Active Directory では、ドメイン内のすべてのドメイン コントローラ間で、ディレクトリ データ ストアのマルチマスタ レプリケーションがサポートされています。したがって、ドメイン内のドメイン コントローラはすべて、本質的にはピアと見なされます。ただし、変更によっては、マルチマスタ レプリケーションを使用して実行することが実用的でない場合もあります。このため、このような変更の各種類について、"操作マスタ" と呼ばれる 1 つのドメイン コントローラが、このような変更の要求を受け取ります。

どのフォレストでも、操作マスタの役割が少なくとも 5 つあり、これらは 1 つ以上のドメイン コントローラに割り当てられています。フォレスト単位の操作マスタの役割は、各フォレストに 1 つだけ存在する必要があります。ドメイン単位の操作マスタの役割は、フォレスト内の各ドメインに 1 つだけ存在する必要があります。

注

• 操作マスタの役割は、フレキシブル シングル マスタ操作 (FSMO) の役割とも呼ばれます。
  

すべてのフォレストは、次の役割を備えていなければなりません。

• スキーマ マスタ
  
• ドメイン名前付けマスタ
  

これらの役割は、フォレスト内で一意でなければなりません。つまり、フォレスト全体を通して、1 つのスキーマ マスタと 1 つのドメイン名前付けマスタだけが存在します。

スキーマ マスタ ドメイン コントローラは、スキーマに対するすべての更新と変更を制御します。フォレストのスキーマを更新するには、スキーマ マスタにアクセスできなければなりません。フォレスト全体の中で、スキーマ マスタは 1 つだけです。

ドメイン名前付けマスタの役割を担っているドメイン コントローラは、フォレスト内でのドメインの追加または削除を制御します。フォレスト全体の中で、ドメイン名前付けマスタは 1 つだけです。

注

• Windows Server 2003 を実行しているドメイン コントローラであれば、ドメイン名前付けマスタの役割を持つことができます。また、ドメイン名前付けマスタの役割を持ち、Windows 2000 Server を実行しているドメイン コントローラは、グローバル カタログ サーバーとしても有効であることが必要です。
  

フォレスト内のすべてのドメインは、次の役割を備えていなければなりません。

• 相対 ID (RID) マスタ
  
• プライマリ ドメイン コントローラ (PDC) エミュレータ マスタ
  
• インフラストラクチャ マスタ
  

これらの役割は、各ドメイン内で一意でなければなりません。つまり、フォレスト内の各ドメインは、RID マスタ、PDC エミュレータ マスタ、およびインフラストラクチャ マスタを 1 つずつだけ持つことができます。

RID マスタは、一連の相対 ID (RID) を、そのドメイン内の各種ドメイン コントローラにそれぞれ割り当てます。フォレスト内の各ドメインの中で、RID マスタとして動作するドメイン コントローラは、常に 1 つだけです。

ドメイン コントローラは、ユーザー、グループ、またはコンピュータのオブジェクトを作成すると、そのオブジェクトに一意のセキュリティ ID (SID) を割り当てます。SID は、ドメイン内で作成されるすべての SID で同一のドメイン SID と、ドメイン内で作成される各 SID ごとに一意な RID で構成されます。

Movetree.exe を使用してドメイン間でオブジェクトを移動するには、オブジェクトを現在格納しているドメインの、RID マスタとして機能しているドメイン コントローラ上で、移動を開始しなければなりません。

Windows 2000 または Windows XP Professional のいずれのクライアント ソフトウェアもインストールされずに動作しているコンピュータがドメインに含まれている場合、または Windows NT バックアップ ドメイン コントローラ (BDC) がドメインに含まれている場合は、PDC エミュレータ マスタが Windows NT プライマリ ドメイン コントローラとして動作します。これが、クライントからのパスワード変更を処理し、BDC への更新をレプリケートします。フォレスト内の各ドメインの中で、PDC エミュレータ マスタとして動作するドメイン コントローラは、常に 1 つだけです。

