Windows Server 2025 Active Directoryへのローリングアップグレード_Rolling Upgrade to Windows Server 2025 Active Directory

Windows Server 2025 Active Directoryへ のローリングアップグレード wSCUGJ Microsoft MVP Cloud and Datacenter Management, Microsoft Azure指崎 則夫, Norio Sashizaki 2024年12月14日 改定：2024年12月15日

はじめに  Windows Server 2025 Active Directoryの新機能含めローリングアップグレードについてご説明い たします。  参考資料については、巻末のほかに各ページで引用しますので、予めご承知おきください。 2024/12/14 2

ご注意  本セッションの内容は、所属社の見解ではありません。  本セッションの内容は、発表時点の情報に基づくこと、ご了承ください。 2024/12/14 3

自己紹介  指崎則夫（さしざきのりお） http://sashiz.seesaa.net → http://sashiz.wordpress.com → http:// sshzk.blogspot.com http://www.slideshare.net/noriosashizaki/ https://www.docswell.com/user/sshzk https://speakerdeck.com/sashizaki https://www.facebook.com/norio.sashizaki https://mstdn.jp/web/@sshzknr @sshzk https://www.linkedin.com/in/norio-sashizaki-a4208a89/ SCUGJ運営スタッフ  Microsoft MVP Cloud and Datacenter Management 2014/01～2023/06  Windows Server 2016、Windows Server 2019、 Windows Server 2022、 System Center 2019、S2D/Azure Stack HCI、 Azure Stack Hub、Windows Admin Centerなど  写真撮影  ガンプラ… 2024/12/14 4

• http://sashiz.seesaa.net
• http://www.slideshare.net/noriosashizaki/
• https://www.docswell.com/user/sshzk
• https://speakerdeck.com/sashizaki
• https://www.facebook.com/norio.sashizaki
• https://mstdn.jp/web/@sshzknr
• https://www.linkedin.com/in/norio-sashizaki-a4208a89/

アジェンダ  Windows Server 2025 Active Directoryの新機能  既存AD DCのパッチレベルは最新ですか？  主なローリングアップグレードのパターンをおさらい  ローリングアップグレード  今回使用したローリングアップグレードのパターン  明示的なforestprepとdomainprepは引き続き不要  Azure VMのIPアドレス変更  意図しないマルチホームの回避  DC昇格後のDNSサーバー設定  FSMOの移行  DC降格時のDNSサービス設定  降格後のクリーンアップ  機能レベルのアップグレードはPowerShellで実行するのが簡単  32kデータベースページサイズに拡張  まとめ  参考情報 2024/12/14 5

Windows Server 2025 Active Directoryの新機能(1/8)  Windows Server 2025 の新機能 https://learn.microsoft.com/ja-jp/windows-server/get-started/whats-newwindows-server-2025 より引用します。なお一部については、より文面がわかりやすくなるようにリライトや補足しました。  本稿では、Active Directory (AD)のみご紹介しますが、他の新機能も記載されているのでご一読を お勧めいたします。 2024/12/14 6

• https://learn.microsoft.com/ja-jp/windows-server/get-started/whats-new-windows-server-2025

Windows Server 2025 Active Directoryの新機能(2/8)  32kデータベースページサイズのオプション機能  AD では、Windows 2000の導入以来、 8kデータベースページサイズを使用する拡張記憶域エンジン (ESE) データ ベースが使用されます。  つまり、単一レコード AD オブジェクトは、8kデータベースページサイズに収められていました。  これを32kデータベースページサイズに拡張し、複数値属性が最大3200個の値を保持できるようになりました。  ADスキーマが、バージョン91に更新されます。  AD オブジェクトの修復   エンタープライズ管理者がコア属性SamAccountTypeおよびObjectCategoryが欠落しているオブジェクトを修復でき ます。  エンタープライズ管理者は、オブジェクトのLastLogonTimeStamp属性を現在の時刻にリセットできます。 チャネル バインド監査のサポート  Lightweight Directory Access Protocol (LDAP) チャネル バインドに対して、イベント3074と3075を有効にで きます。  チャネルバインドポリシーをより安全な設定に変更すると、管理者は、チャネルバインドをサポートしていない、または失敗す る環境内のデバイスを識別できます。  これらの監査イベントは、Windows Server 2022以降でも KB4520412を介して使用できます。 2024/12/14 7

