いつもお世話になっております。
読み取り専用ドメインコントローラー(以下、RODC)でdcpromoを実行して降格したのですが、「ADユーザーとコンピューター」>「Domain Controllers」OUに該当サーバーのコンピューター オブジェクトが残ったままの状態となっております。(なお、RODC上で再度dcpromoを実行したところ、ウィザードには「このウィザードで、Active Directory ドメイン サービス (AD DS) をこのサーバーにインストールし、サーバーを Active Directory ドメイン
コントローラーにすることができます」と表示されたことから、OSとしては降格が完了していると認識している模様です)
シナリオは異なりますが、RODCを降格できないケースとしてRODCが盗難された場合の対処方法を目にしました。
盗難された RODC のアカウントのセキュリティ保護
https://technet.microsoft.com/ja-jp/library/cc835486%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396
上記のリンク先では、RODCのコンピューター オブジェクトの手動削除だけが案内されているのですが、これ以外に必要な処理は無いのでしょうか?
下記の手順にて検証を行いましたが、操作ミスや不足点はありますでしょうか?
<検証内容>
DC01:DC
DC02:RODC
※DC01、DC02共にWindows Server 2008 R2
1.DC01の「ADユーザーとコンピューター」>「Domain Controllers」OUにあるDC02のコンピューター オブジェクトを手動削除。
※この際に「このドメイン コントローラー アカウントのすべてのメタデータを削除します。」と表示されたことから、「metadata cleanup」に相当する処理が行われていると推測。
2.DC01の「ADサイトとサービス」>「Sites」>「Default-First-Site-Name」>「Servers」配下にあるDC02を手動削除。
3.DC01の「DNS」でC02に関する全てのレコードを削除。
※「Domain Name」>「DomainDnsZones」>「_sites」>「Default-First-Site-Name」>「_tcp」の中にあったSRVレコードと
「Domain Name」>「ForestDnsZones」>「_sites」>「Default-First-Site-Name」>「_tcp」の中にあったSRVレコード。
よろしくお願い申し上げます。
