Active Directory インストール ウィザードを使用して降格を強制すると、ドメイン コントローラーが正常に降格されない

  • [アーティクル]

この記事では、Active Directory インストール ウィザード (Dcpromo.exe) を使用して降格を強制するときにドメイン コントローラーが降格しない問題の回避策について説明します。

適用対象: Windows 10 - すべてのエディション、Windows Server 2012 R2
元の KB 番号: 332199

現象

Microsoft Windows 2000 または Microsoft Windows Server 2003 ドメイン コントローラーは、Active Directory インストール ウィザード (Dcpromo.exe) を使用して正常に降格できない場合があります。

原因

この動作は、必要な依存関係または操作が失敗した場合に発生する可能性があります。 これには、ネットワーク接続、名前解決、認証、Active Directory ディレクトリ サービス レプリケーション、または Active Directory 内の重要なオブジェクトの場所が含まれます。

解決方法

この動作を解決するには、Windows 2000 または Windows Server 2003 ドメイン コントローラーの正常な降格を妨げているものを特定し、Active Directory インストール ウィザードをもう一度使用してドメイン コントローラーを降格します。

注:

Windows Server 2008 の場合、ディレクトリ サービス復元モード (DSRM) は Windows Server 2003 から変更されず、1 つの例外があります。 Windows Server 2008 では、 コマンドを dcpromo/forceremoval 実行して、AD DS 停止状態の場合と同様に、DSRM で起動されたドメイン コントローラーから AD DS を強制的に削除できます。 バックアップからシステム状態データを復元するには、DSRM でドメイン コントローラーを引き続き起動する必要があります。 これを行う方法の詳細については、「 再起動可能な AD DS ステップ バイ ステップ ガイド」を参照してください。

回避策

動作を解決できない場合は、次の回避策を使用して、ドメイン コントローラーの強制降格を実行して、オペレーティング システムとその上のすべてのアプリケーションのインストールを保持できます。

警告

次のいずれかの回避策を使用する前に、 が Directory Services 復元モードで正常に開始できることを確認してください。 そうしないと、コンピューターを強制的に降格した後にログオンできなくなります。 Directory Services 復元モードのパスワードを覚えていない場合は、フォルダーにある Setpwd.exe ユーティリティを使用してパスワードを Winnt\System32 リセットできます。 Windows Server 2003 では、Setpwd.exe ユーティリティの機能が NTDSUTIL ツールの [DSRM パスワードの設定] コマンドに統合されています。

Windows 2000 ドメイン コントローラー

  1. Service Pack 2 (SP2) 以降のバージョンを実行している Windows 2000 ドメイン コントローラーにQ332199修正プログラムをインストールするか、Windows 2000 Service Pack 4 (SP4) をインストールします。 SP2 以降のバージョンでは、強制降格がサポートされています。 次に、コンピューターを再起動します。

  2. [スタート] をクリックし、[実行] をクリックし、コマンドを入力します。 dcpromo /forceremoval

  3. [OK] をクリックします。

  4. [Active Directory インストール ウィザードへようこそ] ページで、[次へ] をクリックします。

  5. 削除するコンピューターがグローバル カタログ サーバーの場合は、メッセージ ウィンドウで [OK] をクリックします

    注:

    必要に応じて、降格するドメイン コントローラーがグローバル カタログ サーバーである場合は、フォレストまたはサイト内の追加のグローバル カタログを昇格します。

  6. [Active Directory の削除] ページで、[このサーバーはドメイン チェックの最後のドメイン コントローラー] ボックスがオフになっていることを確認し、[次へ] をクリックします。

  7. [ ネットワーク資格情報] ページで、フォレスト内のエンタープライズ管理者の資格情報を持つユーザー アカウントの名前、パスワード、ドメイン名を入力し、[ 次へ] をクリックします。

  8. [ 管理者パスワード] に、ローカル SAM データベースの管理者アカウントに割り当てるパスワードと確認済みのパスワードを入力し、[ 次へ] をクリックします。

