Active Directory ドメイン コントローラーでの FSMO の配置と最適化

  • [アーティクル]

特定の操作は、1 つのドメイン コントローラーで行うのが最適です。 この記事では、これらの操作のドメインとフォレストでの Active Directory フレキシブル Single-Master 操作 (FSMO) ロールの配置について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 223346

詳細

特定のドメインと企業全体の操作は、マルチマスター更新プログラムに適していません。 このような場合は、ドメインまたはフォレスト内の単一のドメイン コントローラーで操作を実行する必要があります。 単一マスター所有者を持つことは、重要な操作の既知のターゲットを定義し、マルチマスター更新によって発生する可能性のある競合や待機時間を防ぎます。 つまり、関連する FSMO ロールの所有者は、FSMO に依存する操作を実行する必要があるコンピューターによって、ネットワーク上でオンライン、検出可能、および使用可能である必要があります。

Active Directory インストール ウィザード (Dcpromo.exe) が新しいフォレストに最初のドメインを作成すると、ウィザードは 5 つの FSMO ロールを追加します。 1 つのドメインを持つフォレストには、5 つのロールがあります。 Active Directory インストール ウィザードは、フォレスト内の各追加ドメインの最初のドメイン コントローラーに 3 つのドメイン全体の役割を追加します。 さらに、インフラストラクチャ マスター ロールはアプリケーション パーティションごとに存在します。 これには、既定のドメインと、Windows Server 2003 以降のドメイン コントローラーで作成されるフォレスト全体の DNS アプリケーション パーティションが含まれます。 操作マスターとそのスコープを次の表に示します。

FSMO ロール 範囲 関数と可用性の要件
スキーマ マスター Enterprise - 手動およびプログラムによるスキーマ更新を導入するために使用されます。 これには、WindowsADPREP /FORESTPREP、Microsoft Exchange、および Active Directory Domain Services (AD DS) を使用する他のアプリケーションによって追加される更新プログラムが含まれます。
- スキーマの更新が実行されるときにオンラインである必要があります。
ドメインの名前付けマスター Enterprise - フォレストとの間でドメインとアプリケーション パーティションを追加および削除するために使用されます。
- フォレスト内のドメインとアプリケーション パーティションを追加または削除する場合は、オンラインにする必要があります。
プライマリ ドメイン コントローラー ドメイン - コンピューターとレプリカ ドメイン コントローラー上のユーザー アカウントのパスワードが変更されたときに、パスワードの更新を受け取ります。
- パスワードが一致しない認証要求を処理するレプリカ ドメイン コントローラーによって参照されます。
- グループ ポリシー更新の既定のターゲット ドメイン コントローラー。
- 書き込み可能な操作を実行するレガシ アプリケーションと一部の管理ツールのターゲット ドメイン コントローラー。
- オンラインで、24 時間年中無休でアクセスできる必要があります。
解消 ドメイン - アクティブ RID プールとスタンバイ RID プールを、同じドメイン内のレプリカ ドメイン コントローラーに割り当てます。
- 次の状況でオンラインにする必要があります。
  • 新しく昇格したドメイン コントローラーが、アドバタイズに必要なローカル RID プールを取得する必要がある場合
  • 既存のドメイン コントローラーが現在またはスタンバイ RID プールの割り当てを更新する必要がある場合。
インフラストラクチャ マスター ドメイン

アプリケーション パーティション		 - グローバル カタログからのクロスドメイン参照とファントムを更新します。 詳細については、「ファントム、廃棄石、インフラストラクチャ マスター」を参照してください。
- Windows Server 2003 以降のドメイン コントローラーによって作成された既定のフォレスト全体およびドメイン全体のアプリケーション パーティションなど、アプリケーション パーティションごとに個別のインフラストラクチャ マスターが作成されます。

Windows Server 2008 R2 ADPREP /RODCPREP コマンドは、フォレスト ルート ドメイン内の既定の DNS アプリケーションのインフラストラクチャ マスター ロールを対象としています。 このロール所有者の DN パスは次のとおりです。
  • CN=Infrastructure,DC=DomainDnsZones,DC=<forest root domain,DC>=<top level domain>
  • CN=Infrastructure,DC=ForestDnsZones,DC=<forest root domain,DC>=<top level domain>

FSMO の可用性と配置

Active Directory インストール ウィザードでは、ドメイン コントローラーでのロールの初期配置が行われます。 この配置は、ドメイン コントローラーが数個しかないディレクトリに対して頻繁に正しいです。 ドメイン コントローラーが多いディレクトリでは、既定の配置がネットワークに最適でない可能性があります。

選択基準では、次の要因を考慮してください。

  • より少ないコンピューターで FSMO ロールをホストする場合は、FSMO の役割を追跡する方が簡単です。

  • コンピューターがアクセスできるドメイン コントローラーにロールを配置します。特に、完全にルーティングされていないネットワークでは、特定の役割にアクセスする必要があります。 たとえば、現在の RID プールまたはスタンバイ RID プールを取得したり、パススルー認証を実行したりするには、すべての DC がそれぞれのドメインの RID および PDC ロール 所有者へのネットワーク アクセスを必要とします。

