Active Directory ドメインおよびフォレストの機能レベルを上げる方法

文書番号: 322692 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Microsoft Windows Server 2003 ベース以降のドメイン コントローラーでサポートされているドメインおよびフォレストの機能レベルを上げる方法について説明します。Active Directory には 4 つのリリースがあり、Windows NT Server 4.0 から変更されたレベルのみに特別な配慮が必要です。このため、ドメイン コントローラーのオペレーティング システム、ドメイン、またはフォレストの機能レベルの新しいバージョン、現在のバージョン、または古いバージョンを使用して、その他のレベル変更について説明します。

機能レベルとは、新しい Active Directory 機能を有効にするために Microsoft Windows 2000 Server で導入された混在モードとネイティブ モードの概念の拡張です。ドメインまたはフォレスト内のすべてのドメイン コントローラーで最新の Windows Server バージョンを実行していて、管理者がドメインまたはフォレストで対応する機能レベルをアクティブにしている場合は、さらにいくつかの Active Directory 機能を使用できます。

最新のドメイン機能を有効にするには、ドメイン内のすべてのドメイン コントローラーで最新の Windows Server オペレーティング システム バージョンを実行している必要があります。この条件を満たしている場合、管理者はドメインの機能レベルを上げることができます。
最新のフォレスト全体の機能を有効にするには、フォレスト内のすべてのドメイン コントローラーで、必要なフォレスト機能レベルに対応する Windows Server オペレーティング システムを実行している必要があります。また、現在のドメイン機能レベルが既に最新のレベルである必要があります。この条件を満たしている場合、管理者はフォレストの機能レベルを上げることができます。

一般に、ドメインおよびフォレストの機能レベルの変更は元に戻せません。変更を元に戻せない場合、フォレスト回復処理を使用する必要があります。Windows Server 2008 R2 オペレーティング システムの場合、ドメインの機能レベルおよびフォレストの機能レベルに対する変更はロールバックすることができます。ただし、ロールバックは Active Directory 機能レベルに関する Technet の資料
(http://technet.microsoft.com/ja-jp/library/cc787290(WS.10).aspx)
で説明されている特定の状況でのみ実行できます。

: 最新のドメイン機能レベルおよび最新のフォレスト機能レベルは、ドメイン コントローラーのグループとしての動作のみに影響を及ぼします。ドメインまたはフォレストと対話的な処理を行うクライアントには影響を及ぼしません。また、ドメイン機能レベルまたはフォレスト機能レベルへの変更はアプリケーションに影響を及ぼしません。ただし、アプリケーションでは最新のドメイン機能および最新のフォレスト機能の利点を活用できます。

詳細については、さまざまな機能レベルに関連する機能についての TechNet の資料
(http://technet.microsoft.com/ja-jp/library/cc771294.aspx)
を参照してください。

機能レベルを上げる

注意: 機能レベルに指定されているバージョンより前のバージョンのドメイン コントローラーがドメインにあるか、それが計画されている場合は、機能レベルを上げてはいけません。たとえば、Windows Server 2008 機能レベルでは、ドメインまたはフォレスト内のすべてのドメイン コントローラーで Windows Server 2008 以降のオペレーティング システムがインストールされている必要があります。ドメインの機能レベルを上げると、フォレスト回復処理を使用しなければ以前のレベルに戻すことはできません。多くの場合、機能によってドメイン コントローラー間の通信が変更されたり、データベースの Active Directory データの記憶領域が変更されるため、この制限が適用されています。

ドメインおよびフォレストの機能レベルを有効にする最も一般的な方法は、Windows Server 2003 Active Directory の機能レベルに関する TechNet の資料で説明されているグラフィカル ユーザー インターフェイス (GUI) 管理ツール
(http://technet.microsoft.com/ja-jp/library/cc759280(WS.10).aspx)
を使用する方法です。この資料では、Windows Server 2003 について説明します。ただし、より新しいオペレーティング システム バージョンでも手順は同じです。また、機能レベルは手動で、または Windows PowerShell スクリプトを使用して構成できます。機能レベルを手動で構成する方法の詳細については、「機能レベルの表示と設定」を参照してください。

