Active Directory ドメイン コントローラーでの FSMO の配置と最適化

  • [アーティクル]

特定の操作は、1 つのドメイン コントローラーで行うのが最適です。 この記事では、これらの操作のドメインとフォレストSingle-Master Active Directory Flexible Single-Master操作 (FSMO) の役割の配置について説明します。

適用対象:  Windows Server 2012 R2
元の KB 番号:   223346

詳細情報

特定のドメインおよびエンタープライズ全体の操作は、マルチマスター更新プログラムに適していない場合があります。 このような場合は、ドメインまたはフォレスト内の 1 つのドメイン コントローラーで操作を実行する必要があります。 単一マスター所有者を持つことは、重要な操作の既知のターゲットを定義し、マルチマスター更新プログラムによって作成される可能性がある競合や遅延を防ぐ。 つまり、関連する FSMO 役割の所有者は、FSMO に依存する操作を実行する必要があるコンピューターによって、オンラインで検出可能で、ネットワーク上で使用できる必要があります。

Active Directory インストール ウィザード (Dcpromo.exe) が新しいフォレストに最初のドメインを作成すると、ウィザードは 5 つの FSMO ロールを追加します。 1 つのドメインを持つフォレストには、5 つの役割があります。 Active Directory インストール ウィザードは、フォレスト内の各追加ドメインの最初のドメイン コントローラーに 3 つのドメイン全体の役割を追加します。 さらに、インフラストラクチャ マスター の役割は、アプリケーション パーティションごとに存在します。 既定のドメインと、サーバー 2003 以降のドメイン コントローラーで作成されるフォレストWindows DNS アプリケーション パーティションが含まれます。 操作マスターとそのスコープを次の表に示します。

FSMO の役割 範囲 機能と可用性の要件
スキーマ マスター 大企業 - 手動およびプログラムによるスキーマ更新を導入するために使用します。 これには、ADPREP /FORESTPREPActive Directory ドメイン サービス (Windows DS) を使用する他のアプリケーションによって、Windows、Microsoft Exchange によって追加される更新プログラムAD含まれます。
- スキーマの更新が実行される場合は、オンラインである必要があります。
ドメイン名前付けマスター 大企業 - フォレストへのドメインとアプリケーション パーティションの追加および削除に使用されます。
- フォレスト内のドメインとアプリケーション パーティションが追加または削除される場合は、オンラインである必要があります。
プライマリ ドメイン コントローラー ドメイン - コンピューターとレプリカ ドメイン コントローラー上のユーザー アカウントのパスワードが変更された場合に、パスワードの更新を受け取ります。
- パスワードが一致しない認証要求をサービスするレプリカ ドメイン コントローラーによって参照されます。
- グループ ポリシー更新プログラムの既定のターゲット ドメイン コントローラー。
- 書き込み可能な操作を実行する従来のアプリケーションと、一部の管理ツールのドメイン コントローラーを対象とします。
- オンラインで、1 日 24 時間、週 7 日アクセス可能である必要があります。
RID ドメイン - アクティブな RID プールとスタンバイ RID プールを、同じドメイン内のレプリカ ドメイン コントローラーに割り当てる。
- 次の状況でオンラインである必要があります。
  • 新しく昇格したドメイン コントローラーが、アドバタイズに必要なローカル RID プールを取得する必要がある場合
  • 既存のドメイン コントローラーが現在またはスタンバイの RID プール割り当てを更新する必要がある場合。
インフラストラクチャ マスター ドメイン

アプリケーション パーティション		 - グローバル カタログからクロスドメイン参照とファントムを更新します。 詳細については、「 Phantoms、tombstones、およびインフラストラクチャ マスター」を参照してください。
- Windows Server 2003 以降のドメイン コントローラーによって作成された既定のフォレスト全体およびドメイン全体のアプリケーション パーティションを含む、アプリケーション パーティションごとに別個のインフラストラクチャ マスターが作成されます。

次Windows Server 2008 R2 ADPREP /RODCPREP コマンドは、フォレスト ルート ドメインの既定の DNS アプリケーションのインフラストラクチャ マスター の役割をターゲットにします。 この役割所有者の DN パスは次の値です。
  • CN=Infrastructure,DC=DomainDnsZones,DC=<forest root domain>,DC=<top level domain>
  • CN=Infrastructure,DC=ForestDnsZones,DC=<forest root domain>,DC=<top level domain>

FSMO の可用性と配置

Active Directory インストール ウィザードは、ドメイン コントローラー上の役割の初期配置を実行します。 この配置は、少数のドメイン コントローラーを持つディレクトリに対してよく正しい配置です。 多くのドメイン コントローラーを持つディレクトリでは、既定の配置がネットワークに最適ではない可能性があります。

選択条件では、次の要素を考慮してください。

  • 少数のコンピューターでホストする場合は、FSMO の役割を追跡する方が簡単です。

  • 特定の役割にアクセスする必要があるコンピューターがアクセスできるドメイン コントローラーに役割を配置します。特に完全にルーティングされていないネットワーク上に役割を配置します。 たとえば、現在またはスタンバイの RID プールを取得したり、パススルー認証を実行したりするには、すべての PC がそれぞれのドメインの RID および PDC 役割所有者へのネットワーク アクセスを必要とします。

