Ntdsutil.exe を使用してドメイン コントローラーに FSMO の役割を強制または転送する

文書番号: 255504 - 対象製品
この記事は、以前は次の ID で公開されていました: JP255504
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Ntdsutil.exe ユーティリティを使用して Flexible Single Master Operations (FSMO) の役割を転送または強制する方法について説明します。
先頭へ戻る | フィードバック

詳細

複数のマスターによる更新が適切でない、ドメイン全体およびエンタープライズ全体の特定の操作は、Active Directory のドメインまたはフォレスト内の 1 つのドメイン コントローラーによって実行されます。これらの一意の操作を実行するように割り当てられているドメイン コントローラーは、操作マスターまたは FSMO の役割の所有者と呼ばれます。

次の一覧は、Active Directory フォレストにおける 5 つの一意の FSMO の役割と、それらが実行する依存した操作です。
  • スキーマ マスター - スキーマ マスターの役割はフォレスト全体に対する役割であり、各フォレストに 1 つあります。この役割は、Active Directory フォレストのスキーマの拡張または adprep /domainprep コマンドの実行に必要です。
  • ドメイン名前付けマスター - ドメイン名前付けマスターの役割はフォレスト全体に対する役割であり、各フォレストに 1 つあります。この役割は、ドメインまたはアプリケーション パーティションの追加または削除をフォレストに対して行うために必要です。
  • RID マスター - RID マスターの役割はドメイン全体に対する役割であり、各ドメインに 1 つあります。この役割は、新規または既存のドメイン コントローラーがユーザー アカウント、コンピューター アカウント、またはセキュリティ グループを作成できるように RID プールを割り当てるために必要です。
  • PDC エミュレーター - PDC エミュレーターの役割はドメイン全体に対する役割であり、各ドメインに 1 つあります。この役割は、データベースの更新内容を Windows NT バックアップ ドメイン コントローラーに送信するドメイン コントローラーに必要です。この役割を所有するドメイン コントローラーは、特定の管理ツールからもアクセスされ、ユーザー アカウントとコンピューター アカウントのパスワードの更新時にもアクセスされます。
  • インフラストラクチャ マスター - インフラストラクチャ マスターの役割はドメイン全体に対する役割であり、各ドメインに 1 つあります。この役割は、ドメイン コントローラーが adprep /forestprep コマンドを正常に実行するために、およびドメインを越えて参照されるオブジェクトの SID 属性と識別名の属性を更新するために必要です。
Active Directory インストール ウィザード (Dcpromo.exe) により、5 つの FSMO の役割すべてがフォレストのルート ドメインの最初のドメイン コントローラーに割り当てられます。新しい子ドメインまたはツリー ドメインそれぞれの最初のドメイン コントローラーに、ドメイン全体に対する 3 つの役割が割り当てられます。 ドメイン コントローラーは、次の方法のいずれかを使用して再割り当てされた場合を除き、FSMO の役割を所有し続けます。
  • 管理者が GUI 管理ツールを使用して役割を再割り当てした場合。
  • 管理者が ntdsutil /roles コマンドを使用して役割を再割り当てした場合。
  • 管理者が Active Directory インストール ウィザードを使用して、役割を保持しているドメイン コントローラーを正常に降格した場合。このウィザードにより、ローカルで保持されている役割がフォレストの既存のドメイン コントローラーに再割り当てされます。 dcpromo /forceremoval コマンドを使用して実行される降格では、管理者によって再割り当てされるまで FSMO の役割が無効な状態のままになります。
次の場合は FSMO の役割を転送することをお勧めします。
  • 現在の役割の所有者が操作可能な状態であり、ネットワーク上で新しい FSMO の所有者からアクセスできる場合。
  • FSMO の役割を現在所有しているドメイン コントローラーを正常に降格し、Active Directory フォレスト内の特定のドメイン コントローラーにその役割を割り当てる場合。
  • 現在 FSMO の役割を所有しているドメイン コントローラーがメンテナンスのためにオフライン状態になる予定であり、特定の FSMO の役割を "現在実行されている" ドメイン コントローラーに割り当てる必要がある場合。これには、FSMO の所有者に接続する操作が必要になる場合があります。これは、PDC エミュレーターの役割には特に当てはまりますが、RID マスターの役割、ドメイン名前付けマスターの役割、およびスキーマ マスターの役割には多くの場合当てはまりません。
次の場合は FSMO の役割を強制することをお勧めします。
  • 現在の役割の所有者で FSMO に依存した操作の正常な完了を妨げる操作エラーが発生し、その役割が転送できない場合。
  • FSMO の役割を所有しているドメイン コントローラーが dcpromo /forceremoval コマンドを使用して強制的に降格される場合。
  • もともと特定の役割を所有していたコンピューターのオペレーティング システムが存在しないか、再インストールされた場合。
レプリケーション (複製) が実行されると、ドメインまたはフォレストの FSMO 以外のドメイン コントローラーは、FSMO を保持しているドメイン コントローラーによって行われた変更の完全な情報を取得します。 役割を転送する必要がある場合、候補として最適なドメイン コントローラーは、既存の役割の所有者から "FSMO パーティション" の書き込み可能なコピーの入力方向のレプリケーションが最後に行われたか最近行われた適切なドメインにあるドメイン コントローラーです。たとえば、スキーマ マスターの役割の所有者が CN=schema,CN=configuration,dc=<forest root domain> という識別名のパスを持っている場合、これは役割が CN=schema パーティションにあり、その一部としてレプリケート (複製) されていることを意味します。スキーマ マスターの役割を所有するドメイン コントローラーでハードウェアまたはソフトウェアのエラーが発生した場合、候補として適切な役割の所有者は、ルート ドメインにあり、現在の所有者と同じ Active Directory サイトにあるドメイン コントローラーです。 同じ Active Directory サイトにあるドメイン コントローラーは、5 分ごとまたは 15 秒ごとに入力方向のレプリケーションを実行します。

