2023年10月にWindows Server 2012のサポートが終了し、Active Directory(AD)環境の更新が急務となっています。特に多くの企業で利用されているADは、ドメイン認証やグループポリシーなど、ネットワーク全体の要を担う重要なインフラです。この記事では、Windows Server 2012からWindows Server 2025へADを移行する手順を、初心者にもわかりやすく解説します。移行前の準備、実際の移行ステップ、トラブル時の対処法まで、実務で役立つ内容をまとめました。
移行前に確認すべきポイント
Active Directoryの移行は、単なる「OSアップグレード」とは異なり、システム全体の構成や依存関係にも大きな影響を与えます。以下の点を事前に確認しておきましょう。
- 現在のドメイン機能レベルの確認
Server 2012上の「Active Directory ドメインと信頼関係」ツールを使用して、ドメインおよびフォレスト機能レベルを確認します。2025に移行するには、最低でも2012以降の機能レベルが望ましいです。 - FSMO(操作マスター)ロールの確認
ADの中核的な役割を担うFSMOロールは、移行先に適切に引き継ぐ必要があります。 - DNSとDHCPの依存確認
多くの環境ではADとDNS/DHCPが連携しており、設定の見直しが必要になる場合があります。 - アプリケーションの対応確認
AD認証を利用している各種アプリ(SaaS、社内アプリなど)がServer 2025に対応しているか事前に調べておきます。
新しいWindows Server 2025の準備
まずは、ADの新しいホストとなるWindows Server 2025を準備します。以下は初期設定手順です。
- Windows Server 2025のインストール
評価版でも移行テスト可能ですが、本番環境ではライセンス登録済みの正式版を用意します。 - IPアドレスとDNS設定
新しいサーバーにも固定IPを設定し、DNSサーバーとして自サーバーを指定する必要があります。 - ホスト名の設定
既存のDCと重複しない名前(例:DC02など)をつけておきましょう。
Active Directoryの役割追加とドメイン参加
次に、Windows Server 2025にActive Directory Domain Services(AD DS)の役割を追加し、既存のドメインに参加させます。
- AD DSの役割追加
サーバーマネージャーから「役割と機能の追加」を選び、「Active Directory Domain Services」をインストールします。 - ドメインに参加
再起動後、サーバーを既存ドメインに参加させます(例:corp.local)。 - プロモーション(DC昇格)
サーバーマネージャーから「このサーバーをドメインコントローラーに昇格」を実行し、既存のドメインに追加します。
FSMOロールの移行
FSMO(Flexible Single Master Operation)ロールを新しいDCに移行します。以下のコマンドで可能です。
PowerShellコマンド例:
Move-ADDirectoryServerOperationMasterRole -Identity "DC02" -OperationMasterRole 0,1,2,3,4
このコマンドで、すべてのFSMOロール(スキーママスター、ドメイン名前付けマスター、RIDマスター、PDCエミュレーター、インフラストラクチャマスター)を一括移行できます。
移行確認と同期のチェック
新しいDCにFSMOロールを移行した後、以下の確認を行いましょう。
- レプリケーションの確認
repadmin /replsummaryでレプリケーションエラーがないかチェック。 - ADサイトとサービスの確認
新旧DCが同じサイトに登録されているかを確認。 - DNSゾーンのレプリケーション
新しいDCにDNSゾーンが同期されているか確認。
古いドメインコントローラーの降格と削除
移行が完了したら、旧DC(Windows Server 2012)を降格し、環境から安全に削除します。
- AD DSの削除
サーバーマネージャーで「役割と機能の削除」を行い、AD DSの役割を外します。 - ドメインからの離脱
コンピューターをワークグループに変更し、再起動します。 - DNSやDHCPの役割も移行
旧DCがDNS/DHCPを兼ねている場合は、事前にそれらも移行しておく必要があります。
トラブル時の対応策
- レプリケーションエラーが出る場合
サイトの定義、DNS登録の問題が多い。dcdiagやeventvwrで確認しましょう。 - ログオン遅延や認証エラー
クライアントが新DCを認識していない可能性があります。DNSキャッシュやドメイン参加設定を見直しましょう。 - ドメイン参加に失敗する場合
NTPの時刻同期や、ドメイン参加に必要なポートがファイアウォールで遮断されている可能性があります。
移行後のおすすめ設定と保守
移行が完了した後も、以下の保守・最適化を行うことで、AD環境の安定稼働を維持できます。
- グループポリシーの見直し
古いポリシーが残っている場合は整理を。 - バックアップ体制の再構築
Windows Server BackupやVeeamなどで、ADスナップショットを定期取得。 - 監査ポリシーの適用
不正なログインや操作を検知できるように監査設定を強化。
まとめ
Active Directoryの移行は一度きりの作業ではなく、準備・検証・実施・保守のすべてを通じて行うプロジェクトです。Windows Server 2012から2025への移行は、サポート切れのリスクを回避するためにも急務となっています。この記事を参考に、トラブルのない計画的な移行を進めていきましょう。