前回（vol.78）の最後に、私の作業環境で最新OSにアップグレードできていない環境は、残すところオンプレミスの物理サーバーに構築したHyper-Vベースのラボ環境のみと言いましたが、1つ忘れていました。そのラボ環境のクローズドなネットワークで動かしている、テスト用Active Diectoryドメインのドメインコントローラーの仮想マシン（VM）です。

vol.33　ラボ環境 in オンプレを作る（新シリーズスタート）｜テスト用Active Directory環境の構築

　実は、この連載の以下の回のインプレースアップグレードの失敗例は、このドメインコントローラーをインプレースアップグレードしようとしてのことでした。

vol.67　旧バージョンからのアップグレード（ドメインコントローラー編）（追記あり）｜Windows Server 2025大特集（4）

　上記の記事に追記しましたが、インプレースアップグレードの失敗は私の環境固有の問題だったようで、通常は正常にアップグレードできるはずです。別のVM環境で改めてWindows Server 2022のドメインコントローラーを構築し、インプレースアップグレードが可能なことを確認しました。しかし、環境はそれぞれなので、別の問題でインプレースアップグレードに失敗することもあるでしょう。そこで、今回はこのドメインコントローラーをWindows Server 2025の新しいドメインコントローラーに入れ替える方法を紹介します。

ドメインコントローラーの入れ替え＝最小のローリングアップグレード

　テスト用Active Directoryドメイン「mylab.test」は、Windows Server 2022 Standardを実行する1台のドメインコントローラー「ws2022dc01」のVMだけで構築された、シングルフォレスト/シングルドメイン環境です。ドメインコントローラーの冗長性や負荷分散などは一切考慮していない、最も小さな構成のActive Directoryドメインといってもいいでしょう。評価やテストにはこれで十分です。インプレースアップグレード（vol.67）が成功すれば、それで作業は終わりだったはずですが、ご存じのように失敗しました。失敗後、VMのチェックポイントを戻して、何もなかったことにしていました。

　インプレースアップグレードの道を失った私に残された選択肢は3つあると考えました。1つはWindows Server 2022のまま使い続けること。2つ目は、Windows Server 2025で最初からドメインを作り直すこと。そして3つ目は、現在のドメイン環境を維持したまま、Windows Server 2022のドメインコントローラーを、Windows Server 2025のドメインコントローラーに入れ替えることです。

　今回は、皆さんの運用環境にお役に立てればと思い、少し面倒ですが、3つ目を選択しました。Active Directoryの解説については極力省き、やることだけを書き残します。

　vol.67でも触れましたが、Active Directoryのアップグレード方法には、ドメインコントローラーを最新OSに直接的にアップグレードする「インプレースアップグレード」と、ドメインに最新OSのドメインコントローラーを追加して、古いドメインコントローラーを撤去していく「ローリングアップグレード」の2つの方法があります。今回やろうとしているのは、「最小単位のローリングアップグレード」ということができるでしょう（図1）。

ドメイン コントローラーを新しいバージョンの Windows Server にアップグレードする｜Windows Server（Microsoft Learn）


図1　Active Directoryドメインを維持しながら、ドメインコントローラーを最新OSに入れ替える作業は、ローリングアップグレードと同じ手順

前提条件はフォレスト/ドメイン機能レベル「Windows Server 2016」であること

　現在のActive Directoryドメインを最新バージョンに移行するには、現在のフォレストとドメインの機能レベルが、それぞれ「Windows Server 2016」（Windows2016Forest/Windows2016Domain）である必要があります。Windows Server 2019やWindows Server 2022では、新しい機能レベルは追加されませんでした。「Windows Server 2026」より上位の新しい機能レベルはWindows Server 2025のActive Directoryで追加される「Windows Server 2025」（Windows2025Forest/Windows2025Domain）になります。移行元の機能レベルが「Windows Server 2016」に制限される理由は、Windows Server 2025のドメインコントローラーがフォレスト/ドメイン機能レベル「Windows Server 2016」と「Windows Server 2025」のみをサポートしているからです。

Active Directory Domain Services 機能レベル｜Windows Server（Microsoft Learn）

　ドメインコントローラーのインプレースアップグレードの場合は、「adprep /forestprep」「adprep /domainprep」の手動実行が必要でしたが、ローリングアップグレードの場合は必要ありません。

ステップ1: ドメインに新しいWindows Server 2025サーバーを参加させる

　（ラボ環境に）新しいVMを作成し、Windows Server 2025を新規インストールして、最新状態に更新したら、Active Directoryドメインのメンバーとして参加させます（画面1）。ドメインに参加させたら、ドメインのAdministratorとしてログインし、以降の作業を行います。

画面1　Windows Server 2025のVM「ws2025dc01」をmylab.testドメインのメンバーとして参加させる

ステップ2: 新しいWindows Server 2025サーバーをドメインコントローラーに昇格する

　「役割と機能の追加ウィザード」を使用して、新しいWindows Server 2025サーバーに「Active Directoryドメインサービス」の役割をインストールし、「このサーバーをドメインコントローラーに昇格する」をクリックします（画面2）。「Active Directoryドメインサービス構成ウィザード」が始まるので、「既存のドメインにドメインコントローラーを追加する」を選択して、ドメイン「mylab.test」のドメインコントローラーにします（画面3）。なお、「Active Directoryドメインサービス構成ウィザード」により、「DNSサーバー」の役割も自動的にインストールされます。

