Active Directory 移行ガイド (2016 to 2025)

移行の目的と方式

このガイドは、現在稼働中の Windows Server 2016 ドメインコントローラー (DC) 2台を Windows Server 2025 へ移行するための手順をまとめたものです。クライアントPCや連携システムへの影響を最小化するため、既存の「ホスト名」および「IPアドレス」を維持する「スイング移行」方式を採用します。

スイング移行とは？

一時的なDC (Temp-DC) を構築し、FSMO役割などを一時退避させた上で、本番機（Main/Sub）を入れ替える手法です。これにより、IPアドレスとホスト名の重複を避けながら安全に入れ替え作業を行えます。

構成の変遷

1. 現行環境 (WS2016)

DC01 (Main): [既存IP_1] / [既存Host_1] (FSMO保持)
DC02 (Sub): [既存IP_2] / [既存Host_2]

2. 移行中 (一時環境)

Temp-DC (WS2025): 一時IP / (FSMO退避先)
(旧DCは順次降格)

3. 移行後 (WS2025)

New-DC01 (Main): [既存IP_1] / [既存Host_1] (FSMO保持)
New-DC02 (Sub): [既存IP_2] / [既存Host_2]

移行タスク進捗 (デモ)

このチャートは、移行全体のタスク進捗状況の概要を示します。実際の進捗に合わせて更新されます（このデモでは静的です）。

フェーズ1：事前準備

移行を安全に開始するために、現行環境が正常であることを確認し、万が一に備えてバックアップを取得します。

機能レベル: 現行の「フォレスト機能レベル」および「ドメイン機能レベル」が **Windows Server 2016** 以上であることを確認します。 (WS2025 DC追加の要件)
スキーマバージョン: Server 2025のDC昇格プロセスで自動拡張されます。実行には `Enterprise Admins` / `Schema Admins` 権限が必要です。

以下のコマンドを実行し、エラーがないことを確認します。

dcdiag /v

repadmin /replsummary

repadmin /showrepl

移行作業前に、必ず「システム状態 (System State)」を含むDCのフルバックアップを取得してください。

フェーズ2：一時DC (Temp-DC) の構築と機能退避

本番機を入れ替える間、ドメインの認証機能とFSMO役割を維持するための一時的なDC (Windows Server 2025) を構築します。

一時的な空きIPアドレスを使用して、Windows Server 2025 をインストールします。

サーバーマネージャーから AD DS 役割をインストールします。
「既存のドメインにドメインコントローラーを追加する」を選択してDCへ昇格させます。
※このタイミングでフォレスト/ドメインのスキーマ拡張が自動実行されます。

全5役 (Schema, DomainNaming, PDC, RID, Infrastructure) を Temp-DC へ移動します。

Move-ADDirectoryServerOperationMasterRole -Identity "Temp-DC名" -OperationMasterRole 0,1,2,3,4

フェーズ3：Main DC の入替 (最重要)

古いMain DCを撤去し、同じホスト名・IPアドレスで新しいMain DC (Server 2025) を構築します。

旧 Main DC 上で `Uninstall-ADDSDomainController` を実行、またはサーバーマネージャーから役割削除し、降格・再起動。
IPを「無効なIP」に変更、ホスト名を「OLD-Main」等に変更。またはサーバーをシャットダウンします。
AD ユーザーとコンピューター等から旧 Main DC のコンピューターアカウントが削除されていることを確認します (メタデータクリーンアップ)。

新サーバー (Server 2025) を起動。
旧 Main DC と同じIPアドレスを設定。
旧 Main DC と同じホスト名を設定。
一旦メンバーサーバーとしてドメイン参加。
AD DS役割を追加し、DCへ昇格。

Temp-DC にある FSMO役割 5種類を、新 Main DC へ転送します。

Move-ADDirectoryServerOperationMasterRole -Identity "新Main-DC名" -OperationMasterRole 0,1,2,3,4

フェーズ4：Sub DC の入替

新 Main DC が稼働しドメインが安定した状態で、Sub DC をMain DCと同様の手順で入れ替えます。

役割の削除ウィザードを使用し、降格およびドメインからの離脱。
サーバーをシャットダウンまたはリネーム・IP変更。

新ハードウェア/VM に **旧 Sub DC と同じIP・ホスト名** を設定。
ドメイン参加後、DCへ昇格。

新 Main DC と新 Sub DC 間で複製が正常に行われているか確認します。

repadmin /replsummary

フェーズ5：事後作業

移行作業を完了し、一時的な環境を撤去します。最後に、新しい機能レベルへ昇格させます。

Temp-DC が FSMO役割を持っていないことを確認 (`netdom query fsmo`)。
Temp-DC を降格し、ドメインから削除。
Temp-DC のDNSレコードが削除されていることを確認。

すべてのDCが Windows Server 2025 になったことを確認。
「Active Directory ドメインと信頼関係」ツール、または PowerShell で実施。
フォレスト/ドメイン機能レベルを **Windows Server 2025** へ昇格。
注意: 一度上げると、古いバージョンのDCは追加できなくなります。

イベントビューア (Directory Service, DNS Server) にエラーがないか。
クライアントPCからログオン、ファイルサーバーアクセス等に問題がないか。

(付録) まとめと参考コマンド集

移行の成功要因

DNS設定: 各サーバーの構築時、参照先DNSを「稼働中の既存DC (Temp-DC含む)」に向ける設定を間違えないこと。自身がDCになった後は、自分自身(127.0.0.1)と相方のDCを参照する構成を推奨。
待機時間: DCの追加・削除後は、レプリケーションが完了するまで十分に待つこと。

トラブルシューティング

昇格/降格のエラー: 多くの場合、DNS設定ミスまたはネットワーク疎通の問題です。
同じ名前で昇格できない: 旧サーバーのメタデータがADデータベースに残っている可能性があります。「Active Directory サイトとサービス」およびDNSレコードを手動で確認・削除してください。

主要コマンド

FSMO確認

netdom query fsmo

FSMO転送 (PowerShell)

Move-ADDirectoryServerOperationMasterRole -Identity "宛先DC名" -OperationMasterRole 0,1,2,3,4

レプリケーション強制 (全DC間)

repadmin /syncall /AeP

機能レベル確認

(Get-ADDomain).DomainMode
(Get-ADForest).ForestMode