本記事はマイクロソフト社員によって公開されております。
こんにちは。Windows Commercial Support Directory Services チームです。
Windows Server 2012 および Windows Server 2012 R2 が 2023 年 10 月にサポート終了を迎えるにあたり
ドメイン コントローラー のアップグレードを検討されているお客様も多いのではないでしょうか。
実際にそうしたアップグレードに関するお問い合わせも、弊社に多くいただいておりますので、
今回は Windows Server 2012 および Windows Server 2012 R2 からのアップグレードにあたって留意することや、手順等についてまとめたものを本記事でご紹介できればと思います。
更新プログラムについての考慮事項
Windows Server 2012 、 2012 R2 で稼働しているドメインコントローラーの更新プログラム適用状態が古いと、一気に更新プログラムを最新の環境とすることで、ドメイン メンバーの認証等に影響が出る可能性がございます。
中でもお問い合わせとしてよくいただきますのは、CVE-2021-42287 への対処を実施していない環境で、移行前と移行後のドメインコントローラー間で互換性が無いため、認証に影響が出たというものがございます。
具体的なシナリオの例としては、以下のような移行です。
- アップグレード前のドメイン コントローラー:Windows Server 2012 、 2012 R2 で最新の更新プログラム適用状態が 2021 年 10 月以前の状態
- アップグレード後のドメイン コントローラー: Windows Server 2022 で最新の更新プログラム適用状態が 2022 年 10 月 以降の状態
この状態でドメイン コントローラーの移行を行うと CVE-2021-42287 への対処策の影響で認証に失敗する可能性がございます。
CVE-2021-42287 の対処の方法等、詳細については以下の記事をご参照ください。
CVE-2021-42287 で追加されたイベント メッセージ ID 35 , 37 と脆弱性対応の流れについて
その他、段階を追って対処を行うような代表的な修正やセキュリティ強化について、以下におまとめしておりますので、ご参考になれば幸いです。
- CVE-2022-37967 への対応とその影響について
- CVE-2022-38023 への対応とその影響について
- 2022 年 5 月 10 日の更新プログラムに含まれるドメイン コントローラーでの証明書ベースの認証の変更と対応の流れについて [KB5014754]
- [AD 管理者向け] CVE-2020-1472 Netlogon の対応ガイダンスの概要
また、少し話がそれてしまいますが、Windows Server 2012 、 2012 R2 はセキュリティのみ更新プログラムと、マンスリーロールアップの2種類の更新プログラムが提供されております。
セキュリティのみ更新プログラムを適用して運用している場合、適用対象となるセキュリティのみ更新プログラム以前の、すべてのセキュリティのみの更新プログラムをインストールしていることが前提となります。
※ 2023 年 3 月 14 日 — KB5023764 (セキュリティのみの更新) より抜粋
リマインダー セキュリティのみの更新プログラムを使用している場合は、以前のすべてのセキュリティのみの更新プログラムと Internet Explorer の最新の累積的な更新プログラム (KB5022835) もインストールする必要があります。
もし、セキュリティのみの更新プログラムをインストールして運用されている場合は、現在適用されている更新プログラムについてご確認いただき、もし抜けている更新プログラムがある場合はそれらを適用いただくか、マンスリーロールアップの更新プログラムを適用いただくことをご検討ください。
弊社としてもマンスリーロールアップの適用をおすすめしております。理由等の詳細は以下の記事をご参照ください。
Windows 更新プログラムの適用について: “マンスリー ロールアップ” の適用をお勧めします
最新の更新プログラムが適用された OS にアップグレードすることで、更新プログラムの適用とアップグレードを同時に対処しようと考えられているお客様もいらっしゃるかと思いますが、現行の更新プログラム適用状態について、上記にご留意いただければと思います。
ドメインコントローラーの正常性の確認について
現在ドメイン コントローラーが正常であるかどうかや、移行後に正常に稼働しているかどうか等、ドメイン コントローラーの正常性を確認したい場面が出てくるかと思います。
その場合は、以下の記事を参考にしていただければ幸いです。
ドメイン機能レベルについて
移行後の OS バージョンに応して、ドメイン機能レベルも考慮が必要です。
例えば Windows Server 2019 以降には、Windows Server 2008 フォレストの機能レベルが最低限必要となります。
ドメイン機能レベルについて、影響等が以下の記事にまとまっておりますので、ご参照いただければと思います。
Active Directory の機能レベルを上げる際の影響について
FRS と DFSR について
Windows Server 2019 以降 では FRS をサポートしておりません。そのため、まだ FRS をご利用の環境ではアップグレード前に DFSR に移行していただく必要が出てくる場合がございます。
以下の記事を参考に DFSR への移行を実施ください。
バックアップとリストアについて
ドメイン コントローラーでの作業前にバックアップを取得いただくこともあるかと思います。
ドメイン コントローラーのバックアップ取得方法とバックアップからリストアするにあたって、以下の記事に注意事項等おまとめしておりますのでご参照いただければと思います。
ドメイン コントローラーの降格について
ドメイン コントローラーの降格方法について、正常に降格できなかった場合も含め以下の記事に実施方法がまとまっておりますので、ご参照いただけますと幸いです。
ドメイン コントローラーの昇格について
昇格作業では、ワークグループの環境から昇格ウィザードを進め、ドメイン参加と同時に昇格を行われるといった流れで作業される方もいらっしゃるかと思います。
ドメイン参加において、以下のセキュリティ強化がされておりますので、そのようにして昇格作業を行われる際はご留意いただければと思います。
コンピューターアカウント再利用時のドメイン参加におけるセキュリティ強化について[KB5020276]
また、原因特定にまでは至らないものの、上記以外に起因した昇格時のドメイン参加失敗によって、昇格も失敗したというお問い合わせをいただくこともございます。予めドメイン参加したうえで昇格を行う方が、少なくとも昇格に伴うドメイン参加の問題は避けることができ、より安全に昇格いただけるかと思いますので、ご検討いただければ幸いです。
昇格については、弊社としてはローリングアップグレードをおすすめしており、必要な権限なども以下の公開情報にもまとまっておりますのでご確認いただければと思います。
ドメイン コントローラーを新しいバージョンの Windows Server にアップグレードする
更新履歴
2023/04/27 : 本ブログの公開