Comments
Transcript
Dell Migration Manager for Active Directory 8.11
Dell Migration Manager for Active Directory 8.11 ユーザーガイド © 2014 Dell Inc. ALL RIGHTS RESERVED. 本ガイドには知的財産情報が記載されており、その情報は著作権によって保護されております。本ガイドに記載されてい るソフトウェアは、ソフトウェア使用許諾または守秘義務契約に下で提供されております。本ソフトウェアは、該当する 契約の条件に準拠する場合に限り、使用およびコピーすることができます。形式や理由、電子通信や機械に関わらず、本 ガイドの一部であっても複製および送信を禁止します。Dell Inc. からの書面による許可なしでの、購入者以外による写真 複写や記録も禁止します。 本ドキュメント内の情報は Dell 製品に関連して規定されています。明示あるいは黙示を問わず、禁反言あるいは別の方 法で、本ドキュメントから許可を受ける知的所有権あるいは Dell 製品譲渡に関連する知的所有権に対しては、ライセン スはありません。本製品のライセンス契約同様、DELL の条件および規約の記載を除いて、DELL は一切の責任を負いませ ん。また、製品に関係する黙示的法令保証の権利を放棄します。制限はありませんが、その製品は市場性、特定の目的に 対する適用度、または反侵害行為を含む黙示的保証があります。DELL SOFTWARE は、損害が生じる可能性について報告を 受けたとしても、本ドキュメントの使用、または使用できないことから生じるいかなる、直接的、間接的、必然的、懲罰 的、特有または偶然的な障害 (無期限、利益の損失、事業中断、情報の紛失も含む) に対しても責任を負わないものとし ます。Dell は、本ドキュメント内容の精密さや完全性について表明および保証しません。また、Dell は告知なしで製品 使用や製品解説書を変更する権限があります。Dell は、本ドキュメントに記載されている情報を更新する義務はありませ ん。 本製品の使用に関する質問は、こちらにご連絡ください。 Dell Inc. Attn: LEGAL Dept 5 Polaris Way Aliso Viejo, CA 92656 地域および国際事業所の情報につきましては、当社の Web サイト (www.software.dell.com) を参照してください。 商標 Dell および Dell のロゴは、Dell Inc. およびその関連会社の商標です。このドキュメント内でその他の商標 および商品名が、第三者が主張する製品の商標や商品名を表す目的で使用されていることがあります。Dell は、他の企業/人々が保有する商標や商品名について、独占的所有権を主張することはありません。 凡例 注意: 注意アイコンは、指示に従わないと、ハードウェアの損傷またはデータの損失につながる可能性 があることを表しています。 警告: 警告アイコンは、潜在的に所有物の損傷、人員の負傷や死亡の可能性があることを表していま す。 重要、メモ、ヒント、モバイル、または ビデオ: 情報アイコンは参考情報を示しています。 目次 Migration Manager for Active Directory の紹介 6 Migration Manager for Active Directory について 6 移行プロジェクトの初期設定 6 移行プロジェクトの管理 7 移行タスクの委任 8 移行前の作業 11 Exchange 移行の検討事項 11 ドメインペア 12 ドメインペアの作成 12 ステップ 1:Select Source Domain 12 13 ステップ 2:Select Target Domain 13 13 ステップ 3:Complete the New Domain Pair Wizard 13 ドメインペアの設定 14 Skip Objects 14 衝突解決ルールの指定 14 Specify Object Matching 16 サービス属性 17 アカウントの移行 19 マイグレーションセッション 19 マイグレーションセッションの検討事項 19 マイグレーションセッションの作成 20 ステップ 1:New Migration Session 20 ステップ 2:Select Source Objects 20 ステップ 3:Select Target Container 23 ステップ 4:Set Security Settings 24 ステップ 5:Specify Object Processing Options 27 ステップ 6:Select Migration Agent 29 ステップ 7:まとめ 30 ステップ 8:Migrating Active Directory Objects 31 ステップ 9:Complete the Wizard 31 マイグレーションセッションの詳細の表示 32 完了したセッションをテンプレートとして使用 32 ユーザーおよびグループの名前変更の設定 32 Migration Manager for Active Directory 8.11 ユーザーガイド 3 アカウント移行の委任 34 ステップ 1:New Delegated Migration 34 ステップ 2:Restrict Source Migration Scope 34 ステップ 3:Restrict Target Migration Scope 35 ステップ 4:Select Migration Agent 35 ステップ 5:Specify the Object Processing Custom Add-in File 36 ステップ 6:Delegate the Migration 37 ステップ 7:Complete the Wizard 37 アカウント移行の Undo 37 ステップ 1:Select Objects to Revert the Changes for 38 ステップ 2:Reverting Migration Changes 39 ディレクトリの同期 40 ディレクトリ同期の検討事項 40 Directory Synchronization Agent 40 Agent Manager 41 Directory Synchronization Agent のインストール 41 Directory Synchronization Agent の設定 42 Directory Synchronization Agent 資格情報の変更 44 同期ジョブの設定 44 ステップ 1:Select Synchronization Agent 44 ステップ 2:Select Source Objects to Synchronize 45 ステップ 3:Set Security Settings 47 ステップ 4:Select Target Objects to Synchronize 48 ステップ 5:Specify Advanced Options 49 ステップ 6:Specify Exchange Options 50 ディレクトリ同期の開始と停止 53 ディレクトリ同期統計情報の表示 55 Synchronization Statistics 55 非共通: 信頼とサイトの移行 57 信頼の移行 57 ステップ 1:Select Domains 57 ステップ 2:Analyzing Trusts 58 ステップ 3:Analyzing the Source Domain Trusts 58 ステップ 4:Select Trusts 58 ステップ 5:Applying Trusts 58 ステップ 6:Complete the Wizard 59 サイトの移行 59 ステップ 1:Select Source Domain Controller 59 ステップ 2:Select Target Domain Controller 60 Migration Manager for Active Directory 8.11 ユーザーガイド 4 ステップ 3:Select Objects to Migrate 60 ステップ 4:Processing Options 60 ステップ 5:Handle Duplicate Object Names 61 ステップ 6:Migrate Sites and Subnets 62 ステップ 7:Migrating Selected Objects 62 ステップ 8:Select License Servers 62 Dell について 63 連絡先Dell 63 テクニカルサポート用リソース: 63 Migration Manager for Active Directory 8.11 ユーザーガイド 5 Migration Manager for Active Directory の紹介 このガイドは、お客様が『Migration Manager インストールガイド』に記載されている Migration Manager の 概念を理解しており、そのガイドの指示に従って製品をすでにインストールしていることを前提にしています。 また、現在のバージョンの Migration Manager のリリースノートもあらかじめお読みになっておくことをお勧 めします。リリースノートには、移行のプランニングおよび実行に役立つ、特定の製品の動作、制限事項、既知 の問題、および対処方法などが記載されています。 Migration Manager for Active Directory について Migration Manager for Active Directory は、Active Directory の再構築に適した、効率的で柔軟かつ広範な ソリューションです。再構築作業は、フォレストまたはドメイン間でオブジェクトを移行することを実施しま す。移行には、ソースドメインからターゲットドメインへの、Active Directory オブジェクト (ユーザー、グ ループ、およびリソース) の移動作業が含まれています。 環境と移行の最終目的に応じて、移行シナリオはさまざまです。『Migration Manager Tips and Tricks』ド キュメントには、一般的な移行シナリオおよびご自分の要件に最適のシナリオを選択するための検討事項が記載 されています。 移行中は (大規模な移行の場合は数年かかることもある)、ソースドメインとターゲットドメインが共存し、そ れらを同期しておく必要があります。Migration Manager は、アカウントプロパティ、グループメンバーシッ プ、およびパスワードの同期などの同期機能を提供することにより、このような期間の管理作業の手間を軽減い たします。管理者が片方の環境で必要な変更を行うと、それらの変更はもう一方の環境にも自動的に反映されま す。 また、Migration Manager では他のユーザーに移行タスクを委任することもできます。委任された管理者は、指 定されたリソースのみを移行、処理することができます。 このガイドでは、移行前の作業、実際の移行、ディレクトリの同期、および委任を含めた、ほぼすべての移行プ ロセスを説明していきます。最後のステップとなるリソースの更新作業については、専用のドキュメント 『Resource Processing』を参照してください。 移行プロジェクトの初期設定 The Open Project Wizard は、移行プロジェクトおよびそのすべてのコンポーネント (ADAM/AD LDS データ ベース、SQL/MSDE データベース (Exchange 移行の場合のみ)、および Statistics Portal) の設定時に主 要な役割を果たします。 このウィザードは、新規プロジェクトの開始、既存のプロジェクトへの接続、または現在のプロジェクトの設定 変更に利用できます。 Migration Manager for Active Directory 8.11 ユーザーガイド 6 注意: ほとんどの場合は、保有しているドメイン数に関係なく 1 つの Migration Manager プロジェクト で移行作業を行います。通常は、実働環境の移行を開始する前の、個別の事前テストを実行する場合にの み、複数のプロジェクトを使用します。 ここでは、『Migration Manager インストールガイド』の「移行プロジェクトを開く」に記載されている作業を 実行して、Open Project Wizard の使用を理解していることを前提に説明していきます。このウィザードの各ス テップの詳細の説明は、そのドキュメントを参照してください。 簡単な確認のために、Open Project Wizard の各ステップを説明します。 1. [Configure ADAM/ADLDS Project] ステップでは、ADAM または AD LDS がインストールされているサー バー、ADAM が使用するポート番号 (デフォルトは 389、ADAM または AD LDS がドメインコントローラ にインストールされているかどうか、またはサーバー上の最初の ADAM または AD LDS インスタンスか どうかによって異なります) を指定し、接続するプロジェクトを選択します (新しいプロジェクトを作 成することもできます)。 2. 次の [Set Auxiliary Account] ステップでは、プログラムのコンポーネントが ADAM または AD LDS データベースにアクセスするために使用するユーザー名とパスワードを指定します。 3. Migration Manager for Exchange をインストールした場合は、[Configure SQL/MSDE Database] ス テップが表示されます。このステップでは、Exchange 移行に関連する情報を保管するために使用する データベースを設定します。 4. [Configure Statistics Portal] ステップでは、必要に応じてポータルの URL および接続設定を指 定できます。 5. 最後のステップでは、設定内容を確認して、ウィザードを終了します。詳細は、『Migration Manager イ ンストールガイド』の「移行プロジェクトを開く」を参照してください。 注意: 複数の Migration Manager コンソールコンピュータから、同時に同じ移行プロジェクト内の同じ オブジェクトの [Properties] の設定を管理しないことをお勧めします。 また、同じコンソールコンピュータに対する複数の並列 リモートデスクトップ接続もサポートされてい ないことに注意してください。 移行プロジェクトの管理 アカウントとリソースが 1 ヶ所に集中している単純な環境の移行は、その場所から単一の Migration Manager コンソールを使って行えます。 ただし、アカウントとリソースがさまざまな地域 (サイト) に分散している大規模分散環境を移行する場合、こ の方法は適切ではありません (特に、データを効率的に転送できない低速なリンクでサイト間が接続されている 場合)。このような場合は、各サイトでローカルに移行作業を実施する必要があります。 Migration Manager は、大規模な分散環境の移行時にも、効果的なプロジェクトの導入および管理機能を提供 しています。 Migration Manager for Active Directory 8.11 ユーザーガイド 7 図 1: 図 1:分散環境における移行プロジェクトの管理 複数の管理者がさまざまな場所から移行作業を実施する場合、主要な場所にローカルに ADAM/AD LDS をインス トールし、プロジェクトパーティションのレプリカを配置しておくことをお勧めします。低速なリンクに過度の トラフィックが集中するのを避けるために、管理者はプロジェクトのレプリカを保管している最寄りの ADAM ま たは AD LDS サーバーを使って、作業を行う必要があります。 この場合、「移行タスクの委任」で説明しているように、移行作業を委任する必要があります。 移行タスクの委任 Migration Manager では、特定の移行作業タスクを、移行の各ステージにおける責任者に委任することができま す。たとえば、特定のドメインペアの移行作業の管理をそれらのドメインの管理者に委任したり、特定のサー バーの作業をサーバー管理者に委任したりすることができます。 委任された担当者は、適切な権限を与えられたオブジェクトにのみアクセスでき、他のオブジェクトに対して何 らかの操作を行うことはできません。 