いまさら聞けない、Active Directory の FSMOについてまとめます。
Contents [Close]
Active Directory の FSMO ロール(Flexible Single Master Operations)の役割と説明
| ロール名 | 管理範囲 | 主な機能 | 重要性 |
|---|---|---|---|
| スキーマ マスター(Schema Master) | フォレスト全体 | スキーマ(属性やクラスの定義)の変更を管理 | 中程度 |
| ドメイン名マスター(Domain Naming Master) | フォレスト全体 | 新しいドメインやツリーの追加・削除、一意な名前の管理 | 中程度 |
| PDC エミュレーター(Primary Domain Controller Emulator) | ドメインごと | パスワードの複製、アカウントロックアウト、時刻同期、認証管理 | 高 |
| RID マスター(Relative Identifier Master) | ドメインごと | オブジェクトごとに一意な相対識別子(RID)を割り当てる | 中程度 |
| インフラストラクチャ マスター(Infrastructure Master) | ドメインごと | 他のドメインから参照されるオブジェクトの名前やリンクの管理 | 中程度 |
FSMO ロールの機能の詳細
1. スキーマ マスター(Schema Master)
- 管理範囲: フォレスト全体
- 主な役割: Active Directory スキーマ(属性やオブジェクト クラスの定義)を管理し、新しい属性や構造の追加、変更を行います。
- 重要な場面: Exchange Server のようなスキーマを拡張するアプリケーションのインストール時に重要。
2. ドメイン名マスター(Domain Naming Master)
- 管理範囲: フォレスト全体
- 主な役割: フォレスト内に新しいドメインやツリーを追加する際に必要で、重複するドメイン名が存在しないように制御します。
- 重要な場面: ドメイン構成の変更時に必要。
3. PDC エミュレーター(Primary Domain Controller Emulator)
- 管理範囲: ドメインごと
- 主な役割:
- パスワードの変更を他のドメイン コントローラーに優先的に複製。
- アカウント ロックアウトを管理。
- ドメイン内の時刻同期の基準。
- 旧バージョンの Windows NT と互換性を保つ。
- 重要な場面: 日常業務で最も重要な役割の1つ。パスワード認証、時刻同期が正常に行われない場合、即座に対応が必要。
4. RID マスター(Relative Identifier Master)
- 管理範囲: ドメインごと
- 主な役割: 各オブジェクト(ユーザー、グループ、コンピューターなど)に一意の SID(セキュリティ識別子)を生成するために必要な RID を割り当てます。
- 重要な場面: 新しいオブジェクトが作成されるたびに必要。RID プールが枯渇するとオブジェクトが作成できなくなる。
5. インフラストラクチャ マスター(Infrastructure Master)
- 管理範囲: ドメインごと
- 主な役割: 他のドメインから参照されるオブジェクト(ユーザーやグループなど)の名前や SID の変更を管理し、リンク情報を正確に保ちます。
- 重要な場面: 複数ドメイン環境で、他のドメインから参照されるオブジェクトに変更があった場合。
FSMO ロールの確認方法
1. PowerShell で確認
# フォレスト全体の FSMO ロール確認
Get-ADForest | Select-Object SchemaMaster, DomainNamingMaster
# ドメインごとの FSMO ロール確認
Get-ADDomain | Select-Object PDCEmulator, RIDMaster, InfrastructureMasternetdom query fsmo は、Active Directory ドメイン サービス (AD DS) の環境で FSMO(柔軟な単一操作マスター)ロール を保持しているドメイン コントローラーを確認するためのコマンドです。このコマンドを使用することで、現在どのサーバーが各 FSMO ロールを担当しているかを簡単に特定できます。
- 出力例
Schema master : DC01.contoso.com Domain naming master : DC01.contoso.com PDC : DC02.contoso.com RID pool manager : DC02.contoso.com Infrastructure master : DC03.contoso.com The command completed successfully.
| FSMO ロール名 | 説明 | 出力例 |
|---|---|---|
| Schema master | スキーマ(属性やオブジェクト クラスの定義)の変更を管理する | DC01.contoso.com |
| Domain naming master | 新しいドメインやツリーの追加、一意な名前の管理 | DC01.contoso.com |
| PDC(PDC Emulator) | パスワード変更、時刻同期、アカウントロックアウトなどを管理 | DC02.contoso.com |
| RID pool manager(RID Master) | 新しいオブジェクトの識別子(RID)を管理 | DC02.contoso.com |
| Infrastructure master | 他のドメインから参照されるオブジェクトの名前やリンク情報を管理 | DC03.contoso.com |
FSMO ロールの GUI での確認と操作手順
1. FSMO ロールの確認方法(GUI)
(1) Active Directory ユーザーとコンピューターから PDC、RID、インフラストラクチャ マスターを確認
- [スタートメニュー] → [dsa.msc] を検索し実行(Active Directory ユーザーとコンピューターを開く)
- [ドメイン名(例: contoso.com)] を右クリックし、「操作マスター」を選択
- 操作マスターのウィンドウが開き、以下のロールを確認できる:
- PDC(PDC エミュレーター)
- RID プール マネージャー(RID Master)
- インフラストラクチャ マスター(Infrastructure Master)
(2) Active Directory スキーマ スナップインからスキーマ マスターを確認
- [スタートメニュー] → [mmc] と入力し、[Enter] を押す
- [ファイル] → [スナップインの追加と削除] を選択
- 「Active Directory スキーマ」を選択し、[追加] をクリック(スキーマ スナップインを追加する)
- スキーマ スナップインが開いたら、「Active Directory スキーマ」を右クリックして「操作マスター」を選択
- 現在のスキーマ マスターを確認
(3) Active Directory ドメインと信頼関係からドメイン名マスターを確認
- [スタートメニュー] → [domain.msc] と入力し、[Enter] を押す
- ウィンドウ左ペインで [Active Directory ドメインと信頼関係] を選択
- ウィンドウ内で右クリックして「操作マスター」を選択
- 現在のドメイン名マスターを確認
2. FSMO ロールの移行手順(GUI)
PDC、RID、インフラストラクチャ マスターの移行
- Active Directory ユーザーとコンピューターを開く([dsa.msc])
- [ドメイン名(例: contoso.com)] を右クリックし、「操作マスター」を選択
- 対象のタブ(PDC、RID、インフラストラクチャ)を選び、「変更」をクリック
- 新しいドメイン コントローラーを指定し、FSMO ロールの移行を実行
スキーマ マスターの移行
- [スタートメニュー] → [mmc] を開く
- スキーマ スナップインを追加し、「Active Directory スキーマ」を右クリック
- 「操作マスター」を選び、新しいスキーマ マスターを指定して移行を実行
ドメイン名マスターの移行
- Active Directory ドメインと信頼関係([domain.msc])を開く
- ウィンドウ内を右クリックし、「操作マスター」を選択
- 新しいドメイン名マスターを指定し、「変更」をクリックして移行
補足
- ロール移行後に
netdom query fsmoコマンドで適切に移行されたかを確認することを推奨します。
まとめ
PDC エミュレーターは日常運用において最も重要なロールであり、障害が発生すると認証エラーや時刻同期の問題が発生する可能性があります。
定期的に FSMO ロールを確認し、障害時の移行手順を把握しておくことで、迅速な復旧が可能となります。