ドメインの機能レベルを Windows 2003 から引き上げる場合の注意点

(この記事は 2015 年 2 月 13 日に Office Blogs に投稿された記事 Considering updating your Domain functional level from Windows 2003? Read this! の翻訳です。最新情報については、翻訳元の記事をご参照ください。)

 

Windows Server 2003 のサポート終了 (2015 年 7 月 14 日) が間近に迫る今、多数のお客様が Active Directory (AD) のドメイン コントローラー (DC) を 2003 から引き上げる作業を実施しています。ドメイン コントローラーを移行する際には、Windows Server 2008、2008 R2、2012、2012 R2 のうちどのバージョンにするかを最初に検討する必要があります。ただし、Windows Server 2003 からそれ以降のどの OS に移行する場合にも、ドメインの機能レベル (DFL) を更新すると、krbtgt アカウント (英語) のパスワードがリセットされ、その影響で Exchange が正常に動作しなくなることがあります。

注: ドメインの機能レベルが既に 2008 以降に設定されている場合には、この記事で説明されている問題が発生することはありません。

Active Directory 構造のドメインの機能レベル (DFL) を 2003 から引き上げる場合は krbtgt アカウントのパスワードが変更されるため、注意が必要です。この処理では、まず AD 内でパスワードのレプリケーションが実行され、DFL が引き上げられた後に改めて変更されます。Active Directory と依存関係にあるアプリケーションがこの変更による影響を受けることはありませんが、Exchange などのアプリケーションでは認証処理が停止される場合があります。

機能レベルの引き上げは、ほぼ不可逆な操作であるため (元に戻せる場合もあります (英語))、ディレクトリ サービスに大きく依存しているアプリケーションに影響が出ないように、事前に入念な計画と十分な検証を行う必要があります。自社製やサードパーティ製のアプリケーションについては特にご注意ください。アプリケーション テスト用のラボ環境を使用すると最も確実に検証を実施できるため、マイクロソフトでは Exchange 用のラボ環境を用意することをお勧めしています。

DFL を 2003 から変更した後、ドメイン コントローラーのシステム イベント ビューアーで Event ID 14 (英語) または Event ID 10 (英語) のエラーが発生することがあります。

DFL の引き上げ後にこれらのイベントが発生する場合は、下記のいずれかの方法で認証エラーを解決します。

オプション 1: すべてのドメイン コントローラーで Kerberos キー配布センター サービスを再起動する (影響の発生規模とサービスの再起動に要する時間を抑えられます)

       コマンド ラインを使用する場合の手順

  • SC \\<コンピューター名> Stop kdc
  • SC \\<コンピューター名> Start kdc

       PowerShell 用 Active Directory モジュールを使用する場合の手順

  • $DC=Get-ADDomainController
  • Get-Service KDC –<コンピューター名> $DC | Restart-Service

       GUI を使用する場合の手順

  • ドメイン コントローラーで [Services] MMC コンソール (services.msc) を開きます。
  • [Kerberos Key Distribution Center] サービスを選択し、再起動ボタンをクリックします。

  

オプション 2: フォレスト内のすべてのドメイン コントローラーを再起動する (影響の規模は最大で、サーバーの再起動にある程度の時間が必要です)

       各ドメイン コントローラーに手動でログインし、すべて再起動します。

       または、PowerShell 用 Active Directory モジュールで次のコマンドを実行します。

  • $DC=Get-ADDomainController
  • Restart-Computer $DC

この対応の重要性

ドメインの機能レベルを引き上げてもアプリケーションに対する影響はありませんが、krbtgt アカウントのパスワードがリセットされるため、Exchange (またはその他のアプリケーション) が通常の AD レプリケーション処理によりアカウントのパスワードが更新されるまでにかかる時間に影響が出る可能性があります。このため、上記の解決方法について把握し、変更通知の際にこの手順を実施することをお勧めします。

 

2003 の DFL を変更する際にのみこの現象が発生する理由

この問題の根本的な原因は、AES ハッシュ (128 ビットおよび 256 ビット) が追加されることです。AES ハッシュは、ドメインの機能レベルを 2003 から任意の新しいバージョン (2008、2008 R2、2012、2012 R2) に変更する場合のみ追加されます。また、将来リリースするバージョンの OS で新しい種類の暗号化機能を実装したり、暗号化機能を更新したりする可能性もあり、その場合も同様の問題が発生することが考えられます。

問題を把握しておけば、対応は簡単です。お客様の環境でこの問題が発生する可能性が低くても、解決方法を把握しておけば、万一問題が発生したときにすばやく簡単に対応することができます。ぜひ、十分に計画を検討したうえで変更を適用し、新しいバージョンの OS または AD の機能レベルに移行して最新バージョンの機能をご利用ください。その際には Exchange に不具合が発生しないようにご対応をお願いいたします。

Mike O'Neill