委任は、担当者に与えるアクセス許可を定義したロールを割り当てることによって行います。オブジェクトに対 して Full Admin ロールを持つアカウントのみが、そのオブジェクトに対する権限を他のアカウントに委任で きます。 表 1: 表 1:移行プロジェクト内の担当責任者に割り当てられるロール。 ツリーノードオブ ジェクト 利用可能なロール 移行プロジェクト Full Admin—任意のオブジェクト (ドメインペア、ディレクトリ同期ジョブ、マ イグレーションセッション、委任された移行リソース処理タスクなど) を作成、 設定、およびプロジェクト内の任意のタスクを実行できます。 Migration Manager for Active Directory 8.11 ユーザーガイド 8 ツリーノードオブ ジェクト 利用可能なロール Reader—プロジェクト内のオブジェクトとその設定を表示できます (同期設定内 のドメインペアと Exchange ストアを除く)、ただし移行タスクの実行や設定の 変更は行えません。 ディレクトリ移行 Domain Pair Creator—ドメインペアを作成可能。この担当者には、自己が作成 したドメインペアに対する Full Admin ロールが自動的に与えられます。そのた め、後ほどそのドメインに対する設定を変更することができます。 ドメインペア Full Admin—ドメインペア上の任意の設定 (各ドメインへの接続に使用する資格 情報など) を変更できます。またドメイン間のディレクトリ同期設定、マイグ レーションセッションの作成と実行、および他の担当者への移行作業の委任も可 能です。 Reader—ドメインペアの設定を表示、変更できません、また任意の移行タスクも 実行できません。 委任した移行作業 Migration Admin—委任された移行ジョブ内のマイグレーションセッションを実行 することができます。このロールは、委任された移行ジョブに指定されているコ ンテナから、またはコンテナへのみオブジェクトを移行できます。ソース/ター ゲットドメインへの接続に使用する資格情報の表示、およびオブジェクト処理カ スタムアドイン/移行エージェントの変更は行えませんが、使用されているカス タムアドインおよびエージェントを参照することは可能です。 タスク Task Creator—リソース処理タスクを作成することができます。このロールを持 つ担当者には、自己が作成したタスクに対する Full Admin ロールが自動的に割 り当てられます。そのため、後ほどタスク設定を変更したり、タスクを実行した りすることができます。 リソース処理タスク Resource Admin—リソース処理タスクの実行と設定の変更を行えます。ただし、 アクセス許可再割り当てオプションの変更や Undo/クリーンアップの実行は行え ません。 メモ: ドメインペアの Full Admins ロールのみが、そのドメインペアのサブノード (同期、移行、およ び他の手動で作成された移行委任ジョブ) およびマイグレーションセッションへのアクセスが許可されま す。 移行タスクを実行する権限を委任するには: 1. Migration Manager で、ツリーノードオブジェクトを右クリックして、表示されるメニューから [Delegate] を選択します。 2. タスクを委任するアカウントを指定します。 3. [Role] リストから、そのアカウントに与えるアクセス許可レベルを選択します。 4. [Add Account]をクリックします。[Delegated accounts] リストにアカウントが追加されます。 5. [OK] をクリックします。 Migration Manager for Active Directory 8.11 ユーザーガイド 9 アクセス許可を取り消すには、以下の手順に従ってください。 1. Migration Manager で、ツリーノードオブジェクトを右クリックして、表示されるメニューから [Delegate] を選択します。 2. [Delegated accounts] リストで、権限を取り消すアカウントを選択して、[Revoke] をクリックします。 メモ: アカウント移行タスクの委任の詳細は、このマニュアルの「アカウント移行の委任」を参 照してください。 3. [OK] をクリックします。 Migration Manager for Active Directory 8.11 ユーザーガイド 10 移行前の作業 ディレクトリの移行を開始する前に、既存のディレクトリを分析してください。これには、必要なハードウェ ア/ソフトウェアアップグレードの確認、ディレクトリ結合による名前衝突の可能性の判断、フォレスト間移行 の場合のソース/ターゲットフォレストスキーマの比較と統合などの作業が含まれます。Dell Reporter を使っ て、既存の Active Directory 設定、ハードウェア/ソフトウェアインベントリなどの詳細情報を取得できま す。 必要に応じて移行前に、ターゲット Active Directory フォレスト、管理者アカウント、および組織単位を作成 できます。環境の準備の詳細は、『Dell Migration Manager インストールガイド』を参照してください。 メモ: Migration Manager for Active Directory ツールセットには、以下のような希な事例に対応する ツールが用意されています。 l l 現在ソースドメインが他のドメインに対して持っている信頼をコピーします。詳細は、「信頼の 移行」を参照してください。 ユーザーアカウントの移行後に、ソースフォレストの物理エンティティ (サイト、サブネット、 サイトリンク、サイトリンクブリッジ) を保持します。詳細は、「サイトの移行」を参照してく ださい。 Exchange 移行の検討事項 以下の情報は、Active Directory と Exchange 移行を含む移行プロジェクトに関連しています。Exchange と Active Directory は密接に統合されているため、Active Directory の移行を開始する前に、一部のExchange 固有の事項を決定する必要があります。 Active Directory 移行後にターゲットドメインに存在するユーザーについては、4 種類の選択肢があります。 l メールオプションのないユーザー l メール有効のユーザー l Mail-enabled users for Native Move l メールボックス有効のユーザー Exchange 移行の場合、メール有効ユーザー、ネイティブ移動用のメール有効ユーザーまたはメールボックス有 効ユーザーが必要です。今後の Exchange 移行を円滑に行うためにも、ご自分の環境でどのオプションが適切か を判断してください。ここでの決定は、メールボックス移行方法の選択に影響します。 完全な Exchange 移行を実行しないユーザーを GAL に含める予定がある場合は、メール有効にしたユーザー が必要です。 ネイティブ移動ジョブを使ってメールボックスを移動する予定の場合は、ネイティブ移動用のメール有効ユー ザーが必要です。 以下のような計画の場合は、メールボックス有効のユーザーが必要です。 Migration Manager for Active Directory 8.11 ユーザーガイド 11 l l l l Mailbox Move (メールボックスの移動) ジョブを使ってメールボックスを移動する。 Legacy Mailbox Synchronization (レガシーメールボックス同期) ジョブを使ってメールボックスを 移動する。 Calendar Synchronization (予定表同期) ジョブを使って、予定表の共存を設定する (メールボック ス移行あり/なし)。 Legacy Calendar Synchronization (レガシー予定表同期) ジョブを使って、予定表の共存を設定する (メールボックス移行あり/なし)。 状況を正確に把握してから決定を下すために、Exchange 移行担当者とこのことを話し合ってください。詳細と ガイドラインについては、『Migration Manager for Exchange ユーザーガイド』の「メールボックスの移行プ ロセス」を参照してください。 関連する Exchange オプションは、[Active Directory Synchronization] (Active Directory 同期) の設 定ステップで指定します。詳細は、「同期ジョブの設定」の「ステップ 5: Exchange オプションの指定」を 参照してください。 ドメインペア すべての移行アクティビティは、ソースおよびターゲットドメインペア間で実行されます。移行およびディレク トリ同期プロセスに関与する、ソースおよびターゲットドメインのペアを設定する必要があります。以降のセク ションでは、ドメインペアの作成および設定方法について説明していきます。 l ドメインペアの作成 l ドメインペアの設定 ドメインペアの作成 ここでは、移行プロジェクト内への新しいドメインペアの作成方法について説明していきます。 メモ: ドメインペアを作成する前に、環境内に最低 1 つの Directory Synchronization Agent をインス トールしておく必要があります。詳細は、「Directory Synchronization Agent」を参照してください。 ドメインペアを作成するには、[Directory Migration] ノードを右クリックして表示されるメニューから [New Source and Target Domain Pair] を選択します。一連の作業を指示する New Domain Pair Wizard が開始されます。 ステップ 1:Select Source Domain 移行の情報ソースにするドメインの、ドメインコントローラを指定または選択します。 ドメインコントローラにアクセスするための資格情報を指定します。 メモ: 指定したアカウントは、Directory Synchronization Agent がソースドメインオブジェクトにアク セスし、ディレクトリの移行を実施するために使用されます。そのため、指定するアカウントには、ソー スドメインのドメイン管理者権限がなければなりません。 Migration Manager for Active Directory 8.11 ユーザーガイド 12 ステップ 2:Select Target Domain 移行のターゲットを作成するドメインの、ドメインコントローラを指定または選択します。 ドメインコントローラにアクセスするための資格情報を指定します。 メモ: このページで指定するアカウントは、Directory Synchronization Agent がターゲットドメインオ ブジェクトにアクセスし、ディレクトリの移行を実施するために使用されます。そのため、指定するアカ ウントには、ターゲットドメインのドメイン管理者権限がなければなりません。 ステップ 3:Complete the New Domain Pair Wizard ウィザードにソースドメインとターゲットドメインの名前、およびドメインに接続するために指定したアカウン トが表示されます。 ドメインペアが作成されると、Migration Manager コンソールの管理ツリーにノードとして表示されます。この ノードには、[Migration] および [Synchronization] の 2 種類のサブノードが存在しています。 Migration Manager for Active Directory 8.11 ユーザーガイド 13 ドメインペアの設定 ドメインペアを作成したら、それに対して設定パラメータを指定できます。ドメインペアを右クリックして、 [Properties] を選択します。指定できるパラメータについては、関連トピックで説明します。 メモ: これらのパラメータを変更する場合、ディレクトリの完全再同期が必要になります。ドメインペア の同期ジョブを停止してから、[Start and Re-sync] オプションを使って再同期してください。 Skip Objects このステップでは、すべての移行および同期タスクの処理中に、スキップするオブジェクトのカテゴリを指定で きます。以下の種類のオブジェクトをスキップすることができます。 l Active Directory デフォルトオブジェクト (ビルトインアカウントおよび Domain Admins や Domain Users アカウントなどの、デフォルトで Active Directory に存在しているオブジェクト) l 無効にされたアカウント l 失効したアカウント これらのオブジェクトをスキップすることを選択した場合、ドメインペアのソースドメインまたはターゲットド メインを参照しても、それらのオブジェクトは表示されず、また選択することもできません。 衝突解決ルールの指定 ソース/ターゲット上の特定のスコープ (フォレスト、ドメイン、またはコンテナ) 内で一意にする属性、およ びそれらの属性が一意でない (指定した属性に対して同じ値を持つオブジェクトが複数存在する) 場合に実施す るアクションを指定することができます。このためには、衝突解決ルールを設定します。 メモ: 指定する衝突解決ルールは、移行と同期の両方に適用されます。 Migration Manager for Active Directory 8.11 ユーザーガイド 14 [New Conflict Resolution Rule] ダイアログボックスで衝突の自動解決ルールを新たに作成し、適切な設定を 行うには、[Add] をクリックします (詳細は後述)。 既存の衝突解決ルールを編集する場合は、[Edit] をクリックします。 選択した衝突解決ルールをリストから削除するには、[Remove] をクリックします。 ルールは以下の設定から構成されています。 l Source domain—現在の衝突解決ルールをソースに適用する場合に指定します。 l Target domain—現在の衝突解決ルールをターゲットに適用する場合に指定します。 l By attribute—衝突を解決する属性を選択します。 l Queue for manual resolution—このオプションを選択すると、選択した属性の衝突は自動的には解決され ず、後で手動解決するためにキューに格納されます。ドメインペアのドメイン間にディレクトリ同期が確 立されている場合、ドメインペアのディレクトリ同期ジョブの [Conflicts queue] に、衝突を手動解決 Migration Manager for Active Directory 8.11 ユーザーガイド 15 するためにキューに格納されたオブジェクトが表示されます。詳細は、「ディレクトリの同期」を参照し てください。移行の場合は、移行ログを調査して衝突するオブジェクトを参照することができます。詳細 は、「マイグレーションセッションの詳細の表示」を参照してください。 l l Add prefix—このオプションを選択すると、指定したスコープ内の属性が一意でない場合、指定したプリ フィックスが属性値に追加されます。 Add suffix—このオプションを選択すると、指定したスコープ内の属性が一意でない場合、指定したサ フィックスが属性値に追加されます。 l Forest—衝突をフォレスト全体内で解決する必要があることを示します l Domain—衝突をドメイン全体内で解決する必要があることを示します l Container—衝突を各コンテナ内で解決する必要があることを示します Specify Object Matching このステップでは、移行/同期中にオブジェクトの照合に使用する属性を指定することができます。 Directory Synchronization Agent は、選択された属性に基づいて、ソースオブジェクトとターゲットオブ ジェクトを照合します。ターゲットディレクトリ内に一致するオブジェクトが見つからなかった場合、このディ レクトリに新しいオブジェクトが作成され、その属性には対応するソースオブジェクトの値が設定されます。 メモ: 指定するオブジェクト照合ルールは、移行と同期の両方に適用されます。 [Match target objects by] ダイアログボックスには、ソースオブジェクトとターゲットオブジェクトの照合に 使用できる属性のリストが表示されます。属性を以下に示します。 