Windows Server 2003 でドメインの機能レベルおよびフォレストの機能レベルを上げる方法

この資料では、Microsoft Windows Server 2003 ドメイン コントローラでサポートされているドメインとフォレストの機能レベルを上げる方法について説明します。機能レベルは、Microsoft Windows 2000 で導入された混在モードとネイティブ モードの概念の拡張で、ドメインまたはフォレスト内のすべてのドメイン コントローラが Windows Server 2003 オペレーティング システムを実行している状態になってから新しい Active Directory 機能をアクティブにするためのものです。コンピュータに Windows Server 2003 をインストールしてドメイン コントローラに昇格すると、Windows Server 2003 オペレーティング システムによって、Windows 2000 での機能に代わって新しい Active Directory 機能がアクティブになります。ドメインまたはフォレスト内のすべてのドメイン コントローラで Windows Server 2003 を実行していて、管理者がドメインまたはフォレストで対応する機能レベルをアクティブにしている場合に、さらにその他の Active Directory 機能を使用できます。

新しいドメイン機能をアクティブにするには、ドメイン内のすべてのドメイン コントローラで Windows Server 2003 を実行している必要があります。この条件を満たすと、管理者はドメインの機能レベルを Windows Server 2003 に上げることができます。

新しいフォレスト全体の機能をアクティブにするには、フォレスト内のすべてのドメイン コントローラで Windows Server 2003 を実行していて、現在のフォレストの機能レベルが Windows 2000 ネイティブ レベルまたは Windows Server 2003 ドメイン レベルである必要があります。この条件を満たすことにより、管理者はドメインの機能レベルを上げることができます。

注 : ネットワーク クライアントは、Windows Server 2003 のドメイン機能レベルまたはフォレスト機能レベルの影響を受けることなく、ドメインまたはフォレスト内での認証またはリソースへのアクセスを行うことができます。これらの機能レベルが影響するのは、ドメイン コントローラどうしの間の処理方法のみです。

ドメインの機能レベル

ドメインの機能レベルによってアクティブになる機能の適用範囲は、そのドメイン全体と、次のいずれかのドメイン内に限られます。それぞれ、後に記載されているレベルには、それより前に記載されているドメイン レベルでアクティブになる機能が含まれます。 4 つのドメインの機能レベルと、それぞれに対応する機能、およびサポートされるドメイン コントローラを以下に示します。

Windows 2000 混在 (デフォルト)

• サポートされるドメイン コントローラ : Microsoft Windows NT 4.0、Windows 2000、Windows Server 2003
• アクティブになる機能 : ローカル グループおよびグローバル グループ、グローバル カタログ サポート。

Windows 2000 ネイティブ

• サポートされるドメイン コントローラ : Windows 2000、Windows Server 2003
• アクティブになる機能 : グループの入れ子、ユニバーサル グループ、SidHistory、セキュリティ グループと配布グループ間の変換。フォレスト レベルの設定を上げることによってドメインのレベルを上げることができます。

Windows Server 2003 中間

• サポートされるドメイン コントローラ : Windows NT 4.0、Windows Server 2003
• サポートされる機能 : このレベルでは、ドメイン全体で有効になる機能はありません。フォレスト レベルが中間に上がると、フォレスト内のすべてのドメインが自動的にこのレベルまで上がります。このモードは、Windows NT 4.0 ドメインのドメイン コントローラを Windows Server 2003 ドメイン コントローラにアップグレードした場合にのみ使用されます。

Windows Server 2003

• サポートされるドメイン コントローラ : Windows Server 2003
• サポートされる機能 : ドメイン コントローラ名の変更、ログオン タイムスタンプ属性の更新とレプリケート。InetOrgPerson オブジェクト クラスでのユーザー パスワードのサポート。制約付き委任により、[Users] と [Computers] コンテナをリダイレクトできます。

Windows NT 4.0 からアップグレードされたドメイン、または Windows Server 2003 ベースのコンピュータの昇格によって作成されたドメインは、Windows 2000 混在機能レベルで動作します。Windows 2000 ドメイン コントローラが Windows Server 2003 オペレーティング システムにアップグレードされても、Windows 2000 ドメインの機能レベルは変更されません。この場合、ドメインの機能レベルを Windows 2000 ネイティブまたは Windows Server 2003 に上げることができます。

ドメインの機能レベルを上げると、以前のバージョンのオペレーティング システムを実行しているドメイン コントローラをドメインに追加できなくなります。たとえば、ドメインの機能レベルを Windows Server 2003 に上げた場合、Windows 2000 Server を実行しているドメイン コントローラをそのドメインに追加することはできません。

