Active Directory ドメイン サービスで FSMO の役割を移行または強制移行する

適用対象: Windows Server, version 2004, all editionsWindows Server, version 1903, all editionsWindows Server 2019, all editions

概要


この記事では、Flexible Single Master Operations (FSMO) の役割を移行または強制移行するタイミングと方法について説明します。 

詳細情報


Active Directory ドメイン サービス (AD DS) フォレスト内には、1 つのドメイン コントローラーのみで実行する必要がある特定のタスクがあります。 これらの一意の操作を実行するために割り当てられた DC は、フレキシブルな単一の操作マスタ (FSMO) の役割所有者と呼ばれます。 次の表に、FSMO の役割と、Active Directory でのそれらの配置を示します。

役割
対象
名前付けコンテキスト (Active Directory パーティション)
スキーマ マスタ フォレスト全体 CN=Schema,CN=configuration,DC=<forest root domain>
ドメイン名前付けマスタ フォレスト全体 CN=configuration,DC=<forest root domain>
RID マスタ ドメイン全体 DC=<domain>
PDC エミュレータ ドメイン全体 DC=<domain>
インフラストラクチャ マスタ ドメイン全体 DC=<domain>
 

FSMO の役割所有者と役割を配置するための推奨事項の詳細については、「 Active Directory ドメイン コントローラーでの FSMO の配置と最適化」を参照してください。 

役割所有者として機能していた DC が実行を開始したとき (たとえば、障害やシャットダウンの後)、すぐに役割所有者としての動作を再開しません。 DC は、名前付けコンテキストの受信レプリケーションを受信するまで待機します (たとえば、スキーマ マスタの役割所有者は、スキーマ パーティションの受信レプリケーションの受信を待機します)。

DC が Active Directory レプリケーションの一部として渡す情報には、現在の FSMO の役割所有者の ID が含まれます。 新しく開始された DC は、受信レプリケーション情報を受信すると、それがまだ役割所有者であるかどうかを確認します。 その場合は、通常の操作を再開します。 レプリケートされた情報が、別の DC が役割所有者として機能していることを示している場合、新しく開始された DC はその役割の所有権を放棄します。 この動作により、ドメインまたはフォレストに FSMO の役割所有者が重複する可能性が低くなります。

詳細については、次の「サポート技術情報」 (Microsoft Knowledge Base) の資料を参照してください。

305476 Windows Server における操作マスタの役割を持つ初期同期の要件

 

役割を移行または強制移行するタイミングを決定する

通常の状況では、5 つすべての役割をフォレストの「現在実行されている」DC に割り当てる必要があります。 Active Directory フォレストを作成すると、Active Directory インストールウィザード (Dcpromo.exe) は、フォレスト ルート ドメインで作成する最初の DC に 5 つすべての FSMO の役割を割り当てます。 子ドメインまたはツリー ドメインを作成すると、Dcpromo.exe は 3 つのドメイン全体の役割をドメインの最初のDCに割り当てます。

DC は、次の方法のいずれかによって再割り当てされるまで、FSMO の役割を所有し続けます。

  • 管理者が GUI 管理ツールを使用して役割を再割り当てした場合。
  • 管理者が ntdsutil /roles コマンドを使用して役割を再割り当てした場合。
  • 管理者が Active Directory インストール ウィザードを使用して、役割を保持している DC を正常に降格させます。 このウィザードにより、ローカルで保持されている役割がすべて、フォレスト内の既存の DC に再割り当てされます。
  • 管理者が dcpromo /forceremoval コマンドを使用して、役割を保持している DC を降格させます。
  • DC がシャットダウンして再起動します。 DC が再起動すると、別の DC が役割所有者であることを示す受信レプリケーション情報を受信します。 この場合、新しく開始された DC は役割を放棄します (前述のとおり)。

