Active Directoryは、Windowsベースのシステムを導入している企業のID管理基盤の要です。全従業員とドメイン参加デバイスをカバーする膨大なID情報は、プラットフォームをバージョンアップしても維持されなければなりません。ID基盤のダウンタイムは業務に影響するため、Active Directoryの移行は計画的に実施する必要があります。特に、古いバージョンからバージョンアップを繰り返してきた環境はさまざまな検討事項があります。

今回は、Windows Server 2012/2012 R2からのOSアップデートに伴う、Active Directoryの移行のポイントを解説します。

Active Directoryはローリングアップグレードを推奨

Windows Serverの「Active Directoryドメインサービス」は、Active Directoryフォレスト/ドメインの作成と管理のための役割です。サポートされるアップグレードパス内でドメインコントローラーをインプレースアップグレードすれば、最新のActive Directoryフォレスト/ドメインにアップグレードできます(フォレスト/ドメインの機能レベルのアップグレードは必要)。

ただし、それは単一のドメインコントローラーで構成された最もシンプルな1フォレスト/1ドメインの場合に限られます。

通常、冗長化や認証トラフィック分散のため、または拠点の最適化のため、1フォレスト/1ドメインの場合でも複数のドメインコントローラーを配置します。

そのような環境では、既存のドメインにWindows Server 2022の新しいドメインコントローラーを追加し、FSMO(操作マスター)の役割を転送して、古いバージョンのドメインコントローラーを撤去。すべてのドメインコントローラーが最新バージョンになったら、フォレストおよびドメインの機能レベルをアップグレードするという、ローリングアップグレードを行います。

  • ローリングアップグレード方式によるActive Directoryのアップグレード

    ローリングアップグレード方式によるActive Directoryのアップグレード

ローリングアップグレード方式の場合、IT管理基盤のダウンタイムなしでActive Directoryフォレスト/ドメインを最新バージョンに移行することができます。また、インプレースアップグレードではなく、新規インストールしたWindows Server 2022のドメインコントローラーとの入れ替えであるため、フォレスト/ドメイン機能レベル「Windows Server 2008」以上であればWindows Server 2012のActive Directoryから直接的にWindows Server 2016のActive Directoryに移行できます。

なお、Windows Server 2022のActive Directoryがサポートするフォレスト/ドメインの最小の機能レベルは「Windows Server 2008」、最高の機能レベルは「Windows Server 2016」です。機能レベルは、フォレスト/ドメインに存在できるドメインコントローラーの最小バージョンであり、かつActive Directoryで利用できる新機能を規定するものです。

  • Windows Server 2022のActive Directoryにおける、フォレストおよびドメインの最高の機能レベルは「Windows Server 2016」

    Windows Server 2022のActive Directoryにおける、フォレストおよびドメインの最高の機能レベルは「Windows Server 2016」

Windows Serverバージョンにおける機能サポートの変更

Windows Server 2022のActive Directoryがサポートする最高の機能レベルが「Windows Server 2016」であるということは、Windows Server 2016以降、Active Directoryに新機能は追加されておらず、サーバの役割としては同等であると見なすことができます。ただし、Windows Server 2019までに、機能サポートに重要な変更が段階的に行われてきました。

古くから運用しているActive Directory、特にWindows Server 2003 R2以前からアップグレードしてきたActive Directoryの場合、これまで行われてきた変更が、新バージョンへのアップグレードを難しくする(追加の複雑な手順が必要になる)ことがあるので注意が必要です。Windows Server 2012以降では、以下のような重要な変更が行われてきました。

  • Windows Server 2012 R2
    フォレスト/ドメイン機能レベル「Windows Server 2003」が非推奨になる
  • Windows Server 2016
    フォレスト/ドメイン機能レベル「Windows Server 2003」のフォレスト/ドメインの新規作成ができなくなる
  • Windows Server 2019
    フォレスト/ドメイン機能レベル「Windows Server 2003」のサポートが削除される ・ファイルレプリケーションサービス(FRS)が削除される

フォレスト/ドメイン機能レベル「Windows Server 2003」およびFRSのサポートはWindows Server 2016が最後のバージョンになります。FRSは、Windows Server 2003 R2までのActive Directoryで利用できた、SYSVOL共有のための唯一のレプリケーション方法です。

Windows Server 2019以降では、Windows Server 2008で初めて導入されたレプリケーション方法である「DFSレプリケーション(DFS-R、分散ファイルシステムレプリケーション)」のみ利用できます。そのため、運用中のActive Directoryが機能レベル「Windows Server 2003」やFRSを利用している場合は、直接的にWindows Server 2022のActive Directoryに移行することはできず、必ずWindows Server 2016を経由する必要があります。

以下の公式ブログに、Windows Server 2008/2008 R2からWindows Server 2022へのActive Directoryの移行を段階的に説明したガイドが公開されています。Windows Server 2008/2008 R2をWindows Server 2012/2012 R2に置き換えれば、Windows Server 2012/2012 R2からの移行にも適用できるはずです。英語のガイドになりますが、運用環境が該当する場合は、このガイドに従ってアップグレードを進めてください。

Step-by-Step Guide:Active Directory Migration from Windows Server 2008 R2 to Windows Server 2022

かなり前になりますが、マイクロソフトはActive Directoryの異なるフォレスト/ドメイン間でユーザープロファイルやパスワード、各種データの移行を可能にする「Active Directory以降ツール(ADMT)」というものを提供していました。このツールは、Windows 2000 ServerやWindows Server 2003時代の移行を支援するツールとして提供されたもので、Windows 7やWindows Server 2008 R2より後のOSの移行には対応していないので注意してください(下記リンクを参照)。

Active Directory 移行ツールのサポート ポリシーと既知の問題

山市 良

やまいち りょう

Web媒体、IT系雑誌、書籍を中心に執筆活動を行っているテクニカルフリーライター。主にマイクロソフトの製品やサービスの情報、新しいテクノロジを分かりやすく、正確に読者に伝えるとともに、利用現場で役立つ管理テクニックやトラブルシューティングを得意とする。2008年10月よりMicrosoft MVP - Cloud and Datacenter Management(旧カテゴリ: Hyper-V)を連続受賞。ブログはこちら。

主な著書・訳書
「インサイドWindows 第7版 上・下」(訳書、日経BP社、上2018年・下2022年)、「Windows Sysinternals徹底解説 改定新版」(訳書、日経BP社、2017年)、「Windows Server 2016テクノロジ入門 完全版・改訂新版」(日経BP社、2016年・2019年)、「Windows Server 2012 R2テクノロジ入門」(日経BP社、2014年)などがある。

この著者の記事一覧はこちら