resource Updating Manager コンソールメ ニューの [Tools] | [Manage Controller Credentials] オプションを使用します。 Migration Manager RUM Controller サービスアカウントには、以下のアクセス許可が必要です。 l l Resource Updating Manager が動作するコンピュータ上のローカル Administrators グループのメン バー。 ADAM/AD LDS データベースに対する Full Admin アクセス権。Migration Manager RUM Controller サー ビスアカウントにこれらの権限を割り当てるには、Migration Manager コーソール管理ツリーの移行プロ ジェクトノードを右クリックして、表示されるメニューから [Delegate] を選択します。 メモ: デフォルトでは、コンピュータがメンバーとなっているドメインの Domain Admins グループは、 そのコンピュータのローカル Administrators グループのメンバーとなっています。使用しているアカウ ントがソースの Domain Admins グループのメンバーの場合、管理権限でアクセスすることができます。 Migration Manager RUM Agent サービスアカウント Resource Updating Manager コンソールを使ってインストールされた Migration Manager RUM Agent に対し て、サービスアカウントを指定するには、コンソールメニューの [Tools] | [Manage Domains Credentials] オ プションを使用します。 Migration Manager RUM Agent サービスアカウントは、Migration Manager RUM Agent が動作するコンピュータ 上の、ローカル Administrators グループのメンバーでなければなりません。 注意: Migration Manager RUM Agent サービスアカウントが指定されていない場合は、ローカルシステム (Local System) アカウント (デフォルト) が使用されます。 エージェント使用の判断 ほとんどの場合、リソースは処理対象のコンピュータ上にローカルにインストールされた Resource Updating Manager エージェントにより更新されます。ただし、正常にリソースを更新するために、エージェントが必ずし も必要な訳ではありません。ネットワーク環境が条件を満たしている場合、Resource Updating Manager はエー ジェントを利用せずに、必要な操作をリモート実行することができます。 2 種類の処理モードの違いを以下の表に示します。 比較基準 エージェントを使用 エージェントを不使用 ファイアウォール経由のリソース更新およびコ ンピュータの移動 はい いいえ ネットワークトラフィック 低い 多数のコンピュータを同時に処理 する場合は高い ローカルコンピュータ上に追加ソフトウェアを 展開する必要がある はい (エージェント) いいえ NAS リソースを処理できる いいえ はい たまにしかオンラインにならないコンピュータ (例: ラップトップ) に対して推奨 はい、エージェントの 展開にグループポリ シーやその他類似の手 段を使用 いいえ Migration Manager for Active Directory 8.11 リソース処理ガイド 11 以下の状況下では、エージェントは自動的にインストールされます。 l l コンピュータ Discovery タスクの一環として (詳細は「コンピュータの Discovery」 を参照) [Perform the task remotely (without agents)] オプションを無効にしたタスクが、エージェントのな いコンピュータ上で動作を開始した場合 その他の Resource Updating Manager エージェントのインストール方法については、次のセクションを参照 してください。 Resource Updating Manager エージェントのプリイン ストール 一般的に Resource Updating Manager エージェントは、Resource Updating Manager コンソールから直接処理 対象コンピュータ上にインストールされます。多数のコンピュータが対象になっている場合、この作業はネット ワーク上のトラフィックを増大させてしまい、リソースの処理速度を低下させてしまう可能性があります。ま た、ファイアウォールが有効になっている場合も、Resource Updating Manager コンソールからコンピュータに Resource Updating Manager エージェントをインストールすることはできません。このような問題を回避するた めに、グループポリシー、SMS サーバー、類似のツール、または手作業で、処理対象のコンピュータ上に Resource Updating Manager エージェントを展開することができます。 メモ: グループポリシーを使って Resource Updating Manager エージェントを展開する場合は、エー ジェントセットアップを保管する共有フォルダに対する フルコントロールアクセス許可があることを確 認してください。 ご利用の設定が NetBIOS プロトコルをサポートしていない場合は、以下のレジストリキーを使ってワークス テーションを処理します。 l l エージェントセットアップを介して配布される RUM エージェントの場合: HKEY_LOCAL_ MACHINE\SOFTWARE\Aelita\Migration Tools\CurrentVersion\Resource Updating Manager (存在しない場 合はこのレジストリキーを作成してください) Resource Updating Manager レジストリキーに RemoteController パラメータを作成し、パラメータの値 を次のいずれかの形式で追加します: 完全修飾ドメイン名 (FQDN)、ドメインコントローラの NetBIOS 名 を持つ IP アドレスまたは NetBIOS 名。 Resource Updating Manager コンソールを使って配布された RUM エージェントの場合: HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\services\QsRUMController\Config Config レジストリキー内に RemoteController パラメータを作成して、パラメータ値を FQDN、IP アド レス、またはドメインコントローラの NetBIOS 名を持つ NetBIOS 名のいずれかの形式で指定します。 エージェントセットアップを作成するには 1. コンピュータに対して管理者権限を持つアカウントで、コンソールにログオンします。詳細は、「コン ピュータに対する管理者権限の取得」を参照してください。 2. Resource Updating Manager コンソールのツールバーから、[Tools] | [Create Agent Setup] をクリックします。 3. Migration Manager RUM Agent service アカウントの資格情報およびセットアップファイルを保存する フォルダへのパスを指定します。 エージェントセットアップを使って Resource Updating Manager エージェントをコンピュータに正常に展開す ると、それらのコンピュータが Resource Updating Manager コンソールの右パネルに表示されます。それらの コンピュータがグループに追加されていない場合 (Active Directory またはネットワークから)、コンピュータ は [Unconfigured] カテゴリに分類されます。 Migration Manager for Active Directory 8.11 リソース処理ガイド 12 Aelita Domain Migration Wizard または Aelita Enterprise Migration Manager 5.x/6.x エー ジェントを使用した場合 一部のコンピュータ上でリソースの更新に Aelita Domain Migration Wizard または Aelita Enterprise Migration Manager 5.x/6.x エージェントを使用しており、それを削除しなかった場合、Resource Updating Manager エージェントによりそれらが上書きされることはありません。まず古いエージェントを削除してから (Domain Migration Wizard または Enterprise Migration Manager 5.x/6.x を使用)、Resource Updating Manager エージェントをインストールしてください。Domain Migration Wizard 5.x/6.x は Enterprise Migration Manager エージェントも使用できます。 処理スコープの指定 リソースの処理を開始する前に、処理スコープ (範囲) を決定する必要があります。子レンションを作成して、 処理対象のコンピュータを指定する必要があります。コレクションにはコンピュータが含まれており、それらの 処理設定が定義されています。 デフォルトでは、現在のコンピュータ上の Resource Updating Manager コンソールで作成されたコレクション に対してのみ作業を行えます。他のインスタンスが作成したコレクションにアクセスするには、メインメニュー の [View] | [Show only collections created from this computer] オプションを無効にしてください。 コレクションの作成 コレクションを作成するには、Resource Updating Manager コンソールの左パネルで [Collections] ノードを 右クリックして、[Create Collection] を選択します。コレクション名、および必要に応じて説明を入力して、 次に [Included Computers] ダイアログボックスに使用するコンピュータを追加します。作成されたコレクショ ンノードは、コンソール管理ツリーの [Collections] ノード下に表示されます。 コレクションへのコンピュータの追加 コレクションにコンピュータを追加するには、コレクションノードを右クリックして、[Add Computers] サブメ ニューのオプションを使用します。 Active Directory からコンピュータを追加するには 1. コレクションノードを右クリックして、[Add Computers] | [From Active Directory] を選択します。 2. [Add Computers from Active Directory] ダイアログボックスで、[Browse] をクリックします。 3. [Select Location] ダイアログボックスに、展開されたツリーが表示されます。処理対象コンピュータが 存在しているコンテナを選択して、[OK] をクリックします。[Computers] リストに、選択したコンテナ 内に存在しているコンピュータの一覧が表示されます。 4. 処理スコープに追加するコンピュータ名の隣にあるチェックボックスを選択します。すべてを選択する場 合は、[Select All] をクリックします。 5. [OK] をクリックして、ダイアログボックスを閉じます。 ネットワークからコンピュータを追加するには 1. コレクションノードを右クリックして、[Add Computers] | [From Computer Browser] を選択します。 2. [Add Computers from Computer Browser] ダイアログボックスの [Domain] ドロップダウンリスト から、ドメインを選択します。[Computers] リストに、指定したドメイン内に存在しているコンピュー タの一覧が表示されます。 Migration Manager for Active Directory 8.11 リソース処理ガイド 13 3. 処理スコープに追加するコンピュータ名の隣にあるチェックボックスを選択します。すべてを選択する場 合は、[Select All] をクリックします。 4. [OK] をクリックして、ダイアログボックスを閉じます。 ファイルからコンピュータを追加するには 1. コレクションノードを右クリックして、[Add Computers] | [From Text File] を選択します。事前 に準備したインポートファイルに記載されているコンピュータを追加するように指示するメッセージが表 示されます。 2. ファイル選択ダイアログボックスで、適切なインポートファイルを選択して、[Open] をクリックしま す。 インポートファイルは、2 つのタブで区切られた列を持つテキストファイルです。各行には、処理対象コン ピュータを以下のいずれかの形式で指定する必要があります。 l NetBIOS 名、およびオプションで 2 番目の列にドメイン NetBIOS 名 l FQDN l IP アドレス ファイル内には、* に続けてコメントを指定することができます。 例: *This is a comment \\ComputerName1 NetBIOSDomainName \\ComputerName2 ComputerName3 NetBIOSDomainName ComputerName4 computername5.domainname.corp 12.34.56.78 メモ: Migration Manager バージョン 8.3 以前の Resource Updating Manager コンソールからエクス ポートされたインポートファイルもサポートされています。 特定のコンピュータを追加するには 1. コレクションノードを右クリックして、[Add Computers] | [Single Computer] オプションを選択し ます。 2. 追加するコンピュータ名およびそのコンピュータがメンバーとなっているドメインを指定します。 既存の移行プロジェクトからコンピュータを追加するには 1. コレクションノードを右クリックして、[Add Computers] | [From Migration Project] を選択します。 移行プロジェクトに含まれているコンピュータを指定するように要求するメッセージが表示されます。 2. [Add Computers from Project] ダイアログボックスで、必要な移行スコープの隣にあるチェック ボックスを選択します。 3. [OK] をクリックすると、選択したスコープ内のすべてのコンピュータがロードされます。 コレクションに追加したコンピュータは、Resource Updating Manager コンソールの右パネルに表示されます。 Migration Manager for Active Directory 8.11 リソース処理ガイド 14 優先マスターブラウザの指定 コンピュータブラウザサーバー上で、ネットワーク内のドメインに関する情報が不完全な場合、Resource Updating Manager は [Add Computers from Network] および [Add Computers from File] 操作を実行できませ ん (インポートファイル内ですべてのコンピュータに対してドメイン名が指定されている場合を除く)。 後ほどネットワーク内のドメインを列挙するために使用する優先マスターブラウザまたはそれが存在しているド メインを設定することができます。 以下の手順に従ってください。 1. レジストリエディタを起動して、HKEY_LOCAL_MACHINE\SOFTWARE\Aelita\Migration Tools\CurrentVersion\Resource Updating Manager レジストリキーに移動します (64 ビット版 Microsoft Windows が動作しているコンピュータの場合は HKEY_LOCAL_ MACHINE\SOFTWARE\Wow6432Node\Aelita\Migration Tools\CurrentVersion\Resource Updating Manager レジストリキー)。レジストリにこのキーが存在していない場合は、キーを作成してください。 2. キー内に新しい PreferredMasterBrowser 文字列値を作成します。優先マスターブラウザの NetBIOS 名 または優先マスターブラウザが存在しているドメインの NetBIOS 名を以下のように指定します。 DomainName または \\PreferredMasterBrowserName メモ: ドメイン名を指定する場合、その前に 2 つの円記号は追加しないでください。ただし、優先マス ターブラウザ名の前には 2 つの円記号 (\\) を指定する必要があります。レジストリの編集後は毎 回、Resource Updating Manager コンソールを再起動する必要があります。 コレクションからのコンピュータの削除 コレクションからコンピュータを削除するには、Resource Updating Manager コンソールの右パネルにあるコン ピュータを右クリックして、[Remove] を選択します。 コンピュータの Discovery コンピュータリソースの処理を開始する前に、Resource Updating Manager は処理スコープに含まれているコン ピュータを検出して、以下のような各種統計情報を収集します。 l インストールされているオペレーティングシステム l オペレーティングシステムのアーキテクチャ また、Resource Updating Manager は、コンピュータステータスとタスク結果に関する情報も提供しています。 コンピュータ情報を表示するには、コンピュータを右クリックして [View History] を選択します。以下の情 報が表示されます。 l 実行されたタスクのリスト l タスクの実施日時 l コンピュータのステータス l エラーの説明 (ある場合) l Resource Updating Manager エージェントステータス l 最後の処理日時 Migration Manager for Active Directory 8.11 リソース処理ガイド 15 特定のタスクに関する情報を表示するには、Resource Updating Manager コンソールの右パネルにある [Task] タブに移動して、タスクを右クリックして [View Results] を選択します。 Resource Updating Manager エージェントは、検出プロセスの一環としてコンピュータ上にインストールされる ことに注意してください。 特定のコンピュータまたはコレクションの検出 特定のコンピュータまたはコレクションの検出を開始するには、それを右クリックして [Create Task] | [Discovery] を選択します。 [Task Schedule] ダイアログボックスでは、タスクの開始時期を指定することができます。タスクを即開始す る場合は、[Start now] オプションを選択します。処理開始日時を指定する場合は、[Start task at] オプ ションを選択します。同じステップで、タスク開始時にアクセスできないコンピュータがある場合に備えて、タ スク操作の一時停止タイムアウト値を指定することができます (一部のコンピュータがオフになっている、ファ イアウォールで保護されている、またはグループポリシー、SMS サーバー、または手動で展開されている場合が あります)。 メモ: ネットワークトラフィックを減らすために、オフピーク時にリソースを検出、処理することをお勧 めします。 コンピュータのソート このステップは必須ではありませんが、リソースの処理を開始する前に、コンピュータ Discovery 中に収集さ れた統計情報に基づいて、コレクションを修正することができます。 必要に応じて、「処理スコープの指定」の説明に従って新しいコレクションを作成し、ドラッグアンドドロップ でコンピュータを再編成します。 リソースの処理 選択したユーザーおよびグループの Active Directory データを移行したら、新しいユーザーとグループが、対 応するソースドメインのユーザーとグループと同じアクセス許可を保有するように、Resource Updating Manager 内のリソースを更新する必要があります。 メモ: リソースを正常に更新するためには、処理対象コンピュータに対する管理者権限が必要です。詳細 は、「コンピュータに対する管理者権限の取得」を参照してください。 Resource Updating Manager で、一般的な更新作業には以下のステップが含まれています。 1. セキュリティ設定の処理。 2. ターゲットドメインへのコンピュータの移動。 3. 古いセキュリティ設定の削除。 これらの作業を行うためには、コンピュータコレクションにタスクを適用します。タスクは、スケジュールする ことも、それぞれを順次キューに格納することもできます。コレクションに対して一連のタスクを連続実行する 場合は、それらのタスクを実行順に作成し、各タスクのスケジュールとして [Start now] オプションを使用 します。代わりに、これらのタスクをそれぞれ非常に短い間隔で、正しい順序で実行するようにスケジュールす ることもできます。この場合、コレクション内の各コンピュータに対して、タスクが個別にキューに格納されま す。 Migration Manager for Active Directory 8.11 リソース処理ガイド 16 注意: Resource Updating Manager の各インスタンスには、個別のタスクキューが存在していま す。Resource Updating Manager コンソールには、他のコンソールインスタンスで作成されたタスクが表 示されていますが、その後に他のタスクをキューに追加することはできません。 キューに格納されたタスクは、前のタスクが終了するまで待機することに注意してください。ただし、いずれか のタスクが失敗すると、それ以降のキューに格納されているタスクはキャンセルされてしまいます。 処理の開始 Resource Updating Manager 内のリソースを処理するには、以下の手順に従ってください。 1. Resource Updating Manager コンソールの管理ツリーから、処理するコレクションに対応するノードを 右クリックします。 2. 表示されるメニューから、[Create Task] | [Processing] を選択します。Create Processing Task Wizard が開始されます。 3. [Task Action] ステップでは、実行するアクションを選択します。 4. [Handling Rights and Resources] ステップでは、処理する権限とリソースの種類を選択します。 5. [Advanced Options] ステップでは、[Perform the task remotely (without agents)] オプション を使って、このタスクで Resource Updating Manager エージェントを使用するかどうかを指定するこ とができます。このオプションを選択すると、それらがインストールされているコンピュータ上ではエー ジェントは使用されません。代わりに、Resource Updating Manager のインスタンスがインストールさ れているコンピュータから直接タスクが実行されます。オプションの選択を解除すると、エージェントが 使用されます。インストールされていないコンピュータ上に、エージェントがインストールされます。 エージェントを使用する場合、タスクの実行前後にカスタムスクリプトをローカルに実行することもでき ます。 同じステップで、[Show processing progress for individual computers] オプションを使用する と、各コンピュータエントリの隣に基本的なタスク進捗状況を表示することができます。このオプション を有効にすると、ネットワークトラフィックが増加します。そのため、大量のコンピュータがある場合は お勧めできません。 6. 次のステップでは、タスクの開始時期を指定できます。タスクを即開始する場合は、[Start now] オプ ションを選択します。処理開始日時を指定する場合は、[Start at] オプションを選択します。 メモ: エージェントを使用しない場合 ([Advanced Options] ステップで [Perform the task remotely (without agents)] オプションを選択)、同じステップでタスク開始時に一部のコン ピュータが利用できない場合 (コンピュータがオフになっている、ファイアウォールで保護され ている、またはグループポリシー、SMS、手動でエージェントが展開された場合など) の、タスク 処理の一時停止タイムアウト値を指定できます。設定した時間内にタスクを開始できなかった場 合、アクセスできなかったコンピュータに対しては、このタスクおよびキューに格納されている それ以降のタスクがすべてキャンセルされます。 7. [Task Description] ステップでは、必要に応じてタスクの説明を設定できます。 8. [Finish ] をクリックすると、処理が開始されます。 タスクが開始されていない場合は、そのタスクのスケジュールや他の設定を確認、編集することができます。編 集するには、タスクを右クリックして、[Edit Properties] を選択します。また、スケジュールに関係なく、任 意のタスクを即実行することができます (「タスクを即実行する」を参照)。 詳細は、「処理の設定」を参照してください。 Resource Updating Manager の開始時に移行された、セキュリティプリンシパルの更新が実行されます。 Migration Manager for Active Directory 8.11 リソース処理ガイド 17 リソースを更新するオブジェクトを手動で定義することもできます。セキュリティプリンシパルのカスタム選択 を定義するには、コンソール管理ツリーのコレクションノードを右クリックして、[Select Custom Map] をク リックします。 リソース更新中に Resource Updating Manager を安全に終了することができます (タスクはリモートコン ピュータ上で実行されているため)。すべてのエージェントが指定されたタスクの実行を完了すると、処理対象 コンピュータからログが収集されます。 処理の設定 Create Processing Task Wizard を使って、以下の項目を設定することができます。 Task Action [Task Action] ステップでは、実行するアクションを選択します。 l Reassign local group membership, user rights, and object permissions to target users ドメイン再設定に従うようにリソースを更新します。 