ドメイン コントローラーとドメインの降格

適用対象: Windows Server 2022、Windows Server 2019、Windows Server

この記事では、サーバー マネージャーまたは Windows PowerShell を使用して AD DS を削除する方法について説明します。

AD DS の削除のワークフロー

注意事項

ドメイン コントローラーに昇格した後に Dism.exe または Windows PowerShell DISM モジュールを使用して AD DS 役割を削除することはサポートされておらず、サーバーの正常な起動を妨げます。

サーバー マネージャーや Windows PowerShell の ADDSDeployment モジュールと異なり、DISM は、AD DS やその構成に関する知識を引き継がないネイティブ サービシング システムです。 サーバーがドメイン コントローラーでなくなる場合を除き、AD DS の役割をアンインストールするのに Dism.exe または Windows PowerShell の DISM モジュールを使用しないでください。

Windows PowerShell による降格と役割削除

ADDSDeployment と ServerManager コマンドレット	引数 (太字の引数は必須です。斜体 の引数は、Windows PowerShell または AD DS 構成ウィザードを使用して指定できます。)
Uninstall-AddsDomainController	-SkipPreChecks -LocalAdministratorPassword -Confirm -Credential -DemoteOperationMasterRole -DNSDelegationRemovalCredential -Force -ForceRemoval -IgnoreLastDCInDomainMismatch -IgnoreLastDNSServerForZone -LastDomainControllerInDomain -Norebootoncompletion -RemoveApplicationPartitions -RemoveDNSDelegation -RetainDCMetadata
Uninstall-WindowsFeature/Remove-WindowsFeature	-Name -IncludeManagementTools -Restart -Remove -Force -ComputerName -Credential -LogPath -Vhd

注意

-credential 引数は、Enterprise Admins グループ (ドメイン内の最後の DC を降格) または Domain Admins グループ (レプリカ DC を降格) のメンバーとしてログインしていない場合のみ必須です。-includemanagementtools 引数は、すべての AD DC 管理ユーティリティーを削除する場合のみ必須です。

降格

役割と機能の削除

サーバー マネージャーには、Active Directory ドメイン サービスの役割を削除するためのインターフェイスが 2 つあります。

• メイン ダッシュボードの、[管理] メニューの [役割と機能の削除] を使用します。

  

• ナビゲーション ウィンドウの [AD DS] または [すべてのサーバー] を選択します。 [役割と機能] のセクションにスクロール ダウンします。 [役割と機能] リスト内で [Active Directory Domain Services] を右クリックし、[役割または機能の削除] を選択します。 このインターフェイスでは、[サーバーの選択] ページは使用しません。

  

ServerManager コマンドレット Uninstall-WindowsFeature および Remove-WindowsFeature を使用すると、ドメイン コントローラーを降格するまで、AD DS の役割を削除できなくなります。

サーバーの選択

[サーバーの選択] ダイアログでは、プールに追加済みのサーバーから 1 つ、アクセス可能なものに限り選択することができます。 サーバー マネージャーを実行するローカル サーバーは常に、自動的にアクセス可能となります。

サーバーの役割と機能

ドメイン コントローラーを降格するため、[Active Directory Domain Services] チェックボックスをオフにします。サーバーが現在ドメイン コントローラーである場合は、この操作では AD DS 役割は削除されません。代わりに [検証結果] ダイアログが開き、ここで降格を実行できます。 そうでない場合は、他の役割の機能と同様にバイナリが削除されます。

• この後すぐにまたドメイン コントローラーを昇格する予定がある場合は、DNS、GPMC、RSAT ツールなどの、ほかの AD DS 関連の役割や機能を削除しないでください。 ほかの役割や機能を削除すると、役割を再インストールする際、サーバー マネージャーがそれらの機能を再インストールするため、再昇格に時間がかかります。

• ドメイン コントローラーを再昇格する予定がない場合は、不要な AD DS 役割と機能を削除しても問題ありません。 削除するには、それらの役割と機能のチェック ボックスをオフにします。

  AD DS 関連の役割と機能には以下が含まれます

  • Windows PowerShell 機能の Active Directory モジュール
  • AD DS および AD LDS ツールの機能
  • Active Directory 管理センター機能
  • AD DS スナップインとコマンドライン ツール機能
  • DNS サーバー
  • グループ ポリシー管理コンソール

