Windows Server 2025移行の“超難関”「Active Directory」問題解決ガイド:「Windows Server 2025」の押さえるべき新機能と移行計画【第2回】
「Windows Server 2025」への移行で問題となるのが「Active Directory」(AD)への影響だ。主にAD関連で必要な対処に注目し、Windows Server 2025への安全な移行をかなえる実践的な準備、計画、移行手順を紹介する。
MicrosoftのサーバOS「Windows Server」を新バージョンへと移行する際、少なからず影響を受けるのが「Active Directory」(以下、AD)だ。ADはWindows Serverにおいて、ディレクトリサービスやID・アクセス管理の中核機能を担う。
「Windows Server 2025」はADについて、データベースのページサイズを従来の8Kページから最大32Kページに拡張できるようにし、多値属性で保持できる値の数の上限を引き上げるなど、大規模環境でのスケーラビリティを向上させた。多値属性とは、1つの属性(ADにおいて、ユーザーやコンピュータといったオブジェクトが持つ情報項目)に複数の値を保持できる仕組みのことだ。加えてWindows Server 2025は、ADに関連する管理機能やセキュリティ機能の一部も刷新している。
安全に移行を完了させ、Windows Server 2025の機能を最大限に活用するためには、事前の評価検証や機能レベルの引き上げなど、入念な準備を整えておくことが欠かせない。本稿は特にADに焦点を当てて、Windows Server 2025への移行を計画・実行する具体的な方法をまとめて紹介する。
1.評価検証と計画立案
現状を正確に把握し、移行の影響範囲を見極め、十分なテストを実施する――。これがWindows Server 2025への移行計画立案には必要だ。
ハードウェアとアプリケーションの互換性確認
Windows Server 2025のシステム要件として、Microsoftは1.4GHz以上の64bitプロセッサや2GB以上のメモリを搭載することなどを定めている。既存サーバのハードウェアリソースがシステム要件を満たさなかったり、満たしていても用途上不足したりしている場合は、早めのリプレースが必要だ。
ADデータベースのページサイズを32Kページに拡張するには、同じフォレスト(組織全体をまとめるADの管理単位)に属する全てのドメインコントローラー(DC)が、Windows Server 2025で動作している必要がある。DCとは、ディレクトリサービス「Active Directory Domain Services」(AD DS)をインストールし、昇格という処理によって、ユーザーやコンピュータを管理・認証できる状態にしたWindows Server搭載サーバ(物理、仮想を問わない)のことだ。フォレスト内に古いバージョンのWindows Serverが稼働するサーバが1台でも残っている場合、32Kページへの拡張は有効化できない。
既存のアプリケーションやデバイスドライバが、Windows Server 2025で正常に動作するかどうかを調べ、問題があるものは適切なバージョンにアップグレードするか、代替品に置き換える必要がある。Microsoftは、新しいDCを導入する前に、ターゲットサーバ(新しいDCとして利用するサーバ)がシステム要件を満たし、既存アプリケーションが正常に動作することの確認を推奨している。グループポリシーオブジェクト(GPO:エンドユーザーやコンピュータに一括適用される設定ルール)を含む既存のポリシー設定はバックアップし、移行前後にテストすることが必要だ。
バックアップと復元手順の確立
移行作業中に障害が発生した場合の復旧に備え、現行サーバで稼働するWindows Serverのシステム状態(システムコンポーネントや構成情報をまとめたバックアップ単位)を必ずバックアップする。Windows Server標準のバックアップ機能「Windows Serverバックアップ」を使うと、ウィザードの指示に従ってシステム状態を含めたバックアップを作成できる。このバックアップを取得した後に、ADデータベースを32Kページに移行すると、バックアップからの適切な復元ができない可能性がある。そのためテスト環境で復元確認を実施し、必要に応じてバックアップソフトの更新も検討する。
新しいセキュリティ機能に適した改修