メモ: [Leave source accounts' permissions] チェックボックスにより、現在のソースアカウン ト SID を持つエントリを置換する代わりに、新しく作成されたユーザーとグループをターゲット ドメインからオブジェクトの DACL および SACL に追加することができます。 l l Clean up legacy local group membership, user rights, and permissions of migrated users 移行後に、オリジナルソースアカウントへの参照を削除します。「リソースのクリーンアップ」を参照し てください。 Revert to the original local group membership, user rights, and object permissions 更新を Undo する場合にこのオプションを選択します。 メモ: 2 つのソースユーザーを単一のターゲットユーザーに結合した場合、あるオブジェクトに 対するアクセス許可をどちらかのソースユーザーしか保有していなかったとします。この場合、 リソースの更新とアクセス許可の復元後は、両方のユーザーがそれらのオブジェクトに対する共 通のアクセス許可を保有することになります。 Handling Rights and Resources [Handling Rights and Resources] ステップでは、どのアカウントを更新するのかを選択します。 l l l Local Group Membership 対応するソースアカウントを含むローカルグループにターゲットアカウントを追加します。[Leave source accounts' permissions] チェックボックスを選択しない場合は、グループからソースアカウン トが削除されます。 User Rights ターゲットアカウントに、対応するソースアカウントに属するユーザー権限を与えます。[Leave source accounts' permissions] チェックボックスを選択しない場合は、ソースアカウントが保有している権 限は無効になります。 Service Accounts [Service Accounts] チェックボックスにより、移行による影響を受けたサービスアカウントおよび アクセス許可を更新することができます。たとえば、サービスが SOURCE\User1 として動作している場 合に、User1 をターゲットドメインに移動すると、サービスアカウントの資格情報は TARGET\User1 の ように変更されます。 Migration Manager for Active Directory 8.11 リソース処理ガイド 18 メモ: l l l サービスアカウントは、[Leave source accounts' permissions] オプションの選択に関係なく置 換されます。 処理サービスがソースアカウントで動作している時に、ユーザーが対応する新しいターゲットア カウントでログインした場合、重複したプロファイルが作成されることがあります。 Scheduled Tasks [Scheduled Tasks] チェックボックスにより、移行による影響を受けた、スケジュールされたタスクアカ ウントおよびアクセス許可を更新することができます。たとえば、タスクが SOURCE\User1 として動作し ている場合に、User1 をターゲットドメインに移動すると、タスクアカウントの資格情報は TARGET\User1 のように変更されます。 メモ: l l l サービスアカウントは、[Leave source accounts' permissions] オプションの選択に関係なく置 換されます。 スケジュールされたタスクを正常に更新するためには、ソースドメインとターゲットドメイン間 に信頼が存在し、アカウントはスケジュールされたタスクファイルに対する読み取りおよび書き 込みアクセス許可を保有している必要があります。 スケジュールされたタスクがソースアカウントで実行されている時に、ユーザーが対応する新し いターゲットアカウントでログインした場合、重複したプロファイルが作成されることがありま す。 次に、そのアクセス許可をターゲットユーザーに割り当てるオブジェクトの隣にあるチェックボックスを選択し ます。以下のオブジェクトのアクセス許可を更新することができます。 l レジストリ l ローカルプロファイル l 移動プロファイル l 共有 l プリンタ l ファイルシステム l IIS l DCOM l COM+ l ファイル所有権 [IIS] チェックボックスを選択すると、選択されたコンピュータ上にインターネットインフォメーションサービ ス (IIS) がインストールされている場合、それのアクセス許可が更新されます。デフォルトでは、以下の IIS プロパティが処理されます。 l Microsoft Windows 随意アクセス制御リスト (DACL) (AdminACL プロパティ) l 匿名ユーザーに対して使用される登録されているローカルユーザー名 (AnonymousUserName プロパティ) メモ: その他の IIS プロパティを処理するには、Vmover ユーティリティを手動モードで使用する必要が あります。まず、設定ファイル Vmover.ini を用意します。必要なプロパティは、このファイルの [IIS Identifiers] セクションに、以下のように指定する必要があります。 [IIS Identifiers] Migration Manager for Active Directory 8.11 リソース処理ガイド 19 UNCUserName=yes;1 文字列の最後にある数字は、プロパティのタイプを表しています。 l 0—セキュリティ記述子 l 1—ユーザー名 l 2—ドメイン名 プロパティタイプが指定されていない場合、処理中にそのプロパティはスキップされます。 次に、処理対象 IIS サーバー上で、編集した設定フアイルを使って以下のように Vmover をリモート実 行します。 l Vmover.exe /c /system=<IIS サーバー名> /ini=<更新した INI ファイル> 注意: プリンタの処理後、それらの一部がレジストリを介して処理されている場合は (ログファイルで確 認可)、スプーラーを再起動する必要があります。 Advanced Options [Advanced Options] ステップでは、タスクに関する追加オプションを設定できます。 l リモートリソースのみを処理する場合は、[Process resources remotely (without agents)] チェック ボックスを選択します。 メモ: この場合、共有などの一部のタイプのオブジェクトのみが処理されます。NAS 処理には、 このオプションを使用する必要があります。 l 処理前または処理後に、処理対象マシン上で任意のスクリプトを実行するかどうかを指定できます。 [Browse] をクリックして、スクリプトファイルを指定します (*.vbs、*.js、*.bat、*.cmd、および *.ps1 ファイルがサポートされています)。 メモ: Resource Updating Manager エージェントは 32 ビットアプリケーションです。そのた め、Resource Updating Manager エージェントが 64 ビット版のオペレーティングシステムが動 作する処理対象コンピュータ上でスクリプトを実行する場合、すべてのスクリプトは 32 ビット モードで起動されます。 他のドメインへのコンピュータの移動 ユーザーとコレクションの移行が完了したら、ソースコンピュータを他のターゲットドメインに移動することが できます。このような場合に実施する作業については、関連するトピックで説明しています。 l コンピュータの移動の開始 l ドメインへのコンピュータの移動設定 l 他のドメインへの Exchange サーバーの移動 l 他のドメインへのクラスタサーバーの移動 コンピュータの移動の開始 Resource Updating Manager で、コンピュータを他のドメインに移動するには、以下の手順に従ってください。 Migration Manager for Active Directory 8.11 リソース処理ガイド 20 1. Resource Updating Manager コンソールの管理ツリーから、移動するコンピュータを右クリックします。 2. 表示されるメニューから、[Create Task] | [Move] を選択します。 3. [Move Options] ステップでは、コンピュータの移動先と移動方法を指定します。詳細は、「ドメインへ のコンピュータの移動設定」を参照してください。 4. [Grant Local Administrator Privileges] ステップでは、移動するコンピュータのローカル Administrators グループに追加するアカウントを選択します。 5. 次のステップでは、移動操作を完了するための、コンピュータの再起動時期を指定します。詳細は、「ド メインへのコンピュータの移動設定」を参照してください。 6. [Advanced Options] ステップでは、[Perform the task remotely (without agents)] オプション を使って、このタスクで Resource Updating Manager エージェントを使用するかどうかを指定するこ とができます。このオプションを選択すると、それらがインストールされているコンピュータ上ではエー ジェントは使用されません。代わりに、Resource Updating Manager のインスタンスがインストールさ れているコンピュータから直接タスクが実行されます。オプションの選択を解除すると、エージェントが 使用されます。インストールされていないコンピュータ上に、エージェントがインストールされます。 エージェントを使用する場合、タスクの実行前後にカスタムスクリプトをローカルに実行することもでき ます。 7. 次のステップでは、タスクの開始時期を指定できます。タスクを即開始する場合は、[Start now] オプ ションを選択します。処理開始日時を指定する場合は、[Start at] オプションを選択します。 メモ: エージェントを使用しない場合 ([Advanced Options] ステップで [Perform the task remotely (without agents)] オプションを選択)、同じステップでタスク開始時に一部のコン ピュータが利用できない場合 (コンピュータがオフになっている、ファイアウォールで保護され ている、またはグループポリシー、SMS、手動でエージェントが展開された場合など) の、タスク 処理の一時停止タイムアウト値を指定できます。設定した時間内にタスクを開始できなかった場 合、アクセスできなかったコンピュータに対しては、このタスクおよびキューに格納されている それ以降のタスクがすべてキャンセルされます。 8. [Task Description] ステップでは、必要に応じてタスクの説明を設定できます。 9. [Finish ] をクリックすると、処理が開始されます。 タスクが開始されていない場合は、そのタスクのスケジュールや他の設定を確認、編集することができます。編 集するには、タスクを右クリックして、[Edit Properties] を選択します。また、スケジュールに関係なく、任 意のタスクを即実行することができます (「タスクを即実行する」を参照)。 Active Directory において、ターゲットドメインに移動するコンピュータの共有フォルダまたはプリンタが公 開されている場合は、Migration Manager を使って、共有フォルダまたはプリンタと一緒にコンピュータアカウ ントもターゲットドメインに移行する必要があります。これにより、ターゲットコンピュータアカウントを指す ようにコンピュータを移動した後に、ソースドメインおよびターゲットドメインに存在しているリソースを自動 更新することができます。 メモ: l l l コンピュータアカウント下にプリンタのみが存在している場合は、ターゲットドメインへのコン ピュータの移動前にそれを移行する必要はありません。この場合は、コンピュータアカウントが 自動的に再作成され、スプーラーが再起動され、新しいアカウントを指すプリンタが作成されま す。 コンピュータの移動中に [Cancel] をクリックした、またはサービスを停止した場合、その後の 処理は中止されます。このような場合、およびエラーにより処理が中止された場合、その時点ま でに移動されていないコンピュータはそのままの状態で残ります。 Resource Updating Manager は、ドメインコントローラ、クラスタサーバー、Windows 以外のコ Migration Manager for Active Directory 8.11 リソース処理ガイド 21 ンピュータ、および不明のコンピュータをドメイン間で移動することはできません。 l l Exchange サーバーの移動方法については、「他のドメインへの Exchange サーバーの移動」を参 照してください。 SMS サーバーの他のドメインへの移動方法については、Microsoft が提供する技術資料『Moving SMS Servers Between Domains』を参照してください。 ドメインへのコンピュータの移動設定 [Move Options] ページで、リストからターゲットドメインおよびターゲット組織単位 (オプション) を選択し ます。また、以下のオプションを利用することができます。 l l Change last logged-in domain to the target domain コンピュータの移動後はログオンウィンドウに表示される前回ログインしたドメインからターゲットドメ インに変更したい場合に、このチェックボックスを選択します。 Preserve computer account in source domain 問題があった場合にも有効なアカウントでログオンできるようにする場合は、このチェックボックスを選 択します。このオプションを使用すると、ソースアカウントが保持されます。ただし、このアカウントは 無効になっています。 メモ: Resource Updating エージェントがインストールされているコンピュータの移動に Resource Updating Manager コンソールを使用しない場合は、以下の事項を考慮してください。 l l Migration Manager RUM Agent サービスアカウントは、ソースドメインとターゲットドメインの 両方で、Migration Manager RUM Agent が動作するコンピュータ上の、ローカル Administrators グループのメンバーでなければなりません。 Migration Manager RUM Agent サービスアカウントには、ターゲットドメインに対して、サービ スとしてログオンする権限が必要です。 [Computer Restart Options] ページでは、以下の追加設定を指定することができます。 l l l 現在ログオンしているユーザーにメッセージを表示する。 メッセージの表示から実際の再起動までの待機時間 (ユーザーが各自の作業内容を保存するために利用 できる時間)。 再起動時に、保存されていないデータを持つアプリケーションを強制終了するかどうか。 コンピュータが別のドメインに参加した後に、それを再起動しないことを選択した場合は、ユーザーに各自でコ ンピュータを再起動するように通知する必要があります。 他のドメインへの Exchange サーバーの移動 ターゲットドメイン内に今まで Exchange サーバーがインストールされたことがない場合、サーバーを移動す る前に以下の作業を実行する必要があります。ターゲットドメインにすでに Exchange サーバーがインストー ルされている場合 (または今までにインストールされたことがある場合) は、これらのステップを無視してく ださい。 1. ターゲットドメインで DomainPrep を実行していない場合は実行します。Exchange Enterprise Server や Exchange Domain Server などを含めた、必要な Exchange 用グループが作成されます。 2. ADSIEdit を使って、Domain.com/Configuration/Services/Microsoft Exchange に移動しま す。Microsoft Exchange を右クリックして、ターゲットドメインの Exchange Domain Servers グループ Migration Manager for Active Directory 8.11 リソース処理ガイド 22 をこのコンテナに、読み取りアクセス許可を付けて追加します。このオブジェクトおよびすべての子オブ ジェクトに、このアクセス許可が適用されていることを確認してください。 3. 組織コンテナに移動して、ターゲットドメインの Exchange Domain Server グループを、すべての子オブ ジェクトの作成および Administer information store 権限を付けて追加します。これが、このオブ ジェクトおよびすべての子オブジェクトに適用されていることをもう一度確認してください。 メモ: 通常上記のアクセス許可は、ドメインへの最初の Exchange サーバーのインストール時に 追加されます。 4. Microsoft サポート技術情報の記事 297295 の説明に従ってください。 他のドメインへのクラスタサーバーの移動 すべてのノードがあるドメインのメンバーとなっているクラスタサーバーを他のドメインに移動するには、すべ てのノードを選択して、それらを同時に移動してください。数分後、すべてのノードと仮想サーバーが新しいド メインに表示されます。 メモ: l l 他のドメインへのクラスタサーバーの移動は、Windows Server 2008 移行ではサポートされてい ません。 常にすべてのクラスタノードを新しいドメインに同時に移動するようにしてください。単一の仮 想サーバーを新しいドメインには移動しないでください。 Resource Updating Manager は、NTFS アクセス許可、共有、ローカルグループ、権限、レジストリ、クラス タ共有、クラスタデータベース (レジストリ)、およびクラスタプリンタを処理できます。手順を以下に示しま す。 1. Resource Updating Manager で、すべてのノードを選択します。 2. 処理設定を行って、通常のコンピュータと同様にノードを処理します。クラスタ共有、クラスタデータ ベース、およびクラスタのプリンタを除くすべてのリソースが処理されます。 3. INI ファイルを作成して、必要なオプションを指定します。 4. 以下のように Vmover にコマンドラインオプションを指定して使用します。 Vmover.exe /c /system=<クラスタ名> /ini=<Vmover.ini path> これにより、クラスタ共有、クラスタデータベース、およびクラスタのプリンタが処理されます。 メモ: Vmover は、コンピュータがクラスタサーバーかまたは仮想クラスタサーバーかを確認できない場 合は、そのコンピュータを処理しません。コンピュータ名としてクラスタノードのエイリアスが指定され ている場合、Vmover はそれをクラスタとして認識できません。その他の場合は、クラスタは一意に認識 されます。 コンピュータの名前変更 デフォルトでは、コンピュータをソースからターゲットドメインに移行した場合、それらの名前は変更されませ ん。ただし、ターゲットドメインのコンピュータ名を変更することもできます。そうする場合は、以下の作業を 行ってください。 Migration Manager for Active Directory 8.11 リソース処理ガイド 23 1. Resource Updating Manager コンソールの管理ツリーから、名前変更タスクを実施するコレクションまた はカテゴリのノードを右クリックします。 2. ショートカットメニューから、[Create Task] | [Rename] を選択します。 3. [Old and New Names] ステップでは、古い/新しいコンピュータ名のペアを指定します。 4. [Computers Restart Options] ステップでは、名前変更タスクを完了するために、コンピュータを自動的 に再起動するかどうかを指定します。また、以下のオプションを指定することもできます。 l l l 現在ログオンしているユーザーにメッセージを表示する。 メッセージの表示から実際の再起動までの待機時間 (ユーザーが各自の作業内容を保存するため に利用できる時間)。 再起動時に、保存されていないデータを持つアプリケーションを強制終了するかどうか。 5. [Advanced Options] ステップでは、[Perform the task remotely (without agents)] オプション を使って、このタスクで Resource Updating Manager エージェントを使用するかどうかを指定するこ とができます。このオプションを選択すると、それらがインストールされているコンピュータ上ではエー ジェントは使用されません。代わりに、Resource Updating Manager のインスタンスがインストールさ れているコンピュータから直接タスクが実行されます。オプションの選択を解除すると、エージェントが 使用されます。インストールされていないコンピュータ上に、エージェントがインストールされます。 エージェントを使用する場合、タスクの実行前後にカスタムスクリプトをローカルに実行することもでき ます。 6. 次のステップでは、タスクの開始時期を指定できます。タスクを即開始する場合は、[Start now] オプ ションを選択します。処理開始日時を指定する場合は、[Start task at] オプションを選択します。 メモ: エージェントを使用しない場合 ([Advanced Options] ステップで [Perform the task remotely (without agents)] オプションを選択)、同じステップでタスク開始時に一部のコン ピュータが利用できない場合 (コンピュータがオフになっている、ファイアウォールで保護され ている、またはグループポリシー、SMS、手動でエージェントが展開された場合など) の、タスク 処理の一時停止タイムアウト値を指定できます。設定した時間内にタスクを開始できなかった場 合、アクセスできなかったコンピュータに対しては、このタスクおよびキューに格納されている それ以降のタスクがすべてキャンセルされます。 7. [Task Description] ステップでは、参考のためのタスクの説明を指定して、[Next] をクリックします。 8. [Finish] をクリックします。 タスクが開始されていない場合は、そのタスクのスケジュールや他の設定を確認、編集することができます。編 集するには、タスクを右クリックして、[Edit Properties] を選択します。また、スケジュールに関係なく、任 意のタスクを即実行することができます (「タスクを即実行する」を参照)。 タスクのスクリプト カスタムタスクを作成して、それを Create Scripting Task wizard を使って実行することができます。タスク を実行するには、以下の作業を行ってください。 1. Resource Updating Manager コンソールの管理ツリーから、カスタムタスクを実施するコレクションまた はカテゴリのノードを右クリックします。 2. ショートカットメニューから、[Create Task] | [Scripting] を選択します。 Migration Manager for Active Directory 8.11 リソース処理ガイド 24 3. [Task Scripting] ステップでは、選択したワークステーション上で実行するスクリプトを指定します。 [Browse] をクリックして、スクリプトファイルを指定します (*.vbs、*.js、*.bat、*.cmd、および *.ps1 ファイルがサポートされています)。 4. タスクの開始時期を指定します。タスクを即開始する場合は、[Start now] オプションを選択します。処 理開始日時を指定する場合は、[Start at] オプションを選択します。 5. [Task Description] ステップでは、参考のためのタスクの説明を指定して、[Next] をクリックします。 6. [Finish] をクリックします。 タスクが開始されていない場合は、そのタスクのスケジュールや他の設定を確認、編集することができます。編 集するには、タスクを右クリックして、[Edit Properties] を選択します。また、スケジュールに関係なく、任 意のタスクを即実行することができます (「タスクを即実行する」を参照)。 後処理操作 リソースの処理が正常に終了したら、ソースアカウントへの参照を削除して、ソースアカウントを無効にする か、または削除することができます。また、処理対象コンピュータから Resource Updating Manager エージェ ントを削除することもできます。 リソースのクリーンアップ ユーザーがターゲットドメイン上で新たなアカウントにログオンを開始し、リソースへのアクセスに関する問題 がないようならば、コレクション、ユーザー権限、およびオブジェクトセキュリティ記述子内の、オリジナルの ソースアカウントへの参照を削除することができます。以下の手順に従ってください。 1. Resource Updating Manager コンソールの管理ツリーから、処理するコレクションまたはカテゴリを 右クリックします。 2. 表示されるメニューから、[Create Task] | [Processing] を選択します。 3. [Task Action] ステップで、[Clean up legacy local group membership, user rights, and permissions of migrated users] オプションを選択します。 4. [Handling Rights and Resources] ダイアログボックスで、処理に必要な項目と設定を選択します。 メモ: この処理に、[Leave Source accounts' permissions] チェックボックスの設定内容は何も 影響しません。 5. [Task Schedule] ダイアログボックスでは、タスクの開始時期を指定することができます。タスクを即開 始する場合は、[Start now] オプションを選択します。処理開始日時を指定する場合は、[Start task at] オプションを選択します。同じステップで、タスク開始時にアクセスできないコンピュータがある場 合に備えて、タスク操作の一時停止タイムアウト値を指定することができます (一部のコンピュータがオ フになっている、ファイアウォールで保護されている、またはグループポリシー、SMS サーバー、または 手動で展開されている場合があります)。 6. [Task Description] ステップでは、必要に応じてタスクの説明を設定できます。 7. [Finish] をクリックします。 メモ: クリーンアップ後、ソースドメインのユーザーはアクセス権を失います。