Migration Manager for Active Directory 8.11 ユーザーガイド 16 l l l Account name—ソースオブジェクトとターゲットオブジェクトのアカウント名が同じ場合に、オブジェク トは一致しているとみなします。 E-mail—メール対応オブジェクトに対して、ソースオブジェクトとターゲットオブジェクトのプライマリ SMTP アドレスが同じ場合に、オブジェクトは一致しているとみなします。 SIDHistory—あるディレクトリの SIDHistory 属性に、他のディレクトリからのオブジェクトのセキュリ ティ識別子 (SID) が含まれている場合に、オブジェクトは一致しているとみなします。 ソースオブジェクトとターゲットオブジェクトの照合に使用する属性を選択してください。照合は上から順番に 行われます (上の優先度が高く、下が低い)。属性の優先度を変更するには、上/下矢印ボタンを使用します。 2 つのオブジェクトが一致した場合、一致情報の保管用に指定されたサービス属性に、一致に関する情報が書き 込まれます。詳細は、「サービス属性」を参照してください。 サービス属性 サービス属性は、エージェントが内部情報を保管するために使用します。それぞれのソースオブジェクト/ター ゲットオブジェクトクラスの属性を指定するには、[Match target objects by] ダイアログボックスの [Service Attributes] をクリックします。 Object class—サービス属性を指定するオブジェクトクラスを指定します。ほとんどの場合は、デフォルトの属 性を使用できます。 Auxiliary—衝突解決に関する情報およびその他のサービス情報を保管する属性を指定します。異なるオブジェク トクラスの補助 (auxiliary) 情報を保管するために、デフォルトで選択されている属性を以下に示します。 フォレスト内に Exchange が展開されている場合、以下の属性が使用されます。 オブジェクトクラス 補助 (Auxiliary) 属性 contact extensionAttribute14 container adminDescription group extensionAttribute14 inetOrgPerson extensionAttribute14 organizationalUnit adminDescription printQueue adminDescription user extensionAttribute14 volume adminDescription Migration Manager for Active Directory 8.11 ユーザーガイド 17 フォレスト内に Exchange がない場合は、すべてのオブジェクトクラスに対して補助情報の保管に adminDescription 属性がデフォルトで使用されます。 Matching—2 つのオブジェクトが一致した場合、対応するオブジェクトの GUID が、一致情報を保管するために 選択されたサービス属性に書き込まれます。異なるオブジェクトクラスの一致情報を保管するために、デフォル トで選択されている属性を以下に示します。 フォレスト内に Exchange が展開されている場合、以下の属性が使用されます。 オブジェクトクラス 補助 (Auxiliary) 属性 contact extensionAttribute15 container adminDisplayName group extensionAttribute15 inetOrgPerson extensionAttribute15 organizationalUnit adminDisplayName printQueue adminDisplayName user extensionAttribute15 volume adminDisplayName フォレスト内に Exchange がない場合は、すべてのオブジェクトクラスに対して一致情報の保管に adminDisplayName 属性がデフォルトで使用されます。 注意: サービス属性は以下の基準を満たす必要があります。 l サービス属性として設定された属性を他の設定に対して使用することはできません。 l Unicode String 属性のみを、サービス属性として使用する必要があります。 l l 環境内に複数のターゲットドメインが存在している場合、選択した Matching 属性がグローバル カタログに複製されることを確認してください。 Matching 属性は、Active Directory 内でインデックスを作成する必要があります。 Migration Manager for Active Directory 8.11 ユーザーガイド 18 アカウントの移行 移行作業を開始する前に、環境内に最低 1 つの Directory Synchronization Agent をインストールしてくださ い。また、移行およびディレクトリ同期プロセスに関与するソースおよびターゲットドメインのペアを、移行プ ロジェクト内に作成する必要もあります。詳細は、「Directory Synchronization Agent」および「ドメインペ アの作成」を参照してください。 ドメインペアが作成されると、Migration Manager コンソールの管理ツリーにノードとして表示されます。この ノードには、[Migration] および [Synchronization] の 2 種類のサブノードが存在しています。 [Synchronization] ノードには、ディレクトリ同期ジョブに対して作成されたテンプレートが表示されます。ま た、2 つのドメイン間のオブジェクト同期を実行するように、ジョブを設定して開始することも可能です。ディ レクトリ同期の詳細は、「ディレクトリの同期」を参照してください。 マイグレーションセッション [Migration] ノードを使って、マイグレーションセッションを作成できます。基本的に各マイグレーションセッ ションは、ソースドメインからターゲットドメインにアカウントを移行するためのグループです。Migration Wizard は、ソース/ターゲットドメインペア内での、選択したオブジェクトおよびオブジェクトのプロパティ/ セキュリティ設定の移行を支援します。また、移行作業中には、新しい値を指定したタブ区切り形式のリストを インポートすることで、移行中のアカウントの任意の属性を一括して変更することができます。選択したオブ ジェクトがターゲットドメインに移行されたら、セッションは完了したものとみなされます。 セッションの履歴と設定はデータベースに保管され、必要に応じて表示することができます。 マイグレーションセッションの検討事項 ドメインの移行をセッションに分割する場合、リンクされている属性 (グループメンバーシップなど) の解決方 法を検討する必要があります。 l l l リンクされている属性は、常にセッションのスコープ内で解決されます。たとえば、同じセッション内の グループとそのメンバーを移行する場合、そのメンバーシップが移行されます。 リンクされている属性は、以前に移行されたオブジェクトに対しても解決されます。たとえば、先にユー ザーを移行して、次にグループを移行した場合、グループはそのメンバーシップとともに移行されます。 後方リンクは (「member of」など)、セッションにまたがっては更新されません。たとえば、まずグルー プを移行して、次に別のセッションでそのメンバーを移行した場合、新しく移行されたアカウントはター ゲットグループには追加されません。メンバーの前にそのグループを移行する必要がある場合は、グルー プを再度移行するか、または完全再同期を実施することで、メンバーシップを復元することができます。 その他のマイグレーションセッション設定時の検討事項と推奨事項については、『Migration Manager Tips and Tricks』を参照してください。 Migration Manager for Active Directory 8.11 ユーザーガイド 19 マイグレーションセッションの作成 新しいマイグレーションセッションを作成するには、適切なドメインペア下にある [Migration] ノードを右ク リックして、表示されるメニューから [New Session] を選択します。Migration Wizard が開始されます。 ステップ 1:New Migration Session マイグレーションセッション名を指定して、必要に応じてコメントを入力します。 ステップ 2:Select Source Objects このステップでは、移行するオブジェクトを選択することができます。オブジェクトのリストには、現在移行す ることが選択されているオブジェクトが表示されます。 Migration Manager for Active Directory 8.11 ユーザーガイド 20 オブジェクトを追加または選択内容を変更する場合は、[Select] をクリックします。[Browse Source Domain] ウィンドウで、移行するコンテナや個別のオブジェクトを選択します。 Migration Manager for Active Directory 8.11 ユーザーガイド 21 コンテナを選択または選択解除すると、右側のパネルにはそのすべてのサブオブジェクトが表示され、自動的に 選択または選択解除されます。個別のオブジェクトを選択または選択解除する場合は、右側のパネルから適切な オブジェクトを選択または選択解除してください。 コンテナを選択または選択解除するには、コンテナを右クリックして、[Select] (選択) または [Deselect] (選択解除) をクリックします。選択内容に応じて、チェックボックスが以下のようにマークされます。 l l l 青いチェックマークは、コンテナおよびコンテナ内のすべてのオブジェクトおよびサブコンテナが移行さ れることを表しています。 白いチェックマークは、ターゲット上にコンテナが作成され、そのコンテナ内の一部のオブジェクトおよ びサブコンテナが移行されることを表しています。 チェックマークが付いていないチェックボックスは、ターゲット上にコンテナは作成されないけれども、 そのコンテナ内の一部のオブジェクトおよびサブコンテナが移行されることを表しています。 [Select by group membership] をクリックすると、2 種類のオプションを利用することができます。 l l Select groups for selected objects—選択したオブジェクトがメンバーとなるグループを選択します。 また、選択した操作を実行するため、グループのスコープ (グローバル、ローカル、またはユニバーサ ル) を指定することもできます。 Select objects within selected groups—選択したグループのメンバーとなるオブジェクトを選択し ます。選択操作を実行するオブジェクトクラス (ユーザー、連絡先、またはグループ) を指定すること もできます。 選択が完了したら [OK] をクリックして、設定内容を保存してウィンドウを閉じます。 Migration Manager for Active Directory 8.11 ユーザーガイド 22 選択したオブジェクトのリストからオブジェクトを削除するには、目的のオブジェクトを選択して [Remove] をクリックします。 後で使用するために、現在の選択内容を外部のテキストファイルにエクスポートすることもできます。一般的に エクスポートしたオブジェクトのリストは、一括したオブジェクト名を変更したり、ターゲットオブジェクト属 性に異なる値を設定したりする場合に用いられます。 エクスポートファイルを作成するには、[Export] をクリックします。[Export Selection to File] ウィンドウ で、選択項目に対してエクスポートする属性を選択します。この場合、タブ区切り形式のリストが作成されま す。最初の列がソースオブジェクトの DN、残りの列は選択した属性になります。管理者は後ほどこのファイル の属性値を変更し、その後 [Import] をクリックして属性値をインポートすることができます。移行時に、変更 した属性値がターゲットオブジェクトに適用されます。 このようなインポートファイルの一般的な使用例としては、移行作業の一環として Migration Manager にユー ザーアカウントとグループの名前を変更させることが挙げられます。この場合のインポートファイルの編集方法 については、「ユーザーおよびグループの名前変更の設定」を参照してください。 ステップ 3:Select Target Container このステップでは、移行したオブジェクトを作成するコンテナを選択することができます。移行作業中に移行し たオブジェクトを保管するコンテナを選択するには、[Browse] をクリックします。 Migration Manager for Active Directory 8.11 ユーザーガイド 23 OU 階層を移行するかどうか、およびアカウントを既存のターゲットアカウントと結合するかどうかを指定する こともできます。 [OU hierarchy migration] セクションで、以下のいずれかを選択します。 l l Migrate selected objects with their OUs to the selected target OU—このオプションを選択した場 合、ターゲット上には選択されたすべてのオブジェクトとコンテナが作成されます。 Migrate objects without OUs as a flat list—このオプションを選択した場合、ターゲット上の指定し たターゲット OU 内に、選択したオブジェクトのみ (コンテナは対象外) が作成されます。 [When merging with existing account on target] では、以下のいずれかを選択します。 l l l Merge and move the objects to the new OU—このオプションを選択した場合、一致するオブジェクトは 結合され、指定されたターゲット OU に移動されます。 Merge and leave the account where it was before the migration—このオプションを選択した 場合、一致するオブジェクトは結合され、元のターゲット OU 内に保管されます (特定のターゲット OU には移動されない)。 Never merge:skip accounts that match any accounts on target—このオプションを選択した場合、一致 したオブジェクトはスキップされ移行されません。 ステップ 4:Set Security Settings このステップでは、移行のセキュリティ設定を指定できます。 Migration Manager for Active Directory 8.11 ユーザーガイド 24 Security Descriptor migration rule—一致したソースおよびターゲットオブジェクトセキュリティ記述子の 処理方法を選択します。 Active Directory 内のすべてのオブジェクトは、セキュリティ設定が可能なオブジェクトです。セキュリティ 設定が可能なオブジェクトには、オブジェクトの所有者を識別するセキュリティ記述子 (SD) があります。ま た、以下のアクセス制御リストを保持している場合もあります。 l l 随意アクセス制御リスト (DACL)、オブジェクトへのアクセスが許可または禁止されているユーザーとグ ループを識別します。 システムアクセス制御リスト (SACL)、オブジェクトへのアクセスの試みをシステムが監査する方法を制 御します。 ACL には、アクセス制御エントリ (ACE) のリストが含まれています。ACL 内の各 ACE は、その SID によりト ラスティ (ユーザーアカウントまたはグループアカウント) を識別し、そのトライスティに対して許可、禁止、 または監査されたアクセス権を示します。 セキュリティ記述子は結合 (Merge)、置換 (Merge)、またはスキップ (Skip) することができます。 l l l Merge—ソースオブジェクトのセキュリティ記述子エントリは、ターゲットオブジェクトのセキュリティ記 述子に追加 (結合) されます。 Skip—ターゲットオブジェクトのセキュリティ記述子はそのままで、変更されません。 