Active Directory の機能レベルを上げる際の影響について
こんにちは。Windows プラットフォームサポートの進藤です。
Windows Server 2003 のフォレストとドメインの機能レベルは既に廃止予定となっており、将来リリースされる Windows Server ではサポートされない可能性があります。そのため、今後機能レベルを上げることをご検討されるお客様も多くいらっしゃるのではないかと思いますので、今回は、Active Directory のフォレストやドメインの機能レベルを上げる際の影響について纏めました。
1. 機能レベルを上げることで何が変わるのか
2. 機能レベルを上げる際の前提条件と準備事項
3. 機能レベルを上げる際に注意するべき点
1. 機能レベルを上げることで何が変わるのか
フォレストやドメインの機能レベルを上げることにより、Active Directory で新しい機能を利用できるようになります。利用できる機能が拡張されますが、既存の設定が変更されることはありません。また、機能レベルを上げることで Exchange Server や SharePoint、Lync Server などのアプリケーションの機能を変更することもありません。
各機能レベルで利用できるようになる機能は、下記の技術情報で説明しています。
フォレストとドメインの機能レベル
/ja-jp/windows-server/identity/ad-ds/active-directory-functional-levels
2. 機能レベルを上げる際の前提条件と準備事項
機能レベルを上げる際の前提条件および準備事項は次の通りです。
前提条件
・ドメインの機能レベルを上げるには、Domain Admins グループのメンバーで作業を行う必要があります。また、フォレストの機能レベルを上げるには、Enterprise Admins グループのメンバで作業を行う必要があります。
・ドメインの機能レベルを、フォレストの機能レベルよりも低い値に設定することはできません。フォレストの機能レベルを上げる前に各ドメインの機能レベルをフォレストの機能レベルよりも上げておく必要があります。
・過去にネットワークから切り離した、もしくは、強制降格を行ったような、古いドメイン コントローラーの情報がドメインに残っている場合は、事前に、Metadata Cleanup によりメタデータを削除することをお奨めします。ドメイン コントローラーの情報が残っていることにより、機能レベルの昇格に失敗する場合があります。
・フォレストおよびドメインの機能レベルを上げる作業は、フォレスト間の信頼関係で結んでいるドメインの機能レベルやドメイン コントローラーの OS のバージョンの影響は受けません。
準備事項 (バックアップ)
一部のパターンを除き、基本的にドメインやフォレストの機能レベルを上げると元に戻すことはできません。通常は機能レベルを上げることで影響がでることはありませんが、不測の事態に備えて、作業前にドメイン コントローラーでシステム状態のバックアップを取得することを推奨します。
機能レベルの変更はフォレスト全体で情報が更新されるため、機能レベルを上げる前の状態に戻すためには、全てのドメイン コントローラーをバックアップからリストアする必要があります。すべてのドメイン コントローラーでバックアップを取得することが理想的ですが、台数が多い場合などの理由から全台での対応が難しい場合には、FSMO および、各ドメインのドメイン コントローラー最低 1 台でバックアップを取得するなどの対応をお願いします。
機能レベルをロールバックバックできるパターンは、下記の資料の文末にある一覧をご覧ください。
Understanding Active Directory Domain Services (AD DS) Functional Levels
/en-us/windows-server/identity/ad-ds/plan/security-best-practices/understanding-active-directory-domain-services--ad-ds--functional-levels
3. 機能レベルを上げる際に注意するべき点
最後に機能レベルを上げるときに注意していただくべき事項を説明します。機能レベルを上げる際は、下記の 3 点についてご注意ください。
・ドメインの機能レベルを Windows Server 2008 以降に上げる際の影響
・ドメインの機能レベルを Windows Server 2008 R2 以降に上げる際の影響
・FRS のサポート終了
※ フォレストの機能レベルを上げたことで問題が生じた報告は確認していません。
※ ドメインの機能レベルを Windows Server 2016 へ上げることで問題が生じた報告は確認していません。
・ドメインの機能レベルを Windows Server 2008 以降に上げる際の影響
ドメインの機能レベルを Windows Server 2008 以降に上げることにより、稀に認証に失敗する場合があることを確認しています。(すでにドメインの機能レベルが Windows Server 2008 以上となっている環境では、本影響を受けることはありません。今後、Windows Server 2008 以降に上げることを計画されている場合に該当します)
ドメインの機能レベルを Windows Server 2008 以降に上げることにより、Kerberos 認証において AES 暗号化方式が利用されるようになります。各ドメイン コントローラーでは複製によりドメインの機能レベルが上がったことを受信すると、Kerberos 認証で AES に対応する変更処理が行われます。しかしながら、認証処理を行っているコンポーネントである LSASS が重要な処理を行っている場合には変更処理を受け付けないため、一部のドメイン コントローラーではパスワードが変更されないといった現象が稀に発生する場合があります。その結果、そのドメイン コントローラーへ Kerberos 認証が行わると認証に失敗する現象が発生することがあります。
問題が発生した場合、対象のドメイン コントローラーの OS を再起動する、もしくは、"Kerberos Key Distribution Center" サービスを再起動することで本現象を解消させることができます。
[予防策]
ドメインの機能レベルを Windows Server 2008 以降に昇格した後に以下の作業を実施していただくことで、上記の問題を未然に防ぐことができます。
Step 1. 機能レベルのレプリケート
