Windows 2000 Active Directory の FSMO 役割

文書翻訳 文書翻訳
文書番号: 197132 - 対象製品
この記事は、以前は次の ID で公開されていました: JP197132
すべて展開する | すべて折りたたむ

目次

概要

Microsoft Windows 2000 Active Directory は、エンタープライズ内のすべてのオブジェクトとそれぞれの属性が格納される中央のリポジトリです。これは、マルチマスタに対応した階層型のデータベースであり、数百万のオブジェクトを格納できます。マルチマスタであるため、データベースへの変更は、エンタープライズ内の任意のドメインコントローラ (DC) で実行できます。DC がネットワークと接続されているか切断されているかには関係ありません。

詳細

Windows 2000 マルチマスタ モデル

Active Directory などのマルチマスタに対応したデータベースは、エンタープライズ内の任意の DC で変更できるという柔軟性を提供します。ただし、競合が生じる可能性があり、データがエンタープライズの残りの部分に複製されると、問題が発生するおそれがあります。Windows 2000 における更新の競合を解決する方法の 1 つに、競合解決アルゴリズムを使用して、最後に書き込みが行われた DC の情報を優先し ("後書き優先" アルゴリズム)、他のすべての DC の変更を破棄することで値の矛盾を処理する方法があります。この解決方法は、有効に機能する場合と、競合が複雑であるために機能しない (解決できない) 場合があります。このような事態を想定すると、競合が実際に発生した後で解決を試みるよりも、競合の発生を未然に防止することが重要です。

Windows 2000 には、特定の変更に関して、Active Directory の更新の競合が発生することを防ぐ手段が組み込まれています。

Windows 2000 シングルマスタ モデル

Windows 2000 における更新の競合を防ぐため、Active Directory は、シングルマスタ方式で特定のオブジェクトへの更新を行います。シングルマスタ モデルでは、ディレクトリ全体で 1 つの DC のみに対する更新処理が許可されます。これは、Windows の以前のバージョン (Microsoft Windows NT 3.51 や 4.0 など) に存在した、ドメインのすべての更新処理を行うプライマリ ドメイン コントローラ (PDC) に付与された役割に似ています。

Windows 2000 Active Directory は、Windows の以前のバージョンで見られたシングルマスタ モデルを拡張して複数の役割を備えることができ、エンタープライズ内の任意のドメイン コントローラ (DC) に対して役割を付与する機能を持ちます。Active Directory の役割は 1 つの DC だけを対象とするものではないため、"Flexible Single Master Operation (FSMO) 役割" と呼ばれます。Windows 2000 には、現在、以下の 5 つの FSMO 役割があります。

  • スキーマ マスタ
  • ドメイン名前付けマスタ
  • RID マスタ
  • PDC エミュレータ
  • インフラストラクチャ マスタ

スキーマ マスタ FSMO 役割

スキーマ マスタ FSMO 役割を持つのは、ディレクトリ スキーマ (スキーマ名前付けコンテキストまたは LDAP://cn=schema,cn=configuration,dc=<domain>) への更新処理を行う DC です。この DC だけがディレクトリ スキーマへの更新を行うことができます。スキーマの更新が終了すると、更新はスキーマ マスタからディレクトリ内の他のすべての DC に複製されます。スキーマ マスタは、1 つのディレクトリに対して 1 つだけ存在します。

ドメイン名前付けマスタ FSMO 役割

ドメイン名前付けマスタ FSMO 役割を持つのは、ディレクトリのフォレスト全体のドメイン名前空間 (Partitions\Configuration 名前付けコンテキストまたは LDAP://CN=Partitions, CN=Configuration, DC=<domain>) への更新処理を行う DC です。この DC だけが、ディレクトリへのドメインの追加、およびディレクトリからのドメインの削除を行うことができます。また、外部ディレクトリにあるドメインへの相互参照について、追加や削除を行うこともできます。

RID マスタ FSMO 役割

RID マスタ FSMO 役割を持つのは、指定ドメイン内にあるすべての DC からの RID プール要求処理を行う DC です。また、オブジェクトの移動時に、ドメインからオブジェクトを削除し、それを別のドメインに配置する役割も持ちます。

ユーザーやグループなどのセキュリティ プリンシパル オブジェクトを作成する場合、DC は、対象オブジェクトに一意のセキュリティ ID (SID) を付加します。この SID は、ドメイン SID (1 つのドメインで作成されるすべての SID で同じものが使用されます) と、ドメインで作成されるセキュリティ プリンシパル SID ごとに一意の相対 ID (RID) から構成されます。

