Windows 2000 Server および Windows Server 2003 における操作マスタの役割を持つサーバーの初期同期の要件

概要

この資料では、操作マスタの役割をホストし、Microsoft Windows Server 2003 または Microsoft Windows 2000 Service Pack 3 (SP3) 以降を実行しているドメイン コントローラの初期同期の要件について説明します。Active Directory ドメインまたはフォレストで依存関係のある操作を行うには、初期同期を行う必要があります。



: 操作マスタの役割は、FSMO (Flexible Single Master Operations) とも呼ばれます。

詳細

Active Directory ドメイン コントローラでは、ドメイン コントローラが起動されるたびに、ローカルに保持しているディレクトリ パーティション (名前付けコンテキスト) ごとに入力方向の変更内容をレプリケートします。Microsoft Windows Server 2003 および Microsoft Windows 2000 SP3 以降で、操作マスタの役割をホストしているドメイン コントローラでは、操作マスタの役割の状態をレプリケートおよび管理するディレクトリ パーティションで入力方向の変更内容を正常にレプリケートできる必要があります。依存関係のある操作を行うには、レプリケーションが正常に完了する必要があります。これが行われるのは、現在の FSMO 所有者に関する情報を含む属性への変更内容を FSMO 所有者に反映し、FSMO 所有者を確実に最新の状態にするためです。オフラインのときにこの属性が変更された場合、FSMO 所有権は放棄されます。属性が引き続きローカルのドメイン コントローラを指している場合には、FSMO 所有者は役割の所有者としての機能を開始します。



Windows Server 2003 ベースのドメイン コントローラでは、以下のイベントが出力されます。

次の表は、操作マスタの役割が機能するために、操作マスタの役割をホストしているドメイン コントローラで正常にレプリケートする必要のあるパーティションを示しています。

役割役割をアクティブにするためにレプリケートする必要のあるパーティション実行する操作
ドメイン名前付け
構成
ドメインまたはアプリケーション パーティションを追加または削除します。

インフラストラクチャ
操作マスタの役割所有者のドメインにあるドメイン パーティション
Windows Server 2003 の adprep /domainprep コマンドにより加えられた変更を反映します。

相対 ID (RID)
操作マスタの役割所有者のドメインにあるドメイン パーティション
新しく昇格したドメイン コントローラまたは既存のドメイン コントローラに RID プールを割り当てます。

スキーマ

スキーマ

Active Directory スキーマ スナップイン、adprep /forestprep コマンド、または Active Directory を認識するアプリケーションを使用してスキーマの変更内容を反映します。


たとえば、現在の RID 操作マスタとその状態に関する情報が、Contoso.com という名前のサンプル ドメインのドメイン パーティションにレプリケートされたとします。DC1.Contoso.com (DC1) という名前のドメイン コントローラは、Contoso.com ドメインの RID マスタです。DC1 の Active Directory のコピーの構成パーティションに、書き込み可能な Contoso.com パーティションをレプリケートする別のドメイン コントローラ (DC2.Contoso.com) への参照が含まれていると、Contoso.com ドメインの RID 操作マスタの役割は、以下のいずれかの動作が行われるまでアクティブになりません。

  • RID 操作マスタの役割が、書き込み可能な Contoso.com ドメイン パーティションに DC2 または Contoso.com ドメインの別のドメイン コントローラからの入力方向のレプリケーションを行います。

  • フォレストから書き込み可能な Contoso.com ドメイン パーティションのコピーをホストするドメイン コントローラへの参照を削除します。

RID 操作マスタの役割がアクティブになるまで、DC1 では、Contoso.com ドメインにユーザー、コンピュータ (追加のドメイン コントローラを含む)、およびセキュリティ グループを作成するのに必要な新しい RID プールを発行できません。同様に、操作マスタの役割表に一覧表示されている他の操作マスタで依存関係のある操作を行うには、ホスト パーティションに加えられた入力方向の変更が正常にレプリケートされる必要があります。この初期同期の要件の目的は、各ドメインまたはフォレストで、特定の操作マスタの役割を担うドメイン コントローラを 1 台に限定することです。