フォレストの機能レベル

フォレストの機能レベルは、フォレスト内のすべてのドメインで機能をアクティブにします。3 つのフォレストの機能レベルと、それぞれに対応する機能、およびサポートされるドメイン コントローラを以下に示します。

Windows 2000 (デフォルト)

• サポートされるドメイン コントローラ : Windows NT 4.0、Windows 2000、Windows Server 2003
• 新しい機能 : ユニバーサル グループ キャッシュを含む部分リスト、アプリケーション パーティション、メディアからのインストール、クォータ、迅速なグローバル カタログの降格、Jet データベース エンジンでのシステム アクセス制御リスト (SACL) 用の Single Instance Store (SIS)、トポロジ生成イベント ログの強化。部分的な属性セット (PAS) への属性追加時にグローバル カタログの完全同期を実行しません。Windows Server 2003 ドメイン コントローラは、サイト間トポロジ ジェネレータ (ISTG) の役割を果たします。

Windows Server 2003 中間

• サポートされるドメイン コントローラ : Windows NT 4.0、Windows Server 2003
  この資料の「Windows NT 4.0 ドメインからのアップグレード」を参照してください。
• アクティブになる機能 : Windows 2000 の機能および、リンク値レプリケーションを使用した効率的なグループ メンバ レプリケーション、レプリケーション トポロジ生成の強化。ISTG Aliveness がレプリケートされることはありません。グローバル カタログに以下の属性が追加されています。
  ms-DS-Trust-Forest-Trust-Info、Trust-Direction、Trust-Attributes、Trust-Type、Trust-Partner、Security-Identifier、ms-DS-Entry-Time-To-Die、Message Queuing-Secured-Source、Message Queuing-Multicast-Address、Print-Memory、Print-Rate、Print-Rate-Unit

Windows Server 2003

• サポートされるドメイン コントローラ : Windows Server 2003
• アクティブになる機能 : 中間レベルのすべての機能、スキーマ オブジェクトの非アクティブ化、フォレストを越えた信頼、ドメイン名の変更、動的な補助型クラス、InetOrgPerson オブジェクト クラスの変更、アプリケーション グループ。Windows 2000 からアップグレードされた Windows Server 2003 ドメイン コントローラでは 15 秒間隔でサイト内レプリケーションを実行します。

フォレストの機能レベルを上げると、以前のバージョンのオペレーティング システムを実行しているドメイン コントローラをフォレストに追加できなくなります。たとえば、フォレストの機能レベルを Windows Server 2003 に上げた場合、Windows NT 4.0 または Windows 2000 Server を実行しているドメイン コントローラをそのフォレストに追加することはできません。

中間レベル - Windows NT 4.0 ドメインからのアップグレード

Windows Server 2003 の Active Directory では、Windows Server 2003 中間という名前の特殊なフォレストとドメインの機能レベルを使用できます。この機能レベルは、既存の Windows NT 4.0 ドメインをアップグレードした後にも、1 つまたは複数の Windows NT 4.0 バックアップ ドメイン コントローラ (BDC) を機能させる必要がある場合のために用意されています。このモードでは Windows 2000 ドメイン コントローラはサポートされていません。Windows Server 2003 中間は、以下の状況に適しています。

• ドメインを Windows NT 4.0 から直接 Windows Server 2003 にアップグレードします。
• Windows NT 4.0 の BDC をすぐにアップグレードしません。
• Windows NT 4.0 ドメインに、Domain Users グループ以外で、メンバ数が 5,000 を超えるグループがあります。
• どの時点でも、フォレスト内に Windows 2000 ドメイン コントローラを実装する計画がありません。

Windows Server 2003 中間では、Windows NT 4.0 の BDC へのレプリケーションを維持したうえで、以下の 2 つの重要な機能が強化されています。

1. セキュリティ グループの効率的なレプリケーション、メンバ数が 5,000 を超えるグループのサポート
2. 知識整合性チェッカー (KCC) サイト内トポロジ ジェネレータ アルゴリズムの強化

中間レベルでは効率的なグループ レプリケーションをアクティブにできるため、Windows NT 4.0 のアップグレードにはこのレベルをお勧めします。詳細については、この資料の「最適な方法」を参照してください。

