本ページでは、Active Directory 環境においてレプリケーション障害が発生した際に、障害が継続している追加ドメインコントローラーを一度切り離し、構成情報を整理したうえで再構築するまでの一連の手順を整理する。
Active Directory のレプリケーションは、単にドメインコントローラー同士が通信できれば成立するものではない。
実際には、DNS による名前解決、RPC 通信、SYSVOL 複製、AD データベース、FSMO 役割、サイト構成など複数の要素が組み合わさって成立している。
そのため、レプリケーション異常が継続している場合、表面的にエラーだけを消しても再発することがある。
特に、対象ドメインコントローラーが長期間不整合な状態にある場合や、通信障害・DNS 異常・メタデータ不整合が複合的に発生している場合には、部分的な修復よりも再構築の方が確実である。
本手順では、障害が発生しているドメインコントローラーを強制降格し、Active Directory と DNS に残る残骸を削除したうえで、再度ドメインへ参加させ、AD DS をインストールし、追加ドメインコントローラーとして昇格する。
最後にレプリケーションの正常性を確認し、冗長構成が復旧したことを確認する。
本手順は、以下のような状況を想定している。
※本手順は検証環境の例であり、構成や名称は環境に応じて読み替えること
本セクションでは、レプリケーション障害により正常に機能しなくなった追加ドメインコントローラーを強制的に降格する。
通常、ドメインコントローラーの降格は、他のドメインコントローラーと正常に通信できることを前提としている。
しかし、対象サーバーがレプリケーション不能、DNS 解決不可、または RPC 通信不可の状態にある場合、通常の降格手順では処理を完了できないことがある。
このような場合は、対象サーバーを強制的にドメインコントローラーの役割から外し、後続のクリーンアップで Active Directory および DNS 上の情報を整理する。
ここで重要なのは、「強制降格だけで完全に削除できた」と判断しないことである。
強制降格はあくまで対象サーバー上の役割を外す手順であり、ドメイン全体の情報整理は別途必要となる。
レプリケーション不整合状態のドメインコントローラーをドメインから除外する。
# ドメインコントローラーを強制的に降格
Uninstall-ADDSDomainController `
-ForceRemoval ` # 通信不可でも強制実行
-DemoteOperationMasterRole ` # 必要に応じてFSMO役割を移行
-Force # 確認を省略
Status : Success
RebootRequired : True
正常
Status : Success が表示されている対象サーバーを強制降格し、ドメインコントローラーとしての役割を削除した。
この時点で対象サーバーはローカル側では DC ではなくなるが、Active Directory や DNS には情報が残るため、後続のクリーンアップが必要である。
本セクションでは、強制降格したドメインコントローラーのメタデータを Active Directory から削除する。
強制降格後も、Active Directory 内には NTDS 設定やサーバーオブジェクトなど、削除済みサーバーの情報が残ることがある。
これらの情報が残ったままだと、再構築時に重複や不整合を起こしやすくなるため、必ず整理しておく必要がある。
特に、追加ドメインコントローラーを同じ名前で再構築する場合、古いオブジェクトが残っていると昇格時に競合することがある。
そのため、メタデータ削除は再構築前の前提作業として重要である。
削除済みドメインコントローラーの Active Directory 上の残骸を除去する。
# ntdsutil を起動
ntdsutil
# メタデータ削除モードへ移行
metadata cleanup
# 接続設定
connections
# 正常なドメインコントローラーへ接続
connect to server DC01
# 接続モードを終了
quit
# 操作対象を選択
select operation target
# ドメイン一覧を表示
list domains
# 対象ドメインを選択
select domain 0
# サイト一覧を表示
list sites
# 対象サイトを選択
select site 0
# サーバー一覧を表示
list servers in site
# 削除対象サーバーを選択
select server 1
# 選択モードを終了
quit
# メタデータ削除を実行
remove selected server
0 - CN=DC01
1 - CN=DC02
select server 1
サーバー CN=DC02 が選択されました
remove selected server
サーバー "CN=DC02,..." は正常に削除されました
正常
