今回は、Windows Server 2025を使用してActive Directoryの機能レベルを変更する手順を記事にしていきます。
Windows Server 2025でActive Directoryを構成する手順は以下の通りです。
期待する目標
本手順で期待する目標は以下の通りです。
- Active Directoryのドメイン機能レベルを上げることができる
- Active Directoryのフォレスト機能レベルを上げることができる
- Active Directoryの機能レベル変更の考慮ポイントを理解することができる
前提条件
本手順で使用する環境は以下の通りです。
【AD1号機】
- OS : Windows Server 2025
- CPU : 2Core
- MEM : 4GB
- DISK : 60GB
- IP : 192.168.100.185
- Hostname : dev-ad01
【AD2号機】
- OS : Windows Server 2025
- CPU : 2Core
- MEM : 4GB
- DISK : 60GB
- IP : 192.168.100.186
- Hostname : dev-ad02
【共通】
- ドメイン : eval.local
- ドメイン機能レベル : Windows Server 2016
- フォレスト機能レベル : Windows Server 2016
今回は、Windows Server 2025を使用していますが、機能レベル変更の検証を実施するため、フォレスト・ドメイン機能レベルをWindows Server 2016に設定してADを構成しました。
また、機能レベルの変更が正常に伝播されることを確認するため、2台構成で検証をしています。
注意点として、フォレストおよびドメインの機能レベルを変更する場合、ドメイン内のすべてのドメインコントローラがWindows Server 2025である必要があります。
機能レベルの変更点
Windows Server 2025の機能レベルでは、Windows Server 2016から以下の点が変更されています。
- Active Directoryのデータベースページサイズが8kから32kに拡張
従来のWindows Serverでは、8kのデータベースページを使用していましたが、Windows Server 2025では、32kに拡張されています。
MicrosoftのKBを見る限りでは、以前のWindows Serverからアップグレードして使用する場合、8kのページサイズをシミュレートして32kのページサイズを使用するような記載がありました。
一般的なWindows認証を使用する際にはこの点を意識してアップグレードする必要はなさそうです。
ただ、8kから32kへとページサイズが拡張されたことによるメモリの使用量増加は多少なりとも考慮する必要はあるかと思います。
詳細はこちらのKBをご覧ください。
ドメインの機能レベル変更
Active Directoryの機能レベルを変更する場合、フォレストの機能レベルから変更すると、フォレスト配下のドメインコントローラのドメイン機能レベルが自動的に変更されます。
フォレスト内にWindows Server 2025未満のドメインコントローラが存在する場合、フォレストの機能レベルを変更することはできません。
ドメイン機能レベルを変更する前に現在のドメイン機能レベルの確認を行います。
[サーバマネージャー]より、[ツール]-[Active Directory管理センター]を押下します。
[Active Directory管理センター]より、ドメインを選択し変更前のフォレスト機能レベルとドメイン機能レベルを確認します。
機能レベルを変更する前に、すべてのドメインコントローラで機能レベルの確認を行っておきます。
[Active Directory管理センター]より、ドメインを選択し、右ペインから[ドメインの機能レベルの昇格]を押下します。
[利用可能なドメインの機能レベルを選択してください]より、変更する機能レベルを選択します。
今回はWindows Server 2025を選択しています。
ドメイン内にWindows Server 2025未満のドメインコントローラが存在する場合はWindows Server 2025へ変更することができません。
設定が完了したら、[OK]を押下します。
ドメインの機能レベルを変更する際に、警告ウィンドウが表示されます。
基本的にActive Directoryの機能レベル変更は上げたら戻せないので、作業内容と影響範囲を理解したうえで[OK]を押下します。
ドメインの機能レベルが変更されると情報ウィンドウが表示されるため、[OK]を押下します。
この時点では、ドメイン機能レベルの変更を行ったドメインコントローラのみ変更され、このドメインコントローラから他のドメインコントローラへレプリケートされます。
[Active Directory管理センター]より、ドメインを選択し[プロパティ]を押下します。
ドメインのプロパティより、[ドメインの機能レベル]を確認し[Windows Server 2025]となっていることを確認します。
ドメインコントローラが複数台ある場合はそれぞれのドメインコントローラで同様にドメインの機能レベルが変更されていることを確認します。
以上でドメインの機能レベル変更は完了です。
フォレスト機能レベルの変更
ドメインの機能レベル変更が完了したら、フォレストの機能レベル変更を行います。
ドメインの機能レベル変更は使用するドメイン内に影響が限られますが、フォレストの機能レベルとなると、関連するすべてのドメインコントローラに影響を及ぼすため、影響範囲の確認を十分に行っておきましょう。
[Active Directory管理センター]より、ドメインを選択し左ペインより[フォレストの機能レベルの昇格]を押下します。
[利用可能なフォレストの機能レベルを選択してください]より、変更するフォレスト機能レベルを選択します。
今回は、Windows Server 2025を選択しています。
フォレストの機能レベルを変更する場合は、フォレスト内のドメインコントローラがすべてWindows Server 2025以降となっていることが条件となります。
フォレスト内に一台でもWindows Server 2025未満のドメインコントローラが存在している場合、フォレストの機能レベルが変更できないため、注意してください。
設定が完了したら、[OK]を押下します。
フォレストの機能レベルを変更する際に、警告ウィンドウが表示されます。
ドメインの機能レベルと同様にフォレストの機能レベルを昇格させると元のフォレスト機能レベルには戻せなくなるため、確認してから[OK]を押下します。
フォレスト機能レベルの変更に成功すると情報ウィンドウが表示されます。
フォレストの機能レベルが変更されるとドメイン機能レベル変更時と同様にフォレスト内のドメインコントローラへとレプリケートされます。
複数のドメインコントローラで構成されている場合は、他のドメインコントローラでもフォレスト機能レベルが変更されていることを確認します。
フォレストの機能レベル変更は以上となります。
まとめ
今回は、Windows Server 2025を使用してActive Directoryのフォレスト・ドメイン機能レベルの変更(昇格)を手順にしました。
Active Directoryの機能として大きな変更点がないだけに一度上げたら戻せないというリスクを負って機能レベルの変更を行うかは謎ですが、Active DirectoryやLDAPとべったりなシステムでもない限りWindows Server 2025の機能レベルを採用しても問題ないと思いました。
実際にWindows Server 2016の機能レベルからWindows Server 2025に機能レベルを上げたところで、データページサイズは8kの互換性を持った状態で32kにシミュレートされるようなので、Active Directoryに大きなバグがない限りは大丈夫と信じてあげてみるのもよいと思います。
おまけ
本ブログではVMwareやWindows、Linuxのインストール手順等も公開しております。
インフラエンジニアとして有益な記事や無益なコンテンツも作成しておりますので、通勤時間や休憩時間、休日のスキマ時間等に合わせて読んでいただけると幸いです。
また、Youtubeで解説動画も鋭意作成中です。本ブログで記事にしているものも動画にしようと思っておりますので、よろしくお願いいたします。
willserverのnoteも開設したのでフォローお願いします。
コメント