Demoting Domain Controllers and Domains

• 11/14/2018
• 7 minutes to read

…

• • i
  • d
  • v
  • e
  • D
  • +8

Applicates To: Windows Server

このトピックでは、サーバーマネージャーまたはWindows PowerShellを使用して、AD DSを削除する方法を説明します。

AD DS削除ワークフロー



注意

DismでAD DSロールを削除することは、AD DSを削除することです。Server ManagerまたはWindows PowerShellのADDSDeploymentモジュールとは異なり、DISMはAD DSまたはその構成に関する固有の知識を持たないネイティブのサービシングシステムです。

Demotion and role removal with PowerShell

ADDSDeployment and ServerManager Cmdlets	Arguments (Bold arguments are required.)サーバーがもはやドメインコントローラーでない場合を除いて Dism.exe または Windows PowerShell DISM モジュールを AD DS 役割のアンインストールに使用しないでく ださい。 斜体の引数は、Windows PowerShellまたはAD DS構成ウィザードを使用することで指定できます。)
Uninstall-ADDSDomainController	SkipPreChecks -LocalAdministratorPassword – – LocalAdministratorPassword – – – – – -Credential -DemoteOperationMasterRole -DNSDelegationRemovalCredential -Force -ForceRemoval -IgnoreLastDCInDomainMismatch -IgnoreLastDNSServerForZone -LastDomainControllerInDomain -Norebootoncompletion -RemoveApplicationPartitions -RemoveDNSDelegation -に変更しました。RetainDCMetadata
Uninstall-WindowsFeature/Remove-WindowsFeature	-Name -IncludeManagementTools -。再起動 -削除 -強制 -コンピュータ名 -クレデンシャル -ログパス -…Vhd

注意

-credentialは、Enterprise Adminsグループ（ドメイン内の最後のDCをデモート）またはDomain Adminsグループ（レプリカDCをデモート）のメンバーとしてまだログインしていない場合にのみ必要な引数です。引数 -includemanagementtools は、すべての AD DS 管理ユーティリティを削除する場合にのみ必要です。

Demote

Remove Roles and Features

Server Managerでは、Active Directoryドメインサービスの役割を削除するための2つのインターフェイスを提供しています：

• Main Dashboard上の［管理］メニューから［役割と機能の削除］

• 

ServerManagerコマンドレットUninstall-WindowsFeatureおよびRemove-WindowsFeatureは、ドメインコントローラーを降格するまでAD DS役割を削除することを阻止します。

サーバーの選択



サーバーの選択ダイアログでは、アクセス可能であれば、以前にプールに追加したサーバーの中から1つを選択することが可能です。 Server Manager を実行しているローカル サーバーは、常に自動的に利用可能です。

サーバーの役割と機能



ドメインコントローラーを降格させるには、Active Directory Domain Services チェックボックスをオフにします。サーバーが現在ドメインコントローラーであれば、AD DS 役割を削除せず、降格するためのオファーがある Validation Results ダイアログに切り替わり、その代わり、降格が可能になりました。 それ以外の場合は、他のロール機能と同様にバイナリを削除します。

• DNS, GPMC, または RSAT ツールなど、他の AD DS 関連のロールまたは機能は、ドメインコントローラをすぐに再度昇格する予定がある場合は削除しないでください。 追加の役割や機能を削除すると、役割を再インストールするときにServer Managerがこれらの機能を再インストールするので、再昇格の時間が長くなります。

• ドメインコントローラーを永久的に降格する場合は、自分の判断で不要なAD DS役割と機能を削除してください。 これには、それらの役割と機能のチェックボックスをクリアする必要があります。

  ADDS関連の役割と機能の全リストは以下のとおりです。

  • Active Directory Module for Windows PowerShell feature
  • AD DS and AD LDS Tools feature
  • Active Directory Administrative Center feature
  • AD DS Snap-Japan feature
  • Active DS Module for Windows PowerShell feature
  • Active Director feature

  AD DS Module for Windows PowerShell feature

  • DNS Server
  • Group Policy Management Console

同等のADDSDeploymentとServerManager Windows PowerShellコマンドレットは以下のとおりです。

Uninstall-addsdomaincontrollerUninstall-windowsfeature

Credentials

Credentials ページで降格オプションを構成するのだそうです。 以下のリストから降格を実行するために必要な資格情報を提供します：

• 追加のドメインコントローラーを降格するには、ドメイン管理者の資格情報が必要です。

  警告

  ドメインコントローラーが他のドメインコントローラーに連絡できず、そのネットワークの問題を解決する合理的な方法がない場合、このオプションは選択しないでください。 強制降格は、フォレスト内の残りのドメインコントローラー上のActive Directoryに、孤児となったメタデータを残します。 さらに、そのドメインコントローラー上の、パスワードや新しいユーザーアカウントなどの複製されていないすべての変更は、永遠に失われる。 オーファン化したメタデータは、AD DS、Exchange、SQL、およびその他のソフトウェアに関する Microsoft カスタマーサポートの事例のかなりの割合で根本原因となっています。

