PR

 64ビット版のWindows Server 2008またはWindows Server 2008 R2でDCを構築している環境は、Windows Server 2012に「インプレースアップグレード」できる可能性がある。インプレースアップグレードは既存の設定をすべて引き継いだままでWindows Server 2012に移行できる、もっとも低コストのアップグレード方法となる。

 インプレースアップグレードを行うには、次の3つの条件をクリアしている必要がある。

条件1:既存のDCが64ビット版のWindows Server 2008またはWindows Server 2008 R2を実行している
条件2:ハードウェア(デバイスドライバ)とアプリケーションがWindows Server 2012に対応している
条件3:フォレストの機能レベルが「Windows Server 2003」以上である

 Windows Server 2003(R2)は直接アップグレードすることはできないので、先に紹介した「シナリオ1」のDCの追加による並行運用を経て、Windows Server 2012にリプレースするとよいだろう。

 なお、フォレスト内のすべてのドメインで次の2つの追加条件を満たす場合のみ、フォレストの機能レベルを「Windows Server 2003」以上に設定できる。

条件3-1:DCがすべてWindows Server 2003以降である
条件3-2:ドメインの機能レベルが「Windows Server 2003」以上である

 したがって、まず機能レベルの要件を満たすようにフォレストを再構成することが、Active Directoryドメインのアップグレード工程における最初のステップとなる。そのためには、機能レベルを引き上げる前に、ドメインやフォレストの機能レベルを上げることで有効になる新機能と、その影響をチェックする必要がある。

 ドメイン内のすべてのDCがWindows Server 2012を実行している場合は、新しいドメイン機能レベル「Windows Server 2012」を選択することができる。この機能レベルでは、Kerberos認証に関する次のグループポリシー設定を利用できる(画面4)。

画面4●Windows Server 2012で利用可能なKerberos 認証に関するグループポリシー設定
画面4●Windows Server 2012で利用可能なKerberos 認証に関するグループポリシー設定
[画像のクリックで拡大表示]

ポリシーのパス:[コンピューターの構成]-[ポリシー]-[管理用テンプレート]-[システム]-[KDC] ポリシーの名前:KDCで信頼性情報、複合認証、およびKerberos防御をサポートする
ポリシーの設定:[常に信頼性情報を提供する]または[防御されていない要求を失敗とする]

 そして、全ドメインの機能レベルが「Windows Server 2012」であれば、フォレストの機能レベルも「Windows Server 2012」に設定できる。ただし、Windows Server 2012のリリース時点において、このフォレスト機能レベルによる新機能は特にない。