Windows Server 2016 Active Directoryからドメインコントローラーを削除する方法

先の記事でドメインコントローラーが1台しかないWindows Server 2016 Active Directoryにドメインコントローラーを追加する手順を紹介しました。

Windows

Windows Server 2016 Active Directoryにドメインコントローラーを追加する方法

Windows Serverの強力な機能であるActive Directoryに関する以前の記事は参考になりましたでしょうか。 記事ではWindows Server 2016を利用したActive Directoryの構築までを紹介しました ...

この記事で作成した環境（ドメインコントローラーが2台以上で構成されたActive Directoryのドメイン）からドメインコントローラーを削除する方法を紹介します。本手順はWindows Server 2016を前提としていますが、Windows Server 2012 (R2を含む）でもほぼ同じ手順で実施することができます。その為、Windows Server 2012 をご利用の環境でも参考にして頂けます。

Active Directoryからドメインコントローラーを削除する手順は

という流れでで行います。ドメインコントローラーとしては降格を実行することで、メンバーサーバーとして動作するように変更できます。AD DSとDNSサーバーについては、降格後も削除されません。降格したドメインコントローラーを再昇格したい場合は、AD DSとDNSの機能を残しておいた方が良いこともあるかと思います。残す・残さないの判断は運用面と想定される環境に応じて判断して下さい。本記事では降格と、降格後のAD DSとDNSサーバーの削除についてまでを記載しております。

1. 環境と構成

本章の構成はドメイン内に2台のドメインコントローラーが配置されている前提になります。共にグローバルカタログとして設定されており、DNSを管理するためのDNSサーバーが稼働しています。
構成に関する詳細は

Windows

Windows Server 2016 Active Directoryにドメインコントローラーを追加する方法

Windows Serverの強力な機能であるActive Directoryに関する以前の記事は参考になりましたでしょうか。 記事ではWindows Server 2016を利用したActive Directoryの構築までを紹介しました ...

でも紹介していますので参考にして下さい。

1-1. ドメインコントローラーとドメインのパラメーター

本記事で利用するドメインコントローラー2台とドメイン環境の設定値をは以下の通りです。
ドメインコントローラー1台目

ドメインコントローラー2台目

ドメイン環境

このパラメーターで設定された環境で作業を進めていきます。

1-2. 前提条件

ドメインコントローラーは2台とも正常に稼働しており、お互いにコンピューター名で通信ができる前提です。障害が発生して通信ができないドメインコントローラーを削除する場合は、本記事に記載した方法では対応できませんので、強制的に削除する手順が必要となります。
※強制的に削除する手順は別の記事で紹介する予定です。

2.降格する対象のドメインコントローラー

本記事で降格する対象のドメインコントローラーはFSMOであるWIN2016（最初にドメインコントローラーとして構成したコンピューター）になります。FSMOは最初にセットアップしたドメインコントローラーに配置される特別な5つの役割の総称です。
※FSMO = Flexible Single Master Operation
本記事ではFSMOについての詳細な説明は割愛しています。
FSMOは必ずActive Directory内のドメインコントローラーの何れかに配置されている必要があるため、降格するドメインコントローラーがFSMOの機能を所有している場合は、別のドメインコントローラーにFSMOを移動させてから降格作業を行います。

3. FSMOの確認と移行

本記事では降格を実施するドメインコントローラーのWIN2016がFSMO機能を所有していますので、まずFSMOを別のドメインコントローラーへ移行します。※本手順はFSMOを所有していないドメインコントローラー降格の場合には、実施する必要はありません。

3-1.FSMOの確認

ドメインコントローラーの降格作業を行う前にFSMOを機能を持っているドメインコントローラーを確認します。ドメインに配置されている、どのドメインコントローラーでも確認は可能です。ここでは削除対象ではない「WIN2016-02」で実施します。
FSMOの確認はコマンドプロンプトを開いて、以下のコマンドを実行します。

