Active Directory Domain Servicesでの操作マスターロールの転送または押収

この記事では、操作マスター ロール (旧称フレキシブル シングル マスター操作 (FSMO) ロール) を転送または押収するタイミングと方法について説明します。

適用対象:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
元の KB 番号: 255504

詳細情報

Active Directory Domain Services (AD DS) フォレスト内には、1 つのドメイン コントローラー (DC) だけで実行する必要がある特定のタスクがあります。 これらの一意の操作を実行するために割り当てられた DC は、操作マスター ロール所有者と呼ばれます。 次の表に、操作マスター ロールと Active Directory での配置を示します。

役割 範囲 名前付けコンテキスト (Active Directory パーティション)
スキーマ マスター フォレスト全体 CN=Schema,CN=configuration,DC=<forest root domain>
ドメイン名前付けマスター フォレスト全体 CN=configuration,DC=<forest root domain>
PDC エミュレーター ドメイン全体 DC=<domain>
RID マスター ドメイン全体 DC=<domain>
インフラストラクチャ マスター ドメイン全体 DC=<domain>

操作マスター ロール所有者とロールを配置するための推奨事項の詳細については、「 Active Directory ドメイン コントローラーでの FSMO の配置と最適化」を参照してください。

注:

DNS アプリケーション パーティションを含む Active Directory アプリケーション パーティションには、操作マスター ロール リンクがあります。 DNS アプリケーション パーティションでインフラストラクチャ マスター (IM) ロールの所有者が定義されている場合、Ntdsutil、DCPromo、またはその他のツールを使用してそのアプリケーション パーティションを削除することはできません。 詳細については、「 DNS インフラストラクチャ マスターに接続できない場合に DCPROMO の降格が失敗する」を参照してください。

ロール所有者として機能していた DC の実行が開始されると (たとえば、障害やシャットダウン後)、ロール所有者としての動作はすぐには再開されません。 DC は、名前付けコンテキストの入力方向のレプリケーションを受信するまで待機します (たとえば、スキーマ マスターの役割所有者は、スキーマ パーティションの入力方向のレプリケーションを受信するまで待機します)。

DC が Active Directory レプリケーションの一部として渡す情報には、現在の操作マスター ロール所有者の ID が含まれます。 新しく開始された DC は、受信レプリケーション情報を受け取ると、それが引き続きロール所有者であるかどうかを確認します。 役割所有者の場合は、一般的な操作を再開します。 別の DC が役割所有者として機能していることをレプリケートされた情報が示している場合、新しく開始された DC は役割の所有権を放棄します。 この動作により、ドメインまたはフォレストに操作マスター ロール所有者が重複する可能性が低くなります。

重要

AD FS 操作は、ロール所有者が必要であり、新しく開始されたロール所有者が実際にはロール所有者であり、受信レプリケーションを受信しない場合は失敗します。
その際の動作は、役割所有者がオフラインの場合の動作と似ています。

役割を転送または強制移行するタイミングを決定する

通常の状況では、5 つすべての役割をフォレストの「現在実行されている」ドメイン コントローラーに割り当てる必要があります。 Active Directory フォレストを作成すると、Active Directory インストール ウィザード (Dcpromo.exe) によって、フォレスト ルート ドメインに作成される最初の DC に 5 つの操作マスター ロールがすべて割り当てられます。 子ドメインまたはツリー ドメインを作成すると、作成メカニズムによって、ドメイン内の最初の DC に 3 つのドメイン全体のロールが割り当てられます。

DC は、次のいずれかの方法を使用して再割り当てされるまで、操作マスター ロールを所有し続けます。

  • 管理者が GUI 管理ツールを使用して役割を再割り当てした場合。
  • 管理者が ntdsutil /roles コマンドを使用して役割を再割り当てした場合。
  • 管理者が Active Directory インストール ウィザードを使用して、役割を保持しているドメイン コントローラーを正常に降格した場合。 このウィザードにより、ローカルで保持されている役割がすべて、フォレスト内の既存のドメイン コントローラーに再割り当てされます。
  • 管理者は、 または dcpromo /forceremoval コマンドを使用して、ロール保持 DC をUninstall-ADDSDomainController -ForceRemoval降格します。
  • DC はシャットダウンして再起動します。 DC が再起動すると、別の DC が役割所有者であることを示す入力方向のレプリケーション情報が受信されます。 この場合、新しく開始された DC によって役割が放棄されます (前述のように)。

