ActiveDirectory FSMOを移行させる ドメインコントローラとして存在しないコントローラを削除

本ページは広告が含まれています。気になる広告をクリック頂けますと、サーバ運営費になります(^^

確認 Get-AdForest

PS C:\Users> Get-AdForest                                                                                        

ApplicationPartitions : {DC=ForestDnsZones,DC=DNS, DC=DomainDnsZones,DC=DNS}
CrossForestReferences : {}
DomainNamingMaster    : AD1.DNS
Domains               : {DNS}
ForestMode            : Windows2012Forest
GlobalCatalogs        : {AD1.DNS,  AD01.DNS}
Name                  : DNS
PartitionsContainer   : CN=Partitions,CN=Configuration,DC=DNS
RootDomain            : DNS
SchemaMaster          : AD1.DNS
Sites                 : {Default-First-Site-Name}
SPNSuffixes           : {}
UPNSuffixes           : {}

2012Srvで行っている ActiveDirectory FSMO をWindows2022Srvに移行させるための確認です。

「DomainNamingMaster」の値と「SchemaMaster」が、AD1になっている事を確認

PS C:\Users> Get-ADDomain


AllowedDNSSuffixes                 : {}
ChildDomains                       : {}
ComputersContainer                 : CN=Computers,DC=DNS
DeletedObjectsContainer            : CN=Deleted Objects,DC=DNS
DistinguishedName                  : DC=DNS
DNSRoot                            : DNS
DomainControllersContainer         : OU=Domain Controllers,DC=DNS
DomainMode                         : Windows2012Domain
DomainSID                          : S-1-5-21-644749973-1872653221-620655208
ForeignSecurityPrincipalsContainer : CN=ForeignSecurityPrincipals,DC=DNS
Forest                             : DNS
InfrastructureMaster               : AD1.DNS
LastLogonReplicationInterval       :
LinkedGroupPolicyObjects           : {CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=DNS}
LostAndFoundContainer              : CN=LostAndFound,DC=DNS
ManagedBy                          :
Name                               : DNS
NetBIOSName                        : DNS
ObjectClass                        : domainDNS
ObjectGUID                         : db4f46f5-0602-4a0b-9cc2-b5381590e97e
ParentDomain                       :
PDCEmulator                        : AD1.DNS
QuotasContainer                    : CN=NTDS Quotas,DC=DNS
ReadOnlyReplicaDirectoryServers    : {}
ReplicaDirectoryServers            : {AD1.DNS, AD01.DNS}
RIDMaster                          : AD1.DNS
SubordinateReferences              : {DC=ForestDnsZones,DC=DNS, DC=DomainDnsZones,DC=DNS, CN=Configuratio
                                     n,DC=DNS}
SystemsContainer                   : CN=System,DC=DNS
UsersContainer                     : CN=Users,DC=DNS

「InfraStructureMaster」と「RIDMaster」、「PDCEmulator」が、AD1になっている事を確認

ドメインが正常に稼働しているか?

1.net share

PS C:\Users> net share

共有名       リソース                            注釈

-------------------------------------------------------------------------------
C$           C:\                             Default share
IPC$                                         Remote IPC
ADMIN$       C:\Windows                      Remote Admin
CertEnroll   C:\Windows\system32\CertSrv\CertEnroll
                                             Active Directory 証明書サー...
NETLOGON     C:\Windows\SYSVOL_DFSR\sysvol\DNS\SCRIPTS
                                             Logon server share
SYSVOL       C:\Windows\SYSVOL_DFSR\sysvol   Logon server share
コマンドは正常に終了しました。

2.repadmin /showrepl

ad1(FSMO),dc1 既存ドメインコントローラ

ad01 FSMO移行先ドメインコントローラ

PS C:\Users> repadmin /showrepl

Repadmin: フル DC localhost に対してコマンド /showrepl を実行しています
Default-First-Site-Name\AD1
DSA オプション: IS_GC
サイト オプション: (none)
DSA オブジェクト GUID: 07e9c383-64c3-47c6-b688-00494c03fe0a
DSA 起動 ID: 38449900-beb3-440d-b90c-e83dac15c7e8

