ManageEngine x Forrester | Workforce Identity Platforms Landscape Report

Read now
Active Directoryポリシー

ドメインコントローラーの降格方法:手順

8月 22, 2022

ドメインコントローラーの降格方法: 手順

Windowsシステム管理者で、Active Directory内でドメインコントローラを降格する方法をお探しですか?適切な場所にたどり着きました。ドメインコントローラを降格する理由はさまざまです。例えば、サーバーをスタンドアロンサーバーのメンバーとして必要とする場合や、別のドメインに移行する必要がある場合など、ドメインコントローラの降格を先に行う必要があります。これらは、Active Directoryインストールウィザードに簡単にアクセスすることで、または時には手動で降格する必要があるかもしれません。この記事では、ドメインコントローラを降格するためのステップバイステップガイドを解説します。

注意事項

  1. ログオン時の認証を実行するためには、グローバルカタログが必要です。ローカルサーバーがグローバルカタログサーバーである場合は、グローバルカタログのコピーを保持していることを確認してください。それ以外の場合、ログオン認証に失敗します。

  2. サーバーがドメインコントローラーである限り、「展開イメージのサービスと管理」モジュールや AD DS 役割のアンインストールを実行する実行可能ファイルを使用しないでください。Dism.exe やその PowerShell モジュール版を使用して AD DS 役割の格下げを行うと、サーバーの通常の起動プロセスに影響を与えます。

  3. メタデータのクリーンアップを行う際は、コンピューターオブジェクトおよびドメインコントローラーに関連する NTDS 設定オブジェクトの「誤って削除しないように保護する」オプションがオフになっていることを確認してください。オフになっていない場合は、アクセス拒否メッセージを受け取ります。これを修正するには、コンピュータオブジェクトまたは NTDS 設定オブジェクトのいずれかを右クリックして「プロパティ」をクリックし、「オブジェクト」をクリックして、削除を防ぐための「オブジェクトの保護」のチェックを外してください。

ドメインコントローラーの降格方法

ドメインコントローラーを降格するには、次の2つの方法があります。

  1. サーバーマネージャーを使用する

  2. 手動での降格

サーバーマネージャーを使用する

この方法は、まだサーバーにアクセスできる場合に推奨されます。これはマイクロソフトが推奨するオプションです。

  1. サーバーマネージャーを開く

  2. メニューバーで「管理」を展開します。「役割と機能の削除」を選択し、「次へ」をクリックします。

  3. ウィザードで、降格させる必要があるサーバーを選択し、「次へ」をクリックします。

  4. ロールの一覧で、「Active Directory ドメインサービス」のチェックを外します。Active Directory ドメインサービスが必要な機能に関するポップアップが表示されます。サーバーを完全に廃棄する場合は、すべてのチェックを外します。ADの管理用にサーバーを使用する場合は、チェックを保持します。

  5. 「検証結果」ページで、「このドメインコントローラーを降格する」というハイパーリンクをクリックします。

  6. これにより、「Active Directory ドメインサービス構成ウィザード」が開きます。「このドメインコントローラーの強制削除」のチェックを外してください。このオプションは、ドメイン内の最後のサーバーを削除する場合にのみ使用します。現在のユーザーを変更したい場合は、ここで資格情報を変更できます。「次へ」をクリックします。

  7. ドメインコントローラーは、DNSやグローバルカタログのような追加の役割をホストすることがあります。そのため、警告がポップアップ表示されます。クライアントコンピュータを別のサーバーに指定した後、安全に削除を進めるには、「削除を続ける」をチェックしてください。そして、「次へ」をクリックします。

  8. 「削除オプション」ページで、DNS委任を有効にしている場合は、「DNS委任の削除」をチェックします。サーバーにDNS委任がない場合は、「DNS委任の削除」を外してください。

  9. そのローカルサーバーには新しい管理者パスワードが必要です。

  10. オプションを確認した後、「降格」をクリックします。

プロのコツ:「スクリプトを表示」ボタンをクリックすると、PowerShellスクリプトが生成されます。Active Directoryに追加のドメインコントローラーがある場合に降格を自動化するために使用できます。サーバーは降格され、メンバーサーバーとして残されますドメイン資格情報を使用してログインできます。

手動降格

サーバーがアクセス不能、故障している、または切断されている場合、手動で降格させるしかありません。

  • ドメインコントローラーまたはリモートサーバー管理ツール(RSAT)がインストールされているコンピュータにログインします。「アクティブディレクトリユーザーとコンピューター」を展開し、ドメインコントローラフォルダに移動します。右側で、削除したいドメインコントローラを右クリックし、削除をクリックします。

  • ドメインコントローラ削除ダイアログボックスが表示されます。「このドメインコントローラを削除します。これは永久にオフラインになり、削除ウィザードを使用して削除することはできません」というオプションをチェックし、削除をクリックします。

メタデータのクリーンアップ

ドメインコントローラまたはAD DSを強制的に削除した後、通常はメタデータのクリーンアップが必要です。なぜなら、メタデータはサーバをレプリケーションシステムのドメインコントローラとして識別するデータを構成しているからです。したがって、レプリケーションシステムにDCを指すデータはすべて削除する必要があります。退役または廃止されたドメインコントローラには、ファイルレプリケーションサービス(FRS)や分散ファイルシステム(DFS)のデータ、またはFlexible Single Master Operations(FSMO)役割への接続が残っている可能性があります。クリーンアッププロセスにより、これらのデータも削除されるようにします。

