「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
「操作マスタ」は、各「フォレスト」、各「ドメイン」に1つだけ必要となる処理を担当する特別なシステム
- 操作マスタの役割
- フォレスト、ドメイン内で特定の役割をするドメイン コントローラ(DC)
- 「操作マスタ」の操作をフレキシブル シングル マスタ操作(以下、FSMOと略す)と呼ぶ。
- FSMOには、次の5種類がある。
- フォレスト単位
- ドメイン単位
- PDCエミュレータ
- RID(Relative ID)プール マスタ
- インフラ ストラクチャ マスタ
- FSMOの各役割は、
- フォレスト、ドメインに最初に導入したドメイン コントローラ(DC)が担当しているが、
- ADの管理ツールを使って、ほかのドメイン コントローラ(DC)に移すこともできる。
フォレスト単位 †
各フォレストごとに1台必要
スキーマ マスタ †
ドメイン名前付けマスタ †
- 「フォレスト」への「ドメイン」の追加や削除を担当するマスタ。
ドメイン単位 †
各ドメインごとに1台必要。
PDCエミュレータ †
- NTドメインのクライアントやBDCに対してPDCの役割を提供するPDCエミュレーションを担当する。
- Active Directoryクライアントを導入していないWindows 9x/NTなどのクライアントに対してPDCの役目を果たしたり、ディレクトリの変更情報をBDCに伝達したりする。
「混在モード」 †
- PDCエミュレータがWindows NT 4.0のPDCの機能をエミュレートするため、一部に制限があるが、Windows NT 4.0のBDCの混在をサポートできる。
- これにより、NTドメインからADドメインに移行した場合でも、いままで使っていたBDCをそのまま利用できる
(PDC にはPDCエミュレータを使用する。また、新規にWindows NT 4.0のBDCを追加することも可能である)。
「ネイティブ モード」 †
ドメインに参加しているドメイン コントローラ(DC)が、すべてWindows 2000のドメイン コントローラ(DC)で構成されたドメインの場合を指す。
RIDプール マスタ †
- ドメイン コントローラ(DC)は、ユーザ アカウント、グループ、コンピュータのオブジェクトを作成したときにSID(セキュリティ識別子)を割り当てる。
- RID : Relative ID(相対識別子)は、このSID(セキュリティ識別子)を生成するときに使用される。
RIDプール マスタの役割 †
- RIDのプールを作成・管理し、重複を防いでいる。
- ドメイン内の各種ドメイン コントローラ(DC)にRIDを割り当てる。
RIDとSID †
- RIDは、SID(各ユーザやグループなどを区別するための、内部的な、ユニークな番号)を作るために使われる。
- SIDは、以下の2つの部分から構成されている。
- 各ドメイン内でユニークな値を持つ部分(RID)
- ドメイン毎に固定した値を持つ部分(ドメインSID)
インフラ ストラクチャ マスタ †
「ドメイン」のグローバル カタログ(GC)のデータを、
他の「ドメイン」のグローバル カタログ(GC)にレプリケートし、
「フォレスト」内のグローバル カタログ(GC)の同期をとる。
構成 †
確認 †
ドメイン単位の操作マスタの役割を確認する。 †
- [Active Directoryユーザーとコンピュータ]からスナップインを表示。
- 操作マスタ(FSMO)を確認したいドメインを右クリックし[操作マスタ]を選択。
- 表示された[操作マスタ]ダイアログの各タブで、現在の操作マスタ(FSMO)を確認する。
- RIDタブ
- PDCタブ
- インフラ ストラクチャ タブ
ドメイン名前付けマスタの役割を確認する。 †
- [Active Directoryドメインと信頼関係]からスナップインを表示。
- ルートの[Active Directoryドメインと信頼関係]を右クリックし[操作マスタ]を選択。
- 表示された[操作マスタ]ダイアログで、現在のドメイン名前付けマスタを確認する。
スキーマ マスタの役割を確認する。 †
- CMDから、「regsvr32.exe schmmgmt.dll」と入力して[Enter]キー押下。
- CMDから、「mmc」と入力して[Enter]キー押下。
- [ファイル]メニューから[スナップインの追加と削除]を選択
