フェールオーバー クラスターのドメイン移行

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

この記事では、Windows Server フェールオーバー クラスターをドメイン間で移行する方法の概要について説明します。

ドメイン間で移行する理由

いくつかのシナリオで、1 つのドメインから別のドメインにクラスターを移行する必要があります。

  • A 社は B 社と合併し、すべてのクラスターを A 社のドメインに移行する必要があります
  • メイン データセンターで構築されたクラスターをリモートの場所に移す
  • ワークグループ クラスターとして構築されたクラスターをドメインの一部とする必要がある
  • ドメイン クラスターとして構築されたクラスターをワークグループの一部とする必要がある
  • 会社の 1 つの領域から別の領域にクラスターを移動し、別のサブドメインにする

基になるアプリケーション操作がサポートされていない場合、リソースをドメイン間で移動しようとする管理者に対する Microsoft からのサポートは提供されません。 たとえば、Microsoft は、Microsoft Exchange サーバーをドメイン間で移動しようとする管理者に対してサポートを提供しません。

警告

クラスターを移動する前に、クラスター内のすべての共有ストレージの完全バックアップを実行することをお勧めします。

Windows Server 2016 以前

Windows Server 2016 以前では、クラスター サービスにはドメイン間で移行する機能がありませんでした。 これは、Active Directory Domain Services と、作成される仮想名への依存が増えることが原因でした。

オプション

このような移動を行うには、2 つのオプションがあります。

最初のオプションでは、クラスターを破棄し、これを新しいドメインに再構築します。

クラスターを破棄し、ノードを新しいドメインに移動して、新しいドメインでクラスターを再作成する手順のアニメーション。

アニメーションで示すように、このオプションは次の手順を使用する破壊的なものです。

  1. クラスターを破棄します。
  2. ノードのドメイン メンバーシップを新しいドメインに変更します。
  3. 更新されるドメインにクラスターを新しく再作成します。 このとき、すべてのリソースを再作成する必要があります。

2 番目のオプションはあまり破壊的ではありませんが、新しいクラスターとして追加のハードウェアを新しいドメインに構築する必要があります。 クラスターが新しいドメインに構築されたら、クラスター移行ウィザードを実行してリソースを移行します。 クラスター移行ウィザードではデータが移行されません。クラスターのサポートが追加されたら、ストレージ移行サービス などの別のツールが必要です。

クラスター移行ウィザードを使用して新しいドメインに新しいクラスターを作成する手順のアニメーション。古いクラスターの使用停止も手順に含まれます。

アニメーションで示すように、このオプションは破壊的ではありませんが、除去された既存のクラスターとは異なるハードウェアまたはノードが必要です。

  1. 古いクラスターを引き続き使用できるようにしたまま、新しいドメインに新しいクラスターを作成します。
  2. クラスター移行ウィザードを使用して、すべてのリソースを新しいクラスターに移行します。 クラスター移行ウィザードではデータがコピーされないため、個別に行う必要があることに注意してください。
  3. 古いクラスターを使用停止にするか、破棄します。

どちらのオプションでも、新しいクラスターにはすべてのクラスター対応アプリケーションがインストールされている必要があり、ドライバーは最新であり、場合によってはテストを行って、機能を確認するためのテストが必要になります。 データも移動する必要がある場合は、このプロセスの完了にかかる時間が長くなります。

Windows Server 2019

Windows Server 2019 では、クラスター間ドメイン移行機能が導入されました。 以前にメンションしたシナリオは、再構築の必要性がなくなったので簡単に実行できます。

クラスターを 1 つのドメインから移動することは、次の 2 つの PowerShell コマンドレットを使用して実現できる簡単なプロセスです。

  • New-ClusterNameAccount – Active Directory にクラスター名アカウントを作成する

  • Remove-ClusterNameAccount – Active Directory からクラスター名アカウントを削除する

    Note

    コマンドレット Remove-ClusterNameAccount が正常に実行されない可能性があります。 問題が発生した場合は、Windows Server 2016 以前の手順に従います。 Microsoft はこの問題を認識しています。

このプロセスでは、クラスターを 1 つのドメインからワークグループに変更し、新しいドメインに戻します。 クラスターの破棄、クラスターの再構築、アプリケーションのインストールなどを行う必要はありません。 次に例を示します。

クラスターを以前のドメインから新しいドメインに移行する方法を示すアニメーション。

クラスターを新しいドメインに移行する

次の手順では、クラスターを Contoso.com ドメインから新しい Fabrikam.com ドメインに移動します。 クラスター名は CLUSCLUS で、FS-CLUSCLUS というファイル サーバーの役割を持っています。