: レプリケーション パートナーを持たないパーティションに存在する操作マスタの役割をホストしているドメイン コントローラは、レプリケーション パートナーがないため、初期同期の要件を満たす必要はありません (レプリケーション パートナーとは、ある役割のドメインまたはフォレスト全体のレプリケーション スコープ内に存在する 1 台のドメイン コントローラでホストされている役割です)。現在の役割所有者の hasMastersNC 属性に、操作マスタ パーティションをレプリケートする複数のドメイン コントローラへの参照が含まれている場合にのみ、初期同期の要件を満たす必要があります (hasMastersNC 属性は、操作マスタの CN=Configuration パーティションのドメイン コントローラの NTDS 設定オブジェクトの一部です)。たとえば、サンプル ドメイン Contoso.com の構成パーティションに Contoso.com パーティションをホストする他のドメイン コントローラへの参照が含まれていない場合、現在の RID 操作マスタ (DC1) は DC1.Contoso.com コンピュータが起動した後にアクティブになります。

Windows Server 2003 Service Pack 1 での初期同期の要件の変更

Windows Server 2003 オリジナル リリース
Windows Server 2003 のオリジナル リリース バージョンでは、操作マスタの役割所有者であるドメイン コントローラは、再起動されると、それ自体のサイト内にある他のドメイン コントローラのみに対してレプリケートを行います。適切なレプリケーション元ドメイン コントローラが操作マスタの役割所有者と同じ Active Directory サイトに存在する場合、初期同期の要件は、通常、オペレーティング システムの起動直後に満たされます。これによって、操作マスタの役割に依存する操作は即座に発生します。唯一の適切なレプリケーション元ドメイン コントローラが、リモート サイト内に存在する場合には、遅延が発生することもあります。レプリケーションは、サイト リンク上または接続オブジェクト上のスケジュールが開くまで発生しません。スキーマ マスタの役割、ドメイン名前付けマスタの役割、または RID マスタの役割にアクセスする必要のある操作は、書き込み可能なレプリケーション元ドメイン コントローラからの受信方向のレプリケーションが発生するまで失敗します。

Windows Server 2003 Service Pack 1
操作マスタの役割所有者であるドメイン コントローラは、再起動されると、同期が成功するまで既存のパートナーすべてに対して初期同期を実行します。同期用に選択されるパートナーは、ドメイン コントローラがホストしているそれぞれの名前付けコンテキスト用のすべてのレプリケーション パートナーからランダムに選択されます。サイト内レプリケーション パートナーが優先されることはありません。各パートナーに対する試行は、正常なレプリケーションが発生するまで、一度に 1 つずつ行われます。

初期同期に失敗する原因と推奨する解決方法

以下のシナリオでは、操作マスタで入力方向のレプリケーションに失敗した原因として考えられるものについて説明します。操作マスタの役割を保持しているドメイン コントローラが初期同期の要件を満たさない場合、依存関係のある操作が失敗するか、操作に遅延が発生します。各シナリオでは、操作マスタをアクティブにするための推奨する方法を提示しています。

  • 現在のロールが、Active Directory から NTDS 設定 (NTDS-DSA) オブジェクトが削除されたドメイン コントローラ上に存在しています。このシナリオは、以下のいずれかの理由により発生することがあります。

    • Active Directory サイトとサービス スナップイン、Ntdsutil.exe ユーティリティ、または同等のユーティリティを使用して、ドメイン コントローラの Active Directory から NTDS-DSA オブジェクトを削除しました。ただし、ドメイン コントローラの操作マスタの役割が、ドメインまたはフォレスト内の他のドメイン コントローラに転送されていません。

    • dcpromo /forceremoval コマンドを使用して、操作マスタの役割を持っていたドメイン コントローラを強制的に降格しました。


      dcpromo /forceremoval コマンドの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。


      332199 Windows Server 2003 と Windows 2000 Server で、Active Directory のインストール ウィザードを使用して強制的に降格を実行しても、ドメイン コントローラが正常に降格されない

    • Active Directory のインストール ウィザードを使用して、操作マスタ ドメイン コントローラを正常に降格しましたが、ローカルに保持している操作マスタの役割はドメインまたはフォレスト内に残っているドメイン コントローラに転送されていません。