Windows Server 2025 Active Directoryの新機能(3/8)  DC 位置アルゴリズムの機能強化 ドメインコントローラー(DC)検出アルゴリズムは、短いNetBIOS形式のドメイン名からDNS形式のドメイン 名へのマッピングに改善されます。  フォレストとドメインの機能レベル   新しい機能レベル「Windows2025Domain」、「Windows2025Forest」は、一般的なサポートのために使 用され、新しい32K データベースページサイズ機能に必要です。  Windows Server 2019とWindows Server 2022の機能レベルは、引き続き定義されません。 つまり Windows Server 2016の機能レベルからWindows Server 2025の機能レベルに遷移するということです。 名前/SID ルックアップのアルゴリズムの改善  マシンアカウント間のローカル セキュリティ機関 (LSA) 名と SIDルックアップ転送では、従来のNetlogonセキュア チャネルが使用されなくなりました。  代わりに、Kerberos認証とDCロケーターアルゴリズムが使用されます。  従来のオペレーティング システムとの互換性を維持するために、フォールバック オプションとしてNetlogonセ キュアチャネルを使用することも可能です。 2024/12/14 8

Windows Server 2025 Active Directoryの新機能(4/8)   機密属性のセキュリティが強化されました  DC と AD LDS インスタンスでは、LDAPS接続時にのみ、機密属性に関連する操作で追加、検索および変更 はできます。  つまりLDAP接続では、機密属性に関連する操作で追加、検索および変更はできません。 デフォルトのマシンアカウントパスワードのセキュリティの向上  AD は、ランダムに生成されたデフォルトのコンピューター アカウント パスワードを使用するようになりました。 Windows 2025 DCでは、コンピューター アカウントのパスワードをコンピューター アカウント名の既定のパスワー ドに設定することがブロックされます。  上記は、Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Optionsにある GPO 設定 ドメイン コントローラ: デフォルトのマシン アカウント パス ワードの設定を拒否する を有効にすることで制御できます。  Active Directory 管理センター (ADAC)、Active Directory ユーザーとコンピューター (ADUC) などのユー ティリティ net computerと dsmodも新しい動作を尊重します。 ADACとADUCの両方で、Windows 2000 以前のWindows アカウントを作成できなくなりました。 2024/12/14 9

Windows Server 2025 Active Directoryの新機能(5/8)  暗号化の俊敏性のための Kerberos PKINIT のサポート   LAN Manager GPO設定   GPO 設定 ネットワーク セキュリティ: [次回のパスワード変更時に LAN Manager ハッシュ値を保存しな い] は存在しなくなり、新しいバージョンの Windows にも適用されなくなりました。 デフォルトの LDAP 暗号化   Kerberos PKINIT (Kerberos Public Key Cryptography for Initial Authentication in Kerberos) プロトコルの実装が更新され、より多くのアルゴリズムをサポートし、ハードコーディングされたアルゴリズ ムを削除することで、暗号化の俊敏性が実現しました。 Simple Authentication and Security Layer (SASL) バインド後のすべての LDAP クライアント通信は、 既定で LDAP シーリングを利用します。 TLS 1.3 の LDAP サポート  LDAPは最新のSCHANNEL実装を使用して、TLS接続上のLDAPでTLS 1.3 をサポートします  TLS 1.3を使用することで、廃止された暗号アルゴリズムが排除され、以前のバージョンよりもセキュリティが強化さ れ、できるだけ多くのハンドシェイクを暗号化することが目標とされています。 2024/12/14 10

