ドメインコントローラーは企業ネットワークの認証基盤として重要な役割を担っていますが、サーバーの更新・廃棄・構成変更などの理由でDCを降格(ドメインコントローラーから通常のメンバーサーバーまたはワークグループサーバーへ変更)することが必要になる場面があります。
しかし、DCの降格は単純な作業ではなく、FSMOの役割移行やActive Directoryのレプリケーション状態の確認など、事前準備と慎重な手順が求められます。
誤った手順で降格を行うと、ドメイン環境の破損やサービス停止につながる可能性があるため、正しい知識と手順の習得が必要です。
この記事では、ドメインコントローラーの降格手順を、サーバーマネージャーとコマンドの両方から詳しく解説していきます。
ドメインコントローラーの降格前にFSMO役割の移行と事前確認を必ず実施する
それではまず、ドメインコントローラーを降格する前に必ず実施しなければならない事前準備と確認事項について解説していきます。
降格前の事前確認事項
ドメインコントローラーの降格作業に着手する前に、Active Directoryのレプリケーション状態・FSMOの役割保持状況・DNSゾーンの整合性の3点を必ず確認することが重要です。
「repadmin /showrepl」コマンドを実行してレプリケーションエラーがないことを確認し、降格対象DCのデータが他のDCに正常に同期されている状態であることを担保します。
降格対象のDCがFSMOの役割(PDCエミュレーター・RIDマスター・インフラストラクチャマスターなど)を保持している場合は、降格前に必ず別のDCへ役割を移転させる必要があります。
降格後にそのサーバーがDNSサーバーとしても機能していた場合は、クライアントのDNS設定が他のDNSサーバーを指すように事前に変更しておくことが重要です。
Active Directoryのバックアップを事前に取得しておくことも、万一の場合に備えた重要な安全措置として必ず実施しましょう。
FSMO役割の移行手順
降格対象のDCがFSMOの役割を保持している場合、降格前に正常な手順(Transfer)で別のDCへ役割を移行します。
FSMOの役割移行は、Active Directoryユーザーとコンピューターコンソール・Active Directoryドメインと信頼コンソール・ADSIエディット、またはPowerShellのMove-ADDirectoryServerOperationMasterRoleコマンドレットを使用して実施できるのが特徴です。
PowerShellで5つのFSMO役割をすべて別のDCに移行する場合は以下のコマンドが使用されます。
FSMOの役割移行コマンド(PowerShell)
Move-ADDirectoryServerOperationMasterRole -Identity “移行先DC名” -OperationMasterRole PDCEmulator,RIDMaster,InfrastructureMaster,SchemaMaster,DomainNamingMaster
役割の移行後は「netdom query fsmo」コマンドで移行が正しく完了していることを確認してから、降格作業へ進むことが重要な確認ステップです。
万一FSMO役割の正常な移行が不可能な緊急時には「Seize(強制移行)」という手順を使用しますが、これは通常の計画的な降格作業では使用しません。
グローバルカタログの確認
降格対象のDCがグローバルカタログ(GC)サーバーとして機能している場合も、事前確認と適切な対処が必要です。
グローバルカタログはフォレスト内のすべてのオブジェクト情報を保持し、ユーザーログインやユニバーサルグループのメンバーシップ確認に使用されるため、GCサーバーが1台しかない環境でDCを降格するとログイン障害が発生する可能性があるのです。
降格対象DCがGCサーバーである場合は、あらかじめ別のDCをGCサーバーとして追加・有効化しておく必要があります。
GCサーバーの設定確認は「Active Directoryサイトとサービス」コンソールの「NTDS Settings」プロパティから行えます。
これらの事前確認と準備を確実に行うことで、降格作業によるサービス影響を最小限に抑えることができるでしょう。
サーバーマネージャーを使ったDC降格の手順
続いては、GUIベースのサーバーマネージャーを使用したドメインコントローラーの降格手順について確認していきます。
サーバーマネージャーでの役割削除手順
サーバーマネージャーを使ったDC降格は、「役割と機能の削除」ウィザードから「Active Directoryドメインサービス」の役割を削除することで実施します。
サーバーマネージャーの「管理」メニューから「役割と機能の削除」を選択し、対象サーバーのAD DS役割のチェックを外した際に「このサーバーをドメインコントローラーから降格する」というオプションが自動的に表示される流れになっています。
「このサーバーをドメインコントローラーから降格する」リンクをクリックすると、Active Directoryドメインサービス構成ウィザードが起動し、降格のための詳細設定が可能になります。
ウィザード内では「ドメインコントローラーの降格」画面でオプションを確認し、「このドメインコントローラーを削除する前にActive Directoryデータベースを削除する」が通常の降格では不要であることを確認します。
最後のドメイン管理者パスワードの設定とウィザードの完了後、サーバーが自動的に再起動され、降格が完了します。
降格時の重要な選択オプション
降格ウィザードでは、状況に応じて選択すべき重要なオプションがいくつか存在します。