  • 次の条件下で、新しいドメイン コントローラーにロールを転送する (押さえない) 必要があります。

    • ロールを別のドメイン コントローラーに移動する必要がある
    • 現在のロール所有者はオンラインで使用できます

    FSMO ロールは、現在のロール所有者が使用できない場合にのみ押収する必要があります。 詳細については、「 操作マスター ロールの管理」を参照してください。

  • オフラインまたはエラー状態のドメイン コントローラーに割り当てられた FSMO ロールは、ロールに依存する操作が実行されている場合にのみ転送または押収する必要があります。 ロールが必要になる前にロール所有者を操作できる場合は、ロールの押収を遅らせる可能性があります。 ロールの可用性が重要な場合は、必要に応じてロールを転送または押収します。 各ドメインの PDC ロールは常にオンラインである必要があります。

  • 既存のロール所有者がスタンバイ ロール所有者として機能する直接サイト内レプリケーション パートナーを選択します。 プライマリ所有者がオフラインになった場合、または失敗した場合は、必要に応じて、指定されたスタンバイ FSMO ドメイン コントローラーにロールを転送または押収します。

FSMO 配置に関する一般的な推奨事項

  • フォレスト ルート ドメインの PDC にスキーマ マスターを配置します。

  • ドメインの名前付けマスターをフォレスト ルート PDC に配置します。

    ドメインの追加または削除は、厳密に制御された操作である必要があります。 このロールをフォレスト ルート PDC に配置します。 ドメインの名前付けマスターを使用できない場合、ドメインの名前付けマスターを使用する特定の操作は失敗します。 これらの操作には、ドメインとアプリケーション パーティションの作成または削除が含まれます。 Microsoft Windows 2000 を実行するドメイン コントローラーでは、ドメインの名前付けマスターもグローバル カタログ サーバーでホストする必要があります。 Windows Server 2003 以降のバージョンを実行するドメイン コントローラーでは、ドメインの名前付けマスターはグローバル カタログ サーバーである必要はありません。

  • 同じ Active Directory サイトとドメイン内のレプリカ ドメイン コントローラーを含む信頼性の高いハブ サイトで、最適なハードウェアに PDC を配置します。

    大規模またはビジーな環境では、PDC はパススルー認証とパスワードの更新を処理するため、CPU 使用率が最も高くなります。 CPU 使用率の高い問題が発生した場合は、ソースを特定します。 ソースには、PDC を対象とする (推移的に) 多くの操作を実行している可能性があるアプリケーションまたはコンピューターが含まれます。 CPU を削減する手法は次のとおりです。

    • CPU の追加数を増やすまたは高速化する
    • レプリカの追加
    • Active Directory オブジェクトをキャッシュするためのメモリの追加
    • グローバル カタログ参照を回避するためのグローバル カタログの削除
    • 受信および送信レプリケーション パートナーの数を減らす
    • レプリケーション スケジュールを増やす
    • LDAPSRVWEIGHT と LDAPPRIORITY を使用し、Randomize1CList 機能を使用して、認証の可視性を低下させます。

    特定のドメイン内のすべてのドメイン コントローラーと、PDC を対象とするアプリケーションと管理ツールを実行するコンピューターには、ドメイン PDC へのネットワーク接続が必要です。

  • RID マスターを同じドメイン内のドメイン PDC に配置します。

    RID マスター のオーバーヘッドは軽く、特に、ユーザー、コンピューター、グループの大部分を既に作成している成熟したドメインでは軽くなります。 通常、ドメイン PDC は管理者から最も注意を引きます。 この役割を PDC に併置することで、信頼性の高い可用性を確保できます。 既存のドメイン コントローラーと新しく昇格したドメイン コントローラーに、RID マスター (特にリモート またはステージング サイトで昇格されたドメイン コントローラー) からアクティブな RID プールとスタンバイ RID プールを取得するためのネットワーク接続があることを確認します。

  • 従来のガイダンスでは、非グローバル カタログ サーバーにインフラストラクチャ マスターを配置する方法が提案されています。 考慮すべきルールは 2 つあります。

    • 単一ドメイン フォレスト:

      1 つの Active Directory ドメインを含むフォレストには、ファントムはありません。 そのため、インフラストラクチャ マスターには実行する作業がありません。 インフラストラクチャ マスターは、そのドメイン コントローラーがグローバル カタログをホストしているかどうかに関係なく、ドメイン内の任意のドメイン コントローラーに配置できます。

    • マルチドメイン フォレスト:

      マルチドメイン フォレストの一部であるドメイン内のすべてのドメイン コントローラーがグローバル カタログもホストしている場合、インフラストラクチャ マスターが実行するファントムや作業はありません。 インフラストラクチャ マスターは、そのドメイン内の任意のドメイン コントローラーに配置できます。 実際には、ほとんどの管理者は、フォレスト内のすべてのドメイン コントローラーでグローバル カタログをホストします。

    • マルチドメイン フォレスト内にある特定のドメイン内のすべてのドメイン コントローラーがグローバル カタログをホストしていない場合は、インフラストラクチャ マスターをグローバル カタログをホストしないドメイン コントローラーに配置する必要があります。

関連情報

詳細については、「 Windows Server クラスター ノードをドメイン コントローラーとして使用する方法」を参照してください。

Operations Master ロールに関する記事:

NTDS レプリケーション イベント 1586 は、次のいずれかの状況で発生します。

  • 特定のドメインの PDC FSMO ロールが押収されました。
  • 特定のドメインの PDC FSMO ロールが、以前のロール所有者の直接レプリケーション パートナーではない新しいドメイン コントローラーに転送されました。