Windows Server 2025 Active Directoryの新機能(6/8)  従来の SAM RPC パスワードの変更動作  ドメイン ユーザーのパスワードを変更するには、Kerberos などの安全なプロトコルを使用することをお勧めします。  DC では、AES を使用した最新の SAM RPC パスワード変更メソッド SamrUnicodeChangePasswordUser4 がリモートで呼び出されると、既定で受け入れられます。  リモートで呼び出されたとき、次のレガシ SAM RPC がブロックされます。  SamrChangePasswordUser  SamrOemChangePasswordUser2  SamrUnicodeChangePasswordUser2  保護対象ユーザー グループのメンバーであるドメイン ユーザー、およびドメイン メンバー コンピューターのローカル ア カウントの場合、従来の SAM RPC インターフェイスを介したすべてのリモート パスワード変更は、 SamrUnicodeChangePasswordUser4を含め、既定でブロックされます。  この動作は、次のグループ ポリシー オブジェクト (GPO) 設定を使用して制御できます。  コンピューターの構成 > 管理用テンプレート > システム > セキュリティ アカウント マネージャー > SAM の構成 パスワード の変更RPC メソッド ポリシー 2024/12/14 11

Windows Server 2025 Active Directoryの新機能(7/8)   NUMAのサポート  AD DSは、全プロセッサグループのCPUを利用することで、Non-Uniform Memory Access (NUMA)対応 ハードウェアを利用できるようになりました。この変更により、Active Directory は64コアを超えて拡張できます。  以前のADはグループ 0のCPUのみを使用していました。 パフォーマンスカウンター  次のカウンターのパフォーマンスの監視とトラブルシューティングを利用できるようになりました。  DC ロケーター クライアントおよびDC固有のカウンターを使用できます。  LSA Lookups NameおよびSIDは、LsaLookupNames、LsaLookupSidsおよび同等のAPIを介した検索。これらのカウンターは、クラ イアントSKUとサーバーSKUの両方で使用できます。  LDAP クライアント Windows Server 2022以降でも、KB5029250更新プログラムを使用して使用できます。 2024/12/14 12

Windows Server 2025 Active Directoryの新機能(8/8)  レプリケーションの優先順位   AD使用すると、管理者は、特定のネーミング コンテキストの特定のレプリケーションパートナーでシステムが計算し たレプリケーションの優先順位を高めることができるようになりました。 この機能により、特定のシナリオに対処するた め、レプリケーション順位を今までより柔軟に構成できます。 ADに関連するので下記も記載しておきます。  委任された管理サービス アカウント  この新しい種類のアカウントにより、サービスアカウントから委任された管理サービス アカウント (dMSA) への移行が可能にな ります。 このアカウントの種類には、マネージドキーと完全ランダム化キーが付属しており、元のサービスアカウントパスワードを 無効にしながら、アプリケーションの変更を最小限に抑えます。 2024/12/14 13

既存AD DCのパッチレベルは最新ですか？  下記のパターンで、思わぬ認証拒否が発生したりします。  既存AD DCのパッチレベルを一気に最新化した場合  既存AD DCのパッチレベルが最新になっていない中で、Windows Server 2025に限らず最新の パッチレベルとしたAD DCをローリングアップグレードした場合  なぜ上記のようなことが起きるのか？  それは、複数フェーズで脆弱性に対策するパッチ(更新プログラム)が複数あるからです。  こういった事態を防ぐ意味で、下記の記事を執筆しております、ご参考になれば幸いです。  複数フェーズで成り立つ「Active Directoryの脆弱性対策」とは――その意図は？ https://atmarkit.itmedia.co.jp/ait/articles/2411/19/news004.html 2024/12/14 14 詳細は？

• https://atmarkit.itmedia.co.jp/ait/articles/2411/19/news004.html

主なローリングアップグレードのパターンをおさらい   現行のホスト名およびIPアドレスを引き継いでローリングアップグレード  他システムとの連携を考慮し、ホスト名を引き継ぎます。  DNSリゾルバ設定を変更しないように配慮します。 現行のIPアドレスを引き継いでローリングアップグレード   2024年12月15日追記 AD DCが仮想マシンの場合、仮想化 基盤との時刻同期は無効化します、 念の為。 DNSリゾルバ設定を変更しないように配慮します。 新規のホスト名およびIPアドレスでローリングアップグレード  DNSリゾルバ設定の変更が必要故、採用しないと思います。 2024/12/14 15

