FSMOとは?Active Directoryの役割分担の仕組み
FSMO(Flexible Single Master Operations)は、Active Directory環境において特定の重要な機能を単一のドメインコントローラーに割り当てる役割分担の仕組みです。
これにより、スキーマの変更やドメインの追加などの操作が一元管理され、ディレクトリの整合性と安定性が維持されます。
主要なFSMO役割にはスキーママスター、ドメイン名マスター、RIDマスター、インフラストラクチャマスター、PDCエミュレーターがあり、それぞれが特定の機能を担当し、Active Directory全体の運用を効率化します。
FSMOの概要
FSMO(Flexible Single Master Operations)は、MicrosoftのActive Directory環境において特定の重要な役割を担うサーバー(ドメインコントローラー)のことを指します。
Active Directoryは分散型のデータベースシステムですが、FSMOは特定の操作を一元管理することで、ディレクトリの整合性と効率的な運用を確保します。
FSMOは五つの主要な役割に分かれており、それぞれが特定のタスクを担当しています。
FSMO役割には以下のようなものがあります:
- スキーママスター:Active Directoryのスキーマを管理し、スキーマの変更を一元的に行います。
- ドメイン名マスター:ドメイン名の追加や削除など、ドメインの名前に関する操作を統括します。
- RIDマスター:相対識別子(RID)の割り当てを管理し、新しいオブジェクトが作成される際に一意の識別子を提供します。
- PDCエミュレーター:プライマリドメインコントローラーとして、互換性のための機能を提供し、パスワードの変更やアカウントロックアウトの処理を行います。
- インフラストラクチャマスター:オブジェクトの参照情報を更新し、異なるドメイン間でのオブジェクトの関係を維持します。
これらの役割は、Active Directoryの運用において重要な機能を果たし、ネットワーク全体の安定性と信頼性を支える基盤となっています。
各FSMO役割の詳細
スキーママスター
スキーママスターは、Active Directoryスキーマの管理を担当します。
スキーマはディレクトリ内で扱われるすべてのオブジェクトの定義や属性を規定する重要なものです。
スキーマの変更は一度にすべてのドメインコントローラーに反映される必要があるため、スキーママスターはその中央管理者として機能します。
スキーマの拡張や修正は、この役割を持つドメインコントローラー上でのみ実行可能です。
ドメイン名マスター
ドメイン名マスターは、フォレスト内のドメイン名の追加、削除、変更を管理します。
一意のドメイン名の確保と、名前の競合を防ぐために重要な役割を担います。
この役割が正常に機能しない場合、新しいドメインの追加や既存ドメインの移行が困難になる可能性があります。
RIDマスター
RIDマスターは、Relative Identifier(相対識別子)の割り当てを管理します。
新しいオブジェクトが作成される際に、一意の識別子を提供するために必要です。
RIDプールの管理を通じて、各ドメインコントローラーが重複しないIDを持つことを保証します。
RIDプールが枯渇すると、新しいオブジェクトの作成が不可能になるため、RIDマスターの適切な運用が不可欠です。
PDCエミュレーター
PDCエミュレーターは、レガシーシステムとの互換性を維持し、パスワード変更やアカウントロックアウトの処理を迅速に行います。
また、時間の同期を管理し、クライアントとドメインコントローラー間の時間差を最小限に抑える役割も担います。
これにより、ユーザー認証やリソースアクセスの信頼性が向上します。
インフラストラクチャマスター
インフラストラクチャマスターは、異なるドメイン間でのオブジェクト参照情報の更新を管理します。
具体的には、オブジェクトが移動または名称変更された際に、その参照情報を維持します。
他のFSMO役割とは異なり、インフラストラクチャマスターは複数のドメイン間での一貫性を保つために重要です。
Active Directoryにおける役割分担
Active Directoryは、単一のディレクトリサービスとして機能する一方で、複数のドメインやサイトにまたがる大規模なネットワーク環境でも効果的に運用できます。
そのためには、FSMO役割を適切に分担し、管理することが不可欠です。
フォレストレベルの役割
