Active Directoryフォレストの機能レベルを上げる方法
機能レベルとは何ですか?
Active Directoryの機能レベルによって、特定のフォレストまたはドメインで使用できるActive Directoryドメインサービス(AD DS)の機能が決まります。 各バージョンの更新によって新しいAD DS機能のホストがもたらされるため、機能レベルはWindows Serverのバージョンで指定されます。 機能レベルは、その機能が以前の機能レベルと下位互換性がないため、指定する必要があります。
機能レベルは二つのタイプに分類されます:
-
森林機能レベル(FFL)
-
ドメイン機能レベル(DFL)
フォレストの機能レベル(FFL)
フォレストの機能レベルによって、フォレストで有効になっているAD DSの機能が決まります。 FFLを上げると、フォレスト内のすべてのドメインコントローラー(DC)の機能が向上します。 例えば、Windowsサーバー2016年は前のバージョンのすべての機能性と共に特権アクセス管理(PAM)の機能性を持って来ました。
森林の機能レベルを確認するには?
次の手順に従って、フォレストの機能レベルを表示できます:
-
管理ツールを起動して開くに移動します
-
Active Directoryドメインと信頼に移動します
-
ルートドメインを右クリックし、プロパティに移動します
-
[全般]タブでは、フォレストとドメインの機能レベルを確認できます
PowerShellを使用してフォレストの機能レベルを検索する
You can find the Forest Functional Level of your domain using the following PowerShell command:
フォレストの機能レベルを選択する
AD DSを展開すると、フォレストの機能レベルを選択す フォレストの機能レベルを選択するときは、ドメインの機能レベルがフォレストの機能レベル以上と同じである必要があることに注意してくださ このフォレストに追加された新しいドメインは、既定でフォレストの機能レベルを使用します。
フォレストの機能レベルを上げる方法
いずれかの時点で、フォレストの機能レベルを変更する必要がある場合は、以下の手順に従って行うことができます。 たとえば、フォレストの機能レベルを2012R2から2016に上げたい場合は、次のようにします:
-
管理ツールを起動して開くに移動します
-
Active Directoryドメインと信頼に移動します
-
左側のペインで、Active Directoryドメインと信頼を右クリックし、フォレストの機能レベルを上げるを選択します。
-
利用可能なフォレストの機能レベルの一覧が表示されます。 必要な機能レベルを選択します。 この場合は、Windows Server2016を選択します。
-
[レイズ]をクリックします。
-
警告メッセージが表示されます。 メッセージを読み、”OK”をクリックします。
-
確認ダイアログボックスでOKをクリックします。
フォレストの機能レベルを上げる前に注意すること
フォレストの機能レベルを上げると、フォレストは新しく改良されたAD DS機能にアクセ しかし、すべてのシステムが機能し続けるように、機能レベルを上げる前に注意すべきこともあります。
まず、フォレスト内のすべてのDcが、使用するフォレストの機能レベル以上と同じWindows serverバージョンを実行していることを確認する必要があります。 そうでない場合は、それらのDcを特定し、必要に応じてWindows Serverバージョンをアップグレードするか、降格します。 また、ドメインの機能レベルが、意図したフォレストの機能レベルと同じかそれ以上であることを確認する必要があります。
次に、レプリケーションがフォレスト内で正常に動作しているかどうかを確認してください。
最後に、より高いフォレストの機能レベルへのシームレスな移行を確実にするために、組織のすべてのエンタープライズアプリケーションおよびサービスが、
これらの手順は、選択したより高い機能レベルへのスムーズなアップグレードを保証し、アップグレードプロセスの後に厄介な驚きを持つことはありません。
Active Directory機能レベルの依存関係
Active Directoryフォレストの機能レベルには、次の依存関係があります:
- ネットワーク内のすべてのドメインコントローラー(Dc)が1つのWindows Serverバージョンを実行している場合、同じフォレストの機能レベルをサポートするようにActive Directory フォレストで高度なActive Directory機能を提供するには、管理者がフォレストの機能レベルを上げる必要があります。
- フォレストの機能レベルを上げた後、以前のバージョンのWindows Serverを実行しているドメインコントローラー(Dc)をフォレストに追加することはできません。
ドメインまたはフォレストの機能レベルを最初に上げますか?
フォレストの機能レベルは、フォレスト内のすべてのDcが動作する最小機能レベルも指定します。 下位バージョンのWindows serverで実行されるDCは、DCの位置から降格されます。 ただし、この制限はDcにのみ適用されます。 フォレスト内のメンバーサーバーとワークステーションは影響を受けません。 したがって、ベストプラクティスは、最初にドメインの機能レベルを上げてから、フォレストの機能レベルを上げることです。 ただし、フォレストの機能レベルを上げると、ドメインの機能レベルも自動的に上昇します。
ドメインの機能レベルを上げる方法を読んでください。
機能レベルに応じたアクセス可能な機能
フォレストの機能レベルを上げる前に、各機能レベルがテーブルにもたらす機能を理解して、情報に基づ 各機能レベルは、前のものの機能を引き継ぎ、上に追加の機能を追加します。 他の人が大規模な改善をもたらしながら、いくつかのレベルは、任意の主要な機能を導入していません。 各機能の可用性は、active directoryフォレストの機能レベルを決定するものです。 理解を深めるために、各Windows Serverバージョンで導入されたすべての機能の分割を次に示します。
| フォレストの機能レベル | 利用可能な機能 |
|---|---|
| Microsoft Identity Manager(MIM)を使用したWindows Server2016 | 特権アクセス管理(PAM)) |
| Windows Server2012R2 | Windows Server2012FFLのすべての利用可能な機能 |
| Windows Server2012 | Windows Server2008R2FFLのすべての利用可能な機能 |
| Windows Server2008R2 | Active Directoryごみ箱windows Server2003FFL |
| Windows Server2008 | Windows Server2003FFLで使用可能なすべての機能 |
| Windows Server2003 | Forest trustDomain renameLinked-value replicationAbility読み取り専用DC(RODC)を展開するための知識整合性チェッカー(KCC)アルゴリズムとscalabilityCreationドメインディレクトリ内のdynamicObjectという名前の動的補助クラ schemaDomainベースのDFS namespacesAll既定のAD DS機能での属性とクラスの再定義 |
| Windows2000ネイティブ | すべての既定のAD DS機能 |