Windows PowerShell スクリプトを使用して機能レベルを構成する方法の詳細については、この方法に関する TechNet の資料
(http://technet.microsoft.com/ja-jp/library/cc730985.aspx)
を参照してください。

手動による機能レベルの表示と設定

Ldp.exe や Adsiedit.msc などの LDAP (Lightweight Directory Access Protocol) ツールを使用して、現在のドメインおよびフォレストの機能レベルの設定の表示と変更を行うことができます。機能レベルの属性を手動で変更する場合、最適な方法は Microsoft 管理ツールで通常対象とされる Flexible Single Master Operations (FSMO) ドメイン コントローラーで変更を行う方法です。

ドメイン機能レベルの設定

msDS-Behavior-Version 属性は次の各ドメインのルート名前付けコンテキスト (NC) ヘッドにあります。
  • DC=Mydomain
  • DC=ForestRootDom
  • DC=tld object
この属性に指定できる値は次のとおりです。
  • 値が 0 または設定されていない: 混在レベル ドメイン
  • 値が 1: Windows Server 2003 ドメイン レベル
  • 値が 2: Windows Server 2003 ドメイン レベル
  • 値が 3: Windows Server 2008 ドメイン レベル
  • 値が 4: Windows Server 2008 R2 ドメイン レベル

混在モードおよびネイティブ モードの設定

ntMixedDomain 属性は次の各ドメインのルート名前付けコンテキスト (NC) ヘッドにあります。
  • DC=Mydomain
  • DC=ForestRootDom
  • DC=tld object
この属性に指定できる値は次のとおりです。
  • 値が 0: ネイティブ レベル ドメイン
  • 値が 1: 混在レベル ドメイン

フォレスト レベルの設定

msDS-Behavior-Version 属性は次の各ドメインのルート名前付けコンテキスト (NC) ヘッドにあります。
  • CN=Partitions
  • CN=Configuration
  • DC=ForestRootDom
  • DC=tld object
この属性に指定できる値は次のとおりです。
  • 値が 0 または設定されていない: 混在レベル フォレスト
  • 値が 1: Windows Server 2003 中間フォレスト レベル
  • 値が 2: Windows Server 2003 フォレスト レベル

    : Adsiedit.msc を使用して msDS-Behavior-Version 属性の値を 0 から 1 に変更すると、次のエラー メッセージが表示されます。
    この変更操作は無効です。変更の一部は許可されていません。
  • 値が 3: Windows Server 2008 ドメイン レベル
  • 値が 4: Windows Server 2008 R2 ドメイン レベル
LDAP (Lightweight Directory Access Protocol) ツールを使用して機能レベルを編集した後、[OK] をクリックして続行します。パーティション コンテナーとドメイン ヘッドの属性は正常にレベルが上がります。Ldp.exe ファイルでエラー メッセージが表示された場合、エラー メッセージを無視しても問題ありません。レベルが正常に上がったことを確認するには、属性の一覧を更新し、現在の設定をチェックします。FSMO の権限を持つドメイン コントローラーでレベルを上げていて、変更がローカル ドメイン コントローラーにレプリケートされていない場合にも、このエラー メッセージが表示されることがあります。

Ldp.exe ファイルを使用して現在の設定をすばやく表示する

  1. Ldp.exe を起動します。
  2. [Connection] メニューの [Connect] をクリックします。
  3. 照会するドメイン コントローラーを [Server] に入力するか、空白のままにしてドメイン コントローラーに接続します。
ドメイン コントローラーに接続されると、ドメイン コントローラーの RootDSE 情報が表示されます。この情報は、フォレスト、ドメイン、ドメイン コントローラーに関する情報を含んでいます。Windows Server 2003 ベースのドメイン コントローラーの例を次に示します。次の例で、ドメイン モードは Windows Server 2003 であり、フォレスト モードは Windows 2000 Server であるとします。

