10. 10
1.移行の心構え > しっかりと現状把握しましょう
【参考】Windows Server のサポート終了日
次へ
製品名
メインストリームサポート
終了日
延長サポート
終了日
Windows Server 2008 2015/01/13 2020/01/14
Windows Server 2008 R2 2015/01/13 2020/01/14
Windows Server 2012 2018/01/09 2023/01/10
Windows Server 2012 R2 2018/01/09 2023/01/10
Windows Server 2016 ??? ???
17. 17
次へ
Old Windows Server
フォレスト / ドメイン
Old Windows Server
Phase 1
新しいドメインコントローラー
を追加する
New Windows Server New Windows Server
ディレクトリ情報
の複製
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインをアップグレードする」移行方法の流れ
18. 18
次へ
Old Windows Server
フォレスト / ドメイン
Old Windows Server
Phase 2
FSMO の
操作マスターの役割を
転送する
New Windows Server New Windows Server
ディレクトリ情報
の複製
FSMO
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインをアップグレードする」移行方法の流れ
19. 19
次へ
Old Windows Server
フォレスト / ドメイン
Old Windows Server
Phase 3
古いドメインコントローラーを
降格する
New Windows ServerNew Windows Server
FSMO
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインをアップグレードする」移行方法の流れ
20. 20
次へ
フォレスト / ドメイン
Phase 4
(可能であれば)
機能レベルを昇格する
New Windows ServerNew Windows Server
FSMO
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインをアップグレードする」移行方法の流れ
21. 21
次へ
フォレスト / ドメイン
+ α
・IPアドレスの引継ぎ
・SYSVOL複製方法変更
・ごみ箱の有効化
・その他
New Windows ServerNew Windows Server
FSMO
IP アドレス
引継ぎ
セントラル
ストアの作成
SYSVOL
複製方法
変更
ごみ箱の
有効化
動作確認
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインをアップグレードする」移行方法の流れ
25. 25
次へ
移行元 フォレスト / ドメイン
Old Windows Server
Phase 2
「ADMT用サーバー」を
移行先ドメインに参加
移行先 フォレスト / ドメイン
New Windows Server
信頼関係 ADMT用サーバー
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインの再編とオブジェクトの移動」による移行の流れ
26. 26
次へ
移行元 フォレスト / ドメイン
Old Windows Server
Phase 3
ADMTやPESをインストール。
その他、各種設定。
移行先 フォレスト / ドメイン
New Windows Server
信頼関係 ADMT用サーバー
ADMT
PES
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインの再編とオブジェクトの移動」による移行の流れ
27. 27
次へ
移行元 フォレスト / ドメイン
Old Windows Server
Phase 4
各種アカウントの移行を実行
移行先 フォレスト / ドメイン
New Windows Server
信頼関係 ADMT用サーバー
ADMT
PES
アカウント
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインの再編とオブジェクトの移動」による移行の流れ
28. 28
次へ
Phase 5
終了処理。
移行先 フォレスト / ドメイン
New Windows Server
ADMT用サーバー
ADMT
移行元 フォレスト / ドメイン
Old Windows Server
PES
アカウント
信頼関係
1.移行の心構え > 早期に移行方法を決定しましょう
「ドメインの再編とオブジェクトの移動」による移行の流れ
36. 36
2. バージョンごとの機能 >
OS のバージョンごとの新機能、追加機能
OS のバージョンが新しくなることにより、
AD DS、ドメインコントローラーに機能が追加されている
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016 (TP5)
利用するためには、「フォレストの機能レベル」や「ドメインの機能レベル」も
上げなければならないもの、追加の操作を要するものもある
次へ
37. 37
