フォレストの信頼 - 備忘録的な

W2012R2ADMIGGUIDE_v1.2.docx

Windows Server 2012 R2 の Active Directory ドメインサービスは、
[Windows Server 2003] 以上のフォレストおよびドメインの機能レベルをサポートしているため、
Windows Server 2003 の Active Directory フォレスト/ドメインからの段階的なアップグレードが可能です。

アップグレード後にフォレストおよびドメインの機能レベルを［Windows Server 2012 R2］に昇格することで、
最新の Active Directory のすべての機能を利用できるようになります。

フォレストおよびドメインの機能レベルは、フォレストおよびドメインでサポートされる Active Directory の機能と、
ドメインコントローラーの最小バージョン要件を規定するものです。

Windows Server 2003 の Active Directory フォレスト/ドメインを Windows Server 2012 R2 の Active Directory フォレスト/ドメインにアップグレードするには、
アップグレードする現在のフォレストおよびドメインの機能レベルが［Windows Server 2003］以上である必要があります。

現在のフォレストおよびドメインの機能レベルは、［Active Directory ドメインと信頼関係］スナップイン (domain.msc) を使用して確認、および変更することができます。

フォレストの機能レベルは、［Active Directory ドメインと信頼関係］スナップインの最上位のコンテナ (Active Directory ドメインと信頼関係) を右クリックして
[フォレストの機能レベルを上げる] を選択すると確認および変更できます。

ドメインの機能レベルは、［Active Directory ドメインと信頼関係］スナップインでドメインのコンテナーを右クリックして
[ドメインの機能レベルを上げる] を選択すると、確認および変更できます。

～～～～～～～～～～～
現在のフォレストの機能レベルが［Windows 2000］で、ドメインの機能レベルが［Windows 2000 ネイティブ］または［Windows 2000 混在］になっている場合は、
それぞれ［Windows Server 2003］に変更して機能レベルを昇格ください。
機能レベルの昇格は、ドメイン、フォレストの順番で行います。
～～～～～～～～～～～

なお、フォレストおよびドメインの機能レベルを［Windows Server 2003］に昇格する場合は、
Windows 2000 Server のドメインコントローラーが存在しないことを確認してから実行してください。

～～～～～～～～～～～
Windows 2000 Server のドメインコントローラーが存在する場合は、
Windows 2000 Server のドメインコントローラーに配置されている操作マスターを
Windows Serer 2003 以降のドメインコントローラーに転送し、Windows 2000 Server のドメインコントローラーをメンバーサーバーに降格する必要があります。
～～～～～～～～～～～

Windows 2000 Server のドメインコントローラーからの操作マスターの転送とドメインコントローラーの降格の手順については、
このあと説明する Windows Server 2003 の手順と共通です。

［Windows Server 2003］機能レベルのサポート
Windows Server 2012 R2 の Active Directory ドメインサービスは、フォレストおよびドメインの最小の機能レベルとして
［Windows Server 2003］をサポートしていますが、新規に作成するドメインにおいて［Windows Server 2003］の機能レベルを選択することはできません。

［Windows Server 2003］の機能レベルは、既存のフォレスト/ドメインに追加するドメインコントローラーでサポートされます。
なお、［Windows Server 2003］の機能レベルのサポートは、将来の Windows Server バージョンから削除される可能性があります。

■Windows 2000 Server に関連する機能レベル
Windows 2000 Server は混在モードとネイティブモードのみをサポートします。また、これらのモードはドメインの機能のみに適用されます。

○Windows 2000 Server 混在 (既定)
サポートされるドメインコントローラー: Microsoft Windows NT 4.0、Windows 2000 Server、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2
アクティブになる機能: ローカルグループおよびグローバルグループ、グローバルカタログサポート。

○Windows 2000 Server ネイティブ
サポートされるドメインコントローラー: Windows 2000 Server、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2
アクティブになる機能: グループの入れ子、ユニバーサルグループ、Sid 履歴、セキュリティグループと配布グループ間の変換。フォレストレベルの設定を上げることによってドメインのレベルを上げることができます。

Active Directory ドメインおよびフォレストの機能レベルを上げる方法
https://support.microsoft.com/ja-jp/kb/322692

○ドメインの機能レベル Windows Server 2003
認証の選択のサポート。これにより、信頼する側のフォレストのリソースサーバーで認証を受けることが許される、
信頼されている側のフォレストのユーザーおよびグループを指定できます。

○フォレストの機能レベル Windows Server 2003
既定の Active Directory の機能すべて。加えて、以下の機能が有効です。
フォレストの信頼。

ドメインとフォレストの機能レベルとは
https://technet.microsoft.com/ja-jp/library/cc771294.aspx

フォレストの信頼を作成する
https://technet.microsoft.com/ja-jp/library/cc754626.aspx

信頼を管理する
https://technet.microsoft.com/ja-jp/library/cc771568.aspx

コマンドラインを使用して信頼を検証するには

netdom trust <TrustingDomainName> /d:<TrustedDomainName> /verify

信頼を検証する
https://technet.microsoft.com/ja-jp/library/cc753821.aspx