次の方法で共有

Active Directory ドメインとフォレストの機能レベルを上げる方法

  • [アーティクル]

この記事では、Active Directory ドメインとフォレストの機能レベルを上げる方法について説明します。

適用対象: Windows Server 2003
元の KB 番号: 322692

まとめ

Windows Server 2016 および Active Directory ドメイン Services (AD DS) の新機能については、「Windows Server 2016 用 Active Directory ドメイン Services の新機能を参照してください。

この記事では、Microsoft Windows Server 2003 ベースまたはそれ以降のドメイン コントローラーでサポートされているドメインとフォレストの機能レベルを上げる方法について説明します。 Active Directory には 4 つのリリースがあり、Windows NT Server 4.0 から変更されたレベルにのみ特別な考慮事項が必要です。 そのため、ドメイン コントローラー オペレーティング システム、ドメイン、またはフォレストの機能レベルの新しいバージョン、現在または古いバージョンを使用して、他のレベルの変更について説明します。

機能レベルは、新しい Active Directory 機能をアクティブ化するために Microsoft Windows 2000 Server で導入された混合モードとネイティブ モードの概念の拡張機能です。 一部の追加の Active Directory 機能は、すべてのドメイン コントローラーがドメインまたはフォレストで最新の Windows Server バージョンを実行している場合、および管理者がドメインまたはフォレスト内の対応する機能レベルをアクティブ化するときに使用できます。

最新のドメイン機能をアクティブ化するには、すべてのドメイン コントローラーがドメインで最新の Windows Server オペレーティング システム バージョンを実行している必要があります。 この要件が満たされている場合、管理者はドメインの機能レベルを上げることができます。

フォレスト全体の最新の機能をアクティブ化するには、フォレスト内のすべてのドメイン コントローラーが、目的のフォレストの機能レベルに対応する Windows Server オペレーティング システムバージョンを実行している必要があります。 さらに、現在のドメインの機能レベルは、既に最新のレベルである必要があります。 これらの要件が満たされている場合、管理者はフォレストの機能レベルを上げることができます。

一般に、ドメインとフォレストの機能レベルの変更は元に戻すことができません。 変更を元に戻すことができる場合は、フォレストの回復を使用する必要があります。 Windows Server 2008 R2 オペレーティング システムでは、ドメインの機能レベルとフォレストの機能レベルへの変更をロールバックできます。 ただし、ロールバックは、Active Directory の機能レベルに関する Technet の記事 説明されている特定のシナリオでのみ実行できます

Note

最新のドメイン機能レベルと最新のフォレスト機能レベルは、ドメイン コントローラーがグループとして連携して動作する方法にのみ影響します。 ドメインまたはフォレストと対話するクライアントは影響を受けません。 さらに、アプリケーションは、ドメインの機能レベルまたはフォレストの機能レベルの変更の影響を受けません。 ただし、アプリケーションでは、最新のドメイン機能と最新のフォレスト機能を利用できます。

詳細については、さまざまな機能レベル 関連付けられている機能に関する TechNet の記事を参照してください。

機能レベルを上げる

注意事項

ドメインに、そのレベルで引用されているバージョンより前のバージョンのドメイン コントローラーがある場合、またはドメイン コントローラーが存在する場合は、機能レベルを上げないでください。 たとえば、Windows Server 2008 の機能レベルでは、すべてのドメイン コントローラーに Windows Server 2008 以降のオペレーティング システムがドメインまたはフォレストにインストールされている必要があります。 ドメインの機能レベルを高いレベルに引き上げた後は、フォレストの回復を使用して古いレベルに戻す必要があります。 この制限は、多くの場合、機能がドメイン コントローラー間の通信を変更するため、または機能によってデータベース内の Active Directory データのストレージが変更されるために発生します。