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
Windows Server 2008 の AD DS 追加機能
機能のサービス化
RODC(Read Only Domain Controller)のサポート
グループポリシーの基本設定
監査機能の改善
フリガナのサポート
きめ細やかなパスワードポリシー
1 つのドメインの中で、複数のパスワードポリシーを設定できるようになりました。
例えば、一般ユーザーと管理者ユーザーのパスワードの長さや複雑さの要件を変え
ることなどが可能です。
※「ドメインの機能レベル」が「Windows Server 2008以上」であること。
次へ
38. 38
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
Windows Server 2008 R2 の AD DS 追加機能
Active Directory 管理センター
Active Directory Web サービス
Active Directory ベストプラクティスアナライザー
オフラインドメイン参加のサポート
管理されたサービスアカウントのサポート
Active Directory のごみ箱機能のサポート
Active Directory のオブジェクトを削除しても、
比較的容易に復元できるようになりました。
※「フォレストの機能レベル」が「Windows Server 2008 R2以上」であること。
次へ
39. 39
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
Windows Server 2012 の AD DS 追加機能
ダイナミックアクセス制御
Active Directoryによるライセンス認証
DirectAccessオフラインドメイン参加のサポート
グループの管理されたサービスアカウントのサポート
仮想化されたドメインコントローラーの複製
ドメインコントローラーの安全な仮想化
Windows Server 2012やWindows Server 2012 R2のHyper-Vなど、
「VM-GenerationID」をサポートしたハイパーバイザープラットフォーム上で
安全に仮想化することが可能になりました。
次へ
40. 40
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
Windows Server 2012 R2 の AD DS 追加機能
Protected Usersグループのサポート
認証ポリシーサイロのサポート
AD FSによる追加機能いろいろ
多要素認証サポート
ワークプレース参加
次へ
41. 41
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
【参考】Protected Usersグループ
Windows Server 2012 R2 から追加された、
ビルトインの新しいグローバルセキュリティグループ。
Windows 8.1以降を実行するコンピューターからの認証セキュリティを
さらに強化することが可能。
AES 暗号化による Kerberos 認証が必須
既定のKerberosチケット保証チケット(TGT)の有効期限が 4 時間に
Windows 8.1クライアントのローカルにパスワードがキャッシュされなくなる
次へ
42. 42
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
【参考】認証ポリシーサイロ
フォレスト レベルで管理されるKerberos認証の新しいポリシー
Kerberosチケット保障チケット(TGT)の有効期限の制限や、
アクセス制御条件を定義した認証ポリシーの適用が可能
Windows 8.1以降、Windows Server 2012 R2 でサポートされる
次へ
43. 43
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
Windows Server 2016 (TP5) の AD DS 追加・削除機能
※Windows Server 2016 正式リリース時には仕様が変わる可能性があります。
特権アクセス管理(Privileged Access Management:PAM)
Microsoft Passport for Work
SYSVOLとNETLOGON共有のセキュリティ強化
Kerberos TGT lifetime の制御
「Windows Server 2003」機能レベルがノンサポートに
FRSがノンサポートに
AD FSは機能強化がたくさん、
Azure AD、AD FSがないと使えない機能いろいろ。。。
次へ
45. 45
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
【参考】特権アクセス管理(PAM)の構成手順
次へ
MIMサーバー
信頼関係
山田太郎
(たまに管理者)
既存フォレスト
CORP
CorpAdmin
管理グループ
CORP¥Taro
ユーザー
特権管理フォレスト(要塞フォレスト)
PRIV
CorpAdmin
シャドウグループ
PRIV¥Taro
ユーザー
SID
(SID History)
① 特権管理フォレストを構築
グループ、ユーザー作成
② 信頼関係(片方向)
③ MIMサーバーを構築
PAMロールなど設定
誰がどのグループに所属できる?
有効期限は?
MFA使う?
承認必要?
