Tweet

［Active Directory］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ Active Directoryドメイン／フォレストの機能レベルとは？ デジタルアドバンテージ　打越 浩幸 2009/05/22 対象OS Windows 2000 Server Windows Server 2003 Windows Server 2008

■ Active Directoryのフォレストやドメインには、サポートする機能を限定させる、機能レベルというセットがある。 ■ Active Directory全体で機能セットを統一することにより、Server OSの種類にかかわらず相互運用が可能になる。 ■ 新しいOSほどより上位の機能レベルをサポートするが、一度機能レベルを上げると元に戻すことはできないので、慎重に計画／運用する必要がある。

改訂 管理者のためのActive Directory入門

　Windows 2000で最初に導入されたActive Directory機能はネットワーク全体の統合的なアカウント管理などには欠かせない基本機能であるが、OSのバージョンアップとともに、順次機能が拡張されている。しかし既存のActive Directoryドメインに最新バージョンのServer OS（例えばWindows Server 2008）をドメイン・コントローラ（DC）として追加しても、Windows Server 2008のActive Directoryの新機能がすぐに利用できるわけではない。DCは複数のサーバで分散処理している関係上、新しい機能を利用するためには、すべてのDCのOSバージョンを揃えておかなければならないからだ。また、すべてのDCを新しいバージョンのOSにアップグレードしたからといって、自動的に新機能が有効になるわけでもない。後で以前のバージョンのOS（例：Windows Server 2003）をDCとして追加導入したり、連携して運用させたりすることになるかもしれないからだ。

　このような状況に対応するため、Active Directoryには、「フォレストの機能レベル」と「ドメインの機能レベル」という2種類の機能セット・レベルが用意されている。ドメインやフォレスト（フォレストはドメイン・ツリーの集合体）ごとに機能レベルを設定しておくことにより、すべてのDCの機能を揃え、相互運用が可能になる。例えば、最初はWindows 2000 ServerやWindows Server 2003が混在しているので最小の機能レベルでActive Directoryを導入するが、DC用のサーバOSをすべてWindows Server 2008に更新／リプレースした時点で機能レベルを上げ、Windows Server 2008の持つ最新のActive Directory機能を利用するといった運用が可能になる。このように、導入されているOSの種類にかかわらず、Active Directory全体で機能を統一できる。

　新しいサーバOSでは新しい機能レベルがサポートされているが、古いサーバOSのDCが存在する場合は、ドメインやフォレスト全体でそのDCに合わせた機能レベルを選択する必要がある。機能レベルを一度上げると元に戻すことはできないので、Active Directoryドメインの設計や運用時には十分に注意する必要がある。アプリケーションによっては特定の機能レベル以上を要求するものもあるので（例：Exchange Server 2007は「Windows 2000ネイティブ」以上が必要。「Exchange Server 2007システム管理入門 第1回」も参照）、利用するアプリケーションなども考慮して機能レベルを選択する。

　本TIPSでは、各機能レベルで利用できるActive Directoryの機能について簡単にまとめておく。詳細な説明については、以下のサイトやサーバOSに付属のヘルプ・ファイルなどを参照していただきたい。機能レベル変更方法については今後別TIPSで紹介する。

• Active Directoryの機能レベルごとの機能に関する付録（TechNetサイト）

フォレストの機能レベル

　以下にフォレストの機能レベルとその主な機能を示す。なおWindows 2000 Serverにはフォレストの機能レベルという概念はないが、Windows Server 2003以降では「Windows 2000 ネイティブ」と呼んでいる。

