2014年10月25日土曜日

ADMT 3.2はWindows Server 2012/2012R2に対応していました(追記あります)

10月23日(木)と10月24日(金)は、The Microsoft Conference (MSC) でした。私も久しぶりに参加してきました。

今回は、原則としてすべてのセッションが、「CONTOSOドラッグ」という架空のドラッグストアの課題を解決するというシナリオで進んでいました。

内容はもちろん多岐にわたりますが、特にMicrosoft Azureにからんだものが多かったように思います。

そして、そこで、衝撃の事実が。

ADMT 3.2はWindows Server 2012/2012R2に対応しています

インターネットでは『対応していない』という情報がまだまだ多いので注意してください」だそうです。ここでいう「インターネット」には、microsoft.comも含みます。せめてブログで告知してくれればいいのですが。

Microsoft MVPのメーリングリストでは「完成した」という報告はあったものの、「ダウンロードできない」という報告が相次ぎ、「ちょっと待て」と言われたまま放置されていたので、完全にノーマークでした。

URLが長すぎてメモを取れなかったので、以下は自分で探した結果です(セッション資料は後日公開されるので、それを参照した方が確実です)。

  1. ダウンロードセンターから「Active Directory Migration Tool (ADMT) Guide: Migrating and Restructuring Active Directory Domains」を入手します。
    これが2014年6月版で、2014年10月に公開されています。同じダウンロードIDの日本語版は2010年6月版で、両者は別物です。
    2014年6月版のSystem Requirements(システム要件)には以下のOSが含まれます。
    • Windows Server 2003
    • Windows Server 2008
    • Windows Server 2008 R2
    • Windows Server 2012
    • Windows Server 2012 R2
  2. 肝心の実行ファイルはここにはありません。上記のドキュメントを開くと
    http://go.microsoft.com/fwlink/?LinkId=401534からダウンロードしろとあります。
    リンク先は「connect」と呼ばれるサイトで、主にベータ版のソフトウェアを扱っている場所です。
  3. そこからWindows Server Active Directory Migration Tool (ADMT) V3.2にアクセスし、必要に応じて以下の3つのソフトウェアをダウンロードします。

ADMT QFE (Quick Fix Engineering) は32ビット版のようですが、問題なくインストールできました(おそらくセットアッププログラムが32ビット版で、セットアップされるプログラムが64ビット版なのでしょう)。しかも日本語化されています。なお、ツールのショートカットは[管理ツール]にできることに注意してください。

実際の移行テストはまだしていませんが、インストールが正常に完了し、ドメイン選択画面までは進んだので、おそらく大丈夫だと思います。

【追記1】Windows Server 2008 R2ドメインからWindows Server 2012 R2ドメインへの移行を確認しました。パスワード移行は未確認です。

【追記2】Windows Server 2003ドメイン(x86版DCが1台)からWindows Server 2012 R2ドメインへの移行を確認しました。パスワード移行も正常に機能しましたので安心してください。なおADMTのセットアッププログラムは32ビット(x86)コードのようですが、x86版Windows Server 2003にインストールできませんでした。

ADMT

従来、ADMT 3.0から3.2までは、以下の通りインストール可能なOSのバージョンが限られていました。

  • ADMT 3.0…Windows Server 2003以前
  • ADMT 3.1…Windows Server 2008
  • ADMT 3.2…Windows Server 2008 R2

しかし、新しいADMT 3.2ではWindows Server 2003以降のすべてをサポートします。もともと3.0以降の機能差はなかったので、より分かりやすくなりました。

なお、ADMTについては「Active Directoryマイグレーション実践」コースで詳しく説明しています。

Active Directoryマイグレーション実践」コースではもう1つ、ファイルサーバー移行についても扱っています。主なツールはPowerShellベースの「サーバー移行ツール」で、補助的にファイルコピーツール(XCOPYやROBOCOPY)を扱っています。

マイクロソフトではもう1つ「FSMT (ファイルサーバー移行ツール)」を無償ダウンロードツールとして公開しています。FSMTは、Windows Server 2003時代に登場したツールで、DFSを使った巧妙な移行パスをサポートします。詳しくは、(少し古いのですが)以下の記事などを参照してください。

FSMTは、システム要件にWindows Server 2012が日英ともに入っていないのですが、.NET Framework 3.5 (.NET 2.0および3.0を含む)がインストールされていればいいようです。

なお、FSMTはコースでは扱っていませんのでご了承ください。

DSC01706M
▲MSC会場近くから(朝)

