Active Directory の機能レベルを上げる際の影響について

Last Update: feedback 共有

本記事は、2018年12月12日に公開された記事を元に本ブログへ移行したものです。元の記事の最新の更新情報については、本内容をご参照ください。

本記事はマイクロソフト社員によって公開されております。

こんにちは。Windows Commercial Support Directory Services チームです。

Windows Server 2012 / Windows Server 2012 R2 の EOS に向けて、今後ドメイン コントローラーのアップグレードを計画されるお客様も多くいらっしゃると思います。このページでは、ドメイン コントローラーのアップグレードに際し、Active Directory の機能レベルを上げる際の影響について紹介致します。

はじめに


Windows Server 2003 のフォレストとドメインの機能レベルは今後廃止が決定しております。
既に Windows Server 2019 においては Windows Server 2008 以上の機能レベルが必要となります。

(公開情報)
ドメイン コントローラーを新しいバージョンの Windows Server にアップグレードする - 機能レベルの機能と要件

Windows Server 2019 以降には、Windows Server 2008 フォレストの機能レベルが最低限必要です。

そのため、今後の Windows Server OS のアップグレードに際し、機能レベルを上げる必要が出てくるかと存じますので、
今回は、Active Directory のフォレストやドメインの機能レベルを上げる際の影響についてお纏め致しました。

  1. 機能レベルを上げることで何が変わるのか
  2. 機能レベルを上げる際の前提条件と準備事項
  3. 機能レベルを上げる際に注意するべき点

1. 機能レベルを上げることで何が変わるのか


フォレストやドメインの機能レベルを上げることにより、Active Directory で新しい機能を利用できるようになります。
利用できる機能が拡張されますが、既存の設定が変更されることはありません。
また、機能レベルを上げることで Exchange Server や SharePoint、Lync Server などのアプリケーションの機能を変更することもありません。

各機能レベルで利用できるようになる機能は、下記の公開情報に詳細がございますのでご参考ください。

(公開情報)
フォレストとドメインの機能レベル

2. 機能レベルを上げる際の前提条件と準備事項


機能レベルを上げる際の前提条件および準備事項は次の通りです。

前提条件

  • ドメインの機能レベルを上げるには、Domain Admins グループのメンバーで作業を行う必要があります。また、フォレストの機能レベルを上げるには、Enterprise Admins グループのメンバで作業を行う必要があります。
  • ドメインの機能レベルを、フォレストの機能レベルよりも低い値に設定することはできません。フォレストの機能レベルを上げる前に各ドメインの機能レベルをフォレストの機能レベルよりも上げておく必要があります。
  • 過去にネットワークから切り離した、または 強制降格を行ったような古いドメイン コントローラーの情報が Active Directory 上に残っている場合は、事前に Metadata Cleanup により残存しているドメイン コントローラー情報等 (メタデータ) を削除することをお奨めします。ドメイン コントローラーの情報が残っていることにより、機能レベルの昇格に失敗する場合があります。

    Metadata Cleanup の手順については、以下のページをご参考ください。
    ドメイン コントローラーの降格方法 - B-2-1 Metadata Cleanup の実施

  • フォレストおよびドメインの機能レベルを上げる作業は、フォレスト間の信頼関係で結んでいるドメインの機能レベルやドメイン コントローラーの OS のバージョンの影響は受けません。

準備事項 (バックアップ)

一部のパターンを除き、基本的にドメインやフォレストの機能レベルを上げると元に戻すことはできません。通常は、機能レベルを上げることで影響がでることはありませんが、不測の事態に備えて、作業前にドメイン コントローラーでシステム状態のバックアップを取得することを推奨します。

機能レベルの変更はフォレスト全体で情報が更新されるため、機能レベルを上げる前の状態に戻すためには、全てのドメイン コントローラーをバックアップからリストアする必要があります。すべてのドメイン コントローラーでバックアップを取得することが理想的ですが、台数が多い場合などの理由から全台での対応が難しい場合には、FSMO および、各ドメインのドメイン コントローラー最低 1 台でバックアップを取得するなどの対応をお願いします。

