寄稿しました。
今回はActive Directoryの強制昇格をご紹介します。バックアップ用のドメインコントローラ(BDC)を作っておくと、プライマリのドメインコントローラ(PDC)が消滅したとしても、復旧することが容易になります。
もくじ
おおまかな流れ
ADESXI BDCをPDCにしよう
ADESXI上のPowerShellを起動します。
PS C:\Users\Administrator.hoge> ntdsutil C:\Windows\system32\ntdsutil.exe: roles fsmo maintenance: select operation target select operation target: connections server connections: connect to domain hoge.local \\ADESXI.hoge.local に結合しています... ローカルでログオンしているユーザーの資格情報を使って \\ADESXI.hoge.local に接続し ました。 server connections: quit
役割の確認をしましょうか。
select operation target: list roles for connected server サーバー "\\ADESXI.hoge.local" は 5 個の役割を認識しています スキーマ - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local 名前付けマスター - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local PDC - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local RID - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local インフラストラクチャ - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local select operation target: quit
AD1が5権の役割を持っていることを確認できたね。
ADESXIが役割を強制的に持つようにするよ。
fsmo maintenance: fsmo maintenance: seize schema master 強制前に schema FSMO の安全転送を試みています。 FSMO 転送は終了しました - 強制処理 (seize) は必要ありません。 サーバー "\\ADESXI.hoge.local" は 5 個の役割を認識しています スキーマ - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local 名前付けマスター - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local PDC - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local RID - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local インフラストラクチャ - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local fsmo maintenance: fsmo maintenance: seize naming master 強制前に domain naming FSMO の安全転送を試みています。 FSMO 転送は終了しました - 強制処理 (seize) は必要ありません。 サーバー "\\ADESXI.hoge.local" は 5 個の役割を認識しています スキーマ - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local 名前付けマスター - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local PDC - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local RID - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local インフラストラクチャ - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local fsmo maintenance: fsmo maintenance: seize pdc 強制前に PDC FSMO の安全転送を試みています。 FSMO 転送は終了しました - 強制処理 (seize) は必要ありません。 サーバー "\\ADESXI.hoge.local" は 5 個の役割を認識しています スキーマ - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=S ites,CN=Configuration,DC=hoge,DC=local 名前付けマスター - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local PDC - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local RID - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local インフラストラクチャ - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local fsmo maintenance: fsmo maintenance: seize rid master 強制前に RID FSMO の安全転送を試みています。 FSMO 転送は終了しました - 強制処理 (seize) は必要ありません。 サーバー "\\ADESXI.hoge.local" は 5 個の役割を認識しています スキーマ - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local 名前付けマスター - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-N ame,CN=Sites,CN=Configuration,DC=hoge,DC=local PDC - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local RID - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local インフラストラクチャ - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local fsmo maintenance: fsmo maintenance: seize infrastructure master 強制前に infrastructure FSMO の安全転送を試みています。 FSMO 転送は終了しました - 強制処理 (seize) は必要ありません。 サーバー "\\ADESXI.hoge.local" は 5 個の役割を認識しています スキーマ - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local 名前付けマスター - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local PDC - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites, CN=Configuration,DC=hoge,DC=local RID - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local インフラストラクチャ - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local fsmo maintenance: quit
ADESXIがPDCに強制昇格できたね。
ADESXIに役割があることを確認しましょう。
C:\Windows\system32\ntdsutil.exe: roles fsmo maintenance: select operation target select operation target: connections ローカルでログオンしているユーザーの資格情報を使って \\ADESXI.hoge.local に接続し ました。 server connections: connect to domain hoge.local \\ADESXI.hoge.local から切断しています... \\ADESXI.hoge.local に結合しています... ローカルでログオンしているユーザーの資格情報を使って \\ADESXI.hoge.local に接続し ました。 server connections: quit select operation target: list roles for connected server サーバー "\\ADESXI.hoge.local" は 5 個の役割を認識しています スキーマ - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local 名前付けマスター - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local PDC - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local RID - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local インフラストラクチャ - CN=NTDS Settings,CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local
役割を確認出来たね。
メタデータを掃除しよう
select operation target: select operation target: quit fsmo maintenance: quit C:\Windows\system32\ntdsutil.exe: C:\Windows\system32\ntdsutil.exe: metadata cleanup metadata cleanup: connections ローカルでログオンしているユーザーの資格情報を使って \\ADESXI.hoge.local に接続し ました。 server connections: connect to server ADESXI ADESXI に結合しています... ローカルでログオンしているユーザーの資格情報を使って ADESXI に接続しました。。 server connections: quit
metadata cleanup: select operation target
select operation target: list domains
1 個のドメインを検出しました
0 - DC=hoge,DC=local
select operation target: select domain 0
現在のサイトがありません
ドメイン - DC=hoge,DC=local
現在のサーバーがありません
現在の名前付けコンテキストがありません
select operation target: list sites
1 個のサイトを検出しました
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local
select operation target: select site 0
サイト - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local
ドメイン - DC=hoge,DC=local
現在のサーバーがありません
現在の名前付けコンテキストがありません
select operation target: list server in site
3 個のサーバーを検出しました
0 - CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local
1 - CN=AD2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local
2 - CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local
select operation target: select server 0
サイト - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local
ドメイン - DC=hoge,DC=local
サーバー - CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuratio
n,DC=hoge,DC=local
DSA オブジェクト - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-S
ite-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local
DNS ホスト名 - ad1.hoge.local
コンピューター オブジェクト - CN=AD1,OU=Domain Controllers,DC=hoge,DC=loca
l
現在の名前付けコンテキストがありません
select operation target: quit
metadata cleanup:remove selected server
ADESXIからAD1のメタデータが削除された。
AD2からもAD1のメタデータを削除しよう。
metadata cleanup: connections
ローカルでログオンしているユーザーの資格情報を使って ADESXI に接続しました。
server connections: connect to server AD2
ADESXI から切断しています...
