操作マスターの役割の配置を計画する

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

Active Directory Domain Services (AD DS) では、ディレクトリ データのマルチマスター レプリケーションがサポートされています。つまり、すべてのドメイン コントローラーがディレクトリの変更を受け入れ、その変更を他のすべてのドメイン コントローラーにレプリケートできます。 ただし、スキーマの変更などの特定の変更は、マルチマスター形式で実行するには実用的ではありません。 このため、特定のドメイン コントローラー (運用マスターと呼ばれる) は、特定の特定の変更に対する要求を受け入れる役割を担います。

注意

操作マスターロール所有者は、Active Directory データベースにいくつかの情報を書き込む必要があります。 読み取り専用ドメイン コントローラー (RODC) 上の Active Directory データベースの読み取り専用の性質のため、RODC は操作マスターのロール ホルダーとして 機能できません

3操作マスターの役割 (フレキシブル シングル マスター操作または FSMO とも呼ばれます)が各ドメインに存在します:

  • プライマリ ドメイン コントローラー (PDC) エミュレーター操作マスターは、すべてのパスワード更新を処理します。

  • 相対 ID (RID) 操作マスターは、ドメインのグローバル RID プールを保持し、すべてのドメイン コントローラーにローカル RID プールを割り当て、ドメイン内に作成されたセキュリティ プリンシパルすべてが一意の識別子を持つ必要があります。

  • 特定のドメインのインフラストラクチャ操作マスターは、そのドメイン内のグループのメンバーである他のドメインのセキュリティ プリンシパルの一覧を保持します。

3 つのドメイン レベルの操作マスター ロールに加えて、各フォレストには 2 つの操作マスター ロールが存在します:

  • スキーマ操作マスターは、スキーマの変更を管理します。
  • ドメイン名前付け操作マスターは、フォレストとの間でドメインと他のディレクトリ パーティション (ドメイン ネーム システム (DNS) アプリ パーティションなど) を追加および削除します。

これらの操作マスターの役割をホストするドメイン コントローラーを、ネットワーク信頼性が高い領域に配置し、PDC エミュレーターと RID マスターが常に使用可能な領域に配置します。

特定のドメインの最初のドメイン コントローラーが作成されると、操作マスターのロール 所有者が自動的に割り当てられます。 2 つのフォレスト レベルのロール (スキーマ マスターとドメイン名前付けマスター) は、フォレストで作成された最初のドメイン コントローラーに割り当てられます。 さらに、3 つのドメイン レベルのロール (RID マスター、インフラストラクチャ マスター、PDC エミュレーター) は、ドメインに作成された最初のドメイン コントローラーに割り当てられます。

注意

自動操作マスター ロール ホルダーの割り当ては、新しいドメインが作成され、現在のロール所有者が降格された場合にのみ行います。 ロール所有者に対するその他のすべての変更は、管理者が開始する必要があります。

これらの自動操作マスター ロールの割り当てにより、フォレストまたはドメインで作成された最初のドメイン コントローラーで非常に高い CPU 使用率が発生する可能性があります。 これを回避するには、フォレストまたはドメイン内のさまざまなドメイン コントローラーに操作マスターロールを割り当てを (転送) します。 ネットワークの信頼性が高く、フォレスト内の他のすべてのドメイン コントローラーから操作マスターにアクセスできる領域に、運用マスターの役割をホストするドメイン コントローラーを配置します。

また、すべての操作マスター ロールに対してスタンバイ (代替) 操作マスターを指定する必要があります。 スタンバイ操作マスターは、元のロール所有者が失敗した場合に操作マスターロールを転送できるドメイン コントローラーです。 スタンバイ操作マスターが、実際の操作マスターの直接レプリケーション パートナーである必要があります。

PDC エミュレーターの配置の計画

PDC エミュレーターは、クライアント パスワードの変更を処理します。 フォレスト内の各ドメインで PDC エミュレーターとして機能するドメイン コントローラーは 1 つのみです。

すべてのドメイン コントローラーが Windows 2000、Windows Server 2003、Windows Server 2008 にアップグレードされ、ドメインが Windows 2000 ネイティブ機能レベルで動作している場合でも、PDC エミュレーターはドメイン内の他のドメイン コントローラーによって実行されるパスワード変更の優先レプリケーションを受け取ります。 パスワードが最近変更された場合、その変更はドメイン内のすべてのドメイン コントローラーにレプリケートするのに時間がかかります。 パスワードが間違っていることが原因で別のドメイン コントローラーでログオン認証が失敗した場合、そのドメイン コントローラーは、ログオン試行を受け入れるか拒否するか決定する前に、認証要求を PDC エミュレーターに転送します。

必要に応じて、パスワード転送操作のために、そのドメインの多数のユーザーを含む場所に PDC エミュレーターを配置します。 さらに、レプリケーションの待機時間を最小限に抑えるために、場所が他の場所に適切に接続されていることを確認します。