==== 入力方向の近隣サーバー======================================

DC=DNS
    Default-First-Site-Name\AD01 (RPC 経由)
        DSA オブジェクト GUID: 58e79d50-867d-4b3f-b3cc-fe5eb519c97c
       2023-08-23 06:18:48 の最後の試行は成功しました。
    Default-First-Site-Name\dc1 (RPC 経由)
        DSA オブジェクト GUID: 2424efbe-90a7-4275-9d63-8573207b8841
       2023-08-23 06:38:10 の最後の試行は成功しました。

CN=Configuration,DC=DNS
    Default-First-Site-Name\dc1 (RPC 経由)
        DSA オブジェクト GUID: 2424efbe-90a7-4275-9d63-8573207b8841
       2023-08-23 05:48:48 の最後の試行は成功しました。
    Default-First-Site-Name\AD01 (RPC 経由)
        DSA オブジェクト GUID: 58e79d50-867d-4b3f-b3cc-fe5eb519c97c
       2023-08-23 05:48:48 の最後の試行は成功しました。

CN=Schema,CN=Configuration,DC=DNS
    Default-First-Site-Name\dc1 (RPC 経由)
        DSA オブジェクト GUID: 2424efbe-90a7-4275-9d63-8573207b8841
       2023-08-23 05:48:48 の最後の試行は成功しました。
    Default-First-Site-Name\AD01 (RPC 経由)
        DSA オブジェクト GUID: 58e79d50-867d-4b3f-b3cc-fe5eb519c97c
       2023-08-23 05:48:48 の最後の試行は成功しました。

DC=DomainDnsZones,DC=DNS
    Default-First-Site-Name\AD01 (RPC 経由)
        DSA オブジェクト GUID: 58e79d50-867d-4b3f-b3cc-fe5eb519c97c
       2023-08-23 06:25:43 の最後の試行は成功しました。
    Default-First-Site-Name\dc1 (RPC 経由)
        DSA オブジェクト GUID: 2424efbe-90a7-4275-9d63-8573207b8841
       2023-08-23 06:25:46 の最後の試行は成功しました。

DC=ForestDnsZones,DC=DNS
    Default-First-Site-Name\AD01 (RPC 経由)
        DSA オブジェクト GUID: 58e79d50-867d-4b3f-b3cc-fe5eb519c97c
       2023-08-23 05:48:48 の最後の試行は成功しました。
    Default-First-Site-Name\dc1 (RPC 経由)
        DSA オブジェクト GUID: 2424efbe-90a7-4275-9d63-8573207b8841
       2023-08-23 05:48:48 の最後の試行は成功しました。

3. repadmin /syncall

PS C:\Users\mabito> repadmin /syncall
コールバック メッセージ: 次のレプリケーションが進行中です:
    レプリケーション元: 2424efbe-90a7-4275-9d63-8573207b8841._msdcs.DNS
    レプリケーション先: 07e9c383-64c3-47c6-b688-00494c03fe0a._msdcs.DNS
コールバック メッセージ: 次のレプリケーションが完了しました:
    レプリケーション元: 2424efbe-90a7-4275-9d63-8573207b8841._msdcs.DNS
    レプリケーション先: 07e9c383-64c3-47c6-b688-00494c03fe0a._msdcs.DNS
コールバック メッセージ: 次のレプリケーションが進行中です:
    レプリケーション元: 58e79d50-867d-4b3f-b3cc-fe5eb519c97c._msdcs.DNS
    レプリケーション先: 07e9c383-64c3-47c6-b688-00494c03fe0a._msdcs.DNS
コールバック メッセージ: 次のレプリケーションが完了しました:
    レプリケーション元: 58e79d50-867d-4b3f-b3cc-fe5eb519c97c._msdcs.DNS
    レプリケーション先: 07e9c383-64c3-47c6-b688-00494c03fe0a._msdcs.DNS
コールバック メッセージ: SyncAll が完了しました。
SyncAll はエラーなしで終了しました。

移行するコマンド

PowerShellにて

Example 5: Transfer roles to a specific domain controller

PS C:\> $Server = Get-ADDomainController -Identity AD01
PS C:\> Move-ADDirectoryServerOperationMasterRole -Identity $Server -OperationMasterRole SchemaMaster,DomainNamingMaster,PDCEmulator,RIDMaster,InfrastructureMaster

