スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

子ドメインが降格できない

先日Windows2008サーバの検証目的で、既存Windows2003サーバR2のActiveDirectoryのスキーマ拡張を行ってからWindows2008に子ドメイン作成及び既存Windows2003にスタブゾーンの作成を行いました。

検証も終わったのでいざ子ドメインをdcpromoで降格させようとしましたが、悲しいかなDC降格に失敗してしまいました。ネットワーク疎通やFWに問題はなかったのになぜと思いましたが、止むを得ないので既存Windows2003の関連オブジェクトやDNSレコードを直接削除してしまいました。

ところが、やはりというか「ドメインと信頼関係」のところに子ドメインのオブジェクトが残ったままグレーアウトしており、ユーザ側のWindowsログオンのプルダウンには子ドメインの選択肢が残ったままになってしまいました。さすがに会社のPDCでこれをやってしまったので非常にあせりながらGoogle先生に教えを乞うた所、Microsoftに素敵な記事を見つけました。
文書番号: 216498「ドメイン コントローラの降格に失敗した後、Active Directory のデータを削除する方法」

早速「ntdsutil 」を駆使してコマンドラインでメタデータ削除を試みましたが、「remove selected serverの所で該当サーバが見つからないのでselect operation targetからやり直しなさい。」と怒られてしましました。

その日は断念して次の日にここのサイトをもう一度復習すると、Windows2003のDisk2のリソースキットにある「ADSIEdit」を利用するようにと書かれてあった事を手掛かりに、既存Windows2003に「ADAMINSTALL.EXE」をたたいてツールをインストールしました。
早速「ADSIEdit」を立ち上げて見てびっくりしましたが、このツールはActiveDirectoryのDBを直接編集するものだったんですね。「文書番号: 216498」にもレジストリ編集と同じく「警告:・・・これらの属性の変更は、自己の責任において行ってください。 」と書かれてあります。でも泣き寝入りも嫌だし直せないのも癪なので、最悪バックアップから復元する事も視野に入れて強行しました。

ここからは私のオリジナルなので上手くいかずADを壊しても責任は一切負いませんので、あくまで自己責任でやって下さいね。

■手順1
ADSIEdit」を起動して、ひたすら子ドメインの記述がないか探します。私の場合は残念ながら「素敵なサイト」に書かれているOUを見つけることができませんでした。私が見つけた場所は2階層目の「CN=Partitions」でした。右ペインに該当子ドメインのディレクトリパーティションを2個発見したので、覚悟を決めてこれを削除しました。
■手順2
その後OS再起動して「ドメインと信頼関係」を見てみると、やった!!!グレーアウトしていた子ドメインの信頼関係が見事に消えていました。後はここで親ドメインの信頼関係のプロパティを見ると該当子ドメインの信頼関係が削除できるようになっていたのでさくっと削除しました。

その後OSを再起動してシステムログを確認しましたが、該当エラーはなくなりました。そしてユーザ側のWindowsログオンのプルダウンから子ドメインの選択肢がなくなりました。

便利なADですが、トラブった時にこれだけ管理者を悩ますものはないですね。。。
スポンサーサイト

テーマ : 日記
ジャンル : 日記

プロフィール

kitabomb

Author:kitabomb
田舎のしがないSI屋です。

日記

検索フォーム
カテゴリ
最新記事
RSSリンクの表示
ブロとも申請フォーム

この人とブロともになる

QRコード
QRコード
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。