ドメイン コントローラーを新しいバージョンの Windows Server にアップグレードする
この記事では、Windows Server の Active Directory Domain Services に関する背景情報を提供し、以前のバージョンの Windows Server からドメイン コントローラー (DC) をアップグレードするプロセスについて説明します。
前提条件
ドメインをアップグレードするのに推奨される方法は、新しいバージョンの Windows Server を実行する DC になるように新しいサーバーを昇格させる一方で、必要に応じて古い DC を降格させる方法です。 この方法は、既存の DC のオペレーティング システムをアップグレードするよりも望ましく、インプレース アップグレードとも呼ばれます。
新しいバージョンの Windows Server を実行する DC になるようにサーバーを昇格させる前に、こちらの一般的な手順に従います。
ターゲット サーバーがシステム要件を満たしていることを確認します。
アプリケーションの互換性を確認します。
新しいバージョンの Windows Server への移行に関する推奨事項を確認します。
セキュリティ設定を確認します。
インストールを実行するコンピューターからターゲット サーバーに接続できることを確認します。
Active Directory で必要な Flexible Single Master Operation (FSMO) 役割を使用できるかどうかを確認します。 この手順は、次のシナリオで必要です。
- 最新の Windows Server バージョンを実行する最初の DC を、既存のドメインとフォレストにインストールするには、インストールを実行するコンピューターから次の対象への接続が必要です。
adprep /forestprep
を実行するスキーマ マスター。adprep /domainprep
を実行するインフラストラクチャ マスター。
- フォレスト スキーマが既に拡張されているドメイン内で最初の DC をインストールする場合は、インフラストラクチャ マスターへの接続のみが必要になります。
- 既存のフォレスト内でドメインをインストールまたは削除する場合は、ドメイン名前付けマスターへの接続が必要になります。
- いずれの場合も、DC のインストールでは、RID マスターへの接続も必要です。
- 既存のフォレスト内で最初の読み取り専用の DC をインストールするには、各アプリケーション ディレクトリ パーティション (ドメインでない名前付けコンテキストとも呼ばれます) について、インフラストラクチャ マスターへの接続が必要です。
どの 1 つ以上のサーバーにどの FSMO 役割が保持されているかを確認するには、Domain Admins グループのメンバーであるアカウントを使用して、管理者特権の PowerShell セッションで次のコマンドを実行します。
Get-ADDomain | FL InfrastructureMaster, RIDMaster, PDCEmulator Get-ADForest | FL DomainNamingMaster, SchemaMaster
- 最新の Windows Server バージョンを実行する最初の DC を、既存のドメインとフォレストにインストールするには、インストールを実行するコンピューターから次の対象への接続が必要です。
インストール操作と必要な管理レベル
次の表に、インストール操作と、これらの手順を実行するためのアクセス許可の要件の概要を示します。
インストール操作 | 資格情報の要件 |
---|---|
新しいフォレストをインストールする。 | ターゲット サーバーの Local Admin |
既存のフォレスト内に新しいドメインをインストールする。 | Enterprise Admins |
既存のドメイン内に別の DC をインストールする。 | Domain Admins |
adprep /forestprep を実行します。 |
Schema Admins、Enterprise Admins、Domain Admins |
adprep /domainprep を実行します。 |
Domain Admins |
adprep /domainprep /gpprep. を実行します。 |
Domain Admins |
adprep /rodcprep を実行します。 |
Enterprise Admins |
サポートされる一括アップグレード パス
サポートされているのは 64 ビット バージョンのアップグレードのみです。 サポートされているアップグレード パスの詳細については、サポートされているアップグレード パスに関するページを参照してください。
Adprep - forestprep と domainprep
既存の DC のインプレース アップグレードの場合は、adprep /forestprep
と adprep /domainprep
を手動で実行する必要があります。 新しいバージョンの Windows Server ごとに、フォレスト内で Adprep /forestprep
を 1 回のみ実行する必要があります。 新しいバージョンの Windows Server ごとに、アップグレードする DC がある各ドメイン内で Adprep /domainprep
を 1 回実行します。
DC になるように新しいサーバーを昇格させる場合は、これらのコマンド ライン ツールを手動で実行する必要はありません。 それらは PowerShell とサーバー マネージャーのエクスペリエンスに統合されています。
adprep の実行の詳細については、「Adprep の実行」を参照してください。
機能レベルの機能と要件
Windows Server 2019 以降には、Windows Server 2008 フォレストの機能レベルが最低限必要です。 Windows Server 2016 には、Windows Server 2003 フォレストの機能レベルが最低限必要です。 オペレーティング システムでサポートされているよりも古いフォレストの機能レベルを実行している DC がフォレストに含まれている場合、インストールはブロックされます。 それらの DC を削除し、サポートされているバージョンにフォレストの機能レベルを上げた後で、新しい Windows Server DC をフォレストに追加する必要があります。 サポートされている機能レベルの詳細については、「フォレストとドメインの機能レベル」を参照してください。