注: ドメイン コントローラーの機能は、そのドメイン コントローラーに適用可能な最も高い機能レベルを表します。
  • 1> domainFunctionality: 2=(DS_BEHAVIOR_WIN2003);
  • 1> forestFunctionality: 0=(DS_BEHAVIOR_WIN2000);
  • 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003);

機能レベルを手動で変更する場合の必要条件

  • 次のいずれかの条件が当てはまる場合は、ドメインの機能レベルを上げる前にドメイン モードをネイティブ モードに変更する必要があります。
    • domainDNS オブジェクトの msdsBehaviorVersion 属性の値をプログラムで直接変更することによってドメインの機能レベルが 2 に上がっている場合。
    • Ldp.exe ユーティリティや Adsiedit.msc ユーティリティを使用してドメインの機能レベルが 2 に上がっている場合。
    ドメインのレベルを上げる前にドメインのモードをネイティブ モードに変更しなかった場合、操作は正常に完了せず、以下のエラー メッセージが表示されます。
    SV_PROBLEM_WILL_NOT_PERFORM
    ERROR_DS_ILLEGAL_MOD_OPERATION
    また、Directory Services ログに次のメッセージが記録されます。
    ドメインが混在モードであるため、Active Directory は次のドメインの機能レベルを更新できませんでした。

    この場合、Active Directory ユーザーとコンピューター MMC スナップインまたは Active Directory ドメインと信頼関係 MMC スナップインのユーザー インターフェイスを使用するか、domainDNS オブジェクトの ntMixedDomain 属性の値をプログラムでゼロ (0) に設定することによってドメインのモードをネイティブ モードに変更することができます。この処理を使用してドメインの機能レベルを 2 (Windows Server 2003) に変更すると、ドメインのモードは自動的にネイティブ モードに変更されます。
  • 混在モードからネイティブ モードに移行すると、Schema Administrators セキュリティ グループおよび Enterprise Administrators セキュリティ グループのスコープがユニバーサル グループに変更されます。これらのセキュリティ グループがユニバーサル グループに変更されると、システム ログに以下のメッセージが出力されます。

    種類: 情報
    イベント ソース: SAM
    イベント ID: 16408
    コンピューター: Server Name
    説明: ドメインの操作モードがネイティブ モードに変更されています。この変更を戻すことはできません。

  • Windows Server 2003 の管理ツールを使用してドメインの機能レベルを移行すると、ntmixedmode 属性および msdsBehaviorVersion 属性が両方とも正しい順序で変更されます。ただし、必ず行われるわけではありません。次の状況では、ネイティブ モードは暗黙的に 0 に設定され、Schema Administrators セキュリティ グループおよび Enterprise Administrators セキュリティ グループのスコープはユニバーサル グループに変更されません。
    • ドメインの機能レベルを制御する msdsBehaviorVersion 属性が手動またはプログラムによって 2 に設定された場合。
    • フォレストの機能レベルが何らかの方法で 2 に設定された場合。
    この状況では、ローカル エリア ネットワーク内のすべてのドメインがネイティブ モードに構成され、セキュリティ グループのスコープで必要な属性変更が行われるまで、ドメイン コントローラーでフォレストの機能レベルへの移行は行われません。

Windows 2000 Server に関連する機能レベル

Windows 2000 Server は混在モードとネイティブ モードのみをサポートします。また、これらのモードはドメインの機能のみに適用されます。Windows Server 2003 のドメインのモードは Windows NT 4.0 および Windows 2000 Server ドメインのアップグレードに影響を与えるため、次のセクションでは、Windows Server 2003 のドメインのモードを示しています。

ドメイン コントローラーのオペレーティング システム レベルを上げるときには、いくつかの検討事項があります。これらの検討事項は、Windows 2000 Server モードでリンクされている属性の記憶領域およびレプリケーションの制限によるものです。

Windows 2000 Server 混在 (既定)

