Q

Active Directoryを管理しています。参加するユーザー数が増えるに従い,ドメインが大きくなってドメイン・コントローラ(DC)が多数存在するようになりました。そのため,ActiveDirectory構築当初から使っているFSMO(Flexible Single Master Operations:操作マスター)の役割を担当するサーバーへの負荷が高くなってきてしまいました。そこで,FSMOの役割を他のDCに移行したいと考えています。どのようにすればよいのでしょうか?

A

Active Directoryは,基本的にどのDC上で情報を変更しても,すべてのDCに変更内容が反映されるマルチマスター複製を実現しています。しかし,ある特定の変更操作に関してだけは,競合を避けるために単一のDCのみで変更を実施するようになっています。そのような機能を持つDCをFSMOと呼びます。

5つの役割を別々に移行可能
 FSMOには,(1)スキーマ・マスター,(2)ドメイン名前付けマスター,(3)PDCエミュレータ,(4)RIDマスター,(5)インフラストラクチャ・マスター,の5種類の役割が存在します(表1)。


表1●FSMOだけが担当している5つの役割

 このうち,スキーマ・マスターとドメイン名前付けマスターはフォレスト内に1台だけ,それ以外はドメインごとに1台だけ存在します。1つのドメインだけで使っている場合は通常,これらの役割すべてを1台のDCで担当しています。しかし,実は必要に応じて別々にマシンに分割して移行することが可能です。

 一口にFSMOの移行といっても,状況によって2種類に分かれます。正常動作中に役割を移行することを「転送」と呼び,障害などが発生してやむなく役割を移行する場合は「強制移動」と呼びます。今回のご質問は,このうちの転送に当たります。実際の方法は,転送したい役割ごとに違います。

MMCの管理用スナップインから実行
 スキーマ・マスターを転送するには,まず「regsvr32%systemroot%\system32\schmmgmt.dll」と実行して[Active Directoryスキーマ]スナップインを登録します。続いて,このスナップインをマイクロソフト管理コンソール(MMC)に読み込み,最上位の[Active Directoryスキーマ]を右クリックして[ドメインコントローラの変更]を選ぶ変更先のDCに接続します。その後,同様に右クリックのメニューから[操作]-[操作マスタ]-[変更]と実行すればスキーマ・マスターが転送されます。


△ 図をクリックすると拡大されます
図7●FSMOの役割のうちドメイン名前付けマスターは[Active Directoryドメインと信頼関係]ツールで転送する

 ドメイン名前付けマスターの転送は,[管理ツール]にある[ActiveDirectoryドメインと信頼関係]を使います。スキーマ・マスターと同様に右クリックから[ドメインコントローラの変更]で変更先のDCに接続した後に,[操作マスタ]-[変更]をクリックすれば転送を実施します(図7)。

 残りのPDCエミュレータ,RIDマスター,インフラストラクチャ・マスターは,管理ツールの[Active Directoryユーザーとコンピュータ]を使います。これも同様に右クリックの[ドメインコントローラに接続]で変更先のDCに接続して,[ 操作マスタ]から各FSMOのタブを選択して[変更]を選べば転送を実施します。

コマンド・ツールからも移動可能
 GUIの管理ツール以外に,コマンド・ツールのNtdsutilユーティリティで転送することもできます。

 Ntdsutilを起動すると,ntdsutilプロンプトに変わるので「roles」と入力します。すると,fsmo maintenanceプロンプトとなるので「connections」と入力し,次のserver connectionsプロンプトでは「connect to server」と入力して強制移動するDCを指定します。それから「quit」と入力し,fsmomaintenanceプロンプトに戻って強制移動「seize role」または転送「transferrole」のコマンドを実行します。

 このroleの部分には表1に示した書式でFSMOの役割を指定します。例えば,PDCエミュレータならば「PDC」とします。最後に,Ntdsutilを「quit」で終了すると完了です。

 今回のご質問のケースとは違いますが,障害発生の場合の強制移動もNtdsutilから同じ手順で実行できます。ただし,作業の開始前にFSMOをネットワークから永久に切り離す必要があります。強制移動を実施すると,それまでのFSMOを2度と使用できなくなる,データ損失の可能性がある,といった点に注意してください。

 一般にPDCエミュレータは早急に強制移動が必要な場合がありますし,インフラストラクチャ・マスターも強制移動が比較的早いタイミングで必要なことが多いでしょう。しかし,他のFSMOは強制移動による早急な復旧よりも,バックアップからの復元が理想的な可能性もあります。

瀧澤 俊臣