- 記事
- 07/29/2021
- 6 読むべき分
-
- i
- d
- v
- e
- D
-
+5
に適用されます: Windowsサーバー2022年、Windowsサーバー2019年、Windowsサーバー2016年、Windowsサーバー2012R2、Windowsサーバー2012
Active Directoryドメインサービス(AD DS)では、ディレクトリデータのマルチマスターレプリケーションがサポートされているため、どのドメインコントローラでもディレ ただし、スキーマの変更などの特定の変更は、マルチマスター方式で実行することは現実的ではありません。 このため、操作マスターと呼ばれる特定のドメインコントローラーには、特定の特定の変更の要求を受け入れる役割があります。
注
操作マスターの役割の所有者は、Active Directoryデータベースにいくつかの情報を書き込むことができる必要があります。 読み取り専用ドメインコントローラー(RODC)上のActive Directoryデータベースの読み取り専用の性質のため、Rodcは操作マスターの役割の所有者として機能できません。
各ドメインには、3つの操作マスターの役割(柔軟な単一マスター操作またはFSMOとも呼ばれます)が存在します:
-
プライマリドメインコントローラ(PDC)エミュレーター操作マスターは、すべてのパスワードの更新を処理します。
-
相対ID(RID)操作マスターは、ドメインのグローバルRIDプールを維持し、ローカルRidプールをすべてのドメインコントローラーに割り当てて、ドメインで作成されたすべ
-
特定のドメインのインフラストラクチャ操作マスターは、ドメイン内のグループのメンバーである他のドメインのセキュリティプリンシパルのリス
各フォレストには、ドメインレベルの操作マスターの役割に加えて、2つの操作マスターの役割があります:
- スキーマ操作マスターは、スキーマへの変更を管理します。
- ドメイン名前付け操作マスターは、フォレストとの間でドメインおよびその他のディレクトリパーティション(ドメインネームシステム(DNS)アプリケーショ
これらの操作マスターの役割をホストしているドメインコントローラーをネットワークの信頼性が高い領域に配置し、PDCエミュレーターとRIDマスターが一貫して利用可能であることを確認します。
操作マスターの役割の所有者は、特定のドメイン内の最初のドメインコントローラーが作成されると自動的に割り当てられます。 フォレスト内に作成された最初のドメインコントローラーには、フォレストレベルの2つの役割(スキーママスターとドメイン名前付けマスター)が割り当て さらに、3つのドメインレベルの役割(RIDマスター、インフラストラクチャマスター、およびPDCエミュレーター)は、ドメインで作成された最初のドメインコントロー
注
自動操作マスターの役割所有者の割り当ては、新しいドメインが作成され、現在の役割所有者が降格されたときにのみ行われます。 ロール所有者に対するその他のすべての変更は、管理者が開始する必要があります。
これらの自動操作マスターの役割の割り当ては、フォレストまたはドメインで作成された最初のドメインコントローラーで非常に高いCPU使用率を引き起こ これを回避するには、フォレストまたはドメイン内のさまざまなドメインコントローラーに操作マスターの役割を割り当て(転送)します。 操作マスターの役割をホストするドメインコントローラーは、ネットワークが信頼できる領域と、フォレスト内の他のすべてのドメインコントローラーが操作マ
すべての操作マスタの役割に対して、スタンバイ(代替)操作マスタも指定する必要があります。 スタンバイ操作マスターは、元の役割所有者が失敗した場合に操作マスターの役割を転送できるドメインコントローラーです。 スタンバイ操作マスタが、実際の操作マスタの直接レプリケーションパートナであることを確認します。
PDCエミュレータの配置の計画
PDCエミュレータは、クライアントのパスワードの変更を処理します。 フォレスト内の各ドメインでPDCエミュレーターとして機能するのは、ドメインコント
すべてのドメインコントローラーがWindows2000、Windows Server2003、およびWindows Server2008にアップグレードされ、ドメインがWindows2000のネイティブ機能レベルで動作している場合でも、pdcエ パスワードが最近変更された場合、その変更はドメイン内のすべてのドメインコントローラにレプリケートするのに時間がかかります。 パスワードが間違っているために別のドメインコントローラでログオン認証が失敗した場合、そのドメインコントローラは、ログオン試行を受け入れるか拒否するかを決定する前に、認証要求をPDCエミュレーターに転送します。
