Active Directory:FSMO役割保持者をコマンドにて確認する
目的
Active DirectoryのFSMO役割保持者をコマンドにて確認する。
- FSMO*1とは
Windows 2000以降のActive Directoryで、DC*2が担当する機能のうち、特定のDCが単独で処理を行う5種類の機能のこと。 一般にActive Directoryでは、複数のDCが互いにディレクトリ情報を複製しており、どのDCで作業を行っても同じ様にデータを更新することが可能。しかし、パスワード変更などの作業に関してはデータの整合性が狂う等の問題が発生するため、あらかじめ決められた特定のDCでしか作業できないようになっている。通常、最初にActive Directryを導入されたDCがFSMOの機能を受け持つことになるが、必要ならば他のDCに移すことも可能。
- FSMO役割一覧
| FSMO役割 | 処理内容 | 備考 |
|---|---|---|
| スキーママスタ | Active Directoryデータベースのスキーマの変更処理 | フォレスト1つ対して1台のDCが保持 |
| ドメイン名前付けマスタ | フォレストに対するドメインの追加や削除 | フォレスト1つ対して1台のDCが保持 |
| RIDマスタ | ユーザーアカウントなどで利用されるSIDの一部である、RID (Relative ID)の生成 | ドメイン1つに対して1台のDCが保持 |
| PDCマスタ | NTドメインのPDCの役割のエミュレーション | ドメイン1つに対して1台のDCが保持 |
| インフラストラクチャマスタ | グループアカウントにおけるメンバーの割り当て | ドメイン1つに対して1台のDCが保持 |
Netdom (コマンドプロンプト)
ドメインのメンバーサーバーからも確認が可能。
Windows Server 2008からOS標準で搭載。
- 実行コマンド
netdom /query fsmo
- コマンド実行結果
Ntdsutil (コマンドプロンプト)
コマンド実行にActive Directory管理ツールの導入が必要。
Active Directory管理ツールが導入されたドメインのメンバーサーバーからも確認が可能。
- 実行コマンド
ntdsutil roles connections connect to domain <domain> quit server operation target list roles for connected server
- コマンド実行結果
Dcdiag (コマンドプロンプト)
コマンド実行にActive Directory管理ツールの導入が必要。
Active Directory管理ツールが導入されたドメインのメンバーサーバーからも確認が可能。
- 実行コマンド
dcdiag /s:<DCサーバー> /test:knowsofroleholders /v
- コマンド実行結果
PowerShell
コマンド実行にActive Directory管理ツールの導入が必要。
Active Directory管理ツールが導入されたドメインのメンバーサーバーからも確認が可能。
- 実行コマンド
Get-ADDomain | Select-Object InfraStructureMaster,RIDMaster,PDCEmulator Get-ADForest | Select-Object DomainNamingMaster,SchemaMaster
- コマンド実行結果
