現在オフラインです。再接続するためにインターネットの接続を待っています

FSMO 配置と Active Directory のドメイン コント ローラーの最適化

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

この記事は、以前は次の ID で公開されていました: JP223346
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:223346
概要
この資料では、ドメイン内のアクティブ ディレクトリの柔軟な単一マスター (FSMO) の役割を配置し、1 つのドメイン コント ローラー上のフォレストには、最適な操作を実行します。
詳細
特定のドメインおよび企業全体の操作は、マルチ マスター更新を適していないことは、ドメインまたはフォレスト内のドメイン コント ローラー上で実行しなければなりません。シングル マスター、所有者の目的は、既知のターゲットの重要な操作を定義して、競合またはマルチ マスター更新プログラムによって作成することができる待ち時間の防止を。単一の操作マスターは関連の FSMO 役割の所有者がオンライン、検出、および FSMO に依存する操作を実行しているコンピューターがネットワーク上で使用する必要があることです。

Active Directory インストール ウィザード (Dcpromo.exe) の最初のドメインで新しいフォレストを作成すると、ウィザードは 5 つの FSMO の役割を追加します。1 つのドメインを持つフォレストには 5 つの役割をが。Active Directory のインストール ウィザードは、フォレストの各ドメイン内の最初のドメイン コント ローラー 3 つのドメイン全体にわたる役割を追加します。さらに、インフラストラクチャ マスターの役割は、各アプリケーション パーティションの存在します。既定のドメインとドメイン コント ローラーを Windows Server 2003 以降で作成された、フォレスト全体の DNS アプリケーション パーティションが含まれます。次の表は、操作マスターと、それぞれのスコープが表示されます。
FSMO の役割スコープ関数および可用性の要件
スキーマ マスターエンタープライズ
  • 手動およびプログラムによるスキーマの更新を導入するために使用し、Microsoft Exchange、および他の Active Directory ドメイン サービス (AD DS) を使用しているアプリケーションの Windows ADPREP/FORESTPREP によって追加されるこれらの更新が含まれます。
  • スキーマの更新を実行する場合は、オンラインする必要があります。
ドメイン名前付けマスターエンタープライズ
  • 追加して、ドメイン、およびアプリケーションのパーティションをフォレストから削除するを使用します。
  • ドメインとフォレストのアプリケーション パーティションを追加または削除するときに、オンラインする必要があります。
プライマリ ドメイン コント ローラーDomain
  • レプリカ ドメイン コント ローラー上にあるユーザー アカウントとコンピューターのパスワードを変更した場合は、パスワードの更新を受信します。
  • その認証要求を処理するパスワードが一致しませんがレプリカのドメイン コント ローラーが照会されます。
  • 既定のターゲットのドメイン コント ローラーのグループ ポリシーの更新をします。
  • ターゲット ドメイン コント ローラーの書き込み操作を実行するレガシ アプリケーションおよび管理ツールにはいくつかの。
  • オンラインでアクセス可能日 24 時間、週 7 日する必要があります。
削除します。Domain
  • 同じドメインにレプリカ ドメイン コント ローラーに RID プールをアクティブとスタンバイを割り当てます。
  • 提供を求められる、または既存のドメイン コント ローラーが、現在またはスタンバイ RID プールの割り当てを更新する必要がある場合は、ローカル RID プールを取得するには、新しく昇格したドメイン コント ローラーをオンラインにする必要があります。
インフラストラクチャ マスターDomain

アプリケーションのパーティション
  • ドメイン間の参照と、グローバル カタログからのファントムを更新します。詳細については、以下の資料番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
    248047 ファントム、廃棄およびインフラストラクチャ マスター
  • 各アプリケーション パーティションが Windows Server 2003 およびそれ以降のドメイン コント ローラーによって作成された既定のフォレスト全体およびドメイン全体のアプリケーション パーティションを含む別のインフラストラクチャ マスターが作成されます。