ドメインとフォレストの機能レベルを有効にする最も一般的な方法は Windows Server 2003 Active Directory の機能レベルに関する TechNet の記事に記載されているグラフィカル ユーザー インターフェイス (GUI) 管理ツールを使用することです。 この記事では、Windows Server 2003 について説明します。 ただし、新しいオペレーティング システムのバージョンでは、手順は同じです。 さらに、機能レベルは手動で構成することも、Windows PowerShell スクリプトを使用して構成することもできます。 機能レベルを手動で構成する方法の詳細については、「機能レベルの表示と設定」セクションを参照してください。

Windows PowerShell スクリプトを使用して機能レベルを構成する方法の詳細については、「 フォレストの機能レベルを確認するを参照してください。

機能レベルを手動で表示および設定する

Ldp.exeや Adsiedit.msc などのライトウェイト ディレクトリ アクセス プロトコル (LDAP) ツールを使用して、現在のドメインとフォレストの機能レベルの設定を表示および変更できます。 機能レベル属性を手動で変更する場合は、通常は Microsoft 管理ツールの対象となるフレキシブル シングル マスター操作 (FSMO) ドメイン コントローラーで属性を変更することをお勧めします。

ドメイン機能レベルの設定

msDS-Behavior-Version 属性は、ドメインの名前付けコンテキスト (NC) ヘッド上にあります。つまり、DC=corp、DC=contoso、DC=com です。

この属性には、次の値を設定できます。

  • 値 0 または set=mixed level domain
  • 値 1 = Windows Server 2003 ドメイン レベル
  • 2 = Windows Server 2003 ドメイン レベルの値
  • 3 = Windows Server 2008 ドメイン レベルの値
  • 4 = Windows Server 2008 R2 ドメイン レベルの値

混合モードとネイティブ モードの設定

ntMixedDomain 属性は、ドメインの名前付けコンテキスト (NC) ヘッド上にあります。つまり、DC=corp、DC=contoso、DC=com です。

この属性には、次の値を設定できます。

  • 値 0=ネイティブ レベル ドメイン
  • 値 1 = 混合レベル ドメイン

フォレスト レベルの設定

msDS-Behavior-Version 属性は、構成名前付けコンテキスト (NC) の CN=Partitions オブジェクト、つまり CN=Partitions、CN=Configuration、DC= ForestRootDomain にあります。

この属性には、次の値を設定できます。

  • 値 0 または set=mixed level forest

  • 値 1 =Windows Server 2003 中間フォレスト レベル

  • 値 2 = Windows Server 2003 フォレスト レベル

    Note

    msDS-Behavior-Version 属性を 0 の値から 1 の値に増やすと、次のエラー メッセージが表示されます。
    無効な変更操作。 変更の一部の側面は許可されていません。

  • 3 = Windows Server 2008 ドメイン レベルの値

  • 4 = Windows Server 2008 R2 ドメイン レベルの値

Lightweight Directory Access Protocol (LDAP) ツールを使用して機能レベルを編集したら、[OK] をクリックして続行します。 パーティション コンテナーとドメイン ヘッドの属性が正しく増加します。 Ldp.exe ファイルによってエラー メッセージが報告された場合は、エラー メッセージを無視しても問題ありません。 レベルの引き上げが成功したことを確認するには、属性リストを更新してから、現在の設定を確認します。 このエラー メッセージは、変更がまだローカル ドメイン コントローラーにレプリケートされていない場合に、権限のある FSMO でレベルの引き上げを実行した後にも発生する可能性があります。

Ldp.exe ファイルを使用して現在の設定をすばやく表示する

  1. Ldp.exe ファイルを起動します。
  2. [接続] メニューの [接続] をクリックします。
  3. クエリを実行するドメイン コントローラーを指定するか、空白のままにして任意のドメイン コントローラーに接続します。

ドメイン コントローラーに接続すると、ドメイン コントローラーの RootDSE 情報が表示されます。 この情報には、フォレスト、ドメイン、およびドメイン コントローラーに関する情報が含まれます。 Windows Server 2003 ベースのドメイン コントローラーの例を次に示します。 次の例では、ドメイン モードが Windows Server 2003 であり、フォレスト モードが Windows 2000 Server であると仮定します。