このコマンドは、指定したドメインコントローラに FSMO 役割を移行します。ドメインコントローラを識別するために完全修飾ドメイン名(FQDN)を使用する場合、Identity パラメータの値として直接 FQDN を指定する前に、まず Get-ADDomainController コマンドレットを使用する必要があります。知られている問題として、Identity パラメータの値として FQDN を直接指定した場合に Move-ADDirectoryServerOperationMasterRole コマンドレットが失敗することがあります。

IPアドレスの変更

ドメコンのIP入れ替えと言っても、作業自体は通常のPCのIPアドレス変更と変わりません。

AD1のIPアドレスをテンポラリーのアドレス(192.168.0.100)に変更
AD01のIPアドレスを元々AD1が持っていたアドレス(192.168.0.1)に変更

この時 DC1があり、DNSサーバも兼用です。 192.168.0.2 として存在しています。

なので、ドメインコントローラのDNSサーバの指定は

プライマリ 192.168.0.1

セカンダリ 192.168.0.2

としていれば、DC1のDNSサーバは生きている事になるので、クライアントにはDC1のDNSサーバがずっと提供できている事になります。

ipアドレスの変更が終わったらDNSサーバが持っているIPアドレス情報を更新します。

ipconfig /registerdns

DNSマネージャにて AD01 が192.168.0.2 として登録されている事を確認

移行前

netdom query fsmo にて役割確認

PS C:\Users> netdom query fsmo
スキーマ マスター                AD1.HONDEN_DNS
ドメイン名前付けマスター        AD1.HONDEN_DNS
PDC                         AD1.HONDEN_DNS
RID プール マネージャー        AD1.HONDEN_DNS
インフラストラクチャ マスター    AD1.HONDEN_DNS
コマンドは正しく完了しました。

移行作業

移行コマンド実行

PS C:\Users> Move-ADDirectoryServerOperationMasterRole -Identity AD01 -OperationMasterRole SchemaMaster,DomainNam
ingMaster,PDCEmulator,RIDMaster,InfrastructureMaster

操作マスターの役割の移動
役割 'SchemaMaster' をサーバー 'AD01.DNS' に移動しますか?
[Y] はい(Y)  [A] すべて続行(A)  [N] いいえ(N)  [L] すべて無視(L)  [S] 中断(S)  [?] ヘルプ (既定値は "Y"): a

移行確認 FSMOはAD01に移行されている

PS C:\Users\mabito> netdom query fsmo
スキーマ マスター                AD01.DNS
ドメイン名前付けマスター        AD01.DNS
PDC                         AD01.DNS
RID プール マネージャー        AD01.DNS
インフラストラクチャ マスター    AD01.DNS
コマンドは正しく完了しました。

ドメインコントローラの降格

AD1のFSMOはAD01に引継ぎ、役割を追えます。ドメインコントローラ機能を降格させます。

ドメインコントローラの一覧

降格前 AD01(FSMO),AD1(旧FSMO),DC1の3台が稼働している

C:\Users>net group "Domain Controllers" /domain

グループ名 Domain Controllers
コメント ドメインのすべてのドメイン コントローラ

メンバー

AD01$ AD1$ DC1$
コマンドは正常に終了しました。

降格後も状態が変わらなかったのでメタデータを削除します。

残っているドメインコントローラにて、降格したAD1のメタデータを削除します。ActiveDirectoryユーザとコンピュータの中のDomain COntrollers の不要なドメインコントローラを右クリックして削除します。

削除ウィザードを実行せずにドメインコントローラを削除しようとしています。と表示されますが、実際には、ウィザードを使って削除したのですが残ってしまっているメタデータを削除します。

完全にオフラインで、削除ウィザードを使用して削除できないこの土面コントローラを削除する

にチェックを入れた状態で削除です。

確認

C:\Users>net group "Domain Controllers" /domain
グループ名     Domain Controllers
コメント       ドメインのすべてのドメイン コントローラ

メンバー

-------------------------------------------------------------------------------
AD01$                    DC1$
コマンドは正常に終了しました。

AD01,DC1のみとなりました。

Active Directory サイトとサービスを利用してサーバメタデータの削除

参考 Active Directory ドメイン コントローラー サーバー メタデータをクリーンアップする

降格したAD1を削除する

タイトルとURLをコピーしました