FSMO 役割を奪取および転送する方法(GUI と PowerShell)

チュートリアル

Active Directory(AD)の管理者のキャリアでは、DC(ドメインコントローラー)が入れ替わるたびに、FSMO(Flexible Single Master Operations)役割を移行(または強制的に移行)する必要があります。DC上でホストされているFSMO役割を移動する必要があります。

このチュートリアルでは、ステップバイステップですべてのAD FSMO役割の移行と強制移行方法を学びます。さまざまなGUIツールとPowerShellを使用してFSMO役割を移動する方法を確認します。

さあ、始めましょう!

前提条件

このチュートリアルに従いたい場合は、次のものを準備してください:

  • 少なくとも2つのDC – このチュートリアルでは、Windows Server 2019を使用し、フォレスト機能レベルはWindows Server 2016ですが、あまり変化はありません。
  • A domain-joined computer with RBAC installed or you’re on a DC’s desktop directly

関連: Active Directory PowerShellモジュールのインストールとインポート方法

  • Windows PowerShell v5.1
  • ドメインに接続されたコンピューターにADアカウントでログインします。役割をクエリするためには特別な権限は必要ありません。ただし、役割の移行または強制移行には特権が必要です。

GUIを使用したFSMO役割の移行

FSMO役割を移行する方法は2つあります。GUIとPowerShellです。まず、いくつかのMMCスナップインを使用してFSMO役割を移行する方法について説明しましょう。

RIDマスター、PDCエミュレータ、およびインフラストラクチャマスター

まず、ドメイン固有のFSMO役割を処理しましょう。

  1. ADUCを開きます(dsa.msc)、ドメインを右クリックし、オペレーションマスターを選択します。ここで、ドメイン固有のすべてのFSMOロール(RIDマスター、PDCe、およびインフラストラクチャマスター)がRIDPDC、およびインフラストラクチャタブを介して表示されます。
Domain-specific FSMO roles

2. 各タブをクリックします。現在のFSMOロールホルダー(オペレーションマスター)と変更ボタンが表示されます。

3. 各タブの変更ボタンをクリックし、RIDマスター、PDCe、およびインフラストラクチャマスターFSMOロールの転送を行う新しいDCを選択します。

ドメインネーミングマスター

次に、ドメインネーミングマスターロールに移動します。このFSMOロールを表示および変更するには、Active Directory Domains and Trustsコンソールを使用します。

  1. Active Directory Domains and Trustsコンソール(domain.msc)を開きます。

2. Active Directory Domains and Trustsの親ノードを右クリックし、オペレーションマスターをクリックします。ここで、このロールを保持している現在のDCがドメインネーミングオペレーションマスターとして説明されています。

3. 変更ボタンをクリックし、転送先のDCを選択します。

Transferring the domain naming master FSMO role

スキーママスター

最後に、スキーママスターロールです。このロールを変更するには、Active DirectoryスキーマMMCスナップインが必要です。

開始する前に、スキーマ管理者ADグループに属しているアカウントでログインしていることを確認してください。

  1. 上級のコマンドプロンプトまたはPowerShellコンソールを開き、regsvr32.exe "schmmgmt.dll"を実行します。Active Directoryスキーマスナップインはデフォルトでは利用できません。このコマンドは、スキーマ管理に必要なDLLを登録します。

2. mmc.exeユーティリティを開きます。

3. ファイル —> スナップインの追加/削除をクリックします。

4. 利用可能なスナップインからActive Directoryスキーマを選択し、追加 >OKをクリックします。

Add the Active Directory Schema in the MMC console

5. スナップイン内で、Active Directoryスキーマ [<ドメイン名>]を右クリックし、操作マスターを選択して現在のスキーママスターを表示します。

6. 変更をクリックし、新しいDCを選択してスキーママスターの役割を移行します。

Transferring the Schema Master role

PowerShellを使用してFSMOロールを移行する

コマンドラインで作業したい場合は、PowerShellが役に立ちます。

現在のFSMOロール保持者の表示

PowerShellを開き、Get-ADDomainおよびGet-ADForestを実行して、以下に示すように各現在のFSMOロール保持者を検索します。

Get-ADDomain
Get-ADForest
Running Get-ADDomain
Running Get-ADForest

FSMOロールの移行

現在のFSMO役割を保持しているDCを知ると、それらを移動することもできます。Windows PowerShellでこれを行うには、Move-ADDirectoryServerOperationMasterRoleコマンドを実行します。DCを指定するためにIdentityパラメータを使用し、その後にFSMO役割の名前を指定します(この場合はChildDC1)。以下の例では、RIDマスター役割を移動しています。