Note

ドメイン コントローラーの機能は、このドメイン コントローラーの可能な限り最高の機能レベルを表します。

  • 1> domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
  • 1> forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
  • 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)

機能レベルを手動で変更するときの要件

  • 次のいずれかの条件に該当する場合は、ドメイン レベルを上げる前にドメイン モードをネイティブ モードに変更する必要があります。

    • ドメイン機能レベルは、domainDNS オブジェクトの msdsBehaviorVersion 属性の値を直接変更することによって、プログラムによって 2 番目の機能レベルに上げられます。
    • ドメイン機能レベルは、Ldp.exe ユーティリティまたは Adsiedit.msc ユーティリティを使用して、2 番目の機能レベルに上げられます。

    ドメイン レベルを上げる前にドメイン モードをネイティブ モードに変更しないと、操作が正常に完了せず、次のエラー メッセージが表示されます。

    SV_PROBLEM_WILL_NOT_PERFORM

    ERROR_DS_ILLEGAL_MOD_OPERATION

    さらに、次のメッセージがディレクトリ サービス ログに記録されます。

    Active Directory could not update the functional level of the following domain because the domain is in mixed mode.

    このシナリオでは、Active Directory ユーザーとコンピューター スナップインを使用して、ドメイン モードをネイティブ モードに変更できます、Active Directory ドメインs & Trusts UI MMC スナップインを使用するか、プログラムによってドメインDNS オブジェクトの ntMixedDomain 属性の値を 0 に変更します。 このプロセスを使用してドメインの機能レベルを 2 (Windows Server 2003) に上げると、ドメイン モードは自動的にネイティブ モードに変更されます。

  • 混合モードからネイティブ モードへの移行により、スキーマ管理者セキュリティ グループとエンタープライズ管理者セキュリティ グループのスコープがユニバーサル グループに変更されます。 これらのグループがユニバーサル グループに変更されると、システム ログに次のメッセージが記録されます。

    Event Type: Information  
Event Source: SAM  
Event ID: 16408  
Computer:Server Name  
Description: "Domain operation mode has been changed to Native Mode. The change cannot be reversed."

  • Windows Server 2003 管理ツールを使用してドメイン機能レベルを呼び出すと、ntmixedmode 属性と msdsBehaviorVersion 属性の両方が正しい順序で変更されます。 ただし、これは常に発生するとは限りません。 次のシナリオでは、スキーマ管理者セキュリティ グループとエンタープライズ管理者セキュリティ グループのスコープをユニバーサルに変更することなく、ネイティブ モードの値が暗黙的に 0 に設定されます。

    • ドメイン機能モードを制御する msdsBehaviorVersion 属性は、手動またはプログラムによって 2 の値に設定されます。
    • フォレストの機能レベルは、任意のメソッドを使用して 2 に設定されます。 このシナリオでは、ドメイン コントローラーは、ローカル エリア ネットワーク内のすべてのドメインがネイティブ モードに構成され、必要な属性の変更がセキュリティ グループスコープで行われるまで、フォレストの機能レベルへの移行をブロックします。

Windows 2000 Server に関連する機能レベル

Windows 2000 Server では、混合モードとネイティブ モードのみがサポートされます。 さらに、これらのモードはドメイン機能にのみ適用されます。 これらのモードは Windows NT 4.0 および Windows 2000 Server ドメインのアップグレード方法に影響するため、次のセクションでは Windows Server 2003 ドメイン モードの一覧を示します。

ドメイン コントローラーのオペレーティング システム レベルを上げる際には、多くの考慮事項があります。 これらの考慮事項は、Windows 2000 Server モードのリンクされた属性のストレージとレプリケーションの制限によって発生します。

Windows 2000 Server 混合 (既定)