Replace—ターゲットオブジェクトのセキュリティ記述子のすべてのエントリが削除されます。ソースオブ ジェクトのセキュリティ記述子のエントリが、ターゲットオブジェクトのセキュリティ記述子にコピーさ れます。 ソースオブジェクトの DACL および SACL セキュリティ記述子エントリは、移行時に新たに作成されたターゲッ トオブジェクトに割り当てられます。 Migration Manager for Active Directory 8.11 ユーザーガイド 25 新たに作成された各ターゲットオブジェクトに対して、セキュリティ記述子を移行するために選択したオプショ ン ([Merge]、[Skip]、または [Replace] ) に関係なく、そのオブジェクトクラスに対して定義されているセ キュリティ記述子も適用されます。 メモ: ソースセキュリティ記述子に明示的に追加された ACE のみが移行されます。 継承フラグ (オブジェクトの [Properties] の [Security] タブにある [Allow inheritable permissions from parent to propagate to this object] オプション) も移行されます。つまり、ソー スオブジェクトに対して継承フラグが設定されている場合、対応するターゲットオブジェクトにもそのフ ラグが設定されます。ソースオブジェクトでフラグが設定されていない場合は、対応するターゲットオブ ジェクトのフラグの設定も解除されます。 移行時に、ソースオブジェクト (ソース SID) を参照しているソースセキュリティ記述子の ACE は、ターゲッ トオブジェクト (ターゲット SID) には変換されません。ターゲットオブジェクトのセキュリティ記述子に移行 された、ソースオブジェクトの SID を変換またはクリーンアップするには、Active Directory Processing Wizard を使用します。 Add SIDHistory—共存期間中に、SIDHistory 機構を使ってソースドメインリソースにアクセスすることを、ター ゲットアカウントに許可する場合、このチェックボックスを選択します。 メモ: ユーザーに、SIDHistory を使ってソースドメイン内のリソースにアクセスさせる場合は、ソース ドメインとターゲットドメイン間で信頼を確立する必要があります。 各ソースドメインを移行するには、SID フィルタリングをオフにする必要があります。また、ソースアカ ウントが以前に移行されており、その SID 履歴に他のドメインからの SID が含まれている場合も、SID フィルタリングを無効にする必要があります。 デフォルトでは、SID フィルタリングが有効になっています。 アカウントとグループを移行する場合、ターゲットユーザーのターゲットグループメンバーシップは自動的に更 新されます。つまり、ターゲットグループには、その時点で移行されたソースユーザーアカウント (ソースグ ループのメンバー) に対応するターゲットユーザーアカウントが、メンバーとして配置されます。ソースアカウ ント (ソースグループのメンバー) も対応するターゲットグループに追加する場合は、[Add source members to the corresponding target groups] チェックボックスを選択します。 [User Principal Name handling] では、各ターゲットユーザーに対するユーザープリンシパル名 (UPN) の設定 方法を指定することができます。 l l l l Copy—このオプションを選択した場合、ソースユーザーの UPN が、ターゲットユーザーに割り当てられ ます。このオプションは、ソースドメインとターゲットドメインが、別のフォレストに所属している場合 にのみ利用できます。 Switch— このオプションを選択した場合、UPN はソースユーザーからターゲットユーザーに切り替えら れます。このオプションは、ソースドメインとターゲットドメインが、同じフォレストに所属している場 合にのみ利用できます。 Skip—このオプションを選択した場合、ターゲットユーザーの UPN がそのまま残されます。 Set the domain suffix of the UPNs to—ターゲットユーザーの UPN のドメインサフィックスを、指定し た値に設定することができます。 [Password handling] オプションでは、ユーザーパスワードの処理方法を指定することもできます。 l l Copy account password—ソースアカウントからターゲットアカウントにパスワードがコピーされます。 Skip account password—結合されたオブジェクトに対して、パスワードはコピーされません。新しく作成 されたターゲットアカウントには、空のパスワードが割り当てられます。 Migration Manager for Active Directory 8.11 ユーザーガイド 26 l l l Set password to username with—ターゲットユーザーのパスワードに、指定したプリフィックスやサ フィックスをユーザー名に付けた値を設定します。プリフィックスまたはサフィックスを設定するには、 [Configure] をクリックします。 Set password to—ターゲットユーザーパスワードに、指定した値を設定します。共通のパスワード値を指 定するには、[Configure] をクリックします。 Set random password—パスワードに、一部の基準を使って生成された無作為の値を設定します。パスワー ドは、ADAM または AD LDS 内に保管されます。強力なパスワードまたはカスタムパスワードを生成する ことができます。カスタムパスワードの場合、パスワードの長さの範囲と使用を許可する文字を設定でき ます。 無作為のパスワードの複雑度を設定するには、[Configure] をクリックして、[Random length between] および [Allow characters] コントロールを使用します。 [Strong password] を選択すると、[Random length between] および [Allow characters] コントロール は無効になり、Microsoft サポート技術情報の文書 Q161990 に指定されているパスワード要件に準拠し たパスワードが生成されます。この文書によると、パスワードは以下の要件を満たす必要があります。 l l パスワードは 6 文字以上でなければなりません。パスワード長の制限値は、[Random length between] ボックスで設定できます。 パスワードには、以下の 4 種類のクラスの中から 3 種類以上の文字を使用する必要があります。 l 英大文字 (A、B、C、... Z) l 英小文字 (a、b、c、... z) l 数字 (0、1、2、... 9) l 省略記号などの、英字以外の文字または「特殊文字」 l パスワードには、ユーザー名や姓名の一部を含めないようにしてください。 メモ: パスワードを変更できるように、ユーザーに一時パスワードを知らせるには、まず ADAM または AD LDS からパスワードを取得する必要があります。そのためには、Dell Support が提供するユーティリ ティを使用してください。このユーティリティについて は、https://support.software.dell.com/kb/SOL32124 のソリューション 32124 を参照してください。 ステップ 5:Specify Object Processing Options マイグレーションセッションの完了後にターゲットオブジェクトを有効にするかどうかを指定します。移行完了 後すぐにユーザーが、ターゲットアカウントの使用を開始する場合に、この設定が役立ちます。移行完了後に、 ソースアカウントを無効にすることもできます。それぞれ [Enable target accounts] および [Disable source accounts] オプションを使用してください。 Migration Manager for Active Directory 8.11 ユーザーガイド 27 フォレスト内移行の場合、Exchange 移行が実施されるまでの間、ターゲット環境にログオンしたユーザーが各 自のソースメールボックスを使用できるように、ソース Exchange メールボックスをターゲットユーザーに再接 続することを選択できます。[Reconnect Exchange mailbox] チェックボックスを選択すると、ソースユーザー のメールボックスが、対応するターゲットユーザーに再接続されます。 選択したオブジェクトをソースドメインから取得した後、ターゲットドメインにコピーする前に、カスタムアド インを使ってそれらのオブジェクトを処理する場合は、[Use custom add-in] チェックボックスを選択し て、.xml カスタムアドインファイルを選択します。 Attributes to Skip 特定の属性をスキップする場合は、[Attributes to Skip] をクリックします。次に、ターゲットドメインに移 行しない属性のチェックボックスを選択します。 他のマイグレーションセッションを作成した時にも同じ設定を使用したい場合は、[Save Settings] ボタンを 使用して設定を保存します。保存した一連の属性スキップオプションを適用する場合は、[Load Settings] をクリックします。 Migration Manager for Active Directory 8.11 ユーザーガイド 28 スキップできる属性の全リストから選択する場合は、[Show advanced attributes] チェックボックスを選択 します。 注意: Migration Manager が使用する Directory Synchronization Agent サービス属性は、スキップし ないでください。さもなければ、Migration Manager がオブジェクトを移行、同期することはできませ ん。 ステップ 6:Select Migration Agent このステップでは、移行を実施する移行エージェントを選択できます。 メモ: 環境内に 1 つのエージェントのみをインストールしている場合は、このステップは表示されませ ん。 Migration Manager for Active Directory 8.11 ユーザーガイド 29 ステップ 7:まとめ このセッションで行った設定を参照することができます。必要に応じて [Back] をクリックして、設定を変更 することができます。 Migration Manager for Active Directory 8.11 ユーザーガイド 30 移行をテストモードで実行する場合は、[Test mode] チェックボックスを選択します。テストモードでは、実際 のターゲット環境に変更は行われません。テストモードでマイグレーションセッションを実行することにより、 セッションに対して行った設定がターゲットディレクトリにどのように適用されるのかを確認し、それらの設定 が要件に適しているかどうかを判断することができます。移行完了後は、[View log] をクリックして、結果を レビューすることができます。 メモ: [Back] をクリックして、[Test mode] チェック ボックスの選択を解除すれば、実際の移行を実施 することができます (移行完了後 Migration Wizard ダイアログを閉じなかった場合)。すでに完了した セッションのプロパティを開いた場合は、[Test mode] チェックボックスの選択を解除することはできま せん。ただし、アカウント移行を実行するために新しいセッションを作成する時に、このセッションをテ ンプレートとして使用することは可能です。詳細は、「マイグレーションセッションの詳細の表示」を参 照してください。 ステップ 8:Migrating Active Directory Objects 選択したオブジェクトをターゲットドメインに移行します。すべてのアクティビティは、ターゲットドメインで のみ行われます。ウィザードには、ターゲットドメインディレクトリ更新の進捗状況が表示されます。ウィザー ドの処理が完了するまでしばらくお待ちください。 ステップ 9:Complete the Wizard マイグレーションセッションが完了しました。完了したセッション設定は、プロジェクトデータベースに保管さ れます。移行中に発生したエラーや衝突を参照するには、[View log] ボタンをクリックします。 Migration Manager for Active Directory 8.11 ユーザーガイド 31 完了したセッションの設定を表示して、他のマイグレーションセッションでそのテンプレートを使用することが できます。マイグレーションセッションの詳細は、「マイグレーションセッションの詳細の表示」を参照してく ださい。 マイグレーションセッション中に行われたすべての変更は、ロールバックすることができます。移行の Undo の 詳細は、「アカウント移行の Undo」を参照してください。 マイグレーションセッションの詳細の表示 マイグレーションセッションの詳細を表示するには、Migration Manager コンソールの管理ツリーから [Migration] ノードを選択します。右側のパネルに、完了したセッションのリストが表示されます。詳細を表示 するセッションを右クリックして、表示されるメニューから [Properties] を選択します。 [Summary] タブを選択して [View log] をクリックすれば、完了したセッションのログを表示して移行結果を確 認することができます。 完了したセッションをテンプレートとして使用 完了したセッションをテンプレートとして、同じ/類似の設定または類似の移行オブジェクトを持つ新規セッ ションを作成することができます。たとえば、以前にテストモードで実行されたセッションを選択して、その セッションの設定を利用して実際のオブジェクト移行を実施することができます。 完了したセッションをテンプレートとして使用するには、Migration Manager コンソールの管理ツリーから [Migration] ノードを選択します。右側のパネルに、完了したセッションのリストが表示されます。テンプレー トとして使用するセッションを右クリックして、表示されるメニューから [New Session] を選択しま す。Migration Wizard が開始されます。移行用に選択したオブジェクトも含めて、完了したセッションのすべ ての設定が保持されます。再びそれらの設定を行う必要はありません。 ユーザーおよびグループの名前変更の設定 移行作業の一環として、ユーザーやグループの名前を変更することができます。これには、複数のソースユー ザーまたはグループの、単一のターゲットユーザーまたはグループへの結合が含まれています。 オブジェクトの名前変更は、特別にフォーマットされたプレーンテキストファイルを使って行います。そのため には、Migration Wizard の [Source Domain] ステップの [Select Objects] でファイルをインポートする必要 があります (「マイグレーションセッションの作成」の手順を参照)。 ファイル内のすべてのエントリはタブ区切り形式でなければなりません。ヘッダーは必須で、最低でも以下の 2 つのエントリを含む必要があります (空白文字はタブ文字です)。 SAMAccountName SAMAccountName 1 行に 1 つのオブジェクトを指定する必要があります。サンプルのインポートファイルを以下に示します。 SAMAccountName SAMAccountName sourceuser01 targetuser1 sourceuser02 targetuser2 sourceuser03 targetuser3 sourceuser04 targetuser4 注意: Migration Manager for Active Directory 8.11 ユーザーガイド 32 l このファイルを使って新しいユーザーアカウントを作成する際に、すでにソースユーザーと同名 のターゲットドメインユーザーが存在している場合、上記のファイルは正常に機能しません。最 低でも name 属性を追加する必要があります。