フォレストの機能レベルを Windows Server 2003 中間に設定する

Windows Server 2003 中間をアクティブにするには、3 種類の方法がありますが、最初の 2 つの方法を使用することを強くお勧めします。これは、Windows NT 4.0 ドメインのプライマリ ドメイン コントローラ (PDC) を Windows Server 2003 ドメイン コントローラにアップグレードした後、セキュリティ グループではリンク値レプリケーション (LVR) が使用されるためです。3 番目の方法では、セキュリティ グループのメンバシップで複数の値を持つ単一の属性が使用されることにより、レプリケーションの問題が発生する可能性があるため、次善の方法として使用してください。Windows Server 2003 中間をアクティブにする方法を以下に示します。

1. アップグレード中
   
   新しいフォレストのルート ドメインで最初のドメイン コントローラとして機能する、Windows NT 4.0 ドメインの PDC をアップグレードする際に、Dcpromo インストール ウィザードにオプションが表示されます。
2. LDAP (Lightweight Directory Access Protocol) ツールを使用してフォレストの機能レベルを手動で構成することにより、既存のフォレスト内で新しいドメインの最初のドメイン コントローラとして機能する Windows NT 4.0 ドメインの Windows NT 4.0 PDC をアップグレードする前
   
   子ドメインは、昇格するフォレストからフォレスト全体の機能設定を継承します。Ldp.exe ファイルまたは Adsiedit.msc ファイルを使用してフォレストの機能レベルを中間に構成した、既存の Windows Server 2003 フォレストで、Windows NT 4.0 ドメインの PDC を子ドメインとしてアップグレードすると、OS バージョンのアップグレード後にセキュリティ グループでリンク値レプリケーションが使用されます。
3. LDAP ツールによるアップグレード後
   
   後の 2 つの方法は、アップグレード中に既存の Windows Server 2003 フォレストに参加する場合に使用します。通常、これらの方法は空のルート ドメインが作成されている場合に使用します。アップグレードされたドメインは、空のルートの子ドメインとして参加し、フォレストからドメインの設定を継承します。

ドメインの機能レベルを上げる

注意 : Windows NT 4.0 またはそれ以前のドメイン コントローラがある場合 (または今後追加する予定がある場合) は、ドメインの機能レベルを上げないでください。ドメインの機能レベルを Windows 2000 ネイティブまたは Windows Server 2003 に上げると、Windows 2000 混在ドメインに戻すことはできません。

1. ドメイン管理者の資格情報を使用してドメインの PDC にログオンします。
2. [スタート] ボタンをクリックし、[管理ツール] をポイントして、[Active Directory ドメインと信頼関係] をクリックします。
3. コンソール ツリーで、機能レベルを上げるドメインを右クリックし、[ドメインの機能レベルを上げる] をクリックします。
4. [利用可能なドメインの機能レベルを選択してください] で、次のいずれかの手順を実行します。
   • [Windows 2000 ネイティブ] をクリックしてから [上げる] をクリックし、ドメインの機能レベルを Windows 2000 ネイティブに上げます。
     
     または
   • [Windows Server 2003] をクリックしてから [上げる] をクリックして、ドメインの機能レベルを Windows Server 2003 に上げます。
   注 : Active Directory ユーザーとコンピュータ MMC スナップインに表示されるドメインを右クリックし、[ドメインの機能レベルを上げる] をクリックすることによってドメインの機能レベルを上げることも可能です。ドメインの機能レベルを上げるには、Domain Admins グループのメンバである必要があります。
   
   [ドメインの機能レベルを上げる] ダイアログ ボックスの [現在のドメインの機能レベル] に、現在のドメインの機能レベルが表示されます。レベルを上げる処理は PDC FSMO で実行されるため、ドメイン管理者である必要があります。

フォレストの機能レベルを上げる

注意 : Windows NT 4.0 または Windows 2000 を実行しているドメイン コントローラがある場合 (または今後追加する予定がある場合) は、フォレストの機能レベルを上げないでください。フォレストの機能レベルを Windows Server 2003 に上げると、Windows 2000 フォレスト レベルに戻すことはできません。

1. Enterprise Admins グループのメンバであるユーザー アカウントを使用して、フォレストのルート ドメインの PDC にログオンします。
2. Active Directory ドメインと信頼関係スナップインを開きます。[スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[管理ツール] をポイントし、[Active Directory ドメインと信頼関係] をクリックします。
3. コンソール ツリーで、[Active Directory ドメインと信頼関係] を右クリックし、[フォレストの機能レベルを上げる] をクリックします。
4. [利用可能なフォレストの機能レベルを選択してください] で、[Windows Server 2003] をクリックし、[上げる] をクリックします。
   
