本サイトはサイト運営費捻出のため、アフィリエイト広告を利用しています。*詳細
[Active Directory] FSMOを別のドメインコントローラに移す方法

[Active Directory] FSMOを別のドメインコントローラに移す方法

2021年9月16日
スポンサーリンク

PowerShellを利用することでさらに楽に移せることが分かったので、PowerShell版の記事も公開しました。

PowerShellでFSMOの確認と移行する方法
以前当ブログにて、コマンドを使ったFSMOの確認と移行方法を解説しました。 https://syobon.jp/blog/2021/09/16/active-d…
syobon.jp

Active Directoryを運用する際に必ずと言ってよいほど関わってくるFSMO(操作マスタ)。

FSMOはFlexible Single Master Operationの略で、物によっては以下のようにフォレスト全体で1台か、ドメイン全体で1台かで構成されています。

名前構成
スキーママスタフォレスト全体で1台
ドメイン名前付けマスタフォレスト全体で1台
PDC( プライマリドメインコントローラ )ドメイン全体で1台
RIDプールマネージャドメイン全体で1台
インフラストラクチャマスタドメイン全体で1台
FSMOの構成

上記それぞれの簡易的な説明は以下の通り。

名前役割
スキーママスタオブジェクトの定義情報であるスキーマの変更を管理する
ドメイン名前付けマスタドメインの追加、削除を行ったりドメイン名の変更を管理する
PDC(プライマリドメインコントローラ)ユーザの認証リクエストやパスワードの変更、グループポリシーの管理、時刻管理を担当する
RIDプールマネージャオブジェクト作成時に割り当てられるSIDの範囲(RIDブロック)を各ドメインコントローラへ割り当てる
インフラストラクチャマスタ自身のドメイン内のグループに追加されるほかのドメインのセキュリティプリンシパル名を更新する
FSMOの簡易的な説明

このように重要な役目を果たすFSMOが利用できない状態であると、Active Directory運用に大きな支障を来すため、ドメインコントローラのマイグレーションや機器移設が発生した際に別のドメインコントローラに役割を移行することができます。

また、FSMOの役割を果たすドメインコントローラが一切動作できなくなった場合でも、役割を強制的に移行させることもできます。

この役割を移行させる手順を本記事で解説していきます。

FSMOの移行手順

以降の手順は下図のようなテスト環境を元に実行していますので、ご自身の環境で行う際は都度読み替えて実行するようにしてください。

[Active Directory] FSMOを別のドメインコントローラに移す方法

本作業はDomain Admins権限が付与されたアカウントまたは、ドメインのAdministratorで実行してください。

 FSMOを担当しているドメインコントローラの確認

PowerShellを管理者として実行し、下記のコマンドを実行します。

netdom /query fsmo

そうすると下記の様な結果が得られます。

PS C:\Windows\system32> netdom /query fsmo
スキーマ マスター                ad-test01-01.test01.syobon.dev
ドメイン名前付けマスター        ad-test01-01.test01.syobon.dev
PDC                         ad-test01-01.test01.syobon.dev
RID プール マネージャー        ad-test01-01.test01.syobon.dev
インフラストラクチャ マスター    ad-test01-01.test01.syobon.dev
コマンドは正しく完了しました。

上記の通り、FSMOの各機能はad-test01-01がになっていることが分かります。

FSMOの各機能は特に特殊な環境でなければドメインコントローラ1台がFSMOの機能すべてを担っています。

 FSMOの移行

移行の準備

それではFSMOを「ad-test01-01」から「ad-test01-02」に移行してみます。

下記コマンドを実行し、ntdsutil.exeでad-test01-02に接続します。



PS C:\Windows\system32> ntdsutil
C:\Windows\system32\ntdsutil.exe: roles
fsmo maintenance: connections
server connections: connect to server ad-test01-02
ad-test01-02.test01.syobon.dev に結合しています...
ローカルでログオンしているユーザーの資格情報を使って ad-test01-02 に接続しました。
server connections: quit
fsmo maintenance:

上記の状態に移行できればFSMOの移行準備は完了です。

スキーママスタの移行

続いて下記コマンドを実行し、スキーママスタの役割を移行します。

fsmo maintenance: transfer schema master
[Active Directory] FSMOを別のドメインコントローラに移す方法

上記コマンドを実行すると、スキーママスタの役割を転送するか確認されるので、「はい」をクリックします。

[Active Directory] FSMOを別のドメインコントローラに移す方法

するとスキーママスタの役割がad-test01-02に移行できたことが確認できます。

もし、移行元のドメインコントローラーと通信が確立できない場合、強制的に移行するか聞かれるので強制的に移行すればOKです。

名前付けマスタの移行

続いて名前付けマスターの役割を下記コマンドで転送します。

fsmo maintenance: transfer naming master
[Active Directory] FSMOを別のドメインコントローラに移す方法

スキーママスタの時と同じく、 上記コマンドを実行すると、名前付けマスタの役割を転送するか確認されるので、「はい」をクリックします。

[Active Directory] FSMOを別のドメインコントローラに移す方法

するとドメイン名前付けマスタの役割がad-test01-02に移行できたことが確認できます。

PDCの移行

fsmo maintenance: transfer pdc

続いて上記コマンドを実行し、プライマリドメインコントローラの役割を転送します。

[Active Directory] FSMOを別のドメインコントローラに移す方法

役割を転送するか確認されるので、「はい」をクリックします。

[Active Directory] FSMOを別のドメインコントローラに移す方法

これでPDC(プライマリドメインコントローラ)の役割がad-test01-02に移行できたことが確認できます。

RIDマスタの移行

fsmo maintenance: transfer RID master

続いて上記コマンドを実行し、RIDマスタの役割を転送します。

[Active Directory] FSMOを別のドメインコントローラに移す方法

役割を転送するか確認されるので、「はい」をクリックします。

[Active Directory] FSMOを別のドメインコントローラに移す方法

これでRIDマスタの役割がad-test01-02に移行できたことが確認できます。

インフラストラクチャマスタの移行

fsmo maintenance: transfer infrastructure master

続いて上記コマンドを実行し、インフラストラクチャマスタの役割を転送します。

[Active Directory] FSMOを別のドメインコントローラに移す方法

役割を転送するか確認されるので、「はい」をクリックします。

これでインフラストラクチャマスタの役割がad-test01-02に移行できたことが確認できます。

移行後の確認

FSMOの移行がこれで完了したので、下記コマンドを実行してntdsutilを終了します。

fsmo maintenance: quit
C:\Windows\system32\ntdsutil.exe: exit

続いて下記コマンドを実行してFSMOの移行が完了していることを確認します。



PS C:\Windows\system32> netdom /query fsmo
スキーマ マスター                ad-test01-02.test01.syobon.dev
ドメイン名前付けマスター        ad-test01-02.test01.syobon.dev
PDC                         ad-test01-02.test01.syobon.dev
RID プール マネージャー        ad-test01-02.test01.syobon.dev
インフラストラクチャ マスター    ad-test01-02.test01.syobon.dev
コマンドは正しく完了しました。

これでFSMOの移行は完了です。

Active Directoryのマイグレーション方法を解説した同人誌を出展しています

Windows Server 2012/2012R2のサポート期限切れが2023年10月に迫ってきています。

ドメインコントローラが搭載されているOSのアップグレードを行う場合、FSMO移行->ドメインコントローラ降格->サーバ停止->新サーバにActive Directoryの役割を追加->既存ドメインにドメインコントローラを追加->FSMOの移行・・・ といった順に行います。

今回はActive Directoryのマイグレーション方法の一部であるFSMOの移行手順について解説しましたが、弊ブログではWindows Server 2012/2012R2で構成されたドメイン環境を、Windows Server 2019で構成されたドメイン環境にマイグレーションする手順を解説した同人誌を出展しています。

■概要 企業においてWindowsの管理に欠かせないActive Directory。 Windows Server 2012R2の延長サポート期限があと2年と…
syobon-blog.booth.pm

もし、ドメインコントローラのマイグレーション手順を詳しく知りたい方はぜひ上記の同人誌を参考にしてみてくださいー