  9. [Summary] ページで、[Next] をクリックします。

  10. フォレスト内の存続しているドメイン コントローラーで、降格されたドメイン コントローラーのメタデータ クリーンアップを実行します。

Ntdsutil で選択したドメインの削除コマンドを使用してフォレストからドメインを削除した場合は、新しいドメインを同じドメイン名で同じフォレストに昇格する前に、フォレスト内のすべてのドメイン コントローラーとグローバル カタログ サーバーによって、削除したドメインへのすべてのオブジェクトと参照が削除されていることを確認します。 Windows 2000 サポート ツールの Replmon.exe や Repadmin.exe などのツールは、エンドツーエンドのレプリケーションが発生したかどうかを判断するのに役立つ場合があります。 Windows 2000 SP3 以前のグローバル カタログ サーバーは、Windows Server 2003 よりもオブジェクトと名前付けコンテキストを削除する方が著しく遅くなります。

Windows Server 2003 ドメイン コントローラー

  1. 既定では、Windows Server 2003 ドメイン コントローラーは強制降格をサポートしています。 [スタート] をクリックし、[実行] をクリックし、コマンドを入力します。 dcpromo /forceremoval

  2. [OK] をクリックします。

  3. [Active Directory インストール ウィザードへようこそ] ページで、[次へ] をクリックします。

  4. [ Active Directory の削除を強制する ] ページで、[ 次へ] をクリックします。

  5. [ 管理者パスワード] に、ローカル SAM データベースの管理者アカウントに割り当てるパスワードと確認済みのパスワードを入力し、[ 次へ] をクリックします。

  6. [ 概要] で、[ 次へ] をクリックします。

  7. フォレスト内の存続しているドメイン コントローラーで、降格されたドメイン コントローラーのメタデータ クリーンアップを実行します。

Ntdsutil で選択したドメインの削除コマンドを使用してフォレストからドメインを削除した場合は、新しいドメインを同じドメイン名で同じフォレストに昇格する前に、フォレスト内のすべてのドメイン コントローラーとグローバル カタログ サーバーによって、削除したドメインへのすべてのオブジェクトと参照が削除されていることを確認します。 Windows 2000 Service Pack 3 (SP3) 以前のグローバル カタログ サーバーは、Windows Server 2003 よりもオブジェクトと名前付けコンテキストを削除する方が著しく遅くなります。

Active Directory を削除したコンピューター上のリソース アクセス制御エントリ (ACE) がドメイン ローカル グループに基づいている場合、これらのグループはメンバーまたはスタンドアロン サーバーで使用できないため、これらのアクセス許可を再構成する必要があります。 Active Directory を元のドメイン内のドメイン コントローラーにするために Active Directory をコンピューターにインストールする予定の場合は、アクセス制御リスト (ACL) を構成する必要はありません。 コンピューターをメンバーまたはスタンドアロン サーバーのままにする場合は、ドメイン ローカル グループに基づくすべてのアクセス許可を翻訳または置き換える必要があります。

Windows Server 2003 Service Pack 1 の機能強化

Windows Server 2003 SP1 は、プロセスを dcpromo /forceremoval 強化します。 が実行されるとdcpromo /forceremoval、ドメイン コントローラーが操作マスター ロールをホストしているか、ドメイン ネーム システム (DNS) サーバーであるか、グローバル カタログ サーバーであるかを判断するためのチェックが作成されます。 これらの各ロールについて、管理者は適切なアクションを実行するように管理者に通知するポップアップ警告を受け取ります。

ドメイン コントローラーが通常モードで起動できない場合

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「Windows でレジストリをバックアップおよび復元する方法」を参照してください。

