Active Directory Domain Services 機能レベル

• 適用対象:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

機能レベルによって、Active Directory ドメイン サービス (AD DS) のドメインまたはフォレストで使用できる機能が決まります。 また、機能レベルにより、ドメインまたはフォレスト内のドメイン コントローラーで実行できる Windows Server オペレーティング システムが決まります。 ただし、機能レベルによって、ドメインやフォレストに参加しているワークステーションやメンバー サーバーで実行できるオペレーティング システムが影響を受けることはありません。 この記事では、各機能レベルと、Windows Server の各バージョンの互換性について説明します。

AD DS をデプロイするときは、できるだけ多くの AD DS 機能を使用するため、ドメインとフォレストの機能レベルを、環境でサポート可能な最大値に設定します。 新しいフォレストをデプロイするときは、フォレストとドメインの両方の機能レベルを設定する必要があります。 ドメインの機能レベルをフォレストの機能レベルより高い値に設定することはできますが、ドメインの機能レベルをフォレストの機能レベルより低い値に設定することはできません。

Windows Server 2025 の機能レベル

Windows Server 2025 フォレストおよびドメイン機能レベルでは、以下のオペレーティング システムをドメイン コントローラー (DC) として使用できます。

• Windows Server 2025

Windows Server 2025 フォレストおよびドメインの機能レベルの機能

Windows Server 2025 ドメインの機能レベルには、以前のドメイン機能レベルで使用可能であったすべての機能が含まれていますが、以下の新機能もあります。

• データベース 32k ページのオプション機能。 32k データベース ページ サイズの使用について詳しくは、「Active Directory のデータベース 32k ページ」をご覧ください。

これらの新機能の詳細については、「Windows Server 2025 の新機能」をご覧ください。

Note

Windows Server 2019 および Windows Server 2022 では、最新の機能レベルとして Windows Server 2016 が使用されています。

Windows Server 2016 の機能レベル

Windows Server 2016 フォレストおよびドメイン機能レベルでは、以下のオペレーティング システムをドメイン コントローラー (DC) として使用できます。

• Windows Server 2025
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016

Note

ドメインは、SYSVOL をレプリケートするエンジンとして DFS-R を使用する必要があります。 DFSR への移行について詳しくは、FRS から DFSR SYSVOL への効率的な移行に関するブログをご覧ください。 Windows Server 2016 は、ファイル レプリケーション サービス (FRS) をサポートする最後の Windows Server リリースです。 この問題を回避する方法について詳しくは、「Windows Server バージョン 1709 では FRS がサポートされなくなりました」をご覧ください。

Windows Server 2016 フォレストおよびドメインの機能レベルの機能

以前のフォレスト機能レベルのすべての既定の Active Directory 機能と、以下の機能を使用できます。

• Microsoft Identity Manager (MIM) を使用する Privileged access management (PAM)

以前のドメイン機能レベルのすべての既定の Active Directory 機能と、以下の機能を使用できます。

• DC は、公開キー基盤 (PKI) 認証を必要とするよう構成されたユーザー アカウント上で、New Technology LAN Manager (NTLM) および他のパスワード ベースのシークレットの自動ローリングをサポートできます。 この構成は、"対話型ログオンにはスマート カードが必要" とも呼ばれます。

• DC を使うと、ユーザーが特定のドメイン参加済みデバイスに制限されているときのネットワーク NTLM の許可をサポートできます。

• Kerberos クライアントが PKInit Freshness Extension で正常に認証されると、新しい公開キー ID セキュリティ識別子 (SID) を取得します。

  詳細については、「Kerberos 認証の新機能」および「Credential Protection の新機能」を参照してください

Windows Server 2012 R2 機能レベル

Windows Server 2012 R2 フォレストおよびドメイン機能レベルでは、以下のオペレーティング システムをドメイン コントローラー (DC) として使用できます。

• Windows Server 2025
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2

Windows Server 2012 R2 フォレストおよびドメインの機能レベルの機能

Active Directory のすべての既定機能、Windows Server 2012 ドメイン機能レベルのすべての機能、それに加えて以下の機能:

• 保護されたユーザーに対する DC 側の保護。 Protected Users が Windows Server 2012 R2 ドメインに対して認証を行うと、以下のことができなくなります。

  • NTLM 認証で認証を行う

  • Kerberos の事前認証で DES または RC4 の暗号スイートを使用する

  • 制約なしの委任または制約付き委任を使用して委任される

  • 最初の 4 時間の有効期間を超えてユーザー チケット (TGT) を更新する

• Authentication Policies

  • 新しいフォレスト ベースの認証ポリシーをアカウントに適用することができます。 ポリシーは、アカウントからサインオン元として使用できるホストを制御し、認証のためのアクセス制御条件を、アカウントとして実行されているサービスに適用できます。

• Authentication Policy Silos

  • 認証ポリシーまたは認証分離のためにアカウントの分類に使用される、新しいフォレスト ベースの Active Directory オブジェクト。 新しいオブジェクトは、ユーザー、マネージド サービス、コンピューター アカウント間のリレーションシップを作成できます。

以前のバージョンの Windows Server における機能およびドメイン レベル

以前のバージョンの Windows Server の機能レベルについては、「Active Directory Domain Services (AD DS) の機能レベルについて」をご覧ください。

次のステップ

ドメインまたはフォレストの機能レベルを上げるには、以下のリソースを使用できます。

• PowerShell コマンド Set-ADForestMode を使ってフォレストの機能レベルを上げます。

• PowerShell コマンド Set-ADDomainMode を使って、ドメインの機能レベルを上げます。

• ドメインおよびフォレストの機能レベルを上げる方法について詳しくは、「Active Directory ドメインおよびフォレストの機能レベルを上げる方法」をご覧ください。