①
②
③
46. 46
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
【参考】特権アクセス管理(PAM)の使い方
次へ
MIMサーバー
信頼関係
山田太郎
(たまに管理者)
既存フォレスト
CORP
CorpAdmin
管理グループ
CORP¥Taro
ユーザー
特権管理フォレスト(要塞フォレスト)
PRIV
CorpAdmin
シャドウグループ
PRIV¥Taro
ユーザー
SID
(SID History)
① リクエスト
② 特権管理フォレストのグルー
プにユーザーを追加
(MFA、承認、ログ)
③ 特権管理フォレストのユー
ザーとして管理タスク実行
④ 自動で特権管理フォレストの
グループからユーザーを削除
①
②
③
④
47. 47
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
【参考】Microsoft Passport for Work
MicrosoftアカウントおよびAzure Active Directory参加で利用可能な、
パスワード入力を必要としないWindows 10の「Microsoft Passport 認証」
を、オンプレミスに展開する機能
AD FSが必要
次へ
48. 48
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
【参考】SYSVOLとNETLOGON共有のセキュリティ強化
ドメインに参加する Windows 10 および Windows Server 2016 は、
SYSVOLおよびNETLOGON共有への接続時に
SMB署名およびKerberos認証による相互認証が既定で要求される
MS15-011のグループ ポリシーの脆弱性への対策
次へ
49. 49
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
【参考】Kerberos TGT lifetime の制御
TGTの有効期限制御によるグループメンバーシップの管理
Windows Server 2016 フォレスト機能レベル
一度有効化すると、無効化できない
次へ
50. 50
2. バージョンごとの機能 > OS のバージョンごとの新機能、追加機能
【参考】機能レベル要件変更
Windows Server 2016は、
「Windows Server 2003」フォレストの機能レベル、ドメインの機能レベルを
サポートしない
次へ
52. 52
2. バージョンごとの機能 >
「フォレストの機能レベル」を昇格することにより利用できる機能
次へ
フォレストの機能レベル 利用可能となる機能
Windows Server 2008 (「Windows Server 2003」と同じ)
Windows Server 2008 R2 Active Directory のごみ箱
Windows Server 2012 (「Windows Server 2008 R2」と同じ)
Windows Server 2012 R2 (「Windows Server 2012」と同じ)
Windows Server 2016
Kerberos TGT lifetime の制御
???
Exchange Server のサポート一覧
https://technet.microsoft.com/library/ff728623(v=exchg.150).aspx
ドメインに参加しているシステムが、上位の「フォレストの機能レベル」を
サポートしているか要確認。
例えば、Exchange Server 2007 は「Windows Server 2012 R2」以上
のフォレストの機能レベルをサポートしていないよう。
53. 53
2. バージョンごとの機能 >
「ドメインの機能レベル」を昇格することにより利用できる機能
次へ
ドメインの機能レベル 利用可能となる機能
Windows Server 2008
DFS-RによるSYSVOL複製サポート
AES128および256によるKerberosプロトコルサポート
前回の対話型ログオンの情報
きめ細やかなパスワードポリシー
Windows Server 2008 R2 認証保障
Windows Server 2012 ダイナミックアクセスポリシーやKerberos防御のためのポリシーサポート
Windows Server 2012 R2
Protected Usersグループのサポート
認証ポリシーの強化
認証ポリシーサイロ
Windows Server 2016 ???
55. 55
3. 移行方法の例 >
Windows Server 2012 R2 AD DS への移行例
古いWindows Serverによる AD DSを、
Windows Server 2012 R2 AD DSへ移行する方法の「例」を紹介
移行元、移行先のバージョンによって手順は若干異なります
次へ
56. 56
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 0:準備
ドメインコントローラーのシステム状態のバックアップを取得します。
ドメインの機能レベルと、フォレストの機能レベルを
「Windows Server 2003」にします。
(Windows Server 2003 よりも古いドメインコントローラーが存在しないこと。)
「Active Directory ドメインと信頼関係」で操作します。
次へ
57. 57
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 1:新しいドメインコントローラーの追加(1/3)
Windows Server 2012 R2 コンピューターをドメインに参加させて、
ドメインの管理者でログオンして操作。
「サーバーマネージャー」から「役割と機能の追加ウィザード」を起動して、
「Active Directory ドメインサービス」を追加します。
次へ
58. 58
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 1:新しいドメインコントローラーの追加(2/3)
「役割と機能の追加ウィザード」の「結果」ページの
「このサーバーをドメインコントローラーに昇格する」リンクを開いて、
「Active Directory ドメイン サービス構成ウィザード」を開き、進めます。
次へ
59. 59
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 1:新しいドメインコントローラーの追加(3/3)
スキーマの拡張など、ドメインのアップグレード処理はウィザードが実行してくれます。
次へ
前提条件にパスできたならば、インストールができます。
インストールが終わると自動で再起動しますからご注意。
新しいドメインコ
ントローラーの台
数分繰り返す
既存ドメインコントローラーで