ADDSDeployment と ServerManager Windows PowerShell で同じことを実行するコマンドレットは以下のとおりです

Uninstall-addsdomaincontroller
Uninstall-windowsfeature

資格情報

降格オプションは [資格情報] ページで構成します。 次の一覧から降格の実行に必要な資格情報を指定します。

• 追加ドメイン コントローラーの降格には、Domain Admin 資格情報が必要です。 [このドメイン コントローラーの削除の強制] を選択すると、ドメイン コントローラー オブジェクトのメタデータを Active Directory から削除せずにドメイン コントローラーが降格されます。

  警告

  ドメイン コントローラーが他のドメイン コントローラーに接続できず、そのネットワークの問題を解決するために他に有効な方法がない場合にのみ、このオプションを選択してください。 強制的に降格を行うと、フォレスト内の他のドメイン コントローラーの Active Directory に孤立したメタデータが残ります。 さらに、そのドメイン コントローラーで複製されていないすべての変更 (パスワードや新しいユーザー アカウントなど) が失われます。 孤立したメタデータは、AD DS、Exchange、SQL、他のソフトウェアに関する Microsoft カスタマー サポートへの問い合わせの根本原因として大きな割合を占めます。

  ドメイン コントローラーを強制的に降格する場合は、手動でメタデータのクリーンアップをすぐに実行する必要があります。 手順については、「 Clean Up Server Metadata (サーバー メタデータのクリーンアップ)」をご覧ください。

  

• ドメインの最後のドメイン コントローラーを降格する場合は、ドメイン自体が削除されるので (フォレストの最後のドメインの場合は、フォレストも削除されます)、Enterprise Admins グループのメンバーシップが必要です。 現在のドメイン コントローラーがドメインにある最後のドメイン コントローラーである場合は、サーバー マネージャーからそのことが通知されます。 ドメイン コントローラーがドメインの最後のドメイン コントローラーであることを確認するには、[ドメイン内の最後のドメイン コントローラー] チェックボックスをオンにします。

ADDSDeployment Windows PowerShell で同じことを実行する引数は以下のとおりです。

-credential <pscredential>
-forceremoval <{ $true | false }>
-lastdomaincontrollerindomain <{ $true | false }>

警告

[警告] ページでは、このドメイン コントローラーを削除することで生じる可能性のある事態についてお知らせします。 続行するには、[削除の続行] を選択します。

警告

[資格情報] ページで [このドメイン コントローラーの削除を強制] を選択した場合、[警告] ページに、このドメイン コントローラーでホストされるすべてのフレキシブル シングル マスター操作役割が表示されます。 このサーバーを降格した後、すぐに別のドメイン コントローラーから役割を強制移動しなければなりません。 FSMO の役割の強制移動の詳細については、「 Seize the Operations Master Role (操作マスター役割の強制移動)」をご覧ください。

このページと同じことを実行する ADDSDeployment Windows PowerShell 引数はありません。

削除オプション

[資格情報] ページで以前選択した [ドメイン内の最後のドメイン コントローラー] に応じて、[削除オプション] ページが表示されます。 このページで、追加の削除オプションを構成することができます。 [ゾーンの最後の DNS サーバーを無視]、[アプリケーション パーティションの削除]、[DNS 委任の削除] を選択して [次へ] ボタンを有効にします。

このオプションは、このドメイン コントローラーで使用可能な場合のみ表示されます。 たとえば、このサーバーに DNS 委任が設定されていない場合は、このチェック ボックスは表示されません。

[変更] を選択して、別の DNS 管理者資格情報を指定します。 [パーティションの表示] を選択すると、降格中にウィザードが削除する追加のパーティションを見ることができます。 既定では、追加のパーティションはドメイン DNS とフォレスト DNS ゾーンのみです。 ほかのすべてのパーティションは、Windows のパーティションではありません。

ADDSDeployment コマンドレットで同じことを実行する引数は以下のとおりです

-ignorelastdnsserverforzone <{ $true | false }>
-removeapplicationpartitions <{ $true | false }>
-removednsdelegation <{ $true | false }>
-dnsdelegationremovalcredential <pscredential>

