Dell Security ServerのActive Directoryドメイン移行を実行する方法

• Dell Security Management Server（旧Dell Data Protection | Enterprise Edition）が立ち上がり、ドメインに参加しています。
• WebUIコンソールの［domain］セクションに既存のドメインが追加されました。
• エンドポイントがサーバーに対してアクティブ化されました。
• ドメインの移行が必要です。
• ADオブジェクトのSID履歴の移行も計画しています。
• エンドポイントはサーバーに完全に接続でき、ドメイン移行プロセスを開始する前に古いドメインのポリシーを取得できます。
• エンドポイント上の暗号化データには完全にアクセスでき、エンドポイントはアクティブ化され、非アクティブ化と再アクティブ化が可能です。任意のエンドポイントで簡単な WSDeactivate を使用して、問題なくアクティブ化が行われていることを確認できます。

全体的な手順はあまり複雑ではありませんが、プロセス全体が適切に実行されていないと、データが失われる場合や、マシンのリカバリーが必要になる可能性があることを理解する必要があります。最後に、このプロセスはDell Security Management Serverおよびクライアントの任意のバージョンで実行できますが、それ以降、Dell Security Management Server側で移行プロセス全体が容易になるようにいくつかの改善が行われため、8.3.0以上のクライアントと8.5以上のサーバーをインストールすることをお勧めします。プロセス全体の仕組みと、最も懸念される質問の概要を以下に示します。

最初の手順は、ドメインの移行が必要かどうかを理解することです。たとえば、企業がOffice 365に移行する場合、エイリアスを追加してADユーザーのプライマリーUPNとして設定するだけで十分な状況があります。これは実際のドメイン移行ではなく、Dell Data Protection | Enterprise Editionサーバーで［Settings］の［Domain Alias List］セクションにあるドメイン エイリアス リストに新しいエイリアスを追加するだけであり、他のアクションは必要ありません。新しいドメインが作成され、ADオブジェクトを古い廃止されたドメインから新しいドメインに移動する必要がある場合は、ドメインの移行を計画する必要があります。

ドメイン移行が計画されるたびに、最初の手順としてSID履歴の移行も検討します。Dell Security Management Server側でドメイン移行を成功させるためには、SID履歴を保持する必要があります。この情報がない場合、ADオブジェクトはDell Security Management Server側で新規オブジェクトとして見なされるため、再アクティブ化後は同じ暗号化キーを活用できなくなります。DellはSID履歴を移行する必要があります。ドメイン移行はDell Data Protection | Encryptionタスクではないため、ここではその実行方法に時間を費やすことはしません。ただし、MicrosoftのADMTとして、組織がドメインAをドメインBに移行できるようにするツールがいくつかあります。前述のように、キーの観点から永続性を維持するにはSID履歴の移行が必要です。SID履歴を移行すると、古いユーザーのSID事前移行のADのSID履歴属性に追加され、移行されたオブジェクトの継続性が保証されます。

AD側のルール：

• オブジェクトの名前を変更しても、objectSID属性(SID)の値は変更されません。あるドメインから別のドメインにオブジェクトを移動する場合、その一部がドメイン固有であるため、objectSIDを変更する必要があり、古いSIDが SIDHistory 属性に追加されます（これが移行されると仮定）。ADSI Editを使用して SIDHistory を表示できます（16進数または10進数で表示）。値がない場合、SID履歴がないか、またはオブジェクトが別のドメインから移動されていません。
• SIDhistory は、ドメインまたはフォレスト間でアカウントを移行する場合にのみ使用できます。

以下は、属性エディターを使用して SIDHistory が移行されているかどうかを確認する方法のスクリーンショットです。

移行されたユーザーとマシンの SIDHistory が同様に移動されたことが確認できたら、Dell Security Management Serverの設定に進みます。ドメイン移行の実行方法とSID履歴の保存方法に関する詳細情報が必要な場合は、次のMicrosoftドキュメントを参照してください。

• https://www.microsoft.com/en-us/download/details.aspx?id=19188
• https://technet.microsoft.com/en-us/library/cc974332(v=ws.10).aspx
• https://technet.microsoft.com/en-us/library/cc974384(v=ws.10).aspx