ドメイン内にある各 Windows 2000 DC には、DC が作成するセキュリティ プリンシパルに割り当てることのできる RID のプールが割り当てられます。DC に割り当てられた RID プールがしきい値を下回ると、DC は、ドメインの RID マスタに対して RID の追加要求を発行します。ドメイン RID マスタは、ドメインの割り当てられていない RID プールから RID を取得して、それらを要求元の DC のプールに割り当てることによって、その要求に応答します。RID マスタは、ディレクトリの 1 ドメインに対して 1 つだけ存在します。

PDC エミュレータ FSMO 役割

PDC エミュレータは、エンタープライズで時刻の同期を取るために必要です。Windows 2000 には、Kerberos 認証プロトコルに必要な W32Time (Windows Time) タイム サービスが組み込まれています。このサービスにより、エンタープライズ内のすべての Windows 2000 ベースのコンピュータが共通の時刻を使用することになります。タイム サービスは、Windows タイム サービスが権限を制御する階層関係を使用することと、適切な共通時刻が確実に使用されるようにするためにループを許可しないようにすることを目的としています。

ドメインの PDC エミュレータは、ドメインに対する権限を持ちます。フォレスト ルートの PDC エミュレータは、エンタープライズに対して権限を持っており、外部のタイム サーバーから時刻情報を収集して同期させるように構成することが必要です。PDC エミュレータ FSMO 役割を持つすべての DC は、ドメインの階層に基づいて、入力方向のタイム サーバーを選択します。

Windows 2000 ドメインにおいて、PDC エミュレータ役割を持つ DC は、次の機能を備えています。
  • ドメイン内の他の DC によって実行されるパスワード変更は、PDC エミュレータに優先的に複製されます。
  • ドメイン内の DC で発生したパスワードの誤りによる認証失敗は、誤ったパスワードによる失敗のメッセージがユーザーに報告される前に、PDC エミュレータに転送されます。
  • アカウント ロックアウトは PDC エミュレータ上で処理されます。
  • PDC エミュレータは、Microsoft Windows NT 4.0 Server ベースの PDC またはそれ以前の PDC が Windows NT 4.0 またはそれ以前のクライアントに対して実行していたすべての機能を実行します。
Windows NT 4.0 以前を実行しているすべてのワークステーション、メンバ サーバー、およびドメイン コントローラを Windows 2000 にアップグレードすると、PDC エミュレータ役割の一部は不要になります。この場合、PDC エミュレータは、Windows 2000 環境でサポートされているその他の機能を実行します。

アップグレードによって生じる変更点について、以下に説明します。
  • Windows 2000 クライアント (ワークステーションおよびメンバ サーバー) と DSClient をインストールしたダウンレベルのクライアントは、ディレクトリ書き込み (パスワードの変更など) を PDC エミュレータ役割を持つ DC に対して優先的に実行することはありません。これらのクライアントは、ドメインの任意の DC を使用できます。
  • ダウンレベルのドメインにあるバックアップ ドメイン コントローラ (BDC) を Windows 2000 にアップグレードすると、PDC エミュレータが、それらの BDC からダウンレベルの複製物要求を受けることはなくなります。
  • Windows 2000 クライアント (ワークステーションおよびメンバ サーバー) と DSClient をインストールしたダウンレベルのクライアントは、Active Directory を使用して、ネットワーク リソースを見つけます。このとき、Windows NT の Browser サービスは不要です。

インフラストラクチャ FSMO 役割

あるドメインのオブジェクトが、別のドメインにある別のオブジェクトから参照される場合、参照されるオブジェクトは、その GUID、SID (セキュリティ プリンシパルの参照の場合)、および DN によって識別されます。インフラストラクチャ FSMO 役割を持つのは、ドメイン間オブジェクト参照におけるオブジェクトの SID および識別名の更新処理を行う DC です。

: インフラストラクチャ マスタ (IM) 役割は、グローバル カタログ (GC) サーバー以外の DC が所有する必要があります。IM が GC サーバー上で実行されると、インフラストラクチャ マスタは、保持しないオブジェクトへの参照を含まないため、オブジェクト情報の更新を停止します。これは GC サーバーに保存されている内容は、フォレスト内の各オブジェクトの部分的な複製物であるためです。これにより、IM が GC サーバー上で実行されていると、ドメイン間で移動されたオブジェクトの情報が更新されず、その DC のイベント ログに警告メッセージが記録されます。

ドメイン内のすべてのドメイン コントローラがグローバル カタログもホストする場合は、すべてのドメイン コントローラが最新のデータを保持するため、インフラストラクチャ マスタ役割を持つのがどのドメイン コントローラであるかは重要ではありません。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 197132 (最終更新日 2004-08-27) を基に作成したものです。

プロパティ

文書番号: 197132 - 最終更新日: 2005年9月21日 - リビジョン: 4.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
キーワード:?
kbinfo KB197132
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com