【AD DS】ドメイン コントローラーの強制降格/メタデータ削除手順【画面キャプチャ付】

  • 2022年1月11日
  • 2023年6月8日
  • AD DS

ドメイン コントローラーの降格とは、ドメイン コントローラーから通常のサーバーにすることです。
ドメイン コントローラー上で問題が発生して、やむなくドメイン コントローラーを降格することもあります。

他のドメイン コントローラーと通信できない場合、通常降格することはできません。
その場合、ドメイン コントローラー強制降格する必要があります。
ドメイン コントローラーを強制降格すると、降格したことを他のドメイン コントローラーに通知されません。
そのため、降格したドメイン コントローラーのメタデータが AD データベースに残り続けます。
これを解決するために、強制降格の作業をした後に、ドメイン コントローラーのメタデータの削除が必要です。

今回は、ドメイン コントローラーを強制降格する手順メタデータ削除手順を紹介します。

ドメイン環境に別の正常なドメイン コントローラーが残っているという前提です。
(降格対象のドメイン コントローラーが、最後の 1 台ではない環境という状況を想定しています)

 

通常降格と強制降格

ドメイン コントローラーを降格する時、自身の AD データベースの情報を複製した上で降格処理を行います。
これは、降格対象となるドメイン コントローラーのみが保持する AD 情報をもっている可能性があるためです。
そのため、降格処理を行う際は、他のドメイン コントローラーと複製処理ができる状態である必要があります。
この条件を満たす場合、通常降格ができます。

通常降格の手順は以下の記事で紹介しています。

 

関連記事

ドメイン コントローラーの降格とは、ドメイン コントローラーから通常のメンバー サーバーにすることです。 ドメイン環境の OS のバージョン アップにおける移行作業などで、ドメイン コントローラーを降格します。また、ドメイン コントローラー[…]

 

何らかの問題が発生し、他のドメイン コントローラーと複製できない場合、通常降格することはできません。
問題が解消しない場合でも、ドメイン コントローラーは強制的に降格することができます。

強制降格の場合は、降格時に他のドメイン コントローラーと通信しないため、降格することを通知されません。
降格したドメイン コントローラーの情報が AD データベースの残り続けます。
そのため、ドメイン コントローラーのを強制降格した場合、メタデータ削除して残存した AD 情報を削除します。

今回は、ドメイン コントローラーを強制降格する手順メタデータ削除する手順を紹介します。

 

環境

ドメイン環境にて、1 台のドメイン コントローラーを降格します。
今回は、DC02 という名前のドメイン コントローラーを強制降格します。
また、DC02 を強制降格した後、DC01 にて DC02 のメタデータ削除を行います。

DC01、DC02 は Windows Server 2016 での手順です。

 

事前確認事項

降格対象のドメイン コントローラーが FSMO の役割をもっている場合、降格後に問題が発生する可能性があります。
そのため、通常降格の作業をする前に、FSMO の役割をもつドメイン コントローラーを確認しておきましょう。

確認方法は以下の通りです。

1) 任意のドメイン コントローラーに管理者権限をもつユーザーでログオンします。
2) 以下のコマンドを実行します。

netdom query fsmo

スキーマ マスター DC02.test01.local
ドメイン名前付けマスター DC02.test01.local
PDC DC02.test01.local
RID プール マネージャー DC02.test01.local
インフラストラクチャ マスター DC02.test01.local
コマンドは正しく完了しました。

コマンドを実行した結果、降格対象のドメイン コントローラーが FSMO の役割をもっていたとします。
その場合、降格しない別のドメイン コントローラーに FSMO の役割を移動させる必要があります。

ただし、降格対象のドメイン コントローラーへアクセスできない場合、FSMO の通常転送に失敗します。
もし、FSMO を通常転送できない状況である場合、seize コマンドで強制転送してください。

FSMO の役割の強制転送手順:
1) FSMO 転送先ドメイン コントローラにログオンします。
2) コマンドプロンプトを管理者権限で開きます。
3) ntdsutil と入力します。
4) roles と入力し、Enter キーを押します。
5) connections と入力し、Enter キーを押します。
6) connect to server localhost と入力し、Enter キーを押します。
7) server connections: プロンプトで q と入力し、もう一度 Enter キーを押します。
8) RID プール マネージャーを転送する場合には、Seize RID master と入力し、実行します。
9) インフラストラクチャ マスターを転送する場合には、Seize infrastructure master と入力し、実行します。
10) PDC を転送する場合は、Seize pdc と入力し、実行します。
11) ドメイン名前付けマスター を転送する場合は、Seize naming master と入力し、実行します。
12) スキーママスターを転送する場合には、Seize schema master と入力し、実行します。
13) q を2回実行し、コマンドプロンプトを閉じます。
14) netdom query fsmo を実行して、FSMO の役割が正常に移動されたことを確認します。

 

ドメイン コントローラーの強制降格の手順

ドメイン コントローラー(Windows Server 2016) を強制降格する手順です。

1) 強制降格対象のドメイン コントローラーに管理者権限をもつユーザーでログオンします。

2) [サーバー マネージャー] を開き、[管理] より [役割と機能の削除] をクリックします。

 

3) [開始する前に] にて、[次へ] をクリックします。

 

4) [対象のサーバーの選択] にて、[サーバー プールからサーバーを選択] にて対象のサーバーが選択されていることを確認し、[次へ] をクリックします。

 

5) [サーバーの役割の削除] にて、[Active Directory ドメイン サービス] のチェックボックスを無効にします。

 

6) [管理ツールを削除する] のチェックボックスをが有効になっていることを確認し、[機能の削除] をクリックします。

 

