Active Directory では、フォレスト/ドメインのバージョンを統一するための機能レベルという機能があります。フォレスト/ドメインの機能レベルをあげることで Active Directory の新しい機能を利用したり、古い OS で実行されているドメインコントローラーの追加を制限するといったことができるようになります。
今回は、その機能レベルの各機能と機能レベルごとに含めることが可能なドメインコントローラーの OS について整理しました。
機能レベル毎の追加機能
機能レベルの昇格によって利用できる機能としては、削除されたオブジェクトに対する復元ができる機能(Active Directory ごみ箱機能)があったりしますが、他にも追加される機能としてはいくつかあります。
機能レベルを確認する方法については、別の記事で手順解説をしていますので、そちらをご参照ください。
フォレスト機能レベル一覧
フォレスト機能レベル毎のサポートされる機能は以下となります。
| 機能レベル | サポートされる機能 |
| Windows Server 2003 | ・フォレストの信頼 ・ドメイン名の変更 ・読み取り専用ドメインコントローラーの展開(RODC) など |
| Windows Server 2008 | – |
| Windows Server 2008 R2 | ・削除されたオブジェクトの復元機能(ごみ箱機能) |
| Windows Server 2012 | – |
| Windows Server 2012 R2 | – |
| Windows Server 2016 | ・特権アクセス管理(PAM)の追加 |
| ・ファイルレプリケーションサービス(FRS)機能の廃止 |
ドメイン機能レベル一覧
ドメイン機能レベル毎のサポートされる機能は以下となります。
| 機能レベル | サポートされる機能 |
| Windows Server 2003 | ・netdom.exe のサポート ・制約付き委任の構成 ・認証マネージャーによる承認ポリシーの保存 |
| Windows Server 2008 | ・分散ファイルシステムレプリケーション(DFS-R)のサポート |
| Windows Server 2008 R2 | ・認証メカニズム保証 |
| Windows Server 2012 | ・DCで信頼性情報、複合認証、およびKerberos防御 |
| Windows Server 2012 R2 | ・Protected Usersに対するドメインコントローラー側の保護機能 ・認証ポリシー/認証ポリシーサイロ など |
| Windows Server 2016 | ・PKInit 鮮度拡張機能の KDC のサポート ・公開キーを使用して認証のドメインに参加しているデバイスのサポート など |
各機能レベルは一つ前のバージョンでサポートされる機能はすべてサポートされます。
機能レベル毎の対応 OS バージョン
Active Directory では、機能レベル毎にフォレスト/ドメイン内に存在することができるドメインコントローラーの OS バージョンが決まっており、 Active Directory 環境は、その要件を満たす OS バージョンのドメインコントローラーで構成する必要があります。
各機能レベル毎に存在できるドメインコントローラーの OS バージョンについてまとめました。
フォレスト機能レベルの対応バージョン一覧
フォレスト機能レベル毎に存在できる OS バージョンは以下となります。
| フォレスト機能レベル | フォレスト内に存在できる DC の OS バージョン |
| Windows Server 2003 | ・Windows Server 2003 ・Windows Server 2008 ・Windows Server 2008 R2 ・Windows Server 2012 ・Windows Server 2012 R2 ・Windows Server 2016 |
| Windows Server 2008 | ・Windows Server 2008 ・Windows Server 2008 R2 ・Windows Server 2012 ・Windows Server 2012 R2 ・Windows Server 2016 ・Windows Server 2019 |
| Windows Server 2008 R2 | ・Windows Server 2008 R2 ・Windows Server 2012 ・Windows Server 2012 R2 ・Windows Server 2016 ・Windows Server 2019 |
| Windows Server 2012 | ・Windows Server 2012 ・Windows Server 2012 R2 ・Windows Server 2016 ・Windows Server 2019 |
| Windows Server 2012 R2 | ・Windows Server 2012 R2 ・Windows Server 2016 ・Windows Server 2019 |