FSMO の役割所有者に障害が発生した場合、またはその役割が移行される前にサービスが停止した場合は、すべての役割を適切かつ正常な DC に強制移行して移行する必要があります。

次の場合は FSMO の役割を移行することをお勧めします。

  • 現在の役割の所有者が操作可能な状態であり、ネットワーク上で新しい FSMO の所有者からアクセスできる場合。
  • FSMO の役割を現在所有している DC を正常に降格し、Active Directory フォレスト内の特定の DC にその役割を割り当てます。
  • 現在 FSMO の役割を所有している DC がメンテナンスのためにオフライン状態になる予定であり、特定の FSMO の役割を「現在実行されている」DC に割り当てる必要があります。 FSMO 所有者に影響する操作を実行するには、役割を移行する必要がある場合があります。 これは、特に PDC エミュレータの役割に当てはまります。 これは、RID マスタの役割、ドメイン名前付けマスタの役割、およびスキーマ マスタの役割にとって重要ではない問題です。

次の場合は FSMO の役割を強制移行することをお勧めします。

  • 現在の役割の所有者で FSMO に依存した操作の正常な完了を妨げる操作エラーが発生し、その役割を移行できない場合。
  • dcpromo /forceremoval コマンドを使用して、FSMO の役割を所有する DC を強制的に降格させます。
  • もともと特定の役割を所有していたコンピュータのオペレーティング システムが存在しないか、再インストールされた場合。 


新しい役割所有者の特定

新しい役割所有者の最適な候補は、次の条件を満たす DC です。

  • これは、前の役割所有者と同じドメインに存在します。
  • 役割パーティションの最新のレプリケートされた書き込み可能コピーがあります。

たとえば、スキーマ マスタの役割を移行する必要があるとします。 スキーマ マスタのロールは、フォレストのスキーマ パーティションの一部です(cn=Schema,cn=Configuration,dc=<forest root domain>)。 新しいロールの所有者の最も適した候補は、フォレスト ルート ドメインにも存在する DC で、現在のロールの所有者と同じ Active Directory サイトに存在します。

詳細については、以下の資料を参照してください。


FSMO の役割を強制移行または移行する

Windows PowerShell または Ntdsutil を使用して、役割を強制移行または移行できます。 これらのタスクに PowerShell を使用する方法の情報と例については、「Move-ADDirectoryServerOperationMasterRole」を参照してください。

Ntdsutil ユーティリティを使用して FSMO の役割を強制移行または移行するには、以下の手順を実行します。

  1. AD RSAT ツールがインストールされているメンバー コンピューター、または FSMO の役割が移行されるフォレストにある DC にサインインします。
  2. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、[開く] ボックスに「ntdsutil」と入力し、[OK] をクリックします。
  3. roles」と入力し、Enter キーを押します。
  4. connections」と入力し、Enter キーを押します。
  5. connect to server servername」と入力し、Enter キーを押します。
  6. server connections プロンプトで「q」と入力し、Enter キーを押します。
  7. 以下のいずれかの手順を実行します。
    • ロールを移行するには: 「transfer <role>」と入力し、Enter キーを押します。
    • 役割を強制移行するには:seize <role>」と入力し、Enter キーを押します。
    たとえば、RID マスタの役割を強制移行するには、「seize rid master」と入力します。 ただし、PDC エミュレーターの役割を移行する場合は、この構文が seize pdc emulator ではなく、seize pdc になります。

    移行または強制移行できる役割の一覧を表示するには、fsmo maintenance プロンプトで「?」と入力して Enter キーを押します。または、この記事の冒頭にある役割の一覧を参照します。
  8. fsmo maintenance プロンプトで「q」と入力し、Enter キーを押して ntdsutil プロンプトにアクセスします。 「q」と入力し、Enter キーを押して Ntdsutil ユーティリティを終了します。


前の役割所有者を修復または削除する際の考慮事項

可能な場合、および役割を強制移行する代わりに役割を移行できた場合は、前の役割所有者を修正します。 前の役割所有者を修正できない場合、または役割を強制移行した場合は、ドメインから前の役割所有者を削除します。

