次の方法で共有

Active Directory ドメイン コントローラーでの FSMO の配置と最適化

  • [アーティクル]

特定の操作は、1 つのドメイン コントローラーで行うのが最適です。 この記事では、これらの操作に対する Active Directory フレキシブル シングルマスター操作 (FSMO) ロールのドメインとフォレストへの配置について説明します。

元の KB 番号: 223346

詳細

特定のドメインおよびエンタープライズ全体の操作は、マルチマスター更新には適していません。 このような状況では、操作は、ドメインまたはフォレスト内の 1 つのドメイン コントローラーで行う必要があります。 シングルマスター所有者が重要な操作の既知のターゲットを定義し、マルチマスター更新によって作成される可能性のある競合や待機時間を防ぎます。 これは、関連する FSMO ロールの所有者が、FSMO に依存する操作を実行する必要があるコンピューターによって、ネットワーク上でオンライン、検出可能、および使用可能である必要があることを意味します。

Active Directory インストール ウィザード (Dcpromo.exe) が新しいフォレストに最初のドメインを作成すると、ウィザードによって 5 つの FSMO ロールが追加されます。 1 つのドメインを持つフォレストには、5 つのロールがあります。 Active Directory インストール ウィザードは、フォレスト内の各追加ドメインの最初のドメイン コントローラーに 3 つのドメイン全体の役割を追加します。 さらに、インフラストラクチャ マスター ロールは、アプリケーション パーティションごとに存在します。 これには、Windows Server 2003 以降のドメイン コントローラーで作成される既定のドメインとフォレスト全体の DNS アプリケーション パーティションが含まれます。 操作マスターとそのスコープを次の表に示します。

FSMO ロール 範囲 機能と可用性の要件
スキーマ マスター Enterprise - 手動およびプログラムによるスキーマ更新を導入するために使用されます。 これには、Windows ADPREP /FORESTPREP、Microsoft Exchange、および Active Directory ドメイン Services (AD DS) を使用する他のアプリケーションによって追加された更新プログラムが含まれます。
- スキーマの更新が実行されるときにオンラインである必要があります。
ドメイン名前付けマスター Enterprise - フォレストとの間でドメインとアプリケーション パーティションを追加および削除するために使用されます。
- フォレスト内のドメインとアプリケーション パーティションを追加または削除する場合は、オンラインである必要があります。
プライマリ ドメイン コントローラー [ドメイン] - コンピューターとレプリカ ドメイン コントローラー上のユーザー アカウントのパスワードが変更されたときに、パスワードの更新を受け取ります。
- パスワードが一致しない認証要求を処理するレプリカ ドメイン コントローラーによって参照されます。
- グループ ポリシー更新の既定のターゲット ドメイン コントローラー。
- 書き込み可能な操作を実行するレガシ アプリケーションと一部の管理ツールのターゲット ドメイン コントローラー。
- オンラインで、1 日 24 時間、週 7 日アクセスできる必要があります。
RID [ドメイン] - アクティブ RID プールとスタンバイ RID プールを同じドメイン内のレプリカ ドメイン コントローラーに割り当てます。
- 次の状況ではオンラインである必要があります。
  • 新しく昇格されたドメイン コントローラーが、アドバタイズに必要なローカル RID プールを取得する必要がある場合
  • 既存のドメイン コントローラーが現在またはスタンバイの RID プールの割り当てを更新する必要がある場合。
インフラストラクチャ マスタ [ドメイン]

アプリケーション パーティション		 - グローバル カタログからクロスドメイン参照とファントムを更新します。 詳細については、「 Phantoms、tombstones、およびインフラストラクチャ マスター」を参照してください。
- Windows Server 2003 以降のドメイン コントローラーによって作成された既定のフォレスト全体およびドメイン全体のアプリケーション パーティションなど、アプリケーション パーティションごとに個別のインフラストラクチャ マスターが作成されます。

Windows Server 2008 R2 ADPREP /RODCPREP コマンドは、フォレスト ルート ドメイン内の既定の DNS アプリケーションのインフラストラクチャ マスター ロールを対象としています。 このロール所有者の DN パスは次のとおりです。
  • CN=Infrastructure,DC=DomainDnsZones,DC=<forest root domain>,DC=<top level domain>
  • CN=Infrastructure,DC=ForestDnsZones,DC=<forest root domain>,DC=<top level domain>

FSMO の可用性と配置

Active Directory インストール ウィザードは、ドメイン コントローラーに役割を最初に配置します。 この配置は、ドメイン コントローラーが数個しかないディレクトリに対して正しい場合がよくあります。 ドメイン コントローラーが多数あるディレクトリでは、既定の配置がネットワークに最適でない場合があります。

選択基準では、次の要因を考慮してください。

  • 少数のコンピューターで FSMO ロールをホストする方が、簡単に追跡できます。

  • コンピューターがアクセスできるドメイン コントローラーに役割を配置します。この役割は、特定の役割 (特に完全にルーティングされていないネットワーク) にアクセスする必要があります。 たとえば、現在の RID プールまたはスタンバイ RID プールを取得したり、パススルー認証を実行したりするには、すべての DC がそれぞれのドメインの RID および PDC ロール 所有者へのネットワーク アクセスを必要とします。