操作マスターロール所有者が障害を経験した場合、またはロールが転送される前にサービスを終了した場合は、すべてのロールを適切で正常な DC に押収して転送する必要があります。

次のシナリオでは、操作マスターロールを転送することをお勧めします。

  • 現在のロール所有者は操作可能であり、新しい操作マスター所有者がネットワーク上でアクセスできます。
  • 現在、Active Directory フォレスト内の特定の DC に割り当てる操作マスター ロールを所有している DC を適切に降格しています。
  • 現在操作マスター ロールを所有している DC は、スケジュールされたメンテナンスのためにオフラインになり、特定の操作マスター ロールをライブ DC に割り当てる必要があります。 操作マスター所有者に影響を与える操作を実行するには、ロールを転送する必要がある場合があります。 これは、PDC エミュレーターの役割に特に当てはまります。 これは、RID マスター、ドメイン名前付けマスター、およびスキーマ マスターの役割には、あまり重要な問題ではありません。

次のシナリオでは、操作マスターロールを押収することをお勧めします。

  • 現在のロール所有者は、操作マスター依存の操作が正常に完了できず、ロールを転送できない操作エラーが発生しています。

  • または dcpromo /forceremoval コマンドをUninstall-ADDSDomainController -ForceRemoval使用して、操作マスター ロールを所有する DC を強制的に降格します。

    重要

    コマンドは force-demote 、管理者によって再割り当てされるまで、操作マスター ロールを無効な状態のままにすることができます。

  • もともと特定の役割を所有していたコンピュータのオペレーティング システムが存在しないか、再インストールされた場合。

注:

  • 前のロール所有者がドメインに戻っていない場合にのみ、すべてのロールを押収することをお勧めします。
  • フォレストの回復シナリオで操作マスター ロールを押収する必要がある場合は、「各ドメインの最初の書き込み可能なドメイン コントローラーを復元する」セクションの「初期復旧の実行」の手順 5 を参照してください。
  • ロールの移転または発作の後、新しいロール所有者はすぐには動作しません。 代わりに、新しい役割所有者は再起動された役割所有者のように動作し、役割 (ドメイン パーティションなど) の名前付けコンテキストのコピーを待機して入力方向のレプリケーション サイクルを正常に完了させます。 このレプリケーション要件は、アクションを実行する前に、新しい役割所有者を可能な限り最新にするのに役立ちます。 また、エラーが発生する期間も制限されます。 このウィンドウには、オフラインになる前に前の役割所有者が他の DC へのレプリケートを完了しなかった変更のみが含まれます。 各操作マスター ロールの名前付けコンテキストの一覧については、「 詳細 」セクションの表を参照してください。

新しい役割所有者を特定する

新しい役割所有者の最適な候補は、次の条件を満たす DC です。

  • これは、前の役割所有者と同じドメインに存在します。
  • 役割パーティションの最新のレプリケートされた書き込み可能なコピーがあります。

たとえば、スキーマ マスター役割を転送する必要があるとします。 スキーマ マスター ロールは、フォレストのスキーマ パーティション (CN=スキーマ、CN=Configuration、DC=<フォレスト ルート ドメイン>) の一部です。 新しい役割所有者の最適な候補は、フォレスト ルート ドメインと、現在の役割所有者と同じ Active Directory サイトに存在する DC です。

注意

次の条件に該当する場合、インフラストラクチャ マスター ロールは不要です。

  • ドメイン内のすべてのドメイン コントローラーはグローバル カタログ (GC) です。 この場合、GC はクロスドメイン参照を削除する更新プログラムを取得します。
  • AD ごみ箱はフォレストで有効になっています。 この場合、各 DC は参照の更新を担当します。

監視ツールからのエラーや警告を回避するために、インフラストラクチャ マスターの適切な所有者を定義することをお勧めします。

引き続きインフラストラクチャ マスター ロールが必要な場合は、次の手順を実行します。
インフラストラクチャ マスター ロールをグローバル カタログ サーバーと同じ DC に配置しないでください。 インフラストラクチャ マスターがグローバル カタログ サーバー上で実行されている場合は、保持していないオブジェクトへの参照が含まれていないため、オブジェクト情報の更新が停止します。 これは、グローバル カタログ サーバーに保持されているのは、フォレスト内の各オブジェクトの部分的なレプリカであるためです。

