Windows Server 2012 R2でドメインコントローラー降格エラーが発生する原因と解決策

Active Directory環境を運用していると、古いドメインコントローラー（DC）を削除したい場面が発生することがあります。しかし、Windows ServerでDCの降格を実行した際に「The target account name is incorrect」というエラーが発生し、処理が進まないケースがあります。本記事では、Windows Server 2012 R2環境でドメインコントローラーの降格に失敗する原因と、その対処法について詳しく解説します。

• Windows Server 2012 R2でドメインコントローラー降格エラーが発生する原因と解決策
  • ドメインコントローラー降格時に発生するエラーの概要
  • なぜこのエラーが発生するのか
    • 長期間オフラインだったドメインコントローラー
    • Kerberos認証の不整合
  • 通常の降格処理ができない場合の対処法
    • 方法1：Active DirectoryからDCオブジェクトを削除する
    • 方法2：PowerShellで強制削除する
  • 削除後に行うべき作業
    • DNSレコードの確認
    • Active Directoryのレプリケーション状態確認
    • FSMOロールの確認
  • 古いドメインコントローラーを放置するリスク
  • まとめ

ドメインコントローラー降格時に発生するエラーの概要

あるActive Directory環境では、以下のような構成になっていました。

• メインDC：Windows Server 2012 R2

• セカンダリDC：Windows Server 2022

セカンダリのドメインコントローラーは長期間ネットワークから切り離されており、Active Directory内に古い情報（スタレコード）が残っている状態でした。この状態が原因で、ドメイン全体の運用に問題が発生することがあります。

そのため、セカンダリサーバーをドメインコントローラーから削除しようとしましたが、降格処理の途中で以下のエラーが表示されました。

Managing the network session with MAIN.dc.local failed
The target account name is incorrect

通常は「役割と機能の削除」からActive Directory Domain Servicesを削除することでDC降格が実行されますが、このケースでは処理が正常に完了しませんでした。

なぜこのエラーが発生するのか

このエラーの原因として多いのは、ドメインコントローラー間の接続状態が正常でないことです。特に以下の状況では降格処理が失敗する可能性があります。

長期間オフラインだったドメインコントローラー

長期間ネットワークから切り離されていたDCは、Active Directoryのレプリケーション情報が大きく古くなっている可能性があります。

Active Directoryでは、ドメインコントローラー間で定期的にレプリケーションが行われますが、一定期間以上更新されていない場合、整合性を保つために通信が拒否される場合があります。

Kerberos認証の不整合

「The target account name is incorrect」というエラーは、Kerberos認証の問題で発生することがあります。

具体的には以下の要因が考えられます。

• サーバー間のSPN情報の不整合

• 古いDNSレコード

• Active Directoryオブジェクトの不整合

• コンピューターアカウントの破損

このような状態では、通常のDC降格処理が正常に実行できません。

通常の降格処理ができない場合の対処法

ドメインコントローラーの降格は「推奨される方法」ですが、必須ではありません。Active Directoryでは、サーバー側のオブジェクトを直接削除する方法でもDCを除去できます。

方法1：Active DirectoryからDCオブジェクトを削除する

最も簡単な方法は、Active Directory上のDCオブジェクトを削除することです。

具体的には以下のツールを使用します。

Active Directory Users and Computers
Active Directory Sites and Services

これらの管理ツールから対象のドメインコントローラーを削除すると、Active Directoryデータベース内のメタデータも同時に整理されます。

この方法は「メタデータクリーンアップ」と呼ばれ、すでに正常な降格ができないサーバーを削除する際によく使われる手法です。

方法2：PowerShellで強制削除する

PowerShellのコマンドレットを使用すれば、ドメインコントローラーの削除を強制的に実行することが可能です。

Uninstall-ADDSDomainController -ForceRemoval

このオプションを使用すると、以下の状況でも削除処理が実行されます。

• 他のドメインコントローラーに接続できない

• レプリケーションが破損している

• ネットワークトポロジーに問題がある

強制削除は最終手段ですが、古いDCを安全に環境から排除するための有効な方法です。

削除後に行うべき作業

ドメインコントローラーを強制的に削除した場合、以下の確認を行うことが重要です。

DNSレコードの確認

DNSサーバーに残っている以下のレコードを確認します。

• 古いSRVレコード

• DCのホストレコード

• _msdcsゾーンの情報

不要なレコードが残っている場合は削除してください。

Active Directoryのレプリケーション状態確認

残っているドメインコントローラーが正常に動作しているか確認します。

代表的な確認コマンドは以下です。

repadmin /replsummary

これによりレプリケーションの状態をチェックできます。

FSMOロールの確認

削除したDCがFSMOロールを保持していた場合、役割の移行または強制取得が必要です。

主なFSMOロールは以下の通りです。

• Schema Master

• Domain Naming Master

• RID Master

• PDC Emulator

• Infrastructure Master

削除前に役割を移動しておくのが理想です。

古いドメインコントローラーを放置するリスク

長期間オフラインのドメインコントローラーを放置すると、次のような問題が発生します。

• Active Directoryのレプリケーションエラー

• DNSの不整合

• 認証トラブル

• ドメイン参加の失敗

特にレプリケーション期限を超えると、復帰させるより削除した方が安全なケースが多くなります。

まとめ

Windows Server環境でドメインコントローラーの降格に失敗する場合、多くはレプリケーションや認証の不整合が原因です。

そのような場合でも、次の方法で問題を解決できます。

• Active DirectoryからDCオブジェクトを削除する

• PowerShellのForceRemovalオプションを使用する

特に長期間オフラインだったドメインコントローラーは、通常の降格処理よりもメタデータクリーンアップや強制削除の方が安全に処理できる場合があります。

Active Directory環境を安定して運用するためにも、不要になったドメインコントローラーは早めに整理し、DNSやレプリケーション状態を定期的に確認することが重要です。