    Windows Server 2008 R2 の ADPREP/RODCPREP コマンド ターゲットは、インフラストラクチャ マスターの役割をフォレストのルート ドメイン内の既定の DNS アプリケーションです。この役割の所有者の DN パスは CN = DC のインフラストラクチャ、DomainDnsZones, DC = =<forest root="" domain="">、DC =<top level="" domain=""> cn インフラストラクチャ, DC = ForestDnsZones, DC = =<forest root="" domain="">、DC =<top level="" domain="">.</top> </forest> </top> </forest>

FSMO の可用性、および配置

Active Directory のインストール ウィザードはドメイン コント ローラーの役割の初期配置を実行します。この配置は、いくつかのドメイン コント ローラーが存在するディレクトリを頻繁に正しいです。多くのドメイン コント ローラーは、ディレクトリに、デフォルトの配置がネットワークの最適なをできない場合があります。

選択条件には、次を考慮します。
  • 追跡する FSMO 役割を少数のコンピューター上でホストする場合は、簡単です。
  • 完全にはルーティングされていないネットワークでは特に、特定の役割へのアクセスを必要とするコンピューターで場所であるドメイン コント ローラーの役割にアクセスできます。たとえば、スタンバイまたは現在の RID プールを取得またはパススルー認証を実行するには、すべての Dc、それぞれのドメインで RID と PDC の役割所有者へのアクセスをネットワークする必要があります。
  • 場合は、別のドメイン コント ローラーに移動すると、役割は、現在の役割の所有者がオンラインで利用可能なと、転送する必要があります (強制) を新しいドメイン コント ローラーの役割。FSMO の役割は、現在の役割保有者を利用できない場合だけ強制する必要があります。詳細については、次のマイクロソフト web サイトに移動してください。
  • エラー状態またはオフラインになっているドメイン コント ローラーに割り当てられている FSMO の役割を転送または強制の役割に依存する操作を実行している場合にだけあります。場合は、役割の所有者が可能運用役割が必要とする前に、役割の強制移動を遅れる可能性があります。役割の可用性が重要な場合は、転送したり、必要に応じて、役割を強制します。各ドメインの PDC の役割は、常にオンラインです。
  • サイト内の直接のレプリケーション パートナーのスタンバイの役割の所有者として機能する既存の役割の所有者を選択します。プライマリ所有者がオフラインになる、障害が発生した場合は、転送したり、指定されたスタンバイ FSMO ドメイン コント ローラーに必要に応じて、役割を強制します。

FSMO を配置するための一般的な推奨事項

  • スキーマ マスターは、フォレスト ルート ドメインの PDC 上に配置します。
  • ドメイン名前付けマスターはフォレストのルート PDC 上に配置します。

    追加または削除ドメインの厳しく制御された操作にする必要があります。この役割は、フォレスト ルートの PDC 上に配置します。作成またはドメインおよびアプリケーション パーティションを削除するなど、ドメイン名前付けマスターが使用する特定の操作は、ドメイン名前付けマスターが使用できない場合に失敗します。Microsoft Windows 2000 を実行しているドメイン コント ローラーでグローバル カタログ サーバーに、ドメイン名前付けマスターをホストすることもする必要があります。、Windows Server 2003 またはそれ以降のバージョンを実行しているドメイン コント ローラーは、ドメイン名前付けマスターは、グローバル カタログ サーバーを使用するがありません。
  • PDC は、同じ Active Directory サイトおよびドメインにレプリカ ドメイン コント ローラーが含まれる信頼性のあるハブ サイトに最適なハードウェア上に配置します。