  1. クラスター内のすべてのサーバーで、同じ名前とパスワードを持つローカル管理者アカウントを作成します。 これは、サーバーがドメイン間を移動するときにログインするために必要になる場合があります。

  2. クラスター名オブジェクト (CNO)、仮想コンピューター オブジェクト (VCO) への Active Directory アクセス許可を持ち、クラスターへのアクセス権を持つドメイン ユーザーまたは管理者アカウントを使用して最初のサーバーにサインインし、PowerShell を開きます。

  3. すべてのクラスター ネットワーク名リソースがオフライン状態であることを確認し、次のコマンドを実行して、クラスターに含まれる可能性がある Active Directory オブジェクトを削除します。

    Note

    • -Cluster CLUSCLUS オプションを使用してクラスター名オブジェクトを削除できない場合は、-Cluster オプションを削除するか、-Cluster <Node Name> を実行します

    • -DeleteComputerObjects オプションを使用してクラスター名オブジェクトを削除できない場合は、CNO オブジェクトのアクセス許可を更新して、事前に CNO のフル コントロールを VCO アカウントに付与します。

    Remove-ClusterNameAccount -Cluster CLUSCLUS -DeleteComputerObjects

  4. [Active Directory ユーザーとコンピューター] を使用して、クラスター化されたすべての名前に関連付けられている CNO および VCO コンピューター オブジェクトが削除されたことを確認します。

    Note

    クラスター内のすべてのサーバーで クラスター サービスを停止し、サービスのスタートアップの種類を Manual に設定して、ドメインの変更中にサーバーを再起動するときに、クラスター サービスが起動しないようにします。

    Stop-Service -Name ClusSvc

Set-Service -Name ClusSvc -StartupType Manual

  5. サーバーのドメイン メンバーシップをワークグループに変更し、サーバーを再起動し、サーバーを新しいドメインに参加させて、もう一度再起動します。

  6. サーバーが新しいドメインに構築されたら、オブジェクトを作成するための Active Directory アクセス許可を持ち、クラスターへのアクセス権を持つドメイン ユーザーまたは管理者アカウントを使用してサーバーにサインインし、PowerShell を開きます。 クラスター サービスを起動し、それを Automatic に戻します。

    Start-Service -Name ClusSvc

Set-Service -Name ClusSvc -StartupType Automatic

  7. クラスター名と他のすべてのクラスター ネットワーク名リソースをオンライン状態にします。

    Start-ClusterResource -Name "Cluster Name"

Start-ClusterResource -Name FS-CLUSCLUS

    Note

    後続の New-ClusterNameAccount が失敗した場合は、再試行する前に、クラスター名とその他のすべてのクラスターのネットワーク名リソースをオフライン状態にします。

  8. クラスターを、関連付けられた Active Directory オブジェクトを持つ、新しいドメインの一部に変更します。 次のコマンドは、Active Directory で名前オブジェクトを再作成し、ネットワーク名リソースがオンライン状態である必要があります。

    New-ClusterNameAccount -Name ClusterName -Domain NewDomainName.com -UpgradeVCOs

    Note

    • ネットワーク名を持つ追加のグループ (仮想マシンのみを含む Hyper-V クラスターなど) がない場合は、-UpgradeVCOs パラメーターは不要です。

    • New-ClusterNameAccount の実行時に VCO が作成されない場合は、フェールオーバー クラスター マネージャーからクラスター ネットワーク名リソースに対して修復機能を使用してください。

  9. [Active Directory ユーザーとコンピューター] を使用して、新しいドメインを確認し、関連付けられているコンピューター オブジェクトが作成されたことを確認します。 その場合は、グループ内の残りのリソースをオンラインにしてください。

    Start-ClusterGroup -Name "Cluster Group"

Start-ClusterGroup -Name FS-CLUSCLUS

既知の問題

新しい USB 監視機能を使用している場合は、Kerberos を認証に使用する必要があるファイル共有監視の種類が原因でメイン新しいドメインにクラスターを追加できません。 クラスターをドメインに追加する前に、監視を none (なし) に変更します。 この手順が完了したら、USB 監視を再作成します。 次のようなエラーが表示されます。

New-ClusternameAccount : Cluster name account cannot be created. This cluster contains a file share witness with invalid permissions for a cluster of type AdministrativeAccesssPoint ActiveDirectoryAndDns. To proceed, delete the file share witness. After this you can create the cluster name account and recreate the file share witness. The new file share witness will be automatically created with valid permissions.