セキュリティを強化するために、Windows Server 2025はDCとしての動作を変更した。例えばドメインに参加するコンピュータアカウントのパスワードを、必ずランダムに生成するようにしたことが、その一例だ。従来は管理者の判断で固定パスワードを設定することも可能だったが、これを拒否するようにした。
Windows Server 2025は、ADがエンドユーザーやアプリケーションの認証に利用するLDAP通信について、通信路暗号化プロトコルTLSのバージョン1.3で暗号化できるようにすることで、セキュリティを強化している。LDAP認証方式のSASL(Simple Authentication and Security Layer)に基づく認証処理が完了した後の通信については、既定でシール処理(署名と暗号化)を適用するようにした。
こうした変更により、Windows Server 2025では従来のグループポリシー(GPOによる設定)やアプリケーションが適切に機能しなくなる場合がある。そのため既存システムを確認し、必要に応じて修正してから移行する必要がある。
移行テストと移行手順の確立
最終段階では、検証環境でWindows Server 2025への移行テストを実施する。テスト計画の策定後に、実際のテストに必要なツールを構成し、想定する複数の業務シナリオに関してテストをして、問題点を洗い出す。その後には少数ユーザー(通常はIT部門)でパイロット移行を実施する。これらのテストで得た知見を基に移行手順を改善し、本番移行計画に反映することで、社内外向けサービスへの影響を最小化する。
2.機能レベルの引き上げとスキーマ拡張
併せて読みたいお薦め記事
連載:「Windows Server 2025」の押さえるべき新機能と移行計画
Windows Server 2025への移行ガイド
Windows Server 2025は、フォレストおよびドメイン内にあるDCの機能の世代である機能レベルを刷新した。機能レベルはWindows Serverのバージョンによって異なり、それに応じてフォレストやドメインで利用可能な機能が変わる。既存のフォレストで新しい機能レベルを有効化する場合、管理者はまずフォレスト内の全DCをWindows Server 2025に移行させた上で、フォレストの機能レベルを引き上げる操作を実行しなければならない。この手順を完了することで、フォレスト全体で新しい機能レベルを利用できるようになる。
フォレストの機能レベルを上げる手順は次の通りだ。まず既存のスキーマ(ADがユーザーやコンピュータなどの情報を定義・管理する設計図)について拡張、つまり新しいクラス(ADが扱うオブジェクトの定義)や属性を追加する必要がある。そのためには、フォレスト全体のスキーマを拡張する「adprep /forestprep」と、ドメインごとに必要な設定を適用する「adprep /domainprep」というコマンドを実行する。これにより、Windows Server 2025の機能レベルを利用するために必要な定義をスキーマに追加できる。adprep /forestprepはフォレスト全体で一度、adprep /domainprepはドメインごとに一度実行すればよい。既存のWindows Serverを上書きしてWindows Server 2025に移行する「インプレースアップグレード」を選択する場合は、これらの作業を管理者が手動で実行する必要がある。
次に、スキーマ拡張やドメイン準備を担うDC(以下、adprep実行用DCと呼ぶ)が、FSMO(Flexible Single Master Operation)ロールを保持するDCとの通信が可能かどうかを確認する必要がある。FSMOロールとは、スキーマ拡張や相対識別子(RID:ユーザーやグループなどのアカウント作成時に、アカウントに一意に割り当てる番号)の割り当てなど、ドメインやフォレスト間で競合しやすい操作を一元管理するロール(スキーマやIDなどの重要データを集中管理する仕組み)群のことだ。FSMOロールには、以下の5種類のロールがある。
- スキーママスター(スキーマ拡張を一元管理するロール)
- インフラストラクチャマスター(他ドメインのユーザー情報を最新に更新するロール)
- RIDマスター(ドメイン内の各DCに、未使用のRID群であるRIDプールを割り当てるロール)
- ドメインネーミングマスター(フォレストにドメインを追加・削除するロール)
- PDCエミュレーター(パスワード変更や時刻同期といった優先すべき処理を担うロール)
