Windows Server 2019 から Windows Server 2025 への AD 移行方法

本記事は、Windows Server 2019 上のドメインコントローラーから、Windows Server 2025 上の新しいドメインコントローラーへ Active Directory / DNS / DHCP / AD CS を移行した際の手順メモです。

1. 想定構成
2. 全体の移行フロー
3. 事前準備
4. 新 DC の追加（AD DS + DNS）
5. FSMO 役割を新 DC に移行
6. PDC Emulator の時刻同期設定
7. DHCP の移行
8. AD CS（証明書サービス）の移行（概要）
9. 旧 DC の降格と廃止
10. まとめ

1. 想定構成

フォレスト／ドメイン構成：単一フォレスト・単一ドメイン
旧 DC（Windows Server 2019）：
- ホスト名：【旧DCホスト名】
- 役割：AD DS、DNS、DHCP、AD CS
新 DC（Windows Server 2025）：
- ホスト名：【新DCホスト名】
- 役割：AD DS、DNS、DHCP、AD CS（移行後）
ドメイン名：【ドメイン名】

注意：
AD のバージョンアップを伴う DC 追加では、最初の新 OS DC の昇格時にスキーマ更新が走るため、作業ユーザーは Enterprise Admins および Schema Admins グループに所属している必要があります。

2. 全体の移行フロー

新サーバー 【新DCホスト名】 を既存ドメインに参加させる
【新DCホスト名】 を追加ドメインコントローラー（AD DS + DNS）として昇格
レプリケーション・ヘルスチェック
FSMO 役割を 【旧DCホスト名】 から 【新DCホスト名】 に移行
PDC Emulator となった 【新DCホスト名】 の時刻同期設定を調整
DHCP 設定をエクスポート／インポートして 【新DCホスト名】 に移行
AD CS（証明書サービス）をバックアップ＆リストアで移行
旧 DC 【旧DCホスト名】 を降格し、必要であれば廃止

3. 事前準備

3.1 バックアップ

【旧DCホスト名】 のシステム状態バックアップ（AD DS 含む）
AD CS のデータベース・秘密鍵のバックアップ
DHCP 設定のエクスポート（後述のコマンドを利用）

3.2 AD ヘルスチェック（旧 DC 側）

dcdiag /v &gt; C:\temp\dcdiag_旧DC.log
repadmin /replsummary &gt; C:\temp\repl_旧DC.log
repadmin /showrepl * /csv &gt; C:\temp\repl_detail_旧DC.csv

3.3 FSMO 役割の確認

netdom query fsmo

移行前は全て 【旧DCホスト名】.【ドメイン名】 を指していることを確認。

4. 新 DC の追加（AD DS + DNS）

4.1 新サーバーをドメインに参加

【新DCホスト名】 に固定 IP 【新DCのIPアドレス】 を設定
DNS サーバーには既存 DC（【旧DCホスト名】）の IP を指定
コンピューターを 【ドメイン名】 に参加させる

4.2 AD DS ロール追加＆昇格

まずロールを追加。

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

続いて、既存ドメインの追加ドメインコントローラーとして昇格。

Install-ADDSDomainController `
  -DomainName "【ドメイン名】" `
  -InstallDns `
  -Credential (Get-Credential) `
  -SafeModeAdministratorPassword (Read-Host -AsSecureString "DSRM password")

昇格ウィザード中の「前提条件チェック」で、

赤エラー（Enterprise Admins / Schema Admins 関連）が出ないこと
「DNS 委任を作成できない」黄色警告のみであること（単一ドメイン環境では無視してよいケースが多い）

問題なければインストールを実行し、自動再起動後に新 DC となる。

4.3 レプリケーション確認（新 DC 側）

dcdiag /v &gt; C:\temp\dcdiag_新DC.log
repadmin /replsummary &gt; C:\temp\repl_新DC_replsum.log
repadmin /showrepl * /csv &gt; C:\temp\repl_新DC_repldetail.csv

明らかな失敗（FAIL）がないことを確認。

5. FSMO 役割を新 DC に移行

5.1 移行前の状態

netdom query fsmo

移行前は全て 【旧DCホスト名】.【ドメイン名】 を指す。

5.2 移行コマンド

【新DCホスト名】 上で、管理者 PowerShell から実行。

Move-ADDirectoryServerOperationMasterRole -Identity 【新DCホスト名】 `
  -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster

確認ダイアログが5回出るので Y または A で進める。

5.3 移行後の確認

netdom query fsmo

全ての役割が 【新DCホスト名】.【ドメイン名】 に変わっていれば移行完了。

6. PDC Emulator の時刻同期設定

FSMO の PDC Emulator を持つ DC は、ドメイン全体の時刻の基準となる。 【新DCホスト名】 で外部 NTP サーバーと同期するよう設定する。

w32tm /config `
  /manualpeerlist:"ntp.nict.jp,0x9" `
  /syncfromflags:manual `
  /reliable:yes `
  /update

net stop w32time
net start w32time
w32tm /resync

外部 NTP サーバーは環境に応じて変更する。

7. DHCP の移行

7.1 旧 DHCP サーバーからのエクスポート

【旧DCホスト名】 上で、管理者 PowerShell から実行。

Export-DhcpServer -ComputerName 【旧DCホスト名】 `
  -File "C:\temp\dhcp-旧DC.xml" `
  -Leases -Force

