【Windows】AD_FSMOロールの強制転送について

ActiveDirectory

はじめに

ADサーバの移行には欠かせないFSMOロールの転送について、今回は強制的に転送する方法を検証しました。ADが2台あってレプリケーションされている場合においても、停止時にFSMOロールを自動で片方のADに転送しません。

移行するときは着実に転送するように丁寧に手順を作って実施するので、強制転送するという場面には出会わないと思います。どちらかというと主系のADが潰れて復旧できないときの最終手段として、強制転送という選択になるのだと思います。

検証

過程はあまり重要ではないので、adsv03は既に停止させています。

確認のためにpingでadsv03に疎通を試みますが応答しません。

FSMOロールの所有者を確認すると、adsv03が持っていることが分かります。

本番環境ならどうにかこうにかしてadsv03を復旧させようとするかもしれませんが、今回は諦めた後というシナリオで考えます。

以下のコマンドでFSMOロールを強制的に転送します。途中、確認コマンドの結果に応じて次のコマンドの引数を決めるので、一気に流し込むような事はできません。

ntdsutil
metadata cleanup
connections
connect to server ADSV02
quit
select operation target

list domains
※対象ドメインの番号を確認

select domain <ドメイン番号>

list sites
※対象サイトの番号を確認

select site <対象サイトの番号>

list servers in site
※削除対象サーバの番号を確認

select server <削除対象サーバの番号>

quit

remove selected server

画面キャプチャ

以下は先ほどのコマンドを実行した時の画面キャプチャです。ADが本当に停止しているのか確認されます。

ロールを移動させる前に確認されます。

以下、ロール毎に聞かれます。

最後にFSMOロールを確認します。adsv02に転送されています。

ログ

蛇足ですが、ログです。

C:\Users\Administrator>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: connections
server connections: connect to server ADSV02
ADSV02 に結合しています...
ローカルでログオンしているユーザーの資格情報を使って ADSV02 に接続しました。
server connections: quit
metadata cleanup: select operation target
select operation target: list domains
1 個のドメインを検出しました
0 - DC=mochi,DC=ricecake24book,DC=com
select operation target: select domain 0
現在のサイトがありません
ドメイン - DC=mochi,DC=ricecake24book,DC=com
現在のサーバーがありません
現在の名前付けコンテキストがありません
select operation target: list sites
1 個のサイトを検出しました
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
select operation target: select site 0
サイト - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
ドメイン - DC=mochi,DC=ricecake24book,DC=com
現在のサーバーがありません
現在の名前付けコンテキストがありません
select operation target: list servers in site
2 個のサーバーを検出しました
0 - CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
1 - CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
select operation target: select server 1
サイト - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
ドメイン - DC=mochi,DC=ricecake24book,DC=com
サーバー - CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
        DSA オブジェクト - CN=NTDS Settings,CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
        DNS ホスト名 - adsv03.mochi.ricecake24book.com
        コンピューター オブジェクト - CN=ADSV03,OU=Domain Controllers,DC=mochi,DC=ricecake24book,DC=com
現在の名前付けコンテキストがありません
select operation target: quit
metadata cleanup: remove selected server
選択されたサーバーから FSMO 役割を転送/強制処理しています。
adsv02.mochi.ricecake24book.com に結合しています...
Domain Naming Master FSMO を "CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com" に移動させています。

強制前に domain naming FSMO の安全転送を試みています。
ldap_modify_sW エラー 0x34(52 (利用できません).
Ldap 拡張エラーメッセージ 000020AF: SvcErr: DSID-03210512, problem 5002 (UNAVAILABLE), data 1722

Win32 エラー 0x20af(要求された FSMO の操作に失敗しました。現在の FSMO の所有者に接続できませんでした。)
)
エラー コードにより、接続、LDAP、または役割の転送エラー
を示すことがあります。
domain naming FSMO の転送に失敗しました。強制処理 (seize) 中です...
サーバー "ADSV02" は 5 個の役割を認識しています
スキーマ - CN=NTDS Settings,CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
名前付けマスター - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
PDC - CN=NTDS Settings,CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
RID - CN=NTDS Settings,CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
インフラストラクチャ - CN=NTDS Settings,CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
Schema Master FSMO を "CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com" に移動させています。

強制前に schema FSMO の安全転送を試みています。
ldap_modify_sW エラー 0x34(52 (利用できません).
Ldap 拡張エラーメッセージ 000020AF: SvcErr: DSID-03210512, problem 5002 (UNAVAILABLE), data 1722

