SEブログ

【Active Directory】FSMOロールについて

こんにちは!

 

Active Directory(以下略 AD) の FSMO 役割について、纏めてみました。

AD は 5 つからなる役割で構成されており、それぞれが AD の運用に欠かせないものとなっています。

 

 

FSMO の役割

 

スキーママスタ

 

フォレストに 1 つ必要です。

AD のスキーマの(読み書き可能な)コピーを管理します。

スキーマは、オブジェクトである従業員番号や電話番号、メールアドレスやログイン名などを定義しています。

スキーマは拡張できますが、このコピーを管理しているドメインコントローラー(スキーママスタ)が必要になります。

 

 

ドメイン名前付けマスタ

 

フォレストに 1 つ必要です。

同じフォレスト内において、ドメインの追加や削除をする際に必要なドメインコントローラーになります。

ドメインの追加、削除をする際には、ドメイン名前付けマスターと通信します。

 

 

RID マスタ

 

ドメインに 1 つ必要です。

AD にユーザーやグループを作成する際、ドメインコントローラーがそれぞれに対してセキュリティ ID (SID) というものを割り当てます。

よって、AD にあるそれぞれのオブジェクト、例えばユーザーは重複していない、ユニークな SID というものを持っています。

 

SID とは Security Identifier の略で、アルファベットと数字からなり、オブジェクトの プライマリキーとなります。

RID とは Relative Identifier の略で、これらのオブジェクトに対して割り当てられる番号で、SID の番号の一部に格納されています。

 

SID にはドメイン SID が含まれています。つまり SID = ドメイン SID + RID で構成されています。

この RID の情報を持っているドメインコントローラーが RID マスターになります。

 

SID の構成になります。どこからどこまでがドメイン SID で、ユーザー RID かが分かります。

 

 

ユーザーアカウントの SID を出してみました。RID は 1104 で発行されています。

ユーザーアカウントの RID を 1000 から発行した場合、次のユーザーの RID は 1001, 1002, 1003 … と採番されます。

 

 

ビルトイン Administrator アカウントの RID は 500 になります。固定です。

 

 

 

PDC エミュレータ

 

ドメインに 1 つ必要です。

ユーザーの認証リクエストやユーザーのパスワードの変更、グループポリシーの管理や時刻管理をしています。

 

例えばパスワードの変更の際、まず最初に PDCエミュレーター に情報が伝えられます。

また、ユーザーがドメインにログオンする際にパスワードが異なっている場合、ドメインコントローラーは PDC エミュレーターに問い合わせを行い、最新の情報を取得します。

 

 

 

インフラストラクチャーマスター

 

ドメインに 1 つ必要です。

ドメイン内のオブジェクトの情報、例えばユーザーやグループの関連付けを持っています。

 

グループのメンバーや名前が変更されると、インフラストラクチャーマスターを通してドメイン内の他のグローバルカタログサーバー(またはドメインコントローラー)にオブジェクトが伝達されます。

つまり、グローバルカタログサーバー同士でデータを比較して、一部のグローバルカタログサーバーが持っているデータが古いと、インフラストラクチャマスターが更新を要求し、最新のデーターを受け取り、グローバルカタログサーバーに最新の情報を保つために同期します。

 

全てのドメインコントローラーがグローバルカタログサーバーの機能を持っている場合は、レプリケーションが機能していれば最新の情報を持ちます。

 

 

 

以上、シンプルすぎるかもしれませんが、簡易的に纏めると以下のようになりました。

 

役割 フォレスト or ドメイン 単位 説明
スキーママスタ フォレスト  AD のスキーマの(読み書き可能な)コピーを管理する。
ドメイン名前付けマスタ フォレスト  ドメインの追加や削除をする際に必要。
RID マスタ ドメイン  SID 内にある RID の情報を管理する為に必要。
PDC エミュレータ ドメイン  ユーザーの認証リクエストやパスワードの変更、グループポリシーの管理や時刻管理をする。
インフラストラクチャーマスター ドメイン  グローバルカタログーサーバー間で最新の情報を同期する為に必要。

 

FSMO の確認方法

 

FSMO の役割がどのドメインコントローラーに割り当てられているかを確認するには以下のコマンドを使います。

 

C:\Users\Administrator> netdom query fsmo

 

 

 

いかがでしょうか。

 

FSMO の役割はドメインコントローラーの追加や移行の際に必要となります。

また、これを理解するとドメインコントローラーのトラブルシューティングの際にも役に立つかと思います。

例えば、PDC エミューレーターの場合ですと、ユーザーのパスワードが正しいのにも関わらずログインできないといったケースの場合において考えられます。

 

 

では最後までお読みいただきありがとうございました!