生成された C:\temp\dhcp-旧DC.xml を 【新DCホスト名】 にコピー。

7.2 新 DC に DHCP ロールを追加

Install-WindowsFeature DHCP -IncludeManagementTools

ロール追加後、新 DHCP サーバーを AD に承認。

Add-DhcpServerInDC -DnsName "【新DCホスト名】.【ドメイン名】" -IpAddress 【新DCのIPアドレス】

7.3 DHCP 設定のインポート

Import-DhcpServer -ComputerName 【新DCホスト名】 `
  -File "C:\temp\dhcp-旧DC.xml" `
  -Leases `
  -BackupPath "C:\DhcpBackup" `
  -Force

DHCP 管理コンソールで、スコープ・予約・オプションが正しく取り込まれているか確認する。特にオプション 003（デフォルトゲートウェイ）、006（DNS サーバー）は要チェック。

7.4 スコープの切り替え

【旧DCホスト名】 側の DHCP スコープを「停止」する
【新DCホスト名】 側の同一スコープを「有効化」する

これにより、新規リースは 【新DCホスト名】 から配布されるようになる。 DNS サーバーとしても 【新DCホスト名】 を配布すれば、クライアントの名前解決も順次新 DC に切り替わる。

8. AD CS（証明書サービス）の移行（概要）

AD CS は環境依存が大きく、詳細手順は別記事に分けた方がよいが、ここでは概要のみ記載する。

8.1 旧 CA のバックアップ

【旧DCホスト名】 上で実行。

certutil -backupdb C:\CAbackup
certutil -backupkey C:\CAbackup
reg export "HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration" C:\CAbackup\CA-registry.reg /y

C:\CAbackup ディレクトリをまるごと 【新DCホスト名】 にコピーする。

8.2 新 DC に AD CS ロールを追加

Install-WindowsFeature ADCS-Cert-Authority -IncludeManagementTools

その後のウィザードでは、旧 CA と同じ種別（エンタープライズルート / 中間）を選び、「既存の秘密キーを使用する」を選択してバックアップから復元する。 DB ファイルとレジストリの復元、CRL 配布ポイント（CDP）や AIA の設定確認などを行う。

注意：
CA 名や CDP/AIA の URL を変更すると、既存クライアントとの互換性に影響が出る場合があるため、可能な限り旧構成を維持したまま移行することを推奨。

9. 旧 DC の降格と廃止

AD DS / DNS / DHCP / AD CS が新 DC で正常に動作していることを十分に確認してから、最後に旧 DC 【旧DCホスト名】 を降格する。

9.1 降格操作

サーバーマネージャーから「Active Directory ドメインサービス」を削除するか、PowerShell を使用。

Uninstall-ADDSDomainController -DemoteOperationMasterRole:$true

再起動後、必要に応じてドメインからコンピューターアカウントを削除し、サーバーを廃止する。

10. まとめ

まず新 DC を追加して AD レプリケーションを安定させる
FSMO 役割を新 DC に移行し、PDC Emulator の時刻同期を外部 NTP に向ける
DHCP をエクスポート／インポートで安全に移行する
AD CS はバックアップ＆リストア方式で慎重に移行する
全ての役割が新 DC に移ってから旧 DC を降格する

この流れを守ることで、サービス停止時間を最小限に抑えつつ、 Windows Server 2019 から Windows Server 2025 への AD 基盤移行を安全に実施できる。

KEEPTIME モバイルモニター 15.6インチ 1920*1080 モバイルディスプレイポータブルモニター IPS液晶パネル非光沢画面薄型軽量マグネット保護カバー付き USB Type-C ミニHDMI PS4/XBOX/Sw-itch/PC/Macなど対応在宅勤務リモートワーク【銀白色】

(5433302)

￥10,980 (2026年5月17日 06:18 GMT +09:00 時点 - )

Leadjoy Xeno Plus ゲームコントローラー有線/2.4G/Bluetoothマルチモード接続 TMRスティック搭載 1000Hz ポーリングレーホール＆マイクロスイッチデュアルトリガー 8 マイクロスイッチスマート充電ドック付き 4個の背面カスタムボタン Switch 1/2/PC/Android/iOS対応

(54424)

￥9,350 (2026年5月17日 06:18 GMT +09:00 時点 - )

For Speiow T1 フィルム Speiow 10.1インチタブレットフィルム強化ガラス高感度タッチ高透過率硬度9H 指紋防止 Greerass 気泡防止撥水撥油耐衝撃貼り付け簡単液晶保護超薄飛散防止

(5382912)

￥999 (2026年5月17日 09:40 GMT +09:00 時点 - )

Apple 2024 MacBook Air (13インチ, 8コアCPUと8コアGPUを搭載したApple M3チップ, 16GB ユニファイドメモリ, 256GB), 日本語キーボード - ミッドナイト

(545232)

只今、価格を取得しています。

(2026年5月17日 09:40 GMT +09:00 時点 - )

【Macbook Neo/Air/Pro 対応】極薄キーボードカバータイピングでズレない [13/14/15/16インチ | M5/M4/M3/M2シリーズ対応] 自然な見た目日本語JIS配列 HOGOTECH (マットクリア)

(544160)

￥1,399 (2026年5月17日 06:18 GMT +09:00 時点 - )

Auto Amazon Links