  ドメインコントローラーを強制的に降格した場合、直ちにメタデータのクリーンアップを手動で実行する必要があります。 手順については、サーバーメタデータのクリーンアップを参照してください。

  

• ドメイン内の最後のドメインコントローラーを降格させるには、ドメイン自体を削除するため（森で最後のドメインの場合、これは森を削除）Enterprise Adminsグループメンバーシップが必要です。 現在のドメインコントローラがドメイン内の最後のドメインコントローラであるかどうかは、Server Managerで通知されます。 ドメインコントローラーがドメイン内の最後のドメインコントローラーであることを確認するには、Last domain controller in the domainチェックボックスを選択します。

同等のADDSDeployment Windows PowerShell引数は以下のとおりです。

このページには同等のADDSDeployment Windows PowerShell引数がありません。

削除オプション

削除オプションページは、以前に［資格］ページのドメインで最後のドメインコントローラーを選択していると、現れます。 このページでは、追加の削除オプションを設定することができます。 Ignore last DNS server for zone, Remove application partitions, and Remove DNS Delegationを選択して、Nextボタンを有効にします。 たとえば、このサーバーにDNS委任がない場合、そのチェックボックスは表示されません。

代替のDNS管理認証情報を指定するには、［変更］をクリックします。 ウィザードが降格中に削除する追加のパーティションを表示するには、[パーティションの表示]をクリックします。 デフォルトでは、追加のパーティションはドメインDNSとフォレストDNSゾーンのみです。

同等の ADDSDeployment コマンドレット引数は次のとおりです。

New Administrator Password

新しい管理者パスワードページでは、降格が完了しコンピューターがドメインメンバーサーバーまたはワークグループコンピューターになると、組み込みローカルコンピューターの管理者アカウントにパスワードを提供することが要求されます。

アンインストール-ADDSDomainControllerコマンドレットおよび引数は、指定しない場合、Server Managerと同じデフォルトに従います。

引数 LocalAdministratorPassword は特別です。

• 引数に指定しない場合、cmdletはマスクしたパスワードを入力および確認するように要求します。
• 値を指定する場合、値は安全な文字列である必要があります。

たとえば、Read-Hostコマンドレットを使用して、安全な文字列をユーザーに要求することで、手動でパスワードの入力を促すことができます。

-localadministratorpassword (read-host -prompt "Password:" -assecurestring)

また、これは非常に推奨できませんが、変換後のクリア テキスト変数として安全な文字列を提供できます。 例えば、

-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

確認

確認ページには、予定されている降格が表示されます。 これは、降格が開始される前にウィザードが表示する最後のページです。

Demote をクリックして、次の AD DS Deployment コマンドレットを実行します：

Uninstall-ADDSDomainController

構成情報を確認するには、Uninstall-ADDSDomainController およびコマンドレットでオプションの Whatif 引数を使用します。 これにより、コマンドレットの引数の明示的および暗黙的な値を確認することができます。

たとえば、

再起動を促すメッセージは、ADDSDeployment Windows PowerShell を使用してこの操作をキャンセルする最後のチャンスとなります。

Demotion

Demotionページが表示されると、ドメインコントローラー構成が始まり、停止またはキャンセルすることができなくなります。 Detailed operations display on this page and write to logs:

• %systemroot%debug\dcpromo.log
• %systemroot%debug\dcpromoui.log

Suninstall-ADDSDomainController と Uninstall-WindowsFeature は1アクションだけなので、ここでは必要最低限の引数をとって確認段階に表示される。 ENTER を押すと、取り消し不能の降格プロセスが開始され、コンピューターが再起動します。

自動的に再起動を促すコマンドを受け入れるには、任意の ADDSDeployment Windows PowerShell コマンドレットで -force または -confirm:$false を引数として使用します。

以下は、必要最小限の引数 -forceremoval と -demoteoperationmasterrole で強制的に降格させる例です。 2802>

以下は、-lastdomaincontrollerindomain と -removeapplicationpartitions という最小限の引数を使用して、ドメイン内の最後のドメインコントローラーを削除する例です。

サーバーを降格する前に AD DS ロールを削除しようとすると、Windows PowerShell はエラーでブロックします:

結果

結果ページには、プロモーションの成功または失敗、および重要な管理情報が表示されます。 ドメインコントローラは、10秒後に自動的に再起動します。