こんにちは、株式会社エーピーコミュニケーションズ、クラウド事業部の松尾です。
はじめに
この記事は以下の手順を紹介する内容となっています。
No2まで完了している前提です。本記事ではNo3を紹介します。
- オンプレミスのADとAWS Managed Microsoft AD間に双方向の信頼を設定する
- ADMT等のツールでユーザーアカウントとグループを移行する
- ファイルサーバー上のアクセス権限であるAccess Control List(ACL)を複製する
- AWS DataSyncを利用し、既存のACLを保ったままファイルとフォルダをAmazon FSxに移行する
- ユーザーの端末を移行する
環境
作業前
ACLの複製
C:\share\配下へ共有フォルダを2つ作成し、ユーザとグループをいくつか作成しました。
HRフォルダだけにアクセス可能なhrユーザ、グループと、ENGフォルダだけにアクセス可能なengユーザ、グループを用意。hr-r-userは読み取り権限のみを持っている状態にしました。
また、移行元ADと移行先ADには前回までの手順で同じユーザ、グループが存在した状態となっています。
今、hrフォルダとengフォルダへ権限があるのは移行元ドメイン(onprem.local)のユーザのみです。
これを移行先ドメイン(corp.example.local)のユーザも同じ権限を持った状態がゴールとなります。
早速やっていきましょう!
SubInACLのインストール
参考記事 に従って「SubInACL」を移行元ADサーバへインストールしていきます。
以下のMicrosoft公式ページにはダウンロードリンクが見当たらないので、
learn.microsoft.com
こちらのサイトからダウンロードしました。
web.archive.org
ダウンロードしたインストーラ(subinacl.msi)を実行
Nextで進めていくと完了
インストールされていることを確認
ACL複製コマンド実行
コマンドプロンプトを管理者権限で起動、subinaclインストールフォルダへ移動
* デフォルトのインストール先
C:\Program Files (x86)\Windows Resource Kits\Tools
以下のコマンドを用意
ログ出力先フォルダは先に作成しておく必要があります。
最初にテストモードで確認しておくのがおすすめ。
- コマンドテンプレ
Subinacl /outputlog=C:\temp\HR_document_log.txt /errorlog=C:\temp\HR_document_Err_log.txt /Subdirectories C:\HR_Documents* /migratetodomain=onprem=corp
| 引数 | 用途 |
|---|---|
| /outputlog | 通常の実行ログの出力先 |
| /errorlog | エラーログの出力先 |
| /Subdirectories | すべてのファイルとサブフォルダに対して適用する |
| /migratetodomain | 移行元ドメインと移行先ドメインのNetBIOS名 |
| /testmode | テストモード |
エラーになりました。
とりあえずエラーログを見てみます。
「Error Finding domain name」とあるのでAWS ManagedMicrosoft ADの名前解決が出来ていないようです。
今回はhostsへ追記することで解決しました。
AWS ManagedMicrosoft ADのホスト名は移行先のADMT移行マシンで以下を確認、hostsへ追記します。
hostsを書き換えたら再度コマンドを実行してみます。
/testmodeを除いて実行していきます。
ACL複製コマンド実行後の確認
フォルダの権限が反映されたか確認していきます。
移行先ドメイン(corp.example.local)のユーザが追加され、権限も移行元のユーザと同じものが付与されています。
移行元ドメインのユーザも残っている状態です。
これで、移行元にあるフォルダに移行元ドメインユーザと同じ権限で、移行先ドメインユーザもアクセスできる状態となりました。
次はついにファイルを移行するステップになります。
私たちは
私達クラウド事業部はAWSなどのクラウド技術を活用したSI/SESのご支援をしております。
www.ap-com.co.jpwww.ap-com.co.jp
また、一緒に働いていただける仲間も募集中です! 今年もまだまだ組織規模拡大中なので、ご興味持っていただけましたらぜひお声がけください。