    いずれの場合も、操作マスタの役割を既存のドメイン コントローラに強制移動または転送する必要があります。



    関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。


    255504 Ntdsutil.exe を使用してドメイン コントローラに FSMO の役割を強制または転送する

  • 操作マスタの役割を所有するドメイン コントローラに、Active Directory は実行されていないものの、まだメタデータを保持しているドメイン コントローラへの参照が含まれています。



    パーティションをホストしているオフラインのドメイン コントローラがフォレスト内でアクティブになっておらず、今後使用することがない場合、この問題を解決するには、そのドメイン コントローラのメタデータを削除します。Active Directory を実行していないドメイン コントローラのメタデータを削除したら、現在の操作マスタの役割所有者を再起動します。



    オフラインのドメイン コントローラのメタデータを削除する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。


    216498 ドメイン コントローラの降格に失敗した後、Active Directory のデータを削除する方法

  • 操作マスタの役割を保持しているディレクトリ パーティションでレプリケーションが失敗します。



    この場合、操作マスタの役割所有者が、既存のドメイン コントローラのパーティションと操作マスタのパーティションをレプリケートすることを妨げている Active Directory レプリケーションの問題を解決する必要があります。接続、名前解決、認証、またはレプリケーション エンジンでエラーが発生すると、レプリケーションの問題が発生することがあります。

  • 操作マスタの役割パーティションのレプリケーション パートナーが、リモートの Active Directory サイトに存在しています。



    操作マスタのパーティションをレプリケートする他のドメイン コントローラとは異なる Active Directory サイトに操作マスタが存在する場合、この問題を解決するには、レプリケーション スケジュールが開始されるまで待機するか、操作マスタのパーティションのコピーを含むドメイン コントローラから現在の操作マスタへの入力方向のレプリケーションを強制的に行います。

  • 分離されたネットワークでドメイン コントローラが起動し、ネットワークに接続できないことが原因でドメインまたはフォレスト内のドメイン コントローラとレプリケートできません。



    操作マスタの役割を保持しているドメイン コントローラにネットワーク ケーブルが接続されていないか、ドメイン コントローラがパートナー ドメイン コントローラにネットワーク アクセスのないテスト ネットワークまたは実験用のネットワーク上に存在している場合、そのネットワークは "分離" されています。



    この問題を解決するには、ドメインにドメイン コントローラを追加して、操作マスタの役割を保持しているドメイン コントローラが起動したときに、このドメイン コントローラで必要なドメインまたはフォレスト全体のパーティションをレプリケートできるようにします。



    : 分離されたネットワーク内にのみ存在する Windows Server 2003 のドメイン コントローラでは、Ntdsutil ユーティリティを使用して、操作マスタの役割所有者を自分自身に強制移動できます。マイクロソフトでは、この強制移動は最後の手段として使用すること、かつフォレスト内の各操作マスタの役割所有者が一意であることを確認した後にのみ使用することをお勧めします。

    関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。


    255504 Ntdsutil.exe を使用してドメイン コントローラに FSMO の役割を強制または転送する

どの操作マスタの役割も、ある程度のダウンタイムには耐えることができます。つまり、コンピュータを一時的にオフラインにする必要がある場合に必ずしも操作マスタの役割を強制移動する必要はないということです。各操作マスタの役割のダウンタイムに関する詳細については、次の一覧を参照してください。

  • スキーマ操作マスタ : 修復または復元によってスキーマ操作マスタの役割所有者が復帰する前にスキーマを変更する必要がない限り、すぐにスキーマ操作マスタの役割を復帰させる必要はありません。

  • ドメイン名前付け操作マスタ : ドメイン名前付け操作マスタの役割は、フォレスト内で名前付けコンテキストを追加または削除するときにのみ必要です。フォレスト内に名前付けコンテキストを追加または削除する前に修復または復元によってこの役割がオンラインに復帰しない場合にのみ、この役割を強制移動する必要があります。

  • インフラストラクチャ操作マスタ : インフラストラクチャ操作マスタの役割のタスクは、バックグラウンドで実行されます。コンピュータが数日間オンラインに戻らず、フォレスト内で大幅なアカウント変更が発生しなかった場合、コンピュータは、オンラインに戻ったときにその変更を簡単に行うことができます。