FSMO の各役割のパーティションは、次の一覧のとおりです。

元に戻す全体を表示する
FSMO 役割パーティション
スキーマCN=Schema,CN=configuration,DC=<forest root domain>
ドメイン名前付けマスターCN=configuration,DC=<forest root domain>
PDCDC=<domain>
RIDDC=<domain>
インフラストラクチャDC=<domain>


FSMO の役割を強制されたドメイン コントローラーに、フォレストの既存のドメイン コントローラーとの通信を許可しないでください。この場合、そのようなドメイン コントローラーのハード ディスクをフォーマットしてオペレーティング システムを再インストールするか、またはプライベート ネットワーク上でそのようなドメイン コントローラーを強制的に降格し、ntdsutil /metadata cleanup コマンドを使用してフォレストに残っているドメイン コントローラーにあるそれらのメタデータを削除する必要があります。 役割がフォレストに強制された元の FSMO の役割の所有者を導入するリスクは、元の役割の所有者が役割の強制の情報を入力方向でレプリケートするまで従来どおり操作を続行する可能性があることです。2 つのドメイン コントローラーが同じ FSMO の役割を所有している場合、重複した RID プールを持つセキュリティ プリンシパルが作成されるなどの問題が発生することが知られています。

FSMO の役割を転送する

Ntdsutil ユーティリティを使用して FSMO の役割を転送するには、以下の手順を実行します。
  1. Windows 2000 Server ベースまたは Windows Server 2003 ベースのメンバー コンピューター、または FSMO の役割が転送されるフォレストに所属しているドメイン コントローラーにログオンします。FSMO の役割を割り当てるドメイン コントローラーにログオンすることをお勧めします。ログオンしたユーザーは、スキーマ マスターまたはドメイン名前付けマスターの役割を転送するには Enterprise Administrators グループのメンバーである必要があります。PDC エミュレーター、RID マスター、およびインフラストラクチャ マスターの役割を転送する場合は、ドメインの Domain Administrators グループのメンバーである必要があります。
  2. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、[名前] ボックスに「ntdsutil」と入力し、[OK] をクリックします。
  3. roles」と入力し、Enter キーを押します。

    : Ntdsutil ユーティリティのプロンプトの 1 つで、使用できるコマンドの一覧を表示するには、「?」と入力して Enter キーを押します。
  4. connections」と入力し、Enter キーを押します。
  5. connect to server servername」と入力し、Enter キーを押します。servername には、FSMO の役割を割り当てるドメイン コントローラーの名前を指定します。
  6. server connections: プロンプトで「q」と入力し、Enter キーを押します。
  7. transfer role」と入力します。role には、転送する役割を指定します。転送できる役割の一覧を表示するには、fsmo maintenance プロンプトで「?」と入力して Enter キーを押します。または、この資料の冒頭にある役割の一覧を参照します。たとえば、RID マスターの役割を転送するには、「transfer rid master」と入力します。ただし、PDC エミュレーターの役割を転送する場合は、この構文が transfer pdc emulator ではなく、transfer pdc になります。
  8. fsmo maintenance プロンプトで「q」と入力し、Enter キーを押して ntdsutil プロンプトにアクセスします。「q」と入力し、Enter キーを押して Ntdsutil ユーティリティを終了します。