| Windows Server 2016 | ・Windows Server 2016 ・Windows Server 2019 |
ドメイン機能レベルの対応バージョン一覧
ドメイン機能レベル毎に存在できる OS バージョンは以下となります。
| ドメイン機能レベル | ドメイン内に存在できる DC の OS バージョン |
| Windows Server 2003 | ・Windows Server 2003 ・Windows Server 2008 ・Windows Server 2008 R2 ・Windows Server 2012 ・Windows Server 2012 R2 ・Windows Server 2016 |
| Windows Server 2008 | ・Windows Server 2008 ・Windows Server 2008 R2 ・Windows Server 2012 ・Windows Server 2012 R2 ・Windows Server 2016 ・Windows Server 2019 |
| Windows Server 2008 R2 | ・Windows Server 2008 R2 ・Windows Server 2012 ・Windows Server 2012 R2 ・Windows Server 2016 ・Windows Server 2019 |
| Windows Server 2012 | ・Windows Server 2012 ・Windows Server 2012 R2 ・Windows Server 2016 ・Windows Server 2019 |
| Windows Server 2012 R2 | ・Windows Server 2012 R2 ・Windows Server 2016 ・Windows Server 2019 |
| Windows Server 2016 | ・Windows Server 2016 ・Windows Server 2019 |
※Windows Server 2019 のドメインコントローラーを追加する最小要件は、Windows Server 2008 機能レベル以上かつ、同期方式は DFSR となっています。
フォレストとドメインの機能レベルの関係性
フォレストとドメインの機能レベルは、フォレストの機能レベルをベースとして考えて、ドメインの機能レベルを決定するというような考え方になります。
基本的には、採用可能な最上位の機能レベルを設定することが推奨されており、特に要件がなければフォレストとドメインの機能レベルを最上位のものにしておくことが良しとされています。(フォレスト機能レベルを最上位とする考え方)
というのも、ドメインの機能レベルはフォレストの機能レベルより高いレベルでのみ設定が可能となっており、反対にフォレストよりも低いレベルには設定することはできないという決まりがあるためです。
整理すると以下のようになります。
| 機能レベル | 条件 |
| フォレスト機能レベル | ・ドメインの機能レベルはフォレストと同じかそれより上のみ |
| ドメイン機能レベル | ・フォレストの機能レベルより低いレベルには設定不可 |
そのため、仮にフォレストの機能レベルが Windows Server 2012 R2 の場合は、ドメインの機能レベルは Windows Server 2012 R2 ~ Windows Server 2016 までの範囲で設定が可能という事になります。
機能レベルを上げるタイミング
Active Directory のシステムを継続して利用していく場合、ドメインコントローラーの OS のサポート期間が切れる前に OS 入れ替えが発生しますが、古いドメインコントローラーの廃止により機能レベルを上げられる条件が揃うので、低い機能レベルを維持しなければならない要件がない限りこちらのタイミングが多いのではないかと思います。
また、機能レベルを上げる際は、低い機能レベルを維持しなければならない要件がないか(例えば連携システムが特定の機能レベルしかサポートされていないなど)フォレスト/ドメインの利用環境や連携システムに合わせて決定するよう注意が必要です。
機能レベルのロールバック(機能レベルの降格)
機能レベルは一度上げたら下げられない(下げない)という考え方が一般的であり、下げる場合の手段としてはバックアップからのリストアなどインパクトとしては大きい部類の作業が必要となるため、後戻りを発生させないためにも事前の調査と検討が重要となります。
※Active Directory としては下位の機能レベルに下げる手段が存在しているため、機能レベルを上げたり下げたりといったことは技術的には可能ですが、スキーマや内部情報などの部分に関わるトラブルが多く報告されているようですのでリスクが高い手段になるかと思われます。
追記
機能レベルのロールバックについて、リストアではなく PowerShell コマンドで行った検証記事がありますので、興味があれば参考にしていただければと思います。