AD2 に結合しています...
ローカルでログオンしているユーザーの資格情報を使って AD2 に接続しました。
server connections: quit
metadata cleanup: select operation target
select operation target: list domains
1 個のドメインを検出しました
0 - DC=hoge,DC=local
select operation target: select domain 0
現在のサイトがありません
ドメイン - DC=hoge,DC=local
現在のサーバーがありません
現在の名前付けコンテキストがありません
select operation target: list sites
1 個のサイトを検出しました
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local
select operation target: select site 0
サイト - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local
ドメイン - DC=hoge,DC=local
現在のサーバーがありません
現在の名前付けコンテキストがありません
select operation target: select site 0
サイト - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local
ドメイン - DC=hoge,DC=local
現在のサーバーがありません
現在の名前付けコンテキストがありません
select operation target: list server in site
3 個のサーバーを検出しました
0 - CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge
,DC=local
1 - CN=AD2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge
,DC=local
2 - CN=ADESXI,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local
select operation target: select server 0
サイト - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local
ドメイン - DC=hoge,DC=local
サーバー - CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local
DSA オブジェクト - CN=NTDS Settings,CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local
DNS ホスト名 - ad1.hoge.local
コンピューター オブジェクト - CN=AD1,OU=Domain Controllers,DC=hoge,DC=local
現在の名前付けコンテキストがありません
select operation target: quit
metadata cleanup: remove selected server
選択されたサーバーから FSMO 役割を転送/強制処理しています。
選択されたサーバーのために FRS メタデータを削除しています。
"CN=AD1,OU=Domain Controllers,DC=hoge,DC=local" 下で FRS メンバーを検索しています。
"CN=AD1,OU=Domain Controllers,DC=hoge,DC=local" 下のサブツリーを削除しています。
CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=
local 上の FRS 設定の削除に失敗しました。原因は次のとおりです: "要素が見つかりま
せん。";
メタデータのクリーンアップは続行されます。
"CN=AD1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=hoge,DC=local" をサーバー "AD2"から削除しました
コマンドプロンプトからもFSMOの役割サーバを確認
C:\Users\Administrator.HOGE>netdom /query fsmo スキーマ マスター ADESXI.hoge.local ドメイン名前付けマスター ADESXI.hoge.local PDC ADESXI.hoge.local RID プール マネージャー ADESXI.hoge.local インフラストラクチャ マスター ADESXI.hoge.local コマンドは正しく完了しました。
大丈夫だね。
DNSも掃除しよう
ネームサーバを削除しよう。
レコードを削除しようね。
お疲れ様です。
関連記事 - More from my site -
Active Directory 非アクティブユーザを確認する PowerShell
Active Directoryごみ箱の有効化 Windows Server2008R2, 2012R2
ActiveDirectory ドメイン参加ユーザにローカルPC管理権限を与える
共有ファイルの所有権を一括で変更する。PowerShell icacls
ActiveDirectory スペックとDC数の推奨値、障害対応について。
震災とキャバクラ
Apacheログ分析 Fluentd+S3+Athena
IP Spoofing 対策
確率 積の法則(独立), 和の法則(排反)
地政学関連
【Laravel】Argument 1 passed to App\Person::App\{closure}() must be an instance of App\Builder, instance of Illuminate\Database\Eloquent\Builder given,
duで隠しディレクトリを含んだ容量で降順ソート
Git コンフリクトの解消 conflict
対数 底の変換 導出
Amazonおすすめ
iPad 9世代 2021年最新作
iPad 9世代出たから買い替え。安いぞ!🐱 初めてならiPad。Kindleを外で見るならiPad mini。ほとんどの人には通常のiPadをおすすめします><