Open棟梁Project - マイクロソフト系技術情報 Wiki
目次 †
概要 †
操作マスタの役割
- フォレスト、ドメイン内で特定の役割をするDC
- フレキシブル シングル マスタ操作 (FSMO) の役割とも呼ばれる。
以下、FSMOの各役割は、
- フォレスト、ドメインに最初に導入したDCが担当しているが、
- ADの管理ツールを使って、ほかのDCに移すこともできる。
Insider's Computer Dictionary [FSMO] - @IT
http://www.atmarkit.co.jp/icd/root/95/97784195.html
特定の機能や操作については、複数のDCからのアップデートの競合による矛盾などを避けるために、
あらかじめ決められた1台のDCだけが処理を担当することになっていて、その他のDCが肩代わりすることはない。
この特定の機能(役割)のことを操作マスタ(FSMO)役割と呼び、以下の5つのものがある。
フォレスト単位 †
各フォレストごとに1台必要
スキーマ マスタ †
- ADに格納されているディレクトリ・データベースのスキーマの変更を担当するマスタ。
- ADDBのスキーマはすべてのDCから参照されるが、これを変更できるのはスキーマ マスタだけ。
ドメイン名前付けマスタ †
- フォレストへのドメインの追加や削除を担当するマスタ。
ドメイン単位 †
各ドメインごとに1台必要。
PDCエミュレータ †
- NTドメインのPDCのエミュレーションを担当する。
- ADクライアントを導入していないWindows 9x/NTなどのクライアントに対して
PDCの役目を果たしたり、ディレクトリの変更情報をBDCに伝達したりする。
RID(Relative ID)プール マスタ †
- SID(各ユーザやグループなどを区別するための、内部的な、ユニークな番号)
を作るために使われるRID(Relative ID)のプールの作成を担当するマスタ。
- SIDは、ドメインごとに固定した値を持つ部分(ドメインSID)と、
各ドメイン内でユニークな値を持つ部分(RID)の、2つの部分から構成されている。
- RIDプール マスタは、ドメインのDCが使用するRIDの範囲を管理し重複を防いでいる。
インフラ ストラクチャ マスタ †
- ドメインAのグループに属するドメインBのユーザの情報(名前など)の変更結果を、
ドメイン間(ドメインA-ドメインB間)を跨いで通知、複製する役割を担当する。
構成 †
確認 †
ドメイン単位の操作マスタの役割を確認する。 †
- [Active Directoryユーザーとコンピュータ]からスナップインを表示。
- 操作マスタ(FSMO)を確認したいドメインを右クリックし[操作マスタ]を選択。
- 表示された[操作マスタ]ダイアログの各タブで、現在の操作マスタ(FSMO)を確認する。
- RIDタブ
- PDCタブ
- インフラ ストラクチャ タブ
ドメイン名前付けマスタの役割を確認する。 †
- [Active Directoryドメインと信頼関係]からスナップインを表示。
- ルートの[Active Directoryドメインと信頼関係]を右クリックし[操作マスタ]を選択。
- 表示された[操作マスタ]ダイアログで、現在のドメイン名前付けマスタを確認する。
スキーマ マスタの役割を確認する。 †
- CMDから、「regsvr32.exe schmmgmt.dll」と入力して[Enter]キー押下。
- CMDから、「mmc」と入力して[Enter]キー押下。
- [ファイル]メニューから[スナップインの追加と削除]を選択
- [利用できるスナップイン]ボックスで、[Active Directoryスキーマ]を選択、
- [追加]をクリック。[OK]をクリック。
- [Active Directoryスキーマ]を右クリックし[操作マスタ]選択。
- [スキーマ マスタの変更]ダイアログで、現在のスキーマ マスタを確認する。
転送 †
ドメイン単位の操作マスタの役割を転送する。 †
- [Active Directoryユーザーとコンピュータ]からスナップインを表示。
- 操作マスタ(FSMO)を確認したいドメインを右クリックし[ドメイン コントローラの変更]を選択。
- [ディレクトリ サーバーの変更]ダイアログで転送先のドメイン コントローラを選択。
- 転送先の[Active Directoryユーザーとコンピュータ]スナップインが表示される。
- 操作マスタ(FSMO)を確認したいドメインを右クリックし[操作マスタ]を選択。
- [操作マスタ]ダイアログの各タブで[変更]ボタンを押下する。
- RIDタブ
- PDCタブ
- インフラ ストラクチャ タブ
ドメイン名前付けマスタの役割を転送する。 †
- [Active Directoryドメインと信頼関係]からスナップインを表示。
- ルートの[Active Directoryドメインと信頼関係]を右クリックし[Active Directoryドメイン コントローラの変更]を選択。
- [ディレクトリ サーバーの変更]ダイアログで転送先のドメイン コントローラを選択。
- 転送先の[Active Directoryドメインと信頼関係]スナップインが表示される。
- ルートの[Active Directoryドメインと信頼関係]を右クリックし[操作マスタ]を選択。
- 表示された[操作マスタ]ダイアログで、[変更]ボタンを押下する。
スキーマ マスタの役割を転送する。 †
- CMDから、「regsvr32.exe schmmgmt.dll」と入力して[Enter]キー押下。
- CMDから、「mmc」と入力して[Enter]キー押下。
- [ファイル]メニューから[スナップインの追加と削除]を選択
- [利用できるスナップイン]ボックスで、[Active Directoryスキーマ]を選択、
- [追加]をクリック。[OK]をクリック。
- [Active Directoryスキーマ]を右クリックし[Active Directoryドメイン コントローラの変更]を選択。
- [ディレクトリ サーバーの変更]ダイアログで転送先のドメイン コントローラを選択。
- 転送先の[Active Directoryスキーマ]スナップインが表示される。
- [Active Directoryスキーマ]を右クリックし[操作マスタ]選択。
- [スキーマ マスタの変更]ダイアログで、[変更]ボタンを押下する。
強制 †
操作マスタの役割を強制する。 †
- コマンドプロンプトを管理者として実行。
- 「Ntdsutil」と入力して[Enter]キー押下。
- 「fsmo maintenance」プロンプト
- 「connections」と入力して[Enter]キー押下。
- 「connect to」プロンプト
- 「connect to <役割を強制するDCのFQDN名>」と入力して[Enter]キー押下。
- 「quit」と入力して[Enter]キー押下し、「connect to」プロンプトを終了。
- 「fsmo maintenance」プロンプト
- 操作マスタに応じたコマンドを入力して[Enter]キー押下。
| 操作マスタの役割 | コマンド |
| スキーマ マスタ | seize schema master |
| RIDマスタ | seize rid master |
| PDCマスタ | seize pdc |
| インフラ ストラクチャ マスタ | seize infrastructure master |
- 「quit」と入力して[Enter]キー押下し、「fsmo maintenance」プロンプトを終了。
- 「quit」と入力して[Enter]キー押下し、「Ntdsutil」プロンプトを終了。
読み取り専用ドメイン・コントローラ(RODC) †
管理者のいない小規模拠点用(2008から)
- セキュリティの脅威に脅かされることが無い。
- オブジェクトの削除ができない。
- 特定の資格情報の実をキャッシュする。
- RODCで認証要求を処理できる。
- DCを盗んで、パスワードを解析するといったことができない。
- 一方向のレプリケーション(負荷軽減)
- 読み取り専用のDNS(動的更新要求には他のDNSを紹介)
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