  • サポートされるドメイン コントローラー: Microsoft Windows NT 4.0、Windows 2000 Server、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2
  • アクティブになる機能: ローカル グループおよびグローバル グループ、グローバル カタログ サポート。

Windows 2000 Server ネイティブ

  • サポートされるドメイン コントローラー: Windows 2000 Server、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2
  • アクティブになる機能: グループの入れ子、ユニバーサル グループ、Sid 履歴、セキュリティ グループと配布グループ間の変換。フォレスト レベルの設定を上げることによってドメインのレベルを上げることができます。

Windows Server 2003 中間

  • サポートされるドメイン コントローラー: Windows NT 4.0、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2
  • サポートされる機能: このレベルでは、ドメイン全体で有効になる機能はありません。フォレスト レベルが中間に上がると、フォレスト内のすべてのドメインが自動的にこのレベルまで上がります。このモードは、Windows NT 4.0 ドメインのドメイン コントローラーを Windows Server 2003 ドメイン コントローラーにアップグレードした場合にのみ使用されます。

Windows Server 2003

  • サポートされるドメイン コントローラー: Windows Server 2003、Windows Server 2008、Windows Server 2008 R2
  • サポートされる機能: ドメイン コントローラー名の変更、ログオン タイムスタンプ属性の更新とレプリケート。InetOrgPerson オブジェクト クラスでのユーザー パスワードのサポート。制約付き委任により、[Users] と [Computers] コンテナーをリダイレクトできます。
Windows NT 4.0 からアップグレードされたドメイン、または Windows Server 2003 ベースのコンピューターの昇格によって作成されたドメインは、Windows 2000 混在機能レベルで動作します。Windows 2000 Server ドメイン コントローラーが Windows Server 2003 オペレーティング システムにアップグレードされても、Windows 2000 Server ドメインの現在の機能レベルは変更されません。この場合、ドメインの機能レベルを Windows 2000 Server ネイティブまたは Windows Server 2003 に上げることができます。

中間レベル - Windows NT 4.0 ドメインからのアップグレード

Windows Server 2003 の Active Directory では、Windows Server 2003 中間という名前の特殊なフォレストとドメインの機能レベルを使用できます。この機能レベルは、既存の Windows NT 4.0 ドメインをアップグレードした後にも、1 つまたは複数の Windows NT 4.0 バックアップ ドメイン コントローラー (BDC) を機能させる必要がある場合のために用意されています。このモードでは Windows 2000 Server ドメイン コントローラーはサポートされていません。Windows Server 2003 中間は、以下の状況に適しています。
  • ドメインを Windows NT 4.0 から Windows Server 2003 にアップグレードします。
  • Windows NT 4.0 の BDC をすぐにアップグレードしません。
  • Windows NT 4.0 ドメインに、Domain Users グループを除き、メンバー数が 5,000 を超えるグループがあります。
  • どの時点でも、フォレスト内に Windows Server 2000 ドメイン コントローラーを実装する計画がありません。
Windows Server 2003 中間では、Windows NT 4.0 の BDC へのレプリケーションを維持したうえで、以下の 2 つの重要な機能が強化されています。
  1. セキュリティ グループの効率的なレプリケーション、メンバー数が 5,000 を超えるグループのサポート
  2. 知識整合性チェッカー (KCC) サイト内トポロジ ジェネレーター アルゴリズムの強化
中間レベルでは効率的なグループ レプリケーションをアクティブにできるため、Windows NT 4.0 のアップグレードにはこのレベルをお勧めします。詳細については、この資料の「最適な方法」を参照してください。

フォレストの機能レベルを Windows Server 2003 中間に設定する

Windows Server 2003 中間をアクティブにするには、3 種類の方法がありますが、最初の 2 つの方法を使用することを強くお勧めします。これは、Windows NT 4.0 ドメインのプライマリ ドメイン コントローラー (PDC) を Windows Server 2003 ドメイン コントローラーにアップグレードした後、セキュリティ グループではリンク値レプリケーション (LVR) が使用されるためです。3 番目の方法では、セキュリティ グループのメンバーシップで複数の値を持つ単一の属性が使用されることにより、レプリケーションの問題が発生する可能性があるため、次善の方法として使用してください。Windows Server 2003 中間をアクティブにする方法を以下に示します。
  1. アップグレード中