7) [このドメイン コントローラーを降格する] をクリックします。

 

8) [資格情報] にて、ドメインの管理者権限をもつユーザーが指定されていることを確認します。
また、[このドメイン コントローラーの削除を強制] のチェックボックスを有効にして、[次へ] をクリックします。

 

9) [警告] にて、[削除の続行] のチェックボックスを有効にして [次へ] をクリックします。

 

10) [新しい Administrator パスワード] にて、ローカル ユーザー Administrator のパスワードを設定して [次へ] をクリックします。

 

11) [オプションの確認] にて、[降格] をクリックします。

 

12) 降格の処理が完了したら、OS は自動で再起動されます。
  OS の再起動が完了したら、ワークグループのサーバーとなります。

 

Windows Server 2008 R2 以前の OS では、ドメイン コントローラーの降格は dcpromo.exe を実行します。
 

メタデータ削除

残っているドメイン コントローラーにて、強制降格した  DC02 のメタデータを削除します。
以下に紹介する [A] ~ [D] の手順を実施してください。

[A] コンピューター オブジェクトの削除

1) 正常に動作している任意のドメイン コントローラーに管理者権限をもつユーザーでログオンします。

2) [Windows 管理ツール] より [Active Directory ユーザーとコンピューター] を開きます。

3) 左ペインのツリーを [Active Directory ユーザーとコンピューター][<ドメイン名>][Domain Controllers] の順に展開します。

 

4) “‘<削除対象の DC>’ という名前の コンピューター を削除しますか?” と表示されたら、[はい] をクリックします。

 

5) [完全にオフラインで、削除ウィザードを使用して削除できないこのドメイン コンピューターを削除する] のチェックボックスをオンにし、[削除] をクリックします。

 

6) “この Active Directory ドメイン コントローラーはグローバル カタログです。削除を続行しますか?” と表示された場合には、[はい] をクリックします。

 

[B] 複製に使用する接続オブジェクトの削除

1) [Windows 管理ツール] より [Active Directory サイトとサービス] を開きます。

2) 左ペインにて、[Sites][<任意のサイト>][Servers][<削除対象の DC 以外の任意の DC>][NTDS Settings] を選択します。

3) 右ペインの [レプリケート元サーバー] 列が削除対象の DC となっているオブジェクトが存在している場合には、接続オブジェクトを右クリックして [削除] をクリックします。

 

4) “[<接続オブジェクトの GUID> ] という名前の 接続 を削除しますか?” と表示されたら [はい] をクリックします。

 

5) 左ペインの [Servers] 配下の削除対象の DC を右クリックし、[削除] をクリックします。

 

6) “‘<削除対象のDC>’ という名前のサーバーを削除しますか?” と表示されたら、[はい] をクリックします。

 

全ての DC に対して、作業 2) ~ 4) を実施してください。
 

[C] FRS または DFSR のオブジェクトの削除

1) [Windows 管理ツール] より [ADSI エディター] を開きます。

2) 左ペインの [ADSI エディター] を右クリックし、[接続] をクリックします。

3) [既知の名前付けコンテキストを選択する] から [既定の名前付けコンテキスト] が選択されていることを確認し、[OK] をクリックします。

4) 左ペインにて、[既定の名前付けコンテキスト][<ドメインの DN>][CN=System][CN=File Replication Service][CN=Domain System Volume (SYSVOL share)] の順に展開します。
   ※ [CN=File Replication Service] 配下に [CN=Domain System Volume (SYSVOL share)] が存在しない場合には、FRS が使用されていないため、手順 6 に進んでください。

5) 中央ペインに [CN=<削除対象の DC>] のオブジェクトが存在していれば、そのオブジェクトを右クリックし、[削除] をクリックします。
   その際に “このオブジェクトを削除しますか?” と表示されたら、[はい] をクリックします。手順 6 以降はスキップし、手順 [D] に進んで問題ありません。

6) 左ペインのツリーを [既定の名前付けコンテキスト][<ドメインの DN>][CN=System][CN=DFSR-GlobalSettings][CN=Domain System Volume][CN=Topology] の順に展開します。

7) 中央ペインに [CN=<削除対象の DC>] のオブジェクトが存在していれば、そのオブジェクトを右クリックし、[削除] をクリックします。その際に “このオブジェクトを削除しますか?” と表示されたら、[はい] をクリックします。

 

[D] DNS レコードの削除

1) [Windows 管理ツール] より [DNS] をクリックします。

2) [前方参照ゾーン][_msdcs.<フォレスト ルート ドメインの FQDN>] 配下を展開していき、[データ] 列が削除対象の DC もしくは削除対象の DC の IP アドレスとなっているレコードが存在すれば、そのレコードを削除します。
     A レコードや CNAME レコード、SRV レコードは対象のレコードを右クリックし、[削除] をクリックすることによって削除できます。
    NS レコードに関しては一旦そのレコードのプロパティ画面を開いた上で、対象のレコードを削除する必要があります。

3) 同様に、[前方参照ゾーン][<ドメインの FQDN>] 配下を展開していき、[データ] 列が削除対象の DC もしくは削除対象の DC の IP アドレスとなっているレコードが存在すれば、そのレコードを削除します。

削除対象の DNS レコード一覧:

 

 

楽天ブックス
¥3,630 (2023/06/08 11:21時点 | 楽天市場調べ)
\楽天ポイント5倍セール!/
楽天市場
楽天ブックス
¥4,400 (2023/06/08 11:24時点 | 楽天市場調べ)
\楽天ポイント5倍セール!/
楽天市場