この場合、ファイルは以下のようになります。 SAMAccountName SAMAccountName name sourceuser01 targetuser01 targetuser1 l オブジェクト名にスペースが含まれている場合、引用符を使用する必要はありません (スペース は区切り文字としては処理されない)。たとえば、「Executive Users」グループを「Target Executive Users」に変更するには、以下の構文を使用します。 SAMAccountName SAMAccountName name Executive Users Target Executive Users Target Executive Users 同じファイル形式を使って、他のターゲット属性を設定することができます。以下に例を示します。 SAMAccountName SAMAccountName name displayname userprincipalname sourceuser1 targetuser1 targetuser1 Target User1 [email protected] sourceuser2 targetuser2 targetuser2 Target User2 [email protected] sourceuser3 targetuser3 targetuser3 Target User3 [email protected] 同じインポートファイルを、既存のオブジェクトとの結合に使用できます。そのようなファイルを使用する場 合、2 つの完全に異なるアカウントを結合することができます。たとえば、ソースドメインの Peter M. をター ゲットドメインの James T. に結合することができます。グループにも同じことが適用されます。希に、ビルト イングループを他の (通常) グループと結合するためにこの方法が用いられることがありま す。sAMAccountName<tab>sAMAccountName を使ってユーザーまたはグループを結合する場合、sAMAccountName による照合がドメインペアのプロパティ内で有効になっていることを確認してください。さもなければ、DSA が 同じ sAMAccountName の新規ユーザーを作成し、結合する代わりに衝突をポストしてしまいます。 注意: CN を構文として使用して CN 属性を変更することはできません。CN の値を変更するには、Name 属性を使用する必要があります。これにより、ターゲット上の CN 名を変更できます。 最後に、以下の事項に注意してください。 l ファイル内のユーザー名またはグループ名の最大長は 64 文字です。これを超えた長さの名前を指定する と、移行時にエラーメッセージが表示されます。エラーのログエントリの例を以下に示します。 LDAP error 0x13.Constraint Violation (00002082: AtrErr: DSID-03050B04, #1:0: 00002082: DSID-03050B04, problem 1005 (CONSTRAINT_ATT_TYPE, data 0, Att 3 (cn):len 130). l l l インポートファイルは移行に対してのみ有効で、同期に使用することはできません。 同期がオンで、移行時に変更する属性が除外されていない場合、同期により変更内容が上書きされてしま います。 インポートファイルを使ってアカウントを移行する場合、マイグレーションセッションの指定内容に関係 なく、それらは指定した場所にフラットリストとして移行されます。リストに記載したオブジェクトの ソースドメインの OU 構造を保持したい場合は、まずオブジェクトを通常のように移行した後に、イン ポートファイルと結合マイグレーションセッションを使って名前を変更してください。この作業を行う場 合は、[Merge and leave the account where it was before the migration] オプションを忘れ ずに選択してください。 Migration Manager for Active Directory 8.11 ユーザーガイド 33 アカウント移行の委任 主要資格情報 (ソース/ターゲットドメインにアクセスするための管理者アカウントとパスワードなど) を知ら せずに、ディレクトリ移行タスクを第三者に割り当てたい場合、移行作業を第三者に委任することができます。 また、委任する移行作業の範囲を、ソース/ターゲットドメインに所属する特定の組織単位 (OU) に制限するこ とも可能です。 委任した移行作業の結果とステータス情報はプロジェクトに追加されるため、委任した管理者数が多い場合で も、プロジェクト全体を追跡管理することができます。 委任した管理者は、アクセス権を与えたタスクにのみアクセスできるため、相互の作業への干渉を防止すること ができます。 移行タスクを委任された担当者は、「移行タスク管理者 (Migration Admin)」と呼ばれます。この担当者 は、Migration Wizard を使ってマイグレーションセッションを作成することができます。ただし、移行時に利 用できるオブジェクトは、タスクの委任時に指定した範囲に限定されています。タスクを委任された移行タスク 管理者は、移行を実施するエージェントや移行するオブジェクトを処理するカスタムアドインを選択することは できません。 移行タスクを委任するには、ドメインペアノードを右クリックして、表示されるメニューから [New Delegated Migration] を選択します。New Delegated Migration Wizard は、移行作業の一部の他の担当者への委任を 支援します。 ステップ 1:New Delegated Migration 委任する移行の名前とコメントを入力します。 ステップ 2:Restrict Source Migration Scope このステップでは、委任する移行タスクで許可する、オブジェクトの移行元 OU を選択します。 Migration Manager for Active Directory 8.11 ユーザーガイド 34 ステップ 3:Restrict Target Migration Scope このステップでは、委任する移行タスクで許可する、オブジェクトの移行先 OU を選択します。 ステップ 4:Select Migration Agent 移行タスクを委任する担当者は、Directory Synchronization Agent をインストールしたり、移行を実施する エージェントのインスタンスを選択したりすることはできません。そのため、このステップでは委任する移行タ スクを実行する Directory Synchronization Agent のインスタンスを選択する必要があります。 メモ: 環境内に 1 つのエージェントのみをインストールしている場合は、このステップは表示されませ ん。 Migration Manager for Active Directory 8.11 ユーザーガイド 35 ステップ 5:Specify the Object Processing Custom Addin File 移行タスクを委任する担当者は、移行するオブジェクトを処理するカスタムアドインファイルを選択することは できません。そのため、移行するオブジェクトをターゲットサーバーにコピーする前にスクリプトを使って処理 する場合は、このステップでカスタムアドインファイルを選択します。[Use custom add-in] チェックボックス を選択して、.xml カスタムアドインファイルを選択してください。 Migration Manager for Active Directory 8.11 ユーザーガイド 36 ステップ 6:Delegate the Migration このステップでは、選択したアカウントに移行タスク管理者 (Migration Admin) ロールを割り当てることが できます。移行タスク管理者は、マイグレーションセッションを作成し、ロールに指定されている範囲内で移行 の設定を行えます。 ステップ 7:Complete the Wizard これまでに指定した委任設定の内容がウィザードに表示されます。 アカウント移行の Undo 各マイグレーションセッション個別に、ターゲットディレクトリに対して行った変更をロールバックすることが できます。 セッションによりターゲットドメインに対して行われた変更はすべて、セッション開始前の状態にロール バック/復元することができます。この処理を以下の図に示します。 1. マイグレーションセッション 1 の実行時に、ソースドメインからさまざまなオブジェクトを移行し て、それらを既存のターゲットオブジェクトと結合し、それをターゲット上の組織単位 A に移動する 場合を考えてみましょう。 2. 次にマイグレーションセッション 2 では、同じ一連のオブジェクトを再移行して、それをターゲット内 の既存のオブジェクトと結合し、それをターゲット組織単位 B に移動しました。 Migration Manager for Active Directory 8.11 ユーザーガイド 37 3. ここでマイグレーションセッション 2 を Undo すると、ターゲットオブジェクトと結合されたソース オブジェクトは組織単位 A に戻されます。マイグレーションセッション 1 の実行前の元の場所では ありません。 つまり、あるセッションを Undo すると、そのセッションで行われた変更のみがロールバックされます。別の 例を以下に示します。 1. ユーザーオブジェクトがターゲットに、それぞれ異なる 3 つのセッションで 3 回移行された場合を考え てみましょう。最後のセッションでは、ソースからターゲットユーザーアカウントに Exchange メール ボックスを再接続する [Reconnect Exchange mailbox] オプションが選択されていました。 2. ここで最初のまたは 2 番目のセッションを Undo した場合、メールボックスがソースアカウントに再接 続されることはありません。 注意: l l マイグレーションセッション中に変更されたアカウントパスワードをロールバックすることはで きません。 マイグレーションセッション時にオブジェクトをターゲットドメインへ移行して、その後ソース ドメイン内のオブジェクトと、それが保管されているコンテナを削除した場合、そのマイグレー ションセッションを Undo してもソースドメイン内にオブジェクトが復元されることはありませ ん。 マイグレーションセッションの結果を Undo するには、移行プロジェクトツリーの [Migration] ノードを選択 し、右側のパネルに表示されたセッションを右クリックして、表示されるメニューから [Undo] を選択しま す。Undo Wizard が開始されます。 ステップ 1:Select Objects to Revert the Changes for このステップでは、移行を Undo するオブジェクトを選択できます。 Migration Manager for Active Directory 8.11 ユーザーガイド 38 すべてのオブジェクトを選択する場合は、[Select all] をクリックします。個別のオブジェクトを選択する場 合は、目的のオブジェクトのチェックボックスを選択します。変更を Undo するオブジェクトクラスを指定する には、[Set filter] をクリックします。デフォルトでは、すべてのオブジェクトクラスが選択されています。 ステップ 2:Reverting Migration Changes 選択した移行済みオブジェクトをターゲットドメインから削除し、マイグレーションセッション中に行われた変 更内容を元に戻します。ウィザードの処理が完了するまでしばらくお待ちください。 メモ: 移行時にソースオブジェクトが既存のターゲットオブジェクトと結合された場合は、Undo 処理で ターゲットディレクトリからターゲットオブジェクトが削除されることはありません。結合操作中に行わ れたターゲットオブジェクトへの変更内容はすべて (他の組織単位への移動や属性値の変更も含む)、移 行および結合が行われる前のオブジェクト状態にロールバックされます。 ロールバック処理中にエラーが発生した場合は、[View log] をクリックしてログファイルの詳細情報を表示し て、失敗したオブジェクトを調査することができます。 Migration Manager for Active Directory 8.11 ユーザーガイド 39 ディレクトリの同期 移行を開始する前に、移行または同期プロセスに関与するドメインペアを作成する必要があります。詳細は、 「ドメインペアの作成」を参照してください。 あるフォレストから他のフォレストに Active Directory オブジェクトのみを移行する場合は、ディレクトリ同 期を行うことをお勧めしますが必須ではありません。組織間 Exchange メッセージングシステムの移行を実施す る場合は、ディレクトリ同期が必須になります。 大規模な移行プロジェクトは長期間の作業になるため、ソース環境とターゲット環境の共存期間が存在し、その 間は両方の環境を同期する必要があります。Migration Manager では、アカウントを移行するだけでなく、それ らのアカウントやグループを継続的に同期することができます。 ディレクトリ同期の検討事項 l l l ご自分の移行シナリオに Microsoft Exchange メッセージングシステムの移行が含まれている場合、ディ レクトリ同期を設定して、ターゲットディレクトリに一致する項目がないオブジェクトを作成、同期する ことをお勧めします。これにより、ソースおよびターゲット Exchange 組織に対して、統一されたグロー バルアドレス一覧 (GAL) を維持することができます。Exchange の移行では、このことが重要になりま す。詳細は、『Migration Manager for Exchange ユーザーガイド』を参照してください。 Migration Manager を使って Exchange リソースフォレストを導入する場合は、ターゲットドメイン に無効化されたメールボックス有効アカウントを作成するように Directory Synchronization Agent を設定します。この場合、Directory Synchronization Agent は自動的に関連付けられた外部アカウン ト (msExchMasterAccountSID) 属性をターゲットアカウントに追加します。これにより、まだソースド メインにログオンしているユーザーも、ターゲットドメインのメールボックスにアクセスすることができ ます。 同期処理は、前回の実行後から行われたディレクトリの変更を検出し、それを反映します。 完全再同期は、前回の状態情報を削除して、ディレクトリを再同期します。この場合、単一値属性は上書きさ れ、複数値属性は結合されます。たとえば、ソース上のグループにメンバー User1 が存在しており、ターゲッ ト上の対応するグループに User2 が存在している場合、ソースからターゲットに再同期すると、グループには User1 と User2 の両方が存在することになります。 Directory Synchronization Agent 移行タスクとディレクトリ同期タスクは両方とも、Directory Synchronization Agent (DSA) と呼ばれる同期エ ンジンにより処理されます。 Directory Synchronization Agent がサポートしているオペレーティングシステムの詳細は、『System Requirements and Access Rights』を参照してください。管理者のワークステーションに常駐させることも、 ネットワーク上の複数台のコンピュータにインストールすることも可能です。 Migration Manager for Active Directory 8.11 ユーザーガイド 40 Agent Manager Agent Manager により、ネットワークに Directory Synchronization Agent をインストール/アンインストール したり、それらの設定パラメータを指定したりすることができます。また、すでにエージェントがインストール されているコンピュータや各エージェントが処理した移行/同期ジョブを確認することもできます。 