    新しいフォレストのルート ドメインで最初のドメイン コントローラーとして機能する、Windows NT 4.0 ドメインの PDC をアップグレードする際に、Dcpromo インストール ウィザードにオプションが表示されます。
  2. LDAP (Lightweight Directory Access Protocol) ツールを使用してフォレストの機能レベルを手動で構成することにより、既存のフォレスト内で新しいドメインの最初のドメイン コントローラーとして機能する Windows NT 4.0 ドメインの Windows NT 4.0 PDC をアップグレードする前

    子ドメインは、昇格するフォレストからフォレスト全体の機能設定を継承します。Ldp.exe ファイルまたは Adsiedit.msc ファイルを使用してフォレストの機能レベルを中間に構成した、既存の Windows Server 2003 フォレストで、Windows NT 4.0 ドメインの PDC を子ドメインとしてアップグレードすると、オペレーティング システム バージョンのアップグレード後にセキュリティ グループでリンク値レプリケーションが使用されます。
  3. LDAP ツールによるアップグレード後

    アップグレード中に、既存の Windows Server 2003 フォレストに参加する場合は、後の 2 つの方法を使用します。通常、空のルート ドメインが作成されている場合にこれらの方法を使用します。アップグレードされたドメインは、空のルートの子ドメインとして参加し、フォレストからドメインの設定を継承します。

最適な方法

ここでは、機能レベルを上げる場合の最適な方法について説明します。レベルを上げる前に実行する必要のある処理について説明する「準備作業」と、さまざまな状況でレベルを上げる目的と方法について説明する「機能レベルを最適に設定する」の 2 つの部分に分けて説明します。

Windows NT 4.0 ドメイン コントローラーを検出するには、次の手順を実行します。
  1. Windows Server 2003 ベースの任意のドメイン コントローラーで、[Active Directory ユーザーとコンピューター] を開きます。
  2. ドメイン コントローラーが適切なドメインに接続されていない場合、次の手順を実行して適切なドメインに接続します。
    1. 現在のドメイン オブジェクトを右クリックし、[ドメインに接続] をクリックします。
    2. [ドメイン] ボックスに、接続するドメインの DNS 名を入力するか、[参照] をクリックしてドメイン ツリーからドメインを選択し、[OK] をクリックします。.
  3. ドメイン オブジェクトを右クリックし、[検索] をクリックします。
  4. [検索] ボックスの一覧から、[カスタムの検索条件] をクリックします。
  5. [場所] ボックスの一覧から、機能レベルを変更するドメインをクリックします。
  6. [詳細設定] タブをクリックします。
  7. [LDAP のクエリの入力] ボックスに、次の文字列を入力します。文字と文字の間にスペースを入れないように注意してください。
    (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))
    : このクエリでは大文字と小文字は区別されません。
  8. [検索開始] をクリックします。

    Windows NT 4.0 を実行していて、ドメイン コントローラーとして機能している、ドメイン内のコンピューターの一覧が表示されます。
以下の状況のいずれかに該当するドメイン コントローラーが一覧に表示されます。
  • ドメイン コントローラーが Windows NT 4.0 を実行しているため、アップグレードする必要があります。
  • ドメイン コントローラーが Windows Server 2003 にアップグレードされていますが、対象のドメイン コントローラーに変更がレプリケートされていません。
  • 既にドメイン コントローラーとして機能していないにもかかわらず、ドメイン コントローラーのコンピューター オブジェクトがドメインから削除されていません。
ドメインの機能レベルを Windows Server 2003 に変更する前に、一覧内のドメイン コントローラーの物理的な場所を確認し、ドメイン コントローラーの現在の状態をチェックしてから、必要に応じてドメイン コントローラーをアップグレードまたは削除する必要があります。

