Windows Server
 Computer >> コンピューター >  >> システム >> Windows Server

FSMOの役割を別のドメインコントローラーに転送/取得する

この記事では、Active DirectoryでFSMOの役割を持つドメインコントローラーを見つける方法、1つ以上のFSMOの役割を別の(追加/セカンダリ)ドメインコントローラーに転送する方法、およびドメインに障害が発生した場合にFSMOの役割を取得する方法について検討します。コントローラーFSMOの役割の所有者。

ActiveDirectoryドメインでのFSMOの役割を理解する

FSMO(柔軟なシングルマスター操作)とは )Active Directoryドメインでの役割? Active Directoryでほとんどの標準操作(新しいユーザーアカウントとセキュリティグループの作成、コンピューターのドメインへの参加など)を任意のドメインコントローラーで実行できます。 ADレプリケーションサービスは、これらの変更をADディレクトリ全体に配布する責任があります。さまざまな競合(たとえば、複数のドメインコントローラーでのユーザーアカウントの同時名前変更)は、単純な原則を使用して解決されます。最後の問題は正しいです。ただし、競合が許容されない操作がいくつかあります(たとえば、新しい子ドメイン/フォレストを作成するとき、ADスキーマを変更するときなど)。一意性を必要とする操作を実行するには、FSMOの役割を持つドメインコントローラーが必要です。 FSMOの役割の主なタスクは、そのような競合を防ぐことです。

5つあるかもしれません ActiveDirectoryドメインでのFSMOの役割。

2つの役割 ADフォレストに固有です :

  1. スキーママスター Active Directoryスキーマに変更を加える責任があります(たとえば、adprep /forestprepを使用してADスキーマを拡張する場合)。 コマンド;
  2. ドメインネーミングマスター ADフォレストで作成するすべてのドメインとアプリケーションセクションに一意の名前を提供します(管理するには、「エンタープライズ管理者」権限が必要です)。

そして、3つがあります 各ドメインの役割 (それらを管理するには、アカウントが「ドメイン管理者」グループのメンバーである必要があります):

  1. PDCエミュレーター Windowsネットワークのメインブラウザです ドメインマスターブラウザは、ネットワーク環境のコンピュータを表示するために使用されます)、間違ったパスワードを入力した場合のユーザーのロックアウトを追跡します。ドメイン内のメインNTPサーバーであり、Windows 2000/NTを実行しているクライアントとの互換性を提供するために使用されます。名前空間情報を更新するためのDFSルートサーバーによる;
  2. インフラストラクチャマスター クロスドメインオブジェクトリンクの更新を担当します。およびadprep /domainprep コマンドが実行されます;
  3. RIDマスト r —サーバーはRID(500個単位のパック)を他のドメインコントローラーに配布して、一意のオブジェクト識別子(SID)を作成します。
ドメイン内のFSMOロール所有者を一覧表示する方法

Active DirectoryドメインのFSMOロールホルダーであるドメインコントローラーをどのように確認できますか?

ドメイン内のすべてのFSMOロール所有者を検索するには、次のコマンドを実行します。

netdom query fsmo

FSMOの役割を別のドメインコントローラーに転送/取得する 

Schema master dc01.test.com
Domain naming master dc01.test.com
PDC dc01.test.com
RID pool manager dc01.test.com
Infrastructure master dc01.test.com

別のドメインのFSMOの役割を表示できます:

netdom query fsmo /domain:woshub.com

この例では、すべてのFSMOの役割がDC01にあることがわかります。新しいADフォレスト(ドメイン)を展開すると、すべてのFSMOの役割が最初のDCに配置されます。 RODCを除くすべてのドメインコントローラーは、任意のFSMOロールの所有者である可能性があります。したがって、ドメイン管理者は、FSMOの役割を他のドメインコントローラーに移すことができます。

Get-ADDomainControllerコマンドレットを使用してPowerShell経由でドメイン内のFSMOの役割に関する情報を取得できます(PowerShellモジュール用のRSAT Active Directoryをインストールする必要があります):

Get-ADDomainController -Filter * | Select-Object Name, Domain, Forest, OperationMasterRoles |Where-Object {$_.OperationMasterRoles}

