長年運用してきたActive Directory環境を刷新するにあたって、古いドメインコントローラーを安全かつスムーズにデコミッショニングする方法は多くの管理者にとって重要なテーマです。特に、アプリケーションディレクトリパーティションの削除は慎重に行う必要があります。本記事では、新旧合わせて複数台のドメインコントローラーが混在するケースを想定し、アプリケーションディレクトリパーティション削除時の注意点や、デコミッショニング手順を詳しく解説します。
ドメインコントローラーのデコミッショニングにおける基本的な考え方
Active Directory環境には、さまざまなサービスやアプリケーションが依存しているため、ドメインコントローラー(DC)を削除する際には周辺への影響を十分に考慮する必要があります。特に、古いDCから新しいDCへFSMOロールが移行された後でも、古いDCに残存しているアプリケーションディレクトリパーティションが問題を引き起こすことがあります。
デコミッショニングの目的はあくまでも不要なリソースを排除し、システムをよりシンプルかつ安定的に保守できるようにすることです。したがって、アプリケーションディレクトリパーティションをはじめ、不要となったデータやサービスを整理し、安全に役割を解除することが重要となります。
アプリケーションディレクトリパーティションとは
アプリケーションディレクトリパーティションは、Active Directory内で特定のアプリケーションやサービスのデータを格納するための専用領域を指します。たとえば、DNSゾーン情報をActive Directory統合DNSとして運用している場合、その情報がアプリケーションディレクトリパーティションに格納されるケースがあります。
このパーティションはドメイン全体で参照される場合もありますが、複数のDC間でどのようにレプリケーションされるかはアプリケーションの設計によって異なります。原則として、当該DCが担っている役割やホストしているパーティションが他のDCやサービスに利用されていなければ、デコミッショニングに際して削除しても問題はありません。
古いDCでのアプリケーションディレクトリパーティションが不要になるシナリオ
- 既にExchangeサーバーやDNSなどの主要なサービスが新しいDCへ移行済み
- 当該パーティションが読み取り専用であり、他のDCと同期されているだけ
- サードパーティ製品や独自開発システムが利用しなくなった古いパーティションが残存している
これらのシナリオでは、古いDC上にのみ存在する(もしくは主に管理されている)パーティションを削除し、DCを役割解除することが推奨されます。
アプリケーションディレクトリパーティション削除の影響範囲
アプリケーションディレクトリパーティションを削除すると聞くと、ドメイン全体に影響が及ぶのではないかと不安になる方も多いでしょう。しかし、基本的にはデコミッショニング対象のDCに関するパーティションの削除であり、他のDCで利用しているパーティションそのものをまとめて消すわけではありません。
ただし、以下のポイントを十分に確認することが大切です。
1. 他のDCが参照していないか
同じアプリケーションディレクトリパーティションを複数のDCが保持している場合があります。特に、DNSゾーンをActive Directory統合で使っている場合は、複数のDCが同じゾーン情報をレプリケーションするケースが多いです。この場合、どのDCがプライマリな役割を果たしているか、またレプリケーションが正常に行われているかをチェックしたうえで、削除の可否を判断します。
2. 依存関係のあるアプリケーションやサービスの洗い出し
Exchangeサーバーやカスタムアプリケーションなどがアプリケーションディレクトリパーティションを利用しているケースでは、削除によって不具合が生じる可能性があります。稼働しているサービスやアプリケーションのドキュメントを参照し、「どのようなデータがADに格納されているか」「別途移行が必要か」などを事前に確認しましょう。
3. パーティション削除後のレプリケーション
古いDCが保持していたパーティションを削除したあと、ドメイン全体のレプリケーションが一時的に混乱する可能性があります。削除の前後で「repadmin /replsummary」や「repadmin /showrepl」などを実行し、レプリケーションが正常に完了しているか確認することが望ましいです。
安全に削除するための事前準備
安全にアプリケーションディレクトリパーティションを削除するには、事前準備が欠かせません。特に、以下のステップを怠ると、あとから思わぬトラブルに直面する場合があります。
ステップ1:バックアップの取得
削除作業やデコミッショニングを実施する前には、必ずシステムのバックアップを取得しておきましょう。システム状態のバックアップ(Windows Server Backupなど)を用いると、何かトラブルが起こった際にAD全体を復元できる可能性が高まります。
ステップ2:ドメイン全体の健全性チェック
- dcdiag コマンドを使ってADの状態を確認
- repadmin /replsummary によるレプリケーション状況の把握
- eventvwr (イベントビューア)でエラーや警告をチェック
これらの結果に問題がある場合、デコミッショニングを進める前に根本的な原因を解消しておく必要があります。レプリケーションエラーやFSMOロール移行の不備があると、後々大きな障害を引き起こしかねません。
ステップ3:削除対象パーティションの特定
複数のアプリケーションディレクトリパーティションが存在する環境では、「どのパーティションが、どのDCに紐づいているのか」を正確に把握する必要があります。PowerShellやntdsutilコマンドなどで対象パーティションの詳細を確認し、不必要になったパーティションのみを削除対象とするよう注意してください。
# PowerShellでアプリケーションディレクトリパーティションを確認する例
Get-ADPartition -Filter *アプリケーションディレクトリパーティション削除の手順
