寄稿しました。
今回はActive Directoryの強制昇格をご紹介します。バックアップ用のドメインコントローラ(BDC)を作っておくと、プライマリのドメインコントローラ(PDC)が消滅したとしても、復旧することが容易になります。
もくじ
おおまかな流れ
ADESXI BDCをPDCにしよう
ADESXI上のPowerShellを起動します。
PS C:\Users\Administrator.hoge> ntdsutil C:\Windows\system32\ntdsutil.exe: roles fsmo maintenance: select operation target select operation target: connections server connections: connect to domain hoge.local \\ADESXI.hoge.local に結合しています... ローカルでログオンしているユーザーの資格情報を使って \\ADESXI.hoge.local に接続し ました。 server connections: quit
役割の確認をしましょうか。
select operation target: list roles for connected server サーバー "\\ADESXI.hoge.local" は 5 個の役割を認識しています スキーマ - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local 名前付けマスター - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local PDC - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local RID - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local インフラストラクチャ - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local select operation target: quit
AD1が5権の役割を持っていることを確認できたね。
ADESXIが役割を強制的に持つようにするよ。
fsmo maintenance: fsmo maintenance: seize schema master 強制前に schema FSMO の安全転送を試みています。 FSMO 転送は終了しました - 強制処理 (seize) は必要ありません。 サーバー "\\ADESXI.hoge.local" は 5 個の役割を認識しています スキーマ - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local 名前付けマスター - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local PDC - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local RID - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local インフラストラクチャ - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local fsmo maintenance: fsmo maintenance: seize naming master 強制前に domain naming FSMO の安全転送を試みています。 FSMO 転送は終了しました - 強制処理 (seize) は必要ありません。 サーバー "\\ADESXI.hoge.local" は 5 個の役割を認識しています スキーマ - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local 名前付けマスター - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local PDC - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local RID - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local インフラストラクチャ - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local fsmo maintenance: fsmo maintenance: seize pdc 強制前に PDC FSMO の安全転送を試みています。 FSMO 転送は終了しました - 強制処理 (seize) は必要ありません。 サーバー "\\ADESXI.hoge.local" は 5 個の役割を認識しています スキーマ - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=S ites,CN=Configuration,DC=hoge,DC=local 名前付けマスター - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local PDC - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local RID - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local インフラストラクチャ - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local fsmo maintenance: fsmo maintenance: seize rid master 強制前に RID FSMO の安全転送を試みています。 FSMO 転送は終了しました - 強制処理 (seize) は必要ありません。 サーバー "\\ADESXI.hoge.local" は 5 個の役割を認識しています スキーマ - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local 名前付けマスター - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-N ame,CN=Sites,CN=Configuration,DC=hoge,DC=local PDC - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local RID - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local インフラストラクチャ - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local fsmo maintenance: fsmo maintenance: seize infrastructure master 強制前に infrastructure FSMO の安全転送を試みています。 FSMO 転送は終了しました - 強制処理 (seize) は必要ありません。 サーバー "\\ADESXI.hoge.local" は 5 個の役割を認識しています スキーマ - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local 名前付けマスター - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local PDC - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites, CN=Configuration,DC=hoge,DC=local RID - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local インフラストラクチャ - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local fsmo maintenance: quit
ADESXIがPDCに強制昇格できたね。
ADESXIに役割があることを確認しましょう。
C:\Windows\system32\ntdsutil.exe: roles fsmo maintenance: select operation target select operation target: connections ローカルでログオンしているユーザーの資格情報を使って \\ADESXI.hoge.local に接続し ました。 server connections: connect to domain hoge.local \\ADESXI.hoge.local から切断しています... \\ADESXI.hoge.local に結合しています... ローカルでログオンしているユーザーの資格情報を使って \\ADESXI.hoge.local に接続し ました。 server connections: quit select operation target: list roles for connected server サーバー "\\ADESXI.hoge.local" は 5 個の役割を認識しています スキーマ - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local 名前付けマスター - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local PDC - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local RID - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local インフラストラクチャ - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local
