忍者ブログ

ブランクがあるインフラエンジニアの備忘録

サーバ構築のメモ

SamabaでActive Directory構築③ WindowsのドメインコントローラーをSambaのドメインコントローラーに移設

×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

SamabaでActive Directory構築③ WindowsのドメインコントローラーをSambaのドメインコントローラーに移設

◆環境
・ドメインコントローラーのWindows Server
OS:Windows Server 2008
hostname:win2008ad
IP:10.0.1.20/24
DNS:127.0.0.1
ドメイン名:dm.co.jp

・移設先Sambaドメインコントローラー
OS:Ubuntu24.04
hostname:ubuntu1
IP1:10.0.1.31/24
IP2:192.168.128.31
DNS1:10.0.1.20  #DC移行前のみ
DNS2:192.168.128.1
DNS3:127.0.0.1  #ドメインコントローラーになった後はこちら
GW:192.168.128.1
ドメイン名:dm.co.jp


◆操作マスタを移す手順
・準備
「SamabaでActive Directory構築② ドメインコントローラーの追加」と同じ方法でwin2008adのドメインコントローラーにubuntu1のドメインコントローラーを追加します。
SamabaでActive Directory構築② ドメインコントローラーの追加|ブランクがあるインフラエンジニアの備忘録

・実際に操作マスタを移してみる
$ sudo samba-tool fsmo show
SchemaMasterRole owner: CN=NTDS Settings,CN=WIN2008AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dm,DC=co,DC=jp
InfrastructureMasterRole owner: CN=NTDS Settings,CN=WIN2008AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dm,DC=co,DC=jp
(中略)
Settings,CN=WIN2008AD,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dm,DC=co,DC=jp

これをRSAT上で操作マスタを確認すると以下の様になる。(PDC,インフラストラクチャも同様)



以下の失敗発生
$ sudo samba-tool fsmo transfer --role=all -U administrator
WARNING: Using passwords on command line is insecure. Installing the setproctitle python module will hide these from shortly after program start.
This DC already has the 'rid' FSMO role
This DC already has the 'pdc' FSMO role
This DC already has the 'naming' FSMO role
This DC already has the 'infrastructure' FSMO role
This DC already has the 'schema' FSMO role
Password for [DM\administrator]:
ERROR: Failed to add role 'domaindns': LDAP error 53 LDAP_UNWILLING_TO_PERFORM -  <000020AE: SvcErr: DSID-03152BF7, problem 5003 (WILL_NOT_PERFORM), data 0
> <>

失敗したのでサブコマンドの「役割の強制(seize)」を実行してみる。

# sudo samba-tool fsmo seize --role=all -U administrator
WARNING: Using passwords on command line is insecure. Installing the setproctitle python module will hide these from shortly after program start.
Attempting transfer...
This DC already has the 'rid' FSMO role
Transfer successful, not seizing role
Attempting transfer...
This DC already has the 'pdc' FSMO role
Transfer successful, not seizing role
Attempting transfer...
This DC already has the 'naming' FSMO role
Transfer successful, not seizing role
Attempting transfer...
This DC already has the 'infrastructure' FSMO role
Transfer successful, not seizing role
Attempting transfer...
This DC already has the 'schema' FSMO role
Transfer successful, not seizing role
Attempting transfer...
Password for [DM\administrator]:
Transfer unsuccessful, seizing...
Seizing domaindns FSMO role...
FSMO seize of 'domaindns' role successful
Attempting transfer...
Transfer unsuccessful, seizing...
Seizing forestdns FSMO role...
FSMO seize of 'forestdns' role successful

# sudo samba-tool fsmo show
SchemaMasterRole owner: CN=NTDS Settings,CN=UBUNTU1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dm,DC=co,DC=jp
InfrastructureMasterRole owner: CN=NTDS Settings,CN=UBUNTU1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dm,DC=co,DC=jp
RidAllocationMasterRole owner: CN=NTDS Settings,CN=UBUNTU1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dm,DC=co,DC=jp
PdcEmulationMasterRole owner: CN=NTDS Settings,CN=UBUNTU1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dm,DC=co,DC=jp
DomainNamingMasterRole owner: CN=NTDS Settings,CN=UBUNTU1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dm,DC=co,DC=jp
DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=UBUNTU1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dm,DC=co,DC=jp
ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=UBUNTU1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dm,DC=co,DC=jp

# sudo samba-tool ntacl sysvolreset  #ファイルのACLの自動修正

# samba-tool fsmo show  #CN=UBUNTU1に変わっていることを確認。
SchemaMasterRole owner: CN=NTDS Settings,CN=UBUNTU1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dm,DC=co,DC=jp
InfrastructureMasterRole owner: CN=NTDS Settings,CN=UBUNTU1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dm,DC=co,DC=jp
RidAllocationMasterRole owner: CN=NTDS Settings,CN=UBUNTU1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dm,DC=co,DC=jp
PdcEmulationMasterRole owner: CN=NTDS Settings,CN=UBUNTU1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dm,DC=co,DC=jp
DomainNamingMasterRole owner: CN=NTDS Settings,CN=UBUNTU1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dm,DC=co,DC=jp
DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=UBUNTU1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dm,DC=co,DC=jp
ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=UBUNTU1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dm,DC=co,DC=jp