レベル	機能
Windows 2000ネイティブ	・Windows 2000 Serverのデフォルト状態（Windows 2000 Serverではフォレストの機能レベルは選択できず、この1種類のみが利用可能）。最も基本的なレベル ・NTドメイン（のBDC）と共存可 ・Windows 2000 Server以降で利用可能
Windows Server 2003中間	・NT BDCとWindows Server 2003 DCが混在する環境で利用する（Windows 2000 ServerのDCとの共存は不可） ・NTドメインからWindows Server 2003モードへの移行期に使用。NTドメインからWindows Server 2003にアップグレードした場合に利用可能 ・Windows Server 2003以降で利用可能
Windows Server 2003	・フォレストの信頼 ・ドメイン名の変更 ・リンクされた値のレプリケーション ・Windows Server 2008のRODC（読み取り専用ドメイン・コントローラ）との連携が可能 ・スキーマの属性／クラスの非アクティブ化と再定義 ・Windows Server 2003以降で利用可能
Windows Server 2008	・機能的にはWindows Server 2003レベルと同じ。名称変更のみ。以後追加されるDCをWindows Server 2008に限定させるために利用可能 ・Windows Server 2008以降で利用可能
Windows Server 2008 R2（※1）	・削除したオブジェクトを復旧させるごみ箱機能。「Windows Server 2008 R2 - Active Directory Recycle Bin に関する投稿（安納氏のブログ）」参照 ・Windows Server 2008 R2以降で利用可能
フォレストの機能レベルとその主な特徴
基本的に下に行くほど利用できる機能が多くなっている（下位レベルのものを含む）。一度レベルを上げると元に戻すことはできないので、その利用に当たっては、慎重に計画する必要がある。
※1：これは2009年末に出荷が予定されているWindows Server 2008 R2で実装される予定の機能であり、最終的な製品で利用できるかどうかは未定。

ドメインの機能レベル

　以下にドメインの機能レベルとその主な機能を示す。なおWindows 2000 Serverでは機能レベルではなく、「混在モード」と「ネイティブ モード」というドメインの操作モードとして区別していた。

レベル	機能
Windows 2000混在	・NTドメイン（Windows NT Server 4.0を使ったドメイン）からアップグレードしたActive Directory環境で利用可能 ・NTドメイン（のBDC）と共存する場合に利用する ・一番基本的なActive Directoryの形態 ・Windows 2000 Server以降で利用可能
Windows 2000ネイティブ	・NTドメインのBDCが不要な場合に選択する ・Windows 2000 ServerのActive Directoryの全機能が利用できる ・ユニバーサル・グループやグループのネスト、グループの変換、セキュリティ識別子（SID）の履歴などが利用可能 ・Windows 2000 Server以降で利用可能
Windows Server 2003中間	・NT BDCとWindows Server 2003 DCが混在する環境で利用する（Windows 2000 ServerのDCとの共存は不可） ・NTドメインからWindows Server 2003モードへの移行期に使用。NTドメインからWindows Server 2003にアップグレードした場合に利用可能 ・Windows Server 2003以降で利用可能
Windows Server 2003	・ドメイン管理ツール（netdom.exe）が利用可能。このツールでDCの名称変更が可能 ・ログオン・タイム・スタンプの更新、userPassword 属性の設定 ・Users／Computersコンテナのリダイレクト ・Windows 2000 ServerのActive Directoryの全機能が利用できる ・Windows Server 2003以降で利用可能
Windows Server 2008	・SYSVOLに対するDFS-R（分散ファイル・システム複製）のサポート。ただし最初からこのレベルでActive Directoryを導入していないと、（後から機能レベルをアップグレードさせた場合は）いくらか手動操作が必要になる。詳細は「Sysvol 複製を FRS から DFSR に移行するには Dfsrmig.exe コマンドを使用する（安納氏のブログ）」参照 ・AES暗号化によるKerberos認証プロトコルのサポート ・対話型の最終ログオンに関するログ情報の記録 ・詳細なパスワードポリシー ・Windows Server 2008のActive Directoryの全機能が利用できる ・Windows Server 2008以降で利用可能
Windows Server 2008 R2（※1）	・認証メカニズムの保証（どの認証メカニズムを利用するかなどを限定させる。ADFSや特定の認証方法を強制的に利用させることが可能） ・Windows Server 2008 R2以降で利用可能
ドメインの機能レベルとその主な特徴
基本的に下に行くほど利用できる機能が多くなっている（下位レベルのものを含む）。一度レベルを上げると元に戻すことはできないので、その利用に当たっては、慎重に計画する必要がある。
※1：これは2009年末に出荷が予定されているWindows Server 2008 R2で実装される予定の機能であり、最終的な製品で利用できるかどうかは未定。

この記事と関連性の高い別のWindows TIPS Active Directoryドメイン／フォレストの機能レベルを上げる Active DirectoryのFSMO役割をほかのDCへ転送する（GUI編） Active Directoryのデータベースを強制的に複製する Active Directoryドメインを構築する（基本編） Active Directory移行ツールでドメイン情報を移行する このリストは、（株）デジタルアドバンテージが開発した 自動関連記事探索システム Jigsaw（ジグソー） により自動抽出したものです。 generated by

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード