APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

Amazon FSxへのデータ移行をやってみる(step3)

こんにちは、株式会社エーピーコミュニケーションズ、クラウド事業部の松尾です。


はじめに

この記事は以下の手順を紹介する内容となっています。

aws.amazon.com

No2まで完了している前提です。本記事ではNo3を紹介します。

  1. オンプレミスのADとAWS Managed Microsoft AD間に双方向の信頼を設定する
  2. ADMT等のツールでユーザーアカウントとグループを移行する
  3. ファイルサーバー上のアクセス権限であるAccess Control List(ACL)を複製する
  4. AWS DataSyncを利用し、既存のACLを保ったままファイルとフォルダをAmazon FSxに移行する
  5. ユーザーの端末を移行する

環境

作業前

構成図(作業前)



ACLの複製

C:\share\配下へ共有フォルダを2つ作成し、ユーザとグループをいくつか作成しました。

作成したフォルダなど


HRフォルダだけにアクセス可能なhrユーザ、グループと、ENGフォルダだけにアクセス可能なengユーザ、グループを用意。hr-r-userは読み取り権限のみを持っている状態にしました。

フォルダ

engユーザとグループ

hrユーザとグループ

また、移行元ADと移行先ADには前回までの手順で同じユーザ、グループが存在した状態となっています。

移行元ADと移行先AD

今、hrフォルダとengフォルダへ権限があるのは移行元ドメイン(onprem.local)のユーザのみです。
これを移行先ドメイン(corp.example.local)のユーザも同じ権限を持った状態がゴールとなります。

早速やっていきましょう!


SubInACLのインストール

参考記事 に従って「SubInACL」を移行元ADサーバへインストールしていきます。


以下のMicrosoft公式ページにはダウンロードリンクが見当たらないので、
learn.microsoft.com

こちらのサイトからダウンロードしました。
web.archive.org


ダウンロードしたインストーラ(subinacl.msi)を実行

インストール画面1

Nextで進めていくと完了

インストール画面2~4

インストールされていることを確認

デフォルトインストール先フォルダ

ACL複製コマンド実行

コマンドプロンプトを管理者権限で起動、subinaclインストールフォルダへ移動
* デフォルトのインストール先

C:\Program Files (x86)\Windows Resource Kits\Tools

管理者権限が必要

以下のコマンドを用意
ログ出力先フォルダは先に作成しておく必要があります。
最初にテストモードで確認しておくのがおすすめ。

  • コマンドテンプレ

Subinacl /outputlog=C:\temp\HR_document_log.txt /errorlog=C:\temp\HR_document_Err_log.txt /Subdirectories C:\HR_Documents* /migratetodomain=onprem=corp

引数 用途
/outputlog 通常の実行ログの出力先
/errorlog エラーログの出力先
/Subdirectories すべてのファイルとサブフォルダに対して適用する
/migratetodomain 移行元ドメインと移行先ドメインのNetBIOS名
/testmode テストモード

実行するとエラーになります

エラーになりました。 とりあえずエラーログを見てみます。

エラー内容

「Error Finding domain name」とあるのでAWS ManagedMicrosoft ADの名前解決が出来ていないようです。 今回はhostsへ追記することで解決しました。

AWS ManagedMicrosoft ADのホスト名は移行先のADMT移行マシンで以下を確認、hostsへ追記します。

赤枠のホスト名に対しPING等で応答するIPを確認

hostsを書き換えたら再度コマンドを実行してみます。

テストモードで成功

/testmodeを除いて実行していきます。

実動作で成功

ACL複製コマンド実行後の確認

フォルダの権限が反映されたか確認していきます。 移行先ドメイン(corp.example.local)のユーザが追加され、権限も移行元のユーザと同じものが付与されています。
移行元ドメインのユーザも残っている状態です。

engユーザとグループ

hrユーザとグループ

これで、移行元にあるフォルダに移行元ドメインユーザと同じ権限で、移行先ドメインユーザもアクセスできる状態となりました。

次はついにファイルを移行するステップになります。



私たちは

私達クラウド事業部はAWSなどのクラウド技術を活用したSI/SESのご支援をしております。

www.ap-com.co.jpwww.ap-com.co.jp

また、一緒に働いていただける仲間も募集中です! 今年もまだまだ組織規模拡大中なので、ご興味持っていただけましたらぜひお声がけください。

www.ap-com.co.jp