実際にパーティションを削除する方法として、代表的なのが「ntdsutil」ツールを使った手順です。以下に一例を示しますが、作業前にはあらかじめドキュメントやサポート情報を参照してください。
ntdsutilを用いた削除手順の例
- コマンドプロンプト(管理者権限)を開く
- ntdsutil と入力してエンター
- metadata cleanup と入力してエンター
- connections と入力し、connect to server <サーバー名> で対象DCに接続
- quit と入力してmetadata cleanupモードへ戻る
- select operation target を選び、list sites → select site <番号> などで正しいDCを選択
- list domains / list naming contexts などを使用して、該当パーティションを特定
- remove selected domain または remove selected naming context などのコマンドを実行し削除
- コマンドを終了し、最終的に正常に削除されたか確認
この手順において重要なのは、誤ったパーティションを削除しないようにすることです。一度削除したパーティションは基本的に元に戻せないため、作業時には十分注意してください。
古いドメインコントローラーの役割削除(デコミッショニング)手順
アプリケーションディレクトリパーティションの削除が完了したら、いよいよ古いDCの役割削除に進みます。Windows Serverのバージョンによって操作画面や手順は若干異なりますが、基本的には以下の流れとなります。
| 手順 | 内容 |
|---|---|
| 1. サーバーマネージャーを開く | 「管理」から「役割と機能の削除」を実行する |
| 2. Active Directoryドメインサービスを選択 | ドメインコントローラーの役割を削除する |
| 3. DCPROMOの実行(古いバージョンの場合) | Windows Server 2008/2008 R2などではdcpromoコマンドを使用 |
| 4. ローカル管理者アカウントの設定 | ロール削除後もサーバーにログインできるようにする |
| 5. 再起動 | サーバーを再起動して最終的にDCではなくなる |
再起動後の確認作業
- Active Directoryユーザーとコンピュータ(ADUC)で、古いサーバーの役割が消えているか確認
- DNS管理コンソールでレコードが残存していないかチェック
- ほかのDCが正常に動作しているかイベントログで確認
この確認を行うことで、古いDCのデコミッショニングが完全に終了したことを確証できます。
デコミッショニング後の運用上のポイント
古いDCのデコミッショニングとアプリケーションディレクトリパーティションの削除が完了したら、運用中に問題がないかをしばらくモニタリングすることが大切です。特にDNSやDHCP、ExchangeなどADに強く依存するサービスが多い環境では、削除後も数日間はログを確認し、不審なエラーが発生していないか気を配りましょう。
追加DCを設置する場合との比較
将来的に新しいDCを追加で導入する予定がある場合、今回削除したパーティションや設定が影響を及ぼすことは基本的にありません。ただし、新しくDCを追加した際に過去の設定が誤ってレプリケーションされるケースがないかどうか、状況に応じて確認すると安心です。
よくあるトラブルと対処法
最後に、アプリケーションディレクトリパーティションの削除や古いDCのデコミッショニングで発生しがちなトラブルをまとめます。
トラブル1:DNSゾーンが消えてしまった
多くの場合、DNSゾーンをAD統合で運用していると、複数のDCにわたってゾーン情報がレプリケートされています。しかし、特定のDNSゾーンが古いDCのパーティションにのみ存在していた場合、誤って削除するとゾーン情報が消えてしまうリスクがあります。
対処策としては、削除前にDNSのゾーン情報がどのDCにホストされているのか、DNS管理コンソールやdnscmdコマンドで入念に確認することが重要です。
トラブル2:メタデータのクリーンアップが不完全
dcpromoやサーバーマネージャーを使って役割削除を行った後でも、Active Directory内に古いDCのメタデータが残っていることがあります。これにより、ドメインコントローラーリストに古いサーバー名が表示される、イベントログにエラーが出るなどの症状が出る場合があります。
この場合、先述のntdsutilコマンドのmetadata cleanup機能を活用し、該当するサーバー情報を完全に削除する必要があります。
トラブル3:レプリケーションが行われない
パーティション削除や古いDCの削除を行った後にレプリケーションが停止するケースも報告されています。原因としては、削除過程でレプリケーションパートナーが不整合を起こしている場合や、サイトリンクの設定が誤っている場合などが考えられます。
repadminコマンドやdcdiagコマンドを使って状況を確認し、不整合や警告を見逃さないようにしましょう。
まとめ:安全なデコミッショニングのために
複数のDCが存在する環境で、FSMOロールを新しいDCに移行してから古いDCをデコミッショニングする流れは、多くの企業や組織で行われています。ポイントとなるのは、以下の点です。
- 削除対象はデコミッショニング対象のDCに紐づくパーティションが基本
- 削除前に他のアプリケーションやサービスがそのパーティションを使っていないか確認
- バックアップ取得やレプリケーション状態のチェックなど事前準備を怠らない
- 削除作業後はイベントログやレプリケーション状況のモニタリングを継続
アプリケーションディレクトリパーティションの削除は決して難易度が低い操作ではありませんが、正しい手順を踏み、削除対象が明確な場合にはドメイン全体の安定性に大きな影響を与えることなく完了できます。これを機に、不要なDCの役割とデータを整理し、クリーンなActive Directory環境を保つための運用ポリシーを再構築してみてはいかがでしょうか。
コメント