Reading Time: 1 minutes
【目次】 連載:ADについて学ぼう
ドメインやフォレスト内には、いくつかの特別な役割を持ったドメインコントローラーが存在しており、このようなドメインコントローラーは、「FSMO」や「操作マスター」と呼ばれます。
*FSMO = Flexible Single Master Operation
ではなぜそのようなドメインコントローラーが必要なのでしょうか?
例えば、複数のドメインコントローラーが存在するドメインで特定のユーザーのパスワードが変更された場合、全てのドメインコントローラーに変更情報が行きわたるまでに時間が掛かる場合があります。すると、変更情報がまだ届いていないドメインコントローラーからユーザーがログオンしようとした場合、パスワードが間違っていると判断され、ユーザーがログオンできないという状態になってしまいます。
このような状況を防ぐため、Active Directoryではパスワードが変更された際、まず特別な役割を持つドメインコントローラーに情報を伝えます。そして、ドメインコントローラーとユーザーの入力した認証情報が異なる場合、特別な役割をもつドメインコントローラーに問い合わせを行うことで、ユーザーがログインできる、という仕組みなのです。
■ 操作マスターの種類と役割
では具体的に特別な役割をもつドメインコントローラーというのが何なのか、ご紹介していきます。
操作マスターには5つの種類があり、さらに以下の2つに分けられます。
1. フォレスト全体で1台必要なもの
2. ドメインごとに1台必要なもの
< スキーママスター >
*「スキーマ」・・Active Directoryドメイン内の各オブジェクトに対するデータ型の定義情報。例えばユーザーアカウントのスキーマならばユーザー名、ログオン名、パスワード等の属性が定義されています。
スキーマは必要に応じて拡張することが可能ですが、この変更を行うことができるのは「Schema Admins」グループに所属するユーザーのみです。スキーマを変更できるドメインコントローラーは、フォレストで1台のみとなります。そしてこのスキーマの原本をもつドメインコントローラーを「スキーママスター」と呼びます。
< ドメイン名前付けマスター >
ドメインを追加したり削除したりする際に必要となるドメインコントローラーです。ドメインの追加、削除の際には必ずドメイン名前付けマスターと通信ができる状況である必要があります。
< RIDマスター >
RIDマスターではSIDを構成するために必要な「RID」情報を保持しているドメインコントローラーです。SIDは「ドメインSID + RID」で構成されており、どのドメインのどのオブジェクトかという情報を表します。
ドメインSID:ドメインを表すSID ※同一ドメインに所属するオブジェクトは同じIDを保持します。
RID:各オブジェクトが持つ一意のID
RIDはあらかじめドメイン内の各ドメインコントローラーに割り当てられており、この範囲のことを「RIDプール」といいます。各ドメインコントローラーは割り当てられたRIDプールを使い切るとRIDマスターに新しいRIDを要求します。この際RIDマスターがダウンしていると、SID情報を保持するオブジェクト(セキュリティプリンシパル)を作成することができなくなります。
< PDCエミュレーター >
アカウントのパスワードやロックアウト情報を管理しているドメインコントローラーです。このPDCエミュレーターこそが冒頭にご紹介した例で、必要となる操作マスターです。パスワードの変更の際、まず最初にPDCエミュレーターに情報が伝えられます。そして、ユーザーがドメインにログオンする際、認証情報が一致しなかった場合、ドメインコントローラーはPDCエミュレーターに問い合わせを行い、最新の情報を取得します。
またPDCエミュレーターは以下の役割も持っており、ドメイン間の整合性を保つためには必要不可欠な存在なのです。
● GPOの管理
● 他のドメインコントローラーとの時刻同期
< インフラストラクチャマスター >
ドメイン内のユーザーやコンピューターと、グループアカウントのメンバー情報とのマッピング情報を保持しています。例えば、グループのメンバーや名前が変更された場合、この変更はインフラストラクチャマスターを通してドメイン内の他のドメインコントローラーに伝達されます。
フォレスト内に複数のドメインが存在する場合、インフラストラクチャマスターとグローバルカタログサーバーの役割を同一のドメインコントローラーに持たせないでください。
インフラストラクチャマスターはオブジェクトの参照を更新する役割もあり、この際にはグローバルカタログサーバーのデータと比較してデータが古かった場合、グローバルカタログサーバーに更新を要求し、最新のデータを受け取ります。そして、更新データを受け取ると、ドメイン内のほかのドメインコントローラーにレプリケーションします。
そのため、インフラストラクチャマスターとグローバルカタログサーバーの役割を同一のドメインコントローラーに持たせてしまうと、常に情報が最新のものだと認識されてしまい、レプリケーションを行わなくなってしまうのです。
以上が各操作マスターのご紹介になります。少しでも操作マスターについてご理解いただければ幸いです。次回は、操作マスターの確認方法についてご紹介していきたいと思います。
<< 応用編(2) ダイナミックアクセス制御と設定方法
>> 応用編(4) Active DirectoryのFSMOとは?[2]
関連ホワイトペーパーのご紹介
Active Directory 特権アクセスに対するセキュリティ対策ソリューション
Active Directoryの特権アカウントに対するセキュリティを向上させるためには、どこに注意し、どう対策をとるべきかを多方面から解説しています。特権アカウントに対するセキュリティを向上させたいという方、特権アカウントに対するコントロール不足を課題に感じている方に特におすすめです。
▼▼ダウンロードはこちら ▼▼
特権アクセスに対するセキュリティ対策ソリューション
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。