読者です 読者をやめる 読者になる 読者になる

管理人のSE経験値(Exp)を見える化するブログ

中小企業(独立系Sier)でインフラエンジニアをしている管理人が日々の業務、自己啓発によって得た知識、経験を雑記するブログです。

Active Directory:FSMO役割保持者をコマンドにて確認する

Windows Server 2012 R2 Windows Server 2012 R2-Active Directory Windows

目的

Active DirectoryのFSMO役割保持者をコマンドにて確認する。

  • FSMO*1とは
    Windows 2000以降のActive Directoryで、DC*2が担当する機能のうち、特定のDCが単独で処理を行う5種類の機能のこと。 一般にActive Directoryでは、複数のDCが互いにディレクトリ情報を複製しており、どのDCで作業を行っても同じ様にデータを更新することが可能。しかし、パスワード変更などの作業に関してはデータの整合性が狂う等の問題が発生するため、あらかじめ決められた特定のDCでしか作業できないようになっている。通常、最初にActive Directryを導入されたDCがFSMOの機能を受け持つことになるが、必要ならば他のDCに移すことも可能。


  • FSMO役割一覧
FSMO役割 処理内容 備考
スキーママスタ Active Directoryデータベースのスキーマの変更処理 フォレスト1つ対して1台のDCが保持
ドメイン名前付けマスタ フォレストに対するドメインの追加や削除 フォレスト1つ対して1台のDCが保持
RIDマスタ ユーザーアカウントなどで利用されるSIDの一部である、RID (Relative ID)の生成 ドメイン1つに対して1台のDCが保持
PDCマスタ NTドメインPDCの役割のエミュレーション ドメイン1つに対して1台のDCが保持
インフラストラクチャマスタ グループアカウントにおけるメンバーの割り当て ドメイン1つに対して1台のDCが保持

Netdom (コマンドプロンプト)

ドメインのメンバーサーバーからも確認が可能。
Windows Server 2008からOS標準で搭載。

  • 実行コマンド
netdom /query fsmo
  • コマンド実行結果
    f:id:Miyamon:20160904165251p:plain

Ntdsutil (コマンドプロンプト)

コマンド実行にActive Directory管理ツールの導入が必要。
Active Directory管理ツールが導入されたドメインのメンバーサーバーからも確認が可能。

  • 実行コマンド
ntdsutil
roles
connections
connect to domain <domain>
quit
server operation target
list roles for connected server
  • コマンド実行結果
    f:id:Miyamon:20160904171636p:plain

Dcdiag (コマンドプロンプト)

コマンド実行にActive Directory管理ツールの導入が必要。
Active Directory管理ツールが導入されたドメインのメンバーサーバーからも確認が可能。

  • 実行コマンド
dcdiag /s:<DCサーバー> /test:knowsofroleholders /v
  • コマンド実行結果
    f:id:Miyamon:20160904172637p:plain

    f:id:Miyamon:20160904172940p:plain

PowerShell

コマンド実行にActive Directory管理ツールの導入が必要。
Active Directory管理ツールが導入されたドメインのメンバーサーバーからも確認が可能。

  • 実行コマンド
Get-ADDomain | Select-Object InfraStructureMaster,RIDMaster,PDCEmulator
Get-ADForest | Select-Object DomainNamingMaster,SchemaMaster
  • コマンド実行結果
    f:id:Miyamon:20160904173200p:plain

利用環境

Windows Server 2012 R2

*1:FSMO:Flexible Single Master Operation

*2:DC:Domain Controller