Deployment of Active Directory 1... NTドメインからActive Directoryドメインへの移行
混在モードとネイティブモード
●PDCエミュータ
混在モードのActive Directoryドメインに最初に構築されたドメインコントローラは,NTドメインにおけるPDCと互換性を有する。このようなドメインコントローラの役割を「PDCエミュレータ」と呼ぶ。PDCエミュレータとはFSMO(Flexible Single Master Operation)という特殊な役割の1つであり,PDCエミュレータはドメイン内に1つだけ設置される(FSMOについては,COLUMN「FSMO(Flexible Single Master Operation)」で説明する)。管理者は,必要に応じてPDCエミュレータの役割を任意のドメインコントローラに任せることもできるが,デフォルトではActive Directoryドメインに最初に構築されたドメインコントローラがこの役割を担っている。
PDCエミュレータの役割を担うActive Directoryのドメインコントローラは,Windows NT Server 4.0で構築したBDCに対し,ユーザーやグループ,コンピュータといったオブジェクトをダウンレベル名に基づいてシングルマスタレプリケーションすることができる。つまり,PDCエミュレータは,Windows NT Server 4.0のBDCから見ると,Windows NT Server 4.0のPDCとして見える。もちろん,PDCエミュレータとして機能しているドメインコントローラは,Active Directoryのほかのドメインコントローラからは,自分と同等のドメインコントローラとして見えるので,マルチマスタレプリケーションで情報をやり取りすることになる。
Fig.3 PDCエミュレータ
Active Directoryドメインには,NTドメインには登録できなかったオブジェクトを登録することができる。このようなオブジェクトは,Windows NT Server 4.0のBDCにはレプリケーションされない。また,Active Directoryドメインでは階層構造で表されているオブジェクトも,Windows NT Server 4.0のBDCに対してはフラットな構造でレプリケーションされる。
混在モードのActive Directoryドメインには,Windows NT Server 4.0のBDCを自由に追加することができる。Windows NT Server 4.0のBDCを追加することで,ドメインの耐障害性はある程度向上するが,Active Directoryのドメインコントローラを追加する場合には及ばない。なぜなら,上記したとおり,Windows NT Server 4.0のBDCにレプリケーションされる情報は限定されたものであるからである。また,クライアントはまずWindows 2000 Serverのドメインコントローラを探索し,それが発見できないときにはWindows NT Server 4.0のBDCを探索する。そのため,Windows NT Server 4.0のBDCをActive Directoryドメインに追加しても,負荷分散にはあまり貢献しない。
なお,Windows NT Server 4.0のBDCをインストールしている最中に,BDCのコンピュータをActive Directoryドメインに追加することはできない。そのため,あらかじめサーバーマネージャやNETDOMコマンドを用いてActive DirectoryドメインにBDCとなるコンピュータのアカウントを追加しておき,そのあとそのコンピュータにWindows NT Server 4.0を導入してBDCを構成することになる。Windows NT Server 4.0のBDCとなるコンピュータアカウントは,サーバーマネージャ(SRVMGRコマンド)で追加するのが簡単である。また,[Active Directoryユーザーとコンピュータ]管理ツールでドメインコントローラを追加することもできない。
PDCエミュレータの役割は,Windows NT 4.0の[サーバーマネージャ]で変更することはできない。PDCエミュレータはActive Directoryのドメインコントローラが担う役割なので,Windows 2000の管理ツールを使用して変更する必要がある。PDCエミュレータの役割をほかのActive Directoryのドメインコントローラに移管するには,[Active Directoryユーザーとコンピュータ]管理ツールを使う。
- [スタート]メニューから[プログラム]−[管理ツール]−[Active Directoryユーザーとコンピュータ]を選択し,[Active Directoryユーザーとコンピュータ]管理ツールを起動する。[Active Directoryユーザーとコンピュータ]を右クリックすると表示されるメニューから[ドメインに接続]を選択する。
- [ドメインコントローラに接続]ダイアログボックスが表示されるので,PDCエミュレータの役割を担わせたいドメインコントローラを指定する。
- [Active Directoryユーザーとコンピュータ]管理ツールに戻ったら,ドメインを右クリックすると表示されるメニューから[操作マスタ]を選ぶ。[操作]ダイアログボックスが表示されるので[PDC]パネルを開き,[変更]ボタンを押す。PDCエミュレータを変更してもよいかどうかを確認するメッセージボックスが表示されるので,[OK]ボタンを押す。
- PDCエミュレータが変更されたことを知らせるダイアログボックスが表示されるので,[OK]ボタンを押す。
ところで,PDCエミュレータの役割を担っているドメインコントローラが停止してしまうと,Windows NT Server 4.0のBDCに対して情報をレプリケーションできなくなる。この点は,NTドメインでPDCが停止した場合と,まったく変わらない。もし,このような状況下で,ほかにActive Directoryのドメインコントローラが生存しているならば,PDCエミュレータの役割を強制的にほかのコンピュータに移行させることで対処できる。ただし,PDCエミュレータの役割を強制的にほかのコンピュータに移行させると,元々PDCエミュレータとして機能していたコンピュータは,そのドメインに復帰できなくなる。したがって,この方法を適用するのは,元々PDCエミュレータとして機能していたドメインコントローラを復旧できない場合に限定すべきである。
PDCエミュレータの役割を強制的にほかのコンピュータに移行させるには,次のように操作する。
- コマンドプロンプトでNTDSUTILを起動する
- “roles”と入力する
- “connections”と入力する
- “connect to server servername”と入力する。servername は接続したい(PDCエミュレータとして機能させたい)ドメインコントローラのFQDNである(例:server1.example.co.jp)
- “quit”と入力し,前のメニューに戻る
- 手順4で選択したドメインコントローラをPDCエミュレータとして機能させるには,“seize PDC”と入力する(seizeは英語で「掴み取る」などの意味を持つ)
- Fig.4の画面が表示されるので,[はい]ボタンを押す
Fig.4 FSMO roleの強制変更(クリックで拡大可能)
- “quit”と入力し,前のメニューに戻る
- “quit”と入力し,NTDSUTILを終了する
なお,手順6でseizeコマンドではなくtransferコマンドを使うと,PDCエミュレータを強制的に移行させるのではなく,互いのドメインコントローラでやり取りし,正規の手法でPDCエミュレータの役割を転送させることができる(この場合,元々PDCエミュレータであったドメインコントローラは正常に稼動していなければならないが,転送後も問題なくドメインに参加できる)。
PDCエミュレータとインフラストラクチャマスタだけは,[Active Directoryユーザーとコンピュータ]管理ツールを利用して,強制的にロールをほかのドメインコントローラに移管(seize)することができる。
なお,Active Directoryの全ドメインコントローラが何らかの事由によって停止してしまった場合には,Windows NT Server 4.0の[サーバーマネージャ]を利用してWindows NT Server 4.0のBDCをPDCに昇格させ,ドメインの運用を継続させることもできる。この場合,そのドメインはActive Directoryドメインではなく,完全なNTドメインとなる。このとき,Active Directoryに登録されていた各種オブジェクトのうち,Windows NT Server 4.0のBDCに複製されていないものは消滅してしまうので,注意してもらいたい。
 |
Deployment of AD−Part1 4/17 |  |