   注 : フォレストの機能レベルを上げるには、フォレスト内に存在するすべての Windows 2000 ドメイン コントローラをアップグレード (または降格) する必要があります。
   
   フォレストの機能レベルを上げることができない場合は、[フォレストの機能レベルを上げる] ダイアログ ボックスの [名前を付けて保存] をクリックしてログ ファイルを保存し、そのログ ファイルを利用して、フォレスト内で Windows NT 4.0 または Windows 2000 からアップグレードする必要がある、ドメイン コントローラを確認することができます。
   
   フォレストの機能レベルを上げることができないことを示すメッセージが表示された場合、[名前を付けて保存] をクリックすることで生成されたレポートを使用して、レベルを上げるために必要な条件を満たしていないすべてのドメインとドメイン コントローラを確認します。
   
   [フォレストの機能レベルを上げる] ダイアログ ボックスの [現在のフォレストの機能レベル] に、現在のフォレストの機能レベルが表示されます。フォレストの機能レベルが正常に上がり、ドメイン内の PDC にレプリケートされると、各ドメインの PDC ではそれぞれのドメインのレベルが現在のフォレストのレベルまで自動的に上がります。レベルを上げる処理は、スキーマ FSMO で実行されるため、エンタープライズ管理者の資格情報が必要です。

機能レベルを手動で表示および設定する

Ldp.exe や Adsiedit.msc などの LDAP ツールを使用して、現在のドメインとフォレストの機能レベル設定の確認および変更を行うことができます。属性を手動で変更する場合、実際には変更内容は FSMO の役割を持つドメイン コントローラに書き込まれてからレプリケートされるため、レベルを上げる操作は FSMO の役割を持つドメイン コントローラに対して行うことをお勧めします。

フォレストのレベル設定

CN=Partitions, CN=Configuration, DC=ForestRootDom, DC=tld オブジェクトの msDS-Behavior-Version 属性を以下のように設定します。

• 値が 0 または設定されていない : 混在レベル フォレスト
• 値が 1 : Windows Server 2003 中間フォレスト レベル
• 値が 2 : Windows Server 2003 フォレスト レベル
  
  注 : ADSI Edit を使用して msDS-Behavior-Version 属性を 0 から 1 に変更すると、次のエラー メッセージが表示されます。
  この変更操作は無効です。変更の一部は許可されていません。

[OK] をクリックして続行します。パーティション コンテナとドメイン ヘッドの属性は正常にレベルが上がります。Ldp.exe を使用する場合、エラー メッセージは表示されません。上記のエラー メッセージは無視しても問題ありません。レベルが正常に上がったことを確認するには、属性の一覧を更新し、現在の設定をチェックします。FSMO の権限を持つドメイン コントローラで既にレベルを上げていて、ローカル ドメイン コントローラにレプリケートされていない場合にも、このエラー メッセージが表示されることがあります。

ドメインの機能レベルの設定

各ドメインの DC=Mydomain, DC=ForestRootDom, DC=tld オブジェクトの NC ヘッド ルートにある msDS-Behavior-Version 属性を以下のように設定します。

• 値が 0 または設定されていない : 混在レベル ドメイン
• 値が 1 : Windows Server 2003 ドメイン レベル
• 値が 2 : Windows Server 2003 ドメイン レベル

混在モードまたはネイティブ モードの設定

各ドメインの DC=Mydomain, DC=ForestRootDom, DC=tld オブジェクトの NC ヘッド ルートにある nTMixedDomain 属性を以下のように設定します。

• 値が 0 : ネイティブ レベル ドメイン
• 値が 1 : 混在レベル ドメイン

Ldp.exe ファイルを使用して現在の設定をすばやく表示する

1. Ldp.exe を起動します。
2. [Connection] メニューの [Connect] をクリックします。
3. 照会するドメイン コントローラを [Server] に入力するか、空白のままにして [OK] をクリックし、ドメイン コントローラに接続します。

接続されると、ドメイン コントローラの RootDSE 情報が表示されます。この情報には、フォレスト、ドメイン、およびドメイン コントローラの情報が含まれます。以下に、Windows Server 2003 ドメイン コントローラの例を示します。ドメイン モードは Windows Server 2003、フォレスト モードは Windows 2000 です。

注 : ドメイン コントローラの機能レベルは、ドメイン コントローラが動作している機能レベルではなく、そのドメイン コントローラに適用可能な最も高い機能レベルを示します。

