Embed Size (px)
Citation preview
Windows Server 2012 R2
最新 Active Directory の機能&移行ガイド ~ Windows Server 2003 から Windows Server 2012 R2 へのフォレスト/ドメインの移行 ~
Server and Cloud Platform
- 1 -
Windows Server 2012 R2
最新 Active Directory の機能&移行ガイド
第 1.4 版
日本マイクロソフト株式会社
Published: 2014 年 1 月 5 日
Updated: 2015 年 6 月 5 日
概要
このガイドについて
このガイドは、企業や組織の IT 環境で現在稼働中の Windows Server 2003、Windows Server 2003
R2、Windows Server 2008 ベースの Active Directory ドメイン コントローラーを、Windows Server
2012 R2 ベースの最新オペレーティング システム (OS) 環境に移行するための、製品の機能やテクノロ
ジ、運用管理に関する情報を提供します。特に、製品サポート ライフサイクルの終了期限が迫っている
Windows Server 2003 および Windows Server 2003 R2 環境からの移行の必要性と移行のメリットに
ついて解説します。
対象ユーザー
この評価ガイドは、企業やサービス プロバイダーにおいて IT インフラストラクチャの設計、導入、運用
を担当する管理者、担当者、および IT プロフェッショナルを対象としています。
最新情報
Windows Server 2012 R2 および System Center 2012 R2 の最新情報については、以下の製品サイト
を参照してください。
Windows Server 2012 R2 | マイクロソフト サーバー&クラウド プラットフォーム
http://www.microsoft.com/ja-jp/server-cloud/windows-server/windows-server-2012-
r2.aspx
System Center 2012 R2 | マイクロソフト サーバー&クラウド プラットフォーム
http://www.microsoft.com/ja-jp/server-cloud/system-center/system-center-2012-r2.aspx
- 2 -
著作権情報
このドキュメントは、 "現状のまま" 提供されます。このドキュメントに記載されている情報 (URL など
のインターネット Web サイトに関する情報を含む) は、将来予告なしに変更することがあります。
このドキュメントは、Microsoft 製品の知的財産権に関する権利をお客様に許諾するものではありません。
お客様は、内部的な参照目的に限り、ドキュメントを複製して使用することができます。
© 2014 Microsoft Corporation. All rights reserved.
Microsoft、Active Directory、Hyper-V、MS-DOS、Windows、Windows NT、Windows Server、およ
び Windows Vista は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商
標です。
その他すべての商標は各社が所有しています。
- 3 -
目次
概要 ................................................................................................................................ 1
はじめに ........................................................................................................................... 4
最新 Active Directory の機能とメリット .............................................................................. 5
セキュリティとデスクトップのコントロールの強化 ................................................................. 5
ドメインの運用管理の強化 ................................................................................................. 8
ドメイン コントローラーの仮想化対応 ............................................................................... 13
Active Directory ベースのボリューム ライセンス認証 .......................................................... 14
BYOD 対応の強化 ......................................................................................................... 15
クラウドとの連携 .......................................................................................................... 17
Active Directory ドメインのアップグレード ........................................................................ 19
移行の準備 ................................................................................................................... 20
Windows Server 2012 R2 ドメイン コントローラーの追加................................................... 21
操作マスターの転送 ....................................................................................................... 23
Windows Server 2003 ドメイン コントローラーの降格 ....................................................... 26
フォレストおよびドメインの機能レベルの昇格 ..................................................................... 26
ドメインの再編とオブジェクトの移行について ..................................................................... 27
Active Directory ドメインの運用管理 ................................................................................. 28
サーバー マネージャーによるサービスと構成の監視 .............................................................. 28
Active Directory の管理ツール ........................................................................................ 29
グループ ポリシーの管理 ................................................................................................ 32
Operations Manager による監視 ..................................................................................... 34
ディレクトリのバックアップと回復 ................................................................................... 34
まとめ ............................................................................................................................ 36
評価リソース ................................................................................................................ 37
- 4 -
はじめに
マイクロソフトは 2013 年 11 月 1 日に、Windows Server と System Center 管理製品の最新バージ
ョンである Windows Server 2012 R2 および System Center 2012 R2 の発売を開始しました。この最
新のサーバー OS とシステム管理製品は、多くの企業がいま本当に必要としている IT 環境を実現する、
および現在抱えている IT の課題を解決する、さまざまな新機能やテクノロジを提供します。
新しいサーバー OS の登場の一方で、少なからぬ企業において、Windows Server 2003 および Windows
Server 2003 R2 の製品サポートの終了という、対処しなければならない課題のタイム リミットが迫って
きました。マイクロソフトは企業向け製品に対して、最短 5 年のメイン ストリーム サポートと最短 5 年
の延長サポートの合計最短 10 年の製品サポートを提供しています。Windows Server 2003 および
Windows Server 2003 R2 のすべての製品サポートは、2015 年 7 月 15 日 (日本時間) に終了します。
製品サポートが終了すると、以後、重大なセキュリティ問題が発見されたとしても、その詳細な情報が公開
されることも、セキュリティ更新プログラムが提供されることもなくなり、セキュリティ リスクは日に日
