特集／連載

2025年11月27日

「Windows Server 2025」移行の“復元不可”な落とし穴と失敗しない実践ガイド：AD刷新で何が変わる？

ドメインコントローラーのOSを「Windows Server 2025」に入れ替えて「Active Directory」の刷新を図ることは、さまざまなメリットを生む一方で、複数の注意点が存在する。移行戦略の要点と手順をまとめた。

[Brien Posey，TechTarget] PC用表示関連情報

LINE

Hatena

今ADを更新すべき理由と思わぬ“わな”

併せて読みたいお薦め記事

Windows Server 2025で何が変わるのか

　Windows Server 2025への移行による最大のメリットは、データベースのページサイズの拡大だ。

　ADの中核となるストレージ技術「Extensible Storage Engine」（拡張記憶エンジン）は、データベースを「ページ」という単位で管理していた。ADは登場以来、データベースのページサイズを8KBに制限してきた。当時は十分でも、現代のシステムではこの制限がAD全体のスケーラビリティ（拡張性）を阻害する要因になっている。Microsoftはページサイズを32KBに拡大することで、この制約を取り払った。管理者はコマンド実行ツール「PowerShell」を使って、ページサイズを32KBに設定できる。ただし32KBへの変更は不可逆な操作であり、一度有効化すると元に戻すことができない。それ以前に取得したバックアップデータもフォレスト全体を過去の状態に戻すような特殊な状況を除き、通常の復旧には利用できなくなる点に注意が必要だ。

　読み書き速度が異なるメモリを組み合わせて、より効率的にメモリを使うためのアーキテクチャ「NUMA」（Non-Uniform Memory Access）にも適合し、複数のプロセッサグループにまたがって64コアを超えるCPUも利用できるようになり、ハードウェア性能を最大限に引き出せるよう設計されている。

　セキュリティ面では、レガシー技術の排除が進んだ。エンドユーザーやアプリケーションの認証に利用する「LDAP」（Lightweight Directory Access Protocol）通信では、通信路暗号化プロトコル「TLS」のバージョン1.3で暗号化できるようになった。同様に、セキュリティ情報を管理するデータベース「SAM」（Security Account Manager）に対するレガシーなリモート管理用プロトコル（RPC）をブロックし、「Kerberos」などのより安全な認証方式の利用を促進している。

ドメインコントローラーのOS更新に向けた事前準備

　ドメインコントローラーのOSをWindows Server 2025に更新する前に、以下の手順を実施しておきたい。

レプリケーションの健全性確認

　移行作業は、正常なデータを複製することが前提になる。既存のドメインコントローラー間で複製（レプリケーション）エラーが発生している状態で移行を進めると、データベースの不整合などの致命的な障害につながりかねない。複製の状態を確認、診断するためのコマンドラインツールとしては、「Repadmin」が利用可能だ。こうしたツールで複製エラーが発生していないことを必ず確認する。

ADのバックアップ作成

　ADに対する全ての変更を確実に保持するため、バックアップは作業の直前に実施すべきだ。万が一の事態に備えて復旧手順に慣れておくためにも、検証環境にバックアップをリストアし、データの整合性をテストしておくことを推奨する。

レガシープロトコルとアプリケーションの棚卸し

　認証機能「Windows NT LAN Manager」（NTLM）の利用状況を調査する。NTLMはレガシーなプロトコルであり、Windows Server 2025ではNTLMバージョン1が廃止され、利用不可になった。NTLMを必須とするレガシーアプリケーションが残っている場合、移行後に認証エラーが発生する恐れがあるため、事前の特定と対策が不可欠だ。

ハードウェア要件の再評価

　Microsoftが設定しているWindows Server 2025の最小システム要件としては以下がある。

CPU：最低1.4 GHzで動作する64bitプロセッサ
メモリ：2GB
- GUI（グラフィカルユーザーインタフェース）での操作を可能にする「デスクトップエクスペリエンス」をインストールする場合は4GBを推奨
ストレージ：32GB

