管理者のいない拠点をドメインに加えるための新機能とは?
ブランチオフィス用Active Directoryとバックアップ
2010年06月15日 09時00分更新
操作マスタ
ドメインコントローラは、インストール時に機能の細かい設定は行なわない。しかし、ドメインコントローラには「操作マスタ」または「FSMO(Flexible Single Master Operation)役割」と呼ばれる5つの特別な役割があり、既定ではフォレストまたはドメインの最初のドメインコントローラに割り当てられる。FSMOの意味と内容は次の通りだ。
(1)スキーママスタ(フォレスト全体で1台)
Active Directoryのデータベースに格納する情報の種類(スキーマ)を管理する。スキーマ情報を変更するのはOSのアップグレードのとき、Exchange ServerなどActive Directoryに対応した特別なアプリケーションを利用するときだけである
(2)ドメイン名前付け操作マスタ(フォレスト全体で1台必要)
ドメインのツリー構造を管理する。ドメインの追加や削除を行なうときだけ必要である
(3)RIDマスタ(ドメインごとに1台)
Active Directoryで作成されたアカウントは、作成したドメインコントローラによってSID(セキュリティID)と呼ばれる識別子が割り当てられる。RID(相対識別子)は、SIDの最後の部分を示す。RIDマスタは、新規アカウントのために500個単位でRIDの範囲(RIDプール)を各ドメインコントローラに割り当てる。RIDマスタが停止しても、各ドメインコントローラがRIDプールを使い切るまでは問題は発生しない
(4)PDCエミュレータ(ドメインごとに1台)
Windows NT 4.0以前のクライアントにPDC役割を提供する。そのほか、時刻同期のマスタなど、さまざまな役割を持つ
(5)インフトラストラクチャマスタ(ドメインごとに1台)
ほかのドメインのアカウントをメンバとして含むグループがある場合、アカウント名が変更されたことを検出し、ほかのドメインコントローラに変更を伝達する。インフラストラクチャマスタが停止した場合、アカウント名とSIDの整合性が取れなくなる可能性があるが、セキュリティ設定が失われたりするようなことはない
どの役割も、一時的な停止に問題はないが、長期間停止していると運用に支障がある。そこで、操作マスタとなっているサーバを停止する場合は、停止前に役割を転送する。また、破壊された操作マスタの機能を復元するために、役割を占有できる。
操作マスタ役割を持ったドメインコントローラが降格する場合、適当なサーバに操作マスタ役割が転送される。操作マスタ役割を明示的に変更する場合は、コマンドプロンプトでNTDSUTILコマンドを起動し、リスト1のサブコマンドを順次入力する。「変更コマンド」は表1のいずれかを指定する。
何らかの事情で、転送元の操作マスタが使用できない場合は、転送(transfer)ではなく占有(seize)を使う。ただしseizeした場合は原則として以前の操作マスタをネットワークに復帰してはならない。操作マスタが2台存在することになってしまうからだ。なお、GUIツールで転送を行なう方法もあるが、操作マスタの種類によって多少操作が異なるので今回は省略する。
(次ページ、「Active Directoryのバックアップと復元」に続く)
この連載の記事
-
最終回
ソフトウェア・仮想化
スナップショットとクイックマイグレーションを使ってみよう -
第34回
ソフトウェア・仮想化
Hyper-Vの仮想マシンに「統合サービス」を入れよう -
第33回
ソフトウェア・仮想化
Hyper-Vの仮想マシンのハードウェアを設定しよう -
第32回
ソフトウェア・仮想化
Hyper-Vのインストールはネットワークに注意しよう! -
第31回
ソフトウェア・仮想化
Windows Server 2008の仮想化機能「Hyper-V」を活用しよう -
第30回
ソフトウェア・仮想化
Windows Server Update Servicesの活用方法とは? -
第29回
ソフトウェア・仮想化
Windows ServerをWindows Updateサーバにしよう -
第28回
ソフトウェア・仮想化
Active Directoryと連携できるIISの認証機能を理解 -
第27回
ソフトウェア・仮想化
Windows Serverの標準Webサーバ「IIS」を活用しよう -
第26回
ソフトウェア・仮想化
Windows ServerのCAでメールを安全に -
第25回
ソフトウェア・仮想化
Windows Server証明書サービスを設定しよう - この連載の一覧へ