: Windows Server 2000 のドメイン コントローラーとは異なり、Windows NT 4.0 のドメイン コントローラーが存在するためにレベルを上げられないということはありません。ドメインの機能レベルを変更すると、Windows NT 4.0 ドメイン コントローラーへのレプリケーションは停止します。 ただし、Windows Server 2000 混在レベルのドメインが存在するフォレストを Windows Server 2003 フォレスト レベルに上げようとした場合はブロックされます。Windows Server 2000 ネイティブ以降のレベルですべてのドメインのフォレスト レベルの条件を満たしている場合、Windows NT 4.0 BDC は存在しないと考えられます。

例: レベルを上げる前の準備作業

この例では、Windows Server 2000 混在モードから Windows Server 2003 フォレスト モードに環境を上げます。

フォレスト内で、以前のバージョンのドメイン コントローラーの一覧を作成します。
正確なサーバー一覧を入手できない場合は、次の手順を実行します。
  1. 混在レベル ドメイン、Windows 2000 ドメイン コントローラー、破損したオブジェクトまたは失われたオブジェクトがあるドメイン コントローラーを検出するには、Active Directory ドメインと信頼関係 MMC スナップインを使用します。
  2. スナップインで、[フォレストの機能レベルを上げる] をクリックします。[名前を付けて保存] をクリックして、詳細レポートを生成します。
  3. 問題が検出されなかった場合は、[利用可能なフォレストの機能レベルを選択してください] ボックスの一覧に、Windows Server 2003 フォレスト レベルに上げるための選択肢が表示されます。フォレスト レベルを上げると、構成コンテナー内のドメイン コントローラー オブジェクトで、msds-behavior-version が必要な目標レベルに設定されていないすべてのドメイン コントローラーが検出されます。このようなドメイン コントローラーは、Windows Server 2000 ドメイン コントローラー オブジェクトまたはそれよりも新しい Windows Server の破損したドメイン コントローラー オブジェクトと見なされます。
  4. 以前のバージョンのドメイン コントローラーや、破損しているか失われているコンピューター オブジェクトがあるドメイン コントローラーが検出された場合は、レポートに記録されます。これらのドメイン コントローラーの状態を調査し、Ntdsutil ファイルを使用して Active Directory でのドメイン コントローラー表示を修正または削除する必要があります。
関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
216498
(http://support.microsoft.com/kb/216498/ )
ドメイン コントローラーの降格に失敗した後、Active Directory のデータを削除する方法
フォレスト内でエンド間のレプリケーションが動作していることを確認する
確認するには、Windows Server 2000 または Windows Server 2003 のドメイン コントローラーに対して、Windows Server 2003 以降のバージョンの Repadmin を使用します。
  • 「Repadmin /Replsum * /Sort:Delta [/Errorsonly]」。初期インベントリの際に実行します。
  • 「Repadmin /Showrepl * /CSV>showrepl.csv」。Excel にインポートしてから、[データ] メニューの [オートフィルター] を使用してレプリケーション機能を識別します。

    Repadmin などのレプリケーション ツールを使用して、フォレスト全体のレプリケーションが正常に実行されていることを確認します。
すべてのプログラムまたはサービスと、Windows Server ドメイン コントローラーおよび Windows Server のドメインおよびフォレスト モードとの互換性を確認します。実験環境を使用して、実際に使用するプログラムおよびサービスの互換性の問題を完全にテストします。互換性の有無についてはソフトウェア製造元にお問い合わせください。

次のいずれかの手順を実行して、万一の際に元に戻すための方法を準備しておきます。
  • フォレスト内の各ドメインから少なくとも 2 つのドメイン コントローラーの接続を解除します。
  • フォレスト内の各ドメインから少なくとも 2 つのドメイン コントローラーのシステム状態バックアップを作成します。
元の状態に戻すには、回復処理を行う前にフォレスト内のすべてのドメイン コントローラーを非コミッションにする必要があります。