　ただしこれらの要件は、あくまでも最小限に過ぎない。ドメインコントローラーの実運用では、最小要件以上のメモリを必要とするケースがほとんどだ。既存のハードウェアで十分か、あるいは増強が必要かを判断するには良い機会になる。

機能レベルの引き上げ検討

　ドメイン（社内のデバイスやエンドユーザーをグループ化した単位）やフォレスト（複数のドメインをまとめたもの）の「機能レベル」を最新の状態へ引き上げるかどうかを決定する。機能レベルとは、ADで利用可能な機能セットを定義すると同時に、ドメインコントローラーとして参加可能なOSバージョンの下限を規定する設定値だ。「Windows Server 2019」「Windows Server 2022」では新しい機能レベルが提供されなかったが、Windows Server 2025では新たな機能レベルが追加された。

　機能レベルをWindows Server 2025に引き上げれば、新しい拡張機能を使えるようになる。ただしドメインまたはフォレスト内の全てのドメインコントローラーがWindows Server 2025で稼働している状態であることが前提だ。

　注意すべきは、機能レベルの引き上げは不可逆な操作である点だ。一度機能レベルを上げると、古いバージョンのWindows Serverを実行するサーバをドメインコントローラーとして追加できなくなる。

　機能レベルを上げる際にも、信頼できるバックアップを作成しておくことは重要だ。機能レベルを変更する直前に、ADのバックアップを作成しておくとよい。

ドメインコントローラーの更新手順

　全ての準備が整ったら、ドメインコントローラーの更新作業に移る。一部の「Windows Server」バージョンから更新する場合は上書きインストールも可能だが、通常はハードウェアまたは仮想マシン（VM）にクリーンインストールすることが望ましい。以下ではクリーンインストールによる手順を解説する。

ステップ1．OSとドメインサービスのインストール

　まず、ハードウェアまたはVMにWindows Server 2025をインストールし、利用可能な更新プログラムを適用する。重要なのは、ドメインコントローラーに昇格させる前に、更新対象のサーバをADドメインに参加させておくことだ。

　OSの準備ができたら、次に「Active Directoryドメインサービス」（AD DS）をインストールする。AD DSは、ADの中核機能を担うサービス群だ。

ステップ2．DNSサービスの展開

　DNSサービスをどこでホストするかを検討する必要がある。ADはDNSなしでは機能しないため、既存のドメインコントローラーの一部がDNSサーバとしての役割も兼ねている場合がよくある。もしこれらのレガシーなDNSサーバを完全に撤去する場合、DNS機能を別の場所に移管しなければならない。

　新しいドメインコントローラーでDNSサービスを実行する選択肢もある。DNSを新しいサーバに移行する場合は、社内のIPアドレス設定を変更し、新しいDNSサーバを参照するようクライアントの設定を修正することが不可欠だ。

ステップ3．新しいドメインコントローラーへの昇格

　役割のインストールが完了したら、該当サーバをドメインコントローラーに昇格させる。設定が完了すると、サーバは再起動後にドメインコントローラーとして動作する。

　再起動が完了したら、AD内に存在する全てのオブジェクトの複製が完了するまで待つ。次の作業に進む前に、Repadminなどの前述の方法で複製の健全性をチェックする。ADの複製が正常に機能し、複製プロセスが完了していることを確認してから次に進まなければならない。もし複製エラーが発生した場合は、DNSの名前解決が正しく機能しているかどうか、全てのドメインコントローラーの時刻設定が正確かどうかを確認する。

ステップ4．レガシードメインコントローラーの運用終了

　撤去対象のサーバが「FSMO」（Flexible Single Master Operation）の役割を持つ場合は、事前にその役割を新しいサーバに転送しておく必要がある。FSMOは、ADのドメインやフォレスト内に複数のドメインコントローラーがある場合、特定の役割を1つのドメインコントローラーに集約させる機能を指す。事前に手動で転送しておくことで、予期しないトラブルを回避できる。

　役割が正常に転送されたかどうかは、FSMOの役割を持つサーバを照会するコマンド「netdom query fsmo」で確認できる。その後、レガシーなドメインコントローラーの停止に着手する。