第7回 操作マスター【MicrosoftのMVP解説！第二弾 Active Directoryのハウツー読本】

これまでのコラムでは、ドメインコントローラーの展開方法や複製のしくみについて解説してきました。複数台のドメインコントローラーを展開することで、Active Directoryデータベースの内容は複製され、どのドメインコントローラーからもデータベースに対して変更することができます。しかし、Active Directoryには操作マスターと呼ばれる特別な権限があり、その操作マスターが割り当てられたドメインコントローラーだけが実行できる操作が存在します。今回のコラムでは、その操作マスターについて解説します。

■ 操作マスターとは

操作マスターとは、特定の1台のドメインコントローラーだけに割り当てられる「特別な権限の総称」です。操作マスターは、その特性からFSMO(Flexible Single Master Operation)と呼ばれることもあります。操作マスターには全部で5種類の権限があり、フォレスト内の特定の1台だけに割り当てられる2種類の操作マスターと、ドメイン内の特定の1台だけに割り当てられる3種類の操作マスターがあります。

■ フォレストの操作マスター

フォレストの操作マスターには、以下に記載する2種類の操作マスターがあります。これらの操作マスターは、フォレスト内の1台のドメインコントローラーのみ所有します。

・ スキーママスター
オブジェクトに対する定義情報である「スキーマ」の変更をおこなう際には、スキーママスターを持つドメインコントローラーにアクセスする必要があります。スキーママスターを持つドメインコントローラーが使用できない場合、スキーマを変更することはできません。

・ ドメイン名前付けマスター
ドメインの追加や削除をおこなう際、またはドメイン名を変更する際には、ドメイン名前付けマスターを持つドメインコントローラーにアクセスする必要があります。ドメイン名前付けマスターが使用できない場合、フォレスト内へのドメイン追加などは実行できません。

■ ドメインの操作マスター

ドメインの操作マスターには、以下に記載する3種類の操作マスターがあります。これらの操作マスターは、ドメイン内の1台だけのドメインコントローラーのみ所有します。

・ RIDマスター
Active Directory内にオブジェクトを作成する場合は必ず、そのオブジェクトが作成されるドメインコントローラーが、SIDと呼ばれる一意な識別番号をオブジェクトに割り当てます。複数のドメインコントローラーが異なるオブジェクトに同一のSIDを割り当てることがないよう、RIDマスターはオブジェクト作成時に使用するSIDの範囲(RIDブロック)を、ドメイン内の各ドメインコントローラーに割り当てます。

RIDマスターを持つドメインコントローラーが使用できない場合、新しいオブジェクトをドメインに作成するときに問題が発生する可能性があります。たとえば、あるドメインコントローラーが自身に割り当てられたSIDの範囲を使い果たしてしまうと、新たなSIDの範囲の割り当てがおこなわれないため、新しいオブジェクトを作成できなくなります。

・ インフラストラクチャマスター
あるドメインのグループに別のドメインのメンバーが含まれる場合などは、ドメイン間でオブジェクト参照がおこなわれます。インフラストラクチャマスターを持つドメインコントローラーは、このオブジェクト参照を担当し、整合性が維持されるように動作します。インフラストラクチャマスターを持つドメインコントローラー使用できない場合、グループ内のメンバー変更が他のドメインコントローラーに伝達されず、整合性が維持されません。

・ PDCエミュレーター
PDCエミュレーターの操作マスターには、いくつかの複合的な役割が含まれています。この操作マスターを持つドメインコントローラーは、ドメインのタイムソースになります。また、緊急のパスワード変更を受信するドメインコントローラーでもあり、グループポリシーの変更をおこなう際にもこのドメインコントローラーにアクセスされます。したがって、PDCエミュレーターを持つドメインコントローラーが使用できない場合、上記の操作に問題が生じます。

■ 操作マスターの確認と移動

これらの5つの操作マスターを単一のドメインコントローラーに配置することも、複数のドメインコントローラーに分散させることもできます。既定では、フォレスト内の最初にインストールされたドメインコントローラーが5つの操作マスターを所有します。ただし、追加のドメインコントローラーが作成された後は、これらの操作マスターを個別に特定のドメインコントローラーに移動することができます。着目すべき点は、操作マスターは種類によって忙しさが異なるという点です。特にPDCエミュレーターは複合的な役割を含んでおり、他の種類の操作マスターに比べてアクセスされる頻度が高い可能性があります。そのような場合のために、操作マスターを個別に特定のドメインコントローラーに移動することが可能です。各操作マスターは、次の管理ツールから確認や移動をおこなうことができます。

今回のコラムでは、特定の1台のドメインコントローラーのみに割り当てられる操作マスターについて解説しました。次回のコラムからは、Active Directoryドメイン環境でのユーザー作成など、オブジェクトの管理について解説します。

ゾーホー社員のつぶやき

こんにちは、ゾーホージャパンの前田です。今回は、ドメインコントローラーに割り当てられる特別な権限「操作マスター」の種類と役割について学びました。この操作マスターですが、負荷分散やリスク分散のため、複数のドメインコントローラーに割り当てている企業も少なくないかと思います。そんな中、どのドメインコントローラーからどのドメインコントローラーに役割を移行したのかを正確に把握できていないと、後に混乱を招く可能性があります。そこで、ManageEngineが提供する「ADAudit Plus」を使用すると、操作マスターに対して加えられた変更を証跡として残すことが可能であり、「いつ」「だれが」「どのドメインコントローラーからどのドメインコントローラーに役割を変更したのか」をワンクリックでレポートから確認できます。

FSMO 役割の変更レポート画面

■ ADAudit Plusとは?
Active Directoryのログをリアルタイムで収集して、200以上のレポートで可視化、およびアラート通知などを行うWebベースのオンプレミス型ソフトウェアです。ドメイン上で管理されている、ドメインコントローラー／ファイルサーバー／メンバーサーバー／PCなどのITリソース、およびユーザー／グループ／ポリシーなどのオブジェクト情報から、簡単に監査レポートを作成します。

ADAudit Plusについて詳しく知りたい、一度使ってみたいという方は、ぜひ以下のURLにアクセスください。

【ADAudit Plusの製品ページ】
https://www.manageengine.jp/products/ADAudit_Plus/

【ADAudit Plusのダウンロードページ】
https://www.manageengine.jp/products/ADAudit_Plus/download.html

▼▼ 過去記事はこちら ▼▼
第5回 レプリケーションのしくみ【MicrosoftのMVP解説！Active Directoryのハウツー読本】
第6回 Active Directoryのサイト【MicrosoftのMVP解説！Active Directoryのハウツー読本】

▼▼ 別シリーズのブログ記事もチェック！ ▼▼
第1回 AzureADを利用する意味【MicrosoftのMVP解説！AzureADの虎の巻】
第2回 Azure ADを使って安全にクラウドサービスへアクセスする【MicrosoftのMVP解説！AzureADの虎の巻】