[Reassign local group membership, user rights, and object permissions to target users] オプションを選択して Resource Updating Manager を実行する前にクリーンアップを行った場合、これらのアクセス許可を元に戻すこと も、ターゲットユーザーにアクセス許可を再割り当てすることもできません。 Migration Manager for Active Directory 8.11 リソース処理ガイド 25 コンピュータのクリーンアップ 処理対象コンピュータから Resource Updating Manager エージェントを削除するには、以下の手順に従って ください。 1. Resource Updating Manager コンソールの管理ツリーから、クリーンアップするコレクションまたはカテ ゴリを右クリックします。 2. 表示されるメニューから、[Create Task] | [Cleanup] を選択します。 3. [Task Description] ステップでは、参考のためのタスクの説明を指定して、[Next] をクリックします。 4. [Task Schedule] ダイアログボックスでは、タスクの開始時期を指定することができます。タスクを即開 始する場合は、[Start now] オプションを選択します。処理開始日時を指定する場合は、[Start task at] オプションを選択します。同じステップで、タスク開始時にアクセスできないコンピュータがある場 合に備えて、タスク操作の一時停止タイムアウト値を指定することができます (一部のコンピュータがオ フになっている、ファイアウォールで保護されている、またはグループポリシー、SMS サーバー、または 手動で展開されている場合があります)。 5. [Finish] をクリックします。 タスクが開始されていない場合は、そのタスクのスケジュールや他の設定を確認、編集することができます。編 集するには、タスクを右クリックして、[Edit Properties] を選択します。また、スケジュールに関係なく、任 意のタスクを即実行することができます (「タスクを即実行する」を参照)。 タスクを即実行する スケジュールの割り当ては、Resource Updating Manager タスクを作成する作業の 1 つです。状況によって は、スケジュールされている時刻まで待たずにタスクを即実行しなければならないこともあります。そのような 場合は、タスクを右クリックして、[Start Now] を選択します。 タスクは 1 回限りの処理であることに注意してください。[Start Now] コマンドを使用すると、タスクをす ぐに開始するために、現在のタスクスケジュールがリセットされます。タスクが開始されたら、そのタスクを再 度スケジュールすることはできません。後ほどタスクを繰り返して実行したい場合は、タスクのコピーを使用し てください。 処理アルゴリズム オブジェクトは以下のアルゴリズムに基づいて処理されます。 l l ソースユーザーアカウントが現在の所有者の場合、所有権はターゲットユーザーアカウントに移転されま す。 アクセス制御リストにソースユーザーアカウントへの参照がない場合は、アクセス許可と監査は変更され ません。対応する ACL 内に Source\User1 または Source\Group1 が見つかった場合は、以下の処理 が行われます。 a. Target\User1 のすべてのエントリが削除されます。 b. ACE が複製され、Target\User1 または Target\Group1 に割り当てられます。 ローカルプロファイルを処理することを選択した場合、ユーザープロファイルはソースユーザーとターゲット ユーザー間で共有されます。プロファイルのコピーは行われません。 Migration Manager for Active Directory 8.11 リソース処理ガイド 26 アクセス制御リストには、広範な処理が行われます。更新の完全性を保証するために、アクセス許可だけではな く所有権や監査も処理されます。関係のある例としては、所有権を使ってクライアントアクセスを制御する Mac ボリュームが挙げられます。これらのボリュームは、Resource Updating Manager により正しく処理されます。 また Resource Updating Manager は、親ディレクトリの所有権やアクセス許可に関係なく、すべての子ディ レクトリとファイルを調査、処理します。 カテゴリの管理 Resource Updating Manager コンソール管理ツリーの [Categories ] ノードには、プリインストールされてい るさまざまなカテゴリが存在しています。これを使って、コンピュータをソートしたり、処理されたリソースの 中から特定のコンピュータを検索したりできます。コレクションノード下の任意のコレクションにコンピュータ を追加し、検出、処理 (成功または不成功) が行われたら、それは即座に対応するカテゴリに表示されます。 メモ: l l カテゴリには、処理設定は含まれません。 カテゴリには異なる [Processing Options] が設定されている異なるコレクションからのコン ピュータが含まれている場合があるため、最後の処理は以下の順序で繰り返されます。 l すべてのコンピュータ情報の検出アクション l すべてのコンピュータリソースの処理アクション l すべてのドメインへのコンピュータの移動アクション l すべてのコンピュータのクリーンアップアクション ただし、同じタイプのアクションの順番は変更されません。 カテゴリの作成 独自のカテゴリを作成するには、[Categories] ノードを右クリックして、[Create Category] オプションを選 択します。[Create Category] ダイアログ ボックスで、新しいカテゴリの名前と必要に応じて説明を入力 し、クエリー設定およびノードのプロパティを指定します。 カテゴリを作成する場合、実際には ADAM または AD LDS データベースの LDAP フィルタを作成しています。 ログファイルの表示 Migration Manager RUM Controller サービスは、その動作に関するすべての情報をログファイルに保管しま す。このログファイルは RUMController.log と呼ばれ、コンソールコンピュータの %ProgramFiles (x86)%\Common Files\Aelita Shared\Migration Tools\Resource Updating フォルダ (64 ビット版 Windows) または %ProgramFiles%\Common Files\Aelita Shared\Migration Tools\Resource Updating フォルダ (32 ビッ ト版 Windows) に保管されます。 メモ: コンピュータ情報の検出、コンピュータリソースの処理、ドメインへのコンピュータの移動、およ びコンピュータのクリーンアップアクションは、%Program Files%\Common Files\Aelita Shared\Migration Tools\Resource Updating\Logs\[コンピュータ名] フォルダ内にログファイルを作成 します。これらのログを表示するには、[View Logs] オプションを使用します。 Migration Manager for Active Directory 8.11 リソース処理ガイド 27 Migration Manager RUM Agent サービスも、そのアクティビティに関するすべての情報をログファイルに保管し ます。このログファイルは RUMAgent.log と呼ばれており、エージェントがインストールされているコンピュー タの %WINDOWS%\Quest Resource Updating Agent フォルダに保管されています。 すべてのエージェントが指定されたタスクの実行を完了すると、コンピュータからログが収集されます。収集さ れたログを表示するには、Resource Updating Manager コンソールの右パネルにあるコンピュータを右クリック して、[View Logs] を選択します。 処理の中断 特定のコレクションまたはカテゴリのすべてのタスクを中断するには、Resource Updating Manager コンソール のコレクションまたはカテゴリノードを右クリックして、[Cancel Tasks] を選択します。 処理中断時の Resource Updating Manager の動作を以下に示します。 l l l l アクセス許可更新時に [Cancel Task] をクリックすると、その時点で処理中のコンピュータは最後まで 処理され、それらのコンピュータ上のオブジェクトには新しい (ターゲット) アクセス許可が与えられま す。まだ処理が開始されていないコンピュータは処理されません。それらのコンピュータ上のオブジェク トは、引き続き古いアクセス許可を保有します。システム状態を完全に復元したい場合は、Resource Updating Manager で [Revert to the original local group membership, user rights, and object permissions] アクションを実行してください。 変更を元に戻している時に [Cancel] をクリックすると、その時点で処理中のコンピュータは最後まで処 理され、それらのコンピュータ上のオブジェクトにはソースのアクセス許可が与えられます。まだ処理が 開始されていないコンピュータは処理されません。それらのコンピュータ上のオブジェクトは、引き続き ターゲットのアクセス許可を保有します。システム状態を復元したい場合は、Resource Updating Manager で [Reassign local group membership, user rights, and object permissions to target users] アクションを実行してください。 アクセス許可のクリーンアップ時に [Cancel Task] をクリックすると、その時点で処理中のコンピュー タは最後まで処理され、それらのコンピュータ上のオブジェクトのアクセス許可はクリーンアップされま す。まだ処理が開始されていないコンピュータは処理されません。それらのコンピュータ上のオブジェク トは、そのままの状態で保持されます。 特定のコンピュータに複数のタスクが関連付けられており、いずれかのタスクが失敗した場合、そのコン ピュータ上の以降のタスクはキャンセルされ、適切なエラーメッセージが表示されます。 ユーザープロファイルの更新 ユーザーアカウントの移行時に、ユーザーに何も影響を与えず、またヘルプデスクの負担を増やさないように、 ターゲットユーザーアカウントは対応するソースアカウントと同じプロファイルを持つ必要があります。 そのためには、2 種類のタスクを実施する必要があります。 l l ターゲットアカウントは、ソースプロファイル (対応するファイルとレジストリキーの両方) にアクセス できなければなりません。 ターゲットアカウントの設定は、ソースアカウントが使用していたものと同じプロファイルを指す必要 があります。 Migration Manager は、ローカルプロファイルと移動プロファイルの両方に対して、これらのタスクを管理して おり、どの移行フェーズにおいてもユーザーが正しい個人プロファイル/設定を利用できるようにしています。 Migration Manager for Active Directory 8.11 リソース処理ガイド 28 ユーザープロファイルの基本 ユーザープロファイルは、システムレジストリ内のキーとハードディスク上のフォルダの 2 種類で構成されて おり、ユーザー固有のデータやデスクトップ設定が保管されています。 ユーザープロファイルは、ローカルまたは移動プロファイルになります。 l l ユーザーデータがローカルのハードディスクに保管されている場合、ユーザープロファイルはローカルプ ロファイルになります。 ユーザーデータがサーバー上に集中保管されている場合、ユーザープロファイルは移動プロファイルにな ります。 ある Active Directory ドメインから他のドメインにアカウントを移行する場合、[Add SIDHistory] オプショ ンを使って、新しいアカウントにソースアカウントのすべてのアクセス許可を自動的に与えることができます。 そうすることによって、リソース更新を行わないでも、ユーザーは新しいアカウントの使用を開始することがで きます。環境の共存期間が終了したら、すべてのリソースを処理してターゲットアカウントへの明示的なアクセ スを許可し、次に SIDHistory をクリーンアップしてソースアカウントを削除することができます。 ただし、SIDHistory を追加しても、ターゲットアカウントがソースプロファイルを使用することはありませ ん。そうするためには、Resource Updating Manager または Resource Kit ユーティリティを使ってレジストリ を変更する必要があります。 ユーザープロファイルの仕組み ユーザーが初めてワークステーションにログオンすると、そのワークステーションの Documents and Settings フォルダにローカルプロファイルが作成されます。 ユーザーが Terminal Services クライアントを使って初めてサーバーにログオンすると、そのサーバー上の Documents and Settings フォルダにもローカルプロファイルが作成されます。 ユーザーが移動プロファイルを使用するように設定されている場合 (ユーザーアカウントプロパティの [プロ ファイル] または [ターミナルサービスのプロファイル] タブに、中央プロファイルへのパスが指定されてい る場合)、中央プロファイルのフォルダがワークステーション (ユーザーがローカルにログオンしている場合) またはサーバー (ユーザーが Terminal Services クライアントを使ってサーバーに接続している場合) 上の ローカルプロファイルフォルダにコピーされます。セッション中にプロファイルに対して行われたすべての変更 はローカルプロファイルフォルダに保存され、セッションの終了時にそれが中央プロファイルフォルダにアップ ロードされます。 ユーザーがワークステーションにログオンする際には、以下の基準で使用するユーザープロファイルが判断され ます。 l l [プロファイル] タブにプロファイルパスが指定されている場合は、そのプロファイルが読み込まれま す。 [プロファイル] タブにプロファイルパスが指定されていない場合は、ローカルプロファイルが読み込ま れます。 ユーザーがサーバーと新たなターミナルセッションを開始する際には、以下の基準で使用するユーザープロファ イルが判断されます。 l l [ターミナルサービスのプロファイル] タブでプロファイルパスが指定されている場合は、[プロファイ ル] タブにプロファイルが指定されているかどうかにかかわらず、そのプロファイルが読み込まれます。 [ターミナルサービスのプロファイル] タブにプロファイルパスが指定されていないけれども、[プロファ イル] タブにプロファイルパスが指定されている場合は、そのプロファイルが読み込まれます。 Migration Manager for Active Directory 8.11 リソース処理ガイド 29 l [ターミナルサービスのプロファイル] タブまたは [プロファイル] タブにプロファイルパスが指定され ていない場合は、ローカルプロファイルが読み込まれます。 コンピュータにローカルプロファイルと移動プロファイルの両方がある場合は、まず「ローカルプロファイルの 更新」に記載されているすべてのアクションを実行した後に、「移動プロファイルの更新」の説明に従って追加 のアクションを実行する必要があります。 ローカルプロファイルの更新 ローカルプロファイルは、Resource Updating Manager で [Processing Options] ダイアログボックスの [Permissions Management] タブにある [Local Profiles] および [File System] チェックボックスを選 択して、処理を開始すると更新されます。この場合、ローカルプロファイルのレジストリキーとフォルダのアク セス許可が処理されます。 処理が完了すると、ソースユーザーとターゲットユーザーが同じプロファイルを共有します。 移動プロファイルの更新 コンピュータ上に保管されている移動プロファイルは、Resource Updating Manager で [Processing Options] ダイアログボックスの [Permissions Management] タブにある [Roaming Profiles]、[File System]、および [File Ownership] チェックボックスを選択して、処理を開始すると更新されます。この場合、移動プロファイ ルのレジストリキーとフォルダのアクセス許可が処理されます。 メモ: Migration Manager がターゲットアカウントを作成する際には、移動プロファイルのパスがコピー され、新しいアカウントも古いアカウントと同じプロファイルを使用します。 移行作業に移動プロファイルの他のサーバーへの移動も含まれている場合は、ユーザーアカウントプロパ ティの [プロファイル] および [ターミナルサービスのプロファイル] タブに指定されているプロファイ ルパスも変更する必要があります。 注意: ソースアカウントが移動プロファイルを使用している場合は、Resource Updating Manager を使っ て移動プロファイルの処理を開始する前に、そのプロファイルからログオフさせる必要があります。さも なければ、移動プロファイルの更新後、このプロファイルへのターゲットアカウントのログオンが失敗し てしまいます。 [フォレスト間ユーザーポリシーおよび移動ユーザープロファイルを許可する] ポリ シーを有効にする 移動ユーザープロファイルを保管するサーバー上で Windows 2000 SP4 以降が動作している場合は、信頼される 側のドメインのユーザーにそのサーバー上の移動プロファイルを使用させるために、[フォレスト間ユーザーポ リシーおよび移動ユーザープロファイルを許可する] ポリシーを有効にする必要があります。このポリシーは、 サーバー上でローカルに、またはドメインまたは組織単位ベースのグループポリシーオブジェクト (GPO) を使 用して設定できます。サーバー上でローカルに設定するには: 1. 管理者権限を持つユーザーとしてコンピュータにログオンします。 2. [スタート] メニューの [ファイル名を指定して実行] をクリックし、「gpedit.msc」と入力して [OK] をクリックします。 3. [コンピュータの構成] をダブルクリックし、[管理用テンプレート] をダブルクリックし、[システム] をダブルクリックして、次に[グループポリシー] をクリックします。 Migration Manager for Active Directory 8.11 リソース処理ガイド 30 4. 右パネルの [フォレスト間ユーザーポリシー] および [移動ユーザープロファイルを許可する] をダ ブルクリックします。 5. [有効] をクリックして、[適用] をクリックして、次に [OK] をクリックします。 6. グループポリシーツールを終了します。 7. コンピュータポリシーが自動的に更新されるまで十分な時間をおくか、またはコマンドラインから以下の コマンドを実行して手動更新します。 secedit /refreshpolicy machine_policy Windows 2003 の場合は、gpupdate コマンドを使用します。 ユーザーポリシーの詳細は、http://support.microsoft.com/default.aspx?scid=kb;ja-jp;823862 にある Microsoft サポート技術情報の記事 823862 を参照してください。 プロファイル重複の防止 ターゲットユーザーアカウントは、対応するソースアカウントと同じプロファイルを使用する必要があります。 ただし、一部の状況下では処理後に、ターゲットユーザーに対して重複するプロファイルが作成されてしまうこ とがあります。ここでは、重複するプロファイルが作成される理由と、重複プロファイルの防止方法について説 明していきます。 コンピュータ上のソースアカウントで、サービスまたはスケジュールされているタスクを実行している場合、そ のサービスまたはスケジュールされたタスクはソースユーザープロファイルへのアクセスを維持しています。こ のプロファイルがすでに処理されたけれどもコンピュータが再起動されていない状態で、ユーザーがログオフし た後に新しいターゲットアカウントでログオンすると、ターゲットユーザーアカウントではなくソースユーザー アカウントにより、ソースユーザープロファイルが読み込まれます。この場合、ターゲットユーザーに対して一 時プロファイルが作成されます。 Microsoft が提供する User Profile Hive Cleanup Service (UPHClean) は、処理中に任意のサービスにより ロックされているプロファイルに関する問題に対処することを目的にしています。UPHClean の詳細 は、http://support.microsoft.com/default.aspx?scid=kb;en-us;837115 にある Microsoft サポート技術情報 の文書 837115、「Troubleshooting profile unload issues」および http://download.microsoft.com/download/a/8/7/a87b3d05-cd04-4743-a23b-b16645e075ac/readme.txt にある UPHClean readme ファイルを参照してください。 UPHClean は、以下のリンクからダウンロードできます。 http://www.microsoft.com/downloads/details.aspx?FamilyId=1B286E6D-8912-4E18-B570-42470E2F3582 分散リソース処理の自動化 Resource Updating Toolkit for PowerShell (PowerRUM) を使って、Resource Updating Manager の操作を自動 化することができます。これは、Resource Updating Manager コンソールの機能を複製する、Windows PowerShell コマンドレットの集合体です。これを使って、コレクション、コンピュータとタスクの作成、表 示、削除、タスクの実行などの作業を行えます。これらのコマンドラインツールは、リソース処理シナリオで スクリプトを使って処理を自動化するために役立ちます。 Resource Updating Toolkit コマンドレットを実行するコンピュータ上には、以下のソフトウェアが必要です。 Migration Manager for Active Directory 8.11 リソース処理ガイド 31 l Windows Management Framework 3.0 l 以下のいずれかになります。 l Migration Manager コンソール l スタンドアロン Resource Updating Manager コンソール このコンピュータ上でローカルに作業を行うことも、リモート接続することも可能です。 Resource Updating Toolkit for PowerShell のロー カルでの使用 32ビット (x86) 版の PowerShell プロンプトを実行し、以下のようにセッションを開始します (必要に応じ てパスを変更): Set-Executionpolicy -ExecutionPolicy Unrestricted -Force cd "C:\Program Files (x86)\Quest Software\Migration Manager\PowerRUM" Import-Module .\PowerRUM.dll Get-Command -Module PowerRum Resource Updating Toolkit for PowerShell のリ モートでの使用 リモートコンピュータ上で PowerShell プロンプトを実行し、以下のようにセッションを開始します (必要に応 じてパスやターゲットコンピュータを変更してください)。 Enable-PSRemoting -Force $cred = Get-Credential Enter-PSSession -ComputerName COMPUTER -Credential $cred -ConfigurationName Microsoft.PowerShell32 Set-Executionpolicy -ExecutionPolicy Unrestricted -Force cd "C:\Program Files (x86)\Quest Software\Migration Manager\PowerRUM" Import-Module .\PowerRUM.dll Get-Command -Module PowerRum Migration Manager for Active Directory 8.11 リソース処理ガイド 32 共通のリソースの更新ワークフロー このセクションでは、Active Directory 移行後の、タイプに応じた運用サーバー上のリソースの更新に役立 つ、一般的な手順について説明しています。これらの提案事項は、各種リソース更新ウィザードで機能します。 l Exchange Processing Wizard l Active Directory Processing Wizard l SQL Processing Wizard l SMS Processing Wizard l SharePoint Processing Wizard 明示的に処理するオブジェクトの選択 デフォルトでリソース処理タスクは、タスク作成時までに移行されたすべてのオブジェクトのリソースを処理し ます。リソースを更新するオブジェクトを手動で選択することもできます。その場合は、リソース処理タスクの カスタムマップを作成します。 カスタムマップを作成するには 1. [Tasks] ノード下のリソース処理タスクを選択します。 2. 右パネルから、[Select Objects to Process Resources] をクリックします。 3. 表示されるダイアログから、リソースを更新するオブジェクトを選択します。 4. [OK] をクリックします。 メモ: カスタムマップは、目的のタスクに対してのみ適用されます。タスクにカスタムマップが定義され ていない場合、そのタスクが処理したリソースは、移行されたすべてのオブジェクトに対して更新されま す。 カスタムマップを削除するには 1. [Tasks] ノード下のリソース処理タスクを選択します。 2. 右パネルの [Delete Custom Map] をクリックします。[Yes] をクリックします。 リソース更新の委任 分散環境における移行プロジェクト管理モデルでは、Migration Manager を利用することで、コンピュータへの 管理者アクセス権限を取得できないサイトや内部リソースドメインにおけるリソース更新作業を、とても簡単に 実施することができます。リソース更新作業の分散化は、更新対象の各コンピュータが低速な WAN 接続経由で しかアクセスできず、サイズが小さいエージェントを送信する場合でも帯域幅に大きな負荷がかかってしまうよ うな場合にも役立ちます。 