必要に応じて、パスワード転送操作のために、そのドメインの多数のユーザーが含まれる場所にPDCエミュレータを配置します。 さらに、レプリケーションの待ち時間を最小限に抑えるために、場所が他の場所に適切に接続されていることを確認します。
PDCエミュレーターを配置する予定の場所と、各場所で表される各ドメインのユーザー数に関する情報を文書化するためのワークシートについては、”Windows Server2003展開キッzip、およびオープンドメインコントローラの配置(DSSTOPO_4.ドク)
地域ドメインを展開するときに、PDCエミュレーターを配置する必要がある場所に関する情報を参照する必要があります。 地域ドメインの展開の詳細については、”Windows Server2008地域ドメインの展開”を参照してください。
インフラストラクチャマスタ配置の要件
インフラストラクチャマスタは、独自のドメイン内のグループに追加された他のドメインのセキュリテ たとえば、あるドメインのユーザーが別のドメインのグループのメンバーであり、最初のドメインでユーザー名が変更された場合、グループのメンバシップリストでユーザー名を更新する必要があることは2番目のドメインには通知されません。 あるドメイン内のドメインコントローラは、別のドメイン内のドメインコントローラにセキュリティプリンシパルをレプリケートしないため、インフラストラ
インフラストラクチャマスターは、グループメンバーシップを常に監視し、他のドメインからセキュリティプリンシパルを探します。 検出された場合は、セキュリティプリンシパルのドメインに確認して、情報が更新されていることを確認します。 情報が古くなっている場合、インフラストラクチャマスタは更新を実行し、その変更をドメイン内の他のドメインコントローラにレプリケートします。
このルールには2つの例外が適用されます。 まず、すべてのドメインコントローラがグローバルカタログサーバーである場合、インフラストラクチャマスターロールをホストするドメインコントローラは、 次に、フォレストにドメインが1つしかない場合、インフラストラクチャマスターの役割をホストするドメインコントローラーは、他のドメインのセキュリテ
グローバルカタログサーバーでもあるドメインコントローラーにインフラストラクチャマスターを配置しないでください。 インフラストラクチャマスタとグローバルカタログが同じドメインコントローラ上にある場合、インフラストラクチャマスタは機能しません。 インフラストラクチャマスターは、古いデータを検出しないため、ドメイン内の他のドメインコントローラーに変更をレプリケートすることはありません。
接続が制限されたネットワークの操作マスター配置
操作マスターの役割の所有者を配置できる中央の場所またはハブサイトが環境にある場合、それらの操作マスターの役割の所有者の可用性に依存する特定のドメインコントローラーの操作が影響を受ける可能性があることに注意してください。
たとえば、組織がサイトA、B、C、およびDを作成するとします。AとBの間、BとCの間、およびCとDの間にサイトリンクが存在します。 この例では、すべての操作マスターの役割がサイトAに配置され、すべてのサイトリンクをブリッジするオプションは選択されていません。
この構成では、すべてのサイト間で正常にレプリケーションが実行されますが、操作マスターの役割機能には次の制限があります:
- サイトCおよびDのドメインコントローラーは、サイトAのPDCエミュレーターにアクセスしてパスワードを更新したり、最近更新されたパスワードを確認したり
- サイトCおよびDのドメインコントローラーは、Active Directoryのインストール後に最初のRIDプールを取得し、ridプールが枯渇したときに更新するために、サイトAのRIDマ
- サイトCおよびDのドメインコントローラは、ディレクトリ、DNS、またはカスタムアプリケーションパーティションを追加または削除できません。
- サイトCおよびDのドメインコントローラーはスキーマを変更できません。
操作マスターの役割の配置の計画に役立つワークシートについては、”Windows Server2003展開キットのジョブエイド”job_Aids_Designing_And_Deploying_Directory_And_Security_Servicesのダウンロード”を参照してくださzip、およびオープンドメインコントローラの配置(DSSTOPO_4.ドク)
フォレストルートドメインと地域ドメインを作成するときに、この情報を参照する必要があります。 フォレストルートドメインの展開の詳細については、”Windows Server2008フォレストルートドメインの展開”を参照してください。 地域ドメインの展開の詳細については、”Windows Server2008地域ドメインの展開”を参照してください。
FSMOの役割の配置に関する追加情報は、サポートトピック”Active DirectoryドメインコントローラでのFSMOの配置と最適化”
を参照してください