フォレストの信頼
W2012R2ADMIGGUIDE_v1.2.docx
Windows Server 2012 R2 の Active Directory ドメイン サービスは、
[Windows Server 2003] 以上のフォレストおよびドメインの機能レベルをサポートしているため、
Windows Server 2003 の Active Directory フォレスト/ドメインからの段階的なアップグレードが可能です。
アップグレード後にフォレストおよびドメインの機能レベルを[Windows Server 2012 R2]に昇格することで、
最新の Active Directory のすべての機能を利用できるようになります。
フォレストおよびドメインの機能レベルは、フォレストおよびドメインでサポートされる Active Directory の機能と、
ドメイン コントローラーの最小バージョン要件を規定するものです。
Windows Server 2003 の Active Directory フォレスト/ドメインを Windows Server 2012 R2 の Active Directory フォレスト/ドメインにアップグレードするには、
アップグレードする現在のフォレストおよびドメインの機能レベルが[Windows Server 2003]以上である必要があります。
現在のフォレストおよびドメインの機能レベルは、[Active Directory ドメインと信頼関係]スナップイン (domain.msc) を使用して確認、および変更することができます。
フォレストの機能レベルは、[Active Directory ドメインと信頼関係]スナップインの最上位のコンテナ (Active Directory ドメインと信頼関係) を右クリックして
[フォレストの機能レベルを上げる] を選択すると確認および変更できます。
ドメインの機能レベルは、[Active Directory ドメインと信頼関係]スナップインでドメインのコンテナーを右クリックして
[ドメインの機能レベルを上げる] を選択すると、確認および変更できます。
~~~~~~~~~~~
現在のフォレストの機能レベルが[Windows 2000]で、ドメインの機能レベルが[Windows 2000 ネイティブ]または[Windows 2000 混在]になっている場合は、
それぞれ[Windows Server 2003]に変更して機能レベルを昇格ください。
機能レベルの昇格は、ドメイン、フォレストの順番で行います。
~~~~~~~~~~~
なお、フォレストおよびドメインの機能レベルを[Windows Server 2003]に昇格する場合は、
Windows 2000 Server のドメイン コントローラーが存在しないことを確認してから実行してください。
~~~~~~~~~~~
Windows 2000 Server のドメイン コントローラーが存在する場合は、
Windows 2000 Server のドメイン コントローラーに配置されている操作マスターを
Windows Serer 2003 以降のドメイン コントローラーに転送し、Windows 2000 Server のドメイン コントローラーをメンバー サーバーに降格する必要があります。
~~~~~~~~~~~
Windows 2000 Server のドメイン コントローラーからの操作マスターの転送とドメイン コントローラーの降格の手順については、
このあと説明する Windows Server 2003 の手順と共通です。
[Windows Server 2003]機能レベルのサポート
Windows Server 2012 R2 の Active Directory ドメイン サービスは、フォレストおよびドメインの最小の機能レベルとして
[Windows Server 2003]をサポートしていますが、新規に作成するドメインにおいて[Windows Server 2003]の機能レベルを選択することはできません。
[Windows Server 2003]の機能レベルは、既存のフォレスト/ドメインに追加するドメイン コントローラーでサポートされます。
なお、[Windows Server 2003]の機能レベルのサポートは、将来の Windows Server バージョンから削除される可能性があります。
■Windows 2000 Server に関連する機能レベル
Windows 2000 Server は混在モードとネイティブ モードのみをサポートします。また、これらのモードはドメインの機能のみに適用されます。
○Windows 2000 Server 混在 (既定)
サポートされるドメイン コントローラー: Microsoft Windows NT 4.0、Windows 2000 Server、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2
アクティブになる機能: ローカル グループおよびグローバル グループ、グローバル カタログ サポート。
○Windows 2000 Server ネイティブ
サポートされるドメイン コントローラー: Windows 2000 Server、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2
アクティブになる機能: グループの入れ子、ユニバーサル グループ、Sid 履歴、セキュリティ グループと配布グループ間の変換。フォレスト レベルの設定を上げることによってドメインのレベルを上げることができます。
Active Directory ドメインおよびフォレストの機能レベルを上げる方法
https://support.microsoft.com/ja-jp/kb/322692
○ドメインの機能レベル Windows Server 2003
認証の選択のサポート。これにより、信頼する側のフォレストのリソース サーバーで認証を受けることが許される、
信頼されている側のフォレストのユーザーおよびグループを指定できます。
○フォレストの機能レベル Windows Server 2003
既定の Active Directory の機能すべて。加えて、以下の機能が有効です。
フォレストの信頼。
ドメインとフォレストの機能レベルとは
https://technet.microsoft.com/ja-jp/library/cc771294.aspx
フォレストの信頼を作成する
https://technet.microsoft.com/ja-jp/library/cc754626.aspx
信頼を管理する
https://technet.microsoft.com/ja-jp/library/cc771568.aspx
コマンド ラインを使用して信頼を検証するには
netdom trust <TrustingDomainName> /d:<TrustedDomainName> /verify
信頼を検証する
https://technet.microsoft.com/ja-jp/library/cc753821.aspx