: いったん上げたレベルを正式に元に戻す方法はありません。つまり、レベルを上げた状態でレプリケートされたすべてのドメイン コントローラーを非コミッションにする必要があります。

以前のドメイン コントローラーをすべて非コミッションにした後で、接続を解除しておいたドメイン コントローラーを再度接続するか、バックアップからドメイン コントローラーを復元します。その他のすべてのドメイン コントローラーからメタデータを削除してから、それらを再び昇格します。この処理は難しいため、避ける必要があります。

例: Windows Server 2000 混在レベルから Windows Server 2003 フォレスト レベルに移行する方法

すべてのドメインを Windows Server 2000 ネイティブ レベルに上げます。この処理が完了したら、フォレスト ルート ドメインの機能レベルを Windows Server 2003 フォレスト レベルに上げます。フォレスト内の各ドメインの PDC にフォレスト レベルがレプリケートされたら、ドメイン レベルが自動的に Windows Server 2003 ドメイン レベルになります。この方法には以下の利点があります。
  • 1 回の処理でフォレスト全体のレベルが上がります。フォレスト内の各ドメインを手動で Windows Server 2003 ドメインの機能レベルに上げる必要はありません。
  • レベルを上げる前に Windows Server 2000 ドメイン コントローラーのチェックが行われます (準備手順を参照)。問題のあるドメイン コントローラーが削除またはアップグレードされるまでレベルアップがブロックされます。レベルアップを妨げているドメイン コントローラーの一覧を作成することにより、対応方法の情報を示す詳細なレポートを作成できます。
  • Windows Server 2000 混在または Windows Server 2003 中間レベルのドメインがチェックされます。ドメイン レベルが少なくとも Windows Server 2000 ネイティブになるまで、レベルアップがブロックされます。中間レベルのドメインは、Windows Server 2003 ドメイン レベルまでレベルを上げる必要があります。レベルアップを妨げているドメインの一覧を作成することにより、詳細レポートを生成できます。

Windows NT 4.0 のアップグレード

Windows NT 4.0 のアップグレードでは、Windows Server 2000 ドメイン コントローラーが PDC のアップグレード対象のフォレストに導入されていない限り、PDC のアップグレード中は常に中間レベルを使用します。PDC のアップグレード中に中間モードを使用すると、既存の大規模グループで直ちに LVR レプリケーションが使用され、この資料で前述したレプリケーションの問題が発生しないようになります。アップグレード中に中間レベルを選択するには次のいずれかの方法を使用します。
  • Dcpromo の実行中に中間レベルを選択します。この方法は、新しいフォレストに PDC をアップグレードする場合にのみ選択できます。
  • 既存のフォレストのレベルを中間に設定してから、PDC のアップグレード中にフォレストに参加します。アップグレードされたドメインはフォレストの設定を継承します。
  • すべての Windows NT 4.0 BDC がアップグレードまたは削除された後、各ドメインはフォレスト レベルに移行する必要があるため、Windows Server 2003 フォレスト モードに移行できます。
アップグレード後、または将来的に Windows Server 2000 ドメイン コントローラーを導入する予定がある場合は、中間モードを使用しないでください。

Windows NT 4.0 で大規模グループを使用する場合の特別な注意事項

大規模な Windows NT 4.0 ドメインでは、メンバー数が 5,000 を大幅に上回るセキュリティ グループが存在する場合があります。Windows NT 4.0 では、セキュリティ グループのメンバーが変更されると、メンバーシップの単独の変更がバックアップ ドメイン コントローラーにレプリケートされます。Windows Server 2000 では、グループ メンバーシップはグループ オブジェクトの単一の複数値属性に格納されるリンクされた属性です。グループのメンバーシップに対して単一の変更が行われると、グループ全体を 1 つの単位としてレプリケートが行われます。グループ メンバーシップが 1 つの単位としてレプリケートされるため、異なるドメイン コントローラーで異なるメンバーが同時に追加または削除されると、グループ メンバーシップの更新内容が失われる可能性があります。また、この単一のオブジェクトのサイズが、データベースへのエントリのコミットに使用されるバッファーのサイズを超える場合もあります。詳細については、この資料の「大規模グループでのバージョン ストアの問題」を参照してください。このような理由により、推奨されるグループ メンバーの上限値は 5,000 です。