に増大していきます。まだタイム リミットまでには 1 年以上ありますが、現在、サポート終了対象のサー
バーを運用している場合は、すぐにでも移行プロジェクトを開始してください。Windows Server 2003 の
レガシなテクノロジと Windows Server 2012 R2 の最新テクノロジのギャップは大きく、移行プロジェ
クトは単純な作業というわけにはいかないでしょう。しかし、Windows Server 2012 R2 は、Windows
Server 2003 からの移行に標準で対応する最後のサーバー OS になる予定です。この機会を逃すと、移行
はさらに困難になります。
このガイドでは、Windows Server 2003、Windows Server 2003 R2、または Windows Server 2008
のドメイン コントローラーで運用中の Active Directory フォレスト/ドメインを、Windows Server 2012
R2 の最新の Active Directory 環境に移行する手順、および移行後の運用管理について説明します。その
前に、Windows Server 2012 R2 の Active Directory ドメイン サービスの新機能を紹介します。Active
Directory は企業における ID とセキュリティの重要な基盤サービスです。最新の Active Directory 環境
に移行することで得られるメリットを是非とも知ってください。Windows Server 2012 R2 への移行は、
単に製品サポートを得るだけではない、さまざまな付加価値を提供します。
- 5 -
最新 Active Directory の機能とメリット
Windows Server 2012 R2 は最新の Active Directory ドメイン サービス (AD DS) を提供します。最新
の Active Directory ドメイン サービスは、Windows Server 2003 の Active Directory フォレスト/ド
メインと下位互換性がありますが、その間に 3 つのバージョン (2008、2008 R2、2012) が存在するこ
とから想像できるように、最新の Active Directory はさまざまな面で強化されています。現在、Windows
Server 2003 ベースの Active Directory を運用している場合は、Active Directory を最新バージョンに
アップグレードするだけでも多くのメリットを得られるでしょう。
セキュリティとデスクトップのコントロールの強化
Active Directory は、ID とアクセス制御の基盤を提供します。加えて、企業内のクライアント PC のセキ
ュリティとデスクトップ環境を IT 部門がコントロールする基盤を提供します。Windows Server 2012 R2
の Active Directory は、レガシな Windows から 最新の Windows を実行するクライアント PC まで
を完全にコントロールできます。
最新のグループ ポリシーによるポリシー管理
グループ ポリシーを利用すると、コンピューターのローカル セキュリティ ポリシー、システム設定、ユ
ーザーのデスクトップ環境の設定、ソフトウェアのインストール (Windows インストーラー形式)、スクリ
プトの自動実行、セキュリティが強化された Windows ファイアウォールの構成、ソフトウェアの制限、証
明書の自動発行やルート証明書の配布など、コンピューターとユーザーのセキュリティとデスクトップ環境、
アプリケーションに関する広範囲の構成を中央で一元管理し、クライアントに強制することができます。
最新の Active Directory は、Windows 8.1 Pro および Enterprise に対応した新しいポリシーを標準提
供します。例えば、新しい UI のカスタマイズやサインイン時のデスクトップへの自動切換え、ストアや
OneDrive の使用制限などをポリシーで構成できます。Windows 7 Enterprise 以降では、AppLocker に
よる実行可能ファイルや Windows インストーラー、スクリプトの実行制限および監査がサポートされま
したが、Windows 8.1 Enterprise に対しては Windows ストア アプリの制限にも対応しています。
画面: AppLocker は、Windows ストア アプリの実行許可または禁止をサポート
- 6 -
画面: AppLocker によりアプリの実行がブロックされた様子
グループ ポリシーの基本設定
グループ ポリシーの基本設定は、Windows Server 2008 の Active Directory で初めて提供されたグル
ープ ポリシーの拡張機能です。グループ ポリシーの基本設定を使用すると、Windows の環境変数の設定、
ファイルやフォルダーの作成、レジストリの設定、共有のドライブ マッピング、ショートカットの登録、
コントロール パネルの各種設定をグループ ポリシーで行って、クライアントに展開できます。
通常のグループ ポリシーは、グループ ポリシーの対象外になるとポリシー設定が削除されますが、グルー
プ ポリシー基本設定は各種設定を永続的に変更します。例えば、スタート メニューに業務アプリケーショ
ンのショートカット メニューを作成したり、管理用のローカル ユーザーをすべてのクライアントに作成し
たり、サービスのスタートアップを変更したりといった目的で利用できます。
画面: グループ ポリシーの基本設定を利用して、Windows のシステム設定を行う
細かい設定が可能なパスワード ポリシー
Windows Server 2003 以前の Active Directory ドメインでは、パスワード ポリシー (パスワードの長
さや複雑さの要件など) はドメインに 1 つだけというのが仕様でした。そのため、異なるパスワード ポリ
シーを利用したいという理由で、ドメインを分割するということもあったようです。パスワード ポリシー
がドメインに 1 つという仕様は現在も同じですが、Windows Server 2008 の Active Directory からは
- 7 -
「細かい設定が可能なパスワード ポリシー (File-Grained Password Policy) 」を利用して、ユーザーやグ
ループに個別のパスワード ポリシーを適用できるようになりました。
細かい設定が可能なパスワード ポリシーを設定するには、パスワード設定オブジェクト (Password
Setting Object: PSO) という特別なディレクトリ オブジェクトを作成し、PSO をユーザーやグループに
リンクするという複雑な設定が必要でした。Windows Server 2012 以降の Active Directory では、この
複雑な設定を[Active Directory 管理センター]の GUI インターフェイスから簡単に行えるように改善さ
れています。
画面: 細かい設定が可能なパスワード ポリシーの GUI による構成
ダイナミック アクセス制御
「ダイナミック アクセス制御」は、Windows 8 および Windows Server 2012 以降に導入された、承認
とアクセス制御の上級の機能です。
これまでは、例えばファイル サーバーの共有に対してアクセス制御を行う場合、Active Directory のユー
ザーやグループに対してアクセス許可 (アクセス制御エントリ: ACE) を設定したアクセス制御リスト
(ACL) をファイルやフォルダーごとに設定する必要がありました。ダイナミック アクセス制御を利用する
と、「集約型アクセス規則」というアクセス許可設定を中央で一元的に作成し、「集約型アクセス ポリシー」
としてグループ ポリシーを通じてファイル サーバーに配布できます。ファイル サーバー管理者は、集約
型アクセス ポリシーを共有に割り当てるだけで、適切なアクセス許可設定を簡単に実装できます。
集約型アクセス規則では、従来のアクセス制御エントリ (ACE) に加えて、ユーザーやグループの属性、リ
ソース プロパティに基づいた動的なアクセス許可を構成できます。Windows 8 および Windows Server
2012 以降の Kerberos 認証の拡張により可能になったもので、例えば、ユーザーの所属や役職、アクセス
元のコンピューターの種類や場所、ファイルやフォルダーの分類 (ファイル サーバー リソース マネージ
ャーの機能) に基づいて、アクセスの許可または拒否または監査を動的に評価できます。
- 8 -
画面: ダイナミック アクセス制御の集約型アクセス規則
Protected Users グループ
Windows Server 2012 R2 の Active Directory ドメインには、Protected Users というビルトインの新
しいグローバル セキュリティ グループが存在します。このグループは、Windows 8.1 を実行する PC や
デバイスからの認証セキュリティをさらに強化するために利用できます。
Protected Users のメンバーは、AES 暗号化による Kerberos 認証が必須とされ、強度の弱い暗号化の
Kerberos 認証、NTLM 認証、ダイジェスト認証、CredSSP 認証、ユーザー アカウントの Kerberos 委任
は使用できなくなります。また、既定の Kerberos チケット保証チケット (TGT) の有効期限が 4 時間に
なり、4 時間ごとの再認証を要求されます。さらに、Windows 8.1 クライアントのローカルにパスワード
がキャッシュされなくなります。
ドメインの運用管理の強化
Active Directory ドメインの運用管理面での主な強化点を説明します。
Actvie Directory 管理センター
Active Directory のフォレスト/ドメインは、[Active Directory ユーザーとコンピューター]、[Active
Directory ドメインと信頼関係]、[Active Directory サイトとサービス]の各スナップインを使い分けて構
成および管理します。Windows Server 2008 R2 以降は、Windows PowerShell 用の ActiveDirectory
モジュールが標準提供され、Windows PowerShell でほとんどの構成と管理ができるようになりました。
場合によっては、Windows PowerShell でなければ構成できないものもあります。
Windows Server 2008 R2 以降では、Windows PowerShell に基づいて開発された[Active Directory
管理センター]も利用できます。[Active Directory 管理センター]は、Windows Server 2012 で大幅に
