ドメイン コントローラー降格手順 (Windows Server 2012)

  • Article

日本マイクロソフトの谷です。

Active Directory に関してのお問い合わせを対応していますと、ドメイン コントローラーの入れ替えのために降格、昇格作業を実施するケースや、問題の解決のためにやむなくドメイン コントローラーを一旦降格する必要があるような状況に遭遇することがよくあります。Windows Server 2012 からは従来ドメイン コントローラー昇格、降格の際に利用されていた dcpromo によるウィザードでの処理から、GUI または PowerShell による方法に変更となりました。今回は GUI での操作手順をご紹介いたします。

ドメイン コントローラーを降格する際には、降格対象のドメイン コントローラーのみが保持する更新情報を他のドメイン コントローラーに複製してから降格処理が行われます。トラブルが発生している環境で、複製ができていない状態で降格処理を実施しなければならないこともあります。この複製ができない状態で降格をするためには、強制降格と呼ばれる処理が必要となるのですが、その手順もご案内します。

 
なお、強制降格については注意が必要です。

ドメイン コントローラーの更改などの作業にともない、古いドメイン コントローラーを降格処理をするケースを考えます。この場合に通常降格が失敗する場合には、新しくドメイン コントローラーに昇格したサーバーが正常に機能していない可能性があります。このまま強制降格処理をおこなってしまうと、正常なドメイン コントローラーが存在しなくなり、復旧はバックアップからのリストアが必要になるという現象が発生しますので十分に注意の上、実施ください。

ドメイン コントローラーを降格する際には、そのドメイン コントローラーが FSMO である場合には、事前にその役割を他のドメイン コントローラーに移動させることが必要ですので、 FSMO を担っているかの確認方法と移動方法についてもご案内します。また、実際の操作については、画面キャプチャ付きで以下のファイル (xlsx 形式) にお纏めしましたので、こちらもお役に立てれば幸いです。

B-1. ドメイン コントローラーの通常降格 B-2. ドメイン コントローラーの強制降格 (B-1. に失敗した場合)
B-2-1. Metadata Cleanup の実施 C. ドメイン コントローラーの再昇格

 

手順の概要は以下のとおりです。

 
A. 事前作業
A-1. FSMO の役割の確認
A-2. FSMO の役割の転送(A-1 でFSMO の役割を行っていた場合にのみ実施)

B. ドメイン コントローラーの降格
B-1. ドメイン コントローラーの通常降格
B-2. ドメイン コントローラーの強制降格 (B-1. に失敗した場合)
B-2-1. Metadata Cleanup の実施

C. ドメイン コントローラーの再昇格

 

A. 事前作業   (作業対象 : FSMO転送先の ドメイン コントローラー にて実施します)
 

============================================================
A-1. FSMO の役割の確認
============================================================
以下のコマンドを実行し、FSMO の役割を担っている ドメイン コントローラーを確認します。
 
# netdom query fsmo

(出力例)
C:\Users\Administrator>netdom query fsmo
スキーマ マスター                DC01.test.local
ドメイン名前付けマスター         DC01.test.local
PDC                          DC01.test.local
RID プール マネージャー         DC01.test.local
インフラストラクチャ マスター    DC01.test.local
コマンドは正しく完了しました。

 
出力結果より今回、降格 / 昇格予定のドメイン コントローラーが FSMO の機能を持っていない場合、A-2 の作業は不要です。

 

============================================================
A-2. FSMO の役割の転送(A-1 でFSMO の役割を持っている場合のみ実施)
============================================================

  1. FSMO 転送先ドメイン コントローラにログオンします。
  2. コマンドプロンプトを管理者権限で開きます。
  3. ntdsutil と入力します。
  4. roles と入力し、Enter キーを押します。
  5. connections と入力し、Enter キーを押します。
  6. connect to server localhost と入力し、Enter キーを押します。
  7. server connections: プロンプトで q と入力し、もう一度 Enter キーを押します。以下はFSMO の機能に応じて実施します。
  8. RID プール マネージャーを転送する場合には、Transfer RID master と入力し、実行します。
  9. インフラストラクチャ マスターを転送する場合には、Transfer infrastructure master と入力し、実行します。
  10. PDC を転送する場合は、Transfer pdc と入力し、実行します。
  11. ドメイン名前付けマスター を転送する場合は、Transfer naming master と入力し、実行します。
  12. スキーママスターを転送する場合には、Transfer schema master と入力し、実行します。
  13. コマンドを実行すると、安全転送を試みます。
  14. q を2回実行し、コマンドプロンプトを閉じます。
  15. 転送が正常に行われた確認する場合には、 A-1. 手順にて確認をします。