「DNSオプション」では、そのDCが保持するDNSゾーンを他のDNSサーバーへ委任するかどうかを選択でき、DNS環境の継続性を維持するうえで重要な判断ポイントとなることを覚えておきましょう。
「最後のドメインコントローラー」オプションは、そのDCがドメイン内で唯一のコントローラーである場合にのみ選択するもので、通常の降格では選択しないようにしましょう。
「このサーバーを強制的に削除する」オプションは、Active Directoryへのアクセスが不可能な緊急時のみ使用するものであり、計画的な降格では使用しません。
各オプションの意味を正確に理解したうえでウィザードを進めることが、安全な降格作業の実施に不可欠です。
PowerShellコマンドによるDC降格手順
サーバーマネージャーのGUIが使用できない環境や、自動化・スクリプト化が必要な場合には、PowerShellコマンドによる降格が有効です。
PowerShellでDCを降格するには「Uninstall-ADDSDomainController」コマンドレットを使用し、降格後のローカル管理者パスワードを設定することが必要な手順です。
PowerShellによるDC降格コマンドの基本例
Uninstall-ADDSDomainController -LocalAdministratorPassword (ConvertTo-SecureString “新しいローカル管理者パスワード” -AsPlainText -Force) -Force
コマンド実行後にサーバーが自動再起動し、再起動後はドメインに参加しているメンバーサーバーとして動作します。
PowerShellコマンドはコア版のWindows Serverや自動化スクリプトでの利用にも対応しており、大規模環境での効率的な作業が可能です。
DC降格後の後処理と確認作業
続いては、ドメインコントローラーの降格が完了した後に必要な後処理と確認作業について確認していきます。
Active Directoryからのオブジェクト削除
DC降格が正常に完了した後、Active Directoryのデータベースから降格したDCに関連するオブジェクトが正しく削除されているかを確認します。
降格処理が正常に完了していれば、Active Directoryユーザーとコンピューターの「Domain Controllers」OUから対象DCのコンピューターオブジェクトが自動的に削除されるのが通常の動作です。
しかし、通信障害などにより降格処理が不完全に終わった場合は、オブジェクトが残留するケースがあるため、手動での削除が必要になることがあります。
「Active Directoryサイトとサービス」コンソールから、降格したDCに関連するサイトオブジェクト・コネクションオブジェクトが削除されているかも確認しましょう。
DNSのSRVレコードや各種リソースレコードに降格したDCに関連するものが残っている場合は、DNSゾーンから手動で削除する必要があります。
レプリケーションと環境の健全性確認
降格後は残存するDC環境のレプリケーションと健全性を確認することが重要です。
「repadmin /showrepl」コマンドで残存DCのレプリケーション状態を確認し、降格したDCへのレプリケーション試行によるエラーが出続けていないかをチェックすることが重要な後処理作業です。
「dcdiag /test:replications」コマンドでレプリケーション健全性を診断し、エラーが解消されていることを確認します。
クライアントPCのDNS設定が降格したDCのIPアドレスを参照していないかを確認し、必要であればグループポリシーでDNS設定を更新します。
降格作業の完了後は作業記録を残し、DC構成図・FSMO配置・IPアドレス一覧などのドキュメントを最新の状態に更新することが、今後の運用管理において重要な作業です。
降格作業で注意すべき重要ポイント
ドメインコントローラーの降格作業では、いくつかの重要な注意点を忘れずに確認しておきましょう。
DC降格作業の重要注意点まとめ
FSMOの役割は降格前に必ず別のDCへ移行すること。降格後の強制移行(Seize)は復旧が複雑になる。
降格前にADのバックアップ(システム状態バックアップ)を必ず取得すること。
降格対象DCがGCサーバーの場合は、事前に別DCのGCを有効化しておくこと。
最後の1台のDCを降格するとドメインが消滅するため、慎重に判断すること。
降格後のDNS・クライアント設定の更新を忘れずに実施すること。
計画的なメンテナンスウィンドウを設定して降格作業を実施し、問題発生時のロールバック手順と連絡体制を事前に準備しておくことが、安全な作業遂行の基本姿勢となります。
特に本番環境での作業は、影響範囲と復旧手順を十分に確認したうえで慎重に実施することが求められるでしょう。
まとめ
この記事では、ドメインコントローラーの降格前の事前準備、FSMOの役割移行手順、サーバーマネージャーとPowerShellを使った降格手順、そして降格後の後処理について解説してきました。
DC降格は事前準備が最も重要であり、FSMOの役割移行・レプリケーション確認・ADバックアップ取得を確実に実施してから作業に着手することが成功の鍵です。
サーバーマネージャーのウィザードによるGUI操作とPowerShellコマンドのどちらでも降格は実施可能であり、環境や要件に応じて適切な方法を選択しましょう。
降格後は残存DCのレプリケーション健全性確認・ADオブジェクトのクリーンアップ・クライアントDNS設定の更新などの後処理を確実に行うことが、ドメイン環境の安定維持につながります。
手順書の整備と作業記録の保管を習慣づけることが、今後のドメイン環境管理を継続的に改善していくための重要な基盤となるでしょう。
