Active Directory ドメイン サービスで FSMO の役割を転送または取得する

この記事では、柔軟な単一マスター操作 (FSMO) の役割を転送または取得する場合と方法について説明します。

適用対象:  WindowsServer 2019、Windows Server Standard 2016、Windows Server Essentials 2016、Windows Server Datacenter 2016
元の KB 番号:   255504

詳細

Active Directory ドメイン サービス (AD DS) フォレスト内には、1 つのドメイン コントローラー (DC) だけで実行する必要がある特定のタスクがあります。 これらの一意の操作を実行するために割り当てられているDC は、FSMO 役割所有者と呼ばれる。 次の表に、FSMO の役割と、Active Directory での役割の配置を示します。

役割 範囲 名前付けコンテキスト (Active Directory パーティション)
スキーマ マスター フォレスト全体 CN=Schema,CN=configuration,DC=<forest root domain>
ドメイン名前付けマスター フォレスト全体 CN=configuration,DC=<forest root domain>
PDC エミュレーター ドメイン全体 DC=<domain>
RID マスター ドメイン全体 DC=<domain>
インフラストラクチャ マスター ドメイン全体 DC=<domain>

役割を配置する FSMO 役割所有者と推奨事項の詳細については、「Active Directory ドメイン コントローラーでの FSMO の配置と最適化」 を参照してください

注意

DNS アプリケーション パーティションを含む Active Directory アプリケーション パーティションには、FSMO 役割リンクがあります。 DNS アプリケーション パーティションでインフラストラクチャ マスター ロールの所有者が定義されている場合は、Ntdsutil、DCPromo、その他のツールを使用してそのアプリケーション パーティションを削除することはできません。 詳細については、「DNS インフラストラクチャ マスターに連絡できない場合 、DCPROMO 降格が失敗する」を参照してください

役割所有者として機能している DC が実行を開始した場合 (たとえば、障害やシャットダウンの後など)、役割所有者としての動作は直ちに再開されません。 DC は、名前付けコンテキストの受信レプリケーションを受け取るまで待機します (たとえば、スキーマ マスター 役割の所有者は、スキーマ パーティションの受信レプリケーションの受信を待機します)。

Active Directory レプリケーションの一部としてDC が渡す情報には、現在の FSMO 役割所有者の ID が含まれます。 新しく開始された DC が受信レプリケーション情報を受信すると、その情報がまだ役割所有者であるかどうかを確認します。 その場合は、一般的な操作を再開します。 レプリケートされた情報が、別の DC が役割所有者として機能している場合、新しく開始された DC は役割の所有権を削除します。 この動作により、ドメインまたはフォレストに重複する FSMO 役割所有者が含まれる可能性が低下します。

重要

ADが必要な場合、および新しく開始された役割所有者が実際には役割所有者であり、受信レプリケーションを受信しない場合、FS 操作は失敗します。
結果の動作は、役割所有者がオフラインの場合に発生する動作に似たものになります。

ロールを転送または押収する場合の決定

一般的な条件下では、フォレスト内の "ライブ" の PC に 5 つの役割すべてが割り当てられている必要があります。 Active Directory フォレストを作成すると、Active Directory インストール ウィザード (Dcpromo.exe) は、5 つの FSMO の役割すべてを、フォレスト ルート ドメインで作成する最初の DC に割り当てます。 子ドメインまたはツリー ドメインを作成すると、Dcpromo.exeドメイン内の最初の DC に 3 つのドメイン全体の役割が割り当てされます。

次のいずれかの方法を使用して再割り当てされるまで、PC は FSMO ロールを所有し続ける。

  • 管理者は、GUI 管理ツールを使用して役割を再割り当てします。
  • 管理者は、コマンドを使用して役割を再割り当 ntdsutil /roles てします。
  • 管理者は、Active Directory インストール ウィザードを使用して、役割保持 DC を正常に降格します。 このウィザードは、ローカルに保持されている役割をフォレスト内の既存の DC に再割り当てします。
  • 管理者は、コマンドを使用してロール保持 DC を降格 dcpromo /forceremoval します。
  • DC がシャットダウンして再起動します。 DC が再起動すると、別の DC が役割所有者を示す受信レプリケーション情報を受け取ります。 この場合、新しく開始された DC は、(前述のように) 役割を再リリースします。

FSMO 役割所有者に障害が発生した場合、または役割が転送される前にサービスを利用できない場合は、すべての役割を取得し、適切で正常な DC に転送する必要があります。

次のシナリオで FSMO の役割を転送することをお勧めします。

  • 現在の役割所有者は運用可能であり、新しい FSMO 所有者がネットワーク上でアクセスできます。
  • Active Directory フォレスト内の特定の DC に割り当てる FSMO ロールを現在所有している DC を正常に降格しています。
  • 現在 FSMO の役割を所有している DC は、スケジュールされたメンテナンスのためにオフラインにされ、特定の FSMO ロールをライブ DC に割り当てる必要があります。 FSMO 所有者に影響を与える操作を実行するには、役割の転送が必要な場合があります。 これは、PDC の役割に特にEmulatorです。 これは、RID マスター ロール、ドメイン名前付けマスター ロール、およびスキーマ マスター ロールにとってそれほど重要な問題ではありません。

