ActiveDirectory備忘録1:ActiveDirectoryドメインサービスでFSMO(役割所有者) の役割を移行または強制移行する場合について

ActiveDirectory備忘録

 

備忘録としてのメモ

 

MicroSoftナレッジページより引用
参照元https://support.microsoft.com/ja-jp/help/255504/using-ntdsutil-exe-to-transfer-or-seize-fsmo-roles-to-a-domain-control

 

【DC は、次の方法のいずれかによって再割り当てされるまで、FSMO の役割を所有し続けます。】

 

①管理者が GUI 管理ツールを使用して役割を再割り当てした場合。


②管理者が ntdsutil /roles コマンドを使用して役割を再割り当てした場合。


③管理者が Active Directory インストール ウィザードを使用して、役割を保持している DC を正常に降格させます。 このウィザードにより、ローカルで保持されている役割がすべて、フォレスト内の既存の DC に再割り当てされます。


④管理者が dcpromo /forceremoval コマンドを使用して、役割を保持している DC を降格させます。


⑤DC がシャットダウンして再起動します。 DC が再起動すると、別の DC が役割所有者であることを示す受信レプリケーション情報を受信します。 この場合、新しく開始された DC は役割を放棄します (前述のとおり)。 

 

【FSMO の役割所有者に障害が発生した場合、またはその役割が移行される前にサービスが停止した場合は、すべての役割を適切かつ正常な DC に強制移行して移行する必要があります。】

 

①次の場合は FSMO の役割を移行することをお勧めします。

Ⅰ:現在の役割の所有者が操作可能な状態であり、ネットワーク上で新しい FSMO の所有者からアクセスできる場合。

 

Ⅱ:FSMO の役割を現在所有している DC を正常に降格し、Active Directory フォレスト内の特定の DC にその役割を割り当てます。

 

Ⅲ:現在 FSMO の役割を所有している DC がメンテナンスのためにオフライン状態になる予定であり、特定の FSMO の役割を「現 在実行されている」DC に割り当てる必要があります。 FSMO 所有者に影響する操作を実行するには、役割を移行する必要がある 場合があります。 これは、特に PDC エミュレータの役割に当てはまります。 これは、RID マスタの役割、ドメイン名前付けマ スタの役割、およびスキーマ マスタの役割にとって重要ではない問題です 

 

②次の場合は FSMO の役割を強制移行することをお勧めします。

Ⅰ:現在の役割の所有者で FSMO に依存した操作の正常な完了を妨げる操作エラーが発生し、その役割を移行できない場合。

 

Ⅱ:dcpromo /forceremoval コマンドを使用して、FSMO の役割を所有する DC を強制的に降格させます。※重要 ⇒dcpromo /forceremoval コマンドでは、FSMO の役割は、管理者によって再割り当てされるまで無効な状態のままになります。

 

Ⅲ:もともと特定の役割を所有していたコンピュータのオペレーティング システムが存在しないか、再インストールされた場合。 

 

<注意事項>
 前の役割所有者がドメインに戻らない場合にのみ、すべての役割の強制移行を行うことをお勧めします。


フォレストの回復シナリオで FSMO の役割を強制移行する必要がある場合は、「各ドメインの最初の書き込み可能なドメイン コントローラーを復元する」セクションの「最初の回復の実行」の手順 5 を参照してください。
役割の移行または強制移行の後、新しい役割所有者はすぐに操作しません。 代わりに、新しい役割所有者は再開された役割所有者のように動作し、役割 (ドメイン パーティションなど) の名前付けコンテキストのコピーを待機して、受信レプリケーション サイクルを正常に完了します。 このレプリケーション要件は、新しい役割所有者がアクションを実行する前に、可能な限り最新であることを確認するのに役立ちます。 また、エラーの機会のウィンドウを制限します。 このウィンドウには、前の役割所有者がオフラインになる前に他の DC へのレプリケーションを完了しなかった変更のみが含まれます。 各 FSMO 役割の名前付けコンテキストの一覧については、このセクションの冒頭の表を参照してください。

 

 

 

【前の役割所有者を修復または削除する際の考慮事項】

可能な場合、および役割を強制移行する代わりに役割を移行できた場合は前の役割所有者を修正します。 前の役割所有者を修正できない場合、または役割を強制移行した場合は、ドメインから前の役割所有者を削除します。

※重要
⇒修復したコンピューターを DC として使用する場合は、バックアップから DC を復元するのではなく、コンピューターを最初から DC に再構築することをお勧めします。 復元プロセスは、DC を役割所有者として再び再構築します。

 

【修復したコンピューターを DC としてフォレストに戻すには】

①以下のいずれかの手順を実行します。

Ⅰ:前の役割所有者のハード ディスクをフォーマットし、コンピューターに Windows を再インストールします。

 

Ⅱ:前の役割所有者をメンバー サーバーに強制的に降格させます。 

 ②フォレスト内の別の DC で、Ntdsutil を使用して、前の役割所有者のメタデータを削除します。

メタデータをクリーンアップした後、コンピューターを DC に再び昇格させ、ロールを DC に転送します。