【Windows】Active Directoryの機能レベルを上げる手順

OS
スポンサーリンク

前回、Windows Server 2012 R2でActive Directoryを構築しました。
今回は、そのActive Directoryを使用してフォレスト・ドメインの機能レベルを上げる検証を行っていきます。

前提条件

今回、検証するに当たり以下の構成でサーバを構成しています。

  • Server 1
  • CPU : 2vCPU
  • MEM : 4GB
  • DISK : 60GB
  • OS : Windows Server 2012 R2 DC
  • Hostname : dev-ad01
  • IP : 192.168.100.168
  • Server 2
  • CPU : 2vCPU
  • MEM : 4GB
  • DISK : 60GB
  • OS : Windows Server 2022 DC
  • Hostname : dev-ad02
  • IP : 192.168.100.169

Active Directoryのフォレスト・ドメインの機能レベルはフォレスト・ドメイン内の最低バージョンに合わせる必要があるため、この状態で稼働させている機能レベルはWindows Server 2012 R2となります。
また、この機能レベルから上げる場合は、Windows Server 2016以上のOSが必要となります。

【作業前】

  • フォレスト機能レベル : Windows Server 2012 R2
  • ドメイン機能レベル : Windows Server 2012 R2

【作業後】

  • フォレスト機能レベル : Windows Server 2016
  • ドメイン機能レベル : Windows Server 2016

現在の想定環境では、Windows Server 2012 R2とWindows Server 2022の混合環境となっているため、現状だと機能レベルを上げることができません。そのため、Windows Server 2012 R2のマシンをドメインコントローラから降格し、フォレスト内のWindows Server 2016以降の環境のみにしてから機能レベルを上げる検証を行います。

事前確認

[Windowsスタートメニュー]より、[Active Directoryドメインと信頼関係]を選択し、確認対象のドメインを[右クリック]します。

[プロパティ]を選択します。

[全般]より、[ドメイン機能のレベル]と[フォレストの機能レベル]を確認します。

[Windowsスタートメニュー]より、[Active Directoryサイトとサービス]を起動し、現在のサイト構成を確認します。
今回は、検証環境のためシングルサイト構成となっています。
フォレストやドメインの機能レベルを上げる際は、このサイト内のOSをWindows Server 2016以上に置き換える必要があります。

コマンドプロンプトを起動し、以下のコマンドを実行します。

> netdom query fsmo
スキーマ マスター dev-ad01.ad.local
ドメイン名前付けマスター dev-ad01.ad.local
PDC dev-ad01.ad.local
RID プール マネージャー  dev-ad01.ad.local
インフラストラクチャマスタ dev-ad01.ad.local

現在は、Windows Server 2012 R2側のドメインコントローラがFSMOを持っています。

FSMO移行

前項でFSMOの場所を確認し、降格対象のADがFSMOを持っていたため、事前にFSMOを移行して起きます。
FSMOを移動させる方法については、こちらの記事で詳しく解説しています。

FSMOの移行後、FSMOが正常に移動され、各AD間のレプリケーションが正常に行われていることを確認しておきます。
ADのレプリケーションについては、サイト構成により全ADにレプリケーションされるまで時間がかかる場合があるため、要確認です。

最終的に降格予定のADからFSMOの機能を移動できたら降格準備完了です。

Active Directory降格

Active Directoryの降格手順については、こちらの記事に記載してあります。Windows Server 2022の降格手順ですが、Windows Server 2012 R2でも画面遷移はほぼ変わりません。

[サーバマネージャ]より、[管理]-[役割と機能の削除]を選択します。

[開始する前に]より、[次へ]を押下します。

[サーバの選択]より、[サーバプールからサーバを選択]が選択されていることを確認し、[サーバプール]で削除対象のサーバを選択します。
選択ができたら[次へ]を押下します。

[サーバの役割]より、[Active Directoryドメインサービス]を選択します。

[Active Directory ドメインサービスを必要とする機能を削除しますか?]より、[管理ツールを削除する]にチェックが入っていることを確認し、[機能の削除]を選択します。

[検証結果]より削除が失敗するため、[このドメインコントローラを降格する]を選択します。

[資格情報]より、[この操作を実行するには資格情報を指定してください]で表示されているアカウントがドメインコントローラのAdministratosアカウントであることを確認し、[次へ]を押下します。