次のシナリオで FSMO の役割を取得することをお勧めします。

  • 現在の役割所有者は、FSMO に依存する操作が正常に完了できない操作エラーが発生し、役割を転送できません。

  • このコマンドを dcpromo /forceremoval 使用して、FSMO 役割を所有する DC を強制的に降格します。

    重要

    この dcpromo /forceremoval コマンドは、管理者によって再割り当てされるまで、FSMO の役割を無効な状態に残します。

  • 最初に特定の役割を所有したコンピューター上のオペレーティング システムが存在しないか、再インストールされました。

注意

  • 以前の役割所有者がドメインに戻ってない場合にのみ、すべての役割を取得することをお勧めします。
  • フォレスト回復シナリオで FSMO の役割を押収する必要がある場合は、「各ドメインの最初の書き込み可能なドメイン コントローラーを復元する」セクションの「初期回復の実行」の手順 5を参照してください。
  • 役割の転送または差し押さえの後、新しい役割所有者は直ちに行動を起こさない。 代わりに、新しい役割所有者は再起動された役割所有者のように動作し、役割の名前付けコンテキストのコピー (ドメイン パーティションなど) が正常に受信レプリケーション サイクルを完了するのを待ちます。 このレプリケーション要件は、アクションを実行する前に、新しい役割所有者が可能な限り最新の状態にしていることを確認するのに役立ちます。 また、エラーの機会のウィンドウも制限されます。 このウィンドウには、以前の役割所有者がオフラインにする前に他の PC へのレプリケートが完了しなかった変更だけが含まれます。 各 FSMO 役割の名前付けコンテキストの一覧については、「詳細」セクションの表 を参照 してください。

新しい役割所有者を特定する

新しい役割所有者の最適な候補は、次の条件を満たす DC です。

  • 前の役割所有者と同じドメインに存在します。
  • 役割パーティションの最新のレプリケートされた書き込み可能なコピーがあります。

たとえば、スキーマ マスター ロールを転送する必要がある場合を想定します。 スキーマ マスター ロールは、フォレストのスキーマ パーティション (cn=Schema,cn=Configuration,dc=) の一部です <forest root domain> 。 新しい役割所有者の最適な候補は、フォレスト ルート ドメイン内にも存在する DC であり、現在の役割所有者と同じ Active Directory サイトに存在します。

注意事項

インフラストラクチャ マスターの役割をグローバル カタログ サーバーと同じ DC に置かねない。 インフラストラクチャ マスターがグローバル カタログ サーバーで実行されている場合は、保持されていないオブジェクトへの参照が含まれているため、オブジェクト情報の更新を停止します。 これは、グローバル カタログ サーバーがフォレスト内のすべてのオブジェクトの部分的なレプリカを保持しているからです。

DC がグローバル カタログ サーバーであるかどうかをテストするには、次の手順を実行します。

  1. [プログラム の開始 > > ] [管理ツール > ] [Active Directory サイトとサービス] を選択します
  2. ナビゲーション ウィンドウで、[サイト]をダブルクリックし、適切なサイトを見つけるか、他のサイトが使用できない場合は [既定 最初のサイト名] を選択します。
  3. [サーバー] フォルダーを開き、DC を選択します。
  4. DC のフォルダーで 、[NTDS ファイル] を設定。
  5. [操作] メニューの [プロパティ] を 選択します
  6. [全般 ] タブ で、[グローバル カタログ] チェック ボックスをオンにするかどうかを確認します。

詳細については、以下を参照してください。

FSMO の役割を押収または転送する

ロールを押収またはWindows PowerShell、または Ntdsutil を使用できます。 これらのタスクに PowerShell を使用する方法の詳細と例については 、「Move-ADDirectoryServerOperationMasterRole」を参照してください

重要

RID マスターロールを取得する必要がある場合は、アプリケーション ユーティリティではなく Move-ADDirectoryServerOperationMasterRole コマンドレットを使用Ntdsutil.exeしてください。

ドメイン内で重複する ID のリスクを回避するために、NTdsutil は、RID マスター ロールを取得するときに、プール内の次に使用可能な RID を 10,000 ずつ増やします。 この動作により、フォレストは RID 値 (RID 書き込みとも呼ばれる) で使用可能な範囲を完全に消費する可能性があります。 これに対し、PowerShell コマンドレットを使用して RID マスターの役割を取得した場合、次に使用可能な RID は影響を受けられません。