  • プライマリ ドメイン コントローラ (PDC) エミュレータ操作マスタ : Active Directory 以前のクライアントがドメイン内に存在しない場合、PDC エミュレータ操作マスタの役割所有者は、ユーザーがパスワードを変更したときに移行を容易にするためにのみ使用されます。PDC エミュレータ操作マスタの役割所有者のみが、信頼関係のパスワードを変更できます。そのため、ダウンタイムが長すぎるのは好ましくありません。

  • RID 操作マスタ : アカウントを作成していない場合には、RID 操作マスタの役割所有者もある程度のダウンタイムに耐えることができます。1 つのドメイン コントローラで RID がなくなった場合、元の所有者が数時間で復帰する場合には、別のドメイン コントローラを使用して RID を配布することをお勧めします。

Repadmin.exe ツールを使用して初期同期の問題をトラブルシューティングする方法

初期同期の問題のトラブルシューティングを行うには、次の手順を実行します。


  1. Microsoft Windows 2000 サポート ツールの Repadmin.exe ツールを見つけます (Windows 2000 サポート ツールは、Windows 2000 Server CD-ROM に収録されています。Windows 2000 サポート ツールをインストールするには、CD-ROM の Support\Tools フォルダにあるセットアップ プログラムを実行します)。

  2. 操作マスタの役割所有者であるドメイン コントローラのコマンド プロンプトで repadmin /showreps と入力します。

  3. 出力結果を確認し、ドメイン コントローラが前回の再起動後にパートナーから正常にレプリケートされたかどうかを判断します。エラーが発生している場合は、関連のあるレプリケーション パートナーとのレプリケーションの問題を解決し、レプリケーションが完了するまで待機します。



    各ドメイン コントローラでは、スキーマ パーティション、ドメイン パーティション、および構成パーティションが正常にレプリケートされる必要があります。

: repadmin /delete コマンドを使用して、問題のある操作マスタの役割をホストしているパーティションを含むパートナー ドメイン コントローラへのレプリケーション リンクを削除できます。



警告 : repadmin /delete コマンドにより、Active Directory が破損する可能性があります。repadmin /delete コマンドは、Microsoft Product Support Services 担当者の指示の下でのみ使用することをお勧めします。Microsoft Product Support Services への問い合わせ方法については、次のマイクロソフト Web サイトを参照してください。

Repadmin.exe ユーティリティの使用方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。


229896 Repadmin.exe を使ったActive Directory 複製のトラブルシューティング

初期同期のエラー メッセージ

操作マスタの役割所有者による初期同期が正常に完了しなかった場合、以下の状況でエラー メッセージが表示されることがあります。

  • RID マスタ

    RID マスタに接続できず、RID プールが 20% 以下になった場合、ディレクトリ サービス イベント ログに次のイベント メッセージが出力されます。

    RID マスタが使用できない場合に表示されることがある類似したエラー メッセージの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。


    248410 アカウント識別子アロケータが初期化に失敗する

  • スキーマ マスタ

    adprep /forestprep コマンドを実行して、Windows Server 2003 のドメイン コントローラの追加に備えて Windows 2000 のフォレストとドメインの準備を行った場合、adprep /forestprep コマンドに失敗し、Adprep.log に次のメッセージが出力されます。

    エラー: スキーマ FSMO 役割を転送できませんでした: 52 (利用不可).

    エラー コードが、"権限が不十分です" である場合は、Schema Admins グループのメンバとしてログインしていることを確認してください。

    Adprep はスキーマ マスタのスキーマをアップグレードできませんでした。

    このエラーは、DNS サーバーの役割を持たなくなったサーバーの DNS にある無効な DNS レコードが原因で発生することもあります。スキーマのプロパティを変更すると、次のエラー メッセージが表示されることがあります。

    ディレクトリ パーティションが少なくとも 1 つのレプリケーション パートナーで正常にレプリケートされていないため、FSMO の役割の所有権を検証できませんでした。