Migration Manager for Active Directory 8.11 リソース処理ガイド 33 このような状況下では、リモートサイトの管理者、または必要なアクセス権を持ち、更新対象リソースサーバー への接続が良好な場所に居る他のドメイン管理者に、リソース更新タスクを委任することができます。 リソースの更新タスクは、以下のいずれかの方法で委任することができます。 l 事前設定されている Resource Updating Manager コンソールのセットアップパッケージを作成する。 l リソース処理タスクのセットアップパッケージを作成する。 l INI ファイルをエクスポートした後、そのファイルを使ってスタンドアロンモードで更新ツールを実行ま たはコマンドラインからリソース更新を実行する。 これらの方法の詳細は、関連トピックを参照してください。 タスクセットアップパッケージを使ったリソースの更新 リソース処理タスクを委任する必要がある場合、そのタスクのセットアップパッケージを作成することができま す。セットアップパッケージは標準の MSI インストールファイルです。セットアップパッケージには 2 種類の タイプが存在しています。 l l Containing the task configuration only—各自のワークステーションに Migration Manager がインス トールされている管理者向け Containing the task configuration and executables needed to run this task—Migration Manager が インストールされていない管理者向け MSI インストールファイルを作成するには、以下の手順に従ってください。 1. Migration Manager でタスクを右クリックします。 2. ショートカットメニューの [Create Setup] をクリックします。 3. 移行プロジェクトを含む ADAM/AD LDS インスタンスのレプリカを選択します。 4. パッケージの出力先フォルダを指定します。 5. MIS インストールパッケージのタイプを選択します。 6. [Start] をクリックします。 タスクセットアップパッケージの作成が正常に完了したら、指定したフォルダ内にある MSI ファイルを委任す る管理者に送ります。 委任された管理者はそのパッケージをインストールして、タスク設定に指定されているリソース処理タスクを実 行します。委任された管理者がタスクの設定を変更することはできません。カスタムパッケージは、昇格された 特権を持つ管理アカウントを使ってインストールする必要があることに注意してください。 リソース更新用 INI ファイルの作成 以下のリソース更新ツールの INI ファイルを作成することができます。 l Exchange Processing Wizard l SQL Processing Wizard l SMS Processing Wizard l Active Directory Processing Wizard Migration Manager for Active Directory 8.11 リソース処理ガイド 34 リソース更新ツールの INI ファイルを作成するには 1. Resource Updating Manager コンソールで、新しいコレクションを作成するか、既存のコレクションを 選択します。 2. コレクションを右クリックし、[Create Task] | [Processing] を選択します。Create Processing Task Wizard で、必要な処理設定を指定します。 3. 右パネルの [Tasks] タブをクリックします。 4. タスクを右クリックし、 [Export Settings to File] を選択します。 5. INI ファイルを目的の場所に保存します。 リソース更新の検討事項 ここでは、リソース更新作業時に考慮しておく必要がある事項について説明していきます。 l l l コンピュータに存在するオブジェクト数が多いほど (ファイルやフォルダ数が多い)、処理にはより時間 がかかります。そのため、ワークステーションと比べてファイルサーバーの処理には大幅に時間がかかり ます。それによりサーバーの動作速度が低下してユーザーに影響を与えないように、サーバーの処理は業 務時間外に行うことをお勧めします。 NTFS アクセス許可の更新時には、大量のディスクアクセス (I/O) 操作が行われるため、一定期間に渡っ てサーバーの処理速度が低下する可能性があります。 セット内の各コンピュータは、各コンピュータに組み込まれた、各自のエージェントにより処理されま す。すべてのコンピュータが並列的に処理されるため、数十台のワークステーションを処理する場合も数 千台のワークステーションを処理する場合も時間はさほど変わりません。 注意: リソースをリモート処理する場合は、各コンピュータを順番に処理することを検討してく ださい。エージェントをベースにしたリソース処理と比べて、リモート処理には大幅に時間がか かります。 l 約 10% のワークステーション (環境によって異なります) に対して、オフラインである、サーバーサー ビスが動作していない、ローカル Administrators グループにドメイン管理者が存在していないなどの理 由で、トラブルシューティングが必要になることを予期してください。 エンドユーザーのワークステーションとサーバーの個別のリストを作成し、まずワークステーションを処理して から、次にサーバーを処理することをお勧めします。 Migration Manager for Active Directory 8.11 リソース処理ガイド 35 Active Directory Processing Active Directory オブジェクトへのアクセスは、セキュリティ記述子 (SD) とグループメンバーシップによっ て規制されています。移行後は、ソースアカウントに与えられていたすべてのアクセス権をターゲットアカウン トにも与えるように、すべてのオブジェクトの SD とグループメンバーシップを変更する必要があります。 Active Directory Processing Wizard により、グループメンバーシップ、リンクされた属性、および Active Directory アクセス許可を、移行後の Active Directory 再設定に適合するように更新することができま す。Active Directory Processing Wizard は、ADAM または AD LDS に保管されている、移行されたソースアカ ウントとターゲットアカウント間のマッピングを使用して、アクセス許可を更新します。また Active Directory Processing Wizard では、Microsoft Exchange ディレクトリのアクセス許可を処理して、移行され たオブジェクトの SIDHistory をクリーンアップすることもできます。 Active Directory Processing Wizard を使 用する場合 一般的に、Active Directory の移行後に新しいユーザーに以前のユーザーと同じレベルのアクセスを与えたい 場合は、従来のユーザーにアクセス権が設定されたすべてのドメインで Active Directory Processing Wizard (ADPW) を実行する必要があります。これは大部分の Active Directory 移行で、初期の移行期間に 必須の作業になります。 ユーザーのリソースアクセスレベルを復元するために、ADPW で実施する必要がある作業の例を以下に示しま す。 l l ターゲットユーザーをソースグループに追加する これは ADPW でもっとも一般的に行われる操作です。 グループメンバーシップ以外のリンク済み属性を更新する ADPW は、バックリンクが正常に解決されるようにフォワードリンクを変更します。すべてのリンク済み 属性をサポートしています。 メモ: 一般的に使用される重要なリンク済み属性を以下に示します。 l l l グループの managedBy 属性 l Exchange 2007 以降のロールベースの管理が基盤にしている (ユーザーへの) リンク OU などのオブジェクトのアクセス許可を更新する 環境内で Exchange リソースフォレストトポロジが設定されている場合、Exchange リソースフォレスト 内で Active Directory を更新する Exchange リソースフォレストの取り扱い方法の詳細は、「Exchange Processing Wizard を使用する場 合」を参照してください。 Migration Manager for Active Directory 8.11 リソース処理ガイド 36 Active Directory 処理の開始 Active Directory の処理はいくつかの方法で実行することができます。環境に適した手段をお選びください。 l l l Active Directory 処理タスクを作成して、それを Migration Manager で実行する。Active Directory 処理タスクを作成するには、[Resource Processing] | [Tasks] に移動して、右パネルにある [Active Directory Processing] ボタンをクリックします。 Active Directory 処理タスクを作成して、次にタスクのセットアップパッケージを作成し、タスクの実 行権限を他の担当者に委任して、その担当者にパッケージを提供します。委任された管理者はそのパッ ケージをインストールして、タスク設定に指定されている Active Directory 処理タスクを実行します。 詳細は、「リソース更新の委任」を参照してください。 Active Directory 処理に関する適切な設定を行った INI ファイルをエクスポートして、その INI ファ イルを使ってスタンドアロンモードで実行する Active Directory 処理タスクを作成、設定する。詳細 は、「リソース更新の委任」を参照してください。 どの方法を使用する場合でも、Active Directory Processing Wizard が一連の更新作業を指示していきま す。Active Directory Processing Wizard は、3 種類のモードで使用することができます。 l Standalone l Console integration l Delegation 各モードには、それぞれのモードに対応した一連のステップが用意されています。詳細は、関連するトピックを 参照してください。 Standalone モードの使用 ステップ 1:Specify Mapping File このステップでは、INI マッピングファイルの場所を指定するように要求するメッセージが表示されます。マッ ピングファイルは、ソースアカウントとターゲットアカウント間のマッチングを確立するために用いられます。 ファイルを取得するには、INI ファイルを以下のように エクスポートします。 1. Migration Manager コンソールの [Tools] メニューから、[Export to] | [INI] を選択します。[Export INI File] ダイアログボックスが表示されます。 2. [Wizard Name] リストボックスから、[Active Directory Processing Wizard] を選択します。 3. [INI file] フィールドに、INI ファイル名とパスを指定します。デフォルト値をそのまま使用するこ とも可能です。 4. 適切なアクセス許可再割り当てオプションを選択します。 5. [OK] をクリックします。ステップ 3 で指定したフォルダ内に INI ファイルが作成されます。 ステップ 2:Set Processing Options Active Directory の処理方法を選択します。 l Reassign group membership and permissions to target users グループメンバーシップを保存して、ソースアカウントのアクセス許可を新しい (ターゲット) ユーザー アカウントに与える場合に、このオプションを選択します。 Migration Manager for Active Directory 8.11 リソース処理ガイド 37 注意: l l l l ターゲットアカウントのアクセス許可は、ソースアカウントのアクセス許可と結合されま す。 アクセス許可の更新時に [Cancel] をクリックすると、それ以降のアクセス許可再割り当 ては中止されます。それまでに処理が完了しているオブジェクトについては、新しい (ターゲット) アクセス許可が与えられます。その時点で処理されていないオブジェクト は、古いアクセス許可をそのまま保持します。Active Directory の状態を完全に復元し たい場合は、[Revert to the original group membership and permissions] オプション を使ってウィザードを実行してください。 ソースおよびターゲットユーザーアカウントの両方へのアクセスを許可する場合は、[Leave source users' group membership and permissions] チェックボックスを選択します。これにより、移行期間中 に両方のアカウントに同じ権限が与えられるため、移行作業を円滑に実施することができます。 Clean up group membership and permissions of migrated users オブジェクトのアクセス制御リスト (ACL) から、ソースアカウントに対して与えられているアクセス許 可を削除し、古いアカウントの権限を無効にする場合にこのオプションを選択します。通常は、移行期間 が完了したら即座にこの処理を行う必要があります。 注意: l l l すでにターゲットに移行されたソースアカウントの権限のみが無効にされます。 クリーンアップ処理中に [Cancel] をクリックすると、それ以降の処理は中止されます。 その時点までに処理されたオブジェクトのアクセス許可がクリーンアップされます。その 時点で処理されていないオブジェクトは、そのままの状態で保持されます。 Revert to the original group membership and permissions アクセス許可の再割り当てを Undo することができます。Undo 操作により、アクセス制御リストから ターゲットアカウントが削除され、すべての権限がソースアカウントに戻されます。 注意: l l l 移行時に 2 つのソースユーザーを 1 つのターゲットユーザーに結合した場合に、一部の オブジェクトに対するアクセス許可を片方のソースユーザーのみが保有するとします。こ の場合、SD を更新してアクセス許可を元に戻した後は、両方のユーザーがそれらのオブ ジェクトに対するアクセス許可を持つことになります (両方のユーザーが共通のアクセス 許可を保有する)。 復元時に [Cancel] をクリックすると、それ以降のアクセス許可再割り当ては中止されま す。それまでに処理が完了しているオブジェクトについては、ソースのアクセス許可が与 えられます。その時点で処理されていないオブジェクトは、ターゲットのアクセス許可を そのまま保持します。Active Directory の状態を復元したい場合は、[Reassign group membership and permissions to target users] オプションを使ってウィザードを実行し てください。 Clean up objects' SIDHistory Active Directory オブジェクトの SIDHistory 属性をクリーンアップする場合、このオプションを選 択します。 メモ: 現在の移行プロジェクト内で移行され、処理対象として選択されたソースオブジェクトの SID の みが、ターゲットオブジェクトの SIDHistory 属性からクリーンアップされます。その他のオブジェクト (処理対象として選択されていないオブジェクトまたは別個のプロジェクトで移行されたオブジェクト) の SID は、そのまま保持されます。 Migration Manager for Active Directory 8.11 リソース処理ガイド 38 注意: 前回のリソース処理実行後、リソースのアクセス許可、サービスアカウント、グループメンバー シップなどが変更されている可能性があります。すべてのアクセス許可、サービスアカウント、グループ メンバーシップを最新の状態にするために、分散リソースおよび運用サーバーをもう一度更新してか ら、SIDHistory のクリーンアップを行うことをお勧めします。 ステップ 3:Select Objects to Process 処理するオブジェクトを指定します。以下の 1 つまたは複数のオブジェクトを処理することができます。 l Group membership (グループリンク):選択したスコープのグループに対して、グループメンバーシップ (リンクされた member 属性) を更新する場合に、このチェックボックスを選択します。たとえば、 ソースグループのメンバーである SourceUser を TargetUser に移行する場合、Active Directory Processing Wizard を使ってグループメンバーシップを更新すると、TargetUser がそのグループのメ ンバーになります。 また Exchange の管理役割を処理する場合も、このチェックボックスを選択する必要があります。 メモ: 移行されたターゲットグループのグループメンバーシップは処理されません。それらのグ ループはスキップされます。 l l Linked attributes (グループリンクを除くその他のリンク):選択したスコープ内のオブジェクトに対し て、リンクされた属性 (member 以外のリンクされた属性) を更新する場合に、このチェックボックスを 選択します。前方リンク (ディレクトリ内の他のオブジェクトへのリンク) が処理されます。 Active Directory permissions (Active Directory スキーマクラスの既定のセキュリティの処理を含 む):選択したコンテナからのオブジェクトの、アクセス許可と所有権を更新する場合に選択しま す。Active Directory スキーマクラスの既定のセキュリティを更新する場合は、[Default schema permissions] チェックボックスを選択します。 注意: l l l 既定のスキーマのアクセス許可を正常に処理するために、サービスアカウントは Schema Admins グループのメンバーでなければなりません。 Exchange メールボックスのアクセス許可またはその他の Exchange アクセス許可を処理 する場合は、このオプションを有効にします。これは、SendAs および ReceiveAs アクセ ス許可を正常に処理するために必要です。 Exchange mailbox permissions:Active Directory と Exchange メールボックスデータベースの両方の アクセス許可を更新する場合に、このチェックボックスを選択します。 注意: サービスアカウントには、以下の作業を行うためのアクセス許可が必要です。 l l 処理されたメールボックス有効オブジェクトの msExchMailboxSecurityDescriptor 属性 を変更する。 Exchange メールボックスデータベース内のアイテムを読み取り、変更する。 これらのアクセス許可を割り当てるには、Exchange システム管理コンソールまたは ADSI 編集ス ナップインを使用します。ご自分の Exchange 環境でのアクセス許可の割り当ての詳細は、対応 する Exchange 環境の準備用ドキュメントを参照してください。 l Other Exchange permissions:以下の項目を更新する場合に、このチェックボックスを選択します。 l 組織、サーバー、コンテナなどの Exchange オブジェクトのディレクトリアクセス許可 l Exchange 2013 組織のドメインで、ロールベースのアクセス制御設定 Migration Manager for Active Directory 8.11 リソース処理ガイド 39 パブリックフォルダディレクトリのアクセス許可を更新するには、[Permissions] チェックボックスを選択し て、展開された処理スコープツリーから [Microsoft Exchange System Objects] コンテナの隣にあるチェック ボックスを選択します。 注意: Exchange オブジェクトのディレクトリのアクセス許可を正常に処理するために、Exchange システ ムマネージャコンソールを使って、サービスアカウントに Exchange 管理者 (完全) 権限を割り当てる必 要があります。 ステップ 4:Select Domains このステップでは、オブジェクトを処理するドメインを追加します。追加する各ドメインに対して、ウィザード がそのドメインにアクセスしてオブジェクトを更新するために使用する資格情報を指定します。現在ログオンし ているユーザーの資格情報を使用することも、別の資格情報を指定することも可能です。 注意: Active Directory の処理を正常に完了するために、指定したアカウントには管理者権限がなけれ ばなりません。 ドメインサーバーに指定されている資格情報を変更するには、サーバーを選択して [Properties] ボタンをク リックします。 選択したドメインサーバーの処理スコープを設定するには、以下の手順に従ってください。 1. [Scope] ボタンをクリックします。 2. [Select Processing Scope] ダイアログボックスで、ドメイン階層ツリーを参照して、処理から除外する コンテナ名の隣にあるチェックボックスの選択を解除します。 優先するGC や DC を設定するには、以下の手順に従ってください。 1. [Options] ボタンをクリックします。 2. [Specify Options] ダイアログボックスで、優先するグローバルカタログおよび DC の名前を対応するテ キストボックスに入力します。 ステップ 5:Complete the Wizard [Progress] ステップでは、ウィザードが要求されたすべての処理を完了するまで待機する必要があります。以 下の情報が表示されます。 l 処理状況を示す進捗バー l 特定のサーバーの処理状態 l その時点で処理されているコンテナ名 l エラー数 [Summary] ステップでは、グループメンバーシップおよびアクセス許可の処理結果と統計情報を確認することが できます。処理中に何らかのエラーが発生した場合は、それが [Summary] に表示されます。エラーの説明につ いては、ログファイルを参照してください。 [Finish] をクリックすると、ウィザードが終了します。 Console Integration モードの使用 ステップ 1:Set Task Properties このステップでは、タスク名と説明の指定を要求するメッセージが表示されます。 Migration Manager for Active Directory 8.11 リソース処理ガイド 40 ウィザードを Delegation モードに切り替えるには、[Delegate this task] チェックボックスを選択します。 詳細は、このガイドの「Delegation モードの使用」を参照してください。 ステップ 2:Set Processing Options Active Directory の処理方法を選択します。 l Reassign group membership and permissions to target users グループメンバーシップを保存して、ソースアカウントのアクセス許可を新しい (ターゲット) ユーザー アカウントに与える場合に、このオプションを選択します。 注意: l l ターゲットアカウントのアクセス許可は、ソースアカウントのアクセス許可と結合されま す。 アクセス許可の更新時に [Cancel] をクリックすると、それ以降のアクセス許可再割り当 ては中止されます。それまでに処理が完了しているオブジェクトについては、新しい (ターゲット) アクセス許可が与えられます。その時点で処理されていないオブジェクト は、古いアクセス許可をそのまま保持します。Active Directory の状態を完全に復元し たい場合は、[Revert to the original group membership and permissions] オプション を使ってウィザードを実行してください。 ソースおよびターゲットユーザーアカウントの両方へのアクセスを許可する場合は、[Leave source users' group membership and permissions] チェックボックスを選択します。これにより、移行期間中 に両方のアカウントに同じ権限が与えられるため、移行作業を円滑に実施することができます。 l Clean up group membership and permissions of migrated users オブジェクトのアクセス制御リスト (ACL) から、ソースアカウントに対して与えられているアクセス許 可を削除し、古いアカウントの権限を無効にする場合にこのオプションを選択します。通常は、移行期間 が完了したら即座にこの処理を行う必要があります。 注意: l l l すでにターゲットに移行されたソースアカウントの権限のみが無効にされます。 アクセス許可のクリーンアップ処理中に [Cancel] をクリックすると、それ以降の処理は 中止されます。その時点までに処理されたオブジェクトのアクセス許可がクリーンアップ されます。その時点で処理されていないオブジェクトは、そのままの状態で保持されま す。 Revert to the original group membership and permissions アクセス許可の再割り当てを Undo することができます。Undo 操作により、アクセス制御リストから ターゲットアカウントが削除され、すべての権限がソースアカウントに戻されます。 注意: l l 移行時に 2 つのソースユーザーを 1 つのターゲットユーザーに結合した場合に、一部の オブジェクトに対するアクセス許可を片方のソースユーザーのみが保有するとします。こ の場合、SD を更新してアクセス許可を元に戻した後は、両方のユーザーがそれらのオブ ジェクトに対するアクセス許可を持つことになります (両方のユーザーが共通のアクセス 許可を保有する)。 復元時に [Cancel] をクリックすると、それ以降のアクセス許可再割り当ては中止されま す。それまでに処理が完了しているオブジェクトについては、ソースのアクセス許可が与 えられます。その時点で処理されていないオブジェクトは、ターゲットのアクセス許可を そのまま保持します。Active Directory の状態を復元したい場合は、[Reassign group membership and permissions to target users] オプションを使ってウィザードを実行し てください。 