画面2　新しいWindows Server 2025サーバーに「Active Directoryドメインサービス」の役割をインストールする

画面3　mylab.testドメインの追加のドメインコントローラーとして構成する

ステップ3: FSMO操作マスターの役割を新しいドメインコントローラーに転送する

　Active Directoryドメインサービスの大部分は、複数台のドメインコントローラーが利用可能である場合に、マルチマスターモデルで動作します。しかし、一部の役割についてはシングルマスターモデルで動作するものがあります。それが、「FSMO（Flexible Single Master Operation）」や「操作マスター」と呼ばれる役割です。現在、FSMOの役割をどのドメインコントローラーが担っているのかは、「netdom query fsmo」で確認することができますが、これまで1台のドメインコントローラーで運用してきたmylab.testドメインでは、すべてをそのドメインコントローラーが担っています。

　FSMOの操作マスターの転送を行うツールやコマンドはいくつか存在しますが、PowerShellの「Move-ADDirectoryServerOperationMasterRole」コマンドレットを利用するのが、最も明解で簡単だと思います。例えば、新しいドメインコントローラー「ws2025dc01」にすべての役割を転送するには、次の1行を実行します（画面4）。

画面4　FSMO操作マスターを新しいドメインコントローラー「ws2025dc01」に転送する

ステップ4: 古いドメインコントローラーを降格する

　これで、Windows Server 2022の古いドメインコントローラーは撤去可能になりました。物理的に撤去する前に、ドメインから古いドメインコントローラーを降格し、「Active Directoryドメインサービス」および「DNSサーバー」の役割をアンインストールします。それには、Windows Server 2022で「役割と機能の削除ウィザード」を実行し、「Active Directoryドメインサービス」のチェックを外します。すると、「このドメインコントローラーを降格する」リンクが表示されるので、これをクリックして「Active Directoryドメインサービス構成ウィザード」でドメインコントローラーの削除を行います（画面5）。

画面5　古いドメインコントローラーを降格してドメインから削除する

　ドメインコントローラーであったVMを降格したら、このサーバーはこのドメインにとってはもう用済みです（もうドメインメンバーですらありません、ワークグループ名「MYLAB」《WORKGROUPではないことに注意！》のスタンドアロンサーバーです）。VMを別の用途に再利用するつもりがないなら、この時点でVMを削除してかまいません。別の用途に再利用する場合は、もう一度「役割と機能の削除ウィザード」を実行し、「Active Directoryドメインサービス」と「DNSサーバー」のチェックを外して、これらの役割をアンインストールします。なお、ドメインコントローラーを降格しても、対応するオブジェクトがドメイン内に残っているかもしれません。「Active Directoryユーザーとコンピューター」の「Domain Controllers」コンテナーを確認して、コンピューターオブジェクトが残っている場合は、削除してください。

ステップ5・6: ドメイン/フォレストの機能レベルを昇格する

　最後に、ドメインとフォレストの機能レベルを、ドメイン、フォレストの順番に「Windows Server 2025」に引き上げます。今回はドメインコントローラー1台の環境なので、すぐに実行しますが、通常は、ドメイン内のドメインコントローラーがすべてWindows Server 2025になったときに実施するものです。

　これらの機能レベルの引き上げは、「Active Directoryドメインと信頼関係」や「Active Directory管理センター」、「Set-ADDomainMode/Set-ADForestMode」コマンドレットなどで行うことができます。「Active Directoryドメインと信頼関係」を使用する場合は、最初にドメイン名のノードを右クリックして「ドメインの機能レベルの昇格」をクリックし、「上げる」をクリックします（画面6）。次に、ルートにある「Active Directoryドメインと信頼関係［FQDN］」を右クリックして「フォレストの機能レベルの昇格」をクリックし、「上げる」をクリックします（画面7）。

画面6　ドメインの機能レベルを最上位の「Windows Server 2025」に上げる

画面7　フォレストの機能レベルを最上位の「Windows Server 2025」に上げる

ドメイン参加済みクライアント（ラボメン）への影響は？

　今回のドメインコントローラーの入れ替えにより、DNSサーバーも兼任するドメインコントローラーのIPアドレスが変わってしまいました。通常であれば、撤去した古いドメインコントローラーのIPアドレスと入れ替えることで、クライアント側の設定を変更することなく、引き続きドメイン機能をサービスできるようにするべきでしょう。ラボ環境では、NATネットワークに対してHyper-Vホスト側にインストールしたDHCPサーバーからネットワーク設定を動的に割り当てています。そのため、スコープオプションの「006 DNSサーバー」を新しいドメインコントローラーのIPアドレスに書き換えるだけで済ませました（画面8）。既存のドメインメンバーであるVMを起動して確認しましたが、ドメイン認証など以前と変わらず利用できているので、問題はなさそうです。

画面8　クライアントのDNS参照設定は、（Hyper-Vホスト上の）DHCPサーバーが配布しているので、そこを一か所書き換えるだけ

Windows Server 2025大特集（1）｜...｜（4）｜...｜（15）｜（16）