WindowsのActive Directoryドメイン/フォレストの機能レベルとは?:Tech TIPS
Active Directoryのフォレストやドメインには、サポートする機能を限定させる「機能レベル」がある。これをActive Directory全体で統一することにより、Server OSの種類にかかわらず相互運用が可能になる。一度機能レベルを上げると元には戻すせないので、慎重に計画/運用する必要がある。
対象OS:Windows 2000 Server / Windows 2000 Advanced Server / Windows Server 2003 / Windows Server 2008
解説
Windows 2000で最初に導入されたActive Directory機能はネットワーク全体の統合的なアカウント管理などには欠かせない基本機能であるが、OSのバージョンアップとともに、順次機能が拡張されている。しかし既存のActive Directoryドメインに最新バージョンのServer OS(例えばWindows Server 2008)をドメインコントローラ(DC)として追加しても、Windows Server 2008のActive Directoryの新機能がすぐに利用できるわけではない。DCは複数のサーバで分散処理している関係上、新しい機能を利用するためには、すべてのDCのOSバージョンを揃えておかなければならないからだ。また、すべてのDCを新しいバージョンのOSにアップグレードしたからといって、自動的に新機能が有効になるわけでもない。後で以前のバージョンのOS(例:Windows Server 2003)をDCとして追加導入したり、連携して運用させたりすることになるかもしれないからだ。
- 関連記事: 運用「改訂 管理者のためのActive Directory入門」
このような状況に対応するため、Active Directoryには、「フォレストの機能レベル」と「ドメインの機能レベル」という2種類の機能セットレベルが用意されている。ドメインやフォレスト(フォレストはドメインツリーの集合体)ごとに機能レベルを設定しておくことにより、すべてのDCの機能を揃え、相互運用が可能になる。例えば、最初はWindows 2000 ServerやWindows Server 2003が混在しているので最小の機能レベルでActive Directoryを導入するが、DC用のサーバOSをすべてWindows Server 2008に更新/リプレースした時点で機能レベルを上げ、Windows Server 2008の持つ最新のActive Directory機能を利用するといった運用が可能になる。このように、導入されているOSの種類にかかわらず、Active Directory全体で機能を統一できる。
新しいサーバOSでは新しい機能レベルがサポートされているが、古いサーバOSのDC(NTドメインのBDCも含む)が存在する場合は、ドメインやフォレスト全体でそのDCに合わせた機能レベルを選択する必要がある。機能レベルを一度上げると元に戻すことはできないので、Active Directoryドメインの設計や運用時には十分に注意する必要がある。アプリケーションによっては特定の機能レベル以上を要求するものもあるので(例:Exchange Server 2007は「Windows 2000ネイティブ」以上が必要。「Exchange Server 2007システム管理入門 第1回」も参照)、利用するアプリケーションなども考慮して機能レベルを選択する。
本TIPSでは、各機能レベルで利用できるActive Directoryの機能について簡単にまとめておく。詳細な説明については、以下のサイトやサーバOSに付属のヘルプファイルなどを参照していただきたい。機能レベルを変更する方法はTIPS「Active Directoryドメイン/フォレストの機能レベルを上げる」を参照していただきたい。
- 各機能レベルで有効になる機能に関する付録(TechNetサイト)
●フォレストの機能レベル
以下にフォレストの機能レベルとその主な機能を示す。なおWindows 2000 Serverにはフォレストの機能レベルという概念はないが、Windows Server 2003以降では「Windows 2000 ネイティブ」と呼んでいる。
| レベル | 機能 |
|---|---|
| Windows 2000ネイティブ | ・Windows 2000 Serverのデフォルト状態(Windows 2000 Serverではフォレストの機能レベルは選択できず、この1種類のみが利用可能)。最も基本的なレベル ・NTドメイン(のBDC)と共存可 ・Windows 2000 Server以降で利用可能 |
| Windows Server 2003中間 | ・NT BDCとWindows Server 2003 DCが混在する環境で利用する(Windows 2000 ServerのDCとの共存は不可) ・NTドメインからWindows Server 2003モードへの移行期に使用。NTドメインからWindows Server 2003にアップグレードした場合に利用可能 ・Windows Server 2003以降で利用可能 |