改善、強化され、日常的な管理タスクのほとんどを 1 つの管理コンソールで実行できるようになりました。
[Active Directory ユーザーとコンピューター]スナップインでユーザーを新規作成する場合、ユーザー名
とパスワードを設定してユーザーを作成してから、ユーザー オブジェクトのプロパティを開いて、フリガ
- 9 -
ナやグループ メンバーシップ、移動ユーザー プロファイル、組織の情報などの詳細な設定を行いました。
同じ管理タスクを[Active Directory 管理センター]から行う場合、[ユーザーの作成]フォームでそのす
べてを一度に設定できます。
前述したように、[Active Directory 管理センター]は Windows PowerShell 上で動作するツールです。
[Active Directory 管理センター]で行った操作は、Windows PowerShell のコマンドラインとして実行
され、その履歴は[Active Directory 管理センター]の下部にある[Windows PowerShell 履歴]エリア
で確認することができます。実行されたコマンドラインはクリップ ボードにコピーできるので、Windows
PowerShell が得意でないという管理者であっても、ID 管理の繰り返しタスクをスクリプト化して、バッ
チ実行することができます。
画面: [Active Directory 管理センター]を使用したユーザーの新規作成
Active Directory ごみ箱
Windows Server 2012 以降の[Active Directory 管理センター]には、従来、Windows PowerShell で
しか構成できなかった 2 つの機能が GUI として統合されています。その 1 つは、前述した細かい設定が
可能なパスワード ポリシーの作成とユーザーやグループへの適用です。もう 1 つは、「Active Directory
ごみ箱」の機能です。Active Directory ごみ箱を利用すると、Active Directory のバックアップから特定
のオブジェクトを回復するという複雑な手順を踏まなくても、削除済みオブジェクトを復元することができ
ます。
Active Directory ごみ箱は Windows Server 2008 R2 の Active Directory で初めてサポートされまし
たが、有効化するには Windows PowerShell のコマンドラインを実行する必要がありました。また、機能
名とは異なり、視覚的なごみ箱は提供されなかったため、Windows PowerShell で削除済みのオブジェク
トを検索して、復元するという操作が必要でした。Windows Server 2012 以降の[Active Directory 管
理センター]では、Active Directory ごみ箱をクリック操作で有効化することができます。また、視覚的な
ごみ箱として[Deleted Objects]コンテナーが提供され、簡単な操作で目的のオブジェクトを復元できま
す。
- 10 -
画面: Windows Server 2012 以降の[Active Directory 管理センター]では視覚的なごみ箱を利用できる
オフライン ドメイン参加
コンピューターを Active Directory ドメインに参加させるには、通常、システムのプロパティから GUI で
参加設定を行うか、NETDOM コマンドや Windows PowerShell の Add-Computer コマンドレットを使
用します。Windows 7 および Windows Server 2008 R2 以降のコンピューターは、これらの方法に加え
て「オフライン ドメイン参加」という方法を利用できます。
オフライン ドメイン参加を利用すると、企業内のネットワークに接続されていないコンピューターや、オ
フラインのイメージ (仮想マシンの仮想ハード ディスクなど) に対して、Active Directory のドメイン参
加設定を行い、次に企業内ネットワークに接続した際に参加設定を完了させることができます。オフライン
ドメイン参加を行うには、ドメイン環境で DJOIN /PROVISION ... コマンドを実行してプロビジョニング
データを作成し、オフライン コンピューターで DJOIN /REQUESTODJ ... コマンドを実行してオフライ
ン ドメイン参加要求を構成します。
Windows 8 および Windows Server 2012 以降は、オフライン ドメイン参加のプロビジョニング デー
タにグループ ポリシー オブジェクトやルート証明書を含めることができるようになりました。
DirectAccess クライアントはグループ ポリシーで構成されるため、オフライン ドメイン参加を利用する
と、コンピューターを一度も企業内ネットワークに持ち込むことなく、社外のコンピューターをドメイン メ
ンバーとして構成し、DirectAccess で社内ネットワークにリモート アクセスできるように構成することが
できます。
グループの管理されたサービス アカウント
「グループの管理されたサービス アカウント (Group Managed Service Account: gMSA)」は、サービス
の実行アカウントとして利用可能な、パスワード管理の不要な特殊なアカウントです。グループの管理され
たサービス アカウントは、ドメイン コントローラーでパスワードが定期的に自動でリセットされ、複数の
ドメイン メンバーでサービス アカウントとして利用できます。グループの管理されたサービス アカウン
トはパスワードの管理が不要であり、Windows のサインイン認証には使用できないため、通常のドメイン
- 11 -
アカウントをサービス アカウントとして利用するよりも適しています。
グループの管理されたサービス アカウントは、New-ADServiceAccount コマンドレットを使用して
Windows Server 2012 以降のドメイン コントローラーで作成でき、1 台以上の Windows 8 および
Windows Server 2012以降のドメイン メンバーに使用を許可できます。なお、Windows Server 2008
R2 および Windows 7 で導入された「管理されたサービスアカウント (Managed Service Account:
MSA)」についても引き続きサポートされます。
画面: グループの管理されたサービス アカウントは、パスワードの入力が不要
BitLocker ドライブ暗号化の回復キーの一元管理
BitLocker ドライブ暗号化は、Windows Vista Enterprise および Ultimate エディションで初めて提供さ
れた、ドライブ全体を暗号化して保護する企業向けのセキュリティ機能です。BitLocker の暗号化キーは、
コンピューターに搭載される TPM (Trusted Platform Module) セキュリティ チップに安全に格納され、
さらに追加の認証として PIN の入力や USB キーを組み合わせることができるます。これにより、紛失や
盗難にあった PC が不正に利用されたり、ハード ディスクを取り出して不正にアクセスされたりとった、
リスクからシステムやデータを保護できます。Windows 8 以降は Enterprise エディションだけでなく、
Pro エディションおよび RT デバイスでも BitLocker ドライブ暗号化がサポートされました。
BitLocker ドライブ暗号化を利用する場合は、通常の方法でドライブのロックを解除できなくなってしまっ
た場合に備えて、暗号化を有効にする際にロックを解除するための 48 桁の回復キーが生成されます。この
回復キーがあれば、誰でもロックを解除できてしまうため、安全な場所に厳重に保管しなければなりません。
通常、回復キーはファイルに保存するか、印刷するか、Windows 8 以降の場合は Microsoft アカウント
(クラウド) に保存するかを選択します。Active Directory のドメイン メンバーであれば、グループ ポリ
シーを使用して、回復キーを Active Directory に自動的に保存するように構成することができ、ユーザー
自身による回復キーの管理を不要にできます。TPM 所有者パスワードのハッシュについても、同様に
Active Directory に保存するように構成できます。
ドメインの管理者は、ユーザーからの問い合わせに対して、Active Directory から回復キーを検索してユー
ザーに提供できます。また、TPM 所有者パスワードのハッシュから TPM 所有者パスワード ファイルを作
成して、ユーザーに提供することもできます。
企業や組織によっては、ドメインの管理者が回復キーを参照できることが望ましくない場合もあるでしょう。
その場合は、Microsoft Desktop Optimization Pack for Software Assurance (MDOP) に含まれる
- 12 -
「Microsoft BitLocker Administration and Monitoring (MBAM)」を利用する方法があります。MBAM で
は、透過的なデータ暗号化 (TDE) が有効な SQL Server データベースに回復情報を安全に格納し、特定
のユーザーやグループだけに回復情報へのアクセスを制限できます。
Microsoft BitLocker Administration and Monitoring
http://technet.microsoft.com/ja-jp/windows/hh826072
画面: Active Directory から回復キー (回復パスワード) を検索する
認証ポリシー サイロ
「認証ポリシー サイロ (Authentication Policy Silos)」は、フォレスト レベルで管理される Kerberos 認
証の新しいポリシーです。認証ポリシー サイロを使用すると、ユーザー アカウント、コンピューター ア
カウント、管理されたサービス アカウントのそれぞれに対して、Kerberos チケット保障チケット (TGT)
の有効期限を制限したり、ユーザーやデバイスの属性に基づいたアクセス制御条件を定義した認証ポリシー
を適用することができます。認証ポリシー サイロは、Windows 8.1 および Windows Server 2012 R2
でサポートされます。
画面: 認証ポリシーとサイロは、Windows Server 2012 R2 からの新しい認証セキュリティ機能
- 13 -
ドメイン コントローラーの仮想化対応
Active Directory のドメイン コントローラーを仮想マシンとして実行することは以前から可能でしたが、
ドメイン コントローラーを仮想化する上ではさまざまな制約がありました。Windows Server 2012 以降
の Hyper-V および Active Directory ドメイン サービスは、ドメイン コントローラーの仮想化対応が強
