ドメイン コントローラーを新しいバージョンの Windows Server にアップグレードする

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

この記事では、Windows Server の Active Directory Domain Services に関する背景情報を提供し、以前のバージョンの Windows Server からドメイン コントローラー (DC) をアップグレードするプロセスについて説明します。

前提条件

ドメインをアップグレードするのに推奨される方法は、新しいバージョンの Windows Server を実行する DC になるように新しいサーバーを昇格させる一方で、必要に応じて古い DC を降格させる方法です。 この方法は、既存の DC のオペレーティング システムをアップグレードするよりも望ましく、インプレース アップグレードとも呼ばれます。

新しいバージョンの Windows Server を実行する DC になるようにサーバーを昇格させる前に、こちらの一般的な手順に従います。

  1. ターゲット サーバーがシステム要件を満たしていることを確認します。

  2. アプリケーションの互換性を確認します。

  3. 新しいバージョンの Windows Server への移行に関する推奨事項を確認します。

  4. セキュリティ設定を確認します。

  5. インストールを実行するコンピューターからターゲット サーバーに接続できることを確認します。

  6. Active Directory で必要な Flexible Single Master Operation (FSMO) 役割を使用できるかどうかを確認します。 この手順は、次のシナリオで必要です。

    • 最新の Windows Server バージョンを実行する最初の DC を、既存のドメインとフォレストにインストールするには、インストールを実行するコンピューターから次の対象への接続が必要です。
      • adprep /forestprep を実行するスキーマ マスター
      • adprep /domainprep を実行するインフラストラクチャ マスター
    • フォレスト スキーマが既に拡張されているドメイン内で最初の DC をインストールする場合は、インフラストラクチャ マスターへの接続のみが必要になります。
    • 既存のフォレスト内でドメインをインストールまたは削除する場合は、ドメイン名前付けマスターへの接続が必要になります。
    • いずれの場合も、DC のインストールでは、RID マスターへの接続も必要です。
    • 既存のフォレスト内で最初の読み取り専用の DC をインストールするには、各アプリケーション ディレクトリ パーティション (ドメインでない名前付けコンテキストとも呼ばれます) について、インフラストラクチャ マスターへの接続が必要です。

    どの 1 つ以上のサーバーにどの FSMO 役割が保持されているかを確認するには、Domain Admins グループのメンバーであるアカウントを使用して、管理者特権の PowerShell セッションで次のコマンドを実行します。

    Get-ADDomain | FL InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | FL DomainNamingMaster, SchemaMaster

インストール操作と必要な管理レベル

次の表に、インストール操作と、これらの手順を実行するためのアクセス許可の要件の概要を示します。

インストール操作 資格情報の要件
新しいフォレストをインストールする。 ターゲット サーバーの Local Admin
既存のフォレスト内に新しいドメインをインストールする。 Enterprise Admins
既存のドメイン内に別の DC をインストールする。 Domain Admins
adprep /forestprep を実行します。 Schema Admins、Enterprise Admins、Domain Admins
adprep /domainprep を実行します。 Domain Admins
adprep /domainprep /gpprep. を実行します。 Domain Admins
adprep /rodcprep を実行します。 Enterprise Admins

サポートされる一括アップグレード パス

サポートされているのは 64 ビット バージョンのアップグレードのみです。 サポートされているアップグレード パスの詳細については、サポートされているアップグレード パスに関するページを参照してください。

Adprep - forestprep と domainprep

既存の DC のインプレース アップグレードの場合は、adprep /forestprepadprep /domainprep を手動で実行する必要があります。 新しいバージョンの Windows Server ごとに、フォレスト内で Adprep /forestprep を 1 回のみ実行する必要があります。 新しいバージョンの Windows Server ごとに、アップグレードする DC がある各ドメイン内で Adprep /domainprep を 1 回実行します。

DC になるように新しいサーバーを昇格させる場合は、これらのコマンド ライン ツールを手動で実行する必要はありません。 それらは PowerShell とサーバー マネージャーのエクスペリエンスに統合されています。

adprep の実行の詳細については、「Adprep の実行」を参照してください。

機能レベルの機能と要件

Windows Server 2019 以降には、Windows Server 2008 フォレストの機能レベルが最低限必要です。 Windows Server 2016 には、Windows Server 2003 フォレストの機能レベルが最低限必要です。 オペレーティング システムでサポートされているよりも古いフォレストの機能レベルを実行している DC がフォレストに含まれている場合、インストールはブロックされます。 それらの DC を削除し、サポートされているバージョンにフォレストの機能レベルを上げた後で、新しい Windows Server DC をフォレストに追加する必要があります。 サポートされている機能レベルの詳細については、「フォレストとドメインの機能レベル」を参照してください。

注意

Windows Server 2016 以降、新しいフォレストまたはドメインの機能レベルは追加されていません。 ドメイン コントローラーのためには、以降のオペレーティング システム バージョンを使用でき、また使用する必要があります。 それらは、最新の機能レベルとして Windows Server 2016 を使用します。