または、次のようにフォレストまたはドメインレベルのFSMOの役割を表示できます。

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster

FSMOの役割を別のドメインコントローラーに転送/取得する

ドメインでのFSMOの役割の配置に関するMicrosoftの一般的な推奨事項は次のとおりです。

  • フォレストレベルの役割(スキーママスターとドメインネーミングマスター)を、グローバルカタログサーバーであるルートドメインに同時に配置します。
  • 適切なパフォーマンスで、3つのドメインFSMOの役割すべてを1つのドメインコントローラーに配置します。
  • ADの信頼性とパフォーマンスが向上するため、すべてのフォレストDCはグローバルカタログサーバーである必要があります。その場合、インフラストラクチャマスターの役割は実際には必要ありません。グローバルカタログの役割がないDCがある場合は、インフラストラクチャマスターの役割をその上に配置します。
  • FSMOの役割の所有者であるDCに他のタスクを配置しないでください。

いくつかの方法を使用して、Active DirectoryでFSMOの役割を転送できます。ADMMCグラフィックスナップイン、ntdsutil.exeを使用する またはPowerShell 。 FSMOの役割の転送は、ADインフラストラクチャを最適化する場合に関係します。または、FSMOの役割を保持するDCが、ハードウェア/ソフトウェアに壊滅的な障害を起こしました。 FSMOの役割を移動する方法は2つあります。転送 (両方のDCが利用可能な場合)または捕捉 (FSMOの役割を持つDCが利用できないか、壊れている場合)。

PowerShellを使用してFSMOの役割を転送する方法

ドメインでFSMOの役割を移管する最も簡単で最速の方法は、 Move-ADDirectoryServerOperationMasterRoleを使用することです。 PowerShellコマンドレット。

一度に1つ以上のFSMOロールを指定されたDCに転送できます。次のコマンドは、2つの役割をDC02に移動します。

Move-ADDirectoryServerOperationMasterRole -Identity dc03 -OperationMasterRole PDCEmulator, RIDMaster

FSMOの役割を別のドメインコントローラーに転送/取得する

OperationMasterRole 引数の場合、次の表に従って、FSMOロールの名前またはそのインデックスのいずれかを指定できます。

PDCEmulator 0
RIDMaster 1
InfrastructureMaster 2
SchemaMaster 3
DomainNamingMaster 4

短い形式の前のコマンドは次のようになります:

Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole 0,1

すべてのFSMOの役割を一度に追加のドメインコントローラーに転送するには、次のコマンドを実行します。

Move-ADDirectoryServerOperationMasterRole -Identity dc03 -OperationMasterRole 0,1,2,3,4

ActiveDirectoryグラフィックスナップインを使用したFSMOの役割の転送

FSMOの役割を移動するには、標準のActiveDirectoryグラフィックスナップインを使用できます。転送操作は、FSMOの役割を持つDCで実行することが好ましい。サーバーのローカルコンソールが利用できない場合は、ドメインコントローラーの変更を使用してください オプションを選択し、MMCスナップインでドメインコントローラーを選択します。

FSMOの役割を別のドメインコントローラーに転送/取得する

RIDマスター、PDCエミュレーター、インフラストラクチャマスターの役割を転送する方法

ドメインレベルの役割(RID、PDC、インフラストラクチャマスター)を転送するには、Active Directoryユーザーとコンピューター(DSA.msc)コンソールを使用します。

  1. Active Directoryユーザーとコンピューター(ADUC)スナップインを開きます;
  2. ドメイン名を右クリックして、オペレーションマスターを選択します;
    FSMOの役割を別のドメインコントローラーに転送/取得する
  3. 3つのタブ(RID、PDC、インフラストラクチャ)のあるウィンドウが表示されます。これらのタブを使用して、新しいFSMO所有者を指定し、[変更]をクリックして、対応する役割を転送します。 ボタン。
    FSMOの役割を別のドメインコントローラーに転送/取得する

スキーママスターの役割を転送する方法

フォレストレベルのスキーママスターFSMOを転送するには、ActiveDirectoryスキーマスナップインを使用します。

  1. スナップインを開始する前に、regsvr32 schmmgmt.dllを実行してschmmgmt.dllライブラリを登録する必要があります。 コマンドプロンプトで;
    FSMOの役割を別のドメインコントローラーに転送/取得する
  2. MMC と入力して、MMCコンソールを開きます コマンドプロンプトで;
  3. ファイルを選択します ->スナップインの追加/削除 メニューからActiveDirectoryスキーマを追加します コンソール;
    FSMOの役割を別のドメインコントローラーに転送/取得する
  4. コンソールルート(Active Directoryスキーマ)を右クリックして、オペレーションマスターを選択します;
  5. スキーママスターの役割を転送するドメインコントローラー名を入力し、[変更]をクリックします そしてOK。ボタンが使用できない場合は、アカウントがSchemaadminsグループのメンバーであることを確認してください。
    FSMOの役割を別のドメインコントローラーに転送/取得する