今回使用したローリングアップグレードのパターン  本稿は、現行のIPアドレスを引き継いでローリングアップグレードを使いました。  昇格後、降格後に下記コマンドで結果を確認しましたが、本稿では省略します。  dcdiag /v  repadmin /showrepl ローリングアップグレード前 新DCをドメイン参加 現DC#1 現DC#1 現DC#2 現DCから新DCへFSMOを移行 現DC#1 現DC#2 新DC#1 現DC#2 新DC#1 新DC#2 現DC#1 現DC#2 • 現DCのIPアドレスを一台ずつ変更 • 新DCのIPアドレスを現DCが元々使用し ていたIPアドレスへ1台ずつ変更 現DC#1 現DC#1 現DC#2 新DC#1 新DC#2 新DC#1 新DC#2 現DCをリタイヤ 現DCを1台ずつ降格 新DC#2 新DCをドメインコントローラーへ昇格 新DC#1 新DC#2 2024/12/14 16 現DC#2 新DC#1 新DC#2

明示的なforestprepとdomainprepは引き続き不要(1/22)  新DCのDC昇格を通じ、明示的なforestprepとdomainprepは引き続き不要であることが確認できま す。  DC昇格の流れも、従来通りです。  以降の画像は、Azure VM故、言語表示が英語であること、日本時間では無いこと、ご留意ください。 2024/12/14 17

明示的なforestprepとdomainprepは引き続き不要(2/22)  役割と機能の追加 2024/12/14 18

明示的なforestprepとdomainprepは引き続き不要(3/22)  役割と機能の追加 2024/12/14 19

明示的なforestprepとdomainprepは引き続き不要(4/22)  役割と機能の追加 2024/12/14 20

明示的なforestprepとdomainprepは引き続き不要(5/22)  役割と機能の追加 2024/12/14 21

明示的なforestprepとdomainprepは引き続き不要(6/22)  役割と機能の追加 2024/12/14 22

明示的なforestprepとdomainprepは引き続き不要(7/22)  役割と機能の追加 Azure VM故、IPアドレスが 固定化されていないことか ら警告メッセージ表示 2024/12/14 23

明示的なforestprepとdomainprepは引き続き不要(8/22)  役割と機能の追加 2024/12/14 24

明示的なforestprepとdomainprepは引き続き不要(9/22)  役割と機能の追加 2024/12/14 25

明示的なforestprepとdomainprepは引き続き不要(10/22)  役割と機能の追加 2024/12/14 26

明示的なforestprepとdomainprepは引き続き不要(11/22)  役割と機能の追加が開始します。必要があれば再起動するオプションを選択しました。 2024/12/14 27

明示的なforestprepとdomainprepは引き続き不要(12/22)  役割と機能の追加が終わりました。 2024/12/14 28

明示的なforestprepとdomainprepは引き続き不要(13/22)  Active Directory Domain Service (AD DS)を構成します。 2024/12/14 29

明示的なforestprepとdomainprepは引き続き不要(14/22)  既存ADドメインにDCを追加します。 2024/12/14 30

明示的なforestprepとdomainprepは引き続き不要(15/22)  DCオプションとDSRMを設定します。 2024/12/14 31

明示的なforestprepとdomainprepは引き続き不要(16/22)  DNSの委譲オプションは今回そのまま。 2024/12/14 32

明示的なforestprepとdomainprepは引き続き不要(17/22)  一番近いDCから複製するようオプションを変更します。 2024/12/14 33

明示的なforestprepとdomainprepは引き続き不要(18/22)  AD DSのデータベースおよびログファイル、SYSVOLの位置をAzure VMの追加ドライブに設定します。 2024/12/14 34

