Ntdsutil.exe を使用して別のドメイン コントローラーに FSMO の役割を移行または強制移行する

適用対象: Windows Server Datacenter CoreWindows Server Standard CoreMicrosoft Windows Server 2003 Standard Edition (32-bit x86) 詳細

概要


この資料では、Ntdsutil.exe ユーティリティを使用して Flexible Single Master Operations (FSMO) の役割を移行または強制移行する方法について説明します。

詳細情報


ドメイン全体およびエンタープライズ全体にわたる操作のうち、マルチマスター更新に適さない特定の操作は、Active Directory ドメインまたは Active Directory フォレスト内の単一のドメイン コントローラーによって実行されます。 こうした固有の操作を実行するように割り当てられているドメイン コントローラーは、操作マスターまたは FSMO の役割の所有者と呼ばれます。

次の一覧は、Active Directory フォレストにおける 5 つの一意の FSMO の役割と、それらが実行する依存した操作です。
  • スキーマ マスター - スキーマ マスターの役割はフォレスト全体に対する役割であり、各フォレストに 1 つあります。 この役割は、Active Directory フォレストのスキーマの拡張や、adprep /domainprep コマンドの実行に必要です。
  • ドメイン名前付けマスター - ドメイン名前付けマスターの役割はフォレスト全体に対する役割であり、各フォレストに 1 つあります。 この役割は、フォレストを対象としたドメインやアプリケーション パーティションの追加や削除を行うために必要です。
  • RID マスター - RID マスターの役割はドメイン全体に対する役割であり、各ドメインに 1 つあります。 この役割は、新規または既存のドメイン コントローラーがユーザー アカウントや、コンピューター アカウントや、セキュリティ グループを作成できるように、RID プールを割り当てるために必要です。
  • PDC エミュレーター - PDC エミュレーターの役割はドメイン全体に対する役割であり、各ドメインに 1 つあります。 データベースの更新内容を Windows NT バックアップ ドメイン コントローラーに送信するドメイン コントローラーには、この役割が必要です。 この役割を所有するドメイン コントローラーは、特定の管理ツールからもアクセスされ、ユーザー アカウントとコンピューター アカウントのパスワードの更新時にもアクセスされます。
  • インフラストラクチャ マスター - インフラストラクチャ マスターの役割はドメイン全体に対する役割であり、各ドメインに 1 つあります。 この役割は、ドメイン コントローラーが adprep /forestprep コマンドを正常に実行するために、およびドメインを越えて参照されるオブジェクトの SID 属性と識別名属性を更新するために必要です。
Active Directory インストール ウィザード (Dcpromo.exe) により、FSMO の 5 つの役割すべてが、フォレストのルート ドメイン内にある最初のドメイン コントローラーに割り当てられます。 新しい子ドメインまたはツリー ドメインそれぞれの最初のドメイン コントローラーに、ドメイン全体に対する 3 つの役割が割り当てられます。 ドメイン コントローラーは、次の方法のいずれかによって再割り当てされた場合を除き、FSMO の役割を所有し続けます。
  • 管理者が GUI 管理ツールを使用して役割を再割り当てした場合。
  • 管理者が ntdsutil /roles コマンドを使用して役割を再割り当てした場合。
  • 管理者が Active Directory インストール ウィザードを使用して、役割を保持しているドメイン コントローラーを正常に降格した場合。 このウィザードにより、ローカルで保持されている役割がすべて、フォレスト内の既存のドメイン コントローラーに再割り当てされます。 dcpromo /forceremoval コマンドを使用して実行される降格では、FSMO の役割は、管理者によって再割り当てされるまで無効な状態のままになります。
次の場合は FSMO の役割を移行することをお勧めします。
  • 現在の役割の所有者が操作可能な状態であり、ネットワーク上で新しい FSMO の所有者からアクセスできる場合。
  • FSMO の役割を現在所有しているドメイン コントローラを正常に降格し、Active Directory フォレスト内の特定のドメイン コントローラにその役割を割り当てる場合。
  • 現在 FSMO の役割を所有しているドメイン コントローラーがメンテナンスのためにオフライン状態になる予定であり、特定の FSMO の役割を "現在実行されている" ドメイン コントローラーに割り当てる必要がある場合。 FSMO の所有者に接続する操作を実行するには、この操作が必要になることがあります。 これは、PDC エミュレーターの役割には特に当てはまりますが、RID マスターの役割、ドメイン名前付けマスターの役割、およびスキーマ マスターの役割には多くの場合当てはまりません。
次の場合は FSMO の役割を強制移行することをお勧めします。
  • 現在の役割の所有者で FSMO に依存した操作の正常な完了を妨げる操作エラーが発生し、その役割を移行できない場合。
     