 
B. ドメイン コントローラーの降格 (作業対象 : 降格 / 再昇格を実施するドメイン コントローラー)
 
============================================================
B-1. ドメイン コントローラーの通常降格
============================================================

  1. 降格対象のDCに管理者権限のユーザーでログオンします。
  2. [サーバーマネージャー] - [ダッシュボード] を起動します。
  3. ウィンドウ上部のツールバー より [管理] - [役割と機能の削除] をクリックし "役割と機能の追加ウィザード" を開きます。
  4. "役割と機能の削除ウィザード (インストールの種類)" 画面にて、"役割ベースまたは機能ベースのインストール"(既定状態) を選択し、"次へ"  をクリックします。
  5. "役割と機能の削除ウィザード (対象サーバーの選択)" 画面にて、"サーバー プールからサーバーを選択" し、 "サーバー プール" 内の自ホストを選択し、"次へ" をクリックします。
  6. "役割と機能の削除ウィザード (サーバーの役割の選択)" 画面にて、役割項目内から下記を選択し、"次へ" をクリックします。
    - Active Directory ドメイン サービス
    # 各役割を選択すると "{サービス名} に必要な機能を追加しますか?" と表示されます。
  7. "役割と機能の削除ウィザード" [検証結果] が表示されます。"このドメイン コントローラーを降格する" をクリックします。
  8. "Active Directory ドメイン サービス構成ウィザード" 画面にて "次へ" をクリックします。
  9. "Active Directory ドメイン サービス構成ウィザード (警告) " 画面にて、"削除の続行" を有効にし、"次へ" をクリックします。
  10. "Active Directory ドメイン サービス構成ウィザード (新しい Administrator パスワード) " 画面にて、パスワードを入力し、"次へ" をクリックします。
  11. "Active Directory ドメイン サービス構成ウィザード (オプションの確認) " 画面にて、内容を確認し、"降格" をクリックします。
  12. 降格処理が完了すると自動的に OS 再起動がかかります。

 
============================================================
B-2. ドメイン コントローラーの強制降格 (ドメイン コントローラーの強制降格 (B-1. に失敗した場合))
============================================================

  1. 格対象のDCに管理者権限のユーザーでログオンします。
  2. [サーバーマネージャー] - [ダッシュボード] を起動します。
  3. ウィンドウ上部のツールバー より [管理] - [役割と機能の削除] をクリックし "役割と機能の削除ウィザード" を開きます。
  4. "役割と機能の削除ウィザード (インストールの種類)" 画面にて、"役割ベースまたは機能ベースのインストール"(既定状態) を選択し、"次へ" をクリックします。
  5. "役割と機能の削除ウィザード (対象サーバーの選択)" 画面にて、"サーバー プールからサーバーを選択" し、 "サーバー プール" 内の自ホストを選択し、"次へ" をクリックします。
  6. "役割と機能の削除ウィザード (サーバーの役割の選択)" 画面にて、役割項目内から下記を選択します。
    - Active Directory ドメイン サービス
    # 各役割を選択すると "{サービス名} に必要な機能を追加しますか?" と表示されます。
  7. "役割と機能の削除ウィザード" [検証結果] が表示されます。"このドメイン コントローラーを降格する" をクリックします。
  8. "Acitve Directory ドメイン サービス構成ウィザード (資格)" 画面にて、以下を選択し、"次へ" をクリックします。
    この操作を実行するには資格情報を指定してください: {資格情報}
    このドメイン コントローラーの削除を強制:  有効
  9. "Acitve Directory ドメイン サービス構成ウィザード (警告)" 画面にて、対象の DC の役割の確認が表示されます。内容を確認し、”削除の続行” を有効にし、”次へ” をクリックします。
    Ex) PDC エミュレーター / RID 操作マスター/ グローバル カタログ
  10. "Acitve Directory ドメイン サービス構成ウィザード (新しい Administrator パスワード)" 画面にて、降格後の作業対象のサーバーの Administrator パスワードを入力し、”次へ” をクリックします。
  11. "Acitve Directory ドメイン サービス構成ウィザード (オプションの確認)" 画面にて、内容を確認し、”降格” をクリックします。
  12. "Acitve Directory ドメイン サービス構成ウィザード (降格)" 画面にて、内容を確認します。
  13. “サインオフしようとしています” とメッセージが表示され、自動で再起動が行われます。

 
============================================================
B-2-1. Metadata Cleanup の実施   (ドメイン コントローラーの強制降格 (B-1. に失敗し、B-2 を実行後に実施します))
============================================================
B-2 の手順で強制降格した場合には以下の手順で降格したドメイン コントローラーの情報を手動で削除する必要があります。

