FSMO 配置とActive Directory ドメイン コント ローラーの最適化

適用対象: Windows Server 2012 StandardWindows Server 2012 StandardWindows Server 2012 Essentials

概要


ここでは、単一ドメイン コントローラーでよく実行される操作のドメインおよびフォレスト内の Active Directory Flexible Single-Master (FSMO) の役割について説明します。

詳細


マルチマスター更新プログラムに適さない特定のドメインおよび会社全体の操作は、そのドメインまたはフォレスト内の単一のドメイン コント ローラー上で実行する必要があります。シングル マスターのオーナーを持つ目的は、重要な操作を行う既知の対象を定義する、またマルチ マスター更新プログラムによって生ずる競合または待ち時間の発生を防ぐことです。関連する FSMO 役割の所有者がオンライン、検出、および FSMO に依存する操作を実行する必要があるコンピューターがネットワーク上で使用する必要がある単一の操作マスターの意味を持ちます。

Active Directory インストール ウィザード (Dcpromo.exe) は、新しいフォレストの最初のドメインを作成するときは、5 つの FSMO の役割が追加されます。1 つのドメインを持つフォレストでは、5 つの役割があります。Active Directory インストール ウィザードは、フォレスト内の各ドメイン内の最初のドメイン コント ローラー上の 3 つのドメイン全体にわたる役割を追加します。さらに、各アプリケーション パーティションのインフラストラクチャ マスターの役割が存在します。これには、既定のドメインと Windows Server 2003 以降のドメイン コント ローラー上に作成されるフォレスト全体の DNS アプリケーション パーティションが含まれます。操作マスターとそれぞれのスコープは、次の表に表示されます。
FSMO の役割スコープ関数および可用性の要件
スキーマ マスターエンタープライズ
  • 手動とプログラムによるスキーマの更新プログラムを導入するために使用して、Windows ADPREP/FORESTPREP によって、Microsoft Exchange、および Active Directory ドメイン サービス (AD DS) を使用する他のアプリケーションに追加する更新プログラムが含まれます。
  • スキーマの更新を実行する場合は、オンラインでなければなりません。
ドメイン名前付けマスターエンタープライズ
  • 追加して、ドメインとフォレストとの間に、アプリケーション パーティションを削除するのにを使用します。
  • ドメインおよびフォレスト内のアプリケーション パーティションを追加または削除された場合は、オンラインでなければなりません。
プライマリ ドメイン コント ローラーDomain
  • レプリカ ドメイン コント ローラー上にあるユーザー アカウント、コンピューターのパスワードが変更された場合は、パスワードの更新を受信します。
  • レプリカ ドメイン コント ローラーによって、その認証要求を処理するパスワードが一致しないを検索します。
  • グループ ポリシーに対して、既定のターゲット ドメイン コント ローラーを更新します。
  • ターゲット ドメイン コント ローラーの書き込み可能な操作を実行するレガシ アプリケーションと管理ツールがいくつかの。
  • オンラインでアクセス可能な 24 時間週 7 日、1 日にする必要があります。
RIDDomain
  • 同じドメイン内のレプリカ ドメイン コント ローラーにアクティブとスタンバイの RID プールが割り当てられます。
  • アドバタイズするために必要なことや、既存のドメイン コント ローラーが、スタンバイ、または現在の RID プール割り当てを更新する必要がある場合に、ローカル RID プールを取得するのには、新しく昇格したドメイン コント ローラーをオンラインにする必要があります。
インフラストラクチャ マスターDomain

アプリケーション パーティション
  • ドメイン間の参照、およびグローバル カタログからファントムを更新します。 詳細については、次の文書番号をクリックして、マイクロソフト サポート技術情報の資料をご参照ください。
    248047ファントム、廃棄済みオブジェクト、およびインフラストラクチャ マスター
  • Windows Server 2003 およびそれ以降のドメイン コント ローラーによって作成された既定のフォレスト全体およびドメイン全体のアプリケーション パーティションを含むアプリケーションのパーティションごとに個別のインフラストラクチャ マスターが作成されます。

    Windows Server 2008 R2 の ADPREP/RODCPREP コマンドは対象のフォレスト ルート ドメイン内の既定の DNS アプリケーション、インフラストラクチャ マスターの役割です。この役割の所有者の DN パスは、CN = インフラストラクチャ、DC = DomainDnsZones, DC = < フォレスト ルート ドメイン > DC = < トップ レベルのドメイン > cn = インフラストラクチャ、DC = ForestDnsZones、DC = < フォレスト ルート ドメイン > DC = < トップ レベルのドメイン >。

FSMO の可用性、および配置

Active Directory インストール ウィザードは、ドメイン コント ローラー上の役割の初期配置を実行します。この配置が正しく頻繁に、いくつかのドメイン コント ローラーがあるディレクトリにします。多くのドメイン コント ローラーを持つディレクトリにデフォルトの配置できない場合があります、ネットワークに最適です。