  • 次の条件下で、新しいドメイン コントローラーにロールを転送 (強制しない) する必要があります。

    • ロールを別のドメイン コントローラーに移動する必要がある
    • 現在のロール所有者がオンラインで使用可能

    FSMO ロールは、現在のロール所有者が使用できない場合にのみ押収する必要があります。 詳細については、「 操作マスター ロールの管理」を参照してください。

  • オフラインまたはエラー状態のドメイン コントローラーに割り当てられた FSMO ロールは、ロールに依存する操作が実行されている場合にのみ転送または押収する必要があります。 ロールが必要になる前にロール所有者を運用可能にできる場合は、ロールの押収を遅らせる可能性があります。 ロールの可用性が重要な場合は、必要に応じてロールを転送または押収します。 各ドメインの PDC ロールは常にオンラインである必要があります。

  • スタンバイ ロール所有者として機能する既存のロール所有者の直接サイト内レプリケーション パートナーを選択します。 プライマリ所有者がオフラインになった場合、または失敗した場合は、必要に応じて、指定されたスタンバイ FSMO ドメイン コントローラーにロールを転送または押収します。

FSMO 配置に関する一般的な推奨事項

  • フォレスト ルート ドメインの PDC にスキーマ マスターを配置します。

  • ドメインの名前付けマスターをフォレスト ルート PDC に配置します。

    ドメインの追加または削除は、厳密に制御された操作である必要があります。 このロールをフォレスト ルート PDC に配置します。 ドメイン名前付けマスターを使用できない場合、ドメイン名前付けマスターを使用する特定の操作は失敗します。 これらの操作には、ドメインとアプリケーション パーティションの作成または削除が含まれます。 Microsoft Windows 2000 を実行するドメイン コントローラーでは、ドメイン名前付けマスターもグローバル カタログ サーバーでホストされている必要があります。 Windows Server 2003 以降のバージョンを実行するドメイン コントローラーでは、ドメイン名前付けマスターをグローバル カタログ サーバーにする必要はありません。

  • 同じ Active Directory サイトとドメイン内のレプリカ ドメイン コントローラーを含む信頼性の高いハブ サイト内の最適なハードウェアに PDC を配置します。

    大規模またはビジー状態の環境では、PDC はパススルー認証とパスワードの更新を処理するため、CPU 使用率が最も高いことが頻繁に発生します。 CPU 使用率の高い問題が発生した場合は、ソースを特定します。 ソースには、PDC を対象とする (推移的に) 多すぎる操作を実行している可能性があるアプリケーションまたはコンピューターが含まれます。 CPU を減らす手法は次のとおりです。

    • CPU の追加時間を増やす、または高速化する
    • レプリカの追加
    • Active Directory オブジェクトをキャッシュするためのメモリの追加
    • グローバル カタログ参照を回避するためのグローバル カタログの削除
    • 受信および送信レプリケーション パートナーの数を減らす
    • レプリケーション スケジュールを増やす
    • LDAPSRVWEIGHT と LDAPPRIORITY を使用し、Randomize1CList 機能を使用して、認証の可視性を低下させます。

    特定のドメイン内のすべてのドメイン コントローラー、および PDC を対象とするアプリケーションと管理ツールを実行するコンピューターは、ドメイン PDC へのネットワーク接続が必要です。

  • RID マスターを同じドメイン内のドメイン PDC に配置します。

    RID マスターのオーバーヘッドは軽く、特に、ユーザー、コンピューター、グループの大部分を既に作成している成熟したドメインでは軽くなります。 通常、ドメイン PDC は管理者から最も注意を引きます。 PDC でこの役割を併置することで、信頼性の高い可用性を確保できます。 既存のドメイン コントローラーと新しく昇格されたドメイン コントローラーに、RID マスター (特にリモートまたはステージング サイトで昇格されたドメイン コントローラー) からアクティブおよびスタンバイ RID プールを取得するためのネットワーク接続があることを確認します。

  • 従来のガイダンスでは、非グローバル カタログ サーバーにインフラストラクチャ マスターを配置する方法が提案されています。 考慮すべき規則は 2 つあります。

    • 単一ドメイン フォレスト:

      1 つの Active Directory ドメインを含むフォレストには、ファントムはありません。 そのため、インフラストラクチャ マスターには実行する作業がありません。 インフラストラクチャ マスターは、そのドメイン コントローラーがグローバル カタログをホストしているかどうかに関係なく、ドメイン内の任意のドメイン コントローラーに配置できます。

    • マルチドメイン フォレスト:

      マルチドメイン フォレストの一部であるドメイン内のすべてのドメイン コントローラーがグローバル カタログもホストしている場合、インフラストラクチャ マスターが行うファントムや作業はありません。 インフラストラクチャ マスターは、そのドメイン内の任意のドメイン コントローラーに配置できます。 実際には、ほとんどの管理者は、フォレスト内のすべてのドメイン コントローラーでグローバル カタログをホストします。

    • マルチドメイン フォレスト内の特定のドメイン内のすべてのドメイン コントローラーがグローバル カタログをホストしていない場合、インフラストラクチャ マスターは、グローバル カタログをホストしていないドメイン コントローラーに配置する必要があります。

関連情報

詳細については、「 Windows Server クラスター ノードをドメイン コントローラーとして使用する方法を参照してください。

Operations Master ロールに関する記事:

NTDS レプリケーション イベント 1586 は、次のいずれかの状況で発生します。

  • 特定のドメインに対する PDC FSMO の役割が押収されました。
  • 特定のドメインの PDC FSMO ロールが、以前のロール所有者の直接レプリケーション パートナーではない新しいドメイン コントローラーに転送されました。