ドメイン コントローラーのバックアップ、および リストアについては、以下のページをご参考ください。
ドメイン コントローラーのバックアップとリストアについて

また、機能レベルをロールバックバックできるパターンについては、以下の公開情報をご確認ください。

(公開情報)
ドメイン コントローラーを新しいバージョンの Windows Server にアップグレードする - 機能レベルをロールバックする

3. 機能レベルを上げる際に注意するべき点


最後に機能レベルを上げるときに注意していただくべき事項を説明します。機能レベルを上げる際は、下記の 3 点についてご注意ください。

ドメインの機能レベルを Windows Server 2008 以降に上げる際の影響

ドメインの機能レベルを Windows Server 2008 以降に上げることにより、稀に認証に失敗する場合があることを確認しています。(すでにドメインの機能レベルが Windows Server 2008 以上となっている環境では、本影響を受けることはありません。今後、Windows Server 2008 以降に上げることを計画されている場合に該当します)

ドメインの機能レベルを Windows Server 2008 以降に上げることにより、Kerberos 認証において AES 暗号化方式が利用されるようになります。各ドメイン コントローラーでは、複製によりドメインの機能レベルが上がったことを受信すると、Kerberos 認証で AES に対応する変更処理が行われます。しかしながら、認証処理を行っているコンポーネントである LSASS (Local Security Authority Subsystem Service) が重要な処理を行っている場合には変更処理を受け付けないため、一部のドメイン コントローラーではパスワードが変更されないといった現象が稀に発生する場合があります。その結果、そのドメイン コントローラーへ Kerberos 認証が行わると認証に失敗する現象が発生することがあります。

この問題が発生した場合、対象のドメイン コントローラーの OS を再起動する、もしくは、”Kerberos Key Distribution Center” サービスを再起動することで本現象を解消させることができます。

予防策

ドメインの機能レベルを Windows Server 2008 以降に昇格した後に以下の作業を実施していただくことで、上記の問題を未然に防ぐことができます。

Step 1. 機能レベルのレプリケート

FSMO の役割を持つドメイン コントローラーにて、コマンド プロンプトで以下のコマンドを実行し、機能レベルが変更された情報をフォレスト内の全てのドメイン コントローラーに複製させます。

repadmin /syncall /AeP

Step 2. KDC サービスの再起動

FSMO から機能レベルの変更情報が複製された後、全てのドメイン コントローラー (FSMO を含む) にて、コマンド プロンプトで以下のコマンドを実行し、”Kerberos Key Distribution Center” サービスの再起動を行います。

net stop kdc && net start kdc

(公開情報)
フォレストとドメインの機能レベル - Windows Server 2008 ドメインの機能レベルの機能

ドメイン コントローラーで DFL の変更が既にレプリケートされていても、まだ krbtgt パスワードが更新されていない場合、ドメインの機能レベルを Windows Server 2008 以上に上げた後、ドメイン コントローラーで認証エラーが発生することがあります。 この場合、ドメイン コントローラーで KDC サービスを再起動すると、新しい krbtgt パスワードのメモリ内更新がトリガーされ、関連する認証エラーが解決されます。

ドメインの機能レベルを Windows Server 2008 R2 以降に上げる際の影響

独自開発されたアプリケーションで、.NET Framework 3.5 SP1 および それ以前のバージョンで Domain.DomainMode プロパティを使用している場合に、DomainMode 列挙体の定義 に Windows2008R2Domain が無いためにエラーが発生します。ドメインの機能レベルを参照するような独自開発されたアプリケーションがある場合は、本条件に合致するものがないかご確認ください。
本現象は下記の技術情報で掲載しています。

(公開情報)
FIX: “The requested mode is invalid” error message when you run a managed application that uses the .NET Framework 3.5 SP1 or an earlier version to access a Windows Server 2008 R2 domain or forest

(参考情報)
DomainMode 列挙体
Raising the functional level to Windows 2012 or Windows 2012 R2… Will I break anything?

FRS のサポート終了

Windows Server 2016 は SYSVOL 複製方式として FRS がサポートされていますが、Windows Server 2019 以降では FRS を利用しているドメインに Active Directory のドメイン コントローラーとして追加することができません。
そのため、Windows Server 2019 以降のドメイン コントローラーを追加するためには、事前にドメインの機能レベルを Windows Server 2008 以上に上げて、SYSVOL 複製方式を FRS から DFSR へ移行する必要があります。

FRS から DRSR への移行方法は、下記のページにて詳細に説明しています。ご参考ください。
FRS から DFSR への移行 (SYSVOL)