役割を確認出来たね。
メタデータを掃除しよう
select operation target: select operation target: quit fsmo maintenance: quit C:\Windows\system32\ntdsutil.exe: C:\Windows\system32\ntdsutil.exe: metadata cleanup metadata cleanup: connections ローカルでログオンしているユーザーの資格情報を使って \\ADESXI.hoge.local に接続し ました。 server connections: connect to server ADESXI ADESXI に結合しています... ローカルでログオンしているユーザーの資格情報を使って ADESXI に接続しました。。 server connections: quit
metadata cleanup: select operation target select operation target: list domains 1 個のドメインを検出しました 0 - DC=hoge,DC=local select operation target: select domain 0 現在のサイトがありません ドメイン - DC=hoge,DC=local 現在のサーバーがありません 現在の名前付けコンテキストがありません select operation target: list sites 1 個のサイトを検出しました 0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local select operation target: select site 0 サイト - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local ドメイン - DC=hoge,DC=local 現在のサーバーがありません 現在の名前付けコンテキストがありません select operation target: list server in site 3 個のサーバーを検出しました 0 - CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local 1 - CN=AD2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local 2 - CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local select operation target: select server 0 サイト - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local ドメイン - DC=hoge,DC=local サーバー - CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuratio n,DC=hoge,DC=local DSA オブジェクト - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-S ite-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local DNS ホスト名 - ad1.hoge.local コンピューター オブジェクト - CN=AD1,OU=Domain Controllers,DC=hoge,DC=loca l 現在の名前付けコンテキストがありません select operation target: quit metadata cleanup:remove selected server
ADESXIからAD1のメタデータが削除された。
AD2からもAD1のメタデータを削除しよう。
metadata cleanup: connections ローカルでログオンしているユーザーの資格情報を使って ADESXI に接続しました。 server connections: connect to server AD2 ADESXI から切断しています... AD2 に結合しています... ローカルでログオンしているユーザーの資格情報を使って AD2 に接続しました。 server connections: quit metadata cleanup: select operation target select operation target: list domains 1 個のドメインを検出しました 0 - DC=hoge,DC=local select operation target: select domain 0 現在のサイトがありません ドメイン - DC=hoge,DC=local 現在のサーバーがありません 現在の名前付けコンテキストがありません select operation target: list sites 1 個のサイトを検出しました 0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local select operation target: select site 0 サイト - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local ドメイン - DC=hoge,DC=local 現在のサーバーがありません 現在の名前付けコンテキストがありません select operation target: select site 0 サイト - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local ドメイン - DC=hoge,DC=local 現在のサーバーがありません 現在の名前付けコンテキストがありません select operation target: list server in site 3 個のサーバーを検出しました 0 - CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge ,DC=local 1 - CN=AD2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge ,DC=local 2 - CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local select operation target: select server 0 サイト - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local ドメイン - DC=hoge,DC=local サーバー - CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local DSA オブジェクト - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local DNS ホスト名 - ad1.hoge.local コンピューター オブジェクト - CN=AD1,OU=Domain Controllers,DC=hoge,DC=local 現在の名前付けコンテキストがありません select operation target: quit metadata cleanup: remove selected server 選択されたサーバーから FSMO 役割を転送/強制処理しています。 選択されたサーバーのために FRS メタデータを削除しています。 "CN=AD1,OU=Domain Controllers,DC=hoge,DC=local" 下で FRS メンバーを検索しています。 "CN=AD1,OU=Domain Controllers,DC=hoge,DC=local" 下のサブツリーを削除しています。 CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC= local 上の FRS 設定の削除に失敗しました。原因は次のとおりです: "要素が見つかりま せん。"; メタデータのクリーンアップは続行されます。 "CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local" をサーバー "AD2"から削除しました
コマンドプロンプトからもFSMOの役割サーバを確認
C:\Users\Administrator.HOGE>netdom /query fsmo スキーマ マスター ADESXI.hoge.local ドメイン名前付けマスター ADESXI.hoge.local PDC ADESXI.hoge.local RID プール マネージャー ADESXI.hoge.local インフラストラクチャ マスター ADESXI.hoge.local コマンドは正しく完了しました。
大丈夫だね。
DNSも掃除しよう
ネームサーバを削除しよう。
レコードを削除しようね。
お疲れ様です。