• 1> domainFunctionality: 2=(DS_BEHAVIOR_WIN2003);
• 1> forestFunctionality: 0=(DS_BEHAVIOR_WIN2000);
• 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003);

機能レベルを手動で変更する場合の必要条件

• domainDNS オブジェクトの msdsBehaviorVersion 属性の値をプログラムで直接変更することによってドメインの機能レベルが 2 (Windows Server 2003) に上がっている場合、または、Ldp.exe ユーティリティや Adsiedit.msc ユーティリティを使用してドメインの機能レベルが 2 に上がっている場合は、ドメインの機能レベルを上げる前にドメインをネイティブ モードに変更する必要はありません。
• Windows Server 2003 Service Pack 1 (SP1) では、domainDNS オブジェクトの msdsBehaviorVersion 属性の値をプログラムで直接変更することによってドメインの機能レベルが 2 (Windows Server 2003) に上がっている場合、または、Ldp.exe ユーティリティや Adsiedit.msc ユーティリティを使用してドメインの機能レベルが 2 に上がっている場合は、ドメインの機能レベルを上げる前にドメインをネイティブ モードに変更する必要があります。Windows Server 2003 Service Pack 1 (SP1) でドメインの機能レベルを上げる前にドメインをネイティブ モードに変更しなかった場合、操作が正常に完了せず、以下のエラー メッセージが表示されます。
  SV_PROBLEM_WILL_NOT_PERFORM
  ERROR_DS_ILLEGAL_MOD_OPERATION
  また、Directory Services ログに次のメッセージが出力されます。
  
  ドメインが混在モードであるため、Active Directory は次のドメインの機能レベルを更新できませんでした。
  
  この場合、Active Directory ユーザーとコンピュータ MMC スナップインまたは Active Directory ドメインと信頼関係 MMC スナップインのユーザー インターフェイスを使用するか、domainDNS オブジェクトの ntMixedDomain 属性の値をプログラムでゼロ (0) に設定することによってドメインのモードをネイティブ モードに変更することができます。この処理を使用してドメインの機能レベルを 2 (Windows Server 2003) に変更すると、ドメインのモードは自動的にネイティブ モードに変更されます。
• 混在モードからネイティブ モードに移行すると、Schema Administrators セキュリティ グループおよび Enterprise Administrators セキュリティ グループのスコープがユニバーサル グループに変更されます。これらのセキュリティ グループがユニバーサル グループに変更されると、システム イベント ログに以下のメッセージが出力されます。

  種類 : 情報
  ソース : SAM
  イベント ID : 16408
  コンピュータ : Server Name
  説明 : ドメインの操作モードがネイティブ モードに変更されています。この変更を戻すことはできません。

• Windows Server 2003 の管理ツールを使用してドメインの機能レベルを移行すると、ntmixedmode 属性および msdsBehaviorVersion 属性が両方とも正しい順序で変更されます。ただし、ドメインの機能レベルを制御する msdsBehaviorVersion 属性が手動またはプログラムによって 2 に設定され、次にフォレストの機能レベルが何らかの方法で 2 に設定された場合、ネイティブ モードは暗黙的に 2 に設定されますが、Schema administrators セキュリティ グループおよび Enterprise Administrators セキュリティ グループのスコープはユニバーサル グループに変更されません。Windows Server 2003 SP1 がインストールされたドメイン コントローラでは、ネイティブ モードになるまでフォレストの機能レベルの移行は行えず、すべてのドメインについてセキュリティ グループのスコープを変更する必要があります。
• ドメインがネイティブ モードの場合は、domainDNS オブジェクトの msdsBehaviorVersion 属性は変更できません。この場合、ドメインがネイティブ モードであることを確認し、次に domainDNS オブジェクトの ntMixedDomain 属性の値をゼロ (0) に変更することによって、domainDNS オブジェクトの msdsBehaviorVersion 属性を変更できるようになります。

最適な方法

ここでは、機能レベルを上げる場合の最適な方法について説明します。レベルを上げる前に実行する必要のある処理について説明する「準備作業」と、さまざまな状況でレベルを上げる目的と方法について説明する「機能レベルを最適に設定する」の 2 つの部分に分けて説明します。

レベルを上げる前の準備作業

フォレスト内で、以前のバージョンのドメイン コントローラの一覧を作成します。正確なサーバー一覧を入手できない場合は、次の手順を実行します。

1. 混在レベル ドメイン、Windows 2000 ドメイン コントローラ、破損したオブジェクトまたは失われたオブジェクトがあるドメイン コントローラを検出するには、Active Directory ドメインと信頼関係 MMC スナップインを使用します。
2. コンソール ツリーで、[Active Directory ドメインと信頼関係] を右クリックし、[フォレストの機能レベルを上げる] をクリックします。[名前を付けて保存] をクリックして、詳細レポートを生成します。
   