  • FSMO の役割を所有しているドメイン コントローラーが dcpromo /forceremoval コマンドを使用して強制的に降格される場合。
     
  • もともと特定の役割を所有していたコンピュータのオペレーティング システムが存在しないか、再インストールされた場合。
レプリケーション (複製) が実行されると、ドメインまたはフォレストの FSMO 以外のドメイン コントローラは、FSMO を保持しているドメイン コントローラによって行われた変更の完全な情報を取得します。 役割を移行する必要がある場合、候補として最適なドメイン コントローラーは、既存の役割の所有者から得られた "FSMO パーティション" の書き込み可能コピーに対して、入力方向のレプリケーションを最後に行なった、または最近行なった適切なドメイン内にあるドメイン コントローラーです。 たとえば、スキーマ マスターの役割の所有者が CN=schema,CN=configuration,dc=<forest root domain> という識別名のパスを持っている場合、これは役割が CN=schema パーティションにあり、その一部としてレプリケート (複製) されていることを意味します。 スキーマ マスターの役割を所有するドメイン コントローラーでハードウェアまたはソフトウェアの障害が発生した場合、候補として適切な役割の所有者は、ルート ドメインにあり、現在の所有者と同じ Active Directory サイトにあるドメイン コントローラーです。 同じ Active Directory サイトにあるドメイン コントローラーは、5 分ごとまたは 15 秒ごとに入力方向のレプリケーションを実行します。


FSMO の各役割のパーティションは、次の一覧のとおりです。
 
FSMO 役割 パーティション
スキーマ CN=Schema,CN=configuration,DC=<forest root domain>
ドメイン名前付けマスタ CN=configuration,DC=<forest root domain>
PDC DC=<domain>
RID DC=<domain>
インフラストラクチャ DC=<domain>


FSMO の役割を強制移行されたドメイン コントローラーに、フォレストの既存のドメイン コントローラーとの通信を許可しないでください。 このシナリオでは、そのようなドメイン コントローラーのハード ディスクをフォーマットしてオペレーティング システムを再インストールするか、またはプライベート ネットワーク上でそのようなドメイン コントローラーを強制的に降格し、ntdsutil /metadata cleanup コマンドを使用して、フォレストに残っているドメイン コントローラーにあるそれらのメタデータを削除する必要があります。 役割を強制移行された前の FSMO の役割の所有者がフォレストに導入されるリスクがあるということは、元の役割の所有者が、役割の強制移行の情報を入力方向でレプリケートするまで、従来どおり操作を続行する可能性があるということです。 2 つのドメイン コントローラーが同じ FSMO の役割を所有している場合、重複した RID プールを持つセキュリティ プリンシパルが作成されるなどの問題が発生することが知られています。
 

FSMO の役割を移行する

Ntdsutil ユーティリティを使用して FSMO の役割を移行するには、以下の手順を実行します。
  1. Windows 2000 Server ベースまたは Windows Server 2003 ベースのメンバー コンピューター、または FSMO の役割が移行されるフォレストに所属しているドメイン コントローラーにログオンします。 FSMO の役割を割り当てるドメイン コントローラーにログオンすることをお勧めします。 ログオンしたユーザーは、スキーマ マスターまたはドメイン名前付けマスターの役割を移行するには Enterprise Administrators グループのメンバーである必要があります。PDC エミュレーター、RID マスター、およびインフラストラクチャ マスターの役割を移行する場合は、ドメインの Domain Administrators グループのメンバーである必要があります。
  2. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、[名前] ボックスに「ntdsutil」と入力し、[OK] をクリックします。
  3. roles」と入力し、Enter キーを押します。


    : Ntdsutil ユーティリティのプロンプトで、使用できるコマンドの一覧を表示するには、「?」と入力して Enter キーを押します。
  4. connections」と入力し、Enter キーを押します。
  5. connect to server servername」と入力し、Enter キーを押します。servername には、FSMO の役割を割り当てるドメイン コントローラの名前を指定します。
  6. server connections プロンプトで「q」と入力し、Enter キーを押します。
  7. transfer role」と入力します。role には、移行する役割を指定します。 移行できる役割の一覧を表示するには、fsmo maintenance プロンプトで「?」と入力して Enter キーを押します。または、この資料の冒頭にある役割の一覧を参照します。 たとえば、RID マスターの役割を移行するには、「transfer rid master」と入力します。 ただし、PDC エミュレーターの役割を移行する場合は、この構文が transfer pdc emulator ではなく、transfer pdc になります。
  8. fsmo maintenance プロンプトで「q」と入力し、Enter キーを押して ntdsutil プロンプトにアクセスします。 「q」と入力し、Enter キーを押して Ntdsutil ユーティリティを終了します。