「Remote Registry」
サービスが動作していること
61. 61
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 2:FSMO 操作マスターの転送(2/5)
スキーママスターを転送するには、まずは次のコマンドを実行します。
regsvr32 schmmgmt.dll
MMCを開いて、「Active Directoryスキーマ」スナップインを追加して、操作。
次へ
フォレストで
1 回実行
62. 62
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 2:FSMO 操作マスターの転送(3/5)
ドメイン名前付けマスターの転送は、
「Active Directory ドメインと信頼関係」で行います。
次へ
フォレストで
1 回実行
63. 63
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 2:FSMO 操作マスターの転送(4/5)
RID プールマスター、PDC エミュレーター、インフラストラクチャマスターの転送は、
「Active Directory ユーザーとコンピューター」で行います。
次へ
ドメインごとに
1 回づつ
実行
64. 64
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 2:FSMO 操作マスターの転送(5/5)
FSMO 操作マスターの転送はコマンドでも実行できます。
ntdsutil "roles" "connections" "connect to server (新DC名)" quit "transfer schema master" quit quit
ntdsutil "roles" "connections" "connect to server (新DC名)" quit "transfer naming master" quit quit
ntdsutil "roles" "connections" "connect to server (新DC名)" quit "transfer RID master" quit quit
ntdsutil "roles" "connections" "connect to server (新DC名)" quit "transfer PDC" quit quit
ntdsutil "roles" "connections" "connect to server (新DC名)" quit "transfer infrastructure master" quit quit
次へ
「Move-ADDirectoryServerOperationMasterRole」
コマンドレットならばもっと簡単
65. 65
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 3:古いドメインコントローラーの降格(1/2)
古いドメインコントローラーで、「dcpromo.exe」を実行して、
「Active Directory のインストールウィザード」で「降格」します。
次へ
チェックは
「オフ」の
ままで!
66. 66
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 3:古いドメインコントローラーの降格(2/2)
ドメインコントローラーの降格に失敗する場合は、
次のような対応を行ってみましょう。
DNS の参照先を確認、変更する(新しいドメインコントローラーに向ける)
「dcpromo.exe /forceremoval」で強制降格を行ってから、
「メタデータクリーンアップ」処理を行う
次へ
ドメイン コントローラーの降格に失敗した後、Active Directory のデータを削除する方法
http://support.microsoft.com/kb/216498/ja
Metadata Cleanup
http://technet.microsoft.com/en-us/library/cc731035.aspx
Clean Up Server Metadata
http://technet.microsoft.com/ja-jp/library/cc816907.aspx
67. 67
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Phase 4:機能レベルを上げる
ドメインの機能レベルと、フォレストの機能レベルを
「Windows Server 2012 R2」にします。
「Active Directory ドメインと信頼関係」で操作します。
次へ
機能レベルは
昇格すると、
基本的には戻
せない!
68. 68
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
移行後の追加作業
必要に応じて次のような作業も行います。
IPアドレスの引継ぎ
セントラルストアの作成
SYSVOL 複製方法変更
Active Directory のごみ箱の有効化
動作確認
次へ
69. 69
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
Active Directory のごみ箱機能の有効化
Active Directory のごみ箱機能を有効化することにより、
削除したオブジェクトの復元が容易になります。
有効化する必要があります(いったん有効化すると無効化できません)
次へ
70. 70
3. 移行方法の例 > Windows Server 2012 R2 AD DS への移行例
動作確認
イベントビューアーでのログの確認
dcdiag コマンドや repadmin コマンドによる状態確認
ベストプラクティスアナライザーの実行
次へ
74. 74
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008アップグレード時の注意点
LDAP に関する制限値の変更
LDAP のクエリー要求を受けた際にどれだけの件数のエントリを一度に
応答するかといったパラメーターは既定値から変更することが可能
Windows Server 2008 以降では、設定可能な最大値が変更されている
次へ
Windows Server 2008 and newer domain controller returns only 5000 values in a LDAP response
http://support.microsoft.com/default.aspx?scid=kb;en-US;2009267
表示および Active Directory の Ntdsutil.exe を使用して LDAP ポリシーを設定する方法
http://support.microsoft.com/kb/315071
75. 75