RSAT上の操作マスタが以下のように変わり、RIDの操作マスタがUbuntu1.dom.co.jpになっていることが確認出来る。(PDC,インフラストラクチャも同様)



◆ubuntuのドメインコントローラー2台で「transfer --role=all」を試してみたら成功した。
(例)dc1ドメインコントローラーからdc2へメインのドメインコントローラーを変更し、dc1をドメインコントローラーから降格させる
dc1:~$ sudo samba-tool fsmo show   #CN=DC1であることを確認
[sudo] password for wakasi:
SchemaMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=co,DC=jp
InfrastructureMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=co,DC=jp
RidAllocationMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=co,DC=jp
PdcEmulationMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=co,DC=jp
DomainNamingMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=co,DC=jp
DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=co,DC=jp
ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=co,DC=jp

・dc2側で以下のコマンドを実施
dc2:~$ sudo samba-tool fsmo transfer --role=all -U administrator
WARNING: Using passwords on command line is insecure. Installing the setproctitle python module will hide these from shortly after program start.
FSMO transfer of 'rid' role successful
FSMO transfer of 'pdc' role successful
FSMO transfer of 'naming' role successful
FSMO transfer of 'infrastructure' role successful
FSMO transfer of 'schema' role successful
Password for [AD\administrator]:
FSMO transfer of 'domaindns' role successful
FSMO transfer of 'forestdns' role successful

dc2:~$ sudo samba-tool fsmo show  #以下でCN=DC2になっていることを確認
SchemaMasterRole owner: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=co,DC=jp
InfrastructureMasterRole owner: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=co,DC=jp
RidAllocationMasterRole owner: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=co,DC=jp
PdcEmulationMasterRole owner: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=co,DC=jp
DomainNamingMasterRole owner: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=co,DC=jp
DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=co,DC=jp
ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ad,DC=co,DC=jp

後はdc1側でドメインコントローラーを降格をする
dc1:~$ sudo samba-tool domain demote -Uadministrator
WARNING: Using passwords on command line is insecure. Installing the setproctitle python module will hide these from shortly after program start.
Using dc1.ad.co.jp as partner server for the demotion
Password for [AD\administrator]:
Deactivating inbound replication
Asking partner server dc1.ad.co.jp to synchronize from us
【中略】
INFO 2024-10-29 08:01:54,980 pid:1162 /usr/lib/python3/dist-packages/samba/remove_dc.py #212: updating DC=_ldap._tcp.dc,DC=_msdcs.ad.co.jp,CN=MicrosoftDNS,DC=ForestDnsZones,DC=ad,DC=co,DC=jp keeping 1 values, removing 1 values
PR

コメント

プロフィール

HN:
のらくら
性別:
非公開
自己紹介:
介護と自身の手術でブランクが出来たインフラエンジニアの学習メモ。VirtualBOXで仮想サーバーを建て、GNS3でCiscoルーター&スイッチによるネットワークのエミュレーションもしています。GNS3ネットワーク内に仮想サーバーと連携させて、実際のネットワーク環境におけるサーバーをシミュレートする他、LinuC level3 300の対策もしています。

カテゴリー

CentOS Stream9 or AlmaLinux9(14)
GNS3(Cicsoルーター機器のエミュレーター)(4)
Windows Server 2022(7)
WindowsのAD+Linux混在環境【Linuc(LPIC)level3 300対策】(3)
SAMBA (Linuc level3 300対策)(12)
Active Directory (Linux)(9)
Hinemos(0)
トラブルシューティング(6)

最新記事

DNSサーバーのトラブルシューティング
(11/18)
プライマリ及びセカンダリDNSサーバーの構築
(11/17)
DHCPのトラブルシューティング
(11/17)
DHCPリレーエージェント
(11/15)
GNS3でVMのFortiGateを使えるようにする
(11/08)
ユーザープロファイル等
(11/05)
RSATのインストールと設定
(11/05)
Samba(Ubuntu)のActive Directoryでufwを設定する
(10/31)
ブラウジングと名前解決(NetBIOS、WINS)
(10/29)
SamabaでActive Directory構築④ DNSバックエンドの変更
(10/29)

RSS

RSS 0.91
RSS 1.0
RSS 2.0

リンク

管理画面
新しい記事を書く
Red Hat Enterprise Linux 9 Documentation
Documentation for Oracle Linux 9
Fedora Server Documentation
AlmaLinux Wiki
Ubuntu Server How to
Ubuntu Server (Samba, Active directory)
SAMBA Wiki
Debian 管理者ハンドブック
シェルスクリプトマガジン
Rocky Linux Instructional Books
Ansible Documentation
Zabbix manual
Microsoft 365 アプリの展開ガイド
Windows Server に関するドキュメント
Windowsシステム構築ガイド(富士通)
GNS3 Documentation
LinuC
LPI
IPA 独立行政法人 情報処理推進機構
実践LDAPサーバ構築1 ~環境構築+ユーザーの追加と管理~
How to install Active Directory on Ubuntu 22.04 LTS
LinuxでActive Directory。2台構成でレプリケーション(冗長化)
IT整備士協会
CISCO Software Download
Windows Server 2022 図解手順書まとめ

P R