FSMO の役割を強制する

Ntdsutil ユーティリティを使用して FSMO の役割を強制するには、以下の手順を実行します。
  1. Windows 2000 Server ベースまたは Windows Server 2003 ベースのメンバー コンピューター、または FSMO の役割が強制されるフォレストに所属しているドメイン コントローラーにログオンします。FSMO の役割を割り当てるドメイン コントローラーにログオンすることをお勧めします。ログオンしたユーザーが、スキーマ マスターまたはドメイン名前付けマスターの役割を転送するには、Enterprise Administrators グループのメンバーである必要があります。PDC エミュレーター、RID マスター、およびインフラストラクチャ マスターの役割を転送する場合は、ドメインの Domain Administrators グループのメンバーである必要があります。
  2. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、[名前] ボックスに「ntdsutil」と入力し、[OK] をクリックします。
  3. roles」と入力し、Enter キーを押します。
  4. connections」と入力し、Enter キーを押します。
  5. connect to server servername」と入力し、Enter キーを押します。servername には、FSMO の役割を割り当てるドメイン コントローラーの名前を指定します。
  6. server connections: プロンプトで「q」と入力し、Enter キーを押します。
  7. seize role」と入力します。role には、強制する役割を指定します。強制できる役割の一覧を表示するには、fsmo maintenance プロンプトで「?」と入力して Enter キーを押します。または、この資料の冒頭にある役割の一覧を参照します。たとえば、RID マスターの役割を強制するには、「seize rid master」と入力します。ただし、PDC エミュレーターの役割を強制する場合は、この構文が seize pdc emulator ではなく、seize pdc になります。
  8. fsmo maintenance プロンプトで「q」と入力し、Enter キーを押して ntdsutil プロンプトにアクセスします。「q」と入力し、Enter キーを押して Ntdsutil ユーティリティを終了します。

    • 通常の状況では、5 つすべての役割をフォレストの "現在実行されている" ドメイン コントローラーに割り当てる必要があります。FSMO の役割を所有しているドメイン コントローラーを、役割が転送される前に停止する場合は、すべての役割を適切かつ正常なドメイン コントローラーに強制する必要があります。もう一方のドメイン コントローラーがドメインに戻らない場合は、すべての役割の強制のみを行うことをお勧めします。可能な場合は、FSMO の役割が割り当てられている破損したドメイン コントローラーを修復します。残されたドメイン コントローラーのどれに役割を割り当てるかを決定し、5 つすべての役割が 1 つのドメイン コントローラーに割り当てられるようにしてください。 FSMO の役割配置の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
      223346
      (http://support.microsoft.com/kb/223346/ )
      Active Directory ドメイン コントローラ上への FSMO の配置と最適化
    • 以前任意の FSMO の役割を保持していたドメイン コントローラーがドメイン内に存在しない場合、およびこの資料の手順を使用して強制した役割が既にドメイン コントロールにあった場合は、次のサポート技術情報の資料に記載されている手順に従って、Active Directory からその役割を削除します。
      216498
      (http://support.microsoft.com/kb/216498/ )
      ドメイン コントローラの降格に失敗した後、Active Directory のデータを削除する方法
    • Windows 2000 バージョンまたは Windows Server 2003 ビルド 3790 バージョンの ntdsutil /metadata cleanup コマンドでドメイン コントローラーのメタデータを削除すると、現在実行されているドメイン コントローラーに割り当てられている FSMO の役割は再配置されません。Windows Server 2003 Service Pack 1 (SP1) バージョンの Ntdsutil ユーティリティでは、この操作が自動化され、ドメイン コントローラーのメタデータの追加要素が削除されます。
    • バックアップを作成した後で役割が再割り当てされている場合があるため、ユーザーによっては FSMO の役割の所有者のシステム状態のバックアップを復元しない場合があります。
    • インフラストラクチャ マスターの役割を、グローバル カタログ サーバーと同じドメイン コントローラーに指定しないでください。インフラストラクチャ マスターをグローバル カタログ サーバーで実行すると、インフラストラクチャ マスターは、保持しないオブジェクトへの参照を含まないため、オブジェクト情報の更新を停止します。これは、グローバル カタログ サーバーに保存されているのが、フォレスト内の各オブジェクトの部分的なレプリカであるためです。
ドメイン コントローラーとグローバル カタログ サーバーが同じコンピューターで実行されているかどうかを確認するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[すべてのプログラム]、[管理ツール] を順にポイントし、[Active Directory サイトとサービス] をクリックします。
  2. 左側のウィンドウで [Sites] をダブルクリックし、適切なサイトを参照するか、他に利用できるサイトがない場合は [Default-first-site-name] をクリックします。
  3. [Servers] フォルダーを開き、ドメイン コントローラーをクリックします。
  4. ドメイン コントローラーのフォルダー内で、[NTDS Settings] をダブルクリックします。
  5. [操作] メニューの [プロパティ] をクリックします。
  6. [全般] タブで、[グローバル カタログ] チェック ボックスがオンになっているかどうかを確認します。
FSMO の役割の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
197132
(http://support.microsoft.com/kb/197132/ )
Windows 2000 Active Directory の FSMO 役割
223787
(http://support.microsoft.com/kb/223787/ )
[NT]Flexible Single Master Operation の転送と奪取のプロセス
先頭へ戻る | フィードバック

問題の再現手順

Windows Server 2008 コンピューターで DCPROMO を実行し、RID マスターがオフラインになっているドメインに参加します。アクティブな RID マスターを持っている必要がありますという警告が表示されます。次に、サポート技術情報の記事 255504 への参照が表示されます。
先頭へ戻る | フィードバック

プロパティ

文書番号: 255504 - 最終更新日: 2009年12月17日 - リビジョン: 8.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
キーワード:?
kbhowto KB255504
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る