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008アップグレード時の注意点
NSPI 接続の制限
Outlook などのアプリケーションが、ドメインコントローラーに対して
NSPI(Name Service Provider Interface)を利用して
接続することがある
Windows Server 2008以降では、
既定で1ユーザーあたり50接続に制限された
次へ
NSPI connections to a Windows 2008-based domain controller may cause MAPI client applications
to fail with an error code:"MAPI_E_LOGON_FAILED“
http://support.microsoft.com/kb/949469/en-us
76. 76
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008アップグレード時の注意点
Kerberos 認証における暗号化方式
Windows Server 2008 以降では、
より強度の高い暗号化方式としてAESが追加サポートされた
Windows Server 2008 R2 以降では、
既定でDES暗号化方式をサポートしなくなった
DES暗号のみをサポートしているアプリケーションなどでは、
Kerberos認証に問題が生じる可能性がある
次へ
Kerberos 認証の変更点
http://technet.microsoft.com/ja-jp/library/dd560670(v=WS.10).aspx
77. 77
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008アップグレード時の注意点
グループ ポリシーの管理用テンプレートの変更
Windows Server 2008以降では、グループポリシーの管理用テンプレートが
従来のADMファイルからADMXファイルに変更
Windows Server 2008以降でも
従来のADMファイルを読み込ませることは可能だが、影響が出る可能性あり
次へ
グループ ポリシー管理での ADMX ファイルの使用に関するステップ バイ ステップ ガイド
http://technet.microsoft.com/ja-jp/library/cc709647(v=WS.10).aspx
78. 78
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008アップグレード時の注意点
LMHash の制限
Windows Server 2008以降のドメインでは、
セキュリティの観点で脆弱なLMHash形式のハッシュを保持しない
LMHashを必要とするクライアント、アプリケーションが存在する場合には、
ポリシーを変更する必要がある
次へ
Windows Server 2008 ベースのドメイン コントローラーを Windows Server 2008 より前の既存のドメインに追加すると、
クライアント コンピューターが正常に動作しないことがある
http://support.microsoft.com/kb/946405/ja
79. 79
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008アップグレード時の注意点
LAN Manger 認証レベル
Windows Sever 2008以降では、
NTLM認証で利用されるLAN Managerの認証レベルの既定値が
「3」(「NTLMv2 応答のみを送信する」) になっている
「NTLMv2 応答のみを送信する」、ドメインコントローラーがNTLM認証を行う際
のクライアントとして動作する場合に NTLMv2 方式のみを使用するというもの
(認証を受けるという観点では、特に変更はない)
次へ
LmCompatibilityLevel
http://technet.microsoft.com/en-us/library/cc960646.aspx
81. 81
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008アップグレード時の注意点
RODC に対応するための互換性パック
Windows Vista / Windows Server 2008 より前のドメイン メンバーが
RODC を利用する場合には、いくつかの問題がある
次へ
Description of the Windows Server 2008 read-only domain controller compatibility pack for Windows Server
2003 clients and for Windows XP clients and for Windows Vista
http://support.microsoft.com/kb/944043/en-us
82. 82
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008アップグレード時の注意点
Outlook 2003 / OCS 2005 の問題
Outlook 2003やOffice Communications Server 2005が
Windows Server 2008以降のドメインコントローラーに対応するためには
Hotfixパッケージの適用が必要
次へ
Description of the Outlook 2003 hotfix package (Engmui.msp, Olkintl.msp): February 24, 2009
http://support.microsoft.com/kb/968614/en-us
Office Communications Server or Live Communications Server 2005 does not work correctly after you
upgrade a domain controller to Windows Server 2008
http://support.microsoft.com/kb/958980/en-us
83. 83
4. 移行の注意点 >
ドメインコントローラーのOSの2008 R2アップグレード時の注意点
ドメインコントローラーのOSを、Windows Server 2008 R2に
アップグレードする際には、次のような注意点がある
1. チャネル バインド トークン (CBT)の拡張保護認証
2. Windows NT 4 ドメインとの信頼関係の非サポート
3. 濁音、半濁音、拗音、促音の区別
次へ
84. 84
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008 R2アップグレード時の注意点