注意
Windows Server 2016 以降、新しいフォレストまたはドメインの機能レベルは追加されていません。 ドメイン コントローラーのためには、以降のオペレーティング システム バージョンを使用でき、また使用する必要があります。 それらは、最新の機能レベルとして Windows Server 2016 を使用します。
機能レベルをロールバックする
フォレストの機能レベルを特定の値に設定した後で、フォレストの機能レベルをロールバックしたり下げたりすることはできません。ただし、次の例外があります。
- Windows Server 2012 R2 フォレストの機能レベルからアップグレードする場合は、Windows Server 2012 R2 にロールバックできます。
- Windows Server 2008 R2 フォレストの機能レベルからアップグレードする場合は、Windows Server 2008 R2 にロールバックできます。
ドメインの機能レベルを特定の値に設定した後で、ドメインの機能レベルをロールバックしたり下げたりすることはできません。ただし、次の例外があります。
- ドメインの機能レベルを Windows Server 2016 に上げるときに、フォレストの機能レベルが Windows Server 2012 以下である場合は、ドメインの機能レベルを Windows Server 2012 または Windows Server 2012 R2 にロールバックするオプションがあります。
各機能レベルで使用できる機能の詳細については、「フォレストとドメインの機能レベル」を参照してください。
Active Directory Domain Services の相互運用性
Active Directory Domain Services は、次の Windows オペレーティング システムではサポートされていません。
- Windows MultiPoint Server
- Windows Server Essentials
次のサーバー役割または役割サービスも実行するサーバーに、Active Directory Domain Services をインストールすることはできません。
- Microsoft Hyper-V Server
- リモート デスクトップ接続ブローカー
Windows Server の管理
Windows 10 以降用のリモート サーバー管理ツールを使用して、Windows Server を実行しているドメイン コントローラーや他のサーバーを管理します。 Windows 10 以降を実行しているコンピューターで Windows Server リモート サーバー管理ツールを実行できます。
新しいバージョンの Windows Server を使用して新しいドメイン コントローラーを追加する
次の例は、Contoso フォレストを以前のバージョンの Windows Server から新しいバージョンにアップグレードする方法を示しています。
新しい Windows Server をフォレストに追加します。 プロンプトが表示されたら再起動します。
Domain Admins アカウントを使用して新しい Windows Server にサインインします。
[サーバー マネージャー] の [役割と機能の追加] で、新しい Windows Server に Active Directory Domain Services をインストールします。 この操作は、以前のバージョンのフォレストとドメインで adprep を自動的に実行します。
[サーバー マネージャー] で、黄色い三角形を選択します。 ドロップダウンから、[Promote the server to a domain controller] (このサーバーをドメイン コントローラーに昇格する) を選択します。
[展開構成] 画面で、[新しいドメインを既存のフォレストに追加] を選択し、[次へ] を選択します。
[ドメイン コントローラー オプション] 画面で、[ディレクトリ サービス復元モード (DSRM)] パスワードを入力し、[次へ] を選択します。
残りの画面では、[次へ] を選択します。
[前提条件の確認] 画面で、[インストール] を選択します。 再起動が完了したら、もう一度サインインします。
以前のバージョンの Windows Server の [サーバー マネージャー] の [ツール] で、[Windows PowerShell 用 Active Directory モジュール] を選択します。
PowerShell ウィンドウで、
Move-ADDirectoryServerOperationMasterRole
コマンドレットを使用して、FSMO 役割を移動します。 それぞれの操作マスターの役割の名前を入力するか、番号を使用して役割を指定することができます。 詳細については、「Move-ADDirectoryServerOperationMasterRole」を参照してください。Move-ADDirectoryServerOperationMasterRole -Identity "DC-W2K16" -OperationMasterRole 0,1,2,3,4
役割が移動されたことを確認するには、新しい Windows Server に移動します。 [サーバー マネージャー] の [ツール] で、[Windows PowerShell 用 Active Directory モジュール] を選択します。
Get-ADDomain
とGet-ADForest
のコマンドレットを使用して、FSMO 役割所有者を表示します。以前の Windows Server DC を降格させて削除します。 DC を降格させる方法については、「ドメイン コントローラーとドメインの降格」を参照してください。
サーバーを降格させて削除した後で、最新バージョンの Windows Server になるようにフォレストの機能レベルとドメインの機能レベルを上げることができます。