はじめに
ADサーバの移行には欠かせないFSMOロールの転送について、今回は強制的に転送する方法を検証しました。ADが2台あってレプリケーションされている場合においても、停止時にFSMOロールを自動で片方のADに転送しません。
移行するときは着実に転送するように丁寧に手順を作って実施するので、強制転送するという場面には出会わないと思います。どちらかというと主系のADが潰れて復旧できないときの最終手段として、強制転送という選択になるのだと思います。
検証
過程はあまり重要ではないので、adsv03は既に停止させています。
確認のためにpingでadsv03に疎通を試みますが応答しません。
FSMOロールの所有者を確認すると、adsv03が持っていることが分かります。
本番環境ならどうにかこうにかしてadsv03を復旧させようとするかもしれませんが、今回は諦めた後というシナリオで考えます。
以下のコマンドでFSMOロールを強制的に転送します。途中、確認コマンドの結果に応じて次のコマンドの引数を決めるので、一気に流し込むような事はできません。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
ntdsutil metadata cleanup connections connect to server ADSV02 quit select operation target list domains ※対象ドメインの番号を確認 select domain <ドメイン番号> list sites ※対象サイトの番号を確認 select site <対象サイトの番号> list servers in site ※削除対象サーバの番号を確認 select server <削除対象サーバの番号> quit remove selected server |
画面キャプチャ
以下は先ほどのコマンドを実行した時の画面キャプチャです。ADが本当に停止しているのか確認されます。
ロールを移動させる前に確認されます。
以下、ロール毎に聞かれます。
最後にFSMOロールを確認します。adsv02に転送されています。
ログ
蛇足ですが、ログです。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 |
C:\Users\Administrator>ntdsutil ntdsutil: metadata cleanup metadata cleanup: connections server connections: connect to server ADSV02 ADSV02 に結合しています... ローカルでログオンしているユーザーの資格情報を使って ADSV02 に接続しました。 server connections: quit metadata cleanup: select operation target select operation target: list domains 1 個のドメインを検出しました 0 - DC=mochi,DC=ricecake24book,DC=com select operation target: select domain 0 現在のサイトがありません ドメイン - DC=mochi,DC=ricecake24book,DC=com 現在のサーバーがありません 現在の名前付けコンテキストがありません select operation target: list sites 1 個のサイトを検出しました 0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com select operation target: select site 0 サイト - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com ドメイン - DC=mochi,DC=ricecake24book,DC=com 現在のサーバーがありません 現在の名前付けコンテキストがありません select operation target: list servers in site 2 個のサーバーを検出しました 0 - CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com 1 - CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com select operation target: select server 1 サイト - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com ドメイン - DC=mochi,DC=ricecake24book,DC=com サーバー - CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com DSA オブジェクト - CN=NTDS Settings,CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com DNS ホスト名 - adsv03.mochi.ricecake24book.com コンピューター オブジェクト - CN=ADSV03,OU=Domain Controllers,DC=mochi,DC=ricecake24book,DC=com 現在の名前付けコンテキストがありません select operation target: quit metadata cleanup: remove selected server 選択されたサーバーから FSMO 役割を転送/強制処理しています。 adsv02.mochi.ricecake24book.com に結合しています... Domain Naming Master FSMO を "CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com" に移動させています。 強制前に domain naming FSMO の安全転送を試みています。 ldap_modify_sW エラー 0x34(52 (利用できません). Ldap 拡張エラーメッセージ 000020AF: SvcErr: DSID-03210512, problem 5002 (UNAVAILABLE), data 1722 Win32 エラー 0x20af(要求された FSMO の操作に失敗しました。現在の FSMO の所有者に接続できませんでした。) ) エラー コードにより、接続、LDAP、または役割の転送エラー を示すことがあります。 domain naming FSMO の転送に失敗しました。強制処理 (seize) 中です... サーバー "ADSV02" は 5 個の役割を認識しています スキーマ - CN=NTDS Settings,CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com 名前付けマスター - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com PDC - CN=NTDS Settings,CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com RID - CN=NTDS Settings,CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com インフラストラクチャ - CN=NTDS Settings,CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com Schema Master FSMO を "CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com" に移動させています。 強制前に schema FSMO の安全転送を試みています。 ldap_modify_sW エラー 0x34(52 (利用できません). Ldap 拡張エラーメッセージ 000020AF: SvcErr: DSID-03210512, problem 5002 (UNAVAILABLE), data 1722 Win32 エラー 0x20af(要求された FSMO の操作に失敗しました。