削除済みドメインコントローラーのメタデータを Active Directory から除去した。
これにより、再構築に向けた論理的な前提条件が整った。
本セクションでは、削除済みドメインコントローラーに関連する DNS レコードを整理する。
DNS に古いドメインコントローラー情報が残っていると、クライアントや他のドメインコントローラーが誤った接続先を参照し続けることになる。
その結果、レプリケーション障害や認証不具合が継続するため、強制降格およびメタデータ削除の後は DNS 情報の整理が必要となる。
削除済みドメインコントローラーの DNS 残骸を除去する。
A レコードが残っていると、削除済みホスト名が引き続き名前解決される。
そのため、対象サーバーのホスト名に対応する A レコードを削除する。
NS レコードはネームサーバー情報であり、削除済みサーバーが DNS サーバーとして参照される原因となる。
不要な NS レコードが残っている場合は削除する。
SRV レコードはクライアントおよびドメインコントローラーが接続先を決定するために利用する。
この情報に古いサーバー情報が残っていると、レプリケーションや認証の正常化を妨げる。
正常
DNS 上の不要な情報を削除し、正しい接続先のみが参照される状態に整理した。
これにより、再構築および再昇格の前提条件が整った。
本セクションでは、削除済みドメインコントローラーの残骸が残っていないこと、および正常側ドメインコントローラーが単独で安定稼働していることを確認する。
対象サーバーを削除した後でも、正常側にレプリケーション情報や SYSVOL、FSMO、サービス状態などの不整合が残る場合がある。
そのため、再構築に進む前に正常側サーバーの健全性を確認する。
正常側ドメインコントローラーが単独構成として正常に動作していることを確認する。
# レプリケーション要約を確認
repadmin /replsummary
ソース DSA
宛先 DSA
# DFSR のイベントログを初期化
Clear-EventLog "DFS Replication"
# DC の総合診断を実行
dcdiag /v
# FSMO 役割の所在確認
netdom query fsmo
すべての役割が DC01 に存在
正常
正常側ドメインコントローラーの健全性を確認し、再構築を受け入れる前提条件が整っていることを確認した。
本セクションでは、再構築対象サーバーから Active Directory Domain Services(AD DS)役割を削除する。
強制降格後はドメインコントローラーとしての機能は停止しているが、役割自体がサーバー上に残っている場合がある。
そのまま再構築を進めると不整合の原因になるため、一度役割を削除してクリーンな状態へ戻す。
AD DS 役割を削除し、サーバーを通常状態へ戻す。
# AD DS のサービス状態を確認
Get-Service NTDS
Status Name DisplayName
Stopped NTDS Active Directory Domain Services
# AD DS 役割をアンインストール
Uninstall-WindowsFeature AD-Domain-Services
Success Restart Needed Exit Code Feature Result
True Yes Success {Active Directory Domain Services}
# 再起動を実施
Restart-Computer
# NTDS サービスが存在しないことを確認
Get-Service NTDS
Get-Service : サービス名 'NTDS' は見つかりませんでした。
正常
再構築対象サーバーから AD DS 役割を削除し、クリーンな状態へ戻した。
本セクションでは、役割削除後のサーバーを既存ドメインへ再参加させる。
ドメイン参加前には、IP アドレス、DNS サーバー設定、NIC 名などの基礎設定が正しいことを確認する必要がある。
特に DNS 設定が誤っていると、ドメインコントローラーを検出できず参加に失敗する。
サーバーをドメインへ再参加させる。
# ネットワークインターフェース名を確認
Get-NetAdapter
# 現在のIP設定を確認
Get-NetIPAddress -InterfaceAlias "イーサネット"
# DNSサーバーを設定(既存DC → 自身の順)
Set-DnsClientServerAddress `
-InterfaceAlias "イーサネット" `
-ServerAddresses ("192.168.2.10","192.168.2.11")
# ネットワーク設定を確認
ipconfig /all
# ドメインへ参加し再起動
Add-Computer -DomainName "example.com" -Restart
# ログオンユーザーを確認
whoami
正常
サーバーを既存ドメインへ再参加させ、昇格前提が整った状態にした。