Agent Manager を開始するには、Migration Manager コンソールの [Tools] メニューから [Agent Manager] コマンドを選択します。 Directory Synchronization Agent のインストール エージェントをインストールするには、Agent Manager で [Action] | [Install] を選択するか、またはツール バーの [Install] ボタンをクリックします。[Install Agent] ダイアログで、エージェントをインストールす るサーバー名を入力して、[OK] をクリックします。 リモートサーバーを指定したは、リモートデスクトップ接続が開始され、ターミナルセッションでインストール が実行されます。エージェントのインストール中には、ADAM または AD LDS インスタンス、それにアクセス するための資格情報、およびエージェントが作業を行うプロジェクトの指定を要求するメッセージが表示されま す。 注意: エージェントをインストールする前に、ファイアウォールで送信接続と受信接続の両方に対して ADAM/AD LDS ポートが開かれており、エージェントをインストールするサーバー上で指定ユーザーが 「サービスとしてログオン」の権利を持っていることを確認してください。 メモ: エージェントをインストールするリモートサーバー上では、ターミナルサービスが動作していなけ ればなりません。また、コンソールが存在しているドメインと、リモートサーバーがメンバーとなってい るドメインの間には、信頼関係が確立されていなければなりません。 Migration Manager for Active Directory 8.11 ユーザーガイド 41 何らかの理由でリモートインストールできない場合は、目的のサーバー上でエージェントセットアップ パッケージ (.msi) をローカルに実行して、Directory Synchronization Agent をインストールすること ができます。デフォルトでは、エージェントセットアップパッケージはコンソールマシンの \Program Files\Quest Software\Migration Manager\Common\BIN\DeployDistr フォルダに存在しています。また、 自動的に作成される \\<ConsoleComputer>\DSASetup\ 共有からアクセスすることもできます。 指定したサーバー上で、Dell Directory Synchronization Agent Installation Wizard が開始されます。ウィ ザードの指示に従って、Directory Synchronization Agent をインストールしてください。 選択したエージェントをアンインストールするには、[Action] メニューの [Uninstall] を選択するか、または ツールバーの [Uninstall] ボタンをクリックします。エージェントのショートカットメニューから [Uninstall] オプションを選択して、エージェントをアンインストールすることもできます。プロジェクト内の 最後のエージェントを削除したら、新しいエージェントがインストールされるまでの間、移行アクティビティを 実行することはできません。 Directory Synchronization Agent の設定 各 Directory Synchronization Agent に対して、いくつかのパラメータを設定することができます。エージェ ントを設定するには、Agent Manager でエージェントを右クリックして、[Properties] を選択します。 エージェントの [Properties] ダイアログボックスの [Preferences] タブには、現在のプロジェクトに参加し ているドメインのリストが表示されており、優先ドメインコントロールおよびグローバルカタログサーバーを指 定することができます。移行および同期時の遅延やネットワークトラフィックを減らすために、各 Directory Synchronization Agent に対して、エージェントと同じサイトにあるドメインコントローラとグローバルカタロ グサーバーを指定してください。 Migration Manager for Active Directory 8.11 ユーザーガイド 42 ドメインの優先ドメインコントローラとグローバルカタログサーバーを指定するには、[Preferences] タブのリ ストで選択したドメインの [Edit] をクリックします。 選択したドメインの優先ドメインコントローラおよびグローバルカタログサーバーの設定を削除するには、 [Clear] をクリックします。 エージェントが同期ジョブを実行する時間範囲を指定することもできます。これを実施する場合は、エージェン トの [Properties] ダイアログ ボックスから、[Synchronization Schedule] タブをクリックします。 メモ: 指定した同期スケジュールは、アカウントの移行には影響しません。移行ジョブは、エージェント が同期ジョブの処理を許可されているかどうかに関係なく、Directory Synchronization Agent により処 理されます。 たとえば、通常の勤務時間内のエージェントによる同期ジョブの処理を禁止することができます。処理を許可/ 禁止する時間を設定するには、スケジュールマップから定義する時間範囲を選択して、[Synchronization allowed] (同期許可) または [Synchronization not allowed] (同期禁止) オプションを選択します。 ディレクトリ同期ジョブは、セッション内でエージェントにより処理されます。各セッションの完了後、エー ジェントはしばらくの間アイドル状態になります。デフォルトのスリープ期間は 15 分です。この期間は、 [Sleep duration between synchronization sessions] コントロールで変更することができます。 メモ: エージェントがセッションを実行中に、エージェントによるディレクトリ同期ジョブの処理が禁止 されている時間帯になった場合、エージェントは現在のセッションの処理を停止して、作業が許可されて いる時間になるまでの間アイドル状態で待機します。許可されている時間が到来すると、停止した時点か らセッションの処理が再開されます。 優先ドメインコントローラ、グローバルカタログサーバー、同期スケジュール、およびスリープ間隔 は、Directory Synchronization Agent 個別に設定できます。 Migration Manager for Active Directory 8.11 ユーザーガイド 43 Directory Synchronization Agent 資格情報の変更 Directory Synchronization Agent (DSA) のインストール時には、DSA が ADAM または AD LDS インスタンスに 接続する際に使用する資格情報が指定されます。Migration Manager を Express セットアップを使ってインス トールした場合、Migration Manager コンソールと同じコンピュータ上に Directory Synchronization Agent が自動的にインストールされます。この場合、Directory Synchronization Agent は補助アカウントを使用して ADAM または AD LDS インスタンスに接続します。 Directory Synchronization Agent インスタンスの資格情報を変更することはお勧めできませんが、パスワード の期限切れなど、状況によっては資格情報を変更しなければならないこともあります。Directory Synchronization Agent インスタンスの資格情報を変更するには、以下の手順に従ってください。 1. Agent Manager で、資格情報を変更する DSA インスタンスを選択します。 注意: DSA 資格情報を変更する各リモートコンピュータは、以下の要件を満たしていなければな りません。 l l リモートレジストリサービスを開始しておく必要があります。 Migration Manager コンソールを実行しているアカウントには、リモートコンピュータの レジストリを編集する権限が必要です。 2. 選択項目を右クリックして、[Change Credentials] をクリックします。 メモ: すべての DSA インスタンスを一度に変更する場合は、Agent Manager の左側のパネルにあ る [Agents] ノードを右クリックします。 3. 選択した DSA インスタンスで使用する新しい資格情報を指定して、[OK] をクリックします。 同期ジョブの設定 Migration Manager でドメインペアを登録すると、そのドメインペアのデフォルトの同期ジョブが設定されま す。ただし、このジョブは Directory Synchronization Agent には割り当てられておらず、デフォルトの設定 のみが行われています。そのため、要件に合わせて設定を変更する必要があります。 同期ジョブを設定するには、適切なドメインペア下にある [Synchronization] ノードを右クリックして、表示 されるメニューから [Properties] を選択します。 ステップ 1:Select Synchronization Agent ドメインペアのドメイン間の同期ジョブを処理する同期エージェントを選択します。インストールされている任 意のエージェントを選択することができます。まだインストールされていないエージェントを使用したい場合 は、先に Agent Manager を使ってエージェントをインストールする必要があります。詳細は、「Directory Synchronization Agent」を参照してください。 Migration Manager for Active Directory 8.11 ユーザーガイド 44 ステップ 2:Select Source Objects to Synchronize このステップでは、対応するターゲットオブジェクトと同期する必要があるオブジェクトが存在しているソース コンテナを選択できます。 注意: OU 階層および OU 間のオブジェクトの移動は同期されません。これらの操作は両方とも、マイグ レーションセッション中に実行できます。 表示されているソースディレクトリツリー内のコンテナを選択します。 l l l 青いチェックマークは、選択したコンテナから、すべてのオブジェクトとサブコンテナが同期されること を表しています。 白いチェックマークは、明示的に選択したコンテナのみが同期されることを表しています。 チェックマークが付いていない灰色のチェックボックスは、コンテナは同期されないけれども、その一部 のサブコンテナが同期のために選択されていることを表しています。 Migration Manager for Active Directory 8.11 ユーザーガイド 45 Set Filter—このボタンを使って、選択したすべてのオブジェクトの中から、特定のオブジェクトの同期をフィ ルタリングすることができます。たとえば、ユーザーとグループのみを同期して、コンピュータ、連絡先、およ びその他のオブジェクトは同期しないようにフィルタリングを設定することができます。 Object Class—このタブでは、リストから同期するオブジェクトクラスを選択することができます。 Exclude List—このタブでは、同期から除外する個別のオブジェクトを明示的に選択することができます。 [Select] をクリックして、除外するオブジェクトを選択してください。[Import] をクリックして、プレーンテ キストファイルから除外するオブジェクトをインポートすることも可能です。テキストファイルには、オブ ジェクト sAMAccountnames または distinguishedNames を、1 行に 1 つずつ指定します。 Advanced—カスタムの LDAP フィルタ式を指定できます。ウィンドウに LDAP クエリーを入力して、[OK] をクリックします。 Do not create objects on target (only merge them)—このオプションを選択すると、同期中にターゲット上に 新しいオブジェクトは作成されません。すでにターゲット上に存在しているオブジェクトのみが同期されます。 Create objects in—ターゲット上にオブジェクトを作成するかどうかを選択できます。また、オブジェクトを作 成するコンテナも選択できます。このオプションを選択すると、ターゲット上に存在しないすべての新規オブ ジェクトが、指定したコンテナ内に作成されます。[Browse] をクリックして、ターゲットディレクトリツリー からコンテナを選択してください。 メモ: [Create objects in] オプションを選択した場合、Directory Synchronization Agent がターゲッ トドメイン内に一致する項目を見つけられなかった各ソースオブジェクトが、指定した OU 内に新規オブ ジェクトとして作成されます。 ディレクトリ同期ジョブ内にも Exchange オプションが設定されている場合、対応するソースアカウント のように、ターゲットアカウントもメールボックス有効になる場合があります。これは設定したオプショ ンによって異なります。 ただし、新たに作成されたターゲットアカウントのメールボックス作成時に、メールアドレス Migration Manager for Active Directory 8.11 ユーザーガイド 46 (proxyAddresses 属性) の衝突が発生した場合、エージェントは以下のように処理を行います。 l l 衝突が致命的なものではない場合 (例: 一部のメールアドレスをターゲットアカウントに適用で きない)、ターゲットドメイン内にアカウントが作成され、通常と同様にメールボックスが有効に なります。ただし、そのプロキシアドレスリストには、衝突するアドレスは設定されません。 衝突が致命的な場合 (例: メール有効オブジェクトのターゲットアドレスを適用できない) で も、ターゲットドメインにはアカウントが作成されます。メール有効にはならず、失敗キューに 追加されます。 Disable target accounts—デフォルトでは、エージェントはターゲットアカウントを無効なアカウントとして 作成します。ターゲットアカウントの状態をソースアカウントからコピーしたい場合は、このチェックボックス の選択を解除します。 ステップ 3:Set Security Settings このステップでは、同期のセキュリティ設定を指定できます。 Security Descriptor migration rule—同期時にソースオブジェクトとターゲットオブジェクトが任意の照合 (一致) 基準を満たした時の、それらのオブジェクトのセキュリティ記述子の処理方法を選択することができま す。 照合基準の詳細は、「ドメインペアの設定」を参照してください。 同期時にアカウントを結合する場合、セキュリティ記述子を結合 (Merge)、置換 (Replace)、またはスキップ (Skip) することができます。 l l l Merge—ソースオブジェクトのセキュリティ記述子エントリは、ターゲットオブジェクトのセキュリティ記 述子に追加されます。 Skip—ターゲットオブジェクトのセキュリティ記述子はそのままで、変更されません。 Replace—ターゲットオブジェクトのセキュリティ記述子エントリは、ソースオブジェクトのセキュリティ 記述子で置換されます。 Add SIDHistory—共存期間中に、SIDHistory 機構を使ってソースドメインリソースにアクセスすることを、ター ゲットアカウントに許可する場合、このチェックボックスを選択します。 Migration Manager for Active Directory 8.11 ユーザーガイド 47 メモ: ユーザーに、SIDHistory を使ってソースドメイン内のリソースにアクセスさせる場合は、ソース ドメインとターゲットドメイン間で信頼を確立する必要があります。 [User Principal Name handling] では、ユーザープリンシパル名 (UPN) の処理方法を指定できます。 