ドメインネーミングマスターFSMOを移管する方法

  1. ドメインネーミングマスターFSMOの役割を移管するには、ActiveDirectoryドメインと信頼関係を開きます。 コンソール;
  2. ドメイン名を右クリックして、オペレーションマスターを選択します;
  3. [変更]をクリックします 、ドメインコントローラの名前を入力し、[OK]をクリックします。
    FSMOの役割を別のドメインコントローラーに転送/取得する

Ntdsutil.exeを使用してコマンドプロンプトからFSMOの役割を転送する

重要。 ntdsutil.exeツールを注意深く使用し、何をしているのかを確認してください。そうしないと、ActiveDirectoryドメインを壊す可能性があります。
  1. ドメインコントローラーでコマンドプロンプトを実行し、次を実行します:ntdsutil
  2. 次のコマンドを入力します:roles
  3. 次に:connections
  4. 次に、FSMOの役割を転送するDCに接続する必要があります。これを行うには、次のように入力します。connect to server <servername>
  5. q」と入力します Enterキーを押します;
  6. FSMOの役割を転送するには、次のコマンドを使用します:transfer <role> 、ここで、は転送する役割です。例:transfer schema mastertransfer RID 、など;
    FSMOの役割を別のドメインコントローラーに転送/取得する
  7. FSMOの役割の転送を確認します;
    FSMOの役割を別のドメインコントローラーに転送/取得する
  8. 完了したら、qを押します。 次に、Enterキーを押してntdsutil.exeを終了します;
  9. ドメインコントローラーを再起動します。

ADFSMOの役割の獲得

FSMOの役割の1つを持つDCが壊れている(そして回復できない)場合、または長期間使用できない場合は、その役割のいずれかを強制的に差し押さえることができます。ただし、ADに新たな問題が発生しないようにする場合は(後でバックアップからDCを復元する場合でも)、役割を引き継ぐサーバーがネットワークに表示されないようにすることが非常に重要です。壊れたDCをドメインに戻したい場合、唯一の正しい方法は、ADからコンピューターアカウントを削除し、新しいホスト名でWindowsのクリーンインストールを実行し、ADDSロールをインストールして、サーバーをドメインコントローラーに昇格させることです。

PowerShellまたはNTDSUtilを使用してFSMOの役割を取得できます。

FSMOの役割を取得する最も簡単な方法は、PowerShellを使用することです。これを行うには、同じMove-ADDirectoryServerOperationMasterRoleコマンドレットを使用しますが、 –Force パラメータが追加されます。

たとえば、PDCEmulatorの役割を取得し、それをDC02に強制的に転送するには、次のコマンドを実行します。

Move-ADDirectoryServerOperationMasterRole -Identity DC2 -OperationMasterRole PDCEmulator –Force

ntdsutil.exeを使用して、FC02サーバーにFSMOの役割を付与することもできます。役割の発作は、一般的な転送に似ています。次のコマンドを使用します:

ntdsutil
roles
connections
connect to server DC02 (役割を転送するサーバー)
quit

さまざまなFSMOの役割を取得するには、次のコマンドを使用します。

seize schema master
seize naming master
seize rid master
seize pdc
seize infrastructure master
quit


  1. Active Directory ドメイン コントローラーに接続できなかった問題を修正

    Active Directory に遭遇しましたか?ドメインのドメイン コントローラに接続できませんでした エラー?ほとんどのユーザーは、別の Windows ワークステーションを特定のドメインに追加しようとしているときに、この問題に遭遇します。この問題は基本的に、別の Windows ワークステーションをドメインに追加する場合に発生します。その原因を分析すると、このエラーの背後には、DNS の構成ミスと DNS の誤動作という 2 つの主な理由があると結論付けることができます。この問題を解決できますか?はい、このエラーを修正して別の Windows ワークステーションをドメインに追加する方

  2. Google Apps ドメインのウェブサイトを別のホストに移動する方法

    このチュートリアルでは、Google ドメインのウェブサイトを別のホストにリダイレクト/移動する方法について詳しく説明します。このチュートリアルは、G Suite (Google Apps) 経由でドメイン名を購入し、そのドメイン名を Google サイト外の別のホスティング プロバイダーでホストされている Web サイトで使用したいユーザー向けに書かれています。 (Google Apps ドメイン名/ウェブサイトを別のホスティング プロバイダにリダイレクトします)。 * * 注:Google Apps ドメインを Google サイト外にリダイレクトするが、Google Apps からの関