Move-ADDirectoryServerOperationMasterRole -Identity "ChildDC1" RidMaster

FSMO役割の名前には、PDCEmulatorRIDMasterInfrastructureMasterSchemaMasterDomainNamingMasterを使用できます。

Transferring FSMO roles with PowerShell

複数の役割を一度に移動することもできます。各役割名をカンマで区切って指定します。例:Move-ADDirectoryServerOperationMasterRole -Identity "ChildDC1" PDCEmulator,InfrastructureMaster

もしかしたら、とても面倒で長い名前を入力したくないかもしれません。その場合は、各FSMO役割に対応する番号を使用することもできます。

Role Name Number
PDCEmulator 0
RIDMaster 1
InfrastructureMaster 2
SchemaMaster 3
DomainNamingMaster 4

役割名の代わりに識別子を使用すると、PDCE役割を移動するコマンドはMove-ADDirectoryServerOperationMasterRole ChildDc2 0と短くなります。

FSMO役割の移動について確認が表示されるため、自分が何をしているかを確認するためにも役割の完全な名前を使用することを検討する価値があります。特に、他の人が使用するスクリプトでこのコマンドを使用する場合には、理解しやすくなります。

The short, lazy way to transfer the PDCE role

GUIを使用したFSMO役割の押収

もしもあなたがFSMOロールを1つのDCから別のDCに移動する必要がある場合、ロールの移行は常に最良のオプションです。移行することで、FSMOロールは完全に古いDCから削除され、新しいDCに移されます。しかし、計画通りにいかないこともあります。

もしもDCがオフラインになったり、何らかの障害が発生した場合、FSMOロールを奪取することができます。これは、古いDCを削除せずに新しいDC上で新しいFSMOロールを作成するものです。

現在の役割保持者をオンラインに戻すことができないことが確実な場合にのみ、FSMOロールを奪取してください。ロールが奪取されたら、古いFSMOロール保持者を決してオンラインに戻さないようにしてください。

GUIを使用してロールを奪取するには、Active Directory Users and Computers(ADUC)コンソールでDCのコンピュータアカウントを削除することで行います。手順は以下の通りです:

  1. まず、ADUCを使用してFSMOロールを移動するDCに接続します。それには、ADUCでルートのActive Directory Users and Computersノードを右クリックし、Change Domain Controllerをクリックします。

2. 接続したいDCを検索し、それに接続します。

3. Domain Controllers OUをクリックします。

4. FSMOロールを奪取したいDCを右クリックし、Deleteをクリックします。

Right-click the offline DC account and select Delete

5. 次に、最初の2つのプロンプトでYesをクリックします。

Click OK to continue with the deletion process.
Confirm that you want to delete a DC that is a GC

6. 最後に、DCがFSMOロールホルダーであることを通知するプロンプトが表示され、ロールは別のDCに移動されます。これはADUCコンソールが接続されているDCです。OKをクリックし、オフラインのDCのコンピューターアカウントが削除され、ロールが強制的に移動されます。

You get a final prompt that the FSMO role(s) will be transferred to another DC. Click OK to seize the role(s) and to complete the deletion wizard

PowerShellを使用してFSMOロールを強制的に移動する

PowerShellを開き、Move-ADDirectoryServerOperationMasterRoleを実行し、Identityパラメーターの値として新しいDCの名前を指定し、Forceパラメーターも指定します。

以下の例では、RID Masterロールを強制的に移動し、NewDC3 DCに割り当てています。

Move-ADDirectoryServerOperationMasterRole -Identity "NewDC3" RidMaster -Force

移動時と同様、Move-ADDirectoryServerOperationMasterRoleコマンドレットで使用するFSMOロール名も同じです。

結論

FSMOロールの移動は日常的なタスクではありませんが、新しいDCの昇格、旧DCの降格、サーバーの廃止時にはFSMOロールについて知っておく必要があります。

このチュートリアルの手順に従って、このタスクを完了させましょう!

Source:
https://adamtheautomator.com/transfer-fsmo-roles/