明示的なforestprepとdomainprepは引き続き不要(19/22)  forestprepとdomainprepについての説明ありました。 2024/12/14 35

明示的なforestprepとdomainprepは引き続き不要(20/22)  設定の確認を行います。 2024/12/14 36

明示的なforestprepとdomainprepは引き続き不要(21/22)  事前チェック完了、設定の反映を開始します。 2024/12/14 37

明示的なforestprepとdomainprepは引き続き不要(22/22)  設定の反映完了、再起動します。 2024/12/14 38

Azure VMのIPアドレス変更(1/2)  Azure VMのNIC設定から、IPアドレスの変更(静的IPアドレス化)を行います。  旧DCなWindows Server 2022も、新DCなWindows Server 2025もAzure VMの停止なしでIPアドレ スの変更が反映されました。  旧DCなWindows Server 2022 2024/12/14 39

Azure VMのIPアドレス変更(2/2)  新DCなWindows Server 2025 2024/12/14 40

意図しないマルチホームの回避  AD DCをマルチホームで運用されることはないと思いますが、意図せずマルチホームになってしまうことがあ ります。   例えば、ベースボード管理コントローラー (BMC)が、ホストOS上へNICを追加する場合 DCに昇格後（DNSサーバーとして構成後）、直ちにDNSサーバーがリッスンするインタフェースを絞るの が定石ですよね。  下記はNICが一つだけですが、設定箇所を指定する意味合いで記載しています、念の為。 2024/12/14 41

DC昇格後のDNSサーバー設定(1/2)  DC昇格後、DNSサーバー設定に127.0.0.1が追加されるのはよくあるパターンです。   これは、後ほど削除しました。 DC昇格後、DNSサーバー設定にAzure仮想ネットワークのDNSサーバー設定が取り込まれていました。  Windows Server 2025の挙動なのかは別途確認です。 2024/12/14 42

DC昇格後のDNSサーバー設定(2/2)  DC昇格後、DNSサーバー設定にAzure仮想ネットワークのDNSサーバー設定が取り込まれてるのか、 別サーバーで確認しました。  結果としては、取り込まれていることが確認できました。 2024/12/14 43

FSMOの移行  GUIだとツール間を移動したりと煩雑ですので、確認と移行をPowerShellでやりましょう。   PowerShellでFSMOの確認と移行する方法 https://syobon.jp /blog /2022/02/24/right-there-screatch-ps03/  Get-ADForest | Select-Object DomainNamingMaster,SchemaMaster  Get-ADDomain | Select-Object InfraStructureMaster,RIDMaster,PDCEmulator PowerShell を使用して Active Directory FSMO の役割を転送または押収する方法 https://www.dell.com/support/kbdoc/ja-jp/000193715/powershell%E3%81%A7active-directoryfsmo-roles%E3%82%92-%E8%BB%A2%E9%80%81-%E3%81%BE%E3%81%9F%E3%81%AF%E6%8A%BC%E5%8F%8E%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95-how-to-transferor-seize-active-directory-fsmo  Move-ADDirectoryServerOperationMasterRole -Identity 移行先DC -OperationMasterRole 0,1,2,3,4 2024/12/14 2024年12月14日追記 FSMOの移行後、PDCエミュレータ に対し、外部タイムサーバーの設定 を忘れずに行いましょう。 https://learn.microsoft.com/jajp/archive/blogs/jpntsblog/time44 configuration-after-fsmo-transfer

• https://syobon.jp/blog/2022/02/24/right-there-screatch-ps03/
• https://www.dell.com/support/kbdoc/ja-jp/000193715/powershellでactive-directory-fsmo-rolesを-転送-または-押収する方法-how-to-transfer-or-seize-active-directory-fsmo
• https://learn.microsoft.com/ja-