    大規模またはビジー状態である環境では、PDC 頻繁が高い CPU 使用率が、パススルー認証とパスワードの更新を処理するため。高い CPU 使用率が、問題と、ソースを識別するためのアプリケーションやコンピューターを (推移的に)、PDC を対象とした多数の操作を実行することがありますが含まれます。CPU を削減する方法は次のとおりです。
    • 多くのまたはより高速な Cpu を追加します。
    • 追加のレプリカを追加します。
    • Active Directory オブジェクトをキャッシュに追加のメモリを追加します。
    • グローバル カタログ参照を避けるために、グローバル カタログを削除します。
    • 着信および発信のレプリケーション パートナーの数を減らす
    • レプリケーション スケジュールを増やす
    • LDAPSRVWEIGHT と LDAPPRIORITY、および Randomize1CList 機能に記載されているを使用して認証の可視性を減らす 231305.
    アプリケーションは PDC を対象に管理ツールを実行しているコンピューターで、特定のドメインのすべてのドメイン コント ローラー、ドメインの PDC にネットワーク接続が必要です。
  • RID マスターは、ドメインが同じドメイン内の PDC 上に配置します。

    RID マスター オーバーヘッドは、光、特に成熟したドメインのユーザー、コンピューター、およびグループの大半を既に作成しています。通常、ドメインの PDC の管理者から最も注意を受け取ります。したがって、PDC 上でこの役割の配置により信頼性の高い可用性を確保します。既存のドメイン コント ローラーを新しく昇格したドメイン コント ローラー、特にリモートまたはステージング サイトでは、昇格をアクティブとスタンバイの RID プール RID マスターからに取得するには、ネットワーク接続があることを確認します。
  • 従来のガイダンス、非グローバル カタログ サーバー上で、インフラストラクチャ マスターを配置することをお勧めします。2 つの規則を考慮する必要があります。
    • 単一ドメインのフォレスト

      1 つの Active Directory ドメインを含むフォレストでは、ファントムはありません。したがって、作業を行うには、インフラストラクチャ マスターがないです。かどうかをドメイン コント ローラーは、グローバル カタログをホストのかどうかに関係なく、ドメイン内の任意のドメイン コント ローラーにインフラストラクチャ マスターを配置することがあります。
    • マルチ ドメインのフォレスト

      場合は、マルチ ドメインの一部であるドメイン内のすべてのドメイン コント ローラー、グローバル カタログをホストして、ファントムまたは、インフラストラクチャ マスターが実行する作業はありません。インフラストラクチャ マスターは、そのドメイン内の任意のドメイン コント ローラー上に配置できます。実際には、ほとんどの管理者は、フォレスト内のすべてのドメイン コント ローラーでグローバル カタログをホストします。
    • 場合は、特定のドメイン、マルチ ドメイン フォレストに配置されているすべてのドメイン コント ローラーがグローバル カタログをホストしていない、グローバル カタログをホストしないドメイン コント ローラーにインフラストラクチャ マスターを配置しなければなりません。
関連情報
詳細についてを参照してください。 Windows サーバー クラスター ノードをドメイン コント ローラーとして使用する方法.

Microsoft TechNet の操作マスターの役割についての記事


248047 ファントム、廃棄およびインフラストラクチャ マスター
949257 Windows Server 2008 で、「Adprep/rodcprep」コマンドを実行すると、エラー メッセージ:"Adprep は DC パーティション レプリカをアクセスできませんでした DomainDnsZones, DC = Contoso, DC = com ="

1586、NTDS 複製イベントは、特定のドメインの PDC FSMO の役割を強制または、以前の役割保有者の直接のレプリケーション パートナーを新しいドメイン コント ローラーに転送されたときに発生します。

警告: この記事は自動翻訳されています

プロパティ

文書番号:223346 - 最終更新日: 11/01/2013 05:54:00 - リビジョン: 3.0

Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2008 R2 Standard, Windows Server 2008 Standard, Microsoft Windows Server 2003 R2 Standard x64 Edition, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Server, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Preview, Windows Server 2012 R2 Standard

  • kbenv kbinfo kbmt KB223346 KbMtja
フィードバック