今週は、ドメインコントローラの降格とドメインの削除について解説しよう。

ドメインコントローラの降格に関する原則の確認

Windows Server 2012になったからといって、降格作業に関する本質的な部分や考え方が大きく変わったわけではない。基本原則を再確認すると、こうなる。

  • ドメインの削除は、ドメインツリーの下の方から順番に行う
  • ドメインツリーのうち、下位のドメインを削除する際に指定する資格情報は、親ドメインに対して管理者権限を持つユーザーのものになる。通常はAdministratorアカウントを使う
  • 同一ドメイン内では、操作マスタになっていないドメインコントローラから削除する
  • 操作マスタになっているドメインコントローラを最後に降格すると、そのドメインが消滅する
  • まだ、他のドメインコントローラがある段階では、降格すると一般サーバとしてドメインに残留するのに対して、最後のドメインコントローラについては降格するとスタンドアロンサーバになる
  • そのため、ドメインを消滅させるのであれば、降格して一般サーバになったものについてさらに、ドメインから離脱してスタンドアロンサーバにする作業を行っておく必要がある
  • 下の方から順番に削除していって、最後にフォレストルートドメインの操作マスタになっているドメインコントローラを降格すると、ドメインが完全消滅する

もっとも、本連載でもともと想定している「にわか管理者」が管理を務めているようなドメインであれば、それほど複雑なドメイン構成はとっておらず、単一ドメインで済ませていることがほとんどだろう。

なお、操作マスタに割り当てられているドメインコントローラが担当する機能、すなわちFSMO(Flexible Single Master Operation)の機能は4種類ある。どのサーバがどの機能を担当しているかを確認するには、以下のコマンド操作を使用する。

  • スキーママスタを検索(フォレストごとに1台) : dsquery server -hasfsmo schema
  • ドメイン名前付け操作マスタを検索(フォレストごとに1台) : dsquery server -hasfsmo name
  • インフラストラクチャマスタを検索(ドメインごとに1台) : dsquery server -hasfsmo infr
  • PDCエミュレータを検索(ドメインごとに1台) : dsquery server -hasfsmo pdc
  • RIDプールマスタを検索(ドメインごとに1台) : dsquery server -hasfsmo rid

降格と役割の削除を同時に実施

今回は、ドメインコントローラを降格するのと同時に、「Active Directoryドメインサービス」の役割を削除する際の手順について取り上げる。

常識的に考えれば、まず降格を行ってから役割を削除することになるが、Windows Server 2012では、[サーバーマネージャ]で[Active Directoryドメインサービス]の削除を指示すると、双方の作業を一気に行える。

サーバーマネージャのコマンドバーにある[管理]メニューで、役割と機能の削除を指示する

[Active Directoryドメインサービス]のチェックをオフにする

関連する役割・機能についても削除を指示する

ところが、いきなりドメインコントローラが消えてしまったらトラブルの元だから、役割の削除を指示すると、以下のような画面を表示する。ここで[このドメインコントローラーを降格する]をクリックすると、降格を実現できるという仕組みだ。

役割の削除を指示すると表示する画面。ここで、[このドメインコントローラーを降格する]をクリックする

[このドメインコントローラーを降格する]がいまひとつ目立たず、ヘルプ画面へのリンクのように見えてしまうので、少し分かりにくい。「DCPROMO.EXEを実行して削除する」という従来の考えが頭に染み付いていると、ちょっと戸惑うところだ。

ところで、ドメインコントローラに設定したWindowsサーバでは、コンピュータ名にActive DirectoryのドメインDNS名を付加したFQDN(Fully Qualified Domain Name : 完全修飾ドメイン名)を自動的に設定するようになっている。この設定は降格後もそのままなので、降格したドメインコントローラを他の用途に使い回す場合には、コンピュータ名の設定を変更しなければならない可能性がある。

たとえば、降格したサーバを別のドメインDNS名を使っているネットワークに転用する場合、元のドメインDNS名を使ったコンピュータ名のままになっていると、DNS動的更新によるホスト名の登録でトラブルを引き起こす可能性がある。

このほか、固定IPアドレスの設定や、プライマリドメインサフィックスの設定についても、転用前にすべて確認して、初期状態に戻すか転用先にあわせた設定変更を行うように注意したい。

ところで、ドメインコントローラに昇格させた場合には、昇格前に使用していたAdministratorユーザーのユーザープロファイルをそのまま流用するのだが、降格した場合には、ローカルAdministratorアカウントに対応するAdministratorユーザーのプロファイルを新たに作り直す。そのため、個人用設定などはすべてやり直しになる。