[Active Directory] FSMOを別のドメインコントローラに移す方法

Active Directoryを運用する際に必ずと言ってよいほど関わってくるFSMO（操作マスタ）。

FSMOはFlexible Single Master Operationの略で、物によっては以下のようにフォレスト全体で1台か、ドメイン全体で1台かで構成されています。

名前	構成
スキーママスタ	フォレスト全体で1台
ドメイン名前付けマスタ	フォレスト全体で1台
PDC（ プライマリドメインコントローラ ）	ドメイン全体で1台
RIDプールマネージャ	ドメイン全体で1台
インフラストラクチャマスタ	ドメイン全体で1台

上記それぞれの簡易的な説明は以下の通り。

名前	役割
スキーママスタ	オブジェクトの定義情報であるスキーマの変更を管理する
ドメイン名前付けマスタ	ドメインの追加、削除を行ったりドメイン名の変更を管理する
PDC（プライマリドメインコントローラ）	ユーザの認証リクエストやパスワードの変更、グループポリシーの管理、時刻管理を担当する
RIDプールマネージャ	オブジェクト作成時に割り当てられるSIDの範囲（RIDブロック）を各ドメインコントローラへ割り当てる
インフラストラクチャマスタ	自身のドメイン内のグループに追加されるほかのドメインのセキュリティプリンシパル名を更新する

このように重要な役目を果たすFSMOが利用できない状態であると、Active Directory運用に大きな支障を来すため、ドメインコントローラのマイグレーションや機器移設が発生した際に別のドメインコントローラに役割を移行することができます。

また、FSMOの役割を果たすドメインコントローラが一切動作できなくなった場合でも、役割を強制的に移行させることもできます。

この役割を移行させる手順を本記事で解説していきます。

FSMOの移行手順

以降の手順は下図のようなテスト環境を元に実行していますので、ご自身の環境で行う際は都度読み替えて実行するようにしてください。

　FSMOを担当しているドメインコントローラの確認

PowerShellを管理者として実行し、下記のコマンドを実行します。

netdom /query fsmo

そうすると下記の様な結果が得られます。

PS C:\Windows\system32> netdom /query fsmo
スキーマ マスター                ad-test01-01.test01.syobon.dev
ドメイン名前付けマスター        ad-test01-01.test01.syobon.dev
PDC                         ad-test01-01.test01.syobon.dev
RID プール マネージャー        ad-test01-01.test01.syobon.dev
インフラストラクチャ マスター    ad-test01-01.test01.syobon.dev
コマンドは正しく完了しました。

上記の通り、FSMOの各機能はad-test01-01がになっていることが分かります。

　FSMOの移行

移行の準備

それではFSMOを「ad-test01-01」から「ad-test01-02」に移行してみます。

下記コマンドを実行し、ntdsutil.exeでad-test01-02に接続します。

PS C:\Windows\system32> ntdsutil
C:\Windows\system32\ntdsutil.exe: roles
fsmo maintenance: connections
server connections: connect to server ad-test01-02
ad-test01-02.test01.syobon.dev に結合しています...
ローカルでログオンしているユーザーの資格情報を使って ad-test01-02 に接続しました。
server connections: quit
fsmo maintenance:

上記の状態に移行できればFSMOの移行準備は完了です。

スキーママスタの移行

続いて下記コマンドを実行し、スキーママスタの役割を移行します。

fsmo maintenance: transfer schema master

上記コマンドを実行すると、スキーママスタの役割を転送するか確認されるので、「はい」をクリックします。

するとスキーママスタの役割がad-test01-02に移行できたことが確認できます。

名前付けマスタの移行

続いて名前付けマスターの役割を下記コマンドで転送します。

fsmo maintenance: transfer naming master

スキーママスタの時と同じく、 上記コマンドを実行すると、名前付けマスタの役割を転送するか確認されるので、「はい」をクリックします。

するとドメイン名前付けマスタの役割がad-test01-02に移行できたことが確認できます。

PDCの移行

fsmo maintenance: transfer pdc

続いて上記コマンドを実行し、プライマリドメインコントローラの役割を転送します。

役割を転送するか確認されるので、「はい」をクリックします。

これでPDC（プライマリドメインコントローラ）の役割がad-test01-02に移行できたことが確認できます。

RIDマスタの移行

fsmo maintenance: transfer RID master

続いて上記コマンドを実行し、RIDマスタの役割を転送します。

役割を転送するか確認されるので、「はい」をクリックします。

これでRIDマスタの役割がad-test01-02に移行できたことが確認できます。

インフラストラクチャマスタの移行

fsmo maintenance: transfer infrastructure master

続いて上記コマンドを実行し、インフラストラクチャマスタの役割を転送します。

役割を転送するか確認されるので、「はい」をクリックします。

これでインフラストラクチャマスタの役割がad-test01-02に移行できたことが確認できます。

移行後の確認

FSMOの移行がこれで完了したので、下記コマンドを実行してntdsutilを終了します。

fsmo maintenance: quit
C:\Windows\system32\ntdsutil.exe: exit

続いて下記コマンドを実行してFSMOの移行が完了していることを確認します。

PS C:\Windows\system32> netdom /query fsmo
スキーマ マスター                ad-test01-02.test01.syobon.dev
ドメイン名前付けマスター        ad-test01-02.test01.syobon.dev
PDC                         ad-test01-02.test01.syobon.dev
RID プール マネージャー        ad-test01-02.test01.syobon.dev
インフラストラクチャ マスター    ad-test01-02.test01.syobon.dev
コマンドは正しく完了しました。

これでFSMOの移行は完了です。

Active Directoryのマイグレーション方法を解説した同人誌を出展しています

Windows Server 2012/2012R2のサポート期限切れが2023年10月に迫ってきています。

ドメインコントローラが搭載されているOSのアップグレードを行う場合、FSMO移行->ドメインコントローラ降格->サーバ停止->新サーバにActive Directoryの役割を追加->既存ドメインにドメインコントローラを追加->FSMOの移行・・・ といった順に行います。

今回はActive Directoryのマイグレーション方法の一部であるFSMOの移行手順について解説しましたが、弊ブログではWindows Server 2012/2012R2で構成されたドメイン環境を、Windows Server 2019で構成されたドメイン環境にマイグレーションする手順を解説した同人誌を出展しています。

もし、ドメインコントローラのマイグレーション手順を詳しく知りたい方はぜひ上記の同人誌を参考にしてみてくださいー