コマンドを実行すると、本環境では以下のように結果が表示されます。

実際の実行結果は以下のようになります。

この結果から、本環境のFSMO機能を所有しているドメインコントローラーがWIN2016であることが確認できます。

3-2. FSMOの移行手順

降格対象となるドメインコントローラーからFSMOを別のドメインコントローラーに移行します。
本環境では

へとFSMOを移行します。

3-3. ntdsutilの実行

FSMOを別のドメインコントローラーに移行するためにntdsutilというコマンドが用意されています。(ntdsutilの詳細な説明と利用方法はここでは割愛しています。）ntdsutilはコマンドプロンプトから実行します。コマンドプロンプトを管理者で開いて、以下のように実行します。

ntdsutilのプロンプトになります。rolesと入力します。

fsmo maintenance: プロンプトになります。connectionsと入力します。

server connections: プロンプトになります。connect to server localhost と入力します。

と表示されます。
server connectionsモードから抜けるために q を入力してenterキーを押します。fsmo maintenanceモードへ移行します。

fsmo maintenanceモードへの移行が完了すれば、事前の作業は完了です。
実際の実行例は以下のようになります。

3-4. FSMOの移行

FSMOは前述したとおり五つの機能があります。具体的には

です。この機能をコマンドを利用して移行していきます。項目3-3. でntdsutilを利用したサーバーへの接続とfsmo maintenanceモードへの移行が完了している前提です。

3-4-1. RIDマスターの移行

まずは、RIDマスターの移行から行います。Transfer RID masterコマンドでRIDマスターを移行できます。

コマンドを実行すると、[役割の転送確認ダイアログ]が表示されます。[はい]をクリックすると役割が転送されます。

結果はコマンドプロンプト上に表示されます。

エラー表示がなく、RID のとしてCNとしてWIN2016-02が表示されれば転送は正常に完了しています。

3-4-2. インフラストラクチャマスターの移行

続いて、インフラストラクチャマスターの移行を実行します。Transfer infrastructure masterコマンドでインフラストラクチャマスターを移行します。

コマンドを実行すると、[役割の転送確認ダイアログ]が表示されます。[はい]をクリックすると役割が転送されます。

RIDマスターと同様に、結果はコマンドプロンプト上に表示されます。

エラー表示がなく、インフラストラクチャのCNとしてWIN2016-02が表示されれば転送は正常に完了しています。

3-4-3. プライマリドメインコントローラーの移行

続いて、プライマリドメインコントローラーの移行を実行します。Transfer pdcコマンドでプライマリドメインコントローラーを移行します。

コマンドを実行すると、[役割の転送確認ダイアログ]が表示されます。[はい]をクリックすると役割が転送されます。

他の機能と同様に、結果はコマンドプロンプト上に表示されます。

エラー表示がなく、PDCのCNとしてWIN2016-02が表示されれば転送は正常に完了しています。

3-4-4. 名前付けマスターの移行

続いて、名前付けマスターの移行を実行します。Transfer naming masterコマンドで名前付けマスターを移行します。

コマンドを実行すると、[役割の転送確認ダイアログ]が表示されます。[はい]をクリックすると役割が転送されます。

他の機能と同様に、結果はコマンドプロンプト上に表示されます。

エラー表示がなく、名前付けマスターのCNとしてWIN2016-02が表示されれば転送は正常に完了しています。

3-4-5. スキーマ マスターの移行

続いて、スキーマ マスターの移行を実行します。Transfer schema masterコマンドでスキーマ マスターを移行します。

コマンドを実行すると、[役割の転送確認ダイアログ]が表示されます。[はい]をクリックすると役割が転送されます。

他の機能と同様に、結果はコマンドプロンプト上に表示されます。

エラー表示がなく、スキーマのCNとしてWIN2016-02が表示されれば転送は正常に完了しています。
以上でFSMOの移行作業は完了です。

3-5. FSMO移行の確認

FSMOの機能が全て、他のドメインコントローラーに移行されたことを netdom query fsmoコマンドで確認します。
コマンドを実行すると、本環境では以下のように結果が表示されます。

