Windows Server 2016の製品ライフサイクルとサポート終了日（End of LifeCycle《EOL》、End of Support《EOS》）である2027年1月12日までまだ1年以上ありますが、対策に着手するには遅すぎるくらいです。今回は、Hyper-Vと同様に、オンプレミスの重要な基盤サービスの1つである、Active Directoryフォレスト/ドメインのアップグレードについて取り上げます。

Server 2016のドメインコントローラーはServer 2025に直接アップグレード可能

　現在、Windows Server 2016ベースのHyper-Vの仮想化基盤があるのなら、優先的にWindows Server 2025にアップグレードするべきであり、その利点や方法について説明してきました。今回は、Hyper-Vと同様に重要で、優先的に移行するべき、Active Directoryフォレスト/ドメインのアップグレードについて説明します。

　Active Directoryではなく、Hyper-V環境を先にアップグレードまたは移行したのには理由があります。最新のHyper-V環境があれば、Active Directoryのドメインコントローラーの移行先として、Hyper-VのVMを利用できるからです。

　Active Directoryのバージョンアップグレードの方法には、インプレースアップグレードとローリングアップグレードの2つの方法があります。インプレースアップグレードは、旧バージョンのWindows Serverを実行する1台以上のドメインコントローラーを、新しいバージョンにアップグレードインストールして移行する方法です。ローリングアップグレードは、既存のフォレスト/ドメインに新しいバージョンのドメインコントローラーを追加し、FSMO（Flexible Single Master Operations、操作マスター）^*1の役割を新しいドメインコントローラーに移行後、古いドメインコントローラーを撤去する方法です。いずれの場合も、新しいバージョンのWindows Serverでサポートされるフォレスト/ドメインの機能レベルの最小要件を満たしている必要があります。

*1　「スキーマ マスター」「ドメイン名前付けマスター」「PDC エミュレーター」「RID マスター」「インフラストラクチャー マスター」の5つの操作マスターが存在します。

　連載シリーズ「Windows Server 2025大特集」の以下の記事では、Windows Server 2022からWindows Server 2025にインプレースアップグレードする方法と、ローリングアップグレードする方法について解説しました。Windows Server 2025はアップグレードパスが従来の2つ前（N-2）のバージョンから、4つ前（N-4）のバージョンに拡張されたため、同じ方法でWindows Server 2016のActive DirectoryをWindows Server 2025のActive Directoryに直接的にインプレースアップグレードで移行することができます。

vol.67　旧バージョンからのアップグレード（ドメインコントローラー編）（追記あり）｜Windows Server 2025大特集（4）
vol.79　Active Directoryの“ミニ”ローリングアップグレード｜Windows Server 2025大特集（16）

現在の機能レベルを確認し、フォレストとドメインを準備する

　Windows Server 2016がサポートするフォレスト/ドメイン機能レベルの最上位は「Windows Server 2016」（Windows2016Forest/ Windows2016Domain）です。Windows Server 2019およびWindows Server 2022では新しいフォレスト/ドメイン機能レベルは追加されませんでした。そして、Windows Server2025はフォレスト/ドメイン機能レベル「Windows Server 2016」と新たに追加された「Windows Server 2025」（Windows2025Forest/ Windows2025Domain）の2つをサポートしています。

　今回は、Windows Server 2016のドメインコントローラーを、インプレースアップグレードでWindows Server 2025に移行する手順で解説します。ドメイン管理者（ドメイン名￥Administratorなど）でローカルログオンまたはリモートデスクトップ接続で対話的にログオンして作業します。ローリングアップグレードの手順については、前掲の記事を参考にしてください。なお、現在、物理サーバーでドメインコントローラーを運用している場合でも、ローリングアップグレードの方法で移行することで、Active Directoryのサービスを中断することなく、Active Directoryのすべて（または一部）をVM環境に移行することができます。

　インプレースアップグレードで移行する場合は、アップグレード前にドメインコントローラーの1台でWindows Server 2025のインストールメディアの「￥Support￥Adprep」フォルダーにある「adprep.exe」を実行して、フォレストとドメインを準備する必要があります。その前に、現在のフォレスト/ドメイン機能レベルを確認しておきましょう。