FSMO の役割を強制移行する

Ntdsutil ユーティリティを使用して FSMO の役割を強制移行するには、以下の手順を実行します。
  1. Windows 2000 Server ベースまたは Windows Server 2003 ベースのメンバー コンピューター、または FSMO の役割が強制移行されるフォレストに所属しているドメイン コントローラーにログオンします。 FSMO の役割を割り当てるドメイン コントローラーにログオンすることをお勧めします。 ログオンしたユーザーは、スキーマまたはドメイン名前付けマスターの役割を移行するには Enterprise Administrators グループのメンバーである必要があります。PDC エミュレーター、RID マスター、およびインフラストラクチャ マスターの役割を移行する場合は、ドメインの Domain Administrators グループのメンバーである必要があります。
  2. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、[名前] ボックスに「ntdsutil」と入力し、[OK] をクリックします。
  3. roles」と入力し、Enter キーを押します。
  4. connections」と入力し、Enter キーを押します。
  5. connect to server servername」と入力し、Enter キーを押します。servername には、FSMO の役割を割り当てるドメイン コントローラの名前を指定します。
  6. server connections プロンプトで「q」と入力し、Enter キーを押します。
  7. seize role」と入力します。role には、移行する役割を指定します。 強制移行できる役割の一覧を表示するには、fsmo maintenance プロンプトで「?」と入力して Enter キーを押します。または、この資料の冒頭にある役割の一覧を参照します。 たとえば、RID マスターの役割を強制移行するには、「seize rid master」と入力します。 ただし、PDC エミュレーターの役割を移行する場合は、この構文が seize pdc emulator ではなく、seize pdc になります。
  8. fsmo maintenance プロンプトで「q」と入力し、Enter キーを押して ntdsutil プロンプトにアクセスします。 「q」と入力し、Enter キーを押して Ntdsutil ユーティリティを終了します。

    注:
    • 通常の状況では、5 つすべての役割をフォレストの "現在実行されている" ドメイン コントローラーに割り当てる必要があります。 FSMO の役割を所有しているドメイン コントローラーを、役割を移行する前に停止する場合は、すべての役割を適切かつ正常なドメイン コントローラーに強制移行する必要があります。 もう一方のドメイン コントローラーがドメインに戻らない場合は、すべての役割の強制移行のみを行うことをお勧めします。 可能な場合は、FSMO の役割が割り当てられている破損したドメイン コントローラーを修復します。 残されたドメイン コントローラーのどれに役割を割り当てるかを決定し、5 つすべての役割がそれぞれ 1 つのドメイン コントローラーに割り当てられるようにしてください。 FSMO の役割配置の関連情報を参照するには、以下のマイクロソフト サポート技術情報番号をクリックしてください。
       
      223346 FSMO placement and optimization on Active Directory domain controllers (英語情報)
       
    • 以前任意の FSMO の役割を保持していたドメイン コントローラがドメイン内に存在しない場合、およびこの資料の手順を使用して強制した役割が既にドメイン コントロールにあった場合は、次の「サポート技術情報」 (Microsoft Knowledge Base) の資料に記載されている手順に従って、Active Directory からその役割を削除します。
      216498 ドメイン コントローラーの降格に失敗した後、Active Directory のデータを削除する方法
       
    • Windows 2000 バージョンまたは Windows Server 2003 ビルド 3790 バージョンの ntdsutil /metadata cleanup コマンドでドメイン コントローラーのメタデータを削除すると、現在実行されているドメイン コントローラーに割り当てられている FSMO の役割は再配置されません。 Windows Server 2003 Service Pack 1 (SP1) バージョンの Ntdsutil ユーティリティでは、この操作が自動化され、ドメイン コントローラーのメタデータの追加要素が削除されます。
    • バックアップを作成した後で役割が再割り当てされている場合があるため、ユーザーによっては FSMO の役割の所有者のシステム状態のバックアップを復元しない場合があります。
    • インフラストラクチャ マスターの役割を、グローバル カタログ サーバーと同じドメイン コントローラーに指定しないでください。 インフラストラクチャ マスターをグローバル カタログ サーバーで実行すると、インフラストラクチャ マスターは、保持していないオブジェクトへの参照を含まないため、オブジェクト情報の更新を停止します。 これは、グローバル カタログ サーバーに保持されているのは、フォレスト内の各オブジェクトの部分的なレプリカであるためです。
ドメイン コントローラーとグローバル カタログ サーバーが同じコンピューターで実行されているかどうかを確認するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[すべてのプログラム]、[管理ツール] を順にポイントし、[Active Directory サイトとサービス] をクリックします。
  2. 左側のウィンドウで [Sites] をダブルクリックし、適切なサイトを参照するか、他に利用できるサイトがない場合は [Default-first-site-name] をクリックします。
  3. [Servers] フォルダーを開き、ドメイン コントローラーをクリックします。
  4. ドメイン コントローラーのフォルダー内で、[NTDS Settings] をダブルクリックします。
  5. [操作] メニューの [プロパティ] をクリックします。
  6. [全般] タブで、[グローバル カタログ] チェック ボックスがオンになっているかどうかを確認します。
FSMO の役割の関連情報を参照するには、以下のマイクロソフト サポート技術情報番号をクリックしてください。
 
197132 Windows 2000 Active Directory の FSMO 役割
 
223787 Flexible Single Master Operation の移行と強制移行のプロセス
 

問題の再現手順


Windows Server 2008 コンピューターで DCPROMO を実行し、RID マスターがオフラインになっているドメインに参加します。 アクティブな RID マスターを持っている必要がありますという警告が表示されます。 次に、サポート技術情報の記事 255504 への参照が表示されます。