[samba-jp:23173] Re: FSMOを強制的に現サーバに移行したい
Kunihiro Yasukouchi
kys @ tbf.t-com.ne.jp
2022年 3月 27日 (日) 22:41:39 JST
はじめまして
安河内 と申します。
> 新しいWindowsPCをドメインに参加させると「この関数を完了できません」というエラーがでます。
ここはちょっとわかりかねますが
> そこでsamba-tool fsmo seizeすればよいと思って実行しましたが、FSMO roleが無効とエラーが出ます。
--role で FSMO ロールの指定がいるのではないかと思います
以前、私もミスで FSMO な AD DC を壊してしまったことがあって
その際には以下のように FSMO を強制的に移しています
server-dc02 # samba-tool fsmo seize --role=all
Attempting transfer...
Transfer unsuccessful, seizing...
Seizing rid FSMO role...
FSMO seize of 'rid' role successful
Attempting transfer...
Transfer unsuccessful, seizing...
Seizing pdc FSMO role...
FSMO seize of 'pdc' role successful
Attempting transfer...
Transfer unsuccessful, seizing...
Seizing naming FSMO role...
FSMO seize of 'naming' role successful
Attempting transfer...
Transfer unsuccessful, seizing...
Seizing infrastructure FSMO role...
FSMO seize of 'infrastructure' role successful
Attempting transfer...
Transfer unsuccessful, seizing...
Seizing schema FSMO role...
FSMO seize of 'schema' role successful
Attempting transfer...
Failed to bind - LDAP error 49 LDAP_INVALID_CREDENTIALS - <8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1> <>
Failed to connect to 'ldap://9f10e0dc-a8cb-47ec-bbd2-0b687313270c._msdcs.ad.example.com' with backend 'ldap': LDAP error 49 LDAP_INVALID_CREDENTIALS - <8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1> <>
Transfer unsuccessful, seizing...
Seizing domaindns FSMO role...
FSMO seize of 'domaindns' role successful
Attempting transfer...
Failed to bind - LDAP error 49 LDAP_INVALID_CREDENTIALS - <8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1> <>
Failed to connect to 'ldap://9f10e0dc-a8cb-47ec-bbd2-0b687313270c._msdcs.ad.example.com' with backend 'ldap': LDAP error 49 LDAP_INVALID_CREDENTIALS - <8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1> <>
Transfer unsuccessful, seizing...
Seizing forestdns FSMO role...
FSMO seize of 'forestdns' role successful
server-dc02 # samba-tool fsmo show
SchemaMasterRole owner: CN=NTDS Settings,CN=SERVER-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=example,DC=com
InfrastructureMasterRole owner: CN=NTDS Settings,CN=SERVER-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=example,DC=com
RidAllocationMasterRole owner: CN=NTDS Settings,CN=SERVER-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=example,DC=com
PdcEmulationMasterRole owner: CN=NTDS Settings,CN=SERVER-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=example,DC=com
DomainNamingMasterRole owner: CN=NTDS Settings,CN=SERVER-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=example,DC=com
DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=SERVER-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=example,DC=com
ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=SERVER-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=example,DC=com
FSMO ロールを無事に移せたら、動作していない(且まだ AD 的に DC として認識されている) DC を
server-dc02 # samba-tool domain demote --remove-other-dead-server=server-dc01
として demote しました。
# ちなみに FreeBSD かつ BIND9_DLZ な環境だと、普通の fsmo transfer の際に all で一括移行をさせると
# 途中で bind が落ちてしまって TIMEOUT を起こしてしまうため、 以下のように role を個別で移すことが必要でした。
#
# # samba-tool fsmo transfer --role=rid -U administrator
# # samba-tool fsmo transfer --role=pdc -U administrator
# # samba-tool fsmo transfer --role=schema -U administrator
# # samba-tool fsmo transfer --role=naming -U administrator
# # samba-tool fsmo transfer --role=infrastructure -U administrator
# # samba-tool fsmo transfer --role=domaindns -U administrator
# # samba-tool fsmo transfer --role=forestdns -U administrator
以上、何かの参考になれば。
--
Kunihiro Yasukouchi
In article (Subject: [samba-jp:23172] FSMOを強制的に現サーバに移行したい
Date: Sun, 27 Mar 2022 13:52:31 +0900)
You(Tamotsu Hasegawa <tamotsu @ nippaku.co.jp>) wrote :
> 長谷川@ニッパク と申します。
>
> Samba4にADを設定してドメイン運用しています。
>
> 新しいWindowsPCをドメインに参加させると「この関数を
> 完了できません」というエラーがでます。
>
> 昨年サーバマシンの入れ替えをしましたが、そのときに
> FSMOを更新しなかったので現在FSMOが存在しな状況です。
> おそらくこれが原因だと思います。
>
> そこでsamba-tool fsmo seizeすればよいと思って実行しま
> したが、FSMO roleが無効とエラーが出ます。
>
> FSMOを強制的に現サーバに移行し、存在しない旧サーバの
> 情報を削除したいのですが、解決方法、もしくは何を調べ
> れば良いかをご教授頂けませんでしょうか?
>
> 環境とエラーメッセージは以下の通りです。
>
> 現サーバ名:PUMA
> 旧サーバ名:TIGER
> ドメイン名:PARK
>
> root @ puma:~ #
> root @ puma:~ # uname -a
> FreeBSD puma.park.nippaku 12.2-RELEASE FreeBSD 12.2-RELEASE r366954 GENERIC amd64
> root @ puma:~ #
> root @ puma:~ # smbd -V
> Version 4.13.8
> root @ puma:~ #
> root @ puma:~ # samba-tool fsmo show
> SchemaMasterRole owner: CN=NTDS Settings,CN=TIGER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=park,DC=nippaku
> InfrastructureMasterRole owner: CN=NTDS Settings,CN=TIGER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=park,DC=nippaku
> RidAllocationMasterRole owner: CN=NTDS Settings,CN=TIGER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=park,DC=nippaku
> PdcEmulationMasterRole owner: CN=NTDS Settings,CN=TIGER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=park,DC=nippaku
> DomainNamingMasterRole owner: CN=NTDS Settings,CN=TIGER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=park,DC=nippaku
> DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=TIGER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=park,DC=nippaku
> ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=TIGER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=park,DC=nippaku
> root @ puma:~ #
> root @ puma:~ # samba-tool dbcheck
> Checking 294 objects
> No RID Set found for this server: CN=PUMA,OU=Domain Controllers,DC=park,DC=nippaku, and we are not the RID Master (so can not self-allocate)
> Please use --fix to fix these errors
> Checked 294 objects (1 errors)
> root @ puma:~ #
> root @ puma:~ # samba-tool fsmo seize -U administrator
> ERROR: Invalid FSMO role.
> root @ puma:~ #
>
> === ここまで ===
>
> 他に何か必要な情報があればご指示下さい。
> ヒントだけでもいいので、コメントを頂ければ幸いです。
>
> 以上、よろしくお願いいたします。
>
> /* 長谷川 保 @ (株)ニッパク */
>
samba-jp メーリングリストの案内