化されており、これまでの制約が解消されます。
USN ロールバックを自動回避するセーフガード機能
ドメイン コントローラーを仮想マシンで実行する場合、これまでは仮想マシンのスナップショット (チェ
ックポイント) 機能を使用してはいけない、仮想マシンをバックアップから単純に回復してはいけないなど、
運用上の注意が必要でした。なぜなら、仮想マシンを過去の状態にロールバックする操作は、USN (更新シ
ーケンス番号)ロールバックを発生させ、レプリケーション エラーや残留オブジェクトの発生、ディレクト
リの不整合といった重大な問題を生じさせるからです。
Windows Server 2012 以降の Hyper-V 仮想マシンで Windows Server 2012 以降のドメイン コント
ローラーを実行する場合、スナップショット (チェックポイント) の適用やバックアップからの仮想マシン
の回復は制限されません。
Windows Server 2012 以降の Hyper-V は、仮想マシンに対して「世代 ID (Generation ID)」という識
別子を設定します。世代 ID は、スナップショット (チェックポイント) の適用や仮想マシンのインポート、
バックアップからの仮想マシンの回復などのタイミングで新しい ID に更新されます。Windows Server
2012 以降の仮想化されたドメイン コントローラーは、世代 ID の不一致を検出して、仮想マシンの状態
がロールバックしたことを判断し、他のドメイン コントローラーから最新のディレクトリのレプリケーシ
ョンを受信して USN ロールバックを回避します。
画面: Windows Server 2012 以降の Hyper-V で稼働する仮想化されたドメイン コントローラーは、世
代 ID の変更を検出すると、他のドメイン コントローラーからのレプリケーションによって USN ロール
バックを自動回避する
ドメイン コントローラーのクローン展開
Windows Server 2012 以降の仮想化されたドメイン コントローラーは、仮想マシンの複製によるクロー
ン展開に対応しています。この機能もまた、Windows Server 2012 以降の Hyper-V が提供する世代 ID
を利用した新機能です。
- 14 -
通常、Windows はディスク イメージを複製しただけでは、固有のシステムとして機能しません。同じディ
スク イメージを使用して複数のコンピューターを展開するには、システム準備ツール (Sysprep) を実行
してイメージを一般化するという手続きが必要になります。仮想化されたドメイン コントローラーのクロ
ーン展開は、システム準備ツール (Sysprep) による一般化を必要としません。ドメイン コントローラーと
して運用中の仮想マシンの複製 (仮想マシンをエクスポートしてインポート) から、IP アドレスやコンピ
ューター名などのパラメーターを記述した構成ファイル (DCCloneConfig.xml) を使用して、次々に新しい
ドメイン コントローラーを展開できます。
画面: 仮想マシンの複製にクローン構成ファイルを読み込ませて起動することで、新しいドメイン コント
ローラーを展開できる
Active Directory ベースのボリューム ライセンス認証
Windows Vista および Windows Server 2008 以降の Windows および Office 2010 以降のボリュー
ム ライセンス製品では、ライセンス認証方式として「ボリューム アクティベーション 2.0 (VA 2.0) 」が
採用されています。ボリューム アクティベーション 2.0 では、通常、キー管理サービス (KMS) サーバー
による自動ライセンス認証とマルチプル アクティベーション キー (MAK) による個別のライセンス認証
のいずれかの方式を利用しますが、Windows Server 2012 以降の Active Directory ドメインでは、もう
1 つ Active Directory によるライセンス認証の方式が提供されます。
Active Directory によるライセンス認証は、Windows Server 2012 以降の「ボリューム ライセンス認証
サービス」が提供する機能です。Active Directory によるライセンス認証では、Windows 8 以降、Windows
Server 2012 以降、および Office 2013 のボリューム ライセンス認証を、コンピューターが Active
Directory のドメインに認証された時点で完了します。KMS は導入するために最小台数要件 (クライアン
トは 25 台以上、サーバーは 5 台以上) がありますが、Active Directory によるライセンス認証には台数
要件がありません。Active Directory によるボリューム ライセンス認証に対応したボリューム ライセン
ス製品だけを使用している場合は、この方式が導入しやすく、ボリューム ライセンスの管理も簡素化され
ます。
- 15 -
画面: Active Directory によるライセンス認証は 1 台のクライアントやサーバーから利用できる
BYOD 対応の強化
Windows Server の機能の多くは、Windows を実行するドメイン メンバーに対して、完全な機能を提供
できます。例えば、DirectAccess は、クライアントが社内外のとこにあっても、シームレスで安全な社内
リソースへのアクセスを可能にします。Windows 以外の PC やデバイス、ドメイン メンバーではない個
人の PC やデバイスに対しても社内リソースへのアクセスを提供することはできましたが、その場合、コン
トロール機能が制限されたり、必要な範囲を超えて社内リソースへのアクセスを提供せざるを得なかったり
することが課題でした。
Windows Server 2012 R2 は、BYOD (Bring Your Own Device: 個人所有デバイスの業務利用) のニー
ズに対応したいくつかのソリューションを提供します。ここでは、Active Directory に関連する機能につい
て説明します。
ワークプレース参加
Windows 8.1 のすべてのエディション、Windows RT 8.1 デバイス、および iOS を実行するデバイス
(iPad や iPhone) は、「ワークプレース参加 (Workplace Join)」というドメイン参加 (Domain Join) と
は別の方法で Active Directory に登録することができます。登録済みデバイスに対しては、デバイス認証
に基づいて Web アプリケーションに対するシングル サイン オンを提供できます。
ワークプレース参加のために Active Directory フェデレーション サービス (AD FS) に「デバイス登録サ
ービス (Device Registration Service)」が追加されました。デバイス登録サービスは、ワークプレース参
加要求に対して、Active Directory のディレクトリにデバイス オブジェクトを登録し、デバイスを識別す
る証明書をデバイスに提供します。Active Directory フェデレーション サービスは、Active Directory と
連携して登録済みデバイスを認証し、アプリケーションへのアクセスを提供します。
- 16 -
画面: Windows 8.1 および Windows RT 8.1 には、ワークプレース参加のための設定が用意されている
Web アプリケーション プロキシ
Active Directory フェデレーション サービスはこれまで、クレーム (要求) 対応アプリケーションに対す
る AD FS 認証を提供するものでした。Windows Server 2012 R2 では、新たにクレーム非対応アプリケ
ーションの AD FS 認証もサポートします。これは、Windows Server 2012 R2 に追加された「Web ア
プリケーション プロキシ」と組み合わせることで実現されます。
Web アプリケーション プロキシは、HTTPS のリバース プロキシとして機能し、社内の Web アプリケ
ーションをインターネット上のクライアントに公開するために利用できます。Web アプリケーション プロ
キシは、AD FS 事前認証をサポートしており、クレーム対応およびクレーム非対応アプリケーションに AD
FS 認証に基づいたアクセス許可を提供できます。Web アプリケーション プロキシは AD FS プロキシと
しても機能するため、ワークプレース参加設定をインターネット経由で可能にすることもできます。
画面: Web アプリケーション プロキシによる社内アプリケーションの公開
多要素認証
Windows Server 2012 R2 の Active Directory フェデレーション サービスは、多要素認証の実装が容易
になりました。標準で証明書認証 (スマートカード認証) に対応しており、追加の認証として簡単に有効化
- 17 -
できます。
多要素認証は、ワークプレース参加と併用することが可能です。Active Directory フェデレーション サー
ビスは、デバイスが登録済みであるかないか、アクセス元の場所がイントラネットかエクストラネットであ
るかどうかを評価することができるので、例えば、エクストラネットからの未登録デバイスに対しては、ワ
ークプレース参加やアプリケーションへのサイン インのために ID 認証に加えて、スマートカード認証を
要求するといった対応が可能です。
画面: スマートカード認証による多要素認証は標準対応
クラウドとの連携
Windows Server 2012 R2 は“クラウド OS (the Cloud OS)”の中核として開発されたサーバー OS です。
クラウド OS とは、内部設置型 (オンプレミス)、マイクロソフトのパブリック クラウドである Microsoft
Azure、およびサービス プロバイダーのクラウドに、1 つのプラットフォームを提供するものです。例え
ば、Hyper-V の仮想マシンは、Microsoft Azure 仮想マシンとしてクラウド上に展開できます。Visual
Studio で開発した Web アプリケーションは、内部設置型の IIS Web サイトと Microsoft Azure クラウ
ド サービスのどちらにでも展開できます。ID 認証についても、Active Directory が 1 つのプラットフォ
ームを提供します。
Active Directory フェデレーション サービス
クラウドのサービスやアプリケーションの利用が促進される中、Windows Server 2012 R2 の Active
Directory フェデレーション サービスはこれまで以上に重要な役割を担うようになります。Active
Directory フェデレーション サービスは、クレーム対応アプリケーションに対して信頼に基づいた認証を