[警告]より、[削除の続行]にチェックを入れ、[次へ]を押下します。

[新しいAdministratorパスワード]より、ビルドインAdministratorのパスワードを設定します。
設定が完了したら、[次へ]を押下します。

[オプションの確認]より、実行する内容を確認し、[降格]を押下します。

降格が完了し、Active Directoryドメインサービスの削除が完了すると、再起動を行う必要があるため、[閉じる]を押下します。

コンピュータの削除

Server1のAD降格が完了したら、[Active Directoryサイトとサービス]より、該当のコンピュータを削除します。

[スタートメニュー]より、[Active Directoryサイトとサービス]を起動します。
[Sites]-[Default-First-Site-Name]-[Servers]を展開します。
削除対象のサーバがGCを持っていないことを確認します。

降格したADを選択し、[右クリック]-[削除]を選択します。

[DEV-AD01という名前のサーバを削除しますか?]より、[はい]を押下します。

[サブツリーの削除の確認]が表示されるため、[はい]を押下します。

[Active Directoryサイトとサービス]より、該当のADのオブジェクトが削除されたことを確認します。

ドメイン機能レベル昇格

以上の作業で、フォレスト及びドメイン内からWindows Server 2012 R2のOSがいなくなりました。
この作業を経てやっとフォレスト及びドメインの機能レベルを上げることができます。
また、機能レベルを一度上げると機能レベルを下げることが難しくなるため、慎重に検討を行った上で実行します。

[Active Directoryドメインと信頼関係]より機能レベルを確認しておきます。

[Active Directoryドメインと信頼関係]より、ドメインを右クリックし、[ドメインの機能レベルの昇格]を選択します。

[ドメインの機能レベルの昇格]より、ドメイン名を確認し、昇格するドメインを確認します。
[利用可能なドメインの機能レベルを選択してください]より、[Windows Server 2016]を選択し、[上げる]を押下します。
ここで、Windows Server 2016が表示されない場合は、ADのどこかしらに古いADが存在している可能性があります。

機能レベルの昇格に関する警告が表示されるため、[OK]を押下します。

昇格の成功メッセージが表示されたら[OK]を押下します。
メッセージ内にも記載がありますが、この作業はADの1台で実施しているので、ここから各ADへのレプリケートが行われます。
ADのレプリケーションの時間はサイト構成により異なるため、全ADにレプリケートされたことを確認してから次の作業を実行することをおすすめします。
レプリケーションが完了し、末端のADでドメインの機能レベルが上がっていれば問題なくレプリケーションされ作業は完了となります。

フォレスト機能レベルの昇格

[Active Directoryドメインと信頼関係]を右クリックし、[フォレストの機能レベルの昇格]を選択します。

[フォレストの機能レベルの昇格]より、[フォレスト名]を確認します。
[利用可能なフォレストの機能レベルを選択してください]より、[Windows Server 2016]を選択し、[上げる]を押下します。

機能レベルの昇格に関する警告が表示されるため、[OK]を押下します。

昇格の成功メッセージが表示されたら[OK]を押下します。
メッセージ内にも記載がありますが、この作業はADの1台で実施しているので、ここから各ADへのレプリケートが行われます。
ADのレプリケーションの時間はサイト構成により異なるため、全ADにレプリケートされたことを確認することをおすすめします。
レプリケーションが完了し、末端のADでドメインの機能レベルが上がっていれば問題なくレプリケーションされ作業は完了となります。

最後に昇格後の機能レベルを確認して、フォレスト・ドメインの機能レベルを上げる作業は完了です。

まとめ

今回は、AD2台を使用してActive Directoryの機能レベルを上げてみました。
機能レベルを上げる作業自体は簡単なのですが、作業を行う前提を整えるまでにかなり時間を要すると思います。
2023年10月にWindwos Server 2012 R2のサポートが切れるため、そろそろサーバもWindows Server 2016以降への切り替えを実行に移さないとサポートが切れた状態で運用することになり、非常に危険な状態となります。
最近のActive Directoryは単機能のサーバではなく、他の機能も含めて運用していることが多いため、移行が複雑になり、時間を要することがあります。

なので、ADはシンプルに構成・運用していきましょう。

おまけ

本ブログではVMwareやWindows、Linuxのインストール手順等も公開しております。
インフラエンジニアとして有益な記事や無益なコンテンツも作成しておりますので、通勤時間や休憩時間、休日のスキマ時間等に合わせて読んでいただけると幸いです。

スポンサーリンク

コメント

タイトルとURLをコピーしました