Active Directory ごみ箱を有効にすると、インフラストラクチャ マスター ロールは使用されなくなります。 AD ごみ箱は、削除されるオブジェクトの紹介を処理する方法を変更します。

DC がグローバル カタログ サーバーでもあるかどうかをテストするには、次の手順に従います。

Active Directory サイトとサービスの使用:

  1. [開始]、>[プログラム]、>[管理ツール]、>[Active Directory サイトとサービス] の順に選択します。
  2. ナビゲーション ウィンドウで [ サイト ] をダブルクリックし、適切なサイトを探すか、他のサイトが使用できない場合は [既定の最初のサイト名 ] を選択します。
  3. [サーバー] フォルダーを開き、DC を選択します。
  4. ドメイン コントローラーのフォルダー内で、[NTDS 設定] をダブルクリックします。
  5. [操作] メニューの [プロパティ] をクリックします。
  6. [全般] タブで、[グローバル カタログ チェック] ボックスを表示して、選択されているかどうかを確認します。

Windows PowerShellの使用:

  1. PowerShell を起動します。

  2. 次のコマンドレットを入力し、実際の DC 名で調整 DC_NAME します。

    (Get-ADDomainController -Filter { Name -Eq 'DC_NAME' }).IsGlobalCatalog
    
  3. 出力は または FalseになりますTrue

詳細については、以下を参照してください。

操作マスターロールを押収または転送する

Windows PowerShellまたは Ntdsutil を使用して、ロールを押収または転送できます。 これらのタスクに PowerShell を使用する方法の詳細と例については、「 Move-ADDirectoryServerOperationMasterRole」を参照してください。

重要

ドメイン内の SID が重複するリスクを回避するために、RID マスターの発作は、RID マスター ロールを押収するときに、プール内の次に使用可能な RID をインクリメントします。 この動作により、フォレストで使用可能な RID 値の範囲が大幅に消費される可能性があります (RID バーンとも呼ばれます)。 そのため、現在の Rid Master をサービスに戻すことができると確信している場合にのみ、Rid Master を押収します。

RID マスター ロールを使用する必要がある場合は、次の詳細を考慮してください。

  • Move-ADDirectoryServerOperationMasterRole コマンドレットを使用すると、次の Rid プールが Active Directory で検出されたものから 30,000 ずつ増やされます。
  • カテゴリ コマンドで Ntdsutil.exe ユーティリティを roles 使用すると、次の Rid プールが 10,000 増加します。

Ntdsutil ユーティリティを使用して操作マスター ロールを押収または転送するには、次の手順に従います。

  1. AD RSAT ツールがインストールされているメンバー コンピューター、または操作マスターの役割が転送されているフォレストにある DC にサインインします。

    注:

    • 操作マスター ロールを割り当てる DC にログオンすることをお勧めします。
    • サインインしているユーザーは、スキーマ マスターまたはドメインの名前付けマスターロールを転送するエンタープライズ管理者グループのメンバーであるか、PDC エミュレーター、RID マスター、インフラストラクチャ マスターの役割が転送されているドメインのドメイン管理者グループのメンバーである必要があります。
  2. [スタート] >ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、[開く] ボックスに「ntdsutil」と入力し、[OK] をクリックします。

  3. roles」と入力し、Enter キーを押します。

    注:

    注: Ntdsutil ユーティリティのプロンプトで、使用できるコマンドの一覧を表示するには、「?」と入力して Enter キーを押します。

  4. connections」と入力し、Enter キーを押します。

  5. 「サーバー <サーバー名>に接続する」と入力し、Enter キーを押します。

    注:

    このコマンドでは、 <servername> は、操作マスター ロールを割り当てる DC の名前です。

  6. server connections プロンプトで「q」と入力し、Enter キーを押します。

  7. 以下のいずれかを実行します。

    • ロールを転送するには、「 転送 <ロール>」と入力し、Enter キーを押します。

      注:

      このコマンドでは、 <ロール> は転送するロールです。

    • ロールを押し込むには、「役割を押さえる<>」と入力し、Enter キーを押します。

      注:

      このコマンドでは、 <ロール> は押収するロールです。

    たとえば、RID マスターの役割を強制移行するには、「seize rid master」と入力します。 例外は、構文が「seize pdc」である PDC エミュレーターのロールと、構文が「seize naming master」であるドメインの名前付けマスターの場合です。

    転送または押収できるロールの一覧を表示するには、fsmo メンテナンス プロンプトで「?」と入力し、Enter キーを押すか、この記事の冒頭にあるロールの一覧を参照してください。

  8. fsmo maintenance プロンプトで「q」と入力し、Enter キーを押して ntdsutil プロンプトにアクセスします。 「q」と入力し、Enter キーを押して Ntdsutil ユーティリティを終了します。

以前のロール所有者を修復または削除する場合の考慮事項

可能な場合は、ロールを押収する代わりにロールを転送できる場合は、前のロール所有者を修正します。 前のロール所有者を修正できない場合、またはロールを押収した場合は、ドメインから前のロール所有者を削除します。

重要

修復されたコンピューターを DC として使用する場合は、バックアップから DC を復元する代わりに、コンピューターを最初から DC に再構築することをお勧めします。 復元プロセスでは、DC がロール 所有者として再び再構築されます。

  • 修復されたコンピューターを DC としてフォレストに返すには:

    1. 以下のいずれかを実行します。

      • 以前のロール所有者のハード ディスクをフォーマットし、コンピューターに Windows を再インストールします。
      • 以前のロール所有者をメンバー サーバーに強制的に降格します。
    2. フォレスト内の別の DC で、Ntdsutil を使用して、以前のロール所有者のメタデータを削除します。 詳細については、「 Ntdsutil を使用してサーバー メタデータをクリーンアップするには」を参照してください。

    3. メタデータをクリーンアップした後、コンピューターを DC に再昇格し、そのコンピューターにロールを戻すことができます。

  • 役割を押収した後でフォレストからコンピューターを削除するには:

    1. ドメインからコンピューターを削除します。
    2. フォレスト内の別の DC で、Ntdsutil を使用して、以前のロール所有者のメタデータを削除します。 詳細については、「 Ntdsutil を使用してサーバー メタデータをクリーンアップするには」を参照してください。

レプリケーション アイランドを再統合する場合の考慮事項

ドメインまたはフォレストの一部がドメインまたはフォレストの残りの部分と長時間通信できない場合、ドメインまたはフォレストの分離されたセクションはレプリケーション アイランドと呼ばれます。 ある島の DC は、他の島の DC とレプリケートできません。 複数のレプリケーション サイクルで、レプリケーション アイランドが同期しなくなっている。各島に独自のオペレーション マスター ロール所有者が存在する場合、島間の通信を復元するときに問題が発生する可能性があります。

重要

ほとんどの場合、(この記事で説明されているように) 初期レプリケーション要件を利用して、重複するロール所有者を除外できます。 再起動されたロール所有者は、重複するロール所有者が検出された場合、ロールを放棄する必要があります。
この動作が解決しない状況が発生する場合があります。 このような場合は、このセクションの情報が役に立つ場合があります。

次の表は、フォレストまたはドメインにそのロールのロール所有者が複数ある場合に問題が発生する可能性がある操作マスター ロールを示しています。

役割 複数のロール所有者間の潜在的な競合
スキーマ マスター はい
ドメイン名前付けマスター はい
RID マスター はい
PDC エミュレーター 不要
インフラストラクチャ マスター 不要

この問題は、PDC エミュレーター マスターまたはインフラストラクチャ マスターには影響しません。 これらのロール所有者は、運用データを保持しません。 さらに、インフラストラクチャ マスターは頻繁に変更を加えません。 そのため、複数のアイランドにこれらのロール所有者が存在する場合は、長期的な問題を引き起こすことなく、アイランドを再統合できます。

スキーマ マスター、ドメインの名前付けマスター、RID マスターは、オブジェクトを作成し、Active Directory に変更を保持できます。 これらのロール所有者のいずれかを持つ各アイランドには、レプリケーションを復元するまでに、スキーマ オブジェクト、ドメイン、または RID プールが重複して競合する可能性があります。 アイランドを再統合する前に、保持するロール所有者を決定します。 この記事で説明されている修復、削除、クリーンアップの手順に従って、重複するスキーマ マスター、ドメイン名前付けマスター、RID マスターをすべて削除します。

関連情報

詳細については、以下を参照してください。