機能レベルによって、Active Directory ドメイン サービス (AD DS) のドメインまたはフォレストで使用できる機能が決まります。 また、機能レベルにより、ドメインまたはフォレスト内のドメイン コントローラーで実行できる Windows Server オペレーティング システムが決まります。 ただし、機能レベルによって、ドメインやフォレストに参加しているワークステーションやメンバー サーバーで実行できるオペレーティング システムが影響を受けることはありません。 この記事では、各機能レベルと、Windows Server の各バージョンの互換性について説明します。
AD DS をデプロイするときは、できるだけ多くの AD DS 機能を使用するため、ドメインとフォレストの機能レベルを、環境でサポート可能な最大値に設定します。 新しいフォレストをデプロイするときは、フォレストとドメインの両方の機能レベルを設定する必要があります。 ドメインの機能レベルをフォレストの機能レベルより高い値に設定できますが、ドメインの機能レベルをフォレストの機能レベルよりも低い値に設定することはできません。
Windows Server 2025 の機能レベル
Windows Server 2025 フォレストおよびドメイン機能レベルでは、次のオペレーティング システムをドメイン コントローラー (DC) として使用できます。
- Windows Server 2025
Windows Server 2025 フォレストおよびドメインの機能レベルの機能
Windows Server 2025 ドメインの機能レベルには、以前のドメイン機能レベルで使用可能であったすべての機能が含まれていますが、以下の新機能もあります。
- データベース 32k ページのオプション機能。 32k データベース ページ サイズの使用について詳しくは、「Active Directory のデータベース 32k ページ」をご覧ください。
新機能の詳細については、「 Windows Server 2025 の新機能」を参照してください。
Note
Windows Server 2019 および Windows Server 2022 では、最新の機能レベルとして Windows Server 2016 が使用されています。
Windows Server 2016 の機能レベル
Windows Server 2016 フォレストおよびドメイン機能レベルでは、次のオペレーティング システムをドメイン コントローラー (DC) として使用できます。
- Windows Server 2025
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
Note
ドメインでは、SYSVOL をレプリケートするエンジンとして DFSR を使用する必要があります。 DFSR への移行の詳細については、「 FRS から DFSR SYSVOL への合理化された移行」を参照してください。 Windows Server 2016 は、ファイル レプリケーション サービス (FRS) をサポートする最後の Windows Server リリースです。 この問題を回避する方法については、Windows Server バージョン 1709 では FRS のサポートが終了したことについての情報を参照してください。
Windows Server 2016 フォレストおよびドメインの機能レベルの機能
以前のフォレスト機能レベルのすべての既定の Active Directory 機能と、次の機能を使用できます。
以前のドメイン機能レベルのすべての既定の Active Directory 機能と、次の機能を使用できます。
DC は、公開キー基盤 (PKI) 認証を必要とするよう構成されたユーザー アカウント上で、New Technology LAN Manager (NTLM) および他のパスワード ベースのシークレットの自動ローリングをサポートできます。 この構成は、 対話型ログオンに必要なスマート カードとも呼ばれます。
DC を使うと、ユーザーが特定のドメイン参加済みデバイスに制限されているときのネットワーク NTLM の許可をサポートできます。
Kerberos クライアントが PKInit Freshness Extension で正常に認証されると、新しい公開キー ID セキュリティ識別子 (SID) を取得します。
詳細については、「 Kerberos 認証の新機能」を参照してください。
Windows Server 2012 R2 機能レベル
Windows Server 2012 R2 フォレストとドメイン機能レベルでは、次のオペレーティング システムをドメイン コントローラー (DC) として使用できます。
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
Windows Server 2012 R2 フォレストおよびドメインの機能レベルの機能
Active Directory のすべての既定機能、Windows Server 2012 ドメイン機能レベルのすべての機能、それに加えて以下の機能:
保護されたユーザーに対する DC 側の保護。 Protected Users が Windows Server 2012 R2 ドメインに対して認証を行うと、以下のことができなくなります。
NTLM 認証を使用して認証します。
Kerberos 事前認証で DES または RC4 暗号スイートを使用します。
制約のない委任または制約付き委任を用いて委任を受ける。
最初の 4 時間の有効期間を超えてユーザー チケット (TGT) を更新します。
認証ポリシー
- 新しいフォレスト ベースの認証ポリシーをアカウントに適用することができます。 ポリシーは、アカウントからサインオン元として使用できるホストを制御し、認証のためのアクセス制御条件を、アカウントとして実行されているサービスに適用できます。
認証ポリシーのサイロ化
- 認証ポリシーまたは認証の分離のためにアカウントを分類するために使用される、新しいフォレストベースの Active Directory オブジェクト。 新しいオブジェクトは、ユーザー、マネージド サービス、コンピューター アカウント間のリレーションシップを作成できます。
以前のバージョンの Windows Server の機能レベルとドメイン レベル
以前のバージョンの Windows Server の機能レベルを特定する場合は、「 Active Directory Domain Services (AD DS) の機能レベルについて」を参照してください。
関連コンテンツ
PowerShell コマンド Set-ADForestMode を使用して、フォレストの機能レベルを上げます。
PowerShell コマンド Set-ADDomainMode を使用して、ドメインの機能レベルを上げます。
ドメインおよびフォレストの機能レベルを上げる方法について詳しくは、「Active Directory ドメインおよびフォレストの機能レベルを上げる方法」をご覧ください。