アクティブディレクトリからドメインコントローラーを削除(デモート)する方法(ガイド)。新しいドメインコントローラー(DC)をインストールした後、既存のドメインコントローラーを排除するか、より正確にはデモートする必要が生じます。古いまたは使用されていないDCを単にオフにするだけでなく、ドメインから適切に解体して切断する必要があります。この記事では、ドメインコントローラーをデモートする両方の方法を説明します。
アクティブディレクトリからドメインコントローラーを削除(デモート)する方法(ガイド)
たまに、以前のドメインコントローラーへのアクセスが利用できなくなることがあります。この記事の手順の範囲は、Windows Server 2008R2から最新のWindows Serverまでのすべてのビルドをカバーしています。特に、まだエンド・オブ・ライフのオペレーティングシステムを搭載したDCがある場合に役立ちます。エンド・オブ・ライフのオペレーティングシステムを搭載したDCがまだ存在する場合、この記事は役立ちます。
ドメインの準備
ドメインコントローラーのデモーションプロセスを開始する前に、以下の側面を検討してスムーズな移行を保証し、潜在的な問題を防止するための以下の項目を含む事前チェックリストを作成してください。
- レプリケーションの確認– 古いおよび新しいドメインコントローラー間のレプリケーションがエラーなく実行されていることを確認します。以下のコマンドを使用して、レプリケーションエラーをチェックしてください。
- DHCPおよびDNS – 以前のドメインコントローラーがDHCPおよびDNSを処理している場合は、これらのサービスを新しいドメインコントローラーにシームレスに移行することを確認します。
- クライアント上のDNS – クライアント(および他のサーバー)上のDNSレコードが新しいドメインコントローラーを指すことを確認して、成功したログインを確保します。さもなければ、悪意のある者がネットワークを侵害する可能性があります。
- バックアップの作成 – 以前のドメインコントローラの包括的なバックアップを生成し、その整合性を検証します。これにより、予期しない問題が発生した場合にサーバーを復元できます。
転送できるのは フレキシブルシングルマスターオペレーション (FSMO) ロールです。FSMO ロールが実行されている場所を確認するには、以下のコマンドを使用してください。
アクティブなドメインコントローラの降格
ドメインコントローラへのアクセスがまだ可能な場合は、サーバーマネージャを使用して簡単にドメインコントローラを削除できます。続行する前に、上記のポイントを確認してください。
- スタートメニューからアクセスして、管理 > ロールと機能の削除に移動することで、サーバーマネージャを起動します。
-
- a. Open the Server Manager from the Start Menu.
- b. Click on Manage > Remove Roles and Features.
2. サーバーの選択で古いドメインコントローラを選択します。
3. アクティブディレクトリドメインサービスの役割を選択解除して無効にします。次のポップアップで、機能の削除をクリックします。
4. ドメインコントローラの昇格解除プロセスを開始し、インストールウィザードの検証エラーを認識します。 このドメインコントローラを昇格解除をクリックします。
5. 次の画面で資格情報を確認し、必要に応じて変更します。これらの手順は通常、ドメイン管理者権限で実行します。ネットワーク内で最後のドメインコントローラである場合を除き、このドメインコントローラの強制的な削除オプションをチェック解除します。
6. 削除を続行し、クライアントが新しいDNSサーバーに向けられることを確認します。特にActive Directory Sites and Services(ADDS)およびDNSサービスがサーバーにある場合は、削除を続行を選択し、次へをクリックします。
7. 削除オプションでDNSを削除するように選択し、DNS委任の削除が選択されていることを確認し、次へをクリックします。
8. 新しい管理者のパスワードを設定します。これは、ドメイン削除後のローカル管理者アカウントのためです。
9. 構成された設定を確認して、デモートをクリックしてDCの削除を開始します。プロセスを完了するためにサーバーが再起動します。
注意: ビュースクリプトボタンがあり、私たちが先ほど進んだすべての手順を自動化するPowerShellスクリプトが生成されます。削除する追加のドメインコントローラーがある場合、このスクリプトを使用してください。
10. サーバーが再起動した後、最後のステップはActive Directory Sites and Servicesからサーバーを削除することです。
- スタートメニューからActive Directory Sites and Services(ADDS)を開きます。
- サイトを展開 > Default-First-Site-Name > Servers
- 古いDCを右クリックして、削除を選択します。
上記のスクリーンショットは現代のWindows Serverビルド(ビルド9600以上)から見られるものです。ただし、これは引き続きWindows Server 2008と同じプロセスに従います。したがって、レガシーサーバーを引き続き使用している場合でも問題ありません。
当社のActive Directory&Office 365レポート&監査ツールをお試しください
お試しください 無料で。100種類以上のレポートテンプレートが利用可能です。AD、Azure AD、Office 355のレポートを簡単にカスタマイズできます。
ドメインコントローラの削除の確認
ドメインコントローラの除去の徹底的な確認は、降格プロセスでの重要なステップであり、操作の成功を検証し、Active Directoryの完全性を維持するためのものです。次の手順に従って、削除の確認を効果的に行います:
- Active Directoryユーザーとコンピュータ:
- 「ドメインコントローラ」組織単位に移動し、降格されたコントローラが存在しないことを確認します。
- DNSレコード:
- 潜在的な接続問題を防ぐため、DNSレコードをチェックして、降格されたコントローラへの参照をすべて削除したことを確認します。
- ADSIEdit.msc:
- ADSIEdit.mscを使用して、Active Directoryデータベースを調査し、デモートされたコントローラに関連するエントリがもはや存在しないことを確認してください。
- Sites and Services:
- Active Directory Sites and Servicesを確認して、当該サイトからデモートされたコントローラが削除されていることを確認してください。
- Replication Monitoring:
- レプリケーションの状態を監視し、デモーションプロセスがドメインコントローラ全体に正常に伝播したことを確認してください。
これらの検証手順に従うことで、管理者はドメインコントローラーの完全な削除を確認し、適切に機能しセキュアなActive Directory環境を維持します。
PowerShellを使用してドメインコントローラーを昇格解除する
PowerShellは、わずかなコマンドでプロセスを効率的にまとめるための効果的な代替手段を提供します。
このアプローチは、複数の画面を移動する必要をなくし、より簡潔でスクリプトベースのドメインコントローラーの昇格解除を可能にします。
到達不能なドメインコントローラーを手動で削除する
また、DCを手動で削除することもできます。この手順は、サーバーへのアクセス権がなくなった場合にのみ推奨されます。
- アクティブなドメインコントローラーでActive Directoryおよびサービスを起動します。
- ドメインコントローラーのOUにアクセスします。
- 古いドメインコントローラーを削除し、はいをクリックして確認します。
4. このドメインコントローラーを削除するを選択します。
5. 削除をクリックし、再度はいをクリックして確認します。
最後のステップは、Active Directory Sites and Servicesからサーバーを削除することです:
- スタートメニューからActive Directory Sites and Services(ADDS)を開きます。
- Sites > Default-First-Site-Name > Serversを展開します。
- 古いドメインコントローラーを右クリックし、削除を選択します。
到達不能なDCとDNSロール
古いドメインコントローラーにDNSロールがある場合、追加の手順が必要です:
- アクティブなドメインコントローラーでDNS Managerを開きます。
- Forward Lookup Zonesを展開します。
- ドメインを右クリックし、プロパティを選択します。
- 「ネームサーバー」タブを開きます。
- 古いサーバーをネームサーバーから削除します。
また、ドメインDNSゾーンおよびすべてのサブフォルダからネームサーバー(NS)レコードを削除します。
- アクティブなドメインコントローラーでDNSマネージャーを起動します。
- DNSマネージャーでフォワードルックアップゾーンセクションを展開します。
- 削除したいドメインを特定し、右クリックします。
- コンテキストメニューからプロパティを選択します。
- ゾーンプロパティ内でネームサーバータブに移動します。
- 古いサーバーに対応するNSレコードを選択します。
- 削除をクリックするか、キーボードの削除キーを使用します。
- 削除の確認が求められたら、NSレコードの削除を確認します。
- ドメイン内にサブフォルダやサブゾーンがある場合は、関連するサブフォルダごとにステップ3から7を繰り返します。
- 変更内容を確認して更新されたDNS構成を保存してください。
DCを電源を切っているにもかかわらず環境から削除することは、インフラ管理においてベストプラクティスとされています。DCが削除されないと、ドメインはサーバーをネットワークの一部と見なしたままになり、予期せぬドメインの問題を引き起こす可能性があります。上記の手順に従うことで、DCを効果的に削除できます。それが到達不能であるか電源が入っていない場合でも。
ドメインコントローラーを廃止する理由
ドメインコントローラーの降格は、Active Directory環境を最適化し効率化することを目的とするネットワーク管理上の戦略的な手段であり、次のような要因によって推進されます:
- ハードウェアのアップグレード/交換:
- 老朽化したハードウェアを廃止または交換することで、ネットワークが頑丈で最新の状態を維持することを確認します。
- 組織の変更:
- 合併や縮小などの構造的変化に適応し、ビジネス環境の変化に合わせてドメインコントローラーの構成を調整する必要があります。
- リソース最適化:
- ネットワーク全体でのリソースの分配を効率的に管理し、パフォーマンスを向上させます。
- 強化されたセキュリティポジション:
- 脆弱性に対処し、潜在的な脅威に対する堅牢な防御を確保するためのセキュリティ対策の強化を実施します。
- ダイナミックなITエコシステム:
- ダイナミックなIT環境の進化するニーズに適応するために、ネットワークインフラストラクチャーのアジリティを維持します。
管理者は積極的にこれらの考慮事項に取り組み、ドメインコントローラーの降格により、より強靭で適応性のある、安全なActive Directory環境を促進します。
これで、Active Directoryからドメインコントローラーを削除(降格)する方法(ガイド)をお読みいただき、ありがとうございます。
また、読んでみてください:Windows Serverを保護する方法:マルウェア、ランサムウェア、DDoS攻撃などの脅威
Active Directoryからドメインコントローラーを削除(降格)する方法(ガイド)の結論
この詳細なガイドをまとめると、Active Directoryからドメインコントローラーを削除または降格する方法について、慎重な計画と実行が健全なネットワークインフラストラクチャーを維持するために重要であることが明らかになります。管理者は、概説された手順に従って、ドメインコントローラーの降格プロセスをスムーズに進め、Active Directory環境への最小限の影響を確保します。この記事は、ITプロフェッショナルがネットワークアーキテクチャーの変換を監督する自信を持つことを確実にします。
Source:
https://infrasos.com/remove-demote-domain-controller-from-active-directory-guide/