Migration Manager for Active Directory 8.11 リソース処理ガイド 41 l Clean up objects' SIDHistory Active Directory オブジェクトの SIDHistory 属性をクリーンアップする場合、このオプションを選 択します。 メモ: 現在の移行プロジェクト内で移行され、処理対象として選択されたソースオブジェクトの SID のみが、ターゲットオブジェクトの SIDHistory 属性からクリーンアップされます。その他 のオブジェクト (処理対象として選択されていないオブジェクトまたは別個のプロジェクトで移 行されたオブジェクト) の SID は、そのまま保持されます。 注意: 前回のリソース処理実行後、リソースのアクセス許可、サービスアカウント、グループメン バーシップなどが変更されている可能性があります。すべてのアクセス許可、サービスアカウン ト、グループメンバーシップを最新の状態にするために、分散リソースおよび運用サーバーをもう 一度更新してから、SIDHistory のクリーンアップを行うことをお勧めします。 ステップ 3:Select Objects to Process 処理するオブジェクトを指定します。以下の 1 つまたは複数のオブジェクトを処理することができます。 l Group membership (グループリンク):選択したスコープのグループに対して、グループメンバーシップ (リンクされた member 属性) を更新する場合に、このチェックボックスを選択します。たとえば、ソー スグループのメンバーである SourceUser を TargetUser に移行する場合、Active Directory Processing Wizard を使ってグループメンバーシップを更新すると、TargetUser がそのグループのメン バーになります。 また Exchange 2007 の管理役割を処理する場合も、このチェックボックスを選択する必要があります。 メモ: 移行されたターゲットグループのグループメンバーシップは処理されません。それらのグ ループはスキップされます。 l l Linked attributes (グループリンクを除くその他のリンク):選択したスコープのオブジェクトに対し て、リンクされた属性 (member 以外のリンクされた属性) を更新する場合に、このチェックボックスを 選択します。前方リンク (ディレクトリ内の他のオブジェクトへのリンク) が処理されます。 Active Directory permissions (Active Directory スキーマクラスの既定のセキュリティの処理を含 む):選択したコンテナからのオブジェクトの、アクセス許可と所有権を更新する場合に選択しま す。Active Directory スキーマクラスの既定のセキュリティを更新する場合は、[Default permissions] チェックボックスを選択します。 注意: 既定のアクセス許可を正常に処理するために、サービスアカウントは Schema Admins グ ループのメンバーでなければなりません。 l Exchange mailbox permissions:Active Directory と Exchange メールボックスデータベースの両方の アクセス許可を更新する場合に、このチェックボックスを選択します。 注意: サービスアカウントには、以下の作業を行うためのアクセス許可が必要です。 l l 処理されたメールボックス有効オブジェクトの msExchMailboxSecurityDescriptor 属性 を変更する。 Exchange メールボックスデータベース内のアイテムを読み取り、変更する。 これらのアクセス許可を割り当てるには、Exchange システム管理コンソールまたは ADSI 編集ス ナップインを使用します。ご自分の Exchange 環境でのアクセス許可の割り当ての詳細は、対応 する Exchange 環境の準備用ドキュメントを参照してください。 l Other Exchange permissions:組織、サーバー、コンテナなどの Exchange オブジェクトに対して、ディ レクトリのアクセス許可を更新する場合に選択します。 パブリックフォルダディレクトリのアクセス許可を更新するには、[Permissions] チェックボックスを選 Migration Manager for Active Directory 8.11 リソース処理ガイド 42 択して、展開された処理スコープツリーから [Microsoft Exchange System Objects] コンテナの隣にあ るチェックボックスを選択します。 注意: Exchange オブジェクトのディレクトリのアクセス許可を正常に処理するために、Exchange システムマネージャコンソールを使って、サービスアカウントに Exchange 管理者 (完全) 権限 を割り当てる必要があります。 ステップ 4:Select Domains このステップでは、オブジェクトを処理するドメインを追加します。追加する各ドメインに対して、ウィザード がそのドメインにアクセスしてオブジェクトを更新するために使用する資格情報を指定します。現在ログオンし ているユーザーの資格情報を使用することも、別の資格情報を指定することも可能です。 注意: Active Directory の処理を正常に完了するために、指定したアカウントには管理者権限がなけれ ばなりません。 ドメインサーバーに指定されている資格情報を変更するには、サーバーを選択して [Properties] ボタンをク リックします。 選択したドメインサーバーの処理スコープを設定するには、以下の手順に従ってください。 1. [Scope] ボタンをクリックします。 2. [Select Processing Scope] ダイアログボックスで、ドメイン階層ツリーを参照して、処理から除外する コンテナ名の隣にあるチェックボックスの選択を解除します。 優先するGC や DC を設定するには、以下の手順に従ってください。 1. [Options] ボタンをクリックします。 2. [Specify Options] ダイアログボックスで、優先するグローバルカタログおよび DC の名前を対応するテ キストボックスに入力します。 ステップ 5:Schedule Processing このステップでは、タスクを即開始するか、またはタスクをスケジュールするかを指定します。 l l l Save task configuration only:タスク設定を保存する場合に選択します。タスクを後ほど実行する場合 は、Migration Manager コンソールで目的のタスクを右クリックして、表示されるメニューから [Start] を選択します。 Save task configuration and run processing now:ウィザードの完了後タスクを即開始する場合に 選択します。 Schedule processing:タスクの開始時期を指定することができます。たとえば、夜間にタスクを実行する ようにスケジュールできます。新しいスケジュールの追加 (Add New Schedule)、既存のスケジュールの 削除 (Remove) または編集 (Edit) を行って、タスクを実行するアカウントを指定することができます。 ステップ 6:Complete the Wizard [Progress] ステップでは、ウィザードが要求されたすべての処理を完了するまで待機する必要があります。以 下の情報が表示されます。 l 処理状況を示す進捗バー l 特定のサーバーの処理状態 l その時点で処理されているコンテナ名 l エラー数 Migration Manager for Active Directory 8.11 リソース処理ガイド 43 [Summary] ステップでは、グループメンバーシップおよびアクセス許可の処理結果と統計情報を確認することが できます。処理中に何らかのエラーが発生した場合は、それが [Summary] に表示されます。エラーの説明につ いては、ログファイルを参照してください。 [Finish] をクリックすると、ウィザードが終了します。 Delegation モードの使用 ステップ 1:Set Task Properties 注意: ウィザードを Delegation モードに切り替えるには、[Delegate this task] チェックボックスを 選択する必要があります。 このステップでは、タスク名と説明の指定を要求するメッセージが表示されます。 ステップ 2:Configure Delegation Options このステップでは、タスクを委任する担当者のアカウントを指定します。1 つまたは複数のアカウントを指定し て、それらのアカウントにタスクを実行するための適切な権限を割り当てることができます。 委任するアカウントを指定して適切な権限を割り当てるには、以下の手順に従ってください。 1. [Delegate] ボタンをクリックします。 2. 委任するアカウントおよびロールを指定します。[OK] をクリックします。 以下のオプションを利用できます。 l Revoke:リストから選択したアカウントを削除して、アカウントの Active Directory を処理する権限を 取り消します。権限が継承されているアカウントは削除できないことに注意してください。 ステップ 3:Complete the Wizard 委任するアカウントのリストを作成したら、[Next] をクリックして、次に [Finish] をクリックすると、変更 内容が反映されてウィザードが終了します。 Active Directory 更新の実行 Migration Manager から Active Directory 処理タスクを開始するには、プロジェクトツリーからタスクを選択 してタスクを右クリックし、表示されるメニューから [Start] を選択します。 タスク実行の進捗状況を表示するには、プロジェクトツリーから目的のタスクオブジェクトを選択し、右側のパ ネルで [Information] タブに切り替えます。 タスクの停止 何らかの理由で Active Directory の処理を中止する場合は、タスクの実行後に開始されるウィザードの [Cancel] ボタンをクリックします。 [Cancel] ボタンをクリックして処理を中止した場合、またはエラーによりタスクが停止した場合、タスクは以 下のように処理を行います。 Migration Manager for Active Directory 8.11 リソース処理ガイド 44 l l l アクセス許可の更新時にタスクを停止すると、それ以降の再割り当て処理は中止されます。それまでに処 理が完了しているオブジェクトについては、新しい (ターゲット) アクセス許可が与えられます。その時 点で処理されていないオブジェクトは、古いアクセス許可をそのまま保持します。システムの状態を完全 に復元したい場合は、[Revert to the original group membership, linked attributes, and object permissions] オプションを設定してタスクを実行します。 変更内容を元に戻している時にタスクを停止すると、それ以降の再割り当て処理は中止されます。それま でに処理が完了しているオブジェクトについては、ソースのアクセス許可が与えられます。その時点で処 理されていないオブジェクトは、ターゲットのアクセス許可をそのまま保持します。システムの状態を復 元したい場合は、[Reassign group membership, linked attributes, and object permissions to target users] オプションを設定してタスクを実行します。 アクセス許可のクリーンアップ中にタスクを停止すると、それ以降の処理は中止されます。その時点まで に処理されたオブジェクトのアクセス許可がクリーンアップされます。その時点で処理されていないオブ ジェクトは、そのままの状態で保持されます。 ログファイル Active Directory 処理タスクのログは、%temp% フォルダの QsActiveDirectoryProcessingWizard_<タイムスタ ンプ>.log ファイルに保管されます。 メモ: Active Directory Processing Wizard は、自己のアクティビティに関する情報を Migration Manager コンソール管理ツリーの [History] ノード下には保存しません。すべてのデータは、適切なロ グファイルに保管されます。 Migration Manager コンソールをアップグレードすると、アップグレード前に完了した Active Directory 処理タスクのアクティビティ履歴は利用できなくなります。 タスクの再設定 タスクを再設定するには、タスクオブジェクトを右クリックして、[Properties] を選択します。Active Directory Processing Wizard が開始され、タスクのオプションを変更することができます。利用可能なオプ ションに関する情報については、前述の各ステップの説明を参照してください。 Migration Manager for Active Directory 8.11 リソース処理ガイド 45 Exchange サーバーの処理 ユーザーアカウントを移行した場合、変更内容に適合するようにメッセージングシステムを更新する必要があり ます。Exchange Processing Wizard は、Exchange アクセス許可を更新し、ターゲットドメインの移行されたア カウントに、ソースアカウントに対して与えられていたアクセス許可を割り当てます。たとえば、Exchange Processing Wizard はメールボックス、パブリックフォルダ、およびその他すべての Exchange オブジェクト の、クライアントおよび管理アクセス許可を更新します。クライアントアクセス許可は、ターゲットユーザーが 古いメールボックスにログインした時に、自動的に割り当てられます。 メモ: Exchange Processing Wizard は、一部のシステムフォルダに対する管理アクセス許可を更新する ことはできません。 Exchange ディレクトリアクセス許可は、Active Directory 処理タスクにより処理されます。詳細は、 「Active Directory Processing」を参照してください。 フォレスト内移行の場合、Exchange サーバーの更新後、ターゲットアカウントにはソースアカウントの すべての権限が与えられますが、メールボックスは引き続きソースアカウントに所属しています。ソース アカウントを廃止する前に、メールボックスをターゲットアカウントに割り当て直す必要があります。 Exchange サーバーのメールボックス所有者を更新するには、マイグレーションセッションで [Reconnect Exchange mailbox] オプションを使用する必要があります。 Exchange Processing Wizard を使用する場 合 Exchange Processing Wizard (EPW) は、Active Directory 移行時に新しいユーザー設定のアクセス許可を調整 するために、Exchange メールボックスとパブリックフォルダのアクセス許可を更新するツールです。EPW は、 以下の項目を更新します。 メールボックスに対して: l クライアントアクセス許可 l メールボックスのコンテンツ パブリックフォルダに対して: l クライアントアクセス許可 l 管理者権限 l パブリックフォルダのコンテンツ EPW を使用する必要があるさまざまな場面が存在しています。一般的には、移行したユーザーアカウント に、Active Directory 以降前と同じレベルのメールボックス/パブリックフォルダへのアクセスを与える場合 に使用します。 ここでは、EPW の使用に関する 3 つの一般的なシナリオを説明していきます。その他の現実世界でのシナリオ も同様で、ここで説明しているシナリオの一部をそのまま適用できる場合もあります。 Migration Manager for Active Directory 8.11 リソース処理ガイド 46 l フォレスト内ドメイン移行 l Exchange リソースフォレスト (ERF) が関与するフォレスト間移行シナリオ l ソースフォレストが ERF l ERF トポロジ内でユーザーがフォレストを変更 メモ: l l Exchange リソースフォレストは、他のフォレストからのユーザーに対して Exchange サーバーを 提供し、Exchange 操作専用の Active Directory です。 しばしば、設定作業を完了するために、EPW だけではなく他のツールを使用する必要もありま す。また、古いユーザー (Active Directory および Exchange ストア内) の msExchangeSecurityDescriptor 属性が新しいユーザーを指すようにするために、Active Directory Processing Wizard を使ってこの属性を更新する必要もあります。一般的な、メール ボックス/パブリックフォルダにカスタマイズされたアクセス許可がある場合は、ADPW が常に必 要になります。 フォレスト内ドメイン移行 EPW を使用するもっとも一般的な状況が、同じフォレスト内のあるドメインから他のドメインに Active Directory を移行する場合です。ユーザーアカウントが、その Exchange 関連プロパティと一緒に移行されま す。 EPW のロール マイグレーションセッションで [Reconnect Exchange mailbox] オプションを使用すると、ユーザーアカウント の移行完了後、ターゲットドメイン内のユーザーは各自のメールボックスに引き続きログインすることができま す。ただし、それらのユーザーには、ソースユーザーアカウントが保有していたアクセス許可がありません。パ ブリックフォルダ内でも、アクセス許可は古いドメイン設定に基づいています。 以下の事項を達成するために、移行後に Exchange サーバーに対して EPW を実行します。 Migration Manager for Active Directory 8.11 リソース処理ガイド 47 l メールボックスのすべての委任関連のアクセス許可を、新しいユーザーに正しく設定する。 l 新しいユーザーに、古いユーザーと同じレベルのパブリックフォルダへのアクセスを与える。 メモ: これらのステップの完了後、ソースドメインで Active Directory Processing Wizard を使用しな ければならないこともあります。 ソースフォレストが ERF EPW が関与する一般的なシナリオとしては、単一のフォレストではなく Exchange リソースフォレスト (ERF) トポロジの作成が挙げられます。このシナリオでは、ユーザーアカウントが新たに作成されたまたは既存の Active Directory フォレストに移動し、ターゲットユーザーはメールボックスの新たな所有者となります。 ソースフォレストは ERF として残され、ソースユーザーは無効になります。 EPW のロール ユーザーアカウントの移行が完了したら、ターゲットフォレスト内のユーザーは、ERF 内のメールボックスに アクセスできなくなります。以下の事項を達成するために、移行後に Exchange サーバーに対して EPW を実 行します。 l ターゲットフォレストのユーザーアカウントが、メールボックスの新しい所有者になります。 l メールボックスのすべての委任関連のアクセス許可を、新しいユーザーに正しく設定する。 l 新しいユーザーに、古いユーザーと同じレベルのパブリックフォルダへのアクセスを与える。 メモ: l これらのステップの完了後、Exchange リソースフォレストで Active Directory Processing Wizard を使用しなければならないこともあります。 Migration Manager for Active Directory 8.11 リソース処理ガイド 48 l ソースフォレストが ERF になる場合にのみ、ERF の設定に EPW が必要になります。ターゲット フォレストを ERF にする際には、Migration Manager for Exchange を使ってアクセス許可の更 新作業を自動化します。Exchange 移行時にユーザーの SID を解決できる限り、ソースユーザー とターゲットユーザーの両方のアクセス許可を正しく変更することができます。 ERF トポロジ内でユーザーがフォレストを変更 別の (ERF) フォレスト内にメールボックスを保有する、あるフォレストのユーザーが、さらに別の第 3 のフォ レストに移動されることもあります。ターゲットユーザーは ERF 内のメールボックスの新たな所有者となり、 古いフォレストは使用停止されます。 EPW のロール ユーザーアカウントの移行が完了したら、ターゲットフォレスト内のユーザーは、ERF 内のメールボックスに アクセスできなくなります。以下の事項を達成するために、移行後に Exchange サーバーに対して EPW を実 行します。 l ターゲットフォレストのユーザーアカウントが、メールボックスの新しい所有者になります。 l メールボックスのすべての委任関連のアクセス許可を、新しいユーザーに正しく設定する。 l 新しいユーザーに、古いユーザーと同じレベルのパブリックフォルダへのアクセスを与える。 メモ: これらのステップの完了後、Exchange リソースフォレストで Active Directory Processing Wizard を使用しなければならないこともあります。 前提条件 (Exchange サーバーの処理) l Exchange ディレクトリを正常に更新するために、Exchange 組織に対する Exchange 管理者 (完全) ロー ルを持つアカウントを使用する必要があります。 Migration Manager for Active Directory 8.11 リソース処理ガイド 49 l l l Exchange サーバーを正常に更新するためには、Exchange 仮想サーバーおよびフォルダに対して、統合 Windows 認証を有効にする必要があります。 Exchange サーバーがターゲットドメインと同じフォレスト内に存在している場合は、その他の信頼関係 を確立しないでも正常に処理を完了できます。 Exchange 2000 サーバーの更新には、Exchange 2000 Server Service Pack 1 以上を適用する必要があり ます。最新の Exchange 2000 サーバー Service Pack を使用することをお勧めします (現在の所は Service Pack 3)。 Exchange 更新の開始 いくつかの方法で、Exchange 更新を実行することができます。環境に適した手段をお選びください。 l l l Exchange 処理タスクを作成して、それを Migration Manager で実行する。Exchange 処理タスクを作成 するには、[Resource Processing] | [Tasks] に移動して、右パネルにある [Exchange Processing] ボ タンをクリックします。 Exchange 処理タスクを作成して、タスクのセットアップパッケージを作成し、タスクの実行権限を他の 担当者に委任して、その担当者にパッケージを提供します。委任された管理者はそのパッケージをインス トールして、タスク設定に指定されている Exchange 処理タスクを実行します。詳細は、「リソース更新 の委任」を参照してください。 Exchange 処理に関する適切な設定を行った INI ファイルをエクスポートして、その INI ファイルを 使ってスタンドアロンモードで実行する Exchange 処理タスクを作成、設定する。詳細は、「リソース更 新の委任」を参照してください。 どの方法を使用する場合でも、Exchange Processing Wizard が一連の更新作業を指示していきま す。Exchange Processing Wizard の指示に従って、各ステップの作業を行います。詳細は、関連する項目を 参照してください。 ステップ 1:New Exchange Processing Task タスクの名前と説明を指定します。 ステップ 2:Select Configuration Mode 次に、このタスクを他の担当者に委任するのか、またはタスクを設定、スケジュールするのかを選択します。 l l Delegate resource processing task—タスクを作成して、それを他の担当者に委任する場合に、このオ プションを選択します。 Configure resource processing task—タスクを作成、設定して、それをスケジュールする場合、このオ プションを選択します。 選択したモードによって、ウィザードの残りのステップは異なります。 Migration Manager for Active Directory 8.11 リソース処理ガイド 50 ステップ 3:Specify Re-Permissioning Options このステップは、前のステップで選択した設定モードに関係なく表示されます。 このステップでは、Exchange オブジェクトを処理するためのオプションを指定できます。 l Reassign object ownership and permissions to target users—Exchange オブジェクトに設定されて いるアクセス許可と所有権を、新しい (ターゲット) ユーザーアカウントに割り当て直す場合に、この オプションを選択します。 a. Leave source accounts’ permissions—ソースユーザーアカウントとターゲットユーザーアカウ ントの両方へのアクセスを許可する場合に選択します (推奨)。共存期間中に両方のアカウントに 同じ権限を与えられるため、更新作業を円滑に行うことができます。 b. Replace existing target accounts’ permissions—ターゲットユーザーのアクセス許可がすでに 設定されている場合 (オブジェクトのセキュリティ記述子にターゲットユーザーの SID が含まれ ている)、このチェックボックスを選択することで、ソースアカウントのアクセス許可を既存の ターゲットアカウントに割り当てることができます。この場合、ターゲットアカウントのアクセ ス許可は上書きされます。このチェックボックスの選択を解除すると、ターゲットアカウントの アクセス許可はそのまま保持されます。 l Clean up legacy object ownership and permissions of migrated users—オブジェクトのアクセス制御 リスト (ACL) から、ソースアカウントに対して与えられているアクセス許可を削除し、古いアカウント の権限を無効にする場合にこのオプションを選択します。通常は、移行期間が完了しましたら、この処理 を行う必要があります。 Migration Manager for Active Directory 8.11 リソース処理ガイド 51 l Revert to the original object ownership and permissions— アクセス許可の再割り当てを Undo する 場合にこのオプションを選択します。