   何も検出されなかった場合は、[利用可能なフォレストの機能レベルを選択してください] ボックスの一覧に、Windows Server 2003 フォレスト レベルに上げるための選択肢が表示されます。フォレスト レベルを上げると、構成コンテナ内のドメイン コントローラ オブジェクトで、msds-behavior-version が 2 以外のドメイン コントローラが検出されます。このようなドメイン コントローラは、Windows 2000 ドメイン コントローラ オブジェクトまたは破損した Windows Server 2003 ドメイン コントローラ オブジェクトと見なされます。以前のバージョンのドメイン コントローラや、破損しているか失われているコンピュータ オブジェクトがあるドメイン コントローラが検出された場合は、レポートに記録されます。これらのドメイン コントローラの状態を調査し、Ntdsutil ファイルを使用して Active Directory でのドメイン コントローラ表示を修正または削除する必要があります。

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。 Windows NT 4.0 ドメイン コントローラを検出するには、次の手順を実行します。

1. Windows Server 2003 ベースの任意のドメイン コントローラで、Active Directory ユーザーとコンピュータを開きます。
2. ドメイン コントローラが適切なドメインに接続されていない場合、次の手順を実行して適切なドメインに接続します。
   1. 現在のドメイン オブジェクトを右クリックし、[ドメインに接続] をクリックします。
   2. [ドメイン] ボックスに、接続するドメインの DNS 名を入力するか、[参照] をクリックしてドメイン ツリーからドメインを選択し、[OK] をクリックします。
3. ドメイン オブジェクトを右クリックし、[検索] をクリックします。
4. [検索] ボックスの一覧から、[カスタムの検索条件] をクリックします。
5. [場所] ボックスの一覧から、機能レベルを変更するドメインをクリックします。
6. [詳細設定] タブをクリックします。
7. [LDAP のクエリの入力] ボックスに、(&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192)) という文字列を入力します。文字と文字の間にスペースを入れないように注意してください。
   
   注 : このクエリでは大文字と小文字が区別されません。
8. [検索開始] をクリックします。
   
   Windows NT 4.0 を実行していて、ドメイン コントローラとして機能している、ドメイン内のコンピュータの一覧が表示されます。

以下の状況のいずれかに該当するドメイン コントローラが一覧に表示されます。

• ドメイン コントローラが Windows NT 4.0 を実行しているため、アップグレードする必要があります。
• ドメイン コントローラが Windows Server 2003 にアップグレードされていますが、対象のドメイン コントローラに変更がレプリケートされていません。
• 既にドメイン コントローラとして機能していないにもかかわらず、ドメイン コントローラのコンピュータ オブジェクトがドメインから削除されていません。

ドメインの機能レベルを Windows Server 2003 に変更する前に、一覧内のドメイン コントローラの物理的な場所を確認し、ドメイン コントローラの現在の状態をチェックしてから、必要に応じてドメイン コントローラをアップグレードまたは削除する必要があります。Windows 2000 のドメイン コントローラとは異なり、Windows NT 4.0 のドメイン コントローラが存在するためにレベルを上げられないということはありません。ただし、Windows NT 4.0 ドメイン コントローラへのレプリケーションは停止します。Windows 2000 混在レベルのドメインが存在するフォレストを Windows Server 2003 フォレスト レベルに上げようとした場合はブロックされます。Windows 2000 ネイティブまたはそれ以降のレベルですべてのドメインのフォレスト レベルの条件を満たしている場合、Windows NT 4.0 BDC は存在しないと考えられます。

フォレスト内でエンド間のレプリケーションが動作していることを確認します。確認するには、Windows 2000 または Windows Server 2003 のドメイン コントローラに対して、Windows XP または Windows Server 2003 メンバ上で Windows Server 2003 バージョンの Repadmin を使用します。

• 「Repadmin /Replsum * /Sort:Delta [/Errorsonly]」。初期インベントリの際に実行します。
• 「Repadmin /Showrepl * /CSV>showrepl.csv」。Excel にインポートしてから、[データ] メニューの [オートフィルタ] を使用してレプリケーション機能を識別します。
  