本セクションでは、再参加後のサーバーに残る不要なプロファイルを整理する。
ドメインから一度離脱し、再参加したサーバーでは、旧ドメインプロファイルやローカルプロファイルが残ることがある。
これらはログオン不整合や権限問題の原因となるため、昇格前に整理しておく。
不要なプロファイルを削除し、ドメインプロファイルへ統一する。
# 現在ログオンしているユーザーを確認
query user
# 不要なプロファイルフォルダを削除
Remove-Item "C:\Users\Administrator.OLD" -Recurse -Force
# プロファイルとSIDの対応を確認
Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\*" |
Select-Object PSChildName, ProfileImagePath
# 不要なSIDを削除(必ず事前確認すること)
Remove-Item "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\<SID>" -Recurse -Force
# プロファイル状態を反映
Restart-Computer
# ログオンユーザー確認
whoami
正常
不要なプロファイルを整理し、昇格前にユーザー環境の不整合を解消した。
本セクションでは、再参加済みサーバーに Active Directory Domain Services(AD DS)役割をインストールする。
本工程では役割追加のみを行い、ドメインコントローラー昇格は次工程で実施する。
ドメインコントローラー昇格の前提として AD DS 役割をインストールする。
# AD DS役割をインストール(管理ツール含む)
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
Success Restart Needed Exit Code Feature Result
True No Success {Active Directory Domain Services}
# AD DS役割の状態を確認
Get-WindowsFeature AD-Domain-Services
Display Name Name Install State
Active Directory Domain Services AD-Domain-Services Installed
正常
AD DS 役割をインストールし、昇格処理の前提条件を整えた。
本セクションでは、AD DS 役割を追加したサーバーを追加ドメインコントローラーとして昇格する。
この工程により、再構築対象サーバーは再び Active Directory のレプリケーションに参加し、冗長構成が復旧する。
サーバーを追加ドメインコントローラーとして構成する。
# 追加ドメインコントローラーとして昇格
Install-ADDSDomainController `
-DomainName "example.com" `
-InstallDns `
-Credential (Get-Credential)
# ホスト名確認
hostname
# ログオン先DC確認
echo %LOGONSERVER%
LOGONSERVER が自身を指している# SYSVOL共有の確認
dir \\DC02\SYSVOL
正常
サーバーを追加ドメインコントローラーとして昇格し、冗長構成を再構築した。
本セクションでは、再構築後のレプリケーション状態を最終確認する。
この確認により、ドメインコントローラー間での同期が正常に再開されていることを確認する。
再構築後のレプリケーションが正常に動作していることを確認する。
# レプリケーション全体の状態確認
repadmin /replsummary
# パーティション単位の状態確認
repadmin /showrepl
# レプリケーション診断
dcdiag /test:replications
# 手動同期を実行
repadmin /syncall /AeP
正常
レプリケーションが正常に再開されていることを確認し、Active Directory の冗長構成が復旧したと判断できる。
本手順は、以下の状態が継続している場合に実施する。
これらに該当する場合、部分的な修復では解消できない可能性があるため、本手順による再構築を検討する。
本手順では、レプリケーション障害が発生したドメインコントローラーを一度切り離し、メタデータ・DNS・プロファイルなどの残骸を整理したうえで再構築を実施した。
その結果、再構築後のドメインコントローラーを含め、Active Directory 全体のレプリケーションが正常に再開されていることを確認した。
要約確認、詳細確認、診断、強制同期の各工程において問題が発生していないことから、ドメインコントローラー間の同期は安定して動作していると判断できる。
これにより、Active Directory の冗長構成は正常な状態へ復旧したと判断できる。