Win32 エラー 0x20af(要求された FSMO の操作に失敗しました。現在の FSMO の所有者に接続できませんでした。)
)
エラー コードにより、接続、LDAP、または役割の転送エラー
を示すことがあります。
schema FSMO の転送に失敗しました。強制処理 (seize) 中です...
サーバー "ADSV02" は 5 個の役割を認識しています
スキーマ - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
名前付けマスター - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
PDC - CN=NTDS Settings,CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
RID - CN=NTDS Settings,CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
インフラストラクチャ - CN=NTDS Settings,CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
PDC FSMO を "CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com" に移動させています。

強制前に PDC FSMO の安全転送を試みています。
ldap_modify_sW エラー 0x34(52 (利用できません).
Ldap 拡張エラーメッセージ 000020AF: SvcErr: DSID-032108D4, problem 5002 (UNAVAILABLE), data 1722

Win32 エラー 0x20af(要求された FSMO の操作に失敗しました。現在の FSMO の所有者に接続できませんでした。)
)
エラー コードにより、接続、LDAP、または役割の転送エラー
を示すことがあります。
PDC FSMO の転送に失敗しました。強制処理 (seize) 中です...
サーバー "ADSV02" は 5 個の役割を認識しています
スキーマ - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
名前付けマスター - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
PDC - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
RID - CN=NTDS Settings,CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
インフラストラクチャ - CN=NTDS Settings,CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
Rid Master FSMO を "CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com" に移動させています。

強制前に RID FSMO の安全転送を試みています。
ldap_modify_sW エラー 0x34(52 (利用できません).
Ldap 拡張エラーメッセージ 000020AF: SvcErr: DSID-03211311, problem 5002 (UNAVAILABLE), data 1722

Win32 エラー 0x20af(要求された FSMO の操作に失敗しました。現在の FSMO の所有者に接続できませんでした。)
)
エラー コードにより、接続、LDAP、または役割の転送エラー
を示すことがあります。
RID FSMO の転送に失敗しました。強制処理 (seize) 中です...
ドメインの最高値の RID プールを検索しています
サーバー "ADSV02" は 5 個の役割を認識しています
スキーマ - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
名前付けマスター - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
PDC - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
RID - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
インフラストラクチャ - CN=NTDS Settings,CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
*** 警告: インフラストラクチャ マスターの役割をホストするための、非 GC ドメイン コントローラーを検索できません。代わりに、GC で役割をホストしてください。
Infrastructure Master FSMO を "CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com" に移動させています。

強制前に infrastructure FSMO の安全転送を試みています。
ldap_modify_sW エラー 0x34(52 (利用できません).
Ldap 拡張エラーメッセージ 000020AF: SvcErr: DSID-03210512, problem 5002 (UNAVAILABLE), data 1722

Win32 エラー 0x20af(要求された FSMO の操作に失敗しました。現在の FSMO の所有者に接続できませんでした。)
)
エラー コードにより、接続、LDAP、または役割の転送エラー
を示すことがあります。
infrastructure FSMO の転送に失敗しました。強制処理 (seize) 中です...
サーバー "ADSV02" は 5 個の役割を認識しています
スキーマ - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
名前付けマスター - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
PDC - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
RID - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
インフラストラクチャ - CN=NTDS Settings,CN=ADSV02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com
選択されたサーバーのために FRS メタデータを削除しています。
"CN=ADSV03,OU=Domain Controllers,DC=mochi,DC=ricecake24book,DC=com" 下で FRS メンバーを検索しています。
"CN=ADSV03,OU=Domain Controllers,DC=mochi,DC=ricecake24book,DC=com" 下のサブツリーを削除しています。
CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com 上の FRS 設 定の削除に失敗しました。原因は次のとおりです: "要素が見つかりません。";
メタデータのクリーンアップは続行されます。
"CN=ADSV03,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mochi,DC=ricecake24book,DC=com" をサーバー "ADSV02"から削除しました
metadata cleanup: quit
ntdsutil: quit

登録状態確認

DNSを確認しています。登録情報は削除されています。

ADの登録状況を確認します。Computers、DomainControllersから削除されていて、登録はされていないようです。

一部設定は残っていました。見落とし注意です。

念のために確認。名前解決は当然できません。

以上。