サイトアイコン Windows Active Directory

アクティブディレクトリフォレスト機能レベルを上げる方法

機能レベルとは何ですか?

アクティブディレクトリの機能レベルは、特定のフォレストやドメインで使用可能なActive Directoryドメインサービス(AD DS)の機能を決定します。機能レベルはWindows Serverのバージョンによって指定され、それぞれのバージョンアップデートに新しいAD DSの機能が付随します。以前の機能レベルとの後方互換性がないため、機能レベルを明記する必要があります。それでは、フォレスト機能レベルを上げる方法について詳しく見ていきましょう。

機能レベルは二つに分類されます:

1. フォレスト機能レベル(FFL)

2. ドメイン機能レベル(DFL)

フォレスト機能レベル(FFL)

フォレスト機能レベルは、フォレスト内で有効になるAD DSの機能を決定します。FFLを上げると、フォレスト内のすべてのドメインコントローラ(DC)の能力が向上します。例えば、Windows Server 2016では、以前のバージョンの機能に加えて、特権アクセス管理(PAM)の機能が導入されました。

フォレスト機能レベルを確認する方法は?

以下の手順に従ってフォレスト機能レベルを確認できます:

  1. スタートに移動し、管理ツールを開きます

  2. Active Directoryドメインと信頼関係に移動します

  3. ルートドメインを右クリックし、プロパティに移動します

  4. 一般タブの下で、フォレストとドメインの機能レベルを確認できます

PowerShellを使用してフォレスト機能レベルを見つける

次のPowerShellコマンドを使用して、ドメインのフォレスト機能レベルを見つけることができます:

Get-ADForest | fl Name,ForestMode

フォレスト機能レベルを選択する

AD DSをデプロイする際には、フォレスト機能レベルを選択するオプションが与えられます。フォレスト機能レベルを選ぶ際には、ドメイン機能レベルがフォレスト機能レベルと同等かそれ以上であることに注意してください。このフォレストに新しく追加されたドメインは、デフォルトでフォレスト機能レベルを取ります。

森林機能レベルを引き上げる方法

いつでも森林の機能レベルを変更する必要がある場合、以下の手順に従って行うことができます。たとえば、2012R2から2016に森林機能レベルを引き上げたい場合、次のようにします:

森林の機能レベルを引き上げる前に注意すべきこと

森林の機能レベルを引き上げることで、新しく改善されたAD DS機能を森林に提供することができます。しかし、システムが機能し続けるために、機能レベルを引き上げる前に注意すべきこともいくつかあります。

まず、すべてのDCが、意図する森林の機能レベルと同じ、またはそれ以上のWindowsサーバーバージョンで動作していることを確認する必要があります。そうでない場合は、それらのDCを特定し、Windows Serverバージョンをアップグレードするか、必要に応じて降格させます。また、意図する森林の機能レベルと同じかそれ以上であることを確認する必要もあります。

次に、森林内のレプリケーションが適切に機能しているかどうかを確認し、確実に行いたい重要な機能であることを確認します。

最後に、森林の機能レベルを引き上げる際に円滑な移行を実現するために、組織のすべてのエンタープライズアプリケーションとサービスが、意図する森林の機能レベルと互換性があるかどうかを確認してください。

これらのステップにより、選択した高い機能レベルへの円滑なアップグレードが実現され、アップグレードプロセス後に望ましくない驚きが生じることはありません。

アクティブディレクトリ機能レベルの依存関係

アクティブディレクトリフォレストの機能レベルには、次の依存関係があります。

ドメインまたはフォレスト機能レベルを先に引き上げるべきか?

フォレスト機能レベルはまた、フォレスト内のすべてのDCが運用しなければならない最小の機能レベルを決定します。Windowsサーバの低いバージョンで稼働する任意のDCは、DCのポジションから降格されます。この制限は、しかし、DCにのみ適用されます。フォレスト内のメンバーサーバやワークステーションは影響を受けません。したがって、ベストプラクティスは、先にドメイン機能レベルを引き上げ、その後でフォレスト機能レベルを引き上げることです。ただし、フォレスト機能レベルを引き上げると、ドメイン機能レベルも自動的に引き上げられます。

機能レベルに応じた利用可能機能

フォレスト機能レベルを引き上げる前の良い習慣は、各機能レベルがもたらす機能を理解することですので、情報に基づいた決定ができます。各機能レベルは前の機能を引き継ぎ、さらに追加機能を加えます。あるレベルでは大きな機能が導入されておらず、他のレベルでは大幅な改善をもたらします。各関数の可用性は、アクティブディレクトリフォレストの機能レベルを決定します。より良く理解するために、各Windows Serverバージョンで導入されたすべての機能の分割をここに示します。

森林機能レベル 利

用可能な機能

Windows Server 2016

Microsoft Identity Manager(MIM)を使用した特権アクセス管理(PAM)

Windows Server 2012R2

Windows Server 2012 FFLのすべての利用可能な機能

Windows Server 2012

Windows Server 2008R2 FFLのすべての利用可能な機能

Windows Server 2008R2

Active DirectoryリサイクルビンWindows Server 2003 FFLのすべての利用可能な機能

Windows Server 2008

Windows Server 2003 FFLのすべての利用可能な機能

Windows Server 2003

森林トラストドメインの名前変更リンク値のレプリケーション読み取り専用DC(RODC)の展開能力改良されたKnowledge Consistency Checker(KCC)アルゴリズムとスケーラビリティドメインディレクトリパーティション内でdynamicObjectという動的補助クラスのインスタンスの作成inetOrgPersonオブジェクトインスタンスをユーザーオブジェクトインスタンスに変換する機能とその逆新しいグループタイプのインスタンスの作成(ロールベースの認証用)属性とクラスの非アクティブ化とスキーマ内の再定義ドメインベースのDFS名前空間AD DSのすべてのデフォルト機能

Windows 2000 ネイティブ

AD DSのすべてのデフォルト機能

モバイルバージョンを終了