Windows Server 2025でドメインコントローラ移行する際、気を付けないといけないポイントがあります。大きく分けて3つの観点があります。
- Windows Server 2025でのドメインコントローラにおける仕様変更
- Windows Server 2025のOS自体での仕様変更
- ドメインコントローラに対する過去の仕様変更
Windows Server 2025でのドメインコントローラにおける仕様変更
フォレスト/ドメイン機能レベルの追加
Windows Server 2019、2022ではフォレスト/ドメイン機能レベルの追加がなく、Windows Server 2016が最新でした。しかし2025では新たに機能レベル「Windows Server 2025」が追加されました。Windows Server 2025の機能レベルでは「データベース 32k ページのオプション機能」が利用できるようになっています。
なお、Windows Server 2025ではWindows Server 2012 R2の機能レベルがサポートされていないため、事前にWindows Server 2016の機能レベルにあげておく必要があります。
32kデータベースを有効にすると再度8kに戻すことはできず、過去のバックアップデータも利用できなくなるので注意が必要。(AD全台でのリストアは可能)32kを有効にするとメモリの使用量も増えるため、本当に必要な環境でのみ有効化するのが良いと思われます。
LDAP署名が既定で有効化される
Windows Server 2025では既定の設定がLDAP署名有効となっているため、LDAP連携しているミドルウェア等が動かなくなるケースがあります。対応策は以下のポリシーをドメインコントローラに適用することです。
セキュリティポリシー > ドメイン コントローラー: LDAP サーバの署名要件の適用 :無効
以下の記事を参考にしました。
Windows Server 2025のOS自体での仕様変更
NTLM v1は廃止
NTLM自体が今後廃止していく計画となっていますが、Windows Server 2025ではNTLM v1が削除されています。
Kerberos 認証からの DES の削除
2025年9月のパッチをWindows Server 2025に適用するとKerberos 認証におけるDESが削除されます。
ドメインコントローラに対する過去の仕様変更
ドメインコントローラの挙動を変更するような脆弱性対応が過去いくつか行われてきました。Windows Server 2025はそれらの脆弱性対応が取り込み済みであるため、パッチを全然当てていないような塩漬けドメインコントローラから移行する場合に問題が出てくる可能性があります。
古いOS(Windows Server 2003、2008等)やADと連携している機器がある場合に問題が発生しやすいです。
影響が出る機器を見極めるためには、現行のドメインコントローラに仕様変更が強制されないタイミングのパッチを段階的に適用してイベントログから調査することになります。段階的にパッチを当てて影響調査していくだけでもかなりの期間がかかると思われるので、ドメインコントローラ移行は十分な期間を見込んでおく必要があります。
過去の仕様変更は以下にまとめています。
まとめ
Windows Server 2025は特にセキュリティ面での強化がいろいろとされているため、いつものドメインコントローラ移行と同じと思って移行するとトラブルに発展しやすくなっています。事前に検証環境を作って影響を見極めてから本番移行することを推奨いたします。どうしても事前検証が難しいものもあるかと思いますので、切り戻しのための手順や判断ポイントも事前に検討しておきましょう。