「古いDCをそのまま使い続けてます、特に問題ないので」——Windows Server 2012のサポートが切れた環境でこれを聞くと、問題が起きていないのではなく、問題に気づいていないだけだと感じます。
サポート切れのOSはセキュリティパッチが提供されず、既知の脆弱性を抱えたまま運用し続けることになります。ADのDCは組織の認証基盤の中心であり、ここが侵害されるとドメイン全体が攻撃者の手に渡ります。
この記事では、AD移行・リプレイスの進め方を、現場で最もよく使われる「スウィング移行」を中心に整理します。
AD移行が必要になる主なシナリオ
現場でAD移行が発生する主な理由は以下の通りです。自社の状況と照らし合わせてください。
| シナリオ | 主な内容 |
|---|---|
| Windows Serverのサポート終了(EOS) | 2012/2012 R2は2023年10月にEOS済み |
| 物理サーバーの老朽化 | ハードウェアの保守期限切れ・故障リスクの増大 |
| 仮想化・クラウド移行 | オンプレ物理環境から仮想基盤・Azureへの移行 |
| ドメイン構成の見直し | OU設計・ドメイン名・フォレスト構成を整理したい |
| Entra IDとのハイブリッド化 | Microsoft 365導入に伴うEntra ID Connect設定 |
ADの全体的な役割については「Active Directoryとは?」で解説しています。
移行前に必ず把握しておくこと
現環境の棚卸し——何があるかを把握する
移行作業の最初のステップは「現在の環境を正確に把握すること」です。以下の情報を棚卸ししてください。
# ドメインコントローラーの一覧を確認
Get-ADDomainController -Filter * | Select-Object Name, IPv4Address, OperatingSystem
# ドメインの機能レベルを確認
Get-ADDomain | Select-Object DomainMode
Get-ADForest | Select-Object ForestMode
# FSMOロールの所在を確認
Get-ADDomain | Select-Object PDCEmulator, RIDMaster, InfrastructureMaster
Get-ADForest | Select-Object SchemaMaster, DomainNamingMaster
ドメイン機能レベル(Domain Functional Level) ADドメインが使用できる機能の上限を定める設定。ドメイン内のすべてのDCのOSバージョンの中で最も低いものに合わせる必要がある。移行後は機能レベルを上げることで新機能が使えるようになる。
依存関係の確認——DCに何が依存しているか
DCには認証機能以外にも多くの役割が集中していることが多く、これを把握せずに移行すると想定外の障害が発生します。
| 確認項目 | 確認方法 |
|---|---|
| DNSサーバーの役割 | DCがDNSを兼ねているか確認 |
| DHCPサーバーの役割 | DCがDHCPを兼ねているか確認 |
| FSMOロールの所在 | どのDCが5つのFSMOを保持しているか |
| AD証明書サービス(AD CS) | DCに証明書サービスが入っているか |
| Entra ID Connect | どのサーバーにインストールされているか |
| GPOのSYSVOL | SYSVOLの複製状態は正常か |
FSMO(Flexible Single Master Operation) ADで特定の操作を単一のDCだけが担う5つの特別な役割。スキーママスター・ドメイン名前付けマスター・PDCエミュレーター・RIDマスター・インフラストラクチャマスターの5種類がある。
移行の方式を選ぶ——3つのアプローチ
インプレースアップグレード——既存DCをそのまま更新する
既存のDCのOSをその場でアップグレードする方法です。
| 項目 | 内容 |
|---|---|
| メリット | 設定・オブジェクトがそのまま引き継がれる・作業が少ない |
| デメリット | 失敗時のロールバックが困難・旧環境の問題も引き継ぐ |
| 向いているケース | 単純なOSバージョンアップ・テスト環境 |
注意点:本番環境では推奨しません。アップグレード中に問題が発生した場合の復旧が困難で、移行前の状態に戻せないリスクがあります。
スウィング移行——新DCを追加して段階的に切り替える
新しいOSで新DCを構築し、既存のドメインに参加させて並行運用しながら切り替える方法です。現場で最もよく使われる方式です。
| 項目 | 内容 |
|---|---|
| メリット | 旧環境を残したまま移行できる・問題発生時に切り戻しが可能 |
| デメリット | 並行運用期間のリソースが必要 |
| 向いているケース | 本番環境のほとんどのケース |
新規構築移行——ドメインを作り直す
新しいドメインを一から構築し、ユーザー・グループ・端末を移行する方法です。
| 項目 | 内容 |
|---|---|
| メリット | ドメイン名・OU構成・GPOを完全にリセットできる |
| デメリット | 移行作業が最も多い・SIDが変わるためアクセス権の再設定が必要 |
| 向いているケース | ドメイン構成を根本から見直したい場合・合併・分社 |
スウィング移行の実務手順——最も現場で使われる方法
ステップ1:新DCの構築とドメイン参加
新しいWindows Serverを用意し、既存ドメインに追加DCとして参加させます。
# AD DSの役割をインストール
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
# 既存ドメインに追加DCとして参加
Install-ADDSDomainController `
-DomainName "yourdomain.local" `
-InstallDns:$true `