| Windows Server 2003 | ・フォレストの信頼 ・ドメイン名の変更 ・リンクされた値のレプリケーション ・Windows Server 2008のRODC(読み取り専用ドメインコントローラ)との連携が可能 ・スキーマの属性/クラスの非アクティブ化と再定義 ・Windows Server 2003以降で利用可能 |
| Windows Server 2008 | ・機能的にはWindows Server 2003レベルと同じ。名称変更のみ。以後追加されるDCをWindows Server 2008に限定させるために利用可能 ・Windows Server 2008以降で利用可能 |
| Windows Server 2008 R2 | ・削除したオブジェクトを復旧させるごみ箱機能。「Windows Server 2008 R2 - Active Directory Recycle Bin に関する投稿(安納氏のブログ)」参照 ・Windows Server 2008 R2以降で利用可能 |
| フォレストの機能レベルとその主な特徴 基本的に下に行くほど利用できる機能が多くなっている(下位レベルのものを含む)。一度レベルを上げると元に戻すことはできないので、その利用に当たっては、慎重に計画する必要がある。 | |
●ドメインの機能レベル
以下にドメインの機能レベルとその主な機能を示す。なおWindows 2000 Serverでは機能レベルではなく、「混在モード」と「ネイティブ モード」というドメインの操作モードとして区別していた。
| レベル | 機能 |
|---|---|
| Windows 2000混在 | ・NTドメイン(Windows NT Server 4.0を使ったドメイン)からアップグレードしたActive Directory環境で利用可能 ・NTドメイン(のBDC)と共存する場合に利用する。BDCが存在する場合や、BDCを今後追加する予定があるなら、このレベルを使用する ・一番基本的なActive Directoryの形態 ・Windows 2000 Server以降で利用可能 |
| Windows 2000ネイティブ | ・NTドメインのBDCが不要な場合に選択する ・Windows 2000 ServerのActive Directoryの全機能が利用できる ・ユニバーサルグループやグループのネスト、グループの変換、セキュリティ識別子(SID)の履歴などが利用可能 ・Windows 2000 Server以降で利用可能 |
| Windows Server 2003中間 | ・NT BDCとWindows Server 2003 DCが混在する環境で利用する(Windows 2000 ServerのDCとの共存は不可) ・NTドメインからWindows Server 2003モードへの移行期に使用。NTドメインからWindows Server 2003にアップグレードした場合に利用可能 ・Windows Server 2003以降で利用可能 |
| Windows Server 2003 | ・ドメイン管理ツール(netdom.exe)が利用可能。このツールでDCの名称変更が可能 ・ログオンタイムスタンプの更新、userPassword 属性の設定 ・Users/Computersコンテナのリダイレクト ・Windows 2000 ServerのActive Directoryの全機能が利用できる ・Windows Server 2003以降で利用可能 |
| Windows Server 2008 | ・SYSVOLに対するDFS-R(分散ファイルシステム複製)のサポート。ただし最初からこのレベルでActive Directoryを導入していないと、(後から機能レベルをアップグレードさせた場合は)いくらか手動操作が必要になる。詳細は「Sysvol 複製を FRS から DFSR に移行するには Dfsrmig.exe コマンドを使用する(安納氏のブログ)」参照 ・AES暗号化によるKerberos認証プロトコルのサポート ・対話型の最終ログオンに関するログ情報の記録 ・詳細なパスワードポリシー ・Windows Server 2008のActive Directoryの全機能が利用できる ・Windows Server 2008以降で利用可能 |
| Windows Server 2008 R2 | ・認証メカニズムの保証(どの認証メカニズムを利用するかなどを限定させる。ADFSや特定の認証方法を強制的に利用させることが可能) ・Windows Server 2008 R2以降で利用可能 |
| ドメインの機能レベルとその主な特徴 基本的に下に行くほど利用できる機能が多くなっている(下位レベルのものを含む)。一度レベルを上げると元に戻すことはできないので、その利用に当たっては、慎重に計画する必要がある。 | |
■この記事と関連性の高い別の記事
- Active Directoryドメイン/フォレストの機能レベルを上げる(TIPS)
- Active DirectoryのFSMO役割をほかのDCへ転送する(GUI編)(TIPS)
- Active Directoryのデータベースを強制的に複製する(TIPS)
- WindowsのActive Directoryドメインを構築する(基本編)(TIPS)
- Active Directory移行ツールでドメイン情報を移行する(TIPS)
Copyright© Digital Advantage Corp. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。