この結果から、本環境のFSMO機能を所有しているドメインコントローラーがWIN2016-02であることが確認できます。
実際の実行例は以下のようになります。

これでFSMOがWIN2016からWIN2016-02に移行されました。

4. ドメインコントローラーの降格

AD DSを削除するには、まずドメインコントローラーの降格を行う必要があります。ドメインコントローラーの降格は以下の手順で行います。

4-1. 役割と機能の削除ウィザードを起動する

サーバーマネージャーの[管理]から [役割と機能の削除] をクリックします。[役割と機能の削除ウィザード] が開きます。

4-2. 削除ウィザードを開始する前の確認事項

[続行する前に、次のタスクが完了していることを確認してください。]の内容を確認します。
開始する前に注意点が表示されます。役割を削除するための必要なタスクが表示されますので、完了していることを確認して [次へ] で先へすすめます。

4-3. サーバーの選択

降格するドメインコントローラーを選択します。ここでは、自分自身となります。win2016.2016dom.localが選択されていることを確認して、[次へ]で先へ進めます。

4-4. サーバーの役割

削除するサーバーの役割を選択します。[Active Directory ドメイン サービス]に付いているチェックをオフにします。

選択を行うと、AD DSに必要な機能をインストールするかの確認画面が表示されます。通常デフォルトのまま、[機能の削除]をクリックします。

役割と機能の削除について検証が始まります。検証結果として xが表示されます。(AD DSの削除はドメインコントローラーの降格後でないと実行できないため）検証結果に表示された[このドメインコントローラーを降格する]をクリックします。

4-5. 資格情報の設定

[Active Directory ドメイン サービス構成ウィザード]が開きます。ドメインコントローラーの降格を実行するユーザーを指定します。ドメインの管理者権限を所有するユーザーの指定が必要です。ここではドメインのAdministratorを指定しています。

4-6. ドメインコントローラー降格時の警告

降格するドメインコントローラーで機能している役割が表示されます。（DNSサーバーとグローバルカタログ）
削除しても良いかの確認になりますので、問題なければ[削除の実行]にチェックをいれて[次へ]で先へ進めます。

4-7. Administratorパスワードの設定

ドメインコントローラーの降格後にローカルの管理者パスワードがクリアされますので、管理者のパスワードを設定します。

4-8. オプションの確認

オプションの確認を行います。特に指定する項目はありません。問題なければ[降格]をクリックして、降格を開始します。

4-9. 降格の実行と再起動

降格の開始中になります。

ドメインコントローラーが正常に降格されると「Active Directory ドメインコントローラーを正常に降格しました。」と表示されます。

その後、自動的にサーバーの再起動が始まります。
再起動が完了すると、ドメインコントローラーの降格は完了です。
※降格後のメンバーサーバー（ここではWIN2016)がドメインにアクセスできなくなった場合はDNSの設定を確認してください。
メンバーサーバーのDNS設定としてIPv6が:1となっていると名前引きができないため、ドメインへアクセスできません。
一旦、ローカルのadministratorでメンバーサーバーへログオン後、DNSの設定を変更します。
IPv6のDNSを自動設定に変更した上で、IPv4のDNS設定を、他のドメインコントローラー(ここではWIN2016-02/192.168.241.26)へ設定してください。

5. ドメインコントローラー降格の確認

ドメインコントローラーが降格されると、Active Directoryユーザーとコンピューターにドメインコントローラーとして表示されなくなります。Active Directoryユーザーとコンピューターを開いて、[Domain Controllers]に降格したドメインコントローラー（ここではWIN2016)が表示されないことを確認します。