Undo 操作により、オブジェクトのアクセス制御リスト (ACL) から ターゲットユーザーが削除され、すべての権限がソースアカウントに戻されます。 メモ: 移行時に 2 つのソースユーザーを 1 つのターゲットユーザーに結合した場合に、一部の オブジェクトに対するアクセス許可を片方のソースユーザーのみが保有するとします。この場 合、Exchange を更新してアクセス許可を元に戻した後は、両方のユーザーがそれらのオブジェク トに対するアクセス許可を持つことになります (両方のユーザーが共通のアクセス許可を保有す る)。 l Process from INI file— INI ファイルから処理オプションを取得する場合に選択します。INI 設定 ファイルは、Migration Manager で作成できます ([Tools] | [Export to] | [INI File])。詳細 は、「リソース更新の委任」を参照してください。INI ファイルが存在していない場合は、このオプ ションは無効になります。 注意: このオプションは、ウィザードをスタンドアロン (Standalone) モードで実行している場合にのみ 有効になります。 このウィザードは、一度も使用されたことがないメールボックスのアクセス許可を更新することはできま せん。Exchange ストアは、ユーザーが初めてそれを開かない限り、実際にメールボックスを作成すること はありません。ユーザーが初めて開いた時に、ストアにセキュリティ記述子が作成されます。新しく作成 したメールボックスを処理する前に、それにログオンしてアクティブ化してください。さもなければ、 ウィザードがメールボックスのアクセス許可を処理することはできません。 ステップ 4:Delegate Resource Processing Task このステップは、ステップ 2 で [Delegate resource processing task] モードを選択した場合にのみ表示され ます。[Configure resource processing task] オプションを選択した場合は、ステップ 5 に進んでください。 このステップでは、1 つまたは複数の信頼するアカウントを指定して、それらのアカウントにタスクを実施する 権限を委任することができます。 Migration Manager for Active Directory 8.11 リソース処理ガイド 52 権限を信頼するアカウントに割り当てるには、以下の手順に従ってください。 1. [Browse] ボタンをクリックします。 2. [Select User or Group] ダイアログボックスで、権限を委任するユーザーまたはグループを選択して、 [OK] をクリックします。 3. [Add Account] ボタンをクリックします。委任されたアカウントのリストにアカウントが追加さ れ、Resource Admin ロールに割り当てられている権限が自動的に与えられます。利用可能なロールお よび各ロールが保有する権限の詳細は、『System Requirements and Access Rights』を参照してくだ さい。 [Next] をクリックして、[Complete the Exchange Processing Wizard] ステップに進みます。 ステップ 5:Select Exchange Servers このステップでは、更新する各組織に対して、最低 1 つの Exchange サーバーを追加してください。 First Use Exchange Processing Wizard を初めて実行する場合、処理対象 Exchange オブジェクトを選択する前に、以下 のように [Add Exchange Servers] ダイアログボックスが自動的に表示されます。 Migration Manager for Active Directory 8.11 リソース処理ガイド 53 サーバーに接続するための、Exchange サーバー名と資格情報を指定してください。 メモ: 指定したアカウントに、一部の Exchange オブジェクトを変更するために十分な権限がない場合、 それらのオブジェクトは変更されません。エラーや警告のメッセージは表示されません。すべてのメッ セージはログファイルに書き込まれます。詳細は、「前提条件」を参照してください。 保護された接続を使用してサーバーに接続する場合は、[Add Exchange Servers] ダイアログボックスの [Use SSL] チェックボックスを選択します。保護された接続を使用するには、Exchange サーバーが動作するコン ピュータ上の Web サーバーが、SSL を使用するように設定する必要があります。保護された接続を介してサー バーを正常に処理するために、信頼できる企業が発行した証明書を使用する必要があります。セキュリティ証明 書の日付が有効で、指定した Exchange サーバー名と一致する有効な名前が記載されていなければなりません。 詳細は、Web サーバーおよび Exchange サーバーのドキュメントを参照してください。 このステップでは、グローバルカタログサーバー (GC) も選択します。GC は組織内のすべてのメールボックス に関する情報を保管しており、メールボックスの列挙に用いられます。[Autodetect] オプションを選択した場 合は、もっとも近い GC が用いられます。特定のカタログサーバーを選択するには、[Custom] オプションを選 択してサーバー名を指定します。組織に大量のメールボックスが存在している場合は、これを利用することをお 勧めします (処理するクエリー数が少ない GC を指定することで、過負荷状態になる危険性を減らせるため)。 それ以降の使用 ウィザードを初めて実行したのではない場合は、以前に追加された Exchange 組織が表示されます。ウィザード には、追加したすべてのサーバーがあるオブジェクトツリーが表示されます。ツリー名は、組織名の後にサイト 名と処理対象サーバー名が続く形式になります。 Migration Manager for Active Directory 8.11 リソース処理ガイド 54 処理対象の新しい Exchange 組織およびサーバーを追加するには、ツールバーの [Add Exchange server] およ び [Add all servers from Exchange organization] ボタンを使用します。 リスト内の Exchange サーバーの資格情報と接続設定を変更するには、サーバーオブジェクトを右クリックして [Properties] を選択します。[Add Exchange Servers] ダイアログボックスが表示されます。 処理対象サーバーに対応するチェックボックスを選択します。チェックボックスを選択すると、その下位レベル にあるすべてのノードが選択されます。Exchange 組織内のすべてのサーバーを選択するには、単純に組織ノー ドを選択します。組織内の一部のサーバーを処理から除外するには、そのサーバーのチェックボックスの選択を 解除してください。 メモ: 最下位レベルのチェックボックスを最低 1 つ選択する必要があります。サーバーが選択されてい ない場合、処理を続行することはできません。 Exchange 組織混在環境のパブリックフォルダへの正しい資格情報の指定 Exchange 2003、Exchange 2007、および Exchange 2010 サーバーが混在している組織の Exchange サーバーに あるパブリックフォルダを処理する場合、追加の要件が適用されます。[Add Exchange Servers] ダイアログ ボックスで指定するユーザーには、以下の事項が必要になります。 1. 『System Requirements and Access Rights』ドキュメントの「Accounts and Rights Required for Active Directory Migration Tasks」に記載されている Exchange 更新用の権限。 2. 追加するサーバー上のメールボックス。 サーバーに指定したユーザーのメールボックスがない場合、処理対象パブリックフォルダの選択時にエラーが発 生する可能性があります。 Migration Manager for Active Directory 8.11 リソース処理ガイド 55 ステップ 6:Select Objects このステップでは、処理対象オブジェクトを指定します。 クライアントアクセス許可、管理アクセス許可、メッセージのアクセス許可、またはそれらの任意の組み合わせ を更新するかどうかを選択することができます。また、これらの変更をすべての Exchange オブジェクトに対し て行うか、または指定したオブジェクトに対してのみ行うかを指定することもできます。 メモ: 正常にメッセージを処理するために、以下の事柄を確認してください。 l l 処理を実施するアカウントには、処理対象ストアまたはサーバーに対する Send As および Receive As アクセス許可がなければなりません。 メールボックスデータベースには、関連するパブリックフォルダがあります。 メッセージを処理する前に、メールボックスとパブリックフォルダのバックアップを作成しておくことを お勧めします。 処理するオブジェクトの選択 明示的に処理するオブジェクトを選択するには、[Process selected objects only] を選択して [Select objects] ボタンをクリックします。[Select Objects to Process] ウィンドウに、Exchange ディレクトリ 階層が表示されます。 ウィザードには、処理対象として指定したサーバーおよびそれらのサーバーが所属している組織が表示されま す。これらのオブジェクトは、前のステップですでに選択しているため、選択済みとなり、変更することはでき ません。下位レベルは、組織内の各サーバーの組織階層を表しています。下位レベルのオブジェクトのみを選択 または選択解除することができます。 Migration Manager for Active Directory 8.11 リソース処理ガイド 56 処理するメールボックスおよびパブリックフォルダを個別に選択することができます。オブジェクトを選択また は選択解除すると、そのオブジェクト下にあるオブジェクトも選択または選択解除されます。 オブジェクトを選択したら、[Close] をクリックします。 ステップ 7:Specify Scheduling Options このステップでは、タスクを即開始するか、またはタスクをスケジュールするかを指定します。 Migration Manager for Active Directory 8.11 リソース処理ガイド 57 l l l Save and start processing immediately—ウィザードの完了後、タスクを即実行する場合に選択します。 タスク実行の進捗状況を表示するには、プロジェクトツリーから目的のタスクオブジェクトを選択し、右 側のパネルで [Information] タブに切り替えます。 Save task configuration—タスク設定を保存する場合に選択します。タスクを後ほど実行する場合 は、Migration Manager で目的のタスクを右クリックして、表示されるメニューから [Start] を選択 します。 Save and schedule processing—タスクの開始時間を指定する場合にこのオプションを選択します。た とえば、夜間にタスクを実行するようにスケジュールできます。時間を指定するには、[Schedule] ボタ ンをクリックします。 ステップ 8:Complete the Exchange Processing Wizard このステップでは、前のステップで指定したすべての設定が表示されます。後でレビューするために、これらの 設定を印刷することができます。[Print] ボタンをクリックして、プリンタを選択してください。また、[Save As] ボタンをクリックして名前を指定し、設定をテキストファイルに保存することもできます。 [Finish] をクリックすると、Exchange Processing Wizard が終了します。Migration Project ツリーの [Tasks] コンテナに、新しい Exchange 処理タスクが表示されます。 Migration Manager for Active Directory 8.11 リソース処理ガイド 58 Exchange 更新の実行 Migration Manager から Exchange 処理タスクを開始するには、プロジェクトツリーからタスクを選択してタ スクを右クリックし、表示されるメニューから [Start] を選択します。 タスク実行の進捗状況を表示するには、プロジェクトツリーから目的のタスクオブジェクトを選択し、右側のパ ネルで [Information] タブに切り替えます。 タスクの停止 何らかの理由で、Exchange 処理を中断する場合は、タスクを右クリックして 表示されるメニューから [Stop] を選択します。 メモ: Exchange サーバーの処理中または Exchange Processing Wizard の [Select Objects to Process] ウィンドウでオブジェクトを選択した後にそのオブジェクトを移動した場合、そのオブジェク トは処理されません。 [Stop] を選択して処理を中止した場合、またはエラーによりタスクの実行が停止した場合、タスクは以下のよ うに処理を行います。 l l l アクセス許可の更新時にタスクを停止すると、それ以降の再割り当て処理は中止されます。それまでに処 理が完了しているオブジェクトについては、新しい (ターゲット) アクセス許可が与えられます。その時 点で処理されていないオブジェクトは、古いアクセス許可をそのまま保持します。Exchange ディレクト リの状態を完全に復元したい場合は、[Revert to the original object ownership and permissions] オ プションを使ってウィザードを実行してください。 変更内容を元に戻している時にタスクを停止すると、それ以降の再割り当て処理は中止されます。それま でに処理が完了しているオブジェクトについては、ソースのアクセス許可が与えられます。その時点で処 理されていないオブジェクトは、ターゲットのアクセス許可をそのまま保持します。Exchange ディレク トリの状態を復元したい場合は、[Reassign object ownership and permissions to target users] オプ ションを使ってウィザードを実行してください。 アクセス許可のクリーンアップ中にタスクを停止すると、それ以降の処理は中止されます。その時点まで に処理されたオブジェクトのアクセス許可がクリーンアップされます。その時点で処理されていないオブ ジェクトは、そのままの状態で保持されます。 メモ: Exchange Processing Wizard を使って、複数のサーバーに複製されているパブリックフォルダを 処理する場合、複製が完了するまでの間、他のサーバーを処理しないでください (デフォルトでは、複製 は 15 分間隔で行われます)。さもなければ複製の衝突が発生してしまいます。 ログファイル Exchange Processing Wizard のログは、以下の場所に保存されています。 l l ウィザードが Console Integration または Delegation モードで実行されている場合は、%temp% フォル ダにファイル名 E2KPW.log で保管されます。 ウィザードが Standalone モードで実行されている場合は、%Program Files%\Common Files\Aelita Shared\Migration Tools フォルダにファイル名 e2k<番号>.tmp で保管されます。 タスクの再設定 タスクを再設定するには、タスクオブジェクトを右クリックして、[Properties] を選択します。Exchange Processing Wizard が開始され、タスクのオプションを変更することができます。利用可能なオプションに関す る情報については、前述の各ステップの説明を参照してください。 Migration Manager for Active Directory 8.11 リソース処理ガイド 59 SMS Processing SMS Processing Wizard は、Microsoft Systems Management Server 2003 および Microsoft System Center Configuration Manager 2007 のアクセス許可を更新し、ドメイン再設定後のドメイン移行の変更内容を、選択 したオブジェクトに反映するためのツールです。 注意: SMS を正常に更新するためには、処理対象の SMS Server および SMS Server データベースを提供 している SQL Server 上の、ローカルの Administrator アクセス許可が必要です。 SMS 更新の開始 SMS 更新を各々の方法で実行することができます。環境に適した手段をお選びください。 l l l SMS 処理タスクを作成して、それを Migration Manager で実行する。SMS 処理タスクを作成するに は、[Resource Processing] | [Tasks] に移動して、右パネルにある [SMS Processing] ボタン をクリックします。 SMS 処理タスクを作成して、次にタスクのセットアップパッケージを作成し、タスクの実行権限を他の担 当者に委任して、その担当者にパッケージを提供します。委任された管理者はそのパッケージをインス トールして、タスク設定に指定されている SMS 処理タスクを実行します。詳細は、「リソース更新タ スクの委任」を参照してください。 SMS 処理に関する適切な設定を行った INI ファイルをエクスポートして、その INI ファイルを使っ てスタンドアロンモードで実行する SMS 処理タスクを作成、設定する。詳細は、「リソース更新の委 任」を参照してください。 どの方法を使用する場合でも、SMS Processing Wizard が以下のように一連の更新作業を指示していきます。 ステップ 1:New SMS Processing Task このステップでは、タスクに新しい名前と説明を指定できます。 ステップ 2:Select Configuration Mode このステップでは、タスクを他の担当者に委任するか、またはタスクを設定して、スケジュールするかを選択し ます。 タスクの設定を行う場合は、タスクの名前と説明を入力してください。 タスクを委任する場合は、[Delegate this task] チェックボックスを選択します。 Migration Manager for Active Directory 8.11 リソース処理ガイド 60 選択したモードによって、ウィザードの残りのステップは異なります。 ステップ 3:Specify Re-Permissioning Options このステップは、前のステップで選択した設定モードに関係なく表示されます。 このステップでは、SMS オブジェクトを処理するためのオプションを指定します。 Migration Manager for Active Directory 8.11 リソース処理ガイド 61 l Reassign object ownership and permissions to target users—SMS オブジェクトに設定されているアク セス許可と所有権を、新しい (ターゲット) ユーザーアカウントに割り当て直す場合に、このオプション を選択します。ソースユーザーアカウントとターゲットユーザーアカウントの両方へのアクセスを許可す る場合は、[Leave source accounts’ permissions] チェックボックスを選択します (推奨)。共存期間 中に両方のアカウントに同じ権限を与えられるため、更新作業を円滑に行うことができます。 メモ: アカウントマイグレーションセッション時に、ユーザー A とユーザー B をユーザー C に 結合した場合、ターゲットユーザーは、ユーザー A とユーザー B の両方のアクセス許可を保有 します。 ターゲットアカウントがすでに SMS アクセス許可を保有している場合は、これらのアクセス許可 はソースアカウントのアクセス許可で置換されます。 l l Clean up object ownership and permissions of migrated users—オブジェクトのアクセス制御リ スト (ACL) から、ソースアカウントに対して与えられているアクセス許可を削除し、古いアカウント の権限を無効にする場合にこのオプションを選択します。通常は、移行期間が完了しましたら、この処理 を行う必要があります。 Revert to the original object ownership and permissions— アクセス許可の再割り当てを Undo する 場合にこのオプションを選択します。Undo 操作により、オブジェクトのアクセス制御リスト (ACL) から ターゲットユーザーが削除され、すべての権限がソースアカウントに戻されます。 メモ: 移行時に 2 つのソースユーザーを 1 つのターゲットユーザーに結合した場合に、一部の オブジェクトに対するアクセス許可を片方のソースユーザーのみが保有するとします。この場 合、SMS を更新してアクセス許可を元に戻した後は、両方のユーザーがそれらのオブジェクトに 対するアクセス許可を持つことになります (両方のユーザーが共通のアクセス許可を保有する)。 Migration Manager for Active Directory 8.11 リソース処理ガイド 62 l Process as specified in the exported INI settings file—INI ファイルから処理オプションを取得す る場合に選択します。INI 設定ファイルは、Migration Manager で作成できます ([Tools] | [Export to] | [INI File])。詳細は、「リソース更新の委任」を参照してください。INI ファイルが存在してい ない場合は、このオプションは無効になります。 メモ: このオプションは、ウィザードをスタンドアロン (Standalone) モードで実行している場 合にのみ有効になります。 ステップ 4:Delegate Resource Processing Task このステップは、ステップ 2 で [Delegate resource processing task] モードを選択した場合にのみ表示され ます。[Configure resource processing task] オプションを選択した場合は、ステップ 5 に進んでください。 このステップでは、1 つまたは複数の信頼するアカウントを指定して、それらのアカウントにこのタスクを実施 する権限を委任することができます。 委任するアカウントを指定して適切な権限を割り当てるには、以下の手順に従ってください。 1. [Delegate] ボタンをクリックします。 2. 委任するアカウントおよびロールを指定します。[OK] をクリックします。 [Next] をクリックして、[Complete the SMS Processing Wizard] ステップに進みます。 Migration Manager for Active Directory 8.11 リソース処理ガイド 63 ステップ 5:Select SMS Servers このタスクで処理する SMS サーバーを追加するには、[Add] ボタンを使用します。[Add SMS Server] ダイアロ グボックスが表示されます。テキストボックスにサーバー名を入力するか、または [Browse] ボタンを使ってリ ストからサーバーを選択します。 現在ログオンしているユーザーの資格情報を使用してサーバーに接続することも、別の資格情報を指定すること も可能です。資格情報を指定する場合は、テキストボックスにユーザー名とパスワードを入力するか、または [Browse] ボタンを使ってユーザーを選択してください。[OK] をクリックします。 リストからサーバーを削除する場合は、[Remove] ボタンを使用します。資格情報を変更するには、リストから サーバーを選択して [Properties] ボタンをクリックし、[SMS Server Properties] ダイアログボックスに新し い資格情報を指定します。 [Next] をクリックすると次のステップに進みます。 ステップ 6:Specify Scheduling Options このステップでは、タスクを即開始するか、またはタスクをスケジュールするかを指定します。 Migration Manager for Active Directory 8.11 リソース処理ガイド 64 l l l Save task configuration only—タスク設定を保存する場合に選択します。タスクを後ほど実行する場 合は、Migration Manager で目的のタスクを右クリックして、表示されるメニューから [Start] を選 択します。 Save task configuration and run processing now—このオプションを選択した場合、ウィザードの完了 後タスクが即開始されます。タスク実行の進捗状況を表示するには、プロジェクトツリーから目的のタ スクオブジェクトを選択し、右側のパネルで [Information] タブに切り替えます。 Save task configuration and schedule processing—タスクの開始時間を指定する場合にこのオプション を選択します。たとえば、夜間にタスクを実行するようにスケジュールできます。時間を指定するには、 [Schedule] ボタンをクリックします。 ステップ 7:Complete the SMS Processing Wizard このステップでは、前のステップで指定したすべての設定が表示されます。後でレビューするために、これらの 設定を印刷することができます。[Print] ボタンをクリックして、プリンタを選択してください。また、[Save As] ボタンをクリックして名前を指定し、設定をテキストファイルに保存することもできます。 [Finish] をクリックすると、SMS Processing Wizard が終了します。Migration Project ツリーの [Tasks] コ ンテナに、新しい SMS 処理タスクが表示されます。 Migration Manager for Active Directory 8.11 リソース処理ガイド 65 SMS 更新の実行 Migration Manager から SMS 処理タスクを開始するには、プロジェクトツリーからタスクを選択してタスクを 右クリックし、表示されるメニューから [Start] を選択します。 タスク実行の進捗状況を表示するには、プロジェクトツリーから目的のタスクオブジェクトを選択し、右側のパ ネルで [Information] タブに切り替えます。 タスクの停止 何らかの理由で、SMS 処理を中断する場合は、タスクを右クリックして 表示されるメニューから [Stop] を 選択します。 [Stop] を選択して処理を中止した場合、またはエラーによりタスクの実行が停止した場合、タスクは以下のよ うに処理を行います。 