DSC01711M
▲MSC会場近くから(夜)

2014年10月23日木曜日

「G-Tech 2014」ありがとうございました

恒例になった、グローバルナレッジネットワークの技術イベント「G-Tech」、今年も無事に開催することができました。

今回は「G-Tech 2014 ~ビジネスを加速させるフルスタック、マルチスキルエンジニア ~」のテーマで、東京10月10日(金)および大阪10月18日(土)で開催しました。

東京の様子は、公式Webサイトの「イベントレポート」をご覧ください。また、当日のTwitterはTogetterを使って「【グローバルナレッジ】コーポレートイベント『G-Tech 2014』実況まとめ(新宿)」としてまとめられています。

また、セッションで使用したスライドの多くはSlideshareで公開されています。

DSC01496M

今回も、懇親会では恒例のクイズ大会を行いました。ここで問題と解答を紹介します。なお、前回の内容は「「G-Tech 2013 Autumn」ありがとうございました」をどうぞ

 

1. グローバルナレッジネットワークの日本支社が 創業した時の大阪オフィスは中之島にあった。

【参考】 現在のオフィスは中之島にあります。

グローバルナレッジのオフィスの変遷です。

  • 東京
    • 荻窪(日本DEC内)
    • 初台(オペラシティタワー)
    • 新宿南口(文化クイント)
    • 西新宿(オークタワー)
  • 大阪
    • 中之島(ニチメンビル)
    • 梅田(ハービス大阪)
    • 中之島(住友中之島ビル)

 

2. Cisco Systems社の分散仮想スイッチ製品 Cisco Nexus1000Vは、VMware、Hyper-Vに加え KVMやOpenStackにも対応している。

もちろん対応しています(こういう問題はと相場が決まってます)。

仮想化環境では、サーバー技術とネットワーク技術が融合します。技術者のスキルシフトは グローバルナレッジネットワークにご相談を。

 

3. 現在のRHEL(Red Hat Enterprise Linux)の前身 Red Hat LinuxはWindows NTよりも遅く登場した

【参考】 Windows NTの最初のバージョンは1993年、 レッドハット社の創業も1993年です。

  • 1993年 Red Hat創業
  • 1993年7月 Windows NT 3.1 (英語版)
  • 1994年11月 Red Hat Linux配布開始

「参考」が全然ヒントになっていませんね。実質的にはWindows NTとLinuxはほぼ同じ頃に出たと言っていいでしょう。

 

4.Microsoft Azureで利用できるストレージ 「Blob」は、以下の冗長性を提供します。

  • 同一地域・同一拠点で合計3つの複製
  • 同一地域・別拠点で合計3つの複製
  • 別地域に各3つ(合計6つ)の複製

×

ややこしいのですが、以下が正解です。

  • ローカル冗長…同一拠点で3つの複製
  • ゾーン冗長…1~2地域の別拠点で3つの複製(同一地域に限るわけではありません)
  • 地理冗長…別地域に各3つの複製(合計6つ)

 

5. AWS (Amazon Web Services)は、 米Amazon.comで使っているサーバーの 余剰時間を利用して儲けたかったからである。

×

当初から独立したビジネスを考えていたそうです(出典: http://knoh.jp/answers/fd597b4e)。

Amazon.comのモットーはfrugality(倹約)ですが そこまで倹約はしていません。

 

6. Facebookの創業者マーク・ザッカーバーグは スタンフォード大学を中退した。

【参考】 スタンフォード大学はシリコンバレーの中心 Facebook本社は、シリコンバレーのメンロパーク

×

これも「参考」がヒントになっていません。ボストン郊外のハーバード大学を中退し、 東海岸から西海岸へ拠点を移しました。

ちなみにビル・ゲイツもハーバード中退ですが、中退したから成功するわけではありません。やりたい仕事が見つかったから中退したのです。

 

7. Googleの名前は数の単位googolに由来します。その「1 Googol」は「100無量大数」に相当します。

×

1グーゴルは10の100乗です(1920年に命名)。一方、1無量大数は10の68乗という説と88乗という説があります。無量大数は「塵劫記」(1627年)に登場します。

通常、英語では大きな数は3桁ごとに大きくなりますが、Googolはこの規則に従いません。なんても「(ほとんどの)関数電卓で表示できない数」ということで作られた名前だそうです。確かに、一般的な関数電卓は10の99乗までしか表現できません。

 