地域ドメイン コント ローラーと各場所で表される各ドメインのユーザー数の配置を文書化するためのワークシートでは、ジョブ エイドの Windows Server 2003 導入ガイドを参照してください (http://go.microsoft.com/fwlink/?LinkID=102558) Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip をダウンロードし、「ドメイン コント ローラー配置」(DSSTOPO_4.doc) を開きます。

地域ドメインを展開するときに、地域別のドメイン コント ローラーを配置する必要がある場所に関する情報を参照する必要があります。 地域ドメインの展開に関する詳細については、次を参照してください。 を展開する Windows Server 2008 地域ドメインします。

インフラストラクチャ マスター配置の要件

インフラストラクチャ マスターは、独自のドメイン内のグループに追加される他のドメインのセキュリティ プリンシパルの名前を更新します。 たとえば、あるドメインのユーザーが 2 つ目のドメインのグループのメンバーで、最初のドメインでユーザーの名前が変更された場合、2 番目のドメインは、グループのメンバーシップ リストでユーザーの名前を更新する必要があるという通知を受け取っていません。 1 つのドメイン内のドメイン コントローラーは別のドメインのドメイン コントローラーにセキュリティ プリンシパルをレプリケートしないので、インフラストラクチャ マスターがない場合、2 番目のドメインは変更を認識しなくなるからです。

インフラストラクチャ マスターは常にグループ メンバーシップを監視し、他のドメインのセキュリティ プリンシパルを探します。 見つけた場合は、セキュリティ プリンシパルのドメインで情報が更新されたと確認します。 情報が最新でない場合、インフラストラクチャ マスターは更新を実行し、そのドメイン内の他のドメイン コントローラーに変更をレプリケートします。

この規則には 2 つの例外が適用されます。 まず、すべてのドメイン コントローラーがグローバル カタログ サーバーの場合、インフラストラクチャ マスター ロールをホストするドメイン コントローラーは重要ではありません。何故ならグローバル カタログは、属しているドメインに関係なく、更新された情報をレプリケートするからです。 次に、フォレストにドメインが 1 つしか存在しない場合、他のドメインのセキュリティ プリンシパルが存在しないので、インフラストラクチャ マスター ロールをホストするドメイン コントローラーは重要ではありません。

インフラストラクチャ マスターは、グローバル カタログ サーバーであるドメイン コントローラーに配置しないでください。 インフラストラクチャ マスターとグローバル カタログが同じドメイン コントローラー上の場合、インフラストラクチャ マスターは機能しません。 インフラストラクチャ マスターは、古くなったデータを見つけることはありません。そのため、ドメイン内の他のドメイン コントローラーに対する変更はレプリケートされません。

接続が制限されたネットワークの運用マスター配置

環境に中央の場所またはハブ サイトが存在し、操作マスターの役割所有者を配置できる場合は、それらの操作マスター ロール所有者の可用性に依存する特定のドメイン コントローラー操作が影響を受ける可能性があるので注意してください。

たとえば、組織がサイト A、B、C、D を作成するとします。サイト リンクは、A と B の間、B と C の間、および C と D の間に存在します。ネットワーク接続は、サイト リンクのネットワーク接続を正確にミラー化します。 この例では、すべての操作マスターの役割がサイト A に配置され、すべてのサイト リンクをブリッジする オプションは選択 されません。

この構成により、すべてのサイト間でレプリケーションが成功しますが、操作マスターの役割関数には次の制限があります:

  • サイト C とサイト D のドメイン コントローラーは、サイト A の PDC エミュレーターにアクセスしてパスワードを更新したり、最近更新されたパスワードを確認したりすることはできません。
  • サイト C とサイト D のドメイン コントローラーは、サイト A の RID マスターにアクセスして、Active Directory のインストール後に初期 RID プールを取得し、RID プールが枯渇した場合に RID プールを更新することはできません。
  • サイト C とサイト D のドメイン コントローラーは、ディレクトリ、DNS、またはカスタム アプリケーション パーティションを追加または削除できません。
  • サイト C とサイト D のドメイン コントローラーでは、スキーマを変更できません。

操作マスターの役割の配置の計画に役立つワークシートについては、「Windows Server 2003 展開キットのジョブ支援」、Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip のダウンロード、ドメイン コントローラーの配置 (DSSTOPO_4.doc) のオープンに関するページを参照してください。

フォレスト ルート ドメインとリージョン ドメインを作成するときに、この情報を参照する必要があります。 フォレスト ルート ドメインの展開の詳細については、「Deploying a Windows Server 2008 Forest Root Domain」を参照してください。 地域ドメインの展開に関する詳細については、次を参照してください。 を展開する Windows Server 2008 地域ドメインします。

次の手順

FSMO の役割の配置に関する追加情報については、サポート トピック「Active Directory ドメイン コントローラーでの FSMO の配置と最適化 」を参照してください