  • サポートされているドメイン コントローラー: Microsoft Windows NT 4.0、Windows 2000 Server、Windows Server 2003
  • アクティブ化された機能: ローカル グループとグローバル グループ、グローバル カタログのサポート

Windows 2000 Server ネイティブ

  • サポートされているドメイン コントローラー: Windows 2000 Server、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2
  • アクティブ化された機能: グループの入れ子、ユニバーサル グループ、Sid 履歴、セキュリティ グループと配布グループ間のグループの変換、フォレスト レベルの設定を増やすことでドメイン レベルを上げることができます

Windows Server 2003 中間

  • サポートされているドメイン コントローラー: Windows NT 4.0、Windows Server 2003
  • サポートされている機能: このレベルでは、ドメイン全体の機能はアクティブ化されません。 フォレストレベルが中間に増加すると、フォレスト内のすべてのドメインがこのレベルに自動的に上がります。 このモードは、Windows NT 4.0 ドメインのドメイン コントローラーを Windows Server 2003 ドメイン コントローラーにアップグレードする場合にのみ使用されます。

Windows Server 2003

  • サポートされているドメイン コントローラー: Windows Server 2003、Windows Server 2008、Windows Server 2008 R2
  • サポートされている機能: ドメイン コントローラーの名前変更、ログオン タイムスタンプ属性の更新とレプリケート。 InetOrgPerson objectClass でのユーザー パスワードのサポート。 制約付き委任では、ユーザーとコンピューターのコンテナーをリダイレクトできます。

Windows NT 4.0 からアップグレードされたドメイン、または Windows Server 2003 ベースのコンピューターの昇格によって作成されたドメインは、Windows 2000 混合機能レベルで動作します。 Windows 2000 Server ドメイン コントローラーが Windows Server 2003 オペレーティング システムにアップグレードされると、Windows 2000 Server ドメインは現在のドメイン機能レベルを維持します。 ドメインの機能レベルは、Windows 2000 Server ネイティブまたは Windows Server 2003 のいずれかに上げることができます。

中間レベル - Windows NT 4.0 ドメインからのアップグレード

Windows Server 2003 Active Directory では、Windows Server 2003 中間という名前の特別なフォレストとドメインの機能レベルが許可されます。 この機能レベルは、アップグレード後に 1 つ以上の Windows NT 4.0 バックアップ ドメイン コントローラー (BDC) が機能する必要がある既存の Windows NT 4.0 ドメインのアップグレードに対して提供されます。 Windows 2000 Server ドメイン コントローラーは、このモードではサポートされていません。 Windows Server 2003 中間は、次のシナリオに適用されます。

  • Windows NT 4.0 から Windows Server 2003 へのドメイン アップグレード。
  • Windows NT 4.0 BDC はすぐにアップグレードされません。
  • 5,000 を超えるメンバーを持つグループを含む Windows NT 4.0 ドメイン (ドメイン ユーザー グループを除く)。
  • フォレストに Windows Server2000 ドメイン コントローラーをいつでも実装する予定はありません。

Windows Server 2003 中間では、Windows NT 4.0 BDC へのレプリケーションを許可しながら、次の 2 つの重要な機能強化が提供されます。

  1. セキュリティ グループの効率的なレプリケーションと、グループあたり 5,000 を超えるメンバーのサポート。
  2. KCC サイト間トポロジ ジェネレーター アルゴリズムが改善されました。

中間レベルでアクティブ化されるグループ レプリケーションの効率のため、中間レベルはすべての Windows NT 4.0 アップグレードに推奨されるレベルです。 詳細については、この記事の「ベスト プラクティス」セクションを参照してください。