修復したコンピューターを DC としてフォレストに戻すには

  1. 以下のいずれかの手順を実行します。
    • 前の役割所有者のハード ディスクをフォーマットし、コンピューターに Windows を再インストールします。
    • 前の役割所有者をメンバー サーバーに強制的に降格させます。
  2. フォレスト内の別の DC で、Ntdsutil を使用して、前の役割所有者のメタデータを削除します。 詳細については、「 Ntdsutil を使用してサーバーメタデータをクリーンアップするには」を参照してください。
  3. メタデータをクリーンアップした後、コンピューターを DC に再び昇格させ、ロールを DC に転送します。

ロールを削除した後にコンピューターをフォレストから削除するには

  1. ドメインからコンピューター アカウントを削除します。
  2. フォレスト内の別の DC で、Ntdsutil を使用して、以前のロール 所有者のメタデータを削除します。詳細については、「Ntdsutil を使用してサーバー メタデータをクリーンアップするには」を参照してください。


レプリケーション アイランドを再統合する際の考慮事項

ドメインまたはフォレストの一部がドメインまたはフォレストの他の部分と長時間通信できない場合、ドメインまたはフォレストの分離されたセクションはレプリケーション アイランドと呼ばれます。 あるアイランドの DC は、他のアイランドの DC とレプリケートできません。 複数のレプリケーション サイクルにわたって、レプリケーション アイランドは同期しなくなります。 各アイランドに独自の FSMO 役割所有者が存在する場合、アイランド間の通信を復元するときに問題が発生する可能性があります。

次の表は、フォレストまたはドメインに、そのロールに対して複数のロールの所有者が存在する場合に、問題を引き起こす可能性がある FMSO のロールを示しています。

役割
複数のロール所有者間の潜在的な競合?
スキーマ マスタ

あり

ドメイン名前付けマスタ あり
RID マスタ あり
PDC エミュレータ なし
インフラストラクチャ マスタ なし
 

この問題は、PDC エミュレータ マスタまたはインフラストラクチャ マスタには影響しません。 これらの役割所有者は、操作データを保持しません。 また、インフラストラクチャ マスタは頻繁に変更を行いません。 したがって、複数のアイランドにこれらの役割所有者が存在する場合、長期的な問題を引き起こすことなくアイランドを再統合できます。

スキーマ マスタ、ドメイン名前付けマスタ、RID マスタは、Active Directory でオブジェクトを作成し、変更を保持できます。 これらの役割所有者のいずれかが存在する各アイランドでは、レプリケーションを復元するまでに、スキーマ オブジェクト、ドメイン、または RID プールが重複し、競合する可能性があります。 アイランドを再統合する前に、保持する役割所有者を決定します。 この記事に記載されている修復、削除、およびクリーンアップの手順に従って、重複するスキーマ マスタ、ドメイン名前付けマスタ、および RID マスタを削除します。

関連情報


次の関連記事は、「サポート技術情報」 (Microsoft Knowledge Base) で利用できます。

  • 197132 Windows での Active Directory FSMO の役割
  • 223346 Active Directory ドメイン コントローラー上での FSMO の配置と最適化
  • 223787 Flexible Single Master Operation の移行と強制移行のプロセス
  • 305476 Windows Server における操作マスタの役割を持つ初期同期の要件
  • 816099 方法: Ntdsutil を使用して、Windows Server で重複するセキュリティ識別子を検索してクリーンアップする
  • 2001093 DNS イベント ID 4013 のトラブルシューティング: DNS サーバーは、AD 統合 DNS ゾーンを読み込めませんでした。
  • 2694933 DNS インフラストラクチャ マスタに接続できない場合に DCPROMO 降格が失敗する

次の記事は、Microsoft Online ドキュメントから閲覧できます。