Windows Server 2012 と Adprep の考察

Windows Server 2012 の adprep は AD DS サービスに統合されたので特に意識しないでも勝手にスキーマの拡張がされるようになりました。

ではなぜ今まではそのようなことをしなかったのか？

このディスカッションをしたことにより、理由がわかりました（と思う）ので記述しておきます。

まず、ドメインには必ずGCが存在します。このGCにはフォレスト内の全ドメインパーティションの部分レプリカ（全ドメインの全オブジェクトが対象だが一部の属性項目だけを持つ）が含められています。

これはスキーマの属性情報になります。このように、属性に対してGCにレプリケートするという設定が入っているものがGCに入ります。

実は Windows 2000 の時は GC のレプリケーション方法は GC に変更が発生すると全ての情報をレプリケーションするというものでした。しかし、これではあまりにも効率が悪いので Windows Server 2003 より、このレプリケーション方法は変更され変更部分のみを複製する方法になりました。

さて、ここで機能レベルの話がでてきます。 Windows Server 2008 R2 がサポートする機能レベルとしては、

• Windows 2000 ネイティブ
• Windows Server 2003
• Windows Server 2008
• Windows Server 2008 R2

があります。もし、機能レベルが Windows 2000 ネイティブで運用されていたら、Adprep よるスキーマの拡張が行われると マルチドメイン環境において GC のレプリケーショントラフィックが大量に発生することが予想できます。そのようなことから、Adprep によるスキーマの拡張は適切なタイミングで手動で行う必要がありました。

Windows Server 2012 でサポートする機能レベルとしては

• Windows Server 2003
• Windows Server 2008
• Windows Server 2008 R2
• Windows Server 2012

になります。そうです、Windows 2000 ネイティブはサポートされなくなりました。

これにより、先ほど述べた懸念がなくなりました。これにより、どのタイミングで行っても問題ありません。また、Adprep そのものも改良され、Adprep を実行するサーバーはFSMO が動作しているドメイン コントローラーである必要はなくなりました。

このようなことから、AD DS のインストールプロセスに含まれたと推測できます。

また、事前にスキーマの拡張が必要な場合は次のコマンドを実行します。

Adprep.exe /forestprep /forest <forest name> /userdomain <user domain name> /user <user name> /password *

＊adprep /domainprep /gpprep コマンドは、AD DS インストールの一部として実行されません。

adprep /domainprep /gpprep コマンドは、継承可能なアクセス制御エントリ (Ace) Gpo の Sysvol の共有リソースに追加します。追加された ace により企業は Gpo をドメイン コント ローラーの読み取りアクセス許可を与えます。これらのアクセス許可は、サイト ベース ポリシーのポリシーの結果セット (RSoP) 機能をサポートする必要があります。

これは、Windows Server 2003 SP1 の adprep /domainprep と同じです。よって、Windows Server 2003 SP1以降の DC が構成されている場合は adprep /domainprep /gpprep を実行する必要はありません。

http://support.microsoft.com/kb/324392