Windows Serverをゆるゆると愛でる

Windows Server(主にActive Directory関連)について割とヌルく取り上げるブログです。

ドメインの機能レベルを考える(番外編)Windows Server 2016(1/2:technetの記事)

こんにちは。

Windows Server 2016のドメインの機能レベルについてはtechnetが追いついていないのか、まだ更新されていません。
ですので、Microsoftのドキュメント2つから紐解いて行きたいと思います。
一応日本語サイトもあるのですが、英語の機械翻訳によるものなので若干品質が悪いです。ちなみにどちらもBill Mathers氏が書いています。ですので記事の内容は本人及びMicrosoft社に帰属するものです。

今回は以下の記事より。

Windows Server 2016 Functional Levels

実はあまり内容が深くなかったりします...。
ちなみに若干意訳が入っているため、直訳好きな方は違和感やツッコミどころがあるかもしれませんが、そこはご愛嬌ということで。というかそういう人は原文を読んでくださいね...。

Windows 2003のサポート終了に伴い、Windows 2003ドメインコントローラーをWindows 2008、2012、2016にアップデートする必要があります。結果として、Windows Server 2003で動作しているドメインコントローラーはいずれもドメインから削除する必要があります。以前のバージョンのWindows Serverが動作するドメインコントローラーによりドメイン環境に新しいドメインコントローラーを追加することができないため、ドメイン及びフォレストの機能レベルは少なくともWindows Server 2008にする必要があります。

 

顧客がドメインの機能レベル(DFL:Domain Functional Level)及びフォレストの機能レベル(FFL:Forest Functional Level)を更新することを推奨します。これは2003のDFLやFFLがWindows Server 2016では非推奨となっており、以降のリリースではサポートされない予定だからです。

 

DFLとFFKを2003から変更するのを評価するためにもう少し時間が必要だと考える顧客に対して、ドメイン及びフォレストの全てのドメインコントローラーがWindows Server 2008、2012、2016のいずれかである場合、Windows Server 2003のDFLやFFLは引き続きWindows 10及びWindows Server 2016でサポートされます。

 

Windows Server 2008以降のドメインの機能レベルでは分散ファイルサービス(DFS:Distributed File Service)レプリケーションドメインコントローラー間でSYSVOLフォルダーの内容をレプリケートするために使用されます。Windows Server 2008以降のドメイン機能レベルで新たにドメインを作成した場合、DFSレプリケーションはSYSVOL複製に自動的に使用されます。それ以前(Windows Server 2003以前)の機能レベルで作成された場合、SYSVOL複製をFRSからDFSレプリケーションに移行する必要があります。移行のステップについてはTechnet上の手順に従うかストレージチームのブログの詳細な手順を参照することができます。

 

Windows Server 2003ドメイン及びフォレストの機能レベルはサポートされ続けますが、組織はSYSVOL複製の互換性や将来的なサポートを確実なものにするため、Windows Server 2008(あるいはできればそれ以降)に上昇させることを推奨します。加えて、機能レベルが高ければ高いほどそれ以外の利点や利用可能な機能が多く存在します。詳細な情報については以下のリソースを参照ください。

Windows Server 2003については既存のActive Directoryドメインが2003の場合にWindows Serer 2008/2008 R2、2012/2012 R2、2016を追加することが可能ですが、Windows Server 2016で新規にドメインを構築する場合は2003を選択することができません。記事にあるとおり、SYSVOL複製の方法が2008よりDFS-Rに変更になっており、2012 R2以降FRSが非推奨となっている現在、2008以降に変更した方が良いと思います。また、新規ドメインを構築する場合、他のアプリケーション等の影響がなければ(ドメインの機能レベルが関係するアプリケーションはあまりないですが)できるだけ最新の機能レベルにした方が良いと思います。

----

2017/08/19 追記

長らく機能レベルについて言及されていませんでしたが、5/31にMicrosoft Docsで公開されました。

Windows Server 2016 の機能レベル | Microsoft Docs

そちらの方から引用します。
(若干機械翻訳から変更していますが、正直合っているか不安です...)

Windows Server 2016のフォレストの機能レベル

Windows Server 2012 R2のフォレスト機能レベルで使用できる全機能に加えて、以下の機能が利用可能となる。

  • MIM(Microsoft Identity Manager)を使用したPAM(Privileged Access Management)

Windows Server 2016のドメインの機能レベル

Windows Server 2012 R2のドメインの機能レベルで使用できる全機能に加えて、以下の機能が利用可能となる。

  • ユーザーのNTLMシークレットに限り公開鍵のロールバックをサポート
  • ユーザーが特定のドメインに参加しているデバイスに制限されている際にNTLM許可をサポート
  • PKInit Freshness Extensionで認証に成功したKerberosクライアントが新しい公開鍵アイデンティティSIDを取得する

PKInit Fresshness ExtensionはRFC8070の機能です。
RFC8070自体がMSで作られているみたいなので、Windows Server 2016とそのクライアントとなるWindows 10(1607)のための機能と見て良いのではないかと思います。
詳細については以下。

Kerberos 認証の新機能 | Microsoft Docs

http://www.ietf.org/rfc/rfc8070.txt (RFC本体)

https://www.ietf.org/proceedings/91/slides/slides-91-kitten-1.pdf (RFCに関する説明資料)

特にドメインの機能レベルについてはよく分からないところもあるので、調べた上でまた記事にできればいいなと思います(業務上必要だということもあります)。

まずはこのページへの参照が多いので追記として。