- [利用できるスナップイン]ボックスで、[Active Directoryスキーマ]を選択、
- [追加]をクリック。[OK]をクリック。
- [Active Directoryスキーマ]を右クリックし[操作マスタ]選択。
- [スキーマ マスタの変更]ダイアログで、現在のスキーマ マスタを確認する。
転送 †
ドメイン単位の操作マスタの役割を転送する。 †
- [Active Directoryユーザーとコンピュータ]からスナップインを表示。
- 操作マスタ(FSMO)を確認したいドメインを右クリックし[ドメイン コントローラの変更]を選択。
- [ディレクトリ サーバーの変更]ダイアログで転送先のドメイン コントローラを選択。
- 転送先の[Active Directoryユーザーとコンピュータ]スナップインが表示される。
- 操作マスタ(FSMO)を確認したいドメインを右クリックし[操作マスタ]を選択。
- [操作マスタ]ダイアログの各タブで[変更]ボタンを押下する。
- RIDタブ
- PDCタブ
- インフラ ストラクチャ タブ
ドメイン名前付けマスタの役割を転送する。 †
- [Active Directoryドメインと信頼関係]からスナップインを表示。
- ルートの[Active Directoryドメインと信頼関係]を右クリックし[Active Directoryドメイン コントローラの変更]を選択。
- [ディレクトリ サーバーの変更]ダイアログで転送先のドメイン コントローラを選択。
- 転送先の[Active Directoryドメインと信頼関係]スナップインが表示される。
- ルートの[Active Directoryドメインと信頼関係]を右クリックし[操作マスタ]を選択。
- 表示された[操作マスタ]ダイアログで、[変更]ボタンを押下する。
スキーマ マスタの役割を転送する。 †
- CMDから、「regsvr32.exe schmmgmt.dll」と入力して[Enter]キー押下。
- CMDから、「mmc」と入力して[Enter]キー押下。
- [ファイル]メニューから[スナップインの追加と削除]を選択
- [利用できるスナップイン]ボックスで、[Active Directoryスキーマ]を選択、
- [追加]をクリック。[OK]をクリック。
- [Active Directoryスキーマ]を右クリックし[Active Directoryドメイン コントローラの変更]を選択。
- [ディレクトリ サーバーの変更]ダイアログで転送先のドメイン コントローラを選択。
- 転送先の[Active Directoryスキーマ]スナップインが表示される。
- [Active Directoryスキーマ]を右クリックし[操作マスタ]選択。
- [スキーマ マスタの変更]ダイアログで、[変更]ボタンを押下する。
強制 †
操作マスタの役割を強制する。 †
- コマンドプロンプトを管理者として実行。
- 「Ntdsutil」と入力して[Enter]キー押下。
- 「fsmo maintenance」プロンプト
- 「connections」と入力して[Enter]キー押下。
- 「connect to」プロンプト
- 「connect to <役割を強制するDCのFQDN名>」と入力して[Enter]キー押下。
- 「quit」と入力して[Enter]キー押下し、「connect to」プロンプトを終了。
- 「fsmo maintenance」プロンプト
- 操作マスタに応じたコマンドを入力して[Enter]キー押下。
操作マスタの役割 | コマンド |
スキーマ マスタ | seize schema master |
RIDマスタ | seize rid master |
PDCマスタ | seize pdc |
インフラ ストラクチャ マスタ | seize infrastructure master |
- 「quit」と入力して[Enter]キー押下し、「fsmo maintenance」プロンプトを終了。
- 「quit」と入力して[Enter]キー押下し、「Ntdsutil」プロンプトを終了。
読み取り専用ドメイン・コントローラ(RODC) †
管理者のいない小規模拠点用(2008から)
- セキュリティの脅威に脅かされることが無い。
- オブジェクトの削除ができない。
- 特定の資格情報の実をキャッシュする。
- RODCで認証要求を処理できる。
- DCを盗んで、パスワードを解析するといったことができない。
Tags: :Active Directory