8. 1964年の東京オリンピックでは、競技結果の集計に初めてコンピュータが使われました。その時のデータセンターの跡地が大手町IXです。

×
メイン会場である国立競技場に隣接した日本青年館には、 東京オリンピックのプレスセンターがありました。データセンターはそこにあったそうです。

ちなみに、システム開発には2年以上かかりましたが、それまで閉会後何ヶ月もかかっていた集計が、1964年東京大会では閉会式に間に合うという画期的な成果を出したそうです。

この成功が評判になり、金融機関の第一次オンラインシステムが広がりました。

日本青年館
▲現在の日本青年館

 

9. グローバルナレッジネットワークの定期開催 教育コースは、東京と大阪以外に以下の都市で開催されている。

  • 札幌
  • 仙台
  • 名古屋
  • 広島
  • 福岡

×
こういう問題はと決まっていますが、正解は×でした。

東京と大阪以外に、提携会場を使って札幌、仙台、名古屋、福岡で実施しています。残念ながら広島はまだ提供していません。1社向け対応であれは、これらの地方会場はもちろん、他の地域でも対応も可能ですのでご相談ください。

2014年10月16日木曜日

Windows Server 2012 R2とWindows Server 2003の混在環境でログオンできない

Windows環境マイグレーション実践」という1日の教育コースを提供しています。中心となるのは、Active Directoryドメインサービスの移行です。

旧バージョンとの混在環境は、過去に大きなトラブルがなかったこともあり、あまり重視していませんでしたが、今回は、かなり深刻な問題が報告されています。

Windows Server 2012 R2 と Windows Server 2003 の混在環境でのコンピューターアカウントのパスワードを変更した後にログオンできない

現象が出るまでに時間がかかるため、気付かれなかったようです。以下を参考に対策をお願いします。

 

【現象】

Windows Server 2003 で構成された Active Directory ドメインに Windows Server 2012 R2 のドメインコントローラーを追加すると、追加後、2 ヶ月程度経過した後に、ドメインのメンバーおよびドメインコントローラーでログオンができなくなる場合があります。

 

【背景】

ドメインのメンバーコンピュータは定期的にパスワードを自動的に変更してます。Windows Server 2012 R2では、パスワードの暗号化アルゴリズムが変更されており、古いコンピュータでは認識できません。

Active Directoryは認証に失敗した場合、メンバーに保存されている1つ前のパスワードを使って認証を行います(何らかのパスワード同期トラブルに備えての機能です)。

通常、コンピューターのパスワード更新間隔は30日なので、問題が発生するのは最大60日後ということになります。

Hebikuzureさんのブログ(Hebikuzure's Tech Memo)の以下の記事も参考にしてください。
自動的なコンピュータアカウントパスワード変更を無効にする方法

 

【解決方法】

■問題の予防

問題を未然に防ぐには、Windows Server 2012 R2 をドメインコントローラーとして追加する前に以下の対応を実施します。

  1. ドメインコントローラーとして構成する予定のWindows Server 2012 R2に、Active Directoryドメインサービス役割を追加
  2. 修正プログラムKB2989971を適用
  3. ドメインコントローラーに昇格

役割を追加することで、Active Directoryドメインサービス用のファイルがインストールされます。このファイルに対して修正プログラムを提供することで、ドメインコントローラーに昇格するときは、修正済みのファイルが使われるようになります。

メンバーコンピューターの再起動は不要なので、この方法をおすすめします。

なお、KB2989971の修正プログラムを適用するためには、Windows Updateで配信されているKB2919355が適用されている必要があります。

【参考】http://support.microsoft.com/kb/2989971
Windows Server 2012 R2 と Windows Server 2003 の混在環境でのコンピューター アカウントのパスワードを変更した後にログオンできない

■事後対応

Windows Server 2012 R2のドメインコントローラーが既に追加されている場合は、以下の手順で対応します。

  1. KB2989971を全ての Windows Server 2012 R2 のドメイン コントローラーに適用
  2. 全てのドメインコントローラーに対して修正プログラムを適用後(再起動を含む)、ドメインコントローラーを含む全メンバーを再起動
    再起動時に、新機能に対応した暗号化キーを生成するため、問題が解消します。

このように、全サーバーの再起動が必要になってしまいます。

 

【その他】

2014年10月7日火曜日

Microsoft Azure復旧サービスを使った回復

最近のWindows Server は、バックアップ先にMicrosoft Azureを指定できます。

バックアップメディアは、あまり遠くに置くと復旧作業が面倒ですし、近くに置くとメディアごと破損するリスクが増えます。セキュリティ情報を含むため、取り扱いも煩雑という問題もあります。