スキーママスターとドメイン名マスターはフォレスト全体に対して一つずつ存在します。
これらの役割は、フォレスト全体のスキーマやドメインの命名に関わるため、重複を避けるために一本化されています。
通常、フォレスト内の中央に位置する信頼性の高いドメインコントローラーに配置されます。
ドメインレベルの役割
RIDマスター、PDCエミュレーター、インフラストラクチャマスターは各ドメインごとに一つずつ存在します。
これにより、各ドメインが独立してオブジェクトの管理や認証処理を行うことが可能になります。
特に大規模なネットワークでは、各ドメインに適切に役割を分担することで、負荷分散と故障耐性を向上させることができます。
ドメインコントローラーの配置
FSMO役割は、通常、信頼性が高く、ネットワークの中心に近いドメインコントローラーに配置されます。
また、役割を配置する際には、地理的な分散やネットワークの冗長性も考慮する必要があります。
これにより、特定のドメインコントローラーが故障しても、他のコントローラーが役割を引き継ぐことで全体の運用に影響を与えないようにします。
FSMOの管理と運用方法
FSMO役割の適切な管理と運用は、Active Directoryの安定性と信頼性を維持するために重要です。
以下に、その管理方法と運用上のポイントを説明します。
役割の確認
まず、現在のFSMO役割の所有者を確認することが必要です。
これは、ntdsutilツールやActive Directoryの管理コンソールを使用して行うことができます。
例えば、PowerShellを使用して確認する場合は以下のコマンドを使用します:
Get-ADForest | Select-Object SchemaMaster, DomainNamingMaster
Get-ADDomain | Select-Object RIDMaster, PDCEmulator, InfrastructureMaster役割の移行
役割を持つドメインコントローラーを変更する必要がある場合、以下の手順で移行を行います:
- 前提準備:移行先となるドメインコントローラーが正常に動作していることを確認します。
- 役割の移行:管理コンソールや
ntdsutilを使用して役割を移行します。 - 確認:移行が正常に完了したことを確認します。
役割の回復(シーズ)
FSMO役割を持つドメインコントローラーが故障し、役割の移行が困難な場合、役割を“シーズ”(奪取)する必要があります。
シーズはあくまで緊急時の手段であり、以下の手順で実行します:
- 前提準備:故障したドメインコントローラーをネットワークから切り離します。
- シーズの実行:
ntdsutilやPowerShellを使用して、必要なFSMO役割を新しいドメインコントローラーにシーズします。 - 後処理:シーズ後、ドメイン内の他のドメインコントローラーと正しく同期されているか確認します。
役割の分散と冗長化
FSMO役割を複数のドメインコントローラー間で適切に分散することで、単一障害点を避け、ネットワークの冗長性を高めることができます。
特に大規模な環境では、役割を地理的に分散させることで、異常発生時の影響範囲を限定することが可能です。
定期的なモニタリング
FSMO役割の状態を定期的にモニタリングし、問題が発生した際には迅速に対応できる体制を整えることが重要です。
監視ツールやスクリプトを用いて、役割の健全性や所有者のステータスをチェックし、異常が検出された場合には速やかに対策を講じます。
ドキュメントの整備
FSMO役割の配置状況や変更履歴を詳細にドキュメント化しておくことで、トラブルシューティングや将来的な拡張時に役立てることができます。
役割の所在や移行手順、シーズ方法などを明確に記録しておくことが推奨されます。
FSMOの適切な管理と運用は、Active Directoryの健全な機能を維持するための基盤です。
定期的なチェックと適切な対応を行うことで、ネットワーク全体の安定性と信頼性を確保しましょう。
まとめ
本記事では、Active DirectoryにおけるFSMOの役割とその管理方法について詳しく解説しました。
FSMOは、ディレクトリサービスの整合性を維持し、効率的な運用を支える重要な役割を担っています。
これらの役割を正しく理解し、適切に管理することで、ネットワーク全体の安定性と信頼性を確保することが可能です。
今後、自社のActive Directory環境を最適化するために、FSMOの管理と運用に注力してみてください。