提供するものですが、この機能は企業の境界を超えて、クラウドにまで拡張できます。例えば、内部設置型
の Active Directory で管理される ID を使用して、クラウドのサービス (Office 365 など) やアプリケ
ーションをシングル サイン オンで利用することができます。
- 18 -
画面: Active Directory フェデレーション サービス
Microsoft Azure Active Directory
Microsoft Azure Active Directory は、Microsoft Azure が提供する ID およびアクセス制御の基盤サー
ビスです。Microsoft Azure Active Directory は、Microsoft Azure のクラウド サービスに展開したアプ
リケーションやその他のクラウド サービスに対して ID 管理と認証機能を提供します。例えば、Office 365
や Microsoft Intune といったマイクロソフトの SaaS は、ID 管理に Microsoft Azure Active Directory
を使用しています。
Microsoft Azure Active Directory は、内部設置型の Active Directory と Active Directory フェデレー
ション サービスを介して統合することができ、両者のディレクトリ同期や、内部設置型の ID を使用した
クラウドおよび内部アプリケーションのシングル サイン オン、多要素認証を実装できます。
画面: Microsoft Azure Active Directory
- 19 -
Active Directory ドメインのアップグレード
ここからは、運用中の Windows Server 2003 ベースの Active Directory を最新の Active Directory に
アップグレードする手順について説明します。
Windows Server 2012 R2 の Active Directory は、Windows Server 2003 以降の Active Directory
からのアップグレードをサポートしています。Windows Server 2012 R2 のインプレース アップグレー
ド (アップグレード インストール) は、Windows Server 2008 R2 SP1 以降のサーバーでのみ実行可能
です。Windows Server 2008 R2 SP1 以降のドメイン コントローラーであれば、インプレース アップグ
レードで Windows Server 2012 R2 にアップグレードすることで、最新の Active Directory フォレスト
/ドメインにスムーズにアップグレードできます。
アップグレード パスに含まれない Windows Server 2003 のドメイン コントローラーは、直接、
Windows Server 2012 R2 にインプレース アップグレードすることはできません。Windows Server
2003 の Active Directory を Windows Server 2012 R2 の Active Directory に移行するには、次のよ
うに段階的に行うことで可能です。
1. Windows Server 2003 の既存の Active Directory ドメインに 1 台以上の Windows Server 2012
R2 のドメイン コントローラーを追加する。
2. Windows Server 2012 R2 のドメイン コントローラーに、Windows Server 2003 のドメイン コ
ントローラーからすべての FSMO の操作マスターの役割を転送する。
3. Windows Server 2003 のすべてのドメイン コントローラーをメンバー サーバーに降格する。
4. すべてのドメイン コントローラーが Windows Server 2012 R2 だけになった時点で、ドメインおよ
びフォレストの機能レベルを[Windows Server 2012 R2]に昇格する。
図: Windows Server 2003 Active Directory から Windows Server 2012 R2 Active Directory への段
階的なアップグレード
- 20 -
移行の準備
Windows Server 2012 R2 の Active Directory ドメイン サービスは、[Windows Server 2003]以上
のフォレストおよびドメインの機能レベルをサポートしているため、Windows Server 2003 の Active
Directory フォレスト/ドメインからの段階的なアップグレードが可能です。アップグレード後にフォレス
トおよびドメインの機能レベルを[Windows Server 2012 R2]に昇格することで、最新の Active
Directory のすべての機能を利用できるようになります。
フォレストおよびドメインの機能レベルは、フォレストおよびドメインでサポートされる Active Directory
の機能と、ドメイン コントローラーの最小バージョン要件を規定するものです。Windows Server 2003
の Active Directory フォレスト/ドメインを Windows Server 2012 R2 の Active Directory フォレス
ト/ドメインにアップグレードするには、アップグレードする現在のフォレストおよびドメインの機能レベ
ルが[Windows Server 2003]以上である必要があります。
現在のフォレストおよびドメインの機能レベルは、[Active Directory ドメインと信頼関係]スナップイン
(domain.msc) を使用して確認、および変更することができます。フォレストの機能レベルは、[Active
Directory ドメインと信頼関係]スナップインの最上位のコンテナー (Active Directory ドメインと信頼関
係) を右クリックして[フォレストの機能レベルを上げる]を選択すると確認および変更できます。ドメイ
ンの機能レベルは、[Active Directory ドメインと信頼関係]スナップインでドメインのコンテナーを右ク
リックして[ドメインの機能レベルを上げる]を選択すると、確認および変更できます。
現在のフォレストの機能レベルが[Windows 2000]で、ドメインの機能レベルが[Windows 2000 ネイ
ティブ]または[Windows 2000 混在]になっている場合は、それぞれ[Windows Server 2003]に変更
して機能レベルを昇格ください。機能レベルの昇格は、ドメイン、フォレストの順番で行います。
画面: ドメインの機能レベルを[Windows Server 2003]に昇格する
- 21 -
画面: フォレストの機能レベルを[Windows Server 2003]に昇格する
なお、フォレストおよびドメインの機能レベルを[Windows Server 2003]に昇格する場合は、Windows
2000 Server のドメイン コントローラーが存在しないことを確認してから実行してください。Windows
2000 Server のドメイン コントローラーが存在する場合は、Windows 2000 Server のドメイン コント
ローラーに配置されている操作マスターを Windows Serer 2003 以降のドメイン コントローラーに転送
し、Windows 2000 Server のドメイン コントローラーをメンバー サーバーに降格する必要があります。
Windows 2000 Server のドメイン コントローラーからの操作マスターの転送とドメイン コントローラ
ーの降格の手順については、このあと説明する Windows Server 2003 の手順と共通です。
[Windows Server 2003]機能レベルのサポート
Windows Server 2012 R2 の Active Directory ドメイン サービスは、フォレストおよびドメイン
の最小の機能レベルとして[Windows Server 2003]をサポートしていますが、新規に作成するドメ
インにおいて[Windows Server 2003]の機能レベルを選択することはできません。[Windows Server
2003]の機能レベルは、既存のフォレスト/ドメインに追加するドメイン コントローラーでサポート
されます。なお、[Windows Server 2003]の機能レベルのサポートは、将来の Windows Server バ
ージョンから削除される可能性があります。
Windows Server 2012 R2 ドメイン コントローラーの追加
既存のドメインに Windows Server 2012 R2 のサーバーをメンバー サーバーとして追加し、既存のドメ
インの追加のドメイン コントローラーとしてセットアップします。
1. Windows Server 2012 R2 を新規インストールし、静的な IP アドレスを設定して、既存のドメイン
のメンバー サーバーとして構成します。
2. [サーバー マネージャー]から[役割と機能の追加ウィザード]を開始し、[Active Directory ドメイ
ン サービス]の役割をインストールします。
- 22 -
画面: Windows Server 2012 R2 に[Active Directory ドメイン サービス]をインストールする
3. 役割のインストールが完了すると、ウィザードの最後のページに[このサーバーをドメイン コントロ
ーラーに昇格する]リンクが表示されるので、このリンクをクリックして[Active Directory ドメイン
サービス構成ウィザード]を開始します。なお、Windows Server 2008 R2 以前は Dcpromo.exe コ
マンドを実行して[Active Directory のインストール ウィザード]を使用してドメイン コントロー
ラーをインストールしましたが、Windows Server 2012 以降は Dcpromo.exe コマンドを使用しな
くなりました。
画面: [このサーバーをドメイン コントローラーに昇格する]リンクをクリックする
4. [Active Directory ドメイン サービス構成ウィザード]が開始したら、[配置構成]ページで[既存の
ドメインにドメイン コントローラーを追加する]を選択し、追加先のドメインとドメイン管理者の資
格情報を指定します。
画面: 既存のドメインの追加のドメイン コントローラーとして構成する
- 23 -
5. [ドメイン コントローラー オプション]ページでは、既定で選択されれるオプションを受け入れ、デ
ィレクトリ サービス復元モードのパスワードを設定します。なお、このページには[Windows Server
2008 以降を実行しているドメイン コントローラーが、このドメインで見つかりませんでした...]と
