![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>ドメイン サービス (AD DS)]] * 目次 [#rbf49b44] #contents *概要 [#bff91149] 「操作マスタ」は、各「フォレスト」、各「ドメイン」に1つだけ必要となる処理を担当する特別なシステム -操作マスタの役割 --フォレスト、ドメイン内で特定の役割をするドメイン コントローラ(DC) --「操作マスタ」の操作をフレキシブル シングル マスタ操作(以下、FSMOと略す)と呼ぶ。 -FSMOには、次の5種類がある。 --フォレスト単位 ---スキーマ マスタ ---ドメイン名前付けマスタ --ドメイン単位 ---PDCエミュレータ ---RID(Relative ID)プール マスタ ---インフラ ストラクチャ マスタ -FSMOの各役割は、 --フォレスト、ドメインに最初に導入したドメイン コントローラ(DC)が担当しているが、 --ADの管理ツールを使って、ほかのドメイン コントローラ(DC)に移すこともできる。 -参考 --Insider's Computer Dictionary [FSMO] - @IT~ http://www.atmarkit.co.jp/icd/root/95/97784195.html >>特定の機能や操作については、複数のDCからのアップデートの競合による矛盾などを避けるために、~ あらかじめ決められた1台のDCだけが処理を担当することになっていて、その他のDCが肩代わりすることはない。~ この特定の機能(役割)のことを操作マスタ(FSMO)役割と呼び、以下の5つのものがある。 *フォレスト単位 [#h9ef3446] 各フォレストごとに1台必要 **スキーマ マスタ [#ze44898d] -[[ドメイン サービス (AD DS)]]に格納されている[[DIB>LDAPプロトコルでのディレクトリ・エントリ検索処理#sce846a4]]のスキーマの変更を担当するマスタ。 -[[ドメイン サービス (AD DS)]]のスキーマはすべてのドメイン コントローラ(DC)から参照されるが、これを変更できるのはスキーマ マスタだけ。 **ドメイン名前付けマスタ [#we124557] -「フォレスト」への「ドメイン」の追加や削除を担当するマスタ。 *ドメイン単位 [#a30fbde9] 各ドメインごとに1台必要。 **PDCエミュレータ [#n4c02776] -NTドメインのクライアントやBDCに対してPDCの役割を提供するPDCエミュレーションを担当する。 -Active Directoryクライアントを導入していないWindows 9x/NTなどのクライアントに対してPDCの役目を果たしたり、ディレクトリの変更情報をBDCに伝達したりする。 ***「混在モード」 [#y11e0be2] -PDCエミュレータがWindows NT 4.0のPDCの機能をエミュレートするため、一部に制限があるが、Windows NT 4.0のBDCの混在をサポートできる。 -これにより、NTドメインからADドメインに移行した場合でも、いままで使っていたBDCをそのまま利用できる~ (PDC にはPDCエミュレータを使用する。また、新規にWindows NT 4.0のBDCを追加することも可能である)。 ***「ネイティブ モード」 [#n72edddf] ドメインに参加しているドメイン コントローラ(DC)が、すべてWindows 2000のドメイン コントローラ(DC)で構成されたドメインの場合を指す。 **RIDプール マスタ [#b8d958d0] ドメイン コントローラ(DC)は、ユーザ アカウント、グループ、コンピュータのオブジェクトを作成したときにSID(セキュリティ識別子)を割り当てる。 -ドメイン コントローラ(DC)は、ユーザ アカウント、グループ、コンピュータのオブジェクトを作成したときにSID(セキュリティ識別子)を割り当てる。 -RID : Relative ID(相対識別子)は、このSID(セキュリティ識別子)を生成するときに使用される。 ***RIDプール マスタの役割 [#l97b0753] -RIDのプールを作成・管理し、重複を防いでいる。 -ドメイン内の各種ドメイン コントローラ(DC)にRIDを割り当てる。 ***RIDとSID [#q6e3b174] --RIDは、SID(各ユーザやグループなどを区別するための、内部的な、ユニークな番号)を作るために使われる。 --SIDは、以下の2つの部分から構成されている。 ---各ドメイン内でユニークな値を持つ部分(RID) ---ドメイン毎に固定した値を持つ部分(ドメインSID) -RIDは、SID(各ユーザやグループなどを区別するための、内部的な、ユニークな番号)を作るために使われる。 -SIDは、以下の2つの部分から構成されている。 --各ドメイン内でユニークな値を持つ部分(RID) --ドメイン毎に固定した値を持つ部分(ドメインSID) **インフラ ストラクチャ マスタ [#g5bab671] 「ドメイン」のグローバル カタログ(GC)のデータを、~ 他の「ドメイン」のグローバル カタログ(GC)にレプリケートし、~ 「フォレスト」内のグローバル カタログ(GC)の同期をとる。 *構成 [#e8a1483f] **確認 [#me312c44] ***ドメイン単位の操作マスタの役割を確認する。 [#fdc87a0b] -[Active Directoryユーザーとコンピュータ]からスナップインを表示。 -操作マスタ(FSMO)を確認したいドメインを右クリックし[操作マスタ]を選択。 -表示された[操作マスタ]ダイアログの各タブで、現在の操作マスタ(FSMO)を確認する。 --RIDタブ --PDCタブ --インフラ ストラクチャ タブ ***ドメイン名前付けマスタの役割を確認する。 [#k1a82be7] -[Active Directoryドメインと信頼関係]からスナップインを表示。 -ルートの[Active Directoryドメインと信頼関係]を右クリックし[操作マスタ]を選択。 -表示された[操作マスタ]ダイアログで、現在のドメイン名前付けマスタを確認する。 ***スキーマ マスタの役割を確認する。 [#ea789685] -CMDから、「regsvr32.exe schmmgmt.dll」と入力して[Enter]キー押下。 -CMDから、「mmc」と入力して[Enter]キー押下。 -[ファイル]メニューから[スナップインの追加と削除]を選択 -[利用できるスナップイン]ボックスで、[Active Directoryスキーマ]を選択、 -[追加]をクリック。[OK]をクリック。 -[Active Directoryスキーマ]を右クリックし[操作マスタ]選択。 -[スキーマ マスタの変更]ダイアログで、現在のスキーマ マスタを確認する。 **転送 [#ee7285af] ***ドメイン単位の操作マスタの役割を転送する。 [#ldc2123e] -[Active Directoryユーザーとコンピュータ]からスナップインを表示。 -操作マスタ(FSMO)を確認したいドメインを右クリックし[ドメイン コントローラの変更]を選択。 -[ディレクトリ サーバーの変更]ダイアログで転送先のドメイン コントローラを選択。 -転送先の[Active Directoryユーザーとコンピュータ]スナップインが表示される。 -操作マスタ(FSMO)を確認したいドメインを右クリックし[操作マスタ]を選択。 -[操作マスタ]ダイアログの各タブで[変更]ボタンを押下する。 --RIDタブ --PDCタブ --インフラ ストラクチャ タブ ***ドメイン名前付けマスタの役割を転送する。 [#ecf10a3c] -[Active Directoryドメインと信頼関係]からスナップインを表示。 -ルートの[Active Directoryドメインと信頼関係]を右クリックし[Active Directoryドメイン コントローラの変更]を選択。 -[ディレクトリ サーバーの変更]ダイアログで転送先のドメイン コントローラを選択。 -転送先の[Active Directoryドメインと信頼関係]スナップインが表示される。 -ルートの[Active Directoryドメインと信頼関係]を右クリックし[操作マスタ]を選択。 -表示された[操作マスタ]ダイアログで、[変更]ボタンを押下する。 ***スキーマ マスタの役割を転送する。 [#b02609c0] -CMDから、「regsvr32.exe schmmgmt.dll」と入力して[Enter]キー押下。 -CMDから、「mmc」と入力して[Enter]キー押下。 -[ファイル]メニューから[スナップインの追加と削除]を選択 -[利用できるスナップイン]ボックスで、[Active Directoryスキーマ]を選択、 -[追加]をクリック。[OK]をクリック。 -[Active Directoryスキーマ]を右クリックし[Active Directoryドメイン コントローラの変更]を選択。 -[ディレクトリ サーバーの変更]ダイアログで転送先のドメイン コントローラを選択。 -転送先の[Active Directoryスキーマ]スナップインが表示される。 -[Active Directoryスキーマ]を右クリックし[操作マスタ]選択。 -[スキーマ マスタの変更]ダイアログで、[変更]ボタンを押下する。 **強制 [#xfb6d3b8] ***操作マスタの役割を強制する。 [#x274812e] -コマンドプロンプトを管理者として実行。 -「Ntdsutil」と入力して[Enter]キー押下。 -「Ntdsutil」プロンプト --「roles」と入力して[Enter]キー押下。 -「fsmo maintenance」プロンプト --「connections」と入力して[Enter]キー押下。 -「connect to」プロンプト --「connect to <役割を強制するDCのFQDN名>」と入力して[Enter]キー押下。 -「quit」と入力して[Enter]キー押下し、「connect to」プロンプトを終了。 -「fsmo maintenance」プロンプト --操作マスタに応じたコマンドを入力して[Enter]キー押下。 |BGCOLOR(#cccccc):||c |操作マスタの役割|コマンド|h |スキーマ マスタ|seize schema master| |RIDマスタ|seize rid master| |PDCマスタ|seize pdc| |インフラ ストラクチャ マスタ|seize infrastructure master| -「quit」と入力して[Enter]キー押下し、「fsmo maintenance」プロンプトを終了。 -「quit」と入力して[Enter]キー押下し、「Ntdsutil」プロンプトを終了。 *読み取り専用ドメイン・コントローラ(RODC) [#rdab48a8] 管理者のいない小規模拠点用(2008から) -セキュリティの脅威に脅かされることが無い。 --オブジェクトの削除ができない。 --特定の資格情報の実をキャッシュする。 ---RODCで認証要求を処理できる。~ ---DCを盗んで、パスワードを解析するといったことができない。 -一方向のレプリケーション(負荷軽減) -読み取り専用の[[DNSサーバ]](動的更新要求には他の[[DNSサーバ]]を紹介) ---- Tags: [[:Active Directory]]