メタデータのクリーンアップは以下の方法で実行できます:

  • GUIツールを使用する。

  • コマンドラインを使用する。

GUIツールを使用してのメタデータのクリーンアップ

自動クリーンアップを実行するためのユーザーの最小要件は、ドメイン管理者グループのメンバーシップです。Windowsサーバー2008以降のバージョンまたはRSATは、メタデータの自動クリーンアップを実行します。リモートサーバー管理ツール(RSAT)またはAD ユーザーとコンピュータコンソール(Dsa.msc)またはAD サイトとサービスコンソール(Dssite.msc)が自動的にメタデータのクリーンアップを実行します。しかし、Dssite.mscを使用する場合は、コンピュータアカウントの下のNTDS設定オブジェクトが最初に削除されていることを確認する必要があります。

AD ユーザーとコンピュータを使用してのクリーンアップ

  1. アクティブディレクトリユーザーとコンピュータを展開します。レプリケーションパートナーがある場合、アクティブディレクトリユーザーとコンピュータを右クリックし、ドメインコントローラの変更をクリックし、メタデータを削除するDCを選択してOKをクリックします。

  2. 削除されたドメインコントローラのドメインに移動し、ドメインコントローラフォルダをクリックします。

  3. 詳細ペインの右側で、対象のDCのコンピュータオブジェクトを削除します。

  4. アクティブディレクトリドメインサービスダイアログボックスが開きます。DCの名前を確認して、はいをクリックします。

  5. ドメインコントローラ削除ダイアログボックスが表示されます。「このドメインコントローラは永久にオフラインであり、もはやアクティブディレクトリドメインサービスインストールウィザード(DCPROMO)を使用して降格することはできません」とチェックし、削除をクリックします。DCがグローバルカタログサーバーの場合、別のダイアログボックスが表示されます。削除を確認し、「はい」をクリックします。

  6. DCがFSMO役割を持っている場合、この手順中に変更されるDCに役割を移行するため、「OK」をクリックします。このDCはこの手順の間は変更できません。必要な変更はメタデータクリーンアップ後に行う必要があります。

AD サイトとサービスを使用してのクリーンアップ

  1. アクティブディレクトリサイトとサービスを開きます。レプリケーションパートナーがある場合、アクティブディレクトリサイトとサービスを右クリックし、ドメインコントローラの変更をクリックし、メタデータを削除するDCを選択してOKをクリックします。

  2. 対象のドメインコントローラのサイトを展開し、その後サーバーを展開し、削除されたDCを展開します。NTDS設定オブジェクトを右クリックし、削除をヒットします。

  3. AD ユーザーとコンピュータを使用してのクリーンアップからのステップ4から6を繰り返します。

コマンドラインを使用してのメタデータのクリーンアップ

AD Lightweight Directory Services(AD LDS)またはRSATがインストールされているすべてのサーバーには、コマンドラインツールntdsutil.exeが付属しています。上記のツールを使用してサーバーメタデータのクリーンアップを行うには、以下のステップに従ってください。

  1. 管理者としてcmdを開きます。

  2. ntdutilを入力し、Enterキーを押します。

  3. 次に、metadata cleanupを入力し、Enterキーを押します。

  4. 次に、コマンドremove selected server <サーバー名をここに入力> を入力します(<サーバー名をここに入力>の部分にあなたのサーバー名を入力します)。

  5. 情報を確認してから、メタデータクリーンアップを実行するため「はい」をクリックします。

  6. 確認するには、アクティブディレクトリユーザーとコンピュータコンソールに移動し、ドメインコントローラタブ/オプション/ボタンを展開します。詳細ペインには、削除したドメインコントローラに関連するオブジェクトが表示されてはいけません。アクティブディレクトリサイトとサービスについても同様の手順を行います。NTDS設定オブジェクトが見つからないはずです。

注意: サーバーオブジェクトの下に子オブジェクトが見つかる場合、アプリケーションがそのオブジェクトを利用しています。この場合、サーバーオブジェクトを削除しないでください。サーバーを降格させる方法には違いはありませんが、手動降格は最優先事項として考えない方が良いでしょう。

Related posts
Active Directoryポリシー

デスクトップショートカットをADグループポリシーで使用する:完全ガイド

1月 19, 2023
Active Directoryポリシー

EXEファイルをGPOを使用して展開する方法

8月 22, 2022
Active Directoryポリシー

グループ ポリシーを使ってネットワークドライブをマッピングする方法

7月 7, 2022
Active Directoryポリシー

アクティブディレクトリアカウントロックアウトポリシー

3月 3, 2021
×

There are over 8,500 people who are getting towards perfection in Active Directory, IT Management & Cyber security through our insights from Identitude.

Wanna be a part of our bimonthly curation of IAM knowledge?

  • -Select-
  • By clicking 'Become an insider', you agree to processing of personal data according to the Privacy Policy.