adprep実行用DCは、adprep /forestprepを実行する場合、スキーママスターを保持するDCへの接続が必要になる。adprep /domainprepを実行する場合はインフラストラクチャマスターを保持するDCに接続しなければならない。状況によっては、RIDマスターやドメインネーミングマスターを保持するDCへの接続も必要になることがある。
FSMOロールを保持しているDCは、コマインドラインツール「PowerShell」で以下のコマンドを実行することで確認できる。
- Get-ADDomain | FL InfrastructureMaster, RIDMaster, PDCEmulator
- Get-ADForest | FL DomainNamingMaster, SchemaMaster
フォレストの機能レベルが引き上がったら、ADデータベースのページサイズを32Kページに変更する。新規にインストールしたWindows Server 2025のDCは、32Kページのデータベースを作成する。ただしフォレスト全体が条件を満たすまでは、互換性確保のため8Kページモードで動作することになる。32Kページのページサイズを有効にする条件は、フォレスト内の全てのDCがWindows Server 2025に移行済みで、それぞれ32Kページのデータベースを作成済みであり、かつフォレストとドメインの機能レベルがWindows Server 2025のものになっていることだ。32Kページ有効化後は元に戻せないことから、十分なバックアップと復元テストを実施しなければならない。
3.移行の実施
Microsoftは、既存DCのWindows Serverをインプレースアップグレードするよりも、新バージョンのWindows Serverで構築したサーバを昇格させてDCにして、旧DCに対して降格(AD DSのアンインストール)という処理をする手法を推奨している。この方法であれば問題が発生した場合でも、既存環境に影響を及ぼさずに切り戻しが可能だ。
具体的には、以下の流れで進める。
- 新サーバの準備とDC昇格
- 新しいWindows Server 2025搭載サーバにAD DSをインストールし、既存ドメインに追加DCとして昇格させる。昇格前にスキーマ拡張を実施しておく。
- FSMOロールの移行
- 新DCにFSMOロールを移行し、各ロールが適切に機能していることを確認する。
- 旧DCの降格と削除
- 旧DCを降格させ、ドメインから削除する。全ての旧DCが退役した段階で、フォレストとドメインの機能レベルを引き上げる。
- 32Kページ有効化
- 全てのDCをWindows Server 2025に移行させた後、バックアップを確認した上で、32Kページ機能を有効化する。
4.運用開始と継続的改善
移行後はPDCAサイクルを回して、ADの運用を継続的に改善する。Windows Server 2025は、ADのパフォーマンス(認証が正しく動作しているかどうか、ログオンや検索といった処理に遅延がないかどうかなど)を監視できる「パフォーマンスカウンター」というツールを拡充した。DCの検出に掛かる処理時間を計測する「DC Locator」や、ユーザーやグループのアカウント名とSID(ドメイン識別子とRIDで構成される一意のID)の照合処理を監視する「LSA Lookup」などの新しいパフォーマンスカウンターを利用すれば、ボトルネックや異常の早期検知に役立つ。
運用チームへの教育や訓練も忘れてはならない。Windows Server 2025は、サービスアカウントのパスワード管理を不要にする「委任された管理サービスアカウント」(dMSA:Delegated Managed Service Account)を新たに備える他、ローカル管理者パスワードを自動生成して定期的にローテーションする「Windows LAPS」を強化している。運用チームが、これらの機能の使い方を理解し、適切に運用することで、管理負荷の軽減とセキュリティ強化が実現する。
移行完了後も定期的なバックアップと検証を継続することが大切だ。特に32KページのADデータベースを利用する場合、バックアップの形式や復元手順が従来と異なるため、定期的にテスト復元を実行して信頼性を確認するとよい。ユーザーや運用チームからのフィードバックを基に改善策を実行し、次のアップグレードに備える姿勢が重要だ。
以上のチェックリストを踏まえて計画を立てることで、ADを安全かつ効率的にWindows Server 2025へ移行できる。Windows Server 2025の利点を最大限に引き出しながら、安定した認証基盤を維持することが、今後のITインフラの競争力に直結するだろう。
Copyright © ITmedia, Inc. All Rights Reserved.