操作マスタの役割(柔軟な単一マスタ操作-FSMO)
操作マスターの役割(柔軟な単一マスター操作、またはFSMOとも呼ばれます)は、Active Directoryドメイン内の1つ以上のドメインコントローラーに割り当てられる特別な役割
Active Directoryは、ドメイン内のすべてのドメインコントローラ間でディレクトリデータストアのマルチマスタレプリケーションをサポートします。 したがって、ドメイン内のすべてのドメインコントローラは、本質的にピアと見なされます。 ただし、レプリケーションの競合はActive Directoryレプリケーション中に発生します。 Windows Server2003Active Directoryで発生する一部の操作は、競合が発生した場合に有害である可能性があります。 これらの操作の場合、Windows2003はシングルマスターモデルの使用に戻ります。 つまり、ネットワーク上の単一のドメインコントローラが特定のタスクを実行する責任を負い、これらのドメインコントローラは操作マスターと呼ばれま
操作マスターの役割は五つあり、そのうちの二つはフォレストレベルの役割であり、そのうちの三つはドメインレベルの役割です。 次の表に、操作マスターの役割とその範囲を示します。
操作マスター |
スコープ |
スキーママスター |
フォレストワイド |
ドメイン名マスター |
フォレストワイド |
プライマリドメインコントローラ(PDC)エミュレータ |
ドメインワイド |
相対識別子(RID)マスター |
ドメインワイド |
インフラストラクチャマスター |
ドメインワイド |
スキーママスター
Active Directoryスキーマは、ディレクトリ内に存在できるものを定義します。 新しいオブジェクトと属性を使用して更新するプロセスを管理するには、厳密に監視されたプロセスを使用する必要があります。 Windows Server2003ネットワーク上には、スキーママスターに格納されているスキーマの読み取り/書き込みコピーが1つだけあります。
スキーママスタロールが割り当てられたドメインコントローラは、スキーマに対するすべての更新と変更を制御します。 フォレストのスキーマを更新するには、スキーママスターにアクセスできる必要があります。
フォレスト全体には、いつでも単一のスキーママスターしかありません。
ドメイン命名マスター
AD内のすべてのオブジェクトは一意でなければなりません。 同じ名前のコンテナに2つのオブジェクトを作成することはできず、すべてのオブジェクトの識別名はすべて一意でなければなりません。 ドメイン名前付けマスターは、Windows Server2003フォレストに追加された新しいドメインに一意の名前が付けられていることを確認します。
いつでもフォレスト全体に単一のドメイン命名マスターしかありません。
PDC(Primary Domain Controller)Emulator
Pdc emulatorは、Active Directoryクライアントソフトウェアがインストールされていないネットワーククライアントにサービスを提供し、ドメイン内のMicrosoft WINDOWS NTバックアップドメインコントローラ(Bdc)にディレクトリの変更をレプリケートします。
ドメインがWindows2003の機能レベルで動作している場合でも、特定のタスクを実行するにはPDCエミュレータが必要です。
PDCエミュレータは、ドメイン内の他のドメインコントローラによって実行されたパスワード変更の優先複製を受信します。
パスワードが最近変更された場合、その変更はドメイン内のすべてのドメインコントローラにレプリケートするのに時間がかかります。 パスワードが間違っているために別のドメインコントローラでログオン認証が失敗した場合、そのドメインコントローラは、ログオン試行を拒否する前に認証要求をPDCエミュレータに転送します。
ドメインごとに単一のPDCエミュレータのみがあります。
相対ID(RID)マスター
セキュリティプリンシパルは、Windows Server2003ネットワーク内でアクセス許可を割り当てることができるActive Directoryオブジェクトです。 セキュリティプリンシパルオブジェクトの例としては、ユーザー、グループ、およびコンピュータがあります。 各セキュリティプリンシパルには、識別できるようにセキュリティ識別子(SID)が割り当てられます。
セキュリティ識別子(SID)は二つのコンポーネントで構成されています。 最初のコンポーネントであるドメインSIDは、ドメイン内のすべてのセキュリティプリンシパルに共通です。 SIDの一意性は、2番目の番号である相対識別子(RID)の追加に由来します。 RIDは、各ドメインコントローラに格納されているRidのプールから割り当てられます。 このプール内のRidは、RIDマスターによって各ドメインコントローラーに割り当てられます。
SIDの形式は次のパターンに従います。S-R-IA-SA-SA-RID。
•SはSID識別子を表します。
•Rはリビジョンを表します。 Windowsによって生成されたすべてのSidは、リビジョンレベル1を使用します。
•iaは発行機関を表します。
•SAはサブ権限を表し、
•RIDは相対ID
典型的なユーザー SIDは次のようになります。S-1-5-21-1683771067-1221355100-624655392-1001.
Ridは、500個のridのブロックで各DCに割り当てられます。 Ridのブロックが使い果たされると、DCはRIDマスターに別のブロックを要求します。 一意性を確保するために、RIDマスターはどのRIDブロックが割り当てられているかを追跡します。
DC上のRIDプールが使い果たされ、RIDマスターが使用できない場合、そのサーバー上にセキュリティプリンシパル(例:ユーザー)を作成することはできません。
ドメインごとに単一のRIDマスターしかありません。
Leave a Reply