l l l アクセス許可の更新時にタスクを停止すると、それ以降の再割り当て処理は中止されます。それまでに処 理が完了しているオブジェクトについては、新しい (ターゲット) アクセス許可が与えられます。その時 点で処理されていないオブジェクトは、古いアクセス許可をそのまま保持します。SMS の状態を完全に復 元したい場合は、[Revert to the original object ownership and permissions] オプションを使って ウィザードを実行してください。 変更内容を元に戻している時にタスクを停止すると、それ以降の再割り当て処理は中止されます。それま でに処理が完了しているオブジェクトについては、ソースのアクセス許可が与えられます。その時点で処 理されていないオブジェクトは、ターゲットのアクセス許可をそのまま保持します。SMS の状態を復元し たい場合は、[Reassign object ownership and permissions to target users] オプションを使ってウィ ザードを実行してください。 アクセス許可のクリーンアップ中にタスクを停止すると、それ以降の処理は中止されます。その時点まで に処理されたオブジェクトのアクセス許可がクリーンアップされます。その時点で処理されていないオブ ジェクトは、そのままの状態で保持されます。 ログファイル QsSmsProcessingWizard_<タイムスタンプ>.log ファイルは、%TEMP% フォルダに保管されます。 メモ: SMS Processing Wizard は、自己のアクティビティに関する情報を Migration Manager コンソー ル管理ツリーの [History] ノード下には保存しません。すべてのデータは、適切なログファイルに保管 されます。 タスクの再設定 タスクを再設定するには、タスクオブジェクトを右クリックして、[Properties] を選択します。SMS Processing Wizard が開始され、タスクのオプションを変更することができます。利用可能なオプションに関す る情報については、前述の各ステップの説明を参照してください。 注意: SMS Processing Wizard が、ソース上のローカルグループ BUILTIN\Administrators および SMSAdmins の一部のメンバーを処理した場合、ソースドメインコントローラ上で Resource Updating Manager を使ってこれらのグループを処理して、それらのアカウントを対応するグループのメンバーにす る必要があります。 Migration Manager for Active Directory 8.11 リソース処理ガイド 66 SQL Server の処理 SQL Processing Wizard では、Microsoft SQL Server を更新し、Migration Manager を使って行われたドメイ ン移行の変更内容を反映させることができます。SQL の更新は、Migration Manager を使ってアカウントを新し いドメインに移行した後に実施する必要があります。 注意: SQL Processing Wizard は、その 1 つ以上のデータベースがオフライン、読み取り専用、または シングルユーザーモードになっている SQL Server を処理しません。このような動作は、アクセス許可の 不整合を防止する目的で行われています。 SQL Processing Wizard は、移行プロジェクトから移行情報を取得して、処理した SQL Server 上で見つかった 古いアカウント (ソースログイン) を、対応する新しいアカウント (ターゲットログイン) で置換します。 以下のバージョンの SQL Server がサポートされています。 l Microsoft SQL Server 2012 SP1 l Microsoft SQL Server 2008 R2 l Microsoft SQL Server 2008 Express l Microsoft SQL Server 2008 l Microsoft SQL Server 2005 l Microsoft SQL Server Desktop Engine (MSDE) l Microsoft SQL Server 2000 このウィザードは自動的に SQL Server のバージョンを検出し、そのサーバーの構造に基づいて更新処理を実 施します。 このウィザードは、ログインを結合することができます。ターゲットログイン名またはセキュリティ識別子 (SID) がすでに SQL Server 上で使用されている場合、または複数のソースログインのターゲットログインが 同じになっている場合、ターゲットログインは自己の権限だけでなく、すべてのソースログインの権限も保有す ることになります。 このウィザードでは、データベースユーザーを分割することはできません。1 つのソースデータベースユーザー は、1 つのターゲットデータベースユーザーに対してのみ移行できます。SQL Server 7.0 以上の場合、いった んソースデータベースユーザーを移行すると、SQL Processing Wizard でソースデータベースユーザーを他の ターゲットデータベースユーザーに移行することはできません。ソースデータベースユーザーは、最初のター ゲットデータベースユーザーへの移行後に、存在しなくなっています。 移行をロールバックする場合も、SQL Processing Wizard を使って SQL Server に対する変更を元に戻すこ とができます。 メモ: 更新処理時にアカウントを結合した場合は、ロールバック時にそれを個別のアカウントに戻すこと はできません。このような場合は、バックアップからサーバーを復元することをお勧めします。 処理された SQL オブジェクト SQL Processing Wizard は、選択された移行アカウントすべてを対応するターゲットアカウントで置換します。 Migration Manager for Active Directory 8.11 リソース処理ガイド 67 Microsoft SQL Server 2012 SP1 Microsoft SQL Server 2012 SP1 サーバー上では、以下のオブジェクトが更新されます。 l セキュリティログイン l データベースユーザー l オブジェクト所有者 l オブジェクトアクセス許可 l データベース所有者 l レプリケーションパブリケーション: l パブリケーションアクセスリスト内のログイン名 l スナップショットの場所の FTP ログイン l レプリケーション先所有者 l データベースメンテナンスプラン所有者 l レガシデータベースメンテナンスプラン所有者 l SQL Server エージェントのジョブ所有者 l ステートメント権限 l 役割所有者 l エンドポイント所有者: l データベースミラーリング所有者 l Service Broker 所有者 l SOAP 所有者 l TSQL 所有者 l スキーマ所有者 l キー所有者 (対称、非対称) l 証明書所有者 l Service Broker: l メッセージタイプ所有者 l コントラクト所有者 l サービス所有者 l ルート所有者 l リモートサービスバインド所有者 l フルテキストカタログ所有者 l アセンブリ所有者 Microsoft SQL Server 2008 および Microsoft SQL Server 2008 Express Microsoft SQL Server 2008 サーバー上では、以下のオブジェクトが更新されます。 Migration Manager for Active Directory 8.11 リソース処理ガイド 68 l セキュリティログイン l データベースユーザー l オブジェクト所有者 l オブジェクトアクセス許可 l データベース所有者 l レプリケーションパブリケーション: l パブリケーションアクセスリスト内のログイン名 l スナップショットの場所の FTP ログイン l レプリケーション先所有者 l データベースメンテナンスプラン所有者 l レガシデータベースメンテナンスプラン所有者 l SQL Server エージェントのジョブ所有者 l レガシデータ変換サービス: l ローカルパッケージ所有者 l メタデータサービスパッケージ所有者 l メタデータ作成者 l ステートメント権限 l 役割所有者 l エンドポイント所有者: l データベースミラーリング所有者 l Service Broker 所有者 l SOAP 所有者 l TSQL 所有者 l スキーマ所有者 l キー所有者 (対称、非対称) l 証明書所有者 l Service Broker: l メッセージタイプ所有者 l コントラクト所有者 l サービス所有者 l ルート所有者 l リモートサービスバインド所有者 l フルテキストカタログ所有者 l アセンブリ所有者 Microsoft SQL Server 2005 Microsoft SQL Server 2005 サーバー上では、以下のオブジェクトが更新されます。 Migration Manager for Active Directory 8.11 リソース処理ガイド 69 l セキュリティログイン l データベースユーザー l オブジェクト所有者 l オブジェクトアクセス許可 l データベース所有者 l レプリケーションパブリケーション: l パブリケーションアクセスリスト内のログイン名 l スナップショットの場所の FTP ログイン l レプリケーション先所有者 l データベースメンテナンスプラン所有者 l レガシデータベースメンテナンスプラン所有者 l SQL Server エージェントのジョブ所有者 l レガシデータ変換サービス: l ローカルパッケージ所有者 l メタデータサービスパッケージ所有者 l メタデータ作成者 l エイリアス l ステートメント権限 l 役割所有者 l エンドポイント所有者: l データベースミラーリング所有者 l Service Broker 所有者 l SOAP 所有者 l TSQL 所有者 l スキーマ所有者 l キー所有者 (対称、非対称) l 証明書所有者 l Service Broker: l メッセージタイプ所有者 l コントラクト所有者 l サービス所有者 l ルート所有者 l リモートサービスバインド所有者 l フルテキストカタログ所有者 l アセンブリ所有者 Migration Manager for Active Directory 8.11 リソース処理ガイド 70 Microsoft SQL Server 2000 Microsoft SQL Server 2000 サーバー上では、以下のオブジェクトが更新されます。 l セキュリティログイン l データベースユーザー l オブジェクト所有者 l ユーザー定義データ型 l ユーザー定義関数 l データベース所有者 l レプリケーションパブリケーション: l パブリケーションアクセスリスト内のログイン名 l スナップショットの場所の FTP ログイン l レプリケーション先所有者 l データベースメンテナンスプラン所有者 l SQL Server エージェントのジョブ所有者およびジョブが開始されたアカウント l データ変換サービス: l l l ローカルパッケージ所有者 l メタデータサービスパッケージ所有者 l メタデータ作成者 リンクサーバー: l ローカルログイン l リモートユーザー l 既定のリモートログイン リモートサーバー: l ログインマッピング用リモートログイン l エイリアス l ステートメント権限 l オブジェクトアクセス許可 l 役割所有者 Microsoft SQL Server 7.0 SQL Processing Wizard は、Microsoft SQL Server 7.0 サーバー上の以下のオブジェクトを更新します。 l セキュリティログイン l データベースユーザー l オブジェクト所有者 l ユーザー定義データ型 l データベース所有者 Migration Manager for Active Directory 8.11 リソース処理ガイド 71 l レプリケーションパブリケーション: l パブリケーションアクセスリスト内のログイン名 l スナップショットの配布の FTP ログイン l レプリケーション先所有者 l データベースメンテナンスプラン所有者 l SQL Server エージェントのジョブ所有者およびジョブが開始されたアカウント l データ変換サービス: l l l ローカルパッケージ所有者 l リポジトリパッケージ所有者 l メタデータ作成者 リンクサーバー: l ローカルログイン l リモートユーザー l 既定のリモートログイン リモートサーバー: ログインマッピング用リモートログイン l l エイリアス l ステートメント権限 l オブジェクトアクセス許可 l 役割所有者 処理の詳細 メモ: 更新時に、ターゲットアカウントは、常にソースアカウントに優先されます。たとえば、SQL Server ではエイリアスの結合は禁止されています。そのため、ログインの結合時にターゲットログイン にすでにエイリアスが存在している場合、それがそのまま保持されて、ソースログインのエイリアスは使 用されません。 更新処理時にアカウントを結合し、それらのアカウントの 1 つまたは複数に拒否 (deny) 属性が存在し ている場合、ターゲットアカウントも拒否属性を保有します。 処理時に、SQL Server エージェントのプロキシアカウントのパスワードは更新されません。処理後に は、SQL Server が正常に機能するように、エージェントのプロキシアカウントパスワードを設定する必 要があります。 このウィザードは、テーブル、ビュー、ストアドプロシージャ、拡張ストアドプロシージャ、ルール、既定値、 ユーザーデータ型、およびユーザーの定義関数などのデータベースオブジェクトの所有権も変更し、またデータ ベースユーザーのステートメント権限およびオブジェクト権限を処理します。 注意: 移行が行われた後、SQL Server の更新前に任意のソースアカウントの名前を変更した場合、一部 の SQL オブジェクトには古い名前が付けられることがありますが、特定のアクションに対する権限は保 持されます。SQL Server の処理前に、移行されたアカウントの名前を変更することはお勧めできませ ん。 Migration Manager for Active Directory 8.11 リソース処理ガイド 72 前提条件 (SQL Server の処理) SQL Server を正常に更新するには、以下の要件を満たしている必要があります。 l l l 処理対象のすべてのデータベース名が、標準の Microsoft SQL 命名規則に準拠していなければなりま せん。詳細は、Microsoft SQL Server オンラインブックの記事「Rules for Regular Identifiers」 を参照してください。 処理対象データベースが以下のいずれかの事項に該当する場合、処理エラーが発生します。 l シングルユーザーモードで、すでにデータベースへの接続が存在している場合 l 読み取り専用モードの場合 SQL Server の整合性を維持するために、サーバー上のいずれかのデータベースが中断またはオフライン モードの場合、そのサーバーは更新されません。 SQL Server 7.0、2000、および 2005 の処理に使用するログインは、sysadmin ロールのメンバーでなければ なりません。 注意: エラーメッセージ「Operation failed.Failed to migrate User1 to User2」が表示された場合 は、[HKEY_LOCAL_MACHINE\SOFTWARE\Aelita\Enterprise Migration Manager\Current Version\SQL Processing Wizard]\LongCommandTimeout キーの値を増やすことをお勧めします。 SQL 更新の開始 注意: SQL Processing Wizard を使用する前に、Resource Updating Manager を実行することをお勧めし ます。さもなければ、ローカルグループのメンバーシップにより与えられた権限を、ウィザードで更新す ることはできません。 メモ: SQL Processing Wizard を開始する前に、SQL Server のバックアップを作成しておくことをお勧 めします。 SQL の処理を各々の方法で実行することができます。環境に適した手段をお選びください。 l l l SQL 処理タスクを作成して、それを Migration Manager で実行する。SQL 処理タスクを作成するに は、[Resource Processing] | [Tasks] に移動して、右パネルにある [SQL Processing] ボタン をクリックします。 SQL 処理タスクのセットアップパッケージを作成し、タスクの実行権限を他の担当者に委任して、この パッケージをその担当者に送る。委任された管理者はそのパッケージをインストールして、タスク設定に 指定されている SQL 処理タスクを実行します。 SQL 処理に関する適切な設定を行った INI ファイルをエクスポートして、その INI ファイルを使っ てスタンドアロンモードで実行する SQL 処理タスクを作成、設定する。詳細は、「リソース更新の委 任」を参照してください。 どの方法を使用する場合でも、以下の関連トピックで説明しているように、SQL Processing Wizard が一連の更 新作業を指示していきます。 Migration Manager for Active Directory 8.11 リソース処理ガイド 73 ステップ 1:New SQL Processing Task タスクの名前と説明を指定します。 ステップ 2:Select Configuration Mode このタスクを他の担当者に委任するのか、またはタスクを設定、スケジュールするのかを選択します。 l l Delegate resource processing task—タスクを作成して、それを他の担当者に委任する場合に、このオ プションを選択します。 Configure resource processing task—タスクを作成、設定して、それをスケジュールする場合、このオ プションを選択します。 選択したモードによって、以降のウィザードのステップは異なります。 ステップ 3:Specify Re-Permissioning Options このステップは、前のステップで選択した設定モードに関係なく表示されます。 このステップでは、SQL オブジェクトを処理するためのオプションを指定します。 l l Reassign object ownership and permissions to target users—SQL オブジェクトに設定されてい るアクセス許可と所有権を、新しい (ターゲット) ユーザーアカウントに割り当て直す場合に、このオ プションを選択します。 Revert to the original object ownership and permissions— アクセス許可の再割り当てを Undo する 場合にこのオプションを選択します。Undo 操作により、オブジェクトのアクセス制御リスト (ACL) から ターゲットユーザーが削除され、すべての権限がソースアカウントに戻されます。 Migration Manager for Active Directory 8.11 リソース処理ガイド 74 メモ: [Revert to the original object ownership and permissions] オプションを選択した場合、状況 に応じて以下のような処理が行われます。 l l l ユーザー A をユーザー B に移行した場合、このオプションを選択すると SQL Processing Wizard が行った変更が元に戻されます。 ユーザー A とユーザー B をユーザー C に結合した場合、ソースユーザーのアクセス許可を分離 することはできません。このような場合にこのオプションを選択すると、アクセス許可はいずれ かのソースユーザーに対してのみ復元されます。 Process from INI file— INI ファイルから処理オプションを取得する場合に選択します。INI 設定 ファイルは、Migration Manager で作成できます ([Tools] | [Export to] | [INI File])。詳細 は、「リソース更新の委任」を参照してください。INI ファイルが存在していない場合は、このオプ ションは無効になります。 メモ: このオプションは、ウィザードをスタンドアロン (Standalone) モードで実行している場合にのみ 有効になります。 ステップ 4:Delegate Resource Processing Task このステップは、ステップ 2 で [Delegate resource processing task] モードを選択した場合にのみ表示され ます。[Configure resource processing task] オプションを選択した場合は、ステップ 5 に進んでください。 このステップでは、1 つまたは複数の信頼するアカウントを指定して、それらのアカウントにタスクを実施する 権限を委任することができます。 Migration Manager for Active Directory 8.11 リソース処理ガイド 75 委任するアカウントを指定して適切な権限を割り当てるには、以下の手順に従ってください。 1. [Browse] ボタンをクリックします。 2. [Select User or Group] ダイアログボックスで、権限を委任するユーザーまたはグループを選択して、 [OK] をクリックします。 3. [Add Account] ボタンをクリックします。委任されたアカウントのリストにアカウントが追加さ れ、Resource Admin ロールに関連する権限が自動的に与えられます。利用可能なロールおよび各ロール が保有する権限の詳細は、「移行タスクの委任」を参照してください。 4. [Next] をクリックして、[Complete the SQL Processing Wizard] ステップに進みます。 ステップ 5:Select SQL Server このタスクで処理する SQL Server を追加するには、[Add] ボタンを使用します。[Add SQL Server] ダイアロ グボックスが表示されます。テキストボックスにサーバー名を入力するか、または [Browse] ボタンを使ってリ ストからサーバーを選択します。 Windows 統合認証または SQL Server 認証を選択することができます。SQL Server 認証を選択した場合は、ロ グイン ID とパスワードを入力し、[OK] をクリックします。 注意: SQL Server の処理に使用するログインは、sysadmin ロールのメンバーでなければなりません。 Migration Manager for Active Directory 8.11 リソース処理ガイド 76 リストからサーバーを削除する場合は、[Remove] ボタンを使用します。サーバーの資格情報を変更するには、 リストからサーバーを選択して [Properties] ボタンをクリックします。[SQL Server Properties] ダイアログ ボックスに新しい資格情報を指定します。 ステップ 6:Specify Scheduling Options このステップでは、タスクを即開始するか、またはタスクをスケジュールするかを指定します。 l Save and start processing immediately—ウィザードの完了後、タスクを即実行する場合に選択します。 タスク実行の進捗状況を表示するには、プロジェクトツリーから目的のタスクオブジェクトを選択し、右 側のパネルで [Information] タブに切り替えます。 Migration Manager for Active Directory 8.11 リソース処理ガイド 77 l l Save task configuration—タスク設定を保存する場合に選択します。タスクを後ほど実行する場合 は、Migration Manager で目的のタスクを右クリックして、表示されるメニューから [Start] を選択 します。 Save and schedule processing—タスクの開始時間を指定する場合にこのオプションを選択します。た とえば、夜間にタスクを実行するようにスケジュールできます。時間を指定するには、[Schedule…] ボ タンをクリックします。 ステップ 7:Complete the SQL Processing Wizard このステップでは、前のステップで指定したすべての設定が表示されます。後でレビューするために、これらの 設定を印刷することができます。[Print] ボタンをクリックして、プリンタを選択してください。また、[Save As] ボタンをクリックして名前を指定し、設定をテキストファイルに保存することもできます。 [Finish] をクリックすると、SQL Processing Wizard が終了します。Migration Project ツリーの [Tasks] コ ンテナに、新しい SQL 処理タスクが表示されます。 SQL 更新の実行 Migration Manager から SQL 処理タスクを開始するには、プロジェクトツリーからタスクを選択してタスクを 右クリックし、表示されるメニューから [Start] を選択します。 注意: SQL Server の更新時に SQL Server エージェントが動作していない場合は、警告のメッセージが 表示されます。エージェントが動作しているのにこのメッセージが表示される場合は、一部のタスクが正 常に機能していない可能性があります。SQL Server エージェントを再起動することをお勧めします。 タスク実行の進捗状況を表示するには、プロジェクトツリーから目的のタスクオブジェクトを選択し、右側のパ ネルで [Information] タブに切り替えます。 タスクの停止 何らかの理由で、SQL 処理を中断する場合は、タスクを右クリックして 表示されるメニューから [Stop] を 選択します。 [Stop] を選択して処理を中止した場合、またはエラーによりタスクの実行が停止した場合、タスクは以下のよ うに処理を行います。 l l アクセス許可の更新時にタスクを停止すると、それ以降の再割り当て処理は中止されます。それまでに処 理が完了しているオブジェクトについては、新しい (ターゲット) アクセス許可が与えられます。その時 点で処理されていないオブジェクトは、古いアクセス許可をそのまま保持します。SQL の状態を完全に復 元したい場合は、[Revert to the original object ownership and permissions] オプションを使って ウィザードを実行してください。 変更内容を元に戻している時にタスクを停止すると、それ以降の再割り当て処理は中止されます。それま でに処理が完了しているオブジェクトについては、ソースのアクセス許可が与えられます。その時点で処 理されていないオブジェクトは、ターゲットのアクセス許可をそのまま保持します。SQL の状態を復元し たい場合は、[Reassign object ownership and permissions to target users] オプションを使ってウィ ザードを実行してください。 