FSMO の役割を持つドメイン コントローラーにて、コマンド プロンプトで以下のコマンドを実行し、機能レベルが変更された情報をフォレスト内の全てのドメイン コントローラーに複製させます。
repadmin /syncall /eAP
Step 2. KDC サービスの再起動
FSMO から機能レベルの変更情報が複製された後、 全てのドメイン コントローラー (FSMO を含む) にて、コマンド プロンプトで以下のコマンドを実行し、"Kerberos Key Distribution Center" サービスの再起動を行います。
net stop kdc && net start kdc
- 参考資料
下記の技術情報に上記の機能レベルを Windows Server 2008 以降に変更した場合に生じる問題について記載しています。
Understanding Active Directory Domain Services (AD DS) Functional Levels
/en-us/windows-server/identity/ad-ds/plan/security-best-practices/understanding-active-directory-domain-services--ad-ds--functional-levels
--------------------------
(抜粋)
Authentication errors may occur on a domain controller after the domain functional level is raised to Windows Server 2008 or higher if the domain controller has already replicated the DFL change but has not yet refreshed the krbtgt password. In this case, a restart of the KDC service on the domain controller will trigger an in-memory refresh of the new krbtgt password and resolve related authentication errors.
--------------------------
ドメインの機能レベルを Windows 2003 から引き上げる場合の注意点
https://blogs.technet.microsoft.com/exchangeteamjp/2015/03/04/windows-2003/
・ドメインの機能レベルを Windows Server 2008 R2 以降に上げる際の影響
独自開発されたアプリケーションで .Net Framework 3.5 SP1 およびそれ以前のバージョンで Domain.DomainMode プロパティを使用している場合に、DomainMode 列挙体の定義 に Windows2008R2Domain が無いためにエラーが発生します。ドメインの機能レベルを参照するような独自開発されたアプリケーションがある場合は、本条件に合致するものがないかご確認ください。Hotfix が必要な場合は弊社サポート サービスへお問い合わせください。
本現象は下記の技術情報で掲載しています。
FIX: "The requested mode is invalid" error message when you run a managed application that uses the .NET Framework 3.5 SP1 or an earlier version to access a Windows Server 2008 R2 domain or forest
https://support.microsoft.com/kb/2260240/en-us
- 参考資料
DomainMode 列挙体
https://msdn.microsoft.com/ja-jp/library/system.directoryservices.activedirectory.domainmode(v=vs.90).aspx
Raising the functional level to Windows 2012 or Windows 2012 R2… Will I break anything? https://blogs.technet.microsoft.com/pie/2014/10/29/raising-the-functional-level-to-windows-2012-or-windows-2012-r2-will-i-break-anything/
・FRS のサポート終了
現行の Windows Server 2016 は SYSVOL 複製方式として FRS がサポートされていますが、次期リリースの Windows Server 2016 RS3 では FRS を利用しているドメインに Active Directory のドメイン コントローラーとして追加することができません。
そのため、将来的に Windows Server 2016 RS3 をドメイン コントローラーとして追加するためには、事前にドメインの機能レベルを Windows Server 2008 以上に上げて、SYSVOL 複製方式を FRS から DFSR へ移行する必要があります。
FRS から DRSR への移行方法は、下記のブログ記事にて詳細に説明しています。
FRS から DFSR への移行 (SYSVOL) https://blogs.technet.com/b/jpntsblog/archive/2009/12/04/frs-dfsr-sysvol.aspx
- 参考資料
Windows Server 2016 RS3 no longer supports FRS
https://support.microsoft.com/en-us/help/4025991/windows-server-2016-rs3-no-longer-supports-frs
NTFRS の廃止は、Windows Server 2016 RS3 レプリカ ドメイン コント ローラーのインストールを意図的にブロックします。
https://support.microsoft.com/ja-jp/help/4023141/ntfrs-deprecation-intentionally-blocks-the-installation-of-windows-ser