いう警告メッセージが表示されますが、問題ありません。
画面: ディレクトリ サービス復元モードのパスワードを設定する
6. ウィザードのその他の項目は既定のまま進んで構いません。以前のバージョンの Active Directory ド
メインに Windows Server 2012 R2 のドメイン コントローラーを追加するには、フォレストおよび
ドメインで Active Directory スキーマの拡張を行う必要があり、[準備オプション]ページに次のよ
うに表示されます。このメッセージは Active Directory スキーマの拡張が行われることを通知するも
のであり、Active Directory スキーマの拡張はこの後のドメイン コントローラーのインストール中に
ウィザードが自動的に実行します。そのため、追加の手順が必要になることはありません。
画面: フォレストとドメインの準備は、ウィザードが自動実行する
7. [インストール]ボタンをクリックして、ドメイン コントローラーのインストールを開始します。イ
ンストール中にコンピューターが自動的に再起動され、再起動が完了するとドメイン コントローラー
になります。
操作マスターの転送
Windows Server 2012 R2 のドメイン コントローラーを追加したら、旧バージョンのドメイン コントロ
ーラーからこのドメイン コントローラーに対して、すべての FSMO (Flexible Single Master Operation)
の操作マスターの役割を転送します。操作マスターには次の 5 つの種類が存在し、ドメインまたはフォレ
ストに 1 つずつ存在します。
RID プール マスター (ドメインに 1 台)
- 24 -
PDC エミュレーター (ドメインに 1 台)
インフラストラクチャ マスター (ドメインに 1 台)
ドメイン名前付けマスター (フォレストに 1 台)
スキーマ マスター (フォレストに 1 台)
これらの操作マスターを新しいドメイン コントローラーに転送するには、次の手順で操作します。
1. 操作マスターの転送先である Windows Server 2012 R2 のドメイン コントローラーに、ドメイン管
理者としてサイン インします。
2. RID プール マスター、PDC エミュレーター、インフラストラクチャ マスターの 3 つについては、
[Active Directory ユーザーとコンピューター]スナップイン (dsa.msc) を使用して役割を転送し
ます。ドメインを右クリックして[操作マスター]を選択し、[操作マスター]ダイアログ ボックスを
開いたら、[RID][PDC][インフラストラクチャ]の各タブで現在の操作マスターのドメイン コント
ローラーと転送先のドメイン コントローラーを確認し、[変更]ボタンをクリックして役割を転送しま
す。
画面: [RID][PDC][インフラストラクチャ]の各タブを使用して、新しいドメイン コントローラー
に操作マスターの役割を転送する
3. ドメイン名前付けマスターについては、[Active Directory ドメインと信頼関係]スナップイン
(Domain.msc) を使用して役割を転送します。最上位のコンテナーを右クリックして[操作マスター]
を選択し、[操作マスター]ダイアログ ボックスで現在の操作マスターのドメイン コントローラーと
転送先のドメイン コントローラーを確認し、[変更]ボタンをクリックして役割を転送します。
- 25 -
画面: ドメイン名前付けマスターの役割を新しいドメイン コントローラーに転送する
4. 最後のスキーマ マスターについては、[Active Directory スキーマ]スナップインを使用します。ただ
し、このスナップインは、既定ではドメイン コントローラーにインストールされません。コマンド プ
ロンプトで regsvr32 schmmgmt.dll を実行し、システムにスナップインを登録して、空の
Microsoft 管理コンソール (mmc.exe) にスナップインを追加する必要があります。
[Active Directory スキーマ]スナップインを開いたら、[Active Directory スキーマ]を右クリック
して[Active Directory ドメイン コントローラーの変更]を選択して、転送先のドメイン コントロー
ラーにスナップインの接続を切り替えます。続いて、[操作マスター]を選択し、[スキーマ マスター
の変更]ダイアログ ボックスで現在の操作マスターのドメイン コントローラーと転送先のドメイン
コントローラーを確認し、[変更]ボタンをクリックして役割を転送します。
画面: スキーマ マスターの役割を新しいドメイン コントローラーに転送する
- 26 -
Windows Server 2003 ドメイン コントローラーの降格
Windows Server 2012 R2 のドメイン コントローラーにすべての操作マスターの役割を転送したら、
Windows Server 2003 のドメイン コントローラーをメンバー サーバーに降格します。それには、
Dcpromo.exe コマンドを実行して[Active Directory のインストール ウィザード]を実行して、ドメイ
ン コントローラーから Active Directory を削除します。ウィザードの[Active Directory の削除]ペー
ジでは、[このサーバーはドメイン最後のドメイン コントローラーです]オプションはチェックしないよう
にしてください。
旧ドメイン コントローラーをメンバー サーバーに降格したらサーバーをドメインから削除して、撤去しま
す。メンバー サーバーとして引き続き利用することもできますが、古い Windows バージョンのまま運用
を続けるのはお勧めしません。
画面: Dcpromo.exe コマンドを実行して、Windows Server 2003 のドメイン コントローラーをメンバ
ー サーバーに降格する
フォレストおよびドメインの機能レベルの昇格
フォレストおよびドメインのすべてのドメイン コントローラーが Windows Server 2012 R2 だけになっ
たら、ドメインおよびフォレストの機能レベルをそれぞれ[Windows Server 2012 R2]に昇格します。
[Active Directory ドメインと信頼関係]スナップイン (domain.msc) を開き、ドメインのコンテナーを
右クリックして[ドメインの機能レベルの昇格]を選択し、[ドメインの機能レベルの昇格]ダイアログ ボ
ックスでドメインの機能レベルを[Windows Server 2012 R2]に引き上げます。また、最上位のコンテナ
ー (Active Directory ドメインと信頼関係) を右クリックして[フォレストの機能レベルの昇格]を選択し、
[フォレストの機能レベルの昇格]ダイアログ ボックスでフォレストの機能レベルを[Windows Server
2012 R2]に引き上げます。
- 27 -
画面: ドメインの機能レベルを[Windows Server 2012 R2]に昇格する
画面: フォレストの機能レベルを[Windows Server 2012 R2]に昇格する
ドメインの再編とオブジェクトの移行について
Active Directory を最新バージョンにアップグレードするのに合わせて、ドメインの統合や再構築を行い
たい場合は、Active Directory 移行ツール (ADMT) を使用できます。ADMT は、Windows Server 2003
以降のバージョンの Active Directory の移行と再構築をサポートします。このツールを使用すると、異な
るフォレストに属するドメイン間、同じフォレストの異なるドメイン間で、ユーザー、グループ、サービス
アカウント、コンピューター アカウントのオブジェクトを簡単な操作で移行できます。また、ユーザー プ
ロファイルやセキュリティ、パスワードの移行や変換も可能です。
ADMT の最新バージョンである ADMT 3.2 は、もともと Windows Server 2008 R2 向けに提供された
ものでしたが、Windows Server 2012 以降に対応した修正版 (ADMT v3.2 QFE および関連コンポーネ
ント PES v3.2) が 2014 年 6 月にリリースされました。修正版のインストール パッケージは次に示す
Microsoft Connect サイトからダウンロードできます。なお、ダウンロード サイトにアクセスするには、
Microsoft Connect へのサイン アップが必要です。
- 28 -
ADMT V3.2 QFE および PES v3.2 のダウンロード
http://go.microsoft.com/fwlink/?LinkId=401534
画面: Active Directory 移行ツール (ADMT)
Active Directory ドメインの運用管理
Windows Server 2012 R2 の Active Directory ドメインの構成と管理に使用する、主なツールについて
説明します。また、Windows Server 2003 の Active Directory ドメインの管理との違いについても説明
します。
サーバー マネージャーによるサービスと構成の監視
Windows Server 2012 R2 の[サーバー マネージャー]は、複数サーバーの統合管理に対応しており、
Windows Server 2012 R2 および Windows Server 2012 のサーバーの基本的な構成と管理をリモート
から行えるように設計されています。[サーバー マネージャー]は Windows Server 2012 R2 の GUI 使
用サーバーに含まれますが、Windows 8.1 用のリモート サーバー管理ツールをインストールすることで、
Windows 8.1 Pro または Windows 8.1 Enterprise のコンピューターでも利用可能です。
Windows 8.1 用のリモート サーバー管理ツール
http://www.microsoft.com/ja-jp/download/details.aspx?id=39296
[サーバー マネージャー]に Active Directory ドメイン内のすべてのドメイン コントローラーを管理対
象として追加すると、[サーバー マネージャー > AD DS]の管理インターフェイスを使用して、各ドメイ
ン コントローラーで発生したイベント、サービスの稼働状況、パフォーマンス (CPU およびメモリ)、イン
ストール済みの役割サービスを確認できます。[サーバー マネージャー]にはさまざまなサーバーの役割に
対応したベスト プラクティス アナライザー (BPA) が付属しており、ドメイン コントローラーに対して
スキャンを実行することで、Active Directory の構成上の問題や推奨設定を確認することができます。