メンバー数の上限を 5,000 とする規則の例外はプライマリ グループ (既定では "Domain Users" グループ) です。プライマリ グループでは、ユーザーのプライマリ グループ ID に基づいて計算されたメカニズムを使用してメンバーシップが確認されます。プライマリ グループでは、メンバーは複数値のリンクされた属性として保存されません。ユーザーのプライマリ グループをカスタム グループに変更すると、Domain Users グループのメンバーシップがそのグループのリンクされた属性に書き込まれ、計算は行われません。新しいプライマリ グループ Rid がプライマリ グループ ID に書き込まれ、ユーザーはそのグループのメンバー属性から削除されます。

管理者がドメインのアップグレード用に中間レベルを選択しない場合、アップグレード前に以下の手順を実行する必要があります。
  1. すべての大規模グループの一覧を作成し、Domain Users グループを除いて、メンバー数が 5,000 を超えるグループを確認します。
  2. メンバー数が 5,000 以上のグループはすべて、メンバー数が 5,000 未満の小規模グループに分割する必要があります。
  3. 大規模グループが登録されていたすべてのアクセス制御リストを確認し、手順 2. で作成した小規模グループを追加します。
Windows Server 2003 中間フォレスト レベルを使用する場合、5,000 以上のメンバーを含むグローバル セキュリティ グループを管理者が検出して再配置する必要はありません。

大規模グループでのバージョン ストアの問題

Active Directory では、1 つのサイズの大きな属性に対する深い検索やコミット処理のように時間のかかる操作が実行されるとき、その操作が完了するまで、データベースが必ず静的な状態に保持されます。サイズの大きな属性に対して深い検索やコミット処理が実行される場合の例として、レガシ記憶域を使用する大規模グループが存在する場合が挙げられます。

データベースの更新は、ローカルで、またレプリケーション パートナーにおいて、継続的に発生します。そのため Active Directory では、時間のかかる操作が完了するまで、受信した変更をすべてキューに入れる方法により静的な状態が保たれます。その操作が完了すると、キューに入れられていた変更が直ちにデータベースに適用されます。

このようにしてキューに入れられた変更の格納場所は "バージョン ストア" と呼ばれており、容量は約 100 MB です。バージョン ストアのサイズは可変で、物理メモリを基準としています。バージョン ストアがすべて消費されても時間のかかる操作が完了しなかった場合、ドメイン コントローラーは、その時間のかかる操作とキューに入れられている変更がコミットされるまで、更新の受け入れを停止します。メンバー数が膨大になり 5,000 を超えたグループがある場合、その大規模グループのコミット処理が行われている間は、ドメイン コントローラーでバージョン ストアがすべて消費された状態になるおそれがあります。

Windows Server 2003 では、リンクされた複数の値を持つ属性を対象として、リンク値レプリケーション (LVR) と呼ばれる新しいレプリケーション メカニズムが導入されています。LVR では、ここで説明した問題に対処するため、グループ全体を単一のレプリケーション操作でレプリケートするのではなく、グループの各メンバーをそれぞれ別のレプリケーション操作でレプリケートします。LVR は、フォレストの機能レベルを Windows Server 2003 中間フォレスト レベルまたは Windows Server 2003 フォレスト レベルに上げた場合に使用可能になります。これらの機能レベルでは、Windows Server 2003 ドメイン コントローラー間でのグループのレプリケーションに LVR が使用されます。
先頭へ戻る | フィードバック

プロパティ

文書番号: 322692 - 最終更新日: 2010年5月14日 - リビジョン: 16.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
キーワード:?
kbactivedirectory kbhowtomaster KB322692
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る