-Credential (Get-Credential) `
-Force:$true
新DCのDNS設定:新DCのネットワークアダプターのDNSには、まず旧DCのIPアドレスを指定してください。参加後にDNSゾーンがレプリケーションされたら、自分自身のIPに変更します。
ステップ2:FSMOロールの移行
新DCが正常に動作していることを確認したら、FSMOロールを旧DCから新DCに移行します。
# FSMOロールを新DCに移行
Move-ADDirectoryServerOperationMasterRole `
-Identity "新DCのホスト名" `
-OperationMasterRole PDCEmulator, RIDMaster, InfrastructureMaster, SchemaMaster, DomainNamingMaster
# 移行後の確認
netdom query fsmo
PDCエミュレーターを最後に移行する:PDCエミュレーターはパスワード変更・ロックアウト・時刻同期など影響範囲が広いため、他の4つのロールを移行して問題がないことを確認してから最後に移行してください。
ステップ3:レプリケーションの確認
FSMOロール移行後、ADのレプリケーションが正常に動作していることを確認します。
# レプリケーションの状態確認
repadmin /replsummary
# レプリケーションエラーの確認
repadmin /showrepl
# DCの診断
dcdiag /test:replications
エラーが出ていないことを確認してから次のステップに進んでください。
ステップ4:旧DCの降格と撤去
レプリケーションが正常で、新DCが問題なく動作していることを確認したら旧DCを降格します。
# 旧DCの降格(ADからの削除)
Uninstall-ADDSDomainController `
-DemoteOperationMasterRole:$true `
-RemoveApplicationPartition:$true `
-Force:$true
降格前に必ずFSMOロールが移行済みであることを再確認してください。 FSMOを保持したまま降格するとドメインに問題が発生します。
ADのバックアップと復旧手順については「ADのバックアップと復旧手順」を参照してください。移行作業前には必ずシステム状態バックアップを取得してください。
よくある失敗パターン——移行作業で詰まる現場の落とし穴
① FSMOロールを移行し忘れて旧DCを落とした
「新DCが動いているから旧DCを止めよう」と先にシャットダウンした結果、FSMOロールが旧DCに残っていてドメインに問題が発生したケースです。FSMOロールの移行確認はnetdom query fsmoで必ず実施してから旧DCを降格してください。
② クライアント端末のDNS設定が旧DCのままだった
新DCに切り替えた後もクライアント端末のDNS設定が旧DCのIPアドレスを指していたため、旧DCを撤去した後に名前解決が失敗したケースです。DHCPのDNSオプションを新DCのIPに変更し、全端末に反映されたことを確認してから旧DCを撤去してください。
③ 移行前にバックアップを取らなかった
移行作業中に問題が発生したが、バックアップがなかったため切り戻しができなかったケースです。移行作業の前日には必ずシステム状態バックアップを取得し、正常に取得できていることを確認してください。
④ ドメイン機能レベルを上げたら旧DCが使えなくなった
新DCへの移行後にドメイン機能レベルを上げた結果、まだ撤去していなかった旧DCのOSバージョンが機能レベルの要件を満たさなくなり問題が発生したケースです。ドメイン機能レベルは旧DCを完全に撤去してから上げてください。
実務チェックリスト——AD移行の確認ポイント
移行前の準備
- [ ] 現環境のDC一覧・OSバージョン・IPアドレスを把握しているか
- [ ] FSMOロールの所在を確認したか(
netdom query fsmo) - [ ] DCが担っている役割(DNS・DHCP・AD CS等)を把握しているか
- [ ] ドメイン機能レベル・フォレスト機能レベルを確認したか
- [ ] 移行前のシステム状態バックアップを取得したか
- [ ] 移行手順書と切り戻し手順書を作成したか
移行作業中
- [ ] 新DCのDNS設定は旧DCのIPを向いているか(参加時)
- [ ] ADレプリケーションが正常に完了しているか(
repadmin /replsummary) - [ ] FSMOロールを新DCに移行したか(
netdom query fsmoで確認) - [ ] DCDIAGでエラーが出ていないか(
dcdiag /test:replications)
移行後の確認
- [ ] クライアント端末のDNS設定を新DCのIPに変更したか
- [ ] GPOが正常に適用されているか
- [ ] 旧DCの降格前にFSMOロールが移行済みであることを再確認したか
- [ ] 移行後に一定期間(1〜2週間)問題がないことを確認してから旧DCを物理撤去したか
OU設計・GPO設計の見直しについては「ADのドメインとOU設計」と「GPO設計入門」を参照してください。
まとめ——今日確認すべきことは1つです
今日やることは1つだけです。Get-ADDomainController -Filter * | Select-Object Name, OperatingSystemを実行して、社内のDCのOSバージョンを確認してください。
Windows Server 2012/2012 R2が含まれていれば、移行計画を立てることを最優先にしてください。サポート切れのDCは既知の脆弱性を抱えたまま動き続けており、攻撃者にとって格好の標的です。
Entra IDとのハイブリッド構成への移行を検討している場合は「Entra IDとオンプレAD連携」も合わせて参照してください。
あわせてご覧ください
コメント