l l l Synchronize—このオプションを選択した場合、ソースユーザーのユーザープリンシパル名が、ターゲット ユーザーに割り当てられます。 Skip—このオプションを選択した場合、ターゲットユーザーの UPN がそのまま残されます。 Set the domain suffix of the UPNs to—ターゲットユーザーの UPN のドメインサフィックスを、指定し た値に設定することができます。 Synchronize passwords—アカウントのパスワードを同期する場合に、このチェックボックスを選択します。 片方向のディレクトリ同期が確立されている場合、ソースアカウントのパスワードがターゲットアカウントのパ スワードよりも新しい場合にのみ、パスワードがターゲットアカウントに適用されます。ターゲットアカウント のパスワードが新しい場合でも、ターゲットからソースアカウントにパスワードが適用されることはありませ ん。 双方向のディレクトリ同期の場合、新しいパスワード値がもう一方のディレクトリに同期されます (パスワード は両方のディレクトリに同期される)。 これらのルールは、初期同期と差分同期の両方に適用されます。 ステップ 4:Select Target Objects to Synchronize このステップでは、対応するソースオブジェクトと同期する必要があるターゲットディレクトリオブジェクトを 選択できます。ソース上のオブジェクトを作成するかどうか、およびオブジェクトを作成するコンテナを選択す ることもできます。 Do not create objects on source (only merge them)—このオプションを選択すると、同期中にソース上に新し いオブジェクトは作成されません。すでにソース上に存在しているオブジェクトのみが同期されます。 Migration Manager for Active Directory 8.11 ユーザーガイド 48 Create objects in—ソース上にオブジェクトを作成するかどうかを選択できます。また、オブジェクトを作成す るコンテナも選択できます。このオプションを選択すると、ターゲット上に存在しないすべての新規オブジェク トが、指定したコンテナ内に作成されます。[Browse] をクリックして、ソースディレクトリツリーからコンテ ナを選択してください。 ステップ 5:Specify Advanced Options 選択したオブジェクトをソースドメインから取得した後、ターゲットドメインに同期する前に、カスタムアドイ ンを使ってそれらのオブジェクトを処理する場合は、[Use custom add-in] チェックボックスを選択して、.xml カスタムアドインファイルを選択します。 オブジェクトの削除も同期する場合は、[Synchronize object deletions] チェックボックスを選択します。 ソースドメインのオブジェクトを削除すると、Directory Synchronization Agent がターゲットドメインから それを削除します。 メモ: l l ソースドメインの Windows 2000 Server ドメインコントローラからオブジェクトを削除した場 合、設定に関係なくそれはターゲットドメインからは削除されません。この場合、DSA ログには 以下のようなメッセージが書き込まれます。 For safety reasons deletion of following objects will not be synchronized, being propagated by DC running Windows 2000 Server. 同期プロパティで [Synchronize object deletions] オプションが有効になっている場合でも、 ターゲット組織内の一致するオブジェクトの削除は、ターゲットからソースには同期されませ ん。つまり、一致するターゲットオブジェクトが削除されても、ソースオブジェクトは影響を受 けません。 Migration Manager for Active Directory 8.11 ユーザーガイド 49 Attributes to Skip 同期しない属性のチェックボックスを選択します。 他のマイグレーションセッションを作成した時にも同じ設定を使用したい場合は、[Save Settings] ボタンを 使用して設定を保存します。保存した一連の属性スキップオプションを適用する場合は、[Load Settings] をクリックします。 Direction—属性をスキップする際の同期のタイプを指定する場合に、このボタンをクリックします。 l Two-way Sync—双方向に属性の同期をスキップする場合に選択します。 l Source-to-Target Sync—ターゲット上の属性に適用しない場合に選択します。 l Target-to-Source—ソース上の属性に適用しない場合に選択します。 スキップできる属性の全リストから選択する場合は、[Show advanced attributes] チェックボックスを選択 します。 注意: Migration Manager が使用する Directory Synchronization Agent サービス属性は、スキップし ないでください。さもなければ、Migration Manager がオブジェクトを移行、同期することはできませ ん。 ステップ 6:Specify Exchange Options ディレクトリ移行後に Exchange 移行が予定されている場合、Exchange メッセージングシステムの同期のため に必要な、いくつかのオプションを指定することができます。 メモ: このステップは、ソースフォレスト、ターゲットフォレスト、またはその両方に Exchange サー バーがインストールされている場合にのみ表示されます。 Migration Manager for Active Directory 8.11 ユーザーガイド 50 ターゲットユーザーのタイプ 上部の各オプションで、Directory Synchronization Agent によるターゲットユーザーの Exchange 関連オプ ションの設定方法を指定します。 l Users without mail options ターゲットユーザーに、Exchange メール機能に関する属性がないことを表しています。このオプション は、Exchange の移行予定がなく、ターゲットユーザーがメールを使用しない場合に利用します。このオ プションを指定すると、新しく作成されるターゲットユーザーは以下のようになります。 ソースユーザー ターゲットユーザー メールオプションなし メールオプションなし メール有効 メールオプションなし メールボックス有効 メールオプションなし メモ: このオプションは、グループと連絡先にも影響します。 l Mail-enabled users このオプションを指定すると、新しく作成されるターゲットユーザーは以下のようになります。 ソースユーザー ターゲットユーザー メールオプションなし メールオプションなし メール有効 メール有効 メールボックス有効 メール有効 Migration Manager for Active Directory 8.11 ユーザーガイド 51 メモ: このオプションは、グループと連絡先にも影響します。 l Mail-enabled users このオプションを指定すると、新しく作成されるターゲットユーザーは以下のようになります。 ソースユーザー ターゲットユーザー メールオプションなし メールオプションなし メール有効 メール有効 メールボックス有効 Mail-enabled user for Native Move メモ: このオプションは、グループと連絡先にも影響します。 l Mailbox-enabled users このオプションを指定すると、新しく作成されるターゲットユーザーは以下のようになります。 ソースユーザー ターゲットユーザー メールオプションなし メールオプションなし メール有効 メール有効 メールボックス有効 メールボックス有効 ソースユーザーを既存のターゲットユーザーと結合する場合、各ユーザーには 3 種類の中のいずれかのメール オプション設定を適用できます。 l ソースユーザー設定 l ターゲットユーザー設定 l [Specify Exchange Options] ステップの選択項目 この場合、Directory Synchronization Agent は以下の原則に従って、適用する設定を判断します。 l l ターゲット設定がもっとも「昇格」されている場合、それを保持します。 ターゲット設定の「昇格」がもっとも低い (少ない) 場合、他の 2 つの設定の中で下位のものを適用 します。 メモ: 既存のメール有効ユーザーをメールボックス有効ユーザーに変換する必要がある場合、[Mailboxenabled users] オプションを選択します。これは、ソース内のメールボックス有効ユーザーにのみ適用 されます。 Exchange の移行予定がある場合は、[Mail-enabled users]、[Mail-enabled users for Native Move]、または [Mailbox-enabled users] オプションを選択します。「Exchange 移行の検討事項」で説明しているよう に、Exchange の移行計画の詳細に応じて指定するオプションを選択する必要があります。 メールのリダイレクト Directory Synchronization Agent はメールのリダイレクト目的で、メールボックスが有効になっているオブ ジェクト (proxyAddresses 属性) のプロキシアドレスリストに、セカンダリ SMTP アドレスを追加しま Migration Manager for Active Directory 8.11 ユーザーガイド 52 す。SMTP アドレステンプレートを指定して、ソース/ターゲットのメールボックスが有効になっているオブ ジェクトに適用する、セカンダリ SMTP アドレスを作成することができます。 注意: ご利用の環境の SMTP 名前空間および使用されていないリダイレクト実装 SMTP アドレステンプ レートを分析する必要があります。 Directory Synchronization Agent は他の Exchange 組織内の受信者にメールを転送するために、現在使用され ているメールボックスに応じて、ソースまたはターゲットメールボックスのターゲットアドレスプロパティ (targetAddress 属性) に、リダイレクト用に作成された SMTP アドレスを入力します。 Target SMTP address template—同期中もターゲットユーザーが各自のメールを受信するための、ターゲットア カウント用の SMTP アドレステンプレートを指定します。 Source SMTP address template—同期中もソースユーザーが各自のメールを受信するための、ソースアカウント 用の SMTP アドレステンプレートを指定します。 同期オブジェクトと同じ SMTP または X500 アドレスを持つ連絡先が相手方ディレクトリにすでに存在している 場合は、これらのオブジェクトの SMTP アドレスとメンバーシップを結合し、当該連絡先を削除することができ ます。この機能を使用する場合は、[Merge objects with corresponding contacts] チェックボックスを選択し ます。上記の [Mail-enabled users]、[Mail-enabled users for Native Move]、または [Mailbox-enabled users] オプションを選択した場合に、このオプションを利用できます。 移行時にもユーザーの共同作業が中断しないように、各ソース/ターゲット組織内のユーザーのグローバルアド レス一覧内では、他のユーザーを参照できなければなりません。これが、各ユーザーに対してソースとターゲッ トの 2 つのメールボックスが存在している理由です。ただし、あるユーザーに送信されるすべてのメールは、 どちらのメールボックス宛に送信された場合でも、そのユーザーが現在使用しているメールボックスに届かなけ ればなりません。これを実現するためには、現在使用していないメールに届いたメールを自動的に現在使用して いるメールボックスに転送する必要があります。 他の Exchange 組織の受信者に直接メールを転送するには、メールボックスのターゲットアドレスプロパティ を使用します。 メールボックスデータベース Target mailbox database—ターゲットユーザーのメールボックスがあるメールボックスデータベースを指定しま す。上記の [Mail-enabled users] または [Mailbox-enabled users] オプションを選択した場合に、このオプ ションが必要になります。 メモ: l l メール有効のユーザーは、実際にはメールボックスを保有していませんが、Exchange 関連属性を 正しく設定できるように、メールボックスデータベースを設定する必要があります。 Exchange 移行時に、ここで選択したメールボックスデータベースに優先する設定を行うことがで きます。 Source mailbox database—ソースユーザーのメールボックスがあるメールボックスデータベースを指定します。 このオプションは、双方向のメールボックス同期を行い、ソースユーザーが当初メールボックスを持っていない (ユーザーがメール有効またはメールオプションがない) 場合にのみ使用してください。上記の [Mailboxenabled users] を選択した場合、このオプションを指定する必要があります。 ディレクトリ同期の開始と停止 ドメインペアに対してディレクトリ同期ジョブを設定したら、このジョブを開始することができます。ドメイン のペアに対してディレクトリ同期を開始するには、以下の手順に従ってください。 Migration Manager for Active Directory 8.11 ユーザーガイド 53 1. Migration Manager コンソールで、左側のパネルから目的のドメインペアのノードを開きます。 2. [Synchronization] ノードを右クリックして、表示されるメニューから [Start and Re-sync] を選択し ます。[Synchronization Statistics] 画面の [Job status] に [Starting] が表示されます。 3. 右側のパネルの [Agent Statistics] 画面にある、[Start operation] の [Last operation progress] パラメータが 100% になるまでお待ちください。 同期ジョブのステータスと進捗状況を追跡するには、[Synchronization Statistics] および [Agent Statistics] 画面を使用します。ディレクトリ同期に関する統計情報の表示については、「ディレクトリ同期統 計情報の表示」を参照してください。 メモ: 初めて同期ジョブを開始した場合、最初の Directory Synchronization Agent セッションが開始 され、完全再同期が行われます。[Synchronization Statistics] 画面の [Job status] に [Initial synchronization] が表示されます。初期同期時には、ソースドメイン内のすべてのオブジェクト (双方 向同期を実行している場合はターゲットドメイン内のオブジェクトも) が列挙されますが、指定したソー ス/ターゲット範囲内のオブジェクトのみが同期されます。最初の同期セッションが完了したら、それ以 降のセッションでは変更の差分のみが同期されます。 ドメインのペアに対してディレクトリ同期を停止するには、以下の手順に従ってください。 1. Migration Manager コンソールで、左側のパネルから目的のドメインペアのノードを開きます。 2. [Synchronization] ノードを右クリックして、表示されるメニューから [Stop] を選択します。 [Synchronization Statistics] 画面の [Job status] に [Stopping] が表示されます。 3. 右側のパネルの [Agent Statistics] 画面にある、[Stop operation] の [Last operation progress] パ ラメータが 100% になるまでお待ちください。 