Windows Server 2003 中間フォレストの機能レベルの設定

Windows Server 2003 中間は、3 つの異なる方法でアクティブ化できます。 最初の 2 つの方法を強くお勧めします。 これは、Windows NT 4.0 ドメインのプライマリ ドメイン コントローラー (PDC) が Windows Server 2003 ドメイン コントローラーにアップグレードされた後、セキュリティ グループがリンク値レプリケーション (LVR) を使用するためです。 セキュリティ グループのメンバーシップでは単一の複数値属性が使用されるため、3 番目のオプションはあまり推奨されません。この場合、レプリケーションの問題が発生する可能性があります。 Windows Server 2003 中間をアクティブ化する方法は次のとおりです。

  1. アップグレード中。

    このオプションは、新しいフォレストのルート ドメインの最初のドメイン コントローラーとして機能する Windows NT 4.0 ドメインの PDC をアップグレードするときに、Dcpromo インストール ウィザードに表示されます。

  2. ライトウェイト ディレクトリ アクセス プロトコル (LDAP) ツールを使用してフォレストの機能レベルを手動で構成することで、既存のフォレスト内の新しいドメインの最初のドメイン コントローラーとして Windows NT 4.0 の Windows NT 4.0 PDC をアップグレードする前に。

    子ドメインは、昇格されたフォレストからフォレスト全体の機能設定を継承します。 Ldp.exe ファイルまたは Adsiedit.msc ファイルを使用して中間フォレストの機能レベルが構成されている既存の Windows Server 2003 フォレストの子ドメインとして Windows NT 4.0 ドメインの PDC をアップグレードすると、オペレーティング システムのバージョンのアップグレード後にセキュリティ グループでリンク値レプリケーションを使用できるようになります。

  3. LDAP ツールを使用したアップグレード後。

    アップグレード中に既存の Windows Server 2003 フォレストに参加する場合は、最後の 2 つのオプションを使用します。 これは、"空のルート" ドメインが配置されている一般的なシナリオです。 アップグレードされたドメインは、空のルートの子として参加し、フォレストからドメイン設定を継承します。

ベスト プラクティス

次のセクションでは、機能レベルを上げるためのベスト プラクティスについて説明します。 セクションは 2 つの部分に分割されます。 「準備タスク」では、増加前に行う必要がある作業について説明し、「最適なパスの増加」では、さまざまなレベルの増加シナリオの動機と方法について説明します。

Windows NT 4.0 ドメイン コントローラーを検出するには、次の手順に従います。

  1. Windows Server 2003 ベースのドメイン コントローラーから、Active Directory ユーザーとコンピューターを開きます。

  2. ドメイン コントローラーがまだ適切なドメインに接続されていない場合は、次の手順に従って適切なドメインに接続します。

    1. 現在のドメイン オブジェクトを右クリックし、[ ドメインに接続] をクリックします。
    2. [ドメイン] ダイアログ ボックスで、接続先のドメインの DNS 名を入力し、[OK] をクリック。 または、[ Browse をクリックしてドメイン ツリーからドメインを選択し、[ OK] をクリック

  3. ドメイン オブジェクトを右クリックし、 Find をクリックします。

  4. [ Find ] ダイアログ ボックスで、[ Custom Search をクリックします。

  5. 機能レベルを変更するドメインをクリックします。

  6. [詳細設定] タブをクリックします。

  7. Enter LDAP クエリ ボックスに、次のように入力し、文字間にスペースを入れないでください:(>(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))

    Note

    このクエリでは、大文字と小文字は区別されません。

  8. [Find Now] をクリックします。

    Windows NT 4.0 を実行し、ドメイン コントローラーとして機能しているドメイン内のコンピューターの一覧が表示されます。

ドメイン コントローラーは、次のいずれかの理由で一覧に表示される場合があります。

  • ドメイン コントローラーは Windows NT 4.0 を実行しており、アップグレードする必要があります。
  • ドメイン コントローラーは Windows Server 2003 にアップグレードされますが、変更はターゲット ドメイン コントローラーにレプリケートされません。
  • ドメイン コントローラーのサービスは終了しましたが、ドメイン コントローラーのコンピューター オブジェクトはドメインから削除されません。

