FSMOロールとは？Active Directoryに特別な役割がある理由

Active Directoryドメインサービス(以下、ADDS)を学び始めると、「FSMOロール」という言葉が出てきます。

FSMOロールは、Flexible Single Master Operationsの略称で、少し難しい印象を持ったり、名前だけを見ると覚えるのが大変そうに感じたりするかもしれません。

ですが、FSMOロールはADDSが正しく動作するために必要な重要な仕組みのひとつのため、避けては通れません。

本記事では、設定方法や細かい技術の話は行わず、「FSMOロールとは何か」といった基本的な考え方を中心に解説します。

FSMOロールとは、ADDSの中で「1台のドメインコントローラー（以下、DC）だけが担当する特別な役割」です。

ADDSでは、通常、複数のDCが協力して動作しています。

ユーザー情報やパスワードの変更などは、どのDCでも処理できるようになっています。しかし、すべての処理を複数のDCが同時に行ってしまうと、情報の食い違いや矛盾が発生してしまいます。

そこで、「この処理は必ずこの1台が担当する」と決められた役割がFSMOロールです。

重要な判断が必要な処理を1台に集約することで、ADDS全体の整合性が保たれるようになっています。

FSMOロールには、あらかじめ決められた5つの役割があります。

Active Directoryでは、これら5つの役割を適切に分担することで、複数のDCが存在する環境でも安定した運用が可能になります。

ただし、ここで注意したいのは、「5つすべてがフォレスト内に1つずつ存在するわけではない」という点です。

FSMOロールは、次の2種類に分かれています。

ADDSの構成によって、フォレスト内にドメインが１つの環境もあれば、複数ある環境も存在します。

そのため、ADDS の構成内容によってFSMOロールの総数は変わってきます。

FSMOロールを構成する5つの役割について、概要を解説します。

スキーママスターは、ADDSの「設計図」を管理する役割です。

ユーザーやコンピューターがどんな項目（名前、メールアドレスなど）を持てるかは、スキーマによって決められています。

この設計図を変更できるのは、スキーママスターを持つDCだけです。

ADDSの全体に大きな影響を与える重要な役割です。

ドメイン名前付けマスターは、ドメインの追加や削除を管理する役割です。

新しいドメインを作成したり、不要になったドメインを削除したりする際に、このロールを持つDCが最終的な判断を行います。

ドメイン構成を頻繁に変更しない環境では、出番はあまり多くありません。

RIDマスターは、ユーザーやグループを作成するときに使われる「番号」を管理する役割です。

ADDSでは、すべてのユーザーやグループに一意のIDが割り当てられます。このIDが重複しないように管理しているのがRIDマスターです。

もし重複が起きてしまうと、認証や権限管理に大きな問題が発生します。

PDCエミュレーターは、FSMOロールの中でも特に重要な役割です。

パスワード変更の反映や、時刻同期の基準など、ログオンに関わる重要な処理を担当しています。

トラブルが発生した場合、最初に確認されることが多いのも、このPDCエミュレーターです。

インフラストラクチャマスターは、複数のドメインが存在する環境で、ドメイン間の情報整合性を保つ役割を担います。

特に、他のドメインに存在するユーザーをグループに追加した場合などに、正しい情報が表示されるよう管理します。

単一ドメイン環境では、意識する場面は比較的少ないロールです。

FSMOロールは、ADDSの中で「重要な判断を担当する特別な役割」です。

複数のDCが存在する環境でも、矛盾なく安全に運用できるようにするために欠かせない仕組みとなっています。

FSMOロールは細かい仕組みを覚えることよりも、「なぜ必要なのか」という考え方を理解することで理解が深まります。