管理人のSE経験値(Exp)を見える化するブログ

中小企業(独立系Sier)でインフラエンジニアをしている管理人が日々の業務、自己啓発によって得た知識、経験を雑記するブログです。

トップ > Windows Server 2008 R2 > 「ディレクトリサービスで必須の構成情報が不足しているため、浮動単一マスター操作の役割に対する所有権を判断できません。」のエラーが表示され、DC降格に失敗する

「ディレクトリサービスで必須の構成情報が不足しているため、浮動単一マスター操作の役割に対する所有権を判断できません。」のエラーが表示され、DC降格に失敗する

Windows Server 2008 R2 Windows Server 2008 R2-Active Directory Windows

問題

本番環境でWindows Server 2008 R2のDC降格時に以下のエラーメッセージが出力し、DC降格に失敗した為、その時の対応について投稿する。

ディレクトリサービスで必須の構成情報が不足しているため、浮動単一マスター操作の役割に対する所有権を判断できません。」

※普段すんなり完了する作業なだけに作業時にはそれなりに焦りました(笑

DC降格時のエラーメッセージ

f:id:Miyamon:20160920231217p:plain

f:id:Miyamon:20160920231600p:plain

イベントログ (ディレクトリサービス)

DC降格失敗時に記録されたイベントログ

イベントID:2091 f:id:Miyamon:20160920230625p:plain

イベントID:2022 f:id:Miyamon:20160920230704p:plain

対処時に参考にしたサイト

fSMORoleOwner 属性の Infrastructure マスターの値にご注意 – Ask the Network & AD Support Team

https://support.microsoft.com/ja-jp/kb/949257

問題の原因

過去にFSMOの役割を保持していたDCサーバーの強制降格/Metadata Cleanupを実行していた場合、別のDCサーバーを降格しようとした時に該当の現象が発生する模様。

テスト環境で以下の流れを踏んだ場合に同現象の再現を確認した。

  1. TESTSV11:Windows Server 2008 R2 SP1のドメイン環境(test-dom.local)構築 (FSMO役割保持)
  2. TESTSV12:Windows Server 2012 R2の追加DC構築 (追加DC)
  3. TESTSV13:Windows Server 2008 R2 SP1の追加DC構築 (追加DC)
  4. TESTSV11 → TESTSV12へのFSMO役割の通常転送
  5. TESTSV11:DC強制降格/Metadata Cleanup
  6. TESTSV13:DC降格時に現象再発

事前確認

  1. [ADSIエディター]を起動し、[操作]-[接続]を選択

  2. [識別名または名前付けコンテキストを選択または入力する]にチェックを入れ、以下のパスを入力後、[OK]を選択する。
    パス:DC=ForestDnsZones,DC=test-dom,DC=local*1
    f:id:Miyamon:20160920232426p:plain


  3. [CN=Infrastructure]をダブルクリックし、プロパティを開く
    f:id:Miyamon:20160920233015p:plain


  4. [fSMORoleOwner]の値を確認する
    値:CN=NTDS Settings\0ADEL:2ce90ea7-7f3b-4839-82eb-d23bdcca909b,CN=TESTSV11\0ADEL:8f272823-33c7-41da-8b8e-65d08e10cb8d,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test-dom,DC=local
    0ADELのタグが登録されている場合、本現象が発生する模様。
    f:id:Miyamon:20160920234749p:plain f:id:Miyamon:20160920235047p:plain


  5. [識別名または名前付けコンテキストを選択または入力する]にチェックを入れ、以下のパスを入力後、[OK]を選択する。
    パス:DC=DomainDnsZones,DC=test-dom,DC=local*2
    f:id:Miyamon:20160920235151p:plain


  6. [CN=Infrastructure]をダブルクリックし、プロパティを開く
    f:id:Miyamon:20160920235324p:plain


  7. [fSMORoleOwner]の値を確認する
    値:CN=NTDS Settings\0ADEL:2ce90ea7-7f3b-4839-82eb-d23bdcca909b,CN=TESTSV11\0ADEL:8f272823-33c7-41da-8b8e-65d08e10cb8d,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test-dom,DC=local
    0ADELのタグが登録されている場合、本現象が発生する模様。
    f:id:Miyamon:20160920235411p:plain f:id:Miyamon:20160920235439p:plain

対処手順

※今回は"ForestDnsZones"、"DomainDNSZones"の[CN=Infrastructure]の[fSMORoleOwner]タグに0ADELが含まれていた為、両方の[fSMORoleOwner]タグを変更する。変更にはKB949257で公開されているfixfsmo.vbsを利用する。

  1. KB949257で公開されている"fixfsmo.vbs"を任意の場所に保存し、ForestDnsZonesの[fSMORoleOwner]タグを変更する*3

    実行コマンド
    cscript fixfsmo.vbs DC=ForestDnsZones,DC=test-dom,DC=local

    f:id:Miyamon:20160921000119p:plain
    変更後の[fSMORoleOwner]の値:CN=NTDS Settings,CN=TESTSV12,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test-dom,DC=local


  2. DomainDnsZonesの[fSMORoleOwner]タグを変更する*4

    実行コマンド
    cscript fixfsmo.vbs DC=DomainDnsZones,DC=test-dom,DC=local

    f:id:Miyamon:20160921001923p:plain
    変更後の[fSMORoleOwner]の値:CN=NTDS Settings,CN=TESTSV12,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test-dom,DC=local


  3. [fSMORoleOwner]の値の変更については「事前確認」の手順で確認し、通常通りの手順でDC降格を実施すれば正常に降格が可能となる

利用環境

Windows Server 2012 R2
Windows Server 2008 R2 SP1
フォレスト機能レベル:Windows 2003
ドメイン機能レベル:Windows 2003

*1:DC=test-dom,DC=local部分については各環境で読み替えてください。

*2:DC=test-dom,DC=local部分については各環境で読み替えてください。

*3:実行コマンドのDC=test-dom,DC=local部分については各環境で読み替えてください。

*4:実行コマンドのDC=test-dom,DC=local部分については各環境で読み替えてください。