  • ドメイン名前付けマスタ

    フォレストに新しい子ドメインまたはツリーを追加すると、次のエラー メッセージが表示されることがあります。

    02/17 17:02:16 [INFO] Error - ディレクトリ サービスはオブジェクト CN=UCD,CN=Partitions,CN=Configuration,DC=Domain,DC=loc を作成できませんでした。システム エラーが発生した可能性があるので、イベント ログを調べてください。(8610)

    ドメインを追加または削除した場合のドメイン名前付けマスタの重要性の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。


    254933 Dcpromo を使用してドメインの追加または削除を行うときにはドメイン名前付けマスタ FSMO 役割の所有者にアクセスする必要がある


    255229 子ドメイン内の最後のドメイン コントローラを Dcpromo を使用して降格できない


操作マスタのパーティションのレプリケーション パートナーが、リモートの Active Directory サイトに存在する

Microsoft Windows Server 2003 Service Pack 1 を実行しているドメイン コントローラの操作マスタは、レプリケーション スケジュールが開始されるのを待たずに、サイト外のレプリケーション パートナーからレプリケートします。



既に説明したように、repadmin /delete コマンドを使用して、特定の操作マスタの役割をホストしているパーティションを含むパートナー ドメイン コントローラへのレプリケーション リンクを削除できます。repadmin /delete コマンドを使用するには、次の手順を実行します。


  1. コマンド プロンプトから、次のように入力します。

    repadmin /showreps /v domain_controller_that_hosts_the_operations_master_role
    現在の操作マスタの役割所有者が操作マスタのパーティションのレプリケート元として使用するドメイン コントローラの名前をメモしておきます。

  2. 操作マスタの役割所有者が操作マスタのパーティションのレプリケート元として使用する各ドメイン コントローラで、次の形式の CNAME レコードの完全修飾名をメモします。

    guid._msdcs.distinguished_name_of_forest_root_domain
    たとえば、Contoso.com フォレストのドメイン コントローラのサンプル CNAME レコードは次のようになります。

    f4a9999b-db8b-4568-ad06-8e6cddb0b284._msdcs.Contoso.com
  3. 操作マスタの役割所有者が操作マスタのパーティションのレプリケート元として使用する各ドメイン コントローラで、repadmin /delete コマンドを使用して、他のすべてのドメイン コントローラからレプリケーション リンクを削除します。たとえば、次のように入力します。

    repadmin /delete naming_context destination_domain_controller GUID-based_DNS_name_of_source_domain_controller /localonly
    たとえば、RID 操作マスタが DC1.Contoso.com に存在する場合に、repadmin /showreps /v と入力すると、次のように出力されます。

    • DC1.Contoso.com “pulls” the DC=Contoso partition from a second domain controller, DC2.Contoso.com (NTDS-DSA object GUID = d140762d-aa9f-4ebe-b373-2a4d7118a394) .
    • DC1.Contoso.com “pulls” the DC=Contoso partition from a third domain controller, DC3.Contoso.com (NTDS-DSA object GUID =f4a9999b-db8b-4568-ad06-8e6cddb0b284).
    • The forest root domain is Contoso.com.
    この場合、DC2 ドメイン コントローラと DC3 ドメイン コントローラからレプリケーション リンクを削除するには、次のコマンドを入力します。

    repadmin /delete cn=schema,cn=configuration,dc=contoso,dc=com dc1 d140762d-aa9f-4ebe-b373-2a4d7118a394._msdcs.contoso.com /localonly
    repadmin /delete cn=schema,cn=configuration,dc=contoso,dc=com dc1 f4a9999b-db8b-4568-ad06-8e6cddb0b284._msdcs.contoso.com /localonly

関連情報

Windows 2000 サポート ツールのインストール方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。


301423 Windows 2000 サポート ツールを Windows 2000 Server ベースのコンピュータにインストールする方法


FSMO の役割の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。


197132 Windows 2000 Active Directory の FSMO 役割
234790 FSMO 役割のホルダの確認方法 (サーバー)
223346 Active Directory ドメイン コントローラ上への FSMO の配置と最適化

Active Directory のレプリケーションを開始する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。


232072 Active Directory ダイレクト複製パートナー間での複製の開始

プロパティ

文書番号:305476 - 最終更新日: 2008/07/20 - リビジョン: 1

フィードバック