概要
Active Directory 環境でドメイン コントローラーのOS OS のアップグレード時に考慮しておいたほうがいいであろう事項をまとめます。
なお、今回の記事では
OS の仕様に的をしぼっており、具体的な手順(事前にバックアップを取る等)については言及いたしませんのでご注意ください。
アップグレードしたい OS に対して既存の環境が要件をみたすかとの観点での記事となります。
アップグレード可能な OS バージョン
既存のドメイン コントローラーをインプレース アップグレードする際にアップグレード可能な OS バージョンは下記となります。
| アップグレード後のOS | アップグレード可能なOS |
|---|---|
| Windows Server 2022 | Windows Server 2019 Windows Server 2016 |
| Windows Server 2019 | Windows Server 2019 Windows Server 2012 R2 |
| Windows Server 2016 | Windows Server 2012 R2 Windows Server 2012 |
| Windows Server 2012 R2 | Windows Server 2012 Windows Server 2008 R2 |
| Windows Server 2012 | Windows Server 2008 R2 Windows Server 2008 |
Windows Server 2008 、 Windows Server 2008 R2 から Windows Server 2016 以降へは直接インプレース アップグレードができず、 Windows Server 2012 などにインプレース アップグレードをしたうえで、さらにアップグレードが必要なことに注意してください。
<参考情報>
機能レベル
アップグレードの OS がサポートする機能レベルは下記です。
既存の環境がアップグレードを想定している OS でサポートされる機能レベルでない場合、事前に機能レベルを更新しておく必要があります。
| アップグレード後の OS | サポートする機能レベル |
|---|---|
| Windows Server 2022 | Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Windows Server 2008 |
| Windows Server 2019 | Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Windows Server 2008 |
| Windows Server 2016 | Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Windows Server 2008 Windows Server 2003 |
| Windows Server 2012 R2 | Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Windows Server 2008 Windows Server 2003 |
| Windows Server 2012 | Windows Server 2012 Windows Server 2008 R2 Windows Server 2008 Windows Server 2003 |
| Windows Server 2008 R2 | Windows Server 2008 R2 Windows Server 2008 Windows Server 2003 Windows 2000 |
| Windows Server 2008 | Windows Server 2008 Windows Server 2003 Windows 2000 |
今後アップグレード対象となるであろう Windows Server 2022 、 Windows Server 2019 では機能レベルが Windows Server 2008 以上である必要性があります。
古いドメイン環境から更新を重ねてきた場合には以前の更新の際に OS は更新したが機能レベルは据え置かれて古いままということもありますので機能レベルにも注意が必要です。
既存の機能レベルが不明な場合には下記手順にて確認をしましょう。
-
[Active Directory ユーザーとコンピューター]を起動します。
-
ドメイン名を右クリックし[プロパティ]を開きます。
-
プロパティ画面にでドメイン、フォレストの機能レベルを確認します。
<参考情報>
-
Active Directory Domain Services Functional Levels in Windows Server | Microsoft Learn
2023/5/30時点で日本語ページでは Windows Server 2022 の情報が反映されていません。
レプリケーション方式
Windows Server 2022 、 Windows Server 2019 では FRSがサポートされていません。
その為 Windows Server 2022 、 Windows Server 2019にドメイン コントローラーをアップグレードする場合には レプリケーションの方式を DFSR であることを確認しておく必要性があります。
確認手順並びに FRS から DFSR の移行については下記の BLOG で網羅されています。
そのほか留意すべき事項
Active Directory 関連の脆弱性対応がどこまで進んでいるかにも留意する必要性があります。
ドメイン コントローラーの OS をアップグレードする際には新たな OS で最新の更新プログラムを適用するというケースが多いと思います。
その際に既存のドメイン コントローラーに最新の更新プログラムを適用されていないと、脆弱性対応の状況に差異が生じ認証に問題が発生するなど障害が発生する可能性があります。
その為既存のドメイン コントローラーがどの更新プログラムを適用してどの段階まで脆弱性対応が進んでいるかを確認しておく必要性があります。
英語での情報とはなり、かつすべてのActive Directory 関連の脆弱性を網羅したものではなさそうですが下記 BLOG に今後の Active Directory 関連の脆弱性対応の予定が記載されておりますので参考になると思います。
補足
ドメインに参加するクライアントについてドメイン、フォレストの機能レベルに制約があるか調べてみましたが情報は見つかりませんでした。
そのため検証環境で試したところ下記でドメインに参加可能で、グループ ポリシーの適用できることを確認しました。
| ドメイン コントローラー | Windows Server 2008 |
| フォレスト機能レベル | Windows Server 2000 |
| ドメイン機能レベル | Windows Server 2000ネイティブ |
| クライアント OS | Windows 11 バージョン 22H2 |
上記からクライアント OS のドメイン参加には、機能レベルによる制約はないと 推測 します。