Migration Manager for Active Directory 8.11 リソース処理ガイド 78 l アクセス許可のクリーンアップ中にタスクを停止すると、それ以降の処理は中止されます。その時点まで に処理されたオブジェクトのアクセス許可がクリーンアップされます。その時点で処理されていないオブ ジェクトは、そのままの状態で保持されます。 ログファイル SQL Processing Wizard のログは、SQLWiz.log ファイルに保管されます。 タスクの再設定 タスクを再設定するには、タスクオブジェクトを右クリックして、[Properties] を選択します。SQL Processing Wizard が開始され、タスクのオプションを変更することができます。利用可能なオプションについ ては、前述の各ステップの説明を参照してください。 注意: SQL Server にローカルグループのメンバー (例: BUILTIN\Administrators) としてアクセスした場 合、Resource Updating Manager を使ってソースドメインコントローラ上のローカルグループを処理し て、新しく作成されたアカウントをそれらのグループのメンバーにする必要があります。この場合、SQL Processing Wizard を使ってローカルグループを処理から除外する必要があります。 Migration Manager for Active Directory 8.11 リソース処理ガイド 79 クラスタサーバーの移行 Migration Manager は、Microsoft クラスタのアクセス許可再割り当てを行えます。ただし、このような場合は 非クラスタ構成のサーバーと比べてより複雑な作業を行う必要があります。ここでは、クラスタを正常に移行す るために必要な作業を詳細に説明していきます。 クラスタリソースは、ネットワーク名と同じグループに所属している場合にのみ処理されることに注意してくだ さい。 この作業は、主に 3 つのステップから成り立っています。 1. Resource Updating Manager を使った物理ノードの処理 2. Vmover.exe を使った仮想サーバーの処理 (リモート) 3. 物理ノードのターゲットドメインへの参加 ステップには、2 種類のバリエーションが存在しています。 オプション 1 (クラスタサーバーの移行) 1. Resource Updating Manager コンソールで、すべてのクラスタノードを新しいコレクションに追加しま す。実際のノードのみを選択し、仮想サーバーは選択しないようにしてください。 2. コレクションを右クリックし、[Create Task] | [Processing] を選択します。Create Processing Task Wizard で、処理設定を指定します。このタスクにより、クラスタ共有、クラスタデータベース、およ びクラスタのプリンタを除くすべてのリソースが処理されます。 3. 右パネルの [Tasks] タブをクリックします。 4. 新しく作成されたタスクを右クリックし、[Export Settings to File] を選択します。 5. INI ファイルを目的の場所に保存します。 6. メモ帳で INI ファイルを開き、設定が正確でファイルに目的のオブジェクトのみが含まれていること を確認します。 7. コンソールマシンの Vmover.exe ファイルおよび Vmover.ini ファイルが常駐している場所から、各仮想 サーバーに対して以下のコマンドをリモート実行します。 Vmover.exe /c /system=<仮想サーバー名> /ini=Vmover.ini 8. Resource Updating Manager を使って、ノードをターゲットドメインに移動します (再起動はしない)。 数分後、すべてのノードと仮想サーバーがターゲットドメインに表示されます。 メモ: 常にすべてのクラスタノードを新しいドメインに同時に移動するようにしてください。単 一の仮想サーバーを新しいドメインには移動しないでください。クラスタサーバーを他のドメイ ンに移動した場合、Cluster Service アカウントは変更されません。 9. パッシブノードを再起動します。このノードの Cluster Service アカウントが、ターゲットアカウント に変更されたことを確認します。 Migration Manager for Active Directory 8.11 リソース処理ガイド 80 10. アクティブノード上で、クラスタサービスを再起動します。このノードの Cluster Service アカウント が、ターゲットアカウントに変更されたことを確認します。 メモ: サービスの再起動中は、リソースは利用できません。 11. アクティブノード上でクラスタサービスが正常に開始されたら、パッシブノード上でクラスタサービスを 開始します。 12. リソースをパッシブノードに移動して、アクティブノードを再起動します。 13. ノードの再起動後に、リソースを元の場所に移動します。 オプション 2 (クラスタサーバーの移行) 上記のステップ 1~8 を実行します。次にステップ 9~13 を実施する代わりに、両方のノードを同時に再起 動します。 オプション 1 を使用する場合でもオプション 2 を使用する場合でも、一定の期間はリソースを利用できません (クラスタサービスは、2 つのアカウント (ソースとターゲット) を使って実行できないため)。Microsoft のド キュメントに記述されているように、両方のノードが同じアカウント (ソースまたはターゲット) を使って動作 していなければなりません。 「この手順中、すべてのノード上のクラスタサービスを停止して再起動する必要があります (クラスタサービス が動作するアカウントの変更)。クラスタ内のすべてのノード上で、クラスタサービスは常に同じアカウントと パスワードを使用する必要があります。」 詳細は、Dell Support サイトのナレッジ記事 13599 を参照してください。 メモ: クラスタ名を指定する際の、注意事項があります。ノード名ではなく、仮想クラスタ名を使用して ください。さもなければ、Vmover はコンピュータがクラスタの一部であるかどうかを判断できず、その コンピュータは処理されません。 Migration Manager for Active Directory 8.11 リソース処理ガイド 81 コマンドラインによるリソースの更新 デフォルトで、%ProgramFiles(x86)%\Common Files\Aelita Shared\Migration Tools\Resource Updating\Agent フォルダ (64 ビット版 Windows) または %ProgramFiles%\Common Files\Aelita Shared\Migration Tools\Resource Updating\Agent フォルダ (32 ビット版 Windows) にあるコマンドラインツール Vmover.exe を使って、エージェントをインストールせずにリソースを更新することができます。更新処理を実行するには、 コマンドラインまたはログオンスクリプトを使用します。 メモ: 64 ビット版 Windows の場合、ネイティブ 64 ビット版の Vmover.exe も、%ProgramFiles (x86)%\Common Files\Aelita Shared\Migration Tools\Resource Updating\Agent\x64 フォルダに用意さ れています。 Vmover は、以下のような作業に利用できます。 l リモートリソースの更新 l 移動プロファイルの処理 l NT 互換の 非 NT システム上のファイルシステムアクセス許可の処理 Vmover は、NT 3.51 以降 (SIDHistory マッピングを使用している場合は NT 4 SP4 以降) が動作しているコン ピュータ上のリソースの処理に利用することができます。 Vmover は更新を行うために、INI ファイルまたはターゲットアカウントの SIDHistory から、ソース/ターゲッ トアカウントのペアを取得します。INI ファイルには、必要なパラメータも含まれています。一部のパラメータ は、コマンドラインから設定できます。 コマンドラインパラメータ Vmover は、以下のコマンドライン構文を使って実行する必要があります。 Vmover.exe /c [/ini=IniFile] [/roaming=UserDatPath] [/volume=Path] [/system=Computer] 説明 /c—コマンドラインを使用する場合の必須パラメータ。 /ini—オプションパラメータ。更新用のパラメータを含む INI ファイル名。 デフォルトでは、Vmover ユーティリティは自己のフォルダの Vmover.in_ (圧縮) ファイルを検索しま す。このファイルが見つからなかった場合は、Vmover.ini (非圧縮) ファイルを検索します。 Vmover の /ini パラメータを使用して、別の INI ファイル名やフォルダを指定することができます。こ の場合も、まず最初に圧縮版のファイルが検索されます。たとえば、File.txt と指定した場合、Vmover はまず File.tx_ を検索し、次に File.txt を検索します。 メモ: つまり、非圧縮 INI ファイルを指定したけれども、同名の圧縮ファイルが Vmover のフォ ルダに存在している場合は、指定したファイルではなく圧縮版のファイルが使用されます。 リソース処理用の INI ファイルの作成方法については、「リソース更新の委任」を参照してください。 Migration Manager for Active Directory 8.11 リソース処理ガイド 82 /roaming—移動プロファイルを処理します。/roaming パラメータを指定した場合、Vmover はそのパラメータの 値が指すプロファイルのみを処理します。プロファイルによるサブフォルダを介した再帰バイパスは行われませ ん。 注意: /volume または /roaming パラメータを指定した場合、INI ファイル内のその他のリソースタイプ (グループメンバーシップやユーザー権限など) は更新されません。 /volume—指定場所のファイルシステムアクセス許可を処理します。 注意: /volume または /roaming パラメータを指定した場合、INI ファイル内のその他のリソースタイプ (グループメンバーシップやユーザー権限など) は更新されません。 /system—コンピュータ名を指定します。デフォルトでは、ローカルコンピュータが更新されます。 /log—INI ファイル内の LogFile キーの設定に優先させる、ログファイルの場所を指定します。 /exclude—除外マスクを設定します。| を区切り文字として、* をワイルドカードとして使用できます。処理中 に、除外マスクの指定項目のいずれかに一致する名前を持つ、ファイルやディレクトリはスキップされます。 /excludepath—除外パスを設定します。| を区切り文字として使用できます。処理中に、除外パスの指定項目の いずれかに一致する名前を持つディレクトリはスキップされます。このパラメータには、ローカルファイルシス テムのパスではなく、ネットワークパスを指定する必要があります。 /recursion—再帰レベルを設定します。Vmover は、/volume パラメータに指定したパス (指定した場合)、また はルートドライブパスから始めて、このパラメータに指定された深さまでファイルシステムを処理します。 /affinity—作業に対してどのプロセッサを選択するのが適切かを示すビットマスクとなる、CPU の関係マスクを 設定します。1 を指定すると最初のプロセッサのみが使用されます。2 を指定すると、2 番目のプロセッサのみ が使用されます。3 を指定すると、最初および 2 番目のプロセッサのみが使用されます (以降同様)。マスクに 設定したプロセッサ数が、システム内に存在している実際のプロセッサ数を超えている場合、Vmover は終了し てエラーメッセージが表示されます。 /priority—リソース更新処理における Vmover.exe の優先度を設定します。リソース処理を業務時間内に実行 している場合に、クライアントコンピュータの過負荷状態を防止することができます。以下の優先度値を使用で きます。 l 値 -2 は優先度「低」を表しています。 l 値 -1 は優先度「標準以下」を表しています。 l 値 0 は優先度「標準」を表しています。 l 値 1 は優先度「標準以上」を表しています。 l 値 2 は優先度「高」を表しています。 l 値 3 は優先度「リアルタイム」を表しています。 メモ: Microsoft Windows NT4 が動作するクライアントコンピュータ上では、優先度値「標準以下」およ び「標準以上」は使用できません。 メモ: これらのパラメータの使用例については、Vmover.exe にパラメータ /? を指定して実行してくだ さい。 プロファイルを使ってサブフォルダを介した再帰バイパスを実行するには、[Roaming profiles] オプ ションを有効にした INI ファイルを作成して、コマンドラインから /roaming パラメータを指定せずに Vmover を実行してください。例: Vmover.exe /c [/INI=IniFile] [/system=Computer] Migration Manager for Active Directory 8.11 リソース処理ガイド 83 リモート更新 デフォルトで Vmover は、INI ファイルに指定されている変更内容を、ローカルコンピュータに適用しま す。Vmover でリモートコンピュータを更新する場合は、/system コマンドラインパラメータを指定するか、ま たは INI ファイルに /System=TargetComputerName キーを追加します。/system コマンドラインパラメータの 使用方法を以下の例に示します。 Vmover /c /system=Mars Vmover でリモートコンピュータを更新すると、コンピュータのすべてのシステム共有 (c$ や d$ など) が検索 され、共有内に存在しているすべてのファイルとフォルダが更新されます。 コンピュータ上の特定の共有を更新する場合は、/volume コマンドラインパラメータを使用します。この場合、 他の共有は処理されません。/volume パラメータの使用方法を以下の例に示します。 Vmover /c /volume=\\Mars\Deimos 注意: /volume パラメータを使用する場合、INI ファイル内のその他のオプション (グループメンバー シップやユーザー権限など) は処理されません。指定した共有のファイルシステムアクセス許可のみが処 理されます。 リモート更新を正常に実行するために、Vmover を開始するアカウントは管理者アカウントで、リモートコン ピュータとローカルコンピュータに対する以下の権限が必要になります (明示的に割り当てまたは net use 接続を使用)。 l ファイルとディレクトリの復元 l ファイルとディレクトリのバックアップ l ファイルとその他のオブジェクトの所有権の取得 l 監査とセキュリティログの管理 l 走査チェックのバイパス メモ: リモートコンピュータ上で IIS アクセス許可を正常に処理するためには、Vmover を実行するコン ピュータ上にも IIS をインストールする必要があります。また、Vmover を開始するアカウントは、処理 対象コンピュータ上のローカル管理者でなければなりません。 SIDHistory マッピング デフォルトで Vmover の INI ファイルには、ファイル生成の時点までに移行された、ソース/ターゲットアカウ ントのペアが含まれています。 代わりに、Vmover はターゲットドメイン内のアカウントの SIDHistory を分析して、自動的にペアを検索して INI ファイルに追加することができます。この方法によって、Dell Migration Manager ではなく、SIDHistory を追加できる他のツールにより移行が実施された場合でもツールを利用することができます。 メモ: 同じ INI ファイルを使って Vmover をすでに実行した場合は、新たに移行されたアカウントに関 する情報が検索され、INI ファイルに追加されます。 SIDHistory マッピングを使用するには、[options] セクションに以下のパラメータを追加する必要がありま す。 Migration Manager for Active Directory 8.11 リソース処理ガイド 84 パラメータ 説明 SIDHistory=Yes/No このパラメータに Yes を設定すると、SIDHistory マッピングが有効になりま す。 hostName=Host_Name LDAP クエリに使用するターゲットドメインコントローラを指定します。これ は、グローバルカタログサーバーでなければなりません。 ldapUser=UserName LDAPrequests に対して使用するユーザー名。 ldapDomain=UserDomain ターゲットドメイン名。 ldapPsw=Password ldapUser ユーザーアカウントのパスワード。 ソースドメインは、別個のセクション [SourceDomains] に指定されています。このセクションの各行には、 ソースドメイン名およびその SID がセミコロン (;) で区切られて指定されています。 SIDHistory マッピングを指定した INI ファイルの例を以下に示します。 [dmw4] [Options] FileSystem=No Shares=Yes LocalGroups=No UserPrivileges=No Printers=No Registry=No Profiles=No InstallProfilesAgent=Yes Services=No ScheduledTasks=No Clone=Yes CleanUp=No Undo=No AutoRemove=No MaxErrors=10 LogMask=-1 LogFile=Vmover.log StateFile=Vmover.txt Version=400 MaxCriticalErrors=10 MaxRegUsage=95 ProcessRegGroupOwner=No UpdateStateSec=1 SetArchiveBit=No Migration Manager for Active Directory 8.11 リソース処理ガイド 85 sidHistory=Yes hostName=pdc-target2000:389 ldapUser=administrator ldapDomain=target2000 ldapPsw=‘adminpswd’ [SourceDomains] TRUST;S-1-5-21-750286249-1451910610-2033415169 SIDHistory マッピングを使用しているけれども、ソース/ターゲットのペアも指定されている場合、SIDHistory のペアと明示的に設定されているペアの両方が使用されます。 メモ: トラブルシューティングの目的で拡張ログを有効にすることができます。そのためには、LogMask パラメータに 255 を設定します (デフォルト値は 15)。拡張ログを有効にすると、膨大なログファイル が生成される可能性があることに注意してください。 Migration Manager for Active Directory 8.11 リソース処理ガイド 86 SharePoint の処理 移行後に Microsoft SharePoint アクセス許可を再割り当てするには、SharePoint Permissions Processing ウィザードを使用します。このウィザードは、ソースユーザーの SharePoint アクセス許可を、対応するター ゲットユーザーに割り当てます。 詳細は、以下のトピックを参照してください。 l SharePoint Permissions Processing Wizard のインストール l システム要件 (SharePoint の処理) l 必要なアクセス許可 (SharePoint の処理) l SharePoint アクセス許可の処理 SharePoint Permissions Processing Wizard のインストール ウィザードをインストールするには、以下の手順に従ってください。 1. <DMM インストールフォルダ> (デフォルトは、%ProgramFiles%\Quest Software\Migration Manager) の Console サブフォルダを開きます。 2. ご利用の環境にインストールされている OS に応じて、SharePointProcessing.msi ファイルまたは SharePointProcessingX64.msi ファイルを処理対象の SharePoint サーバーにコピーします。x86 および x64 オペレーティングシステム向けに、個別の MSI ファイルが提供されています。 3. SharePoint サーバー上で MSI ファイルを実行し、インストールウィザードを完了します。 システム要件 (SharePoint の処理) SharePoint Permissions Processing ウィザードには、Microsoft .NET Framework 2.0 が必要です。 必要なアクセス許可 (SharePoint の処理) ウィザードを実行する前に、ご利用のアカウントが以下のアクセス許可を保有していることを確認してくださ い。 l l SharePoint サーバーの Central Administrator グループのメンバー SharePoint Permissions Processing が動作するコンピュータ上のローカル Administrators グルー プのメンバー Migration Manager for Active Directory 8.11 リソース処理ガイド 87 SharePoint アクセス許可の処理 メモ: SharePoint ファーム環境を更新するには、任意のフロントエンド SharePoint サーバー上でウィ ザードを 1 回開始する必要があります。 Microsoft SharePoint アクセス許可を再割り当てするには、以下の手順に従ってください。 1. [スタート] | [すべてのプログラム] | [Dell] | [SharePoint Processing Wizard] をクリックして、 ウィザードを実行します。 2. [Welcome] 画面で、[Next] をクリックします。 3. [Select Configuration File] 画面で、INI 設定ファイルの場所を指定します。[Next] をクリック します。 メモ: ファイルを取得するには、INI ファイルを以下のように エクスポートします。 1. Migration Manager コンソールの [Tools] メニューから、[Export to] | [INI file] を選択し ます。[Export INI File] ダイアログボックスが表示されます。 2. [Wizard Name] リストボックスから、任意のウィザードを選択します。 3. [INI file] フィールドに、INI ファイル名とパスを指定します。デフォルト値をそのまま使用す ることも可能です。 4. [OK] をクリックします。ステップ 3 で指定したフォルダ内に INI ファイルが作成されます。 Migration Manager for Active Directory 8.11 リソース処理ガイド 88 4. [Select Processing Options] 画面で、以下のいずれかのオプションを選択します。 a. Reassign source accounts' permissions to target users—選択したサーバー上のソースアカウ ントのアクセス許可を、新しい (ターゲット) ユーザーアカウントに割り当てられます。最初の オプションを選択してください。 b. Revert to the original accounts' permissions—アクセス許可の再割り当てを Undo することが できます。この場合、アクセス制御リストからターゲットユーザーが削除され、すべての権限が ソースアカウントに戻されます。 メモ: 変更内容を元に戻している時に [Cancel] をクリックすると、それ以降のアクセス許可再割り当て は中止されます。それまでに処理が完了しているオブジェクトについては、ソースのアクセス許可が与え られます。その時点で処理されていないオブジェクトは、ターゲットのアクセス許可をそのまま保持しま す。SharePoint の状態を復元したい場合は、[Reassign source accounts' permissions to target users] オプションを使ってウィザードを実行してください。 5. [Next] をクリックすると、アクセス許可の処理が開始されます。 6. [Summary] 画面では、アクセス許可の処理結果と統計情報を確認することができます。 処理中に何らかのエラーが発生した場合は、それが [Summary] に表示されます。エラーの説明について は、ログファイルを参照してください。 7. [Finish] をクリックすると、ウィザードが終了します。 Migration Manager for Active Directory 8.11 リソース処理ガイド 89 Dell について Dell は、お客様のご意見、ご提案に真摯に耳を傾け、信頼でき価値ある斬新なテクノロジー、ビジネスソ リューションおよびサービスを世界各国に提供しています。詳細は、http://software.dell.com/jp-ja/ をご覧 ください。 連絡先Dell テクニカルサポート: オンラインサポート 製品に関するご質問とセールス: 03-5908-3511 電子メール: [email protected] テクニカルサポート用リソース: Dell のソフトウェアをご購入の上有効なメンテナンス契約をお持ちのお客様、およびトライアル版をご利用の お客様は、テクニカルサポートをご利用いただけます。サポートポータルをご利用の場合 は、https://support.software.dell.com/jp を参照してください。 サポートポータルでは、問題を独自に素早く解決するための、自己支援ツールを毎日 24 時間ご利用いただけま す。また、ポータルのオンラインサービスリクエストシステムを介して、製品サポートエンジニアと直接やり取 りすることも可能です。 このサイトでは、以下のような作業を行えます。 l サービスリクエスト (事例) の作成、更新、管理 l Knowledge Base 記事の参照 l 製品のお知らせの入手 l ソフトウェアのダウンロードトライアル版ソフトウェアについては、Trial Downloads をご覧ください。 l ハウツービデオの表示 l コミュニティディスカッションへの参加 Migration Manager for Active Directory 8.11 リソース処理ガイド 90
© Copyright 2024