[サーバー マネージャー]のサーバーの一覧から特定のドメイン コントローラーを選択して右クリックす
ると、コンテキスト メニューからドメイン コントローラーの再起動 (ローカル サーバーの場合はシャッ
- 29 -
トダウン) したり、後述する Active Directory の管理ツールを開始して、選択したドメイン コントローラ
ーに接続して管理できます。
画面: ベスト プラクティス アナライザーを使用して、構成上の問題点や推奨設定を確認する
画面: [サーバー マネージャー]から Active Directory の管理ツールを開始する
Active Directory の管理ツール
Active Directory には、さまざまな管理ツールと管理インターフェイスが用意されています。
MMC スナップイン
Active Directory の管理のために提供される MMC スナップインとしては、次の 5 つがあります。いずれ
も、以前のバージョンの Active Directory から存在する、お馴染みのスナップインでしょう。
Active Directory ユーザーとコンピューター(Dsa.msc) ・・・ このスナップインは、ユーザー、コン
ピューター、グループ、共有プリンターなどのディレクトリ オブジェクトの管理と、組織単位 (OU)
による階層化、パスワードのリセットなどを行うためのツールです。ドメインの FSMO の操作マスタ
- 30 -
ーの役割 (RID プール マスター、PDC エミュレーター、インフラストラクチャ マスター) の変更や
ドメインの機能レベルの昇格、BitLocker ドライブ暗号化の回復キーの検索にも使用します。
Active Directory ドメインと信頼関係 (Domain.msc) ・・・ このスナップインは、フォレスト レベ
ルの管理を行うためのツールであり、フォレスト内のドメインや外部ドメインとの信頼関係を管理しま
す。また、フォレストの操作マスターであるドメイン名前付けマスターの役割の変更やフォレストの機
能レベルの昇格、各ドメインの機能レベルの昇格、および UPN (ユーザー プリンシパル名) サフィッ
クスの管理を行います。
Active Directory サイトとサービス (Dssite.msc) ・・・ このスナップインは、Active Directory の
サイトの作成とドメイン内およびサイト間のレプリケーション トポロジを管理するためのツールです。
既定で Default-First-Site-Name サイトが作成されますが、物理ネットワークの IP サブネットに合
わせてサイトを分割し、レプリケーションを最適化するのが一般的です。
Active Direcroty スキーマ ・・・ このスナップインは、Active Directory スキーマの表示とセキュリ
ティを管理するためのツールです。このスナップインは既定ではインストールされません。スナップイ
ンを利用するには、regsvr32.exe schmmgmt.dll を実行して、空の MMC スナップイン (mmc.exe)
に手動で追加する必要があります。
ADSI エディター (Adsiedit.msc) ・・・ このスナップインは、LDAP 編集ツールです。フォレストお
よびドメインのすべてのオブジェクトの参照と、属性値の編集が可能です。
Windows Server 2008 以降の Active Directory では、組織単位 (OU) やディレクトリ オブジェクトに
[誤って削除されないようにオブジェクトを保護する]というオプションが追加されました。Windows
Server 2003 の Active Directory には無かった設定なので、ここで説明しておきます。
新規に作成する組織単位 (OU) では、このオプションが既定で有効になります。このオプションが有効に
なっている場合、組織単位 (OU) やオブジェクトを削除しようとしてもブロックされます。組織単位 (OU)
はディレクトリ階層を定義する重要な要素であり、グループ ポリシーの適用対象にもなるため、誤って削
除されると影響が大きく、既定で保護されます。オブジェクトの保護を解除するには、[Active Directory ユ
ーザーとコンピューター]の[表示]メニューから[拡張機能]を選択してから組織単位 (OU) やオブジェ
クトのプロパティを開き、[オブジェクト]タブで[誤って削除されないようにオブジェクトを保護する]
のチェック ボックスをオフにします。
- 31 -
画面: 組織単位 (OU) ではオブジェクトの保護が既定で有効
コマンドライン ツール
Active Directory には、Active Directory のさまざまな管理タスクの実行やトラブルシューティングに利
用できる、多数のコマンドライン ツールが用意されています。具体的には、Dcdiag.exe、Dsacls.exe、
Dsdbutil.exe、Dsmgmt.exe、Ldp.exe、Netdom.exe、Nltest.exe、Ntdsutil.exe、Repadmin.exe、
Gpfixup.exe、Dcgpofix.exe といったツールがあります。
Windows PowerShell 用の Active Directory モジュール
Windows PowerShell 用の ActiveDirectory モジュールは、150 近くの豊富なコマンドレットを提供し
ます。コマンドレットの一覧は、次のコマンドラインを実行して取得できます。
Get-command -module ActiveDirectory
Active Directory 管理センター
[Active Directory 管理センター](Dsac.exe) は、Windows PowerShell 用の ActiveDirectory モジュ
ールが初めて標準搭載された Windows Server 2008 R2 から提供されている、比較的新しい管理ツール
です。前述したように、この管理ツールの特徴は Windows PowerShell のテクノロジに基づいており、従
来の MMC スナップイン ベースの管理ツールを横断して管理を行える点にあります。Active Directory の
基本的な管理タスクは、この管理ツールだけで行えます。[Windows PowerShell 履歴]を使用できるので、
Windows PowerShell による管理を学んだり、繰り返しタスクをスクリプト化したりするのに利用できま
す。また、Active Directory ごみ箱、細かい設定が可能なパスワード ポリシー、ダイナミック アクセス制
御、認証ポリシー サイロの設定は、この管理ツールを使用して行います。
- 32 -
画面: Active Directory 管理センター
グループ ポリシーの管理
Active Directory のドメインを導入するとグループ ポリシーによるポリシー管理が可能になりますが、そ
のための管理ツールとして[グループ ポリシーの管理]スナップイン (Gpmc.msc) が提供されます。
このスナップインは、Windows Server 2008 で初めて標準搭載されました。Windows Server 2003 に
対してもオプションでダウンロード提供されていたので、ご存知の方は多いはずです。このスナップインが
提供される以前は、[Active Directory ユーザーとコンピューター]で Domain Controllers コンテナーや
OU (組織単位) のプロパティを開き、[グループ ポリシー]タブからグループ ポリシー オブジェクトのリ
ンクや編集を行う必要がありました。
管理用テンプレートの追加
Windows Server 2012 R2 のグループ ポリシーは、グループ ポリシーをサポートする Windows XP お
よび Windows Server 2003 以前の Windows の管理が可能です。Windows Server 2003 の Active
Directory ドメインからアップグレードした場合は、以前のグループ ポリシーの設定がそのまま引き継が
れます。ただし、Windows Server 2008 および Windows Vista 以降の Windows では、レジストリ ベ
ースのグループ ポリシー設定 (管理用テンプレート) を提供するテンプレートに ADMX という新しい形
式が採用されていることには注意が必要です。
新しい管理用テンプレートは言語に依存しない ADMX (.admx) ファイルと言語固有の ADMX (.adml)
ファイルで構成され、既定で ADMX (.admx) ファイルは %Systemroot%\PolicyDefinitions に、
ADMX (.adml) ファイルは %Systemroot%\PolicyDefinitions\ja-JP や en-US に格納されています。
[グループ ポリシーの管理]スナップインから起動する[グループ ポリシー管理エディター]スナップ
イン (Gpme.msc) は、これらの ADMX ファイルを参照して[コンピューターの構成\ポリシー\管理用
テンプレート]および[ユーザーの構成\ポリシー\管理用テンプレート]を表示します。
ADMX 形式の管理用テンプレートは、[管理用テンプレート]を右クリックして[テンプレートの追加と
削除]を選択しても追加することはできません。%Systemroot%\PolicyDefinitions の下に ADMX ファ
- 33 -
イルを保存して追加する必要があります。例えば、以下の URL から Office 2013 の管理用テンプレート
を取得できますが、展開したファイルに含まれる ADMX ファイルは %Systemroot%\PolicyDefinitions
の下に配置してください。
Office 2013 Administrative Template files (ADMX/ADML) and Office Customization Tool
http://www.microsoft.com/en-us/download/details.aspx?id=35554
この方法で追加した管理用テンプレートを利用できるのは、%Systemroot%\PolicyDefinitions の下に
ADMX ファイルをコピーしたコンピューターに限られます。すべてのドメイン コントローラーで常に同
じ管理用テンプレートを利用するには、管理用テンプレートのセントラル ストアを構成してください。
セントラル ストアの構成
セントラル ストアを構成するには、任意のドメイン コントローラーの %Windir%\Sysvol\domain\
Policies\PolicyDefinitions にローカルの PolicyDefinitions の内容をコピーします。この場所は
SYSVOL 共有に含まれるため、すべてのドメイン コントローラーにレプリケーションされます。[グルー