チャネル バインド トークン (CBT)の拡張保護認証
Windows Server 2008 R2以降のOSでは、
チャネル バインド トークン (CBT) の拡張保護認証が有効になってる
Windows以外のOSからの認証に問題が発生する、
プロキシサーバーにおいてNTLM認証が失敗する可能性がある
次へ
Authentication failure from non-Windows NTLM or Kerberos servers
http://support.microsoft.com/kb/976918/en-us
85. 85
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008 R2アップグレード時の注意点
Windows NT 4 ドメインとの信頼関係の非サポート
Windows NT 4 ドメインと信頼関係を結んでいる状態の場合、
ドメインコントローラーをWindows Server 2008 R2以降に変更することで
信頼関係が正常に機能しなくなる
ドメインのメンバーとしてもWindows NT 4 については想定していないため、
ドメインがアップグレードされることにより Windows NT 4 メンバーで
問題が発生する可能性がある
次へ
Windows Server 2008 R2 Outbound trusts with Windows NT 4.0 domains do not validate or function
correctly
http://support.microsoft.com/kb/2021766/en-us
The Net Logon service on Windows Server 2008 and on Windows Server 2008 R2 domain controllers does
not allow the use of older cryptography algorithms that are compatible with Windows NT 4.0 by default
http://support.microsoft.com/kb/942564/en-us
86. 86
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2008 R2アップグレード時の注意点
濁音、半濁音、拗音、促音の区別
Windows Server 2008 R2からは
LDAPで促音、拗音および長音を区別するように実装が変更された
(Windows Server 2008 までの Active Directory の LDAP 検索につ
いては、“濁音、半濁音、拗音、促音を区別しない” という制約があった)
次へ
88. 88
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2012アップグレード時の注意点
Resource SID Compression に関する問題
Windows Server 2012 以降のドメインコントローラーには、
Resource SID Compressionと呼ばれる機能が追加されている
リソースサーバーへアクセスする際に使用されるKerberosチケットにおいて、
情報を圧縮する機能
ドメイン環境に存在するNASデバイスがこの機能に対応していない場合、
クライアントがNASデバイスにアクセスできなくなる可能性がある
次へ
Resource SID Compression in Windows Server 2012 may cause authentication problems on NAS devices
http://support.microsoft.com/kb/2774190/ja
89. 89
4. 移行の注意点 >
ドメインコントローラーのOSの2012 R2アップグレード時の注意点
ドメインコントローラーのOSを、Windows Server 2012 R2に
アップグレードする際には、次のような注意点がある
1. Windows Server 2003との混在時のログオン障害
2. パスワード変更後に資格情報に問題
3. 匿名接続可能な共有の制限
次へ
90. 90
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2012 R2アップグレード時の注意点
Windows Server 2003との混在時のログオン障害
Windows Server 2003関連。
ドメインコントローラーの OS を Windows Server 2012 R2 へ移行して
30 日から 60 日程度経過した後に、Kerberos 認証に問題が発生
ドメインのコンピューターにログオンできない、ドメインのリソースにアクセスできないと
いった事象が発生するため、更新プログラム適用など適切な対処が必要
Windows Server 2003ドメインコントローラーが存在しなくなった環境でも
起こる可能性があります
次へ
Windows Server 2012 R2 と Windows Server 2003 の混在環境で、コンピューター アカウントのパスワードを変更した後にログオ
ンできない
https://support.microsoft.com/ja-jp/kb/2989971
AD DSの役割インストール「前」であれば、 %systemroot%¥WinSxS¥ 配下に amd64_microsoft-windows-
k..distribution-center_<ID>_6.3.9600.17278_none_<ID> のように、「6.3.9600.17278」よりも大きな数字であれば適用
済み
AD DSの役割インストール「後」であれば、%systemroot%¥system32 配下の kdcsvc.dll のバージョンが「6.3.9600.17278」よ
りも大きければ適用済み
91. 91
4. 移行の注意点 > 【参考】ドメインコントローラーのOSの2012 R2アップグレード時の注意点
パスワード変更後に資格情報に問題
ドメインコントローラーのOSをWindows Server 2012 R2にアップグレード後、
パスワードを変更するとユーザー証明書や保存された資格情報が
利用できなくなる事象が発生する可能性がある
DPAPI(データ保護API)と呼ばれる機密情報を保護するためのAPIを利用し
て、暗号化された情報にアクセスできなくなっていることに起因
次へ
Cannot access DPAPI data after an administrator resets your password on a Windows Server 2012 R2-based
domain controller
https://support.microsoft.com/ja-jp/kb/3038562/en-us