  Repadmin や Replmon などのレプリケーション ツールを使用して、フォレスト全体のレプリケーションが正常に実行されていることを確認します。

すべてのプログラムまたはサービスと、Windows Server 2003 ドメイン コントローラおよび Windows Server 2003 フォレスト モードとの互換性を確認します。実験環境を使用して、実際に使用するプログラムおよびサービスの互換性の問題を完全にテストします。互換性の有無についてはソフトウェア製造元にお問い合わせください。

次のいずれかの手順を実行して、万一の際に元に戻すための方法を準備しておきます。

• フォレスト内の各ドメインから少なくとも 2 つのドメイン コントローラの接続を解除します。
  
  または
• フォレスト内の各ドメインから少なくとも 2 つのドメイン コントローラのシステム状態バックアップを作成します。

元の状態に戻すには、回復処理を行う前にフォレスト内のすべてのドメイン コントローラを非コミッションにする必要があります。いったん上げたレベルを正式に元に戻す方法はありません。このため、レベルを上げた状態でレプリケートされたすべてのドメイン コントローラを非コミッションにする必要があります。
以前のドメイン コントローラをすべて非コミッションにした後で、接続を解除しておいたドメイン コントローラを再度接続するか、バックアップからドメイン コントローラを復元します。その他のすべてのドメイン コントローラからメタデータを削除してから、それらを再び昇格します。これは、通常の処理ではないため、可能な限り避ける必要があります。

機能レベルを最適に設定する

ここでは、Windows 2000 混在レベルから Windows Server 2003 フォレスト レベルに移行するための 2 つの方法について説明します。さらにその後、Windows NT 4.0 のアップグレードに関する詳細情報を示します。

すべてのドメインをネイティブ モードに上げ、フォレストを Windows Server 2003 に上げる

すべてのドメインを Windows 2000 ネイティブ レベルに上げます。この処理が完了したら、フォレスト ルート ドメインの機能レベルを Windows Server 2003 フォレスト レベルに上げます。フォレスト内の各ドメインの PDC にフォレスト レベルがレプリケートされたら、ドメイン レベルが自動的に Windows Server 2003 ドメイン レベルになります。この方法には以下の利点があります。

• 1 回の処理でフォレスト全体のレベルが上がります。フォレスト内の各ドメインを手動で Windows Server 2003 ドメインの機能レベルに上げる必要はありません。
• レベルを上げる前に Windows 2000 ドメイン コントローラのチェックが行われます。状況に応じてドメイン コントローラが削除またはアップグレードされるまでレベルアップがブロックされます。レベルアップを妨げているドメイン コントローラの一覧を作成することにより、対応方法の情報を示す詳細なレポートを作成できます。
• Windows 2000 混在または Windows Server 2003 中間レベルのドメインがチェックされます。ドメイン レベルが少なくとも Windows 2000 ネイティブになるまで、レベルアップがブロックされます。中間レベルのドメインは、Windows Server 2003 ドメイン レベルまでレベルを上げる必要があります。レベルアップを妨げているドメインの一覧を作成することにより、詳細レポートを生成できます。

すべてのドメインを Windows Server 2003 ドメイン レベルに上げてから、フォレストを Windows Server 2003 フォレスト レベルに上げる

各ドメインを Windows Server 2003 ドメイン レベルに上げます。この方法には以下の利点があります。

• フォレストを Windows Server 2003 フォレスト レベルにコミットする前に Windows Server 2003 ドメイン レベル機能がアクティブになります。
• フォレストを Windows Server 2003 フォレスト レベルにコミットしなくても、小規模な範囲で相互運用テストを実行できます。

Windows NT 4.0 のアップグレード

Windows NT 4.0 のアップグレードでは、Windows 2000 ドメイン コントローラがフォレストに導入されていない限り、PDC のアップグレード中は常に中間レベルを使用します。PDC のアップグレード中に中間モードを使用すると、既存の大規模グループで直ちに LVR レプリケーションが使用され、この資料で前述したレプリケーションの問題が発生しないようになります。アップグレード中に中間レベルを選択するには次のいずれかの方法を使用します。

• Dcpromo の実行中に中間レベルを選択します。この方法は、新しいフォレストに PDC をアップグレードする場合にのみ選択できます。
• 既存のフォレストのレベルを中間に設定してから、PDC のアップグレード中にフォレストに参加します。アップグレードされたドメインはフォレストの設定を継承します。
• すべての Windows NT 4.0 BDC がアップグレードまたは削除された後、各ドメインはフォレスト レベルに移行する必要があるため、Windows Server 2003 フォレスト モードに移行できます。