  1. 管理者権限を持つユーザーで正常なDCにログオンします。
  2. [サーバーマネージャー] - [ダッシュボード] を起動します。
  3. ウィンドウ上部のツールバーより [ツール] - [Active Directory ユーザーとコンピューター] をクリックします。
  4. [Active Directory ユーザーとコンピューター] 画面左ペインにて以下まで展開します。
    -  Active Directory ユーザーとコンピューター
    - <ドメイン名>
    - Domain Controllers
  5. 右ペインにて <削除対象の DC> を選択し、右クリック メニューの  削除 を選択します。
  6. 警告メッセージが表示されるので、下記チェックを有効にし、削除をクリックします。
    [このドメイン コントローラーは完全にオフラインなため、Active Directory ドメインサービス インストール ウィザード(dcpromo)  を使用して降格できない]
    # ドメイン コントローラーがグローバル カタログである場合、「このActive Directory ドメインコントローラーはグローバルカタログです。削除を実行しますか?」と表示されます。
    # FSMO の機能を保持している場合には、警告のダイアログが表示されます。正しく動作しているドメイン コントローラーに FSMO の役割が転送されます。
    内容を確認し、[OK] をクリックします。
  7. [Active Directory サイトとサービス] スナップインを起動します。
  8. [Sites] - [<サイト名>] - [Servers] - [DC 名] - [NTDS Settings] を選択します。
  9. 右ペインに [レプリケート元サーバー] が削除対象のドメインコントローラーとなっているオブジェクトが存在していれば、左ペインの [NTDS Settings] を右クリックし、[すべてのタスク] - [レプリケーション トポロジの確認] をクリックします。
  10. 右ペインにて [最新の情報に更新] し、削除対象のドメインコントローラーとのオブジェクトが削除されることを確認します。
  11. 9  から 11 までの手順を [Sites] - [<サイト名>] - [Servers] の削除対象の DC を除くすべての DC にて実行します。

12.  左ペインにて [Sites] - [<削除対象の DC のサイト名>] - [Servers] - [<削除対象 DC 名>] を選択した状態で右クリックして表示されるメニューで "削除" をクリックします。

 
============================================================
C. ドメイン コントローラーの再昇格 (作業対象 : 降格を実施し、再昇格を行うドメイン コントローラー)
============================================================
降格作業を実施後に再度昇格を行う手順です。

  1. 降格対象の DC に管理者権限のユーザーでログオンします。

  2. [サーバーマネージャー] - [ダッシュボード] を起動します。

  3. ウィンドウ上部のツールバー より [通知]  をクリックし、 "このサーバーをドメイン コントローラーに昇格する" をクリックします。

  4. "Active Directory ドメイン サービス構成ウィザード (配置構成)" 画面にて、以下を選択、入力し、"次へ" をクリックします。
    配置操作を選択してください : 既存のドメインにドメイン コントローラーを追加する
    この操作のドメイン情報を指定指定ください : {既存ドメイン名}
    この操作を実行するには資格情報を指定してください : {ドメイン管理者ユーザーアカウント / パスワード}

    # {ドメイン名}\{管理者アカウント} または {管理者アカウント}@ドメイン FQDN}

  5. "Active Directory ドメイン サービス構成ウィザード (ドメイン コントローラー オプション)" 画面にて、以下を選択、入力し、"次へ" をクリックします。
    ドメイン コントローラーの機能を指定してください :
    ■   ドメイン ネーム システム (DNS) サーバー
    ■   グローパル カタログ (GC)
    □   読み取り専用ドメイン コントローラー (RODC)
    サイト名 : 任意 (既定 : Default-First-Site-Name)
    ディレクトリ サービス復元モード (DSRM) のパスワードを入力してください : 任意

  6. "Active Directory ドメイン サービス構成ウィザード (DNS オプション)" 画面にて、"次へ" をクリックします。
    # "権限のある親ゾーンが見つからないか、~" 警告は無視します。

  7. "Active Directory ドメイン サービス構成ウィザード (追加オプション)" 画面にて、以下を選択し、"次へ" をクリックします。
    レプリケート元 : [任意のドメイン コントローラー]

  8. "Active Directory ドメイン サービス構成ウィザード (パス)" 画面にて、以下を確認し、"次へ" をクリックします。
    データベースのフォルダー: C:\Windows\NTDS
    ログ ファイルのフォルダー: C:\Windows\NTDS
    SYSVOL フォルダー: C:\Windows\NTDS

  9. "Active Directory ドメイン サービス構成ウィザード (準備オプション)" 画面にて、"次へ" をクリックします。

  10. "Active Directory ドメイン サービス構成ウィザード (前提条件の確認)" 画面にて、内容を確認し、"インストール" をクリックします。

  11. インストールが完了すると自動でサインオフし、OS 再起動がかかります。

 

以上で降格、再昇格手順は完了です。