ドメインコントローラ強制降格とFSMO転送

Posted by joeartsea on 2009-01-26

トラブル時などにActive Directoryのドメインコントローラを降格させないといけない事態になったりしますが、かなりの確率でドメインコントローラの降格は失敗します。だいたいドメインコントローラの降格が成功するようなお膳立ての整った状態でドメインコントローラを降格させる状況が思い浮かばないんですが(笑)

まあ、僕がそういう機会に恵まれていないだけということで、とりあえずドメインコントローラが降格できない時は強制降格してしまいます。コマンドプロンプトを開いてdcpromo /forceremovalを実行するだけですね。いろいろ警告が出ますが腹を決めた強制降格です。ここでひるんではいけません。何度も立ち向かってくる敵の息の根を止めるように強制降格します。

ただし、強制降格した同じマシンをまたドメインコントローラとしてドメインに参加させないようにしてください。今までの経験では降格させたマシンを復帰させること自体が危険と判断しているため、必ず新たなサーバ機を導入して復旧させています。もしかしたらホスト名を変えるだけで行けるかもしれないですが。

あと、もうひとつ大事なことは、降格したドメインコントローラがプライマリ的な動きをしていたサーバの場合は、新サーバのほうへFSMOの役割を転送しなければいけません。Ntdsutil.exe を使用してドメイン コントローラに FSMO の役割を強制または転送するの手順でコンソールで操作します。ただし、考え方として「転送する」と言われると「AからBへ」って感じがしますが、すでにAのない状況(ドメインコントローラ強制降格後など)ではBに役割を与えるといった方法になります。その場合は「強制」に当たるのでしょうね。元々持ってる役割を強制するといった方が解りやすいですね。