機能レベルをロールバックする

フォレストの機能レベルを特定の値に設定した後で、フォレストの機能レベルをロールバックしたり下げたりすることはできません。ただし、次の例外があります。

  • Windows Server 2012 R2 フォレストの機能レベルからアップグレードする場合は、Windows Server 2012 R2 にロールバックできます。
  • Windows Server 2008 R2 フォレストの機能レベルからアップグレードする場合は、Windows Server 2008 R2 にロールバックできます。

ドメインの機能レベルを特定の値に設定した後で、ドメインの機能レベルをロールバックしたり下げたりすることはできません。ただし、次の例外があります。

  • ドメインの機能レベルを Windows Server 2016 に上げるときに、フォレストの機能レベルが Windows Server 2012 以下である場合は、ドメインの機能レベルを Windows Server 2012 または Windows Server 2012 R2 にロールバックするオプションがあります。

各機能レベルで使用できる機能の詳細については、「フォレストとドメインの機能レベル」を参照してください。

Active Directory Domain Services の相互運用性

Active Directory Domain Services は、次の Windows オペレーティング システムではサポートされていません。

  • Windows MultiPoint Server
  • Windows Server Essentials

次のサーバー役割または役割サービスも実行するサーバーに、Active Directory Domain Services をインストールすることはできません。

  • Microsoft Hyper-V Server
  • リモート デスクトップ接続ブローカー

Windows Server の管理

Windows 10 以降用のリモート サーバー管理ツールを使用して、Windows Server を実行しているドメイン コントローラーや他のサーバーを管理します。 Windows 10 以降を実行しているコンピューターで Windows Server リモート サーバー管理ツールを実行できます。

新しいバージョンの Windows Server を使用して新しいドメイン コントローラーを追加する

次の例は、Contoso フォレストを以前のバージョンの Windows Server から新しいバージョンにアップグレードする方法を示しています。

  1. 新しい Windows Server をフォレストに追加します。 プロンプトが表示されたら再起動します。

    Screenshot of the Server Manager showing the Systems Properties and Computer Name/Domain Changes dialog boxes.

  2. Domain Admins アカウントを使用して新しい Windows Server にサインインします。

  3. [サーバー マネージャー][役割と機能の追加] で、新しい Windows Server に Active Directory Domain Services をインストールします。 この操作は、以前のバージョンのフォレストとドメインで adprep を自動的に実行します。

    Screenshot of the Select server roles page of the Add Roles and Features Wizard showing the Active Directory Domain Services option highlighted.

  4. [サーバー マネージャー] で、黄色い三角形を選択します。 ドロップダウンから、[Promote the server to a domain controller] (このサーバーをドメイン コントローラーに昇格する) を選択します。

    Screenshot of the Post-deployment Configuration progress dialog box with the Promote the server to a domain controller option called out.

  5. [展開構成] 画面で、[新しいドメインを既存のフォレストに追加] を選択し、[次へ] を選択します。

    Screenshot of the Deployment Configuration page of the Active Directory Domain Services Configuration Wizard showing the Add a new domain to an existing forest option selected.

  6. [ドメイン コントローラー オプション] 画面で、[ディレクトリ サービス復元モード (DSRM)] パスワードを入力し、[次へ] を選択します。

  7. 残りの画面では、[次へ] を選択します。

  8. [前提条件の確認] 画面で、[インストール] を選択します。 再起動が完了したら、もう一度サインインします。

  9. 以前のバージョンの Windows Server の [サーバー マネージャー][ツール] で、[Windows PowerShell 用 Active Directory モジュール] を選択します。

    Screenshot of the Tools drop-down list in the Server Manager with the Active Directory Module for Windows PowerShell option called out.

  10. PowerShell ウィンドウで、Move-ADDirectoryServerOperationMasterRole コマンドレットを使用して、FSMO 役割を移動します。 それぞれの操作マスターの役割の名前を入力するか、番号を使用して役割を指定することができます。 詳細については、「Move-ADDirectoryServerOperationMasterRole」を参照してください。

    Move-ADDirectoryServerOperationMasterRole -Identity "DC-W2K16" -OperationMasterRole 0,1,2,3,4

    Screenshot of the Active Directory Module for Windows PowerShell window showing the results of the Move-ADDirectoryServerOperationMasterRole cmdlet.

  11. 役割が移動されたことを確認するには、新しい Windows Server に移動します。 [サーバー マネージャー][ツール] で、[Windows PowerShell 用 Active Directory モジュール] を選択します。 Get-ADDomainGet-ADForest のコマンドレットを使用して、FSMO 役割所有者を表示します。

    Screenshot of the Active Directory Module for Windows PowerShell window showing the results of the Get-ADDomain cmdlet with the Infrastructure Master, P D C Emulator, and R I D Master values called out.

    Screenshot of the Active Directory Module for Windows PowerShell window showing the results of the Get-ADForest cmdlet with the Domain Naming Master and Schema Master values called out.

  12. 以前の Windows Server DC を降格させて削除します。 DC を降格させる方法については、「ドメイン コントローラーとドメインの降格」を参照してください。

  13. サーバーを降格させて削除した後で、最新バージョンの Windows Server になるようにフォレストの機能レベルとドメインの機能レベルを上げることができます。

次の手順