選択基準として以下を検討してください。
  • 追跡するための FSMO の役割が少ないコンピューターでそれらをホストする場合に便利です。
  • 完全にルーティングされていないネットワークでは特に、特定の役割へのアクセスを必要とするコンピューターはドメイン コント ローラー上の場所の役割にアクセスできます。などのスタンバイまたは現在の RID プールを取得またはパススルー認証を実行する、すべてのドメイン コント ローラー必要がありますへのネットワーク アクセス、それぞれのドメインで RID、PDC の役割の所有者です。
  • 役割には、別のドメイン コント ローラーに移動して、現在の役割の所有者は、オンラインで利用可能な転送する必要があります (強制) を新しいドメイン コント ローラーの役割です。FSMO の役割を強制するは、現在の役割所有者が使用できない場合だけにしています。詳細については、次のマイクロソフト web サイトを参照してください。
  • 転送または強制の役割に依存する操作を実行している場合、エラー状態またはオフラインになっているドメイン コント ローラーに割り当てられている FSMO の役割があるだけです。場合は、役割の所有者にできる運用役割が必要とせずに、役割の強制移動を遅らせることができます。役割の可用性が重要な場合は、転送または必要に応じて役割を強制します。各ドメインの PDC の役割は、常にオンライン必要があります。
  • スタンバイの役割所有者として機能するように既存の役割の所有者の直接のサイト内レプリケーション パートナーを選択します。プライマリ所有者がオフラインになったか、失敗した場合は、転送またはに、指定されたスタンバイ FSMO ドメイン コント ローラーとして必要な役割を強制します。

FSMO を配置するための一般的な推奨事項

  • スキーマ マスターは、フォレストのルート ドメインの PDC に配置します。
  • ドメイン名前付けマスターはフォレスト ルートの PDC 上に配置します。

    追加またはドメインの削除には、厳しく制御されている操作がある場合があります。フォレスト ルートの PDC では、このロールを配置します。ドメイン名前付けマスターが利用できない場合、ドメイン名前付けマスターの作成、ドメインおよびアプリケーション パーティションを削除することなどを使用する特定の操作が失敗します。Microsoft Windows 2000 を実行しているドメイン コント ローラー、ドメイン名前付けマスターをグローバル カタログ サーバーでホストも必要があります。Windows Server 2003 またはそれ以降のバージョンを実行しているドメイン コント ローラーには、ドメイン名前付けマスターがグローバル カタログ サーバーがありません。
  • レプリカ ドメイン コント ローラーが同じ Active Directory サイトおよびドメインで信頼性の高いハブ サイトに最適なハードウェアには、PDC を配置します。

    大規模またはビジー状態の環境で PDC では、パススルー認証とパスワードの更新を処理するため CPU 使用率が最も高いがよくあります。高い CPU 使用率が問題になる場合、ソースを識別してこれには、アプリケーション、または (推移的に)、PDC を対象とする多くの操作を実行しているコンピューターが含まれます。CPU を削減する手法を以下に示します。
    • 多くのまたはより高速な Cpu を追加します。
    • 追加のレプリカを追加します。
    • Active Directory オブジェクトをキャッシュに追加のメモリを追加します。
    • グローバル カタログ参照を避けるためにグローバル カタログを削除します。
    • 着信および発信のレプリケーション パートナーの数を減らす
    • レプリケーション スケジュールを増やす
    • LDAPSRVWEIGHT と LDAPPRIORITY を使用して、 231305に記載されている Randomize1CList 機能を使用して認証の可視性を削減します。
    特定のドメイン、およびアプリケーションと、PDC を対象とする管理ツールを実行しているコンピューター内のすべてのドメイン コント ローラーには、ドメインの PDC にネットワーク接続が必要です。
  • 同じドメイン内の PDC のドメインの RID マスターを配置します。

    RID マスター オーバーヘッドは、光、特に完成度の高いドメイン、ユーザー、コンピューター、およびグループの一括作成済みです。ドメインの PDC は、通常の管理者から最も注意を受信します。したがって、PDC のこのロールの配置により、信頼性の高い可用性を確保できます。既存のドメイン コント ローラーと、リモートのステージング サイトに昇格したものでは特に新しく昇格したドメイン コント ローラーに RID マスターからアクティブとスタンバイの RID プールを取得するのにはネットワーク接続があることを確認します。
  • 従来のガイダンスは、非グローバル カタログ サーバーのインフラストラクチャ マスターを配置することをお勧めします。考慮すべき 2 つの規則があります。
    • 単一ドメインのフォレスト

      1 つの Active Directory ドメインを含むフォレストでは、ファントムはありません。このため、インフラストラクチャ マスターでは、実行する作業はありません。そのドメイン コント ローラーがグローバル カタログをホストするかどうかどうかに関係なく、ドメイン内の任意のドメイン コント ローラーにインフラストラクチャ マスターを配置することがあります。
    • マルチ ドメイン フォレスト:

      マルチ ドメイン フォレストの一部であるドメイン内のすべてのドメイン コント ローラーでは、グローバル カタログもホストしている場合がないファントムまたはインフラストラクチャ マスターが実行するための作業です。インフラストラクチャ マスターは、そのドメイン内の任意のドメイン コント ローラー上に配置できます。、実際には、ほとんどの管理者は、フォレスト内のすべてのドメイン コント ローラーにグローバル カタログをホストします。
    • マルチ ドメイン フォレスト内にある特定のドメイン内のすべてのドメイン コント ローラーがグローバル カタログをホストしていない場合、グローバル カタログをホストしていないドメイン コント ローラーにインフラストラクチャ マスターを配置する必要があります。

関連情報


詳細については、 Windows サーバー クラスター ノードがドメイン コント ローラーとしての使用方法を参照してください。

Microsoft TechNet の操作マスターの役割に関する記事:


248047ファントム、廃棄済みオブジェクト、およびインフラストラクチャ マスター
949257のエラー メッセージ Windows Server 2008 で、「Adprep/rodcprep」コマンドを実行すると:「Adprep は、DC パーティション レプリカを接続できませんでした = DomainDnsZones, DC = Contoso, DC = com"

NTDS 複製イベント 1586 は、特定のドメインの PDC FSMO の役割を強制または以前の役割保有者の直接のレプリケーション パートナーではない新しいドメイン コント ローラーに転送されたときに発生します。