Dell Security Management Server側ではドメイン移行中に次の操作を実行します。

1. クライアント側：
   • ユーザーUPNをSIDに解決します。ヴォールト ファイルでそのSIDを探します。見つかりません。
   • これは新しいユーザーであると判断し、Security Serverに連絡して、通常のアクティベーション リクエストとしてUPNとパスワードを渡します。
2. サーバー側：
   • アクティベーション リクエストを受け取ります。Active Directoryに問い合わせ、UPNを検索します。次に、ユーザーをトリアージします。このトリアージ プロセスの一環として、EntityテーブルのSIDがADのSIDと一致しないことに気付きました。EntityテーブルでSIDを確認するために SIDHistory を調べます。見つからない場合は、例外がスローされ、すでにSCIDが設定されているため、アクティブ化が失敗します。SIDが見つかった場合は、Entityテーブルを新しいSIDでアップデートします（UIDの部分では、最初の部分がドメインであり、それをアップデートしてからエンドポイント ドメインの部分をアップデートします）。
   • 次に、古いキー、ポリシー、DCIDなどをクライアントに渡します（再アクティブ化と同様）。
3. クライアントに戻る：
   • エンドポイントはこの情報を受け取り、credsys.vltファイルに、ユーザーがアクティブ化されており、その時点のユーザーが通常どおりにログインするというエントリーを追加します。

Dell Security Management Server側の重要なポイントは、アクティブ化または再アクティブ化中に新しいユーザーと古いユーザーが作業できるように、WebUIの下に新しいドメインを追加する必要があるかどうかを理解することです。

ドメイン移行では、Dell Security Management Serverコンソールに古いドメインと新しい移行ドメインのルート ドメイン（親ドメイン）が存在する場合は、コンソールに新しいドメインを追加しません。新しいドメインは、［Settings］の［Domain Alias List］セクションにエイリアス形式で追加するだけで十分です（親ドメインと新しい子ドメインの間に双方向の信頼があると仮定しています）。rootドメインのサービス アカウントは、おそらく親ドメインで設定する必要があります。その代わりに、ドメインA.localをB.localに移行し、2つのドメインが同じルート ドメインの子ではない場合、または別のフォレストに属している場合は、既存のエンドポイントを新しいドメインと新しいサービス アカウントにバインドする必要があるため、コンソールの下に新しいドメインを追加する必要があります。

前述のDell Security Management Serverの正しい設定について理解することは重要なポイントであり、これを理解していないと移行後にいくつかの問題が発生します。また、これらのドメインとルート ドメイン（存在する場合）間の信頼の種類と、Dell Security Management Serverコンソールの現在のドメイン リストを理解することも、同様に重要です。このルールはシンプルです。親/子の間に何らかの信頼関係がある場合は、Dell Data Protection | Enterprise Editionサーバーの下にルート ドメインとエイリアスを配置するだけで十分です。それ以外の場合は、Dell Security Management Serverの下に実際のサブドメインと同じ数の子ドメインを追加する必要があります。このルールはドメインの移行にも適用されます。

最後に、一般的には、子ドメインと親ドメインは*決して*同時に追加しないでください。同じユーザーが両方のレベルで認識される可能性がある場合、エラーが発生するからです。（現時点では）ドメインの削除は、Dell Security Management Server側で完全にサポートされているタスクではありません。

クライアントがv8.2.1以前で、サーバーがv8.3.1以前の場合、サーバー側でエンドポイントのドメイン部分の名前を自動的に変更しなかったため、 WSDeactivate は必須の手順です。これは、Dell Security Management Serverまたはエンドポイントの最新のビルドではありません。

コンソールを使用して、Dell Security Management Serverデータベースから古いドメインを手動で削除することはできません。これは、Dell Security Management Serverがユーザーまたはグループを検索し、ドメイン メンバーシップであると判断するためです。そのため、ドメインが削除されたときにどうなるべきかというと、そのドメインの一部であるすべてのオブジェクトも削除される必要があります。どちらのオプションも、この段階ではサポートされていません。Dellは、Dell Security Management Serverの将来のビルドでこの動作を変更することを調査していますが、この段階では、これはサポート対象または実行可能なタスクではありません。なお、ドメインを（手動で）データベース内で削除済みとしてマークすると、関連付けられているすべての孤立したユーザーとグループに対して、サーバー ログに15分ごとにスローされるエラーが発生し始めます。

移行されたエンドポイントでシールドをアンインストールする場合は、同じシールドIDに対して通常の（ドメイン以外の）再アクティブ化を強制するために必要な手順と同じ手順が必要です。共通の暗号化ファイルでは、エンドポイントをDell Data Protection | Enterprise EditionサーバーまたはDell Security Management Serverに対して再アクティブ化する前に、レジストリーに同じDCIDを適用する必要があります。質問がある場合は、テクニカル サポート チームにお問い合わせください。

いいえ。Dell Data Protection | Enterprise Edition Server 8.x以降では、新しいドメイン ライセンスは必要ありません。Dell Data Protection | Enterprise Edition Serverの古いバージョンでは、新しいライセンスが引き続き必要です。詳細については、テクニカル サポート チームにお問い合わせください。