ドメイン機能レベルを Windows Server 2003 に変更する前に、リスト内の任意のドメイン コントローラーを物理的に見つけ、ドメイン コントローラーの現在の状態を確認してから、必要に応じてドメイン コントローラーをアップグレードまたは削除する必要があります。

Note

Windows Server 2000 ドメイン コントローラーとは異なり、Windows NT 4.0 ドメイン コントローラーはレベルの増加をブロックしません。 ドメイン機能レベルを変更すると、Windows NT 4.0 ドメイン コントローラーへのレプリケーションが停止します。 ただし、Windows Server 2000 のドメインを使用して Windows Server 2003 フォレスト レベルに上げようとすると、混合レベルはブロックされます。 Windows NT 4.0 BDC の不足は、Windows Server 2000 ネイティブ レベル以降のすべてのドメインのフォレスト レベルの要件を満たすことによって暗示されます。

例: レベルが上がる前の準備タスク

この例では、Windows Server 2000 混合モードから Windows Server 2003 フォレスト モードに環境が発生します。

以前のバージョンのドメイン コントローラーのフォレストのインベントリを作成します。

正確なサーバー一覧が使用できない場合は、次の手順に従います。

  1. 混在レベルのドメイン、Windows Server 2000 ドメイン コントローラー、またはオブジェクトが破損または不足しているドメイン コントローラーを検出するには、Active Directory ドメインと Trusts MMC スナップインを使用します。
  2. スナップインで フォレスト機能をクリックし、 をクリックして 詳細なレポートを生成します。
  3. 問題が見つからなかった場合、Windows Server 2003 フォレスト レベルに上げるオプションは、 の [使用可能なフォレストの機能レベル ]'ドロップダウン リストから使用できます。 フォレスト レベルを上げようとすると、構成コンテナー内のドメイン コントローラー オブジェクトで、 msds-behavior-version 目的のターゲット レベルに設定されていないドメイン コントローラーが検索されます。 これらは、破損している Windows Server 2000 ドメイン コントローラーまたは新しい Windows Server ドメイン コントローラー オブジェクトのいずれかと見なされます。
  4. 以前のバージョンのドメイン コントローラーまたはコンピューター オブジェクトが破損または不足しているドメイン コントローラーが見つかった場合は、レポートに含まれます。 これらのドメイン コントローラーの状態を調査し、Active Directory のドメイン コントローラー表現を Ntdsutil ファイルを使用して修復または削除する必要があります。

詳細については、次の記事の番号をクリックして表示される Microsoft サポート技術情報の記事を参照してください。
216498 ドメイン コントローラーの降格に失敗した後に Active Directory 内のデータを削除する方法

エンド ツー エンド レプリケーションがフォレストで動作していることを確認する

エンド ツー エンド レプリケーションがフォレストで動作していることを確認するには、Windows Server 2000 または Windows Server 2003 ドメイン コントローラーに対して、Windows Server 2003 以降のバージョンの Repadmin を使用します。

  • Repadmin/Replsum * /Sort:Delta[/Errorsonly] 初期インベントリの場合は 〗。

  • Repadmin/Showrepl * /CSV>showrepl.csv. Excel にインポートし、Data->Autofilter を使用してレプリケーション機能を識別します。

    Repadmin などのレプリケーション ツールを使用して、フォレスト全体のレプリケーションが正しく動作していることを確認します。

すべてのプログラムまたはサービスと、新しい Windows Server ドメイン コントローラー、および上位の Windows Server ドメインとフォレスト モードとの互換性を確認します。 ラボ環境を使用して、運用環境のプログラムとサービスの互換性の問題を徹底的にテストします。 機能の確認については、ベンダーにお問い合わせください。

次のいずれかのアクションを含むバックアウト 計画を準備します。

  • フォレスト内の各ドメインから少なくとも 2 つのドメイン コントローラーを切断します。
  • フォレスト内の各ドメインから、少なくとも 2 つのドメイン コントローラーのシステム状態バックアップを作成します。