新しい Administrator パスワード

降格が完了し、コンピューターが、ドメイン メンバー サーバーまたはワークグループ コンピューターになると、[新しい Administrator パスワード] ページで、ビルトイン ローカル コンピューターの Administrator アカウントのパスワードの入力を求められます。

Uninstall-ADDSDomainController コマンドレットと引数は、特に指定しない限り、サーバー マネージャーと同じ既定値を使用します。

LocalAdministratorPassword 引数は特別で、以下のような特徴があります

• 引数として指定しないと、コマンドレットで、マスクされたパスワードを入力し、再入力するよう求められます。 これは、コマンドレットを対話的に実行する場合に推奨される使用方法です。
• 値とともに指定する場合、値にはセキュリティで保護された文字列を使用してください。 これは、コマンドレットを対話的に実行するときに推奨される使用方法ではありません。

たとえば、Read-Host コマンドレットを使用して、セキュリティで保護された文字列の入力をユーザーに求めることにより、手動でパスワードの入力を求めることができます。

-localadministratorpassword (read-host -prompt "Password:" -assecurestring)

警告

前の 2 つのオプションではパスワードが確認されないため、慎重に使用してください。パスワードは表示されません。

セキュリティで保護された文字列は、変換されるクリア テキストの変数として指定することもできますが、これはお勧めしません。 次に例を示します。

-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

警告

クリア テキストのパスワードを指定したり格納したりすることはお勧めしません。 これは、スクリプトでコマンドを実行する人や、その背後で見ている人はだれでも、そのコンピューターのローカル管理者のパスワードを知ることができるためです。 パスワードを知ると、そのデータすべてにアクセスできるため、サーバー自体を偽装することができます。

確認

[確認] ページには計画された降格が表示されます。降格の構成オプションはリストされません。 これは、降格の開始前にウィザードが表示する最後のページです。 [スクリプトの表示] ボタンをクリックすると、Windows PowerShell の降格スクリプトが作成されます。

[降格] を選択すると、以下の AD DS 展開コマンドレットが実行されます。

Uninstall-ADDSDomainController

オプションの Whatif 引数を Uninstall-ADDSDomainController とコマンドレットで使用すると、構成情報を確認することができます。 これによって、コマンドレットの引数の明示的な値と暗黙的な値を確認できます。

次に例を示します。

ADDSDeployment Windows PowerShell を使用している場合は、再開のプロンプトが、この操作をキャンセルする最後のチャンスです。 このプロンプトをオーバーライドするには、-force または confirm:$false 引数を使用します。

降格

[降格] ページが表示されると、ドメイン コントローラーの構成が開始され、停止やキャンセルは実行できません。 操作の詳しい内容がこのページに表示され、以下のログに書き込まれます

• %systemroot%\debug\dcpromo.log
• %systemroot%\debug\dcpromoui.log

Uninstall-AddsDomainController と Uninstall-WindowsFeature にはそれぞれ 1 つしかアクションがないため、この確認段階で、最低限の必須引数とともに表示されます。 Enter キーを押すと、変更できない降格プロセスが開始され、コンピューターが再起動します。

再起動プロンプトを自動的に受け入れるには、ADDSDeployment Windows PowerShell コマンドレットで -force または -confirm:$false 引数を使用します。 昇格の最後でサーバーが自動的に再起動しないようにするには、-norebootoncompletion:$false 引数を使用します。

警告

再起動のオーバーライドは推奨されません。 メンバー サーバーを正常に機能させるには、再起動する必要があります。

最低限必要な引数である -forceremoval と -demoteoperationmasterrole を指定して強制的に降格する例です。 ユーザーは Enterprise Admins グループのメンバーとしてログオンしているため、-credential 引数は必要ありません。

以下に、最低限の必須引数 (-lastdomaincontrollerindomain と -removeapplicationpartitions) を使って、ドメイン内の最後のドメイン コントローラーを削除する例を示します。

サーバーを降格する前に AD DS の役割を削除しようとすると、Windows PowerShell によりブロックされ、以下のエラーが表示されます。

重要

サーバーを降格した後、AD-Domain-Services 役割のバイナリを削除する前に、コンピューターを再起動する必要があります。

Results

[結果] ページには、昇格の成功または失敗と、重要な管理情報が表示されます。 ドメイン コントローラーは、10 秒後に自動的に再起動します。