現在の FSMO の所有者に接続できませんでした。) ) エラー コードにより、接続、LDAP、または役割の転送エラー を示すことがあります。 schema FSMO の転送に失敗しました。強制処理 (seize) 中です... サーバー "ADSV02" は 5 個の役割を認識しています スキーマ - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com 名前付けマスター - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com PDC - CN=NTDS Settings,CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com RID - CN=NTDS Settings,CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com インフラストラクチャ - CN=NTDS Settings,CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com PDC FSMO を "CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com" に移動させています。 強制前に PDC FSMO の安全転送を試みています。 ldap_modify_sW エラー 0x34(52 (利用できません). Ldap 拡張エラーメッセージ 000020AF: SvcErr: DSID-032108D4, problem 5002 (UNAVAILABLE), data 1722 Win32 エラー 0x20af(要求された FSMO の操作に失敗しました。現在の FSMO の所有者に接続できませんでした。) ) エラー コードにより、接続、LDAP、または役割の転送エラー を示すことがあります。 PDC FSMO の転送に失敗しました。強制処理 (seize) 中です... サーバー "ADSV02" は 5 個の役割を認識しています スキーマ - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com 名前付けマスター - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com PDC - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com RID - CN=NTDS Settings,CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com インフラストラクチャ - CN=NTDS Settings,CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com Rid Master FSMO を "CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com" に移動させています。 強制前に RID FSMO の安全転送を試みています。 ldap_modify_sW エラー 0x34(52 (利用できません). Ldap 拡張エラーメッセージ 000020AF: SvcErr: DSID-03211311, problem 5002 (UNAVAILABLE), data 1722 Win32 エラー 0x20af(要求された FSMO の操作に失敗しました。現在の FSMO の所有者に接続できませんでした。) ) エラー コードにより、接続、LDAP、または役割の転送エラー を示すことがあります。 RID FSMO の転送に失敗しました。強制処理 (seize) 中です... ドメインの最高値の RID プールを検索しています サーバー "ADSV02" は 5 個の役割を認識しています スキーマ - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com 名前付けマスター - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com PDC - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com RID - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com インフラストラクチャ - CN=NTDS Settings,CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com *** 警告: インフラストラクチャ マスターの役割をホストするための、非 GC ドメイン コントローラーを検索できません。代わりに、GC で役割をホストしてください。 Infrastructure Master FSMO を "CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com" に移動させています。 強制前に infrastructure FSMO の安全転送を試みています。 ldap_modify_sW エラー 0x34(52 (利用できません). Ldap 拡張エラーメッセージ 000020AF: SvcErr: DSID-03210512, problem 5002 (UNAVAILABLE), data 1722 Win32 エラー 0x20af(要求された FSMO の操作に失敗しました。現在の FSMO の所有者に接続できませんでした。) ) エラー コードにより、接続、LDAP、または役割の転送エラー を示すことがあります。 infrastructure FSMO の転送に失敗しました。強制処理 (seize) 中です... サーバー "ADSV02" は 5 個の役割を認識しています スキーマ - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com 名前付けマスター - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com PDC - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com RID - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com インフラストラクチャ - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com 選択されたサーバーのために FRS メタデータを削除しています。 "CN=ADSV03,OU=Domain Controllers,DC=mochi,DC=ricecake24book,DC=com" 下で FRS メンバーを検索しています。 "CN=ADSV03,OU=Domain Controllers,DC=mochi,DC=ricecake24book,DC=com" 下のサブツリーを削除しています。 CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com 上の FRS 設 定の削除に失敗しました。原因は次のとおりです: "要素が見つかりません。"; メタデータのクリーンアップは続行されます。 "CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com" をサーバー "ADSV02"から削除しました metadata cleanup: quit ntdsutil: quit |
登録状態確認
DNSを確認しています。登録情報は削除されています。
ADの登録状況を確認します。Computers、DomainControllersから削除されていて、登録はされていないようです。
一部設定は残っていました。見落とし注意です。
念のために確認。名前解決は当然できません。
以上。