既定では、PDC エミュレータ マスタは、ドメイン全体のすべてのドメイン コントローラに対して時刻を同期する役割も担当します。ドメインの PDC エミュレータの時計は、親ドメインの任意のドメイン コントローラの時計に合わせて設定されます。親ドメインの PDC エミュレータは、外部時刻ソースと同期するように構成されている必要があります。次の構文で net time コマンドを実行すると、PDC エミュレータの時刻を外部のサーバーと同期することができます。

net time \\ServerName/setsntp:TimeSource

この結果、Windows Server 2003 または Windows 2000 を実行しているフォレスト全体のすべてのコンピュータの間で、時刻のずれが数秒以内となります。

ドメイン内の他のドメイン コントローラでパスワード変更が実行された場合、その変更は PDC エミュレータに優先的にレプリケートされます。パスワードの変更が行われると、その変更がドメイン内のすべてのドメイン コントローラにレプリケートされるのに時間がかかります。パスワードが正しくないために、別のドメイン コントローラでログオン認証が失敗した場合は、ログオンの試行を拒否する前に、そのドメイン コントローラでは、認証要求を PDC エミュレータに転送します。

PDC エミュレータの役割が設定されているドメイン コントローラは、2 種類の認証プロトコルをサポートします。

• Kerberos 5 プロトコル
  
• NTLM プロトコル
  

インフラストラクチャ マスタとして動作できるドメイン コントローラは、各ドメイン内で常に 1 つだけです。インフラストラクチャ マスタには、そのドメイン内のオブジェクトから他のドメイン内のオブジェクトへの参照を更新する役割があります。インフラストラクチャ マスタは、そのデータとグローバル カタログのデータを比較します。グローバル カタログは、すべてのドメイン内のオブジェクトに関する通常の更新をレプリケーションによって受け取ります。したがって、グローバル カタログのデータは常に最新です。インフラストラクチャ マスタは、最新でないデータを見つけると、グローバル カタログの更新されたデータを要求します。次に、インフラストラクチャ マスタはドメイン内のその他のドメイン コントローラにその更新されたデータをレプリケートします。

重要

• ドメイン内にあるドメイン コントローラがただ 1 つでない限り、グローバル カタログをホストするドメイン コントローラにインフラストラクチャ マスタの役割を割り当てないでください。インフラストラクチャ マスタとグローバル カタログが同じドメイン コントローラ上にある場合、インフラストラクチャ マスタは機能しません。この場合、インフラストラクチャ マスタは最新でないデータを見つけることができないので、ドメイン内の他のドメイン コントローラに対してどのような変更もレプリケートしません。
  1 つのドメイン内にあるすべてのドメイン コントローラがグローバル カタログもホストする場合は、すべてのドメイン コントローラが現在のデータを保有するため、どのドメイン コントローラがインフラストラクチャ マスタの役割を果たすのかは問題ではありません。
  

インフラストラクチャ マスタは、グループのメンバの名前が変更されたり、グループのメンバが変更された場合に、グループとユーザーの参照の更新も担当します。グループのメンバの名前を変更したり、メンバを移動すると (そのメンバはグループとは別のドメインに配置されます)、グループはそのメンバを含んでいないように、一時的に表示されることがあります。グループのドメインのインフラストラクチャ マスタがグループを更新することで、メンバの新しい名前または位置が判明します。これによって、ユーザー アカウントの名前が変更されたり、ユーザー アカウントが移動されたりしたときに、ユーザー アカウントに関連付けられたグループ メンバシップが失われるのを防ぎます。インフラストラクチャ マスタは、マルチ マスタ レプリケーションを介して更新を配布します。

メンバの名前が変更されグループが更新されている間に、セキュリティが侵害されることはありません。一時的な一貫性の欠如を認識するのは、その特定のグループ メンバシップを参照している管理者だけです。

操作マスタの役割の転送方法については、「操作マスタの役割を転送する」を参照してください。操作マスタが失敗したときに実行する操作については、「操作マスタ障害に対応する」を参照してください。