同期ジョブに対する以下の変更は、ディレクトリの完全再同期が必要です。 Migration Manager for Active Directory 8.11 ユーザーガイド 54 l ソーススコープの変更 (同期スコープへのコンテナの追加または削除) l ターゲットスコープの変更 (ターゲットスコープへのコンテナの追加または削除) l [Security] オプションの変更 l [Advanced ] オプションの変更 l [Exchange] オプションの変更 ドメインペア設定に対して以下の変更を行った場合も、ディレクトリの完全再同期が必要です。 l サービス属性の変更 l 衝突解決ルールの適用 ディレクトリ同期統計情報の表示 管理プロジェクトツリー内のドメインペアから [Synchronization] ノードを選択した場合、右パネルから選択 したドメインペアの同期状態、進捗状況、および統計情報を参照できます。 Synchronization Statistics [Synchronization Statistics] 画面には、以下の情報が表示されます。 Job status: l l l Initial synchronization—初期同期 (完全再同期) を実行中であることを示します。これが Directory Synchronization Agent にとって最初の同期セッション、または同期が [Start and Re-sync] オプショ ンで再開始されたことを表しています。 Delta synchronization—初期同期が完了し、差分のみが同期されていることを表しています。 Sleeping—同期セッション間のスリープ期間であるか、またはスケジュール上の制限により、Directory Synchronization Agent がアイドル状態であることを表しています。詳細は、「Agent Manager」の 「Directory Synchronization Agentの設定」を参照してください。 Job direction: l l l Source to target—同期ジョブが、ソースからターゲットにのみオブジェクトを同期するように設定され ていることを示します (ソーススコープのみを設定)。 Target to source—同期ジョブが、ターゲットからソースにのみオブジェクトを同期するように設定され ていることを示します (ターゲットスコープのみを設定)。 Two-way—ソースオブジェクトとターゲットオブジェクトの両方が同期されることを示します (ソースス コープとターゲットスコープの両方を設定)。 Synchronized objects—一致して同期されたオブジェクトペア数が表示されます。 Source objects per minute—ソースからターゲットへの同期プロセスの概算速度が表示されます。 Target objects per minute—ターゲットからソースへの同期プロセスの概算速度が表示されます。 Directory errors—同期中に発生したエラー (接続エラー、無効な資格情報エラー、サーバー利用不可エラーな ど) の数が表示されます。カウンタの [View] をクリックすると、エラーのリストが表示されます。 メモ: ディレクトリエラーキューは動的ではなく、このキューに格納されたエラーは解決された後も キューから削除されません。 Migration Manager for Active Directory 8.11 ユーザーガイド 55 また、同期中に見つかった衝突、失敗したオブジェクト、および未解決のオブジェクトを格納したキューを参照 することもできます。詳細については、対応する [View] リンクをクリックしてください。 Conflicts—このキューには、オブジェクトが一致する衝突が格納されています。 Failed objects—このキューには、同期したオブジェクトとその属性に対して発生した問題が格納されています (権限が不十分でオブジェクトが作成されなかったなど)。 Unresolved objects—このキューには、すべての未解決のリンクされた属性が格納されています (未解決のメン バーシップなど)。 メモ: [Conflicts]、[Failed objects]、および [Unresolved objects] は動的なキューで、たとえばあ る衝突が解決された場合、それはキューから削除されます。 Agent Statistics Name—エージェントを実行しているサーバー名。 Last operation—エージェントが実行を指示された最後の操作の説明 (開始や停止など)。 Last operation progress—最後の操作の進捗状況 (パーセント)。 Last operation error code—最後の操作が正常に完了した場合、このフィールドには何も表示されません。操作 が失敗した場合は、エラーコードが表示されます。 Migration Manager for Active Directory 8.11 ユーザーガイド 56 非共通: 信頼とサイトの移行 Migration Manager for Active Directory ツールセットには、以下のような希な事例に対応するツールが用 意されています。 l l 現在ソースドメインが他のドメインに対して持っている信頼をコピーします。詳細は、「信頼の移行」を 参照してください。 ユーザーアカウントの移行後に、ソースフォレストの物理エンティティ (サイト、サブネット、サイトリ ンク、サイトリンクブリッジ) を保持します。詳細は、「サイトの移行」を参照してください。 信頼の移行 アカウント移行後もユーザーが必要なリソースを使い続けることができるように、ターゲットドメインにはソー スドメインと同じ信頼関係がなければなりません。Trust Migration Wizard により、ソースドメインの信頼関 係を検証し、ターゲットドメイン上でそれらの信頼関係を確立することができます。 ウィザードを開始するには、Migration Manager コンソールの管理ツリーから [Trust Migration] ノードを 右クリックして、表示されるメニューから [Trust Migration] を選択します。 ステップ 1:Select Domains 信頼関係をコピーするソースドメインとターゲットドメインを選択します。ソースドメインは、その信頼関係を ターゲットドメインに設定するモデルとなるドメインです。 メモ: ソースおよびターゲットドメインに対する管理者権限がない場合は、アカウントをドメインのロー カル Administrators グループに追加するか、net use \\DC_NAME\c$ /u:D_NAME\administrator “パス ワード” コマンドを実行してください。例: net use \\sourceDC\c$ /u:source\administrator “password” ソースドメインとターゲットドメインの既存の信頼関係すべてをテストして、それが正しく機能しているかどう かを検証する場合は、[Verify existing trusts] チェックボックスを選択します。 Migration Manager for Active Directory 8.11 ユーザーガイド 57 ステップ 2:Analyzing Trusts [Next] をクリックすると、ソース/ターゲットドメインの信頼関係に関する情報の収集が開始されます。この処 理には少し時間がかかります。 ソースドメインの検査が完了すると、見つかった信頼関係がウィザードに表示されます (ソースおよびターゲッ トドメイン間の信頼関係を除く)。 ステップ 3:Analyzing the Source Domain Trusts ウィザードがソースドメインで確立された信頼関係に関する情報を収集するまでしばらくお待ちください。 ステップ 4:Select Trusts ドメインからの矢印 (右側を指す) は、信頼する側のドメインを表しています。ドメインへの矢印 (左側を指 す) は、信頼される側のドメインを表しています。 ステップ 1 で信頼を検証することを選択した場合、ウィザードには信頼関係の状態も表示されます。破線矢印 は、信頼関係が壊れている (機能していない) ことを表しています。疑問符が付いた矢印は、信頼の状態を判 断できないことを表しています。信頼アイコン上にマウスカーソルを移動すると、そのステータスが表示されま す。 ソースドメインからターゲットドメインにコピーする信頼を選択するには、ドメイン名のチェックボックスを選 択します。デフォルトでは、すでにターゲットドメイン上に存在している信頼以外の、すべての有効な信頼が選 択されます。 [Process] をクリックすると、選択した信頼関係がターゲットドメイン上で確立されます。この操作は、ソース ドメインの信頼関係には影響しません。 メモ: 処理中に [Cancel] をクリックした場合、またはエラーが発生した場合、それ以降の信頼関係の移 行は中止されます。ただし、すでに確立された信頼関係はそのまま保持されます。 ステップ 5:Applying Trusts ここでウィザードは、選択した信頼関係をターゲットドメインに適用しようと試みます。処理が完了するまでし ばらくお待ちください。 Migration Manager for Active Directory 8.11 ユーザーガイド 58 ステップ 6:Complete the Wizard ウィザードに信頼関係のコピー結果を表すログファイルが表示されます。必要に応じてログファイルを保存また は印刷することができます。 サイトの移行 ユーザーアカウントの移行後にもソースフォレストの物理エンティティを保持したい場合は、Active Directory フォレスト間のサイト、サブネット、サイトのリンク、サイトのリンクブリッジを移行することができます。そ のためには、Migration Manager コンソールの管理ツリーから [Site Migration] ノードを右クリックして表示 されるメニューから [Site Migration] を選択して、Site Migration Wizard を起動します。ウィザードでは、 以下の手順に従ってください。 ステップ 1:Select Source Domain Controller 移行のソースとなるフォレストに所属するドメインのドメインコントローラを選択します。サイトの移行を実施 するアカウントを指定します。Migration Manager コンソールが動作している現在のアカウントを使用するこ とができます。指定するアカウントには、移行のソースとなるフォレストのオブジェクトに対するアクセス権が なければなりません。 Migration Manager for Active Directory 8.11 ユーザーガイド 59 ステップ 2:Select Target Domain Controller サイト移行のターゲットとなるフォレストに所属するドメインのドメインコントローラを選択します。ターゲッ トフォレストへのサイトの移行を実施するアカウントを指定します。Migration Manager コンソールが動作して いる現在のアカウントを使用することができます。アカウントには、移行のターゲットとなるフォレストのオブ ジェクトに対するアクセス権がなければなりません。 ステップ 3:Select Objects to Migrate 選択したターゲットフォレストに移行するオブジェクトを選択します。あるオブジェクトを選択した場合、その サブオブジェクトすべてが選択されます。移行する必要がないサブオブジェクトがある場合は、そのチェック ボックスの選択を解除してください。 ステップ 4:Processing Options このステップでは、ターゲットフォレストの設定を行います。 ターゲットフォレストサイトの設定を、ソースサイトの設定と完全に同一にする場合は、[Mirror source forest site configuration] オプションを選択します。 Migration Manager for Active Directory 8.11 ユーザーガイド 60 注意: [Mirror source forest site configuration] オプションを選択すると、ソースフォレスト設定内 に存在しないすべてのターゲットオブジェクト (サイトやサブネットなど) が削除されます。 ソースフォレストオブジェクトとターゲットフォレストオブジェクトを結合する場合は、[Merge the source and target forests site configurations] オプションを選択します。 IP アドレスに基づいてドメインコントローラを Active Directory サイトに割り当てるには、対応する チェックボックスを選択します。この場合、ターゲットドメインコントローラの Active Directory サイトへの 割り当てに、IP アドレスが使用されます。 ステップ 5:Handle Duplicate Object Names ソースフォレストオブジェクトとターゲットフォレストオブジェクトを結合することを選択した場合、ソースオ ブジェクトとターゲットオブジェクトに同一の名前が存在していると、衝突が発生する可能性があります。この ステップでは、サイト移行時の衝突の自動解決ルールを指定することができます。各オブジェクトタイプに対し て、衝突が発生した場合に実行するアクションを選択してください。 Merge—同名のオブジェクトを結合します。 Replace—ターゲットオブジェクトを、同名のソースオブジェクトで置換します。 Skip—名前が衝突する場合はソースオブジェクトの移行をスキップして、ターゲットオブジェクトをそのまま残 します。 Migration Manager for Active Directory 8.11 ユーザーガイド 61 ステップ 6:Migrate Sites and Subnets 選択したオブジェクトの移行準備が完了しました。[Next] をクリックして、続行してください。 ステップ 7:Migrating Selected Objects ウィザードが移行作業を行っている間、しばらくお待ちください。この作業にはかなり時間がかかることもあり ます。 ステップ 8:Select License Servers 移行完了後、Active Directory Sites and Services スナップインを使用している各ターゲットサーバーに対し て、ライセンスサーバーを選択する必要があります。 Migration Manager for Active Directory 8.11 ユーザーガイド 62 Dell について Dell は、お客様のご意見、ご提案に真摯に耳を傾け、信頼でき価値ある斬新なテクノロジー、ビジネスソ リューションおよびサービスを世界各国に提供しています。詳細は、http://software.dell.com/jp-ja/ をご覧 ください。 連絡先Dell テクニカルサポート: オンラインサポート 製品に関するご質問とセールス: 03-5908-3511 電子メール: [email protected] テクニカルサポート用リソース: Dell のソフトウェアをご購入の上有効なメンテナンス契約をお持ちのお客様、およびトライアル版をご利用の お客様は、テクニカルサポートをご利用いただけます。サポートポータルをご利用の場合 は、https://support.software.dell.com/jp を参照してください。 サポートポータルでは、問題を独自に素早く解決するための、自己支援ツールを毎日 24 時間ご利用いただけま す。また、ポータルのオンラインサービスリクエストシステムを介して、製品サポートエンジニアと直接やり取 りすることも可能です。 このサイトでは、以下のような作業を行えます。 l サービスリクエスト (事例) の作成、更新、管理 l Knowledge Base 記事の参照 l 製品のお知らせの入手 l ソフトウェアのダウンロードトライアル版ソフトウェアについては、Trial Downloads をご覧ください。 l ハウツービデオの表示 l コミュニティディスカッションへの参加 Migration Manager for Active Directory 8.11 ユーザーガイド 63