重要

ドメイン コントローラーが通常モードで起動できない場合は、最後の手段としてのみ、次の手順に従います。

ドメイン コントローラーから Active Directory を削除するには、次の手順に従います。

  1. コンピューターを再起動し、F8 キーを押して Windows 2000 の [詳細オプション] メニューを 表示します。

  2. [ Directory Services 復元モード] を選択し、Enter キーを押し、もう一度 Enter キーを押して再起動を続行します。

  3. レジストリの ProductType エントリを変更します。 これを行うには、次の手順を実行します。

    1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「regedit」と入力して、[OK] をクリックします。

    2. レジストリ サブキー HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptionsを見つけます。

    3. 右側のウィンドウで、[ ProductType] をダブルクリックします。

    4. [値データ] ボックスに「ServerNT」と入力し、[OK] をクリックします

      注:

      この値が正しく設定されていない場合、またはスペルが間違っている場合は、次のエラー メッセージが表示される場合があります。システム プロセス - ライセンス違反: 登録されている製品の種類に対する改ざんがシステムによって検出されました。 これはソフトウェア ライセンスに違反しています。 製品の種類の改ざんは許可されていません。

    5. レジストリ エディターを終了します。

  4. コンピューターを再起動します。

  5. ディレクトリ サービス修復モードに使用される管理者アカウントとパスワードでログオンします。

    コンピューターはメンバー サーバーとして動作します。 ただし、ドメイン コントローラーに関連付けられているコンピューターには、残りのファイルとレジストリ エントリがまだ残っています。

  6. レジストリ エディターを起動し、レジストリ エントリ を見つけますHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

    Src ルート ドメイン Srv のエントリがある場合は、値を右クリックし、[削除] をクリックします。 昇格後にドメイン コントローラーがドメイン内で唯一のドメイン コントローラーと見なされるように、この値を削除する必要があります。

    重要

    上記の手順は重要です。 それなしでは、一時的な AD フォレストへの再昇格が完了せず、ドメイン コントローラーにログオンできなくなります。

  7. 残りのファイルとレジストリ エントリを削除します。 これを行うには、次の手順を実行します。

    1. Active Directory インストール ウィザードを起動します。

    2. Active Directory をインストールして、 コンピューターを psstemp.deleteme などの新しい一時的なドメインのドメイン コントローラーにします。

      注:

      コンピューターを別のフォレスト内のドメイン コントローラーにしてください。

    3. Active Directory をインストールした後、Active Directory インストール ウィザードをもう一度起動し、ドメイン コントローラーから Active Directory を削除します。

  8. ドメイン コントローラーから Active Directory を削除した後、ドメインに残っているメタデータを削除します。 このメタデータを削除する方法の詳細については、「 ドメイン コントローラーの降格が失敗した後に Active Directory でデータを削除する方法」を参照してください。

状態

Microsoft では、Windows 2000 または Windows Server 2003 を実行しているドメイン コントローラーの強制降格をテストし、サポートしています。

詳細

Active Directory インストール ウィザードは、Windows 2000 ベースおよび Windows Server 2003 ベースのコンピューターに Active Directory ドメイン コントローラーを作成します。 Active Directory インストール ウィザードによって実行される操作には、新しいサービスのインストール、既存のサービスのスタートアップ値の変更、セキュリティと認証領域としての Active Directory への移行が含まれます。

強制降格により、ドメイン管理者は Active Directory を強制的に削除し、ローカルに保持されているシステムの変更をロールバックできます。フォレスト内の別のドメイン コントローラーに対してローカルに保持されている変更にアクセスしたりレプリケートしたりする必要はありません。

強制降格はローカルで保持されている変更を失うため、運用環境またはテスト ドメインの最後の手段としてのみ使用してください。 正常な降格を実行できるように、接続、名前解決、認証、またはレプリケーション エンジンの依存関係を解決できない場合は、ドメイン コントローラーを強制的に降格できます。 強制降格の有効なシナリオは次のとおりです。

  • 親ドメインに現在使用できるドメイン コントローラーはありません。直接の子ドメインで最後のドメイン コントローラーを降格しようとするとします。

  • 詳細なトラブルシューティングを実行した後に解決できない名前解決、認証、レプリケーション エンジン、または Active Directory オブジェクトの依存関係があるため、Active Directory インストール ウィザードを完了できません。

