ドメイン コントローラーの降格時に、「この Active Directory ドメイン コントローラーは、次の Active Directory 統合ゾーンの最期の DNS サーバーである可能性があります。」と表示されて降格に失敗する。

Last Update: feedback 共有

概要

今回は、条件付きフォワーダーを設定している環境で、ドメイン コントローラーの通常の降格処理が失敗する事象について紹介します。

事象

降格時に条件付きフォワーダーに設定されている DNS サーバーから NS レコードが返されず、CNAME レコードが返された場合に、降格に失敗します。

例えば、Azure の PaaS サービスで PrivateLink を設定し、条件付きフォワーダーを設定している場合に NS レコードが返されず、CNAME が返されます。この時、以下のエラーが表示されます。

この Active Directory ドメイン コントローラーの降格中にエラーが発生しました。

この Active Directory ドメイン コントローラーは、次の Active Directory 統合ゾーンの最後の DNS サーバーである可能性があります。

<ゾーン名>

このドメイン コントローラーを降格すると、これらのゾーン内の DNS 名を解決できなくなる可能性があります。
続行するには、`IgnoreLastDNSServerForZone` オプションを指定します。  

発生原因

この事象の原因は、条件付きフォワーダーを設定している環境において、降格時に条件付きフォワーダーに設定されている DNS サーバーに対して NS レコードの名前解決を行った際、期待通りに NS レコードが返されず、CNAME レコードが返されたためです。ドメイン コントローラーの降格時においては、条件付きフォワーダーに設定されている DNS サーバーから NS レコードが返される必要があります。

回避策

この事象を回避するためには、問題の条件付きフォワーダーを一時的に削除するか、PowerShell の Uninstall-ADDSDomainController コマンドを使用し、以下のように IgnoreLastDNSServerForZone オプションを指定します。

Import-Module ADDSDeployment
Uninstall-ADDSDomainController -IgnoreLastDNSServerForZone:$true -Force:$true

本投稿が少しでも皆様のお役に立てば幸いです。
※ 本情報の内容(リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。