Windows管理者は、Active Directoryの管理において最も重要な側面の一つが、サーバーが果たすべき様々な役割を理解することであることをご存じです。以前、Active Directoryにおける5つのFSMO(Flexible Single Master Operations)の役割について説明しました。今回は、フォレストとドメインにおけるこれらの役割の配置について説明し、これらの役割を他のドメインコントローラー(転送または強制)に移動する方法を説明します。
ネットワークへのFSMOの役割の配置
最初の記事で述べたように、フォレストレベルの2つの役割(スキーママスターとドメイン名前付けマスター)は、フォレスト内の最初のドメインコントローラーに既定でインストールされます。ドメインレベルの3つの役割(RIDマスター、PDCエミュレーター、インフラストラクチャマスター)はすべて、ドメイン内の最初のドメインコントローラーに既定でインストールされます。
ドメインが1つしかない小規模オフィスでは、5つの役割すべてが1つのドメインコントローラーに存在する可能性が非常に高くなります。しかし、大規模なエンタープライズネットワークでは、そのような状況は避けるべきです。フォレストレベルの2つの役割をそれぞれ専用のドメインコントローラーに配置し、ドメインレベルの役割はそれらとは別にするのが最善です。役割を複数のドメインコントローラーにインストールする場合は、それらのDCをレプリケーションパートナーにする必要があります。
同時に、グローバルカタログをホストするドメインコントローラーも無視できません。ドメイン名前付けマスターは、グローバルカタログをホストするDCに配置する必要があることに注意してください。さらに、インフラストラクチャマスターは、グローバルカタログをホストするDCに配置してはいけません。(唯一の例外は、すべてのDCがグローバルカタログサーバーである場合ですが、エンタープライズネットワークではこのような状況は避けるべきです。)FSMOの役割を配置する方法は数多くあります。図Aにその一例を示します。
| 図A |
 |
役割の移行
FSMO の役割をある DC から別の DC に移動する主な理由は 2 つあります。1 つは、意図的であることです。つまり、1 つ以上の FSMO の役割を持つサーバーの使用停止など、何らかの理由で移動が計画されている場合です。計画的な移動を実行することを、役割の移行と呼びます。
役割を移動するもう一つの理由は、どうしても必要な場合です。例えば、1つ以上のFSMO役割を持つサーバーで重大なハードウェア障害が発生した場合、役割を移動せざるを得なくなることがあります。計画外の移動は、役割の強制執行と呼ばれます。どうしても必要な場合を除き、役割を強制執行してはいけません。
ロールの譲渡は、グラフィカル ユーザー インターフェイス (GUI) またはコマンド ライン インターフェイス (CLI) のいずれかを介して実行できますが、ロールの取得はコマンド ライン経由でのみ実行できます。
GUI または CLI のどちらを使用しても、ロールの移動は次の 2 つの手順で実行されます。
- ドメインコントローラに接続する
- 役割を譲渡または奪取する
まずGUIを使ってロールを移行する方法を見てみましょう。その後、CLIを使って移行する方法を説明します。
GUIを使用して
ドメインレベルの役割を変更するには、「スタート」→「管理ツール」→「Active Directory ユーザーとコンピューター」をクリックします。次に、図Bに示すように、ドメインを右クリックし、「ドメインコントローラーに接続…」を選択します。
| 図B |
 |
次に、接続する DC を指定できるダイアログ ボックスが表示されます (図 Cを参照)。
| 図C |
 |
役割を転送するドメイン コントローラーに接続したら、ドメインをもう一度右クリックし、[操作マスター...] を選択します。図 Dに示すダイアログ ボックスが表示されます。
| 図D |
 |
このダイアログボックスでは、既にそのDCに接続している場合、ドメインレベルの役割をあるDCから別のDCに転送できます。DCに接続していない場合は、両方のボックスに同じ名前が表示されます。フォレストレベルの役割を変更するには、[スタート] | [管理ツール] | [Active Directoryドメインと信頼関係] をクリックします。
次に、図 Eに示すように、[ドメインと信頼関係] を右クリックし、[ドメイン コントローラーに接続] を選択します。
| 図E |
 |
他の DC に接続したら、[Active Directory ドメインと信頼関係] をもう一度右クリックし、[操作マスター] を選択します。これにより、ドメイン レベルの役割を転送するために使用したのと同様のダイアログボックスが表示されます (図 Fを参照)。
| 図F |
 |
コマンドラインインターフェースの使用
Active Directory診断ツール(ntdsutil.exe)を使用すると、これらの操作はすべてコマンドラインから実行できます。このツールは対話型で、起動すると複数のサブメニューが表示されます。今回は役割の譲渡と取得について説明しているので、「役割」サブメニューを使用します。
これを行うには、コマンドラインで「ntdsutil」と入力します。すると、プロンプトがメニューの現在のレベルに応じて変わります。この場合、「ntdsutil」プロンプトで「roles」と入力します。すると、コマンドプロンプトがFSMOメンテナンスに変わります(下の図Gを参照)。
「ロール」サブメニューから使用できるコマンドは次のとおりです。
- 接続
- ドメイン名の命名マスターを獲得
- インフラマスターを掌握する
- PDCを押収する
- RIDマスターを押収する
- スキーママスターをつかむ
- 操作対象を選択
- ドメインネーミングマスターの移管
- 転送インフラストラクチャマスター
- 転送PDC
- RIDマスターの転送
- 転送スキーママスター
図 G は、ツールを使用して別のドメイン コントローラーに接続する方法を示しています。
| 図G |
 |
図 H は、 ntdsutil を使用して役割を転送する方法を示しています。
| 図H |
 |
役割の
強制移行は、元のDCがネットワーク上で稼働している場合にのみ実行できます。単一の操作マスター役割をホストしているドメインコントローラーが(壊滅的な障害などにより)利用できなくなった場合、その役割を別のドメインコントローラーに転送することはできません。その場合は、役割を強制移行することで、その役割を別のDCに移動できます。
役割の強制は、ntdsutil.exe を使用したコマンドラインインターフェースからのみ実行できます。FSMO 役割の強制については、以下の 2 つの点に留意することが非常に重要です。
- 最後の手段でない限り、役割を奪取しないでください。役割をホストしているDCが一時的にダウンするだけであれば、心配する必要はありません。ネットワークはしばらくの間はDCがなくても動作します。
- スキーマ マスター、ドメイン名前付けマスター、または RID マスターの役割のいずれかがドメイン コントローラーから押収された場合、そのドメイン コントローラーがオンラインに戻らないようにする必要があります。
FSMOの役割を真剣に考えましょう。Active
Directoryを使用するネットワークはまだ比較的新しいため、これまで管理者がFSMOの役割についてあまり意識する必要はほとんどありませんでした。しかし、ネットワークが老朽化し、サーバーの交換時期が来ると、それらの役割の整合性を維持するために細心の注意を払う必要があります。いずれ、FSMOの役割をホストしているドメインコントローラーを交換する必要が出てきます。管理者は、役割がどこに配置されているか、計画的な停止が発生した場合に役割を転送する方法、または計画外の停止が発生した場合に役割を強制的に取得する方法を理解しておく必要があります。