DC降格時のDNSサービス設定  よくやられていると思いますが、降格後の再起動でDNSサービスが起動しないよう、「スタートアップの種類」を「無効」に します。   加えて、念の為にDNSサービスを降格開始時点で、 停止することもあるでしょう。 これは、降格後、DNSクエリへ応答させない意図です。  DNSでAD統合ゾーンを使っている場合、 DCで無くなったことにより、 参照すべきDNSゾーンが無い状態に陥ります。  このような状態でDNSサーバーとして起動してしまうと、DNSレコードを返すことができないのに、 DNSクエリへ応答してしまいます。  結果、名前解決で支障が出ます。 2024/12/14 45

降格後のクリーンアップ(1/4)  Active Directoryサイトとサービスに降格後のDCオブジェクトが残存したりしますので、クリーンアップしま す。 2024/12/14 46

降格後のクリーンアップ(2/4)  正引きの全サブゾーンを確認し不要なレコードをクリーンアップします。  特に注意すべきは、下記のサブゾーンですが、それ以外の全サブゾーンも念の為に確認しておきます。  DomainDnsZones  ForestDnsZones 2024/12/14 47

降格後のクリーンアップ(3/4)  正引きの全サブゾーンを確認し不要なレコードをクリーンアップします。  Aレコードは、コンピューターアカウントの削除と同期をとっての削除です。 2024/12/14 48

降格後のクリーンアップ(4/4)  物理マシンなり仮想マシンなりを廃棄後、Active Directoryユーザーとコンピューターから、コンピューター オブジェクトを削除します。 2024/12/14 49

機能レベルのアップグレードはPowerShellで実行するのが簡単(1/4)  Windows Server 2025 AD DCのみになりましたら、機能レベルをアップグレードします。  Active Directory Domain Services 機能レベル https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/active-directoryfunctional-levels  アップグレードをPowerShellでやりましょう。  ドメインの機能レベルで「Windows2025Domain」を指定してアップグレードします。  Set-ADDomainMode -Identity ドメイン名 -DomainMode Windows2025Domain   https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2and-2008/dd378929(v=ws.10)?redirectedfrom=MSDN Get-ADDomain | Select-Object DomainMode 2024/12/14 50

• https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/active-directory-functional-levels
• https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd378929(v=ws.10)?redirectedfrom=MSDN

機能レベルのアップグレードはPowerShellで実行するのが簡単(2/4)  フォレストの機能レベルで「Windows2025Forest」を指定してアップグレードします。  Set-ADForestMode -Identity sshzk2016.local -ForestMode Windows2025Forest   https://learn.microsoft.com/ja-jp/previous-versions/windows/it-pro/windows-server-2008-R2and-2008/ee617220(v=technet.10) Get-ADForest | Select-Object ForestMode 2024/12/14 51

• https://learn.microsoft.com/ja-jp/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ee617220(v=technet.10)

機能レベルのアップグレードはPowerShellで実行するのが簡単(3/4)  機能レベルのアップグレード結果 2024/12/14 52

機能レベルのアップグレードはPowerShellで実行するのが簡単(4/4)  機能レベルのアップグレードがエラーになる場合、実行する権限に気をつけるのが一般的です。  が、下記ようなパターンにもお気をつけください。  以前のWindows ServerバージョンのDCに関する接続オブジェクトが、ADスキーマの構成パーティション内に 残っていた。  下記のDNに残っていた例がありました。 CN=LostAndFoundConfig,CN=Configuration,DC=sshzk2016,DC=local  下記は、構成パーティション内の場所のみを例示したものです。残存オブジェクトはないのであしからず。 2024/12/14 53

32kデータベースページサイズに拡張(1/3)  Database 32k pages for Active Directory 確認等の手順に対するリンクは、英語版にしかなかったため、そのURLをご案内します。 https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/32k-pagesoptional-feature  確認等の手順は、日本語版もありましたので、そのURLをご案内します。 Active Directory ドメイン サービスで Database 32k ページのオプション機能を有効にする https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/enable-32kpages-optional-feature?tabs=PowerShell  全DCがWindows Server 2025になった後で、PowerShellコマンドレットから確認しました。 Get-ADObject -LDAPFilter "(ObjectClass=nTDSDSA)" -SearchBase "CN=Configuration,DC=fabrikam,DC=com" -properties msDS-JetDBPageSize | FL distinguishedName,msDs-JetDBPageSize 2024/12/14 54