Ntdsutil ユーティリティを使用して FSMO の役割を取得または転送するには、次の手順を実行します。

  1. RSAT ツールがインストールされているメンバー コンピューター AD、または FSMO の役割が転送されるフォレスト内にある DC にサインインします。

    注意

    • FSMO の役割を割り当てる DC にログオンすることをお勧めします。
    • サインインしているユーザーは、スキーマ マスターまたはドメイン名前付けマスター の役割を転送する Enterprise Administrators グループのメンバー、または PDC エミュレーター、RID マスター、インフラストラクチャ マスターの役割が転送されるドメインのドメイン管理者グループのメンバーである必要があります。
  2. [実行の > 開始] を 選択し、[開く] ボックス *に「ntdsutil」* 入力し 、[OK] を選択します

  3. 役割 を入力 し、Enter キーを押します。

    注意

    Ntdsutil ユーティリティのいずれかのプロンプトで使用可能なコマンドの一覧を表示するには 、「?」と入力し、Enter キーを押します。

  4. 接続を 入力 し、Enter キーを押します。

  5. サーバーに接続 <servername> する」と 入力し、Enter キーを押します。

    注意

    このコマンドでは、FSMO 役割を割り当てる <servername> DC の名前を指定します。

  6. サーバー接続 のプロンプトで*、「q」と入力* し、Enter キーを押します。

  7. 次のいずれかの操作を行います。

    • 役割を転送するには、「転送」と 入力 <role> し、Enter キーを押します。

      注意

      このコマンドでは <role> 、転送する役割を指定します。

    • 役割を押し込むには 、「seize」と入力し <role>、Enter キーを押します。

      注意

      このコマンドでは <role> 、押収する役割を指定します。

    たとえば、RID マスターの役割を押収するには 、「rid master を押収する」と入力します。 例外は PDC エミュレーターの役割で、その構文は pdc を押収し、ドメイン名前付けマスターは構文が名前付けマスターをつかむ 場合です

    転送または押収できる役割の一覧を表示するには 、「? fsmo メンテナンス プロンプトで Enter キーを押するか、この記事の最初に役割の一覧を表示します。

  8. fsmo メンテナンス プロンプトで*、q* と入力し、Enter キーを押して ntdsutil プロンプトにアクセス します。 q と入力 し、Enter キーを押して Ntdsutil ユーティリティを終了します。

以前の役割所有者を修復または削除する際の考慮事項

可能な場合は、ロールを押収する代わりにロールを転送できる場合は、前の役割所有者を修正します。 前の役割所有者を修正できない場合、または役割を押収した場合は、前の役割所有者をドメインから削除します。

重要

修復したコンピューターを DC として使用する場合は、バックアップから DC を復元する代わりに、コンピューターを最初から DC に再構築することをお勧めします。 復元プロセスでは、役割所有者として DC が再び再構築されます。

レプリケーションアイランドを再統合する際の考慮事項

ドメインまたはフォレストの一部がドメインまたはフォレストの残りの部分と長い時間通信できない場合、ドメインまたはフォレストの分離セクションはレプリケーションアイランドと呼ばれる。 1 つの島の PC は、他の島の PC とレプリケートできません。 複数のレプリケーション サイクルを超える場合、レプリケーションアイランドは同期されません。各島に独自の FSMO 役割所有者がある場合は、島間の通信を復元するときに問題が発生する可能性があります。

重要

ほとんどの場合、最初のレプリケーション要件 (この記事の説明に従って) を利用して、重複する役割所有者を削除できます。 重複する役割所有者が検出された場合、再起動された役割所有者は役割を再表示する必要があります。
この動作が解決しない状況が発生する可能性があります。 このような場合は、このセクションの情報が役立つ場合があります。

次の表は、フォレストまたはドメインに、その役割に対して複数の役割所有者がある場合に問題を引き起こす可能性のある FMSO ロールを示しています。

役割 複数の役割所有者間の潜在的な競合
スキーマ マスター 必要
ドメイン名前付けマスター 必要
RID マスター 必要
PDC エミュレーター いいえ
インフラストラクチャ マスター いいえ

この問題は、PDC マスターまたはインフラストラクチャ Emulatorには影響を与えかねない。 これらの役割所有者は、運用データを保持しません。 さらに、インフラストラクチャ マスターは頻繁に変更を加える必要があります。 したがって、複数の島にこれらの役割所有者がある場合は、長期的な問題を引き起こすことなく、島を再統合できます。

スキーマ マスター、ドメイン名前付けマスター、および RID マスターは、オブジェクトを作成し、Active Directory で変更を保持できます。 これらの役割所有者の 1 つを持つ各アイランドには、レプリケーションの復元時にスキーマ オブジェクト、ドメイン、または RID プールが重複して競合している可能性があります。 島を再統合する前に、保持する役割所有者を決定します。 この記事で説明されている修復、削除、およびクリーンアップ手順に従って、スキーマ マスター、ドメイン名前付けマスター、および RID マスターを削除します。

関連情報

詳細については、以下を参照してください。