プ ポリシー管理エディター]スナップインは、SYSVOL 共有にセントラル ストアを検見つけると、セン
トラル ストアから管理用テンプレートを取得します。
なお、旧形式の管理用テンプレートである ADM (.adm) ファイルの使用も引き続きサポートされます。
旧形式の管理用テンプレートを追加するには、[管理テンプレート]を右クリックして[テンプレートの追
加と削除]をクリックして追加します。追加した旧形式のテンプレートは、[管理用テンプレート\従来の
管理用テンプレート (ADM)]の下に表示され、編集可能になります。なお、追加した旧形式の管理用テン
プレートは、グループ ポリシー オブジェクトのリソースとして SYSVOL 共有に保存されるため、セン
トラル ストアの存在に関係なく、すべてのドメイン コントローラーで編集可能になります。
画面: 管理用テンプレートのセントラル ストアを構成する
グループ ポリシーの基本設定の旧 Windows のサポート
Windows Server 2008 以降の Active Directory ドメイン サービスでは、グループ ポリシーの基本設定
というグループ ポリシーの拡張機能が導入されました。Windows Vista SP1 以降の Windows はグルー
- 34 -
プ ポリシーの基本設定に標準で対応しています。Windows Vista RTM、Windows XP SP2 以降、および
Windows Server 2003 以降は、「グループ ポリシーの基本設定クライアント側拡張機能」をインストール
することで対応可能です。詳しくは、以下のドキュメントで確認してください。
グループ ポリシー基本設定ファースト ステップ ガイド
http://technet.microsoft.com/ja-jp/library/cc731892(v=ws.10).aspx
Operations Manager による監視
System Center 2012 R2 Operations Manager の監視環境を利用できる場合は、以下の URL で公開さ
れている Active Directory ドメイン サービス用の管理パックをインポートすることで、Windows Server
2003 から Windows Server 2012 R2 までの Active Directory の正常性と可用性、パフォーマンスを詳
細に監視することができます。
Active Directory Domain Services Management Pack for System Center (言語: English)
http://www.microsoft.com/en-us/download/details.aspx?id=21357
画面: 管理パックが提供する Active Directory のダイアグラム ビュー
ディレクトリのバックアップと回復
Active Directory のディレクトリおよび SYSVOL 共有は、Windows Server 2012 R2 標準のバックアッ
プ ツールである[Windows Server バックアップ]や、System Center 2012 R2 Data Protection
Manager でスケジュール バックアップすることができます。
Active Directory の回復に必要なデータは、[システム状態]に含まれます。[システム状態]には、Active
Directory のディレクトリと SYSVOL 共有のデータ以外にも、レジストリ、COM+クラス登録データベー
ス、ブート ファイル、Windows ファイル保護で保護されるシステム ファイルなど、多数のファイルが含
まれます。クリーン インストールしたドメイン コントローラーの場合でも、[システム状態]だけで 7 GB
以上になります。[システム状態]を個別に選択した場合、バックアップ対象を選択するためにファイル シ
ステム全体が検索され、負荷が増大します。そのため、[システム全体]または[ベアメタル回復]または
- 35 -
C: ドライブ全体のバックアップの一部として、[システム状態]をバックアップすることをお勧めします。
画面: [システム状態]個別よりも[システム全体]または[ベアメタル回復]のほうが効率的
バックアップの有効期限
Active Directory のバックアップには 180 日という有効期限があることにも注意が必要です。有効期限が
切れたバックアップからはディレクトリを回復することはできません。180 日の有効期限は Windows
Server 2003 SP1 以降からもののです。Windows Server 2003 の時点で Active Directory ドメインを
導入した場合で、新しいバージョンの Active Directory に段階的にアップグレードした場合は、Windows
Server 2003 以前の既定の有効期限である 60 日のままの場合もあります。
Active Directory のシステム状態のバックアップの有効期間について
http://support.microsoft.com/kb/216993/ja
ディレクトリの回復
ドメイン コントローラーで[システム状態]を復元する場合は、ドメイン コントローラーをディレクトリ
サービスの修復モード (起動時に F8キーを押してモードを選択) で起動して、WBADMIN コマンドを使用
して権限のない復元 (Nonauthoritative Restore) または権限のある復元 (Authoritative Restore) のい
ずれかを実行します。権限のない復元を実行する場合は、WBADMIN コマンドに -authsysvol オプション
を指定してシステム状態を復元します。権限のある復元を実行する場合は、WBADMIN コマンドでシステ
ム状態を復元 (-authsysvol を指定しない) したあと、NTDSUTIL AUTHORITATIVE RESTORE コマンド
を使用してオブジェクトに権限ありのマークを付けます。詳しくは、以下のドキュメントで確認してくださ
い。
AD DS の権限のない復元の実行
http://technet.microsoft.com/ja-jp/library/cc730683(v=ws.10)
削除された AD DS オブジェクトの権限のある復元の実行
http://technet.microsoft.com/ja-jp/library/cc755296(v=ws.10).aspx
- 36 -
画面: Active Directory のディレクトリをバックアップから回復するには、ディレクトリ サービス復元モ
ードで起動して特別な回復操作を実行する必要がある
Windows Server 2012 以降の Hyper-V 上で Windows Server 2012 以降の仮想化されたドメイン コ
ントローラーを運用している場合は、仮想マシンのバックアップから仮想マシン単位でドメイン コントロ
ーラーを回復できます。ディレクトリ サービス復元モードしての回復操作は必要ありません。仮想環境上
でのセーフ ガード機能 (「USN ロールバックを自動回避するセーフガード機能」を参照) が働き、最新の
ディレクトリを正常なドメイン コントローラーからレプリケーションで取得して、権限のない復元による
回復と同様の正常な状態にまで自動復旧します。
まとめ
Windows Server 2012 R2 は、次の 10 年の IT 基盤を支える、サーバー、仮想化、およびクラウド プ
ラットフォームです。延長サポートは最短でも 2023 年 1 月 11 日 (日本時間) まで続くので、修正プロ
グラムやセキュリティ更新プログラムにより、安全で安心なサーバー運用が可能です。
このガイドで説明したように、Windows Server 2012 R2 の Active Directory フォレスト/ドメインに移
行することで、細かい設定が可能なパスワード ポリシーや Active Directory ごみ箱、動的アクセス制御な
ど、Active Directory のすべての機能が利用可能になるほか、グループ ポリシーを使用した最新 Windows
のセキュリティ設定やデスクトップ環境を一元管理できるようになります。さらには、マイクロソフトのパ
ブリック クラウドと連携したディレクトリ統合やシングル サインオンの実装が容易になります。ドメイン
コントローラーの仮想化対応により、ディレクトリのバックアップや回復がより簡単に実施できるようにな
ります。
現在、Windows Server 2003 ベースで運用している場合でも、いま Windows Server 2012 R2 の Active
Directory フォレスト/ドメインに移行を済ませておけば、次期バージョンへの移行はインプレース アップ
グレードで対応できるので簡単です。Windows Server 2003 のフォレストおよびドメインの機能レベル
のサポートは、早ければ次のバージョンで削除される予定です。このガイドで説明した方法による移行がで
きるのは、これが最後の機会になるかもしれません。
- 37 -
評価リソース
製品評価版
評価版のダウンロード: Windows Server 2012 R2
http://technet.microsoft.com/ja-jp/evalcenter/dn205286.aspx
評価版のダウンロード: System Center 2012 R2
http://technet.microsoft.com/ja-JP/evalcenter/dn205295
評価版のダウンロード: Windows 8.1 Enterprise
http://technet.microsoft.com/ja-jp/evalcenter/hh699156.aspx
評価版のダウンロード: Microsoft System Center 2012 R2 Configuration Manager および Endpoint
Protection
http://technet.microsoft.com/ja-JP/evalcenter/dn205297.aspx
ホワイト ペーパー
Windows Server 2012 R2 & System Center 2012 R2 評価ガイド
http://download.microsoft.com/download/C/7/7/C770DF09-5B00-4546-8FE9-
DB7F3D759156/WSSC12R2GA_EvalGuide_v1.0.docx
Windows Server 2012 R2 マイグレーション ガイド
http://download.microsoft.com/download/0/7/B/07BE7A3C-07B9-4173-B251-
6865ADA98E5D/WS2012R2_MigrationGuide_v2.0.docx
その他のホワイト ペーパー
http://technet.microsoft.com/ja-jp/windowsserver/hh553001