  • 次の条件の下で、役割を新しいドメイン コントローラーに転送する (押収しない) 必要があります。

    • 役割を別のドメイン コントローラーに移動する必要があります
    • 現在の役割所有者がオンラインで利用可能

    FSMO の役割は、現在の役割所有者が使用できない場合にのみ押収する必要があります。 詳細については、「 Managing Operations Master Roles」を参照してください

  • オフラインまたはエラー状態のドメイン コントローラーに割り当てられた FSMO の役割は、役割に依存する操作が行われる場合にのみ転送または押収する必要があります。 役割が必要になる前に役割所有者を操作できる場合は、役割の押収を遅らせる可能性があります。 ロールの可用性が重要な場合は、必要に応じてロールを転送または押収します。 各ドメインの PDC ロールは常にオンラインである必要があります。

  • 既存の役割所有者がスタンバイ 役割所有者として機能する直接サイト内レプリケーション パートナーを選択します。 プライマリ所有者がオフラインになるか失敗した場合は、必要に応じて、役割を指定されたスタンバイ FSMO ドメイン コントローラーに転送または押収します。

FSMO の配置に関する一般的な推奨事項

  • スキーマ マスターをフォレスト ルート ドメインの PDC に配置します。

  • ドメイン名前付けマスターをフォレスト ルート PDC に配置します。

    ドメインの追加または削除は、厳しく制御された操作である必要があります。 この役割をフォレスト ルート PDC に配置します。 ドメイン名前付けマスターを使用する特定の操作は、ドメイン名前付けマスターが使用できない場合に失敗します。 これらの操作には、ドメインとアプリケーション パーティションの作成または削除が含まれます。 Microsoft Windows 2000 を実行するドメイン コントローラーでは、ドメイン名前付けマスターもグローバル カタログ サーバーでホストする必要があります。 サーバー 2003 Windows以降のバージョンで実行されるドメイン コントローラーでは、ドメイン名前付けマスターがグローバル カタログ サーバーである必要がなされません。

  • PDC を、同じ Active Directory サイトとドメイン内のレプリカ ドメイン コントローラーを含む信頼性の高いハブ サイトに最適なハードウェアに配置します。

    大きい環境やビジー状態の環境では、パススルー認証とパスワード更新を処理するために、PDC の CPU 使用率が最も高い場合が多い。 CPU 使用率が高い場合は、ソースを特定します。 ソースには、PDC を対象とする操作が多すぎる (推移的に) 実行される可能性があるアプリケーションまたはコンピューターが含まれます。 CPU を削減する方法は次のとおりです。

    • CPU の追加または高速化
    • レプリカの追加
    • Active Directory オブジェクトをキャッシュするためにメモリを追加する
    • グローバル カタログの参照を避けるためのグローバル カタログの削除
    • 着信レプリケーション パートナーと送信レプリケーション パートナーの数を減らす
    • レプリケーション スケジュールの増加
    • LDAPSRVWEIGHT と LDAPPRIORITY を使用し、ランダム化 1CList 機能を使用して認証の可視性を低下します。

    特定のドメイン内のすべてのドメイン コントローラー、および PDC を対象とするアプリケーションと管理ツールを実行するコンピューターには、ドメイン PDC へのネットワーク接続が必要です。

  • 同じドメインのドメイン PDC に RID マスターを配置します。

    RID マスターのオーバーヘッドは軽く、特に既にユーザー、コンピューター、およびグループの大部分を作成している成熟したドメインです。 通常、ドメイン PDC は管理者から最も注意を引きます。 PDC でこの役割を共同検索すると、信頼性の高い可用性を確保できます。 既存のドメイン コントローラーと新しく昇格したドメイン コントローラーに、RID マスター (特にリモート サイトまたはステージング サイトで昇格されたドメイン コントローラー) からアクティブとスタンバイの RID プールを取得するためのネットワーク接続を持っている必要があります。

  • 従来のガイダンスでは、インフラストラクチャ マスターをグローバル以外のカタログ サーバーに配置する方法を示しています。 次の 2 つのルールを考慮する必要があります。

    • 単一ドメイン フォレスト:

      単一の Active Directory ドメインを含むフォレストでは、ファントムはありません。 そのため、インフラストラクチャ マスターには実行する作業はありません。 インフラストラクチャ マスターは、そのドメイン コントローラーがグローバル カタログをホストするかどうかに関して、ドメイン内の任意のドメイン コントローラーに配置できます。

    • マルチドメイン フォレスト:

      複数ドメイン フォレストの一部であるドメイン内のすべてのドメイン コントローラーがグローバル カタログもホストしている場合、ファントムやインフラストラクチャ マスターが実行する作業はありません。 インフラストラクチャ マスターは、そのドメイン内の任意のドメイン コントローラーに置く可能性があります。 実際には、ほとんどの管理者は、フォレスト内のすべてのドメイン コントローラーでグローバル カタログをホストします。

    • 複数ドメイン フォレスト内にある特定のドメイン内のすべてのドメイン コントローラーがグローバル カタログをホストしない場合は、インフラストラクチャ マスターをグローバル カタログをホストしないドメイン コントローラーに配置する必要があります。

関連情報

詳細については、「サーバー クラスター ノードをドメイン コントローラーとしてWindowsする方法」を参照してください

Operations Master の役割に関する記事:

NTDS Replication イベント 1586 は、次のいずれかの状況で発生します。

  • 特定のドメインの PDC FSMO ロールが押収されました。
  • 特定のドメインの PDC FSMO 役割が、以前の役割所有者の直接レプリケーション パートナーではない新しいドメイン コントローラーに転送されました。