• https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/32k-pages-optional-feature
• https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/enable-32k-pages-optional-feature?tabs=PowerShell

32kデータベースページサイズに拡張(2/3)  ADSIエディターでの確認も可能ですけど、PowerShellの方が簡単に確認できます。   この属性は、Windows Server 2025でのみ存在します。後述します。 32kデータベースページサイズはオプションであり有効化が必要ということで実施しました。 が、 32kデータベースページサイズは、事前確認時点と有効化後で変化無かったです。 2024/12/14 55

32kデータベースページサイズに拡張(3/3)  Windows Server Active Directory スキーマの更新 に記載があるSch90.ldfに、msDS-JetDBPageSizeが存在します。 https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/deploy/schemaupdates#sch90ldf  ということで、Windows Server 2025 Active Directoryスキーマから存在します。  Windows Server 2022以前のActive Directoryスキーマには無いです。 2024/12/14 56

• https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/deploy/schema-updates

まとめ    Windows Server 2025の新機能に注目です。  Windows Server 2025 Active Directoryには32kデータベースページサイズのオプション機能やチャネルバ インド監査のサポートなどの新機能が追加されました。  機密属性のセキュリティ強化やデフォルトのマシンアカウントパスワードのセキュリティ向上が行われました。 既存AD DCのパッチレベルを確認してから、ローリングアップグレードを開始するか判断しましょう。  既存AD DCのパッチレベルが最新でない場合、一気に最新パッチを適用すると認証拒否が発生する可能性が あります。  複数ステップを経るよう段階的なパッチ適用が必要です。 目的に応じたローリングアップグレードをご選択ください。  ローリングアップグレードでPowerShellを活用しましょう。 2024/12/14 57

参考情報（1/2）  Windows Server 2025 の新機能 https://learn.microsoft.com/ja-jp/windows-server/get-started/whats-newwindows-server-2025  複数フェーズで成り立つ「Active Directoryの脆弱性対策」とは――その意図は？ 詳細は？ https://atmarkit.itmedia.co.jp/ait/articles/2411/19/news004.html  PowerShellでFSMOの確認と移行する方法 https://syobon.jp/blog/2022/02/24/right-there-screatch-ps03/  PowerShell を使用して Active Directory FSMO の役割を転送または押収する方法  FSMO の役割を転送した後の PDC エミュレーターの時刻同期の設定について https://learn.microsoft.com/ja-jp/archive/blogs/jpntsblog /time-configurationafter-fsmo-transfer https://www.dell.com/support/kbdoc /ja-jp/000193715/powershell%E3%81%A7activedirectory-fsmo-roles%E3%82%92-%E8%BB%A2%E9%80%81%E3%81%BE%E3%81%9F%E3%81%AF%E6%8A%BC%E5%8F%8E%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95-how-totransfer-or-seize-active-directory-fsmo 2024/12/14 58

• https://learn.microsoft.com/ja-jp/windows-server/get-started/whats-new-windows-server-2025
• https://atmarkit.itmedia.co.jp/ait/articles/2411/19/news004.html
• https://syobon.jp/blog/2022/02/24/right-there-screatch-ps03/
• https://www.dell.com/support/kbdoc/ja-jp/000193715/powershellでactive-directory-fsmo-rolesを-転送-または-押収する方法-how-to-transfer-or-seize-active-directory-fsmo
• https://learn.microsoft.com/ja-jp/archive/blogs/jpntsblog/time-configuration-after-fsmo-transfer

参考情報（2/2）  Database 32k pages for Active Directory https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/32k-pagesoptional-feature  Active Directory ドメイン サービスで Database 32k ページのオプション機能を有効にする https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/enable-32kpages-optional-feature?tabs=PowerShell 2024/12/14 59

• https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/32k-pages-optional-feature
• https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/enable-32k-pages-optional-feature?tabs=PowerShell