[samba-jp:23174] Re: FSMOを強制的に現サーバに移行したい

Tamotsu Hasegawa tamotsu @ nippaku.co.jp
2022年 3月 28日 (月) 11:30:01 JST


安河内 様

長谷川@ニッパク です。
丁寧なコメントをいただきましてありがとうございます。

結論から申し上げると、上手くいきました\(^o^)/
どうもありがとうございました。

roleを明示的に指定するとは盲点でした(^_^ゞ

FSMOの強制的な取得後、存在しないサーバに関する他の
情報も綺麗にすることができました。
また、新PCのドメイン参加もできました。

なお、Sambaサーバ機ではBINDを使っていないので、
--role=allでエラーなく処理が完了しました。
少し時間がかかったのはきっと私がゴミを溜めたせい
でしょう(´ω`)

次にサーバを交換するときにはFSMOの移行を忘れずに
実施します。

本当に助かりました。
どうもありがとうございました。

/* 長谷川 保 @ (株)ニッパク */


 On 2022/03/27 22:41:39
 wrote: Kunihiro Yasukouchi <kys @ tbf.t-com.ne.jp>
 title: Re: [samba-jp:23172] FSMOを強制的に現サーバに移行したい

> はじめまして
> 安河内 と申します。
> 
> > 新しいWindowsPCをドメインに参加させると「この関数を完了できません」というエラーがでます。
> ここはちょっとわかりかねますが
> 
> 
> > そこでsamba-tool fsmo seizeすればよいと思って実行しましたが、FSMO roleが無効とエラーが出ます。
> --role で FSMO ロールの指定がいるのではないかと思います
> 
> 以前、私もミスで FSMO な AD DC を壊してしまったことがあって
> その際には以下のように FSMO を強制的に移しています
> 
> 
> server-dc02 # samba-tool fsmo seize --role=all
> Attempting transfer...
> Transfer unsuccessful, seizing...
> Seizing rid FSMO role...
> FSMO seize of 'rid' role successful
> Attempting transfer...
> Transfer unsuccessful, seizing...
> Seizing pdc FSMO role...
> FSMO seize of 'pdc' role successful
> Attempting transfer...
> Transfer unsuccessful, seizing...
> Seizing naming FSMO role...
> FSMO seize of 'naming' role successful
> Attempting transfer...
> Transfer unsuccessful, seizing...
> Seizing infrastructure FSMO role...
> FSMO seize of 'infrastructure' role successful
> Attempting transfer...
> Transfer unsuccessful, seizing...
> Seizing schema FSMO role...
> FSMO seize of 'schema' role successful
> Attempting transfer...
> Failed to bind - LDAP error 49 LDAP_INVALID_CREDENTIALS -  <8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1> <>
> Failed to connect to 'ldap://9f10e0dc-a8cb-47ec-bbd2-0b687313270c._msdcs.ad.example.com' with backend 'ldap': LDAP error 49 LDAP_INVALID_CREDENTIALS -  <8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1> <>
> Transfer unsuccessful, seizing...
> Seizing domaindns FSMO role...
> FSMO seize of 'domaindns' role successful
> Attempting transfer...
> Failed to bind - LDAP error 49 LDAP_INVALID_CREDENTIALS -  <8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1> <>
> Failed to connect to 'ldap://9f10e0dc-a8cb-47ec-bbd2-0b687313270c._msdcs.ad.example.com' with backend 'ldap': LDAP error 49 LDAP_INVALID_CREDENTIALS -  <8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1> <>
> Transfer unsuccessful, seizing...
> Seizing forestdns FSMO role...
> FSMO seize of 'forestdns' role successful
> 
> server-dc02 # samba-tool fsmo show
> SchemaMasterRole owner: CN=NTDS Settings,CN=SERVER-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=example,DC=com
> InfrastructureMasterRole owner: CN=NTDS Settings,CN=SERVER-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=example,DC=com
> RidAllocationMasterRole owner: CN=NTDS Settings,CN=SERVER-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=example,DC=com
> PdcEmulationMasterRole owner: CN=NTDS Settings,CN=SERVER-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=example,DC=com
> DomainNamingMasterRole owner: CN=NTDS Settings,CN=SERVER-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=example,DC=com
> DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=SERVER-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=example,DC=com
> ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=SERVER-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=example,DC=com
> 
> 
> FSMO ロールを無事に移せたら、動作していない(且まだ AD 的に DC として認識されている) DC を
> 
> server-dc02 # samba-tool domain demote --remove-other-dead-server=server-dc01
> 
> として demote しました。
> 
> # ちなみに FreeBSD かつ BIND9_DLZ な環境だと、普通の fsmo transfer の際に all で一括移行をさせると
> # 途中で bind が落ちてしまって TIMEOUT を起こしてしまうため、 以下のように role を個別で移すことが必要でした。
> #
> # # samba-tool fsmo transfer --role=rid -U administrator
> # # samba-tool fsmo transfer --role=pdc -U administrator
> # # samba-tool fsmo transfer --role=schema -U administrator
> # # samba-tool fsmo transfer --role=naming -U administrator
> # # samba-tool fsmo transfer --role=infrastructure -U administrator
> # # samba-tool fsmo transfer --role=domaindns -U administrator
> # # samba-tool fsmo transfer --role=forestdns -U administrator
> 
> 
> 以上、何かの参考になれば。
> 
> 
> -- 
> Kunihiro Yasukouchi
> 
> 
> 
> In article (Subject: [samba-jp:23172] FSMOを強制的に現サーバに移行したい 
>             Date: Sun, 27 Mar 2022 13:52:31 +0900)
>    You(Tamotsu Hasegawa <tamotsu @ nippaku.co.jp>) wrote :
> 
> > 長谷川@ニッパク と申します。
> > 
> > Samba4にADを設定してドメイン運用しています。
> > 
> > 新しいWindowsPCをドメインに参加させると「この関数を
> > 完了できません」というエラーがでます。
> > 
> > 昨年サーバマシンの入れ替えをしましたが、そのときに
> > FSMOを更新しなかったので現在FSMOが存在しな状況です。
> > おそらくこれが原因だと思います。
> > 
> > そこでsamba-tool fsmo seizeすればよいと思って実行しま
> > したが、FSMO roleが無効とエラーが出ます。
> > 
> > FSMOを強制的に現サーバに移行し、存在しない旧サーバの
> > 情報を削除したいのですが、解決方法、もしくは何を調べ
> > れば良いかをご教授頂けませんでしょうか?
> > 
> > 環境とエラーメッセージは以下の通りです。
> > 
> > 現サーバ名:PUMA
> > 旧サーバ名:TIGER
> > ドメイン名:PARK
> > 
> > root @ puma:~ #
> > root @ puma:~ # uname -a
> > FreeBSD puma.park.nippaku 12.2-RELEASE FreeBSD 12.2-RELEASE r366954 GENERIC  amd64
> > root @ puma:~ #
> > root @ puma:~ # smbd -V
> > Version 4.13.8
> > root @ puma:~ #
> > root @ puma:~ # samba-tool fsmo show
> > SchemaMasterRole owner: CN=NTDS Settings,CN=TIGER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=park,DC=nippaku
> > InfrastructureMasterRole owner: CN=NTDS Settings,CN=TIGER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=park,DC=nippaku
> > RidAllocationMasterRole owner: CN=NTDS Settings,CN=TIGER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=park,DC=nippaku
> > PdcEmulationMasterRole owner: CN=NTDS Settings,CN=TIGER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=park,DC=nippaku
> > DomainNamingMasterRole owner: CN=NTDS Settings,CN=TIGER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=park,DC=nippaku
> > DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=TIGER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=park,DC=nippaku
> > ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=TIGER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=park,DC=nippaku
> > root @ puma:~ #
> > root @ puma:~ # samba-tool dbcheck
> > Checking 294 objects
> > No RID Set found for this server: CN=PUMA,OU=Domain Controllers,DC=park,DC=nippaku, and we are not the RID Master (so can not self-allocate)
> > Please use --fix to fix these errors
> > Checked 294 objects (1 errors)
> > root @ puma:~ #
> > root @ puma:~ # samba-tool fsmo seize -U administrator
> > ERROR: Invalid FSMO role.
> > root @ puma:~ #
> > 
> > === ここまで ===
> > 
> > 他に何か必要な情報があればご指示下さい。
> > ヒントだけでもいいので、コメントを頂ければ幸いです。
> > 
> > 以上、よろしくお願いいたします。
> > 
> > /* 長谷川 保 @ (株)ニッパク */
> > 



samba-jp メーリングリストの案内