6. AD DSとDNSサービスの削除

項目4. まででドメインコントローラーとしての機能は削除されましたが、AD DSとDNSサーバーはインストールされたままです。将来的にドメインコントローラーとして再昇格を行うことがなければ、AD DSとDNSサーバーは削除しておいても良いと思います。ここではAD DSとDNSサーバーの削除手順を紹介します。

6-1. 役割と機能の削除ウィザードを起動する

ドメインコントローラーの降格と同じく、サーバーマネージャーからAD DSの削除を行います。サーバーマネージャーの[管理]から [役割と機能の削除] をクリックします。[役割と機能の削除ウィザード] が開きます。

6-2. 削除ウィザードを開始する前の確認事項

[続行する前に、次のタスクが完了していることを確認してください。]の内容を確認します。
開始する前に注意点が表示されます。役割を削除するための必要なタスクが表示されますので、完了していることを確認して [次へ] で先へすすめます。

6-3. サーバーの選択

AD DSとDNSサーバーを削除するサーバー名を選択します。ここでは、自分自身となります。win2016.2016dom.localが選択されていることを確認して、[次へ]で先へ進めます。

6-4. サーバーの役割の削除

削除するサーバーの役割を選択します。今回はAD DSとDNSサーバーを削除します。

6-4-1. Active Directory ドメイン サービスの役割のチェックオフ

[Active Directory ドメイン サービス]に付いているチェックをオフにします。

チェックをオフにすると、AD DSに必要な機能を削除するかの確認画面が表示されます。通常デフォルトのまま、[機能の削除]をクリックします。

機能と役割の削除について検証が始まります。問題なければ[Active Directory ドメイン サービス]のチェックがオフになります。

6-4-2. DNSサーバーの役割のチェックオフ

続いてDNSサーバーに付いたチェックをオフにします。
チェックをオフにすると、DNSサーバーに必要な機能を削除するかの確認画面が表示されます通常デフォルトのまま、[機能の削除]をクリックします。

機能と役割の削除について検証が始まります。問題なければ[DNS サーバー]のチェックがオフになります。

[次へ]で先へ進めます。

6-5. 機能の削除

削除する機能を選択する画面が表示されます。
AD DSとDNSサーバーの削除に必要な機能は、”項目 6-4. サーバーの役割の削除”で選択されていますので、ここでは削除する機能を選択する必要はありません。

6-6. 削除オプションの設定

削除オプションが表示されます。特に追加でオプションを設定する必要はありませんので、表示されている役割や機能を確認の上、問題なければ[削除]をクリックします。

6-7. AD DS とDNSサーバー 削除の開始

AD DS とDNSサーバーの削除が開始されます。削除の進行状況が表示されます。

6-8. AD DS とDNSサーバー 削除の完了と再起動

AD DS とDNSサーバーの削除が完了すると、再起動を要求されます。削除ウィザードを閉じて、サーバーを再起動します。

7. AD DSとDNSの削除確認

再起動が完了すると、サーバーからAD DSサービスとDNSサーバーが削除されます。
AD DSとDNSサーバーを削除した、WIN2016で動作しているサービスを確認します。削除前にあった、[Active Directory Domain Service]が、削除後のサーバーから無くなっていることが確認できます。
削除前

削除後

サーバーマネージャーからもAD DSとDNSの管理ツールが表示されなくなっています。

これでAD DSとDNSの削除は完了です。

8. まとめ

本記事で、ドメインコントローラーの降格と削除について手順を紹介しました。ドメインコントローラの降格と削除について、通常の運用では利用することは少ないと思いますが、ハードウェアのリプレースの時や、何らかの原因で入れ替え作業が必要になった場合には、必ず利用する手順になりますので、是非、テストしてみて下さい。
いざという時のため、作業手順を把握しておくことは、とても重要だと考えています。ここでの手順は降格・削除対象のドメインコントローラーにアクセスできる場合の手順ですが、ドメインコントローラーにアクセスできない場合の強制的な削除手順も近く記事にする予定です。