クラウドにバックアップを置くことで、これらの問題をある程度解決できます。

バックアップ手順はさまざまなところで紹介されているので、ここでは概要だけを紹介します。

  1. Microsoft Azure復旧サービスのコンテナを作る
  2. バックアップ対象サーバーにクライアント証明書をインストールする
    (サーバー証明書では駄目だそうです)
  3. Azureポータルに、クライアント証明書をアップロード
  4. Azureポータルから、コンテナ資格情報ファイルをダウンロード
  5. コンテナ資格情報ファイルを使って対象サーバーをAzureに登録
    (パスワードも必要です)
  6. バックアップツールを使って、ファイルをバックアップ

バックアップを復元するときは、以下の手順で行います。

  1. Azureポータルの復旧サービスにアクセス
  2. コンテナ資格情報ファイルをダウンロード
  3. エージェントをインストール
  4. そのままコンテナ資格情報ファイルを使って対象サーバーをAzureに登録
  5. バックアップツールを起動
  6. [データの回復]を選択
  7. [別のサーバー]を選択し、コンテナ資格情報ファイルを指定
    (選択肢には[このサーバー]もあり、この場合は最小限の設定情報で済みます)
  8. Azure復旧サービスに登録されているサーバー一覧から、復元したいサーバーを選択
  9. 復元したいファイルを選択
  10. バックアップ時に指定したパスワードを指定
  11. 回復

つまり、パスワードさえ分かれば他に情報は必要ありません。クライアント証明書もコンテナ資格情報も不要でした。

大事なバックアップを、パスワードだけで保護していいのだろうかと思いますが、以下の理由で問題ないと判断しているようです。

  • パスワードが長い(16文字以上)
  • AzureにログオンするときにMicrosoft IDの資格情報で認証済み
  • コンテナ資格情報ファイルは使い回しができない(みたい)

ということで、特に問題ないようです。

2014年10月2日木曜日

VLAN、使ってますか?

日経ITproに「VLAN、使ってますか?」という記事が出ました。Facebookに書いたものが「なんと自然な宣伝」と評判が良かったので、加筆してこちらに転載します。

記事では「VLAN(Virtual LAN)が意外に使われていない」とありました。これは、我々の認識とちょっと違います。数十人以上の社員がいる会社で、VLANがない状況というのはちょっと考えられません。

ちょうどいいタイミングで、グローバルナレッジの公式コラムにも「つながるネットワークコラム CCNA R&S一問一答 #19」としてVLANの話が出ています。

もしかしたら、サーバー担当とネットワーク担当が分かれている場合、サーバー担当はネットワーク構成を知らないことがあるので、自社のVLANが導入されていることを意識していなかったのではないでしょうか。

管理者が1人ならそういうことはないと思いますが、2人いる場合でサーバー担当とネットワーク担当に分かれている場合はサーバー担当はVLANを知らないかもしれません。

VLANは「Virtual LAN」というくらいで、そこに存在することを普段は意識する必要がありません。Virtualは「あたかもそこに存在するかのようにみなせること」で、VLANも「あたかもそこにLAN(1つのネットワーク)」が存在するかのようにみなすことができ、利用者はルーターやL3スイッチで中継されているのか、それともVLANなのかを認識することはありません。

徳川家康は、virtual kingだった」のような用例もあるようです。徳川家康の称号は、天皇から与えられた征夷大将軍であり、名目上は行政長官です。しかし、実際には天皇や貴族が守るべき規則を作り、実質的な予算管理もしていましたから、「国王」と呼んでも差し支えないでしょう。実際、日本に開国を迫ったペリーは徳川家と交渉をしています。

社内にVLANを使うのは既に常識になっていいます。しかし、サーバーエンジニアには意外に知られていないのが実情です。

ところが、最近、それでは済まないことが起きています。

仮想マシンを使うと、仮想化ホストの仮想スイッチにVLANを構成しなければいけないからです。VMwareでもHyper-Vでも、仮想マシンは仮想マシンホスト内に構成されたL2スイッチ(仮想スイッチ)に接続され、そこから物理ネットワークに配線されます。もちろん仮想スイッチにもVLAN機能はあります。

このとき、仮想マシンホストのVLAN構成は、ネットワーク管理者の仕事なのかサーバー管理者の仕事なのか、というのは難しい問題です。

クラウド時代を見据えると、サーバーとネットワークの管理は統合に向かっており、両方の技術者が両方の技術を学習すべきです。

エンジニアのスキルシフトのご用命は、グローバルナレッジネットワークにどうぞ。