バックアウト 計画を使用するには、復旧プロセスの前に、フォレスト内のすべてのドメイン コントローラーを使用停止にする必要があります。

Note

レベルの引き上げを権限を持って復元することはできません。 つまり、レベルの引き上げをレプリケートしたすべてのドメイン コントローラーを使用停止にする必要があります。

以前のすべてのドメイン コントローラーが使用停止になった後、切断されたドメイン コントローラーを起動するか、バックアップからドメイン コントローラーを復元します。 他のすべてのドメイン コントローラーからメタデータを削除し、それらを再現します。 これは困難なプロセスであり、避ける必要があります。

例: Windows Server 2000 混合レベルから Windows Server 2003 フォレスト レベルにアクセスする方法

すべてのドメインを Windows Server 2000 ネイティブ レベルに増やします。 これが完了したら、フォレスト ルート ドメインの機能レベルを Windows Server 2003 フォレスト レベルに引き上げます。 フォレスト レベルがフォレスト内の各ドメインの PDC にレプリケートされると、ドメイン レベルは Windows Server 2003 ドメイン レベルに自動的に増加します。 この方法には次の利点があります。

  • フォレスト全体のレベルの引き上げは、1 回だけ実行されます。 フォレスト内の各ドメインを Windows Server 2003 ドメインの機能レベルに手動で増やす必要はありません。
  • レベルが上がる前に、Windows Server 2000 ドメイン コントローラーのチェックが実行されます (準備手順を参照)。 この増加は、問題のあるドメイン コントローラーが削除またはアップグレードされるまでブロックされます。 ブロックしているドメイン コントローラーを一覧表示し、操作可能なデータを提供することで、詳細なレポートを生成できます。
  • Windows Server 2000 混合レベルまたは Windows Server 2003 中間レベルのドメインのチェックが実行されます。 ドメイン レベルが少なくとも Windows Server 2000 ネイティブに増加するまで、この増加はブロックされます。 中間レベルのドメインは、Windows Server 2003 ドメイン レベルに増やす必要があります。 ブロック ドメインを一覧表示することで、詳細なレポートを生成できます。

Windows NT 4.0 のアップグレード

Windows NT 4.0 のアップグレードでは、PDC がアップグレードされるフォレストに Windows Server 2000 ドメイン コントローラーが導入されていない限り、PDC のアップグレード中は常に中間レベルが使用されます。 PDC のアップグレード中に中間モードを使用する場合、既存の大規模なグループは LVR レプリケーションをすぐに使用するため、この記事で前述したレプリケーションの潜在的な問題を回避できます。 アップグレード中に中間レベルに到達するには、次のいずれかの方法を使用します。

  • Dcpromo 中に中間レベルを選択します。 このオプションは、PDC が新しいフォレストにアップグレードされた場合にのみ表示されます。
  • 既存のフォレストのフォレスト レベルを中間に設定し、PDC のアップグレード中にフォレストに参加します。 アップグレードされたドメインは、フォレストの設定を継承します。
  • すべての Windows NT 4.0 BDC をアップグレードまたは削除した後、各ドメインをフォレスト レベルに移行する必要があり、Windows Server 2003 フォレスト モードに移行できます。

中間モードの使用を回避する理由は、アップグレード後、または将来いつでも、Windows Server 2000 ドメイン コントローラーを実装する予定がある場合です。