　フォレスト/ドメイン機能レベルが「Windows Server 2012 R2」（Windows2012R2Forest/Windows2012R2Domain）以前の場合は、事前にフォレスト/ドメイン機能レベルを昇格しておく必要があります。機能レベルを昇格するには、すべてのドメインコントローラーがWindows Server 2016を実行している必要があります。なお、機能レベルはドメイン（すべてのドメイン）、フォレストの順番に昇格する必要があります。なぜなら、ドメインの機能レベルはフォレストの機能レベルより低くすることができないからです（※フォレスト機能レベルを先に昇格すると、ドメイン機能レベルも自動的に昇格されるようです）。

　フォレスト/ドメイン機能レベルが「Windows Server 2016」であることを確認できたら、「adprep.exe /forestprep」をフォレストで1回、「adprep.exe /domainprep」をドメインごとに1回（1フォレスト/ドメインの場合はそれぞれ1回ずつ）実行します。「adprep.exe /forestprep」を実行した場合、確認メッセージが表示されるので、「C」キー、「Enter」キーの順番に入力して続行します（画面1）。

画面1　現在のフォレスト/ドメイン機能レベルを確認し、「Windows Server 2016」（Windows2016Forest/Windows2016Domain）であることを確認したら「adprep.exe /forestprep」をフォレストで1回、「adprep.exe /domainprep」をドメインごとに1回実行する

インプレースアップグレードを実行する

　Windows Server 2025のインストールメディア（ISO）のルートにある「setup.exe」を実行して、「Windows Serverセットアップ」ウィザードを開始し、ウィザードに従ってインプレースアップグレードを実行します。それには、「イメージの選択」のページで、現在のインストールと同じインストールの種類を選択し^*2、「引き継ぐ項目を選んでください」のページで「ファイル、設定、アプリを保持する」を選択して進みます（画面2）。
^{*2　インプレースアップグレードでは、エディション（DatacenterとStandard）は変更できますが、インストールの種類（デスクトップエクスペリエンスかServer Coreインストール）は変更できません。}

画面2　「ファイル、設定、アプリを保持する」を選択することと、インプレースアップグレード（アップグレードインストール）が実行される

　インストールが進み、再起動後、インストールが完了したら、ドメイン管理者（ドメイン名￥Administrator）でログオンします。これでOSのインプレースアップグレードは完了ですが、Windows Updateをできるだけ早く実行して、最新のセキュリティ更新プログラムのインストールを済ませてください（画面3）。

画面3　インプレースアップグレードが完了したら、Windows Updateを実行して最新のセキュリティ更新プログラムをインストールする

フォレスト/ドメイン機能レベルを昇格する

　フォレスト/ドメイン内のすべてのドメインコントローラーをWindows Server 2025にアップグレードし、Windows Server 2016を実行するドメインコントローラーが存在しなくなったら、フォレスト/ドメイン機能レベルを「Windows Server 2025」に昇格します。繰り返しますが、機能レベルはドメイン（すべてのドメイン）、フォレストの順番で昇格する必要があります。機能レベルの昇格は、「Active Directory管理センター」（画面4）、「Active Directoryユーザーとコンピューター」、「Active Directoryドメインと信頼関係」、Set-ADDomainMode/Set-ADForestModeコマンドレットのいずれかで実行できます。

　フォレスト/ドメイン機能レベルを昇格すると、Windows Server 2025のActive Directoryの新機能である「データベース32kページのオプション機能」を利用できるようになります。ただし、この機能は昇格しただけでは有効にならないオプション機能です。有効化する方法については、以下の公式ドキュメントで確認してください。ただし、新機能には不具合がつきものなので、運用環境のActive Directoryにすぐに導入することはお勧めできません。

Active Directory Domain Services で Database 32k ページのオプション機能を有効にする｜Windows Server（Microsoft Learn）


画面4　ドメイン機能レベル、フォレスト機能レベルの順番で機能レベルを昇格する

Windows Server 2016 EOSまであとX日（1）｜...｜（16）｜（17）｜（18）｜（19）