アップグレード後、または将来的に Windows 2000 ドメイン コントローラを導入する予定がある場合は、中間モードを使用しないでください。

Windows NT 4.0 で大規模グループを使用する場合の特別な注意事項

大規模な Windows NT 4.0 ドメインでは、メンバ数が 5,000 を大幅に上回るセキュリティ グループが存在する場合があります。Windows NT 4.0 では、セキュリティ グループのメンバが変更されると、メンバシップの単独の変更がバックアップ ドメイン コントローラにレプリケートされます。Windows 2000 では、グループ メンバシップはグループ オブジェクトの単一の複数値属性に格納されるリンクされた属性です。グループのメンバシップに対して単一の変更が行われると、グループ全体を 1 つの単位としてレプリケートが行われます。グループ メンバシップが 1 つの単位としてレプリケートされるため、異なるドメイン コントローラで異なるメンバが同時に追加または削除されると、グループ メンバシップの更新内容が失われる可能性があります。また、この単一のオブジェクトのサイズが、データベースへのエントリのコミットに使用されるバッファのサイズを超える場合もあります。詳細については、この資料の「大規模グループでのバージョン ストアの問題」を参照してください。このような理由により、推奨されるグループ メンバの上限値は 5,000 です。

メンバ数の上限を 5,000 とする規則の例外は Domain Users グループです。Domain Users グループでは、ユーザーのプライマリ グループ ID に基づいて計算されたメカニズムを使用してメンバシップが確認され、通常メンバは複数値のリンクされた属性として保存されません。ユーザーのプライマリ グループを変更すると、Domain Users グループのメンバシップがそのグループのリンクされた属性に書き込まれ、計算は行われません。Windows 2000 でのこの処理方法は Windows Server 2003 でも変更されていません。管理者がドメインのアップグレード用に中間レベルを選択しない場合、アップグレード前に以下の手順を実行する必要があります。

1. すべての大規模グループの一覧を作成し、Domain Users グループを除いて、メンバ数が 5,000 を超えるグループを確認します。
2. メンバ数が 5,000 以上のグループはすべて、メンバ数が 5,000 未満の小規模グループに分割する必要があります。
3. 大規模グループが登録されていたすべてのアクセス制御リストを確認し、メンバシップの分割に使用した小規模グループを追加します。

Windows Server 2003 中間フォレスト レベルを使用する場合、5,000 以上のメンバを含むグローバル セキュリティ グループを管理者が検出して再配置する必要はありません。

大規模グループでのバージョン ストアの問題

Active Directory では、1 つのサイズの大きな属性に対する深い検索やコミット処理のように時間のかかる操作が実行されるとき、その操作が完了するまで、データベースが必ず静的な状態に保持されます。サイズの大きな属性に対して深い検索やコミット処理が実行される場合の例として、レガシ記憶域を使用する大規模グループが存在する場合が挙げられます。

データベースの更新は、ローカルで、またレプリケーション パートナーにおいて、継続的に発生します。そのため Active Directory では、時間のかかる操作が完了するまで、受信した変更をすべてキューに入れる方法により静的な状態が保たれます。その操作が完了すると、キューに入れられていた変更が直ちにデータベースに適用されます。

このようにしてキューに入れられた変更の格納場所は "バージョン ストア" と呼ばれており、容量は約 100 MB です。バージョン ストアのサイズは可変で、物理メモリを基準としています。バージョン ストアがすべて消費されても時間のかかる操作が完了しなかった場合、ドメイン コントローラは、その時間のかかる操作とキューに入れられている変更がコミットされるまで、更新の受け入れを停止します。メンバ数が膨大になり 5,000 を超えたグループがある場合、その大規模グループのコミット処理が行われている間は、ドメイン コントローラでバージョン ストアがすべて消費された状態になるおそれがあります。

Windows Server 2003 では、リンクされた複数の値を持つ属性を対象として、リンク値レプリケーション (LVR) と呼ばれる新しいレプリケーション メカニズムが導入されています。LVR では、ここで説明した問題に対処するため、グループ全体を単一のレプリケーション操作でレプリケートするのではなく、グループの各メンバをそれぞれ別のレプリケーション操作でレプリケートします。LVR は、フォレストの機能レベルを Windows Server 2003 中間フォレスト レベルまたは Windows Server 2003 フォレスト レベルに上げた場合に使用可能になります。これらの機能レベルでは、Windows Server 2003 ドメイン コントローラ間でのグループのレプリケーションに LVR が使用されます。