Windows NT 4.0 の大規模なグループに関する特別な考慮事項

成熟した Windows NT 4.0 ドメインには、5,000 を超えるメンバーを含むセキュリティ グループが存在する可能性があります。 Windows NT 4.0 では、セキュリティ グループのメンバーが変更されると、メンバーシップの 1 つの変更のみがバックアップ ドメイン コントローラーにレプリケートされます。 Windows Server 2000 では、グループ メンバーシップは、グループ オブジェクトの単一の複数値属性に格納されているリンク属性です。 グループのメンバーシップに対して 1 つの変更が行われると、グループ全体が 1 つのユニットとしてレプリケートされます。 グループ メンバーシップは 1 つのユニットとしてレプリケートされるため、異なるメンバーが異なるドメイン コントローラーで同時に追加または削除されると、グループ メンバーシップの更新が "失われる" 可能性があります。 さらに、この 1 つのオブジェクトのサイズは、データベースへのエントリのコミットに使用されるバッファーを超える場合があります。 詳細については、この記事の「大きなグループでのバージョン ストアの問題」セクションを参照してください。 このような理由から、グループ メンバーの推奨される制限は 5000 です。

5000 メンバー ルールの例外はプライマリ グループです (既定では、これは "Domain Users" グループです)。 プライマリ グループは、ユーザーの "primarygroupID" に基づく "計算済み" メカニズムを使用してメンバーシップを決定します。 プライマリ グループは、メンバーを複数値のリンクされた属性として格納しません。 ユーザーのプライマリ グループがカスタム グループに変更された場合、Domain Users グループのメンバーシップはグループのリンクされた属性に書き込まれ、計算されなくなります。 新しいプライマリ グループ Rid は "primarygroupID" に書き込まれ、ユーザーはグループのメンバー属性から削除されます。

管理者がアップグレード ドメインの中間レベルを選択しない場合は、アップグレードの前に次の手順に従う必要があります。

  1. ドメイン ユーザー グループを除き、すべての大規模なグループのインベントリを作成し、5000 を超えるグループを特定します。
  2. メンバーが 5,000 を超えるすべてのグループは、5,000 人未満の小さなグループに分割する必要があります。
  3. 大規模なグループが入力されたすべてのアクセス制御リストを検索し、手順 2.Windows Server 2003 中間フォレスト レベルで作成した小さなグループを追加すると、管理者は 5,000 を超えるメンバーを持つグローバル セキュリティ グループを検出して再割り当てする必要が軽減されます。

大規模なグループに関するバージョン ストアの問題

詳細検索や単一の大きな属性へのコミットなどの実行時間の長い操作中、Active Directory では、操作が完了するまで、データベースの状態が静的であることを確認する必要があります。 大規模な属性に対するディープ検索またはコミットの例として、レガシ ストレージを使用する大規模なグループがあります。

データベースの更新がローカルおよびレプリケーション パートナーから継続的に行われているため、Active Directory では、実行時間の長い操作が完了するまですべての受信変更をキューに入れ、静的な状態が提供されます。 操作が完了するとすぐに、キューに登録された変更がデータベースに適用されます。

これらのキューに置かれた変更の保存場所は、"バージョン ストア" と呼ばれ、約 100 メガバイトです。 バージョン ストアのサイズは、物理メモリによって異なります。 バージョン ストアが使い果たされる前に実行時間の長い操作が完了しない場合、ドメイン コントローラーは、実行時間の長い操作とキューに登録された変更がコミットされるまで、更新プログラムの受け入れを停止します。 多数 (5,000 を超えるメンバー) に達するグループは、大規模なグループがコミットされている限り、ドメイン コントローラーがバージョン ストアを使い果たすリスクにさらされます。

Windows Server 2003 では、リンク値レプリケーション (LVR) と呼ばれるリンクされた複数値属性の新しいレプリケーション メカニズムが導入されています。 LVR では、1 つのレプリケーション操作でグループ全体をレプリケートする代わりに、各グループ メンバーを個別のレプリケーション操作としてレプリケートすることで、この問題に対処します。 フォレストの機能レベルが Windows Server 2003 中間フォレスト レベルまたは Windows Server 2003 フォレスト レベルに上がると、LVR が使用可能になります。 この機能レベルでは、LVR を使用して Windows Server 2003 ドメイン コントローラー間でグループをレプリケートします。