  • ドメイン コントローラーは、1 つ以上の名前付けコンテキストに対して、Tombstone の有効期間 (既定の廃棄有効期間は 60 日間) の受信 Active Directory の変更をレプリケートしていません。

    重要

    特定のドメインの回復の唯一の可能性がない限り、このようなドメイン コントローラーを回復しないでください。

  • ドメイン コントローラーをすぐにサービスに取り込む必要があるため、時間によってより詳細なトラブルシューティングが許可されません。 強制降格は、既存のドメインからドメイン コントローラーを削除できるラボおよびクラスルーム環境で役立ちますが、各ドメイン コントローラーをシリアルに降格する必要はありません。

ドメイン コントローラーの降格を強制すると、強制的に降格するドメイン コントローラーの Active Directory に存在する一意の変更は失われます。 これには、コマンドを実行する前にレプリケートされなかったユーザー、コンピューター、グループ、信頼関係、グループ ポリシーまたは Active Directory 構成の追加、削除、または変更がdcpromo /forceremoval含まれます。 さらに、ユーザー、コンピューター、信頼関係、グループ メンバーシップのパスワードなど、これらのオブジェクトの属性のいずれかに対する変更は失われます。

ただし、ドメイン コントローラーの降格を強制すると、オペレーティング システムは、ドメイン内の最後のドメイン コントローラーの降格が成功した状態 (サービス開始値、インストールされたサービス、アカウント データベースのレジストリ ベースの SAM の使用、コンピューターはワークグループのメンバー) に戻ります。 降格されたドメイン コントローラーにインストールされているプログラムはインストールされたままです。

システム イベント ログは、強制的に降格された Windows 2000 ドメイン コントローラーと操作のインスタンスを dcpromo /forceremoval イベント ID 29234 で識別します。 たとえば、システム イベント ログは、強制的に降格された Windows Server 2003 ドメイン コントローラーをイベント ID 29239 で識別します。 たとえば、コマンドを dcpromo /forceremoval 使用した後、降格されたコンピューターのメタデータは、存続しているドメイン コントローラーでは削除されません。 詳細については、「コントローラー サーバーのメタデータActive Directory ドメインクリーンアップする」を参照してください。

ドメイン コントローラーを強制的に降格した後、該当する場合に対処する必要がある項目を次に示します。

  1. ドメインからコンピューター アカウントを削除します。
  2. A、CNAME、SRV レコードなどの DNS レコードが削除されていることを確認し、存在する場合は削除します。
  3. FRS メンバー オブジェクト (FRS および DFS) が削除されていることを確認し、存在する場合は削除します。
  4. 降格されたコンピューターがセキュリティ グループのメンバーである場合は、それらのグループから削除します。
  5. 降格されたサーバーへの DFS 参照 (リンクやルート レプリカなど) を削除します。
  6. 存続するドメイン コントローラーは、強制的に降格されたドメイン コントローラーによって以前に保持されていた操作マスター ロール (フレキシブル シングル マスター操作または FSMO とも呼ばれます) を押収する必要があります。 詳細については、「Active Directory Domain Servicesでの操作マスター ロールの転送または押収」を参照してください。
  7. 降格するドメイン コントローラーが DNS サーバーまたはグローバル カタログ サーバーの場合は、フォレスト内の負荷分散、フォールト トレランス、および構成設定を満たすために、新しい GC または DNS サーバーを作成する必要があります。
  8. NTDSUTIL、NTDSDSA オブジェクトで選択したサーバーの削除コマンドを使用すると、強制的に降格したドメイン コントローラーへの受信接続の親オブジェクトが削除されます。 コマンドは、サイトとサービス スナップインに表示される親サーバー オブジェクトを削除しません。 ドメイン コントローラーが同じコンピューター名でフォレストに昇格されない場合は、Active Directory サイトとサービス MMC スナップインを使用してサーバー オブジェクトを削除します。