はじめに
ロードオンリードメインコントローラー(RODC)は、Active Directoryドメインサービス(AD DS)データベースの読み取り専用パーティションを持つタイプのドメインコントローラーです。RODCは、Windows Server 2008 OSおよびそれ以降のバージョンで利用可能です。通常、企業は以下の2つの条件の下でRODCを展開します。
- データセンターへの物理的なセキュリティが十分でない場合
- ネットワーク接続を確立するための帯域幅が十分でない場合
さらに、特にAD DSのリモートアクセスの場合に、ドメインのセキュリティをRODCが強化します。例えば、企業が出席追跡のようなビジネスクリティカルなアプリケーションをDC上にのみインストールする必要がある場合、リモートユーザーがアプリケーションにアクセスするたびにセキュリティが問題となります。このようなシナリオでは、RODCが役立ちます。AD DSが読み取り専用のため、ADとDCは偶発的な変更や意図的な変更から保護されます。
ただし、展開には1つの制約があります。RODCをデプロイする場合、フォレスト内の少なくとも1つのDCはWindows Server 2008以降のバージョンのOSで動作している必要があり、フォレスト機能レベルはWindows Server 2003以降である必要があります。
RODCの顕著な特徴:
-
読み取り専用AD DSデータベース:RODCには、ユーザーアカウントの資格情報を除き、DCに存在するすべてのオブジェクトと属性が含まれています。ユーザーの資格情報は、RODCから認証を行ったときにのみキャッシュされます。
-
管理者役割の分離:RODCには、サーバーアップグレードなどの保守操作を行うための管理者特権を付与することができます。ただし、この管理者権限はDC内の変更を行う権限はありません。これにより、ドメインの安全性を危険に晒すことなくRODCを効率的に管理できます。
-
RODCフィルター属性セット(FAS):企業は、特定の重要なアプリケーションのスキーマをRODCに複製したくない場合があります。そのために、RODCにはFAS機能が備わっています。アプリケーションの特定の属性をRODC FASに設定すると、それらの属性はどのRODCにも複製されません。ただし、RODCの手動複製を行う場合、ターゲットDCがWindows Server 2003機能レベルで動作していると、FASであっても属性が複製されることがあるので注意が必要です。そのため、RODCにはWindows Server 2003以上のFFLを使用することをお勧めします。
-
片方向レプリケーション:RODCがリモート地点からアクセスできるため(その可能性は高いですが)、不要な変更が他のドメインに反映されないように適切な対策をとる必要があります。この場面で片方向レプリケーションが重要な役割を果たします。RODCからの変更やレプリケーションは、フォレスト内の他のDCに反映されることはありません。これにより、レプリケーションの監視の作業負担が軽減されます。
-
資格情報のキャッシュ:デフォルトでは、ユーザー、コンピュータ、アプリケーションの資格情報はRODCにキャッシュされません。RODCがログインを速めるためにそのような資格情報のコピーを要求した場合、対応するDCはその特定のRODCのパスワードレプリケーションポリシー(PRP)を参照します。資格情報はPRPがレプリケーションを許可したときにのみキャッシュされます。
-
読み取り専用ドメインネームシステム(DNS):RODCは、ユーザーが名前解決のクエリを投げることを許可します。RODCの読み取り専用DNSは、DNSが使用するすべてのアプリケーションディレクトリパーティションを複製できます。ですが、クライアントの直接アップデートをサポートしていないため、唯一の制限点はDNSが読み取り専用であることです。したがって、クライアントのアップデートがあるたびに、DC内のDNSを経由しなければなりません。DNSについての詳細は[こちら]からご覧いただけます。
要するに、RODCはDCのセキュリティを向上させ、リモートロケーションからのリソースへのログオン速度とアクセスを改善します。RODCの機能を最大限に活用するためには、FFLをWindows Server 2008以降に設定することを推奨します。
リードオンリードメインコントローラーのインストール
RODCは、Windows Server 2008を搭載している書き込み可能なドメインコントローラーからドメインアップデートをレプリケートする必要があります。RODCが書き込み可能なWindows Server 2008ドメインコントローラーとレプリケーション接続を確立できることが重要です。理想的には、書き込み可能なWindows Server 2008ドメインコントローラーはメインサイトに最も近いサイトにあるべきです。次のレッスンでは、Es-netドメインに接続されたBranchrodcという名前のRODCを作成します。また、ブランチオフィスのセキュリティグループとユーザーを作成し、パスワードレプリケーションポリシー(PRP)を設定します。
実行ボックスに「dcpromo」と入力し、OKをクリックします。Active Directoryバイナリがインストールされているか確認してください。Active Directoryインストールウィザードが開始します。次へをクリックして続行します。オペレーティングシステムの互換性ページで次へをクリックします。既存のドメインにドメインコントローラーを追加することを確認してチェックを入れ、次へをクリックします。
参加したいドメインを入力し、資格情報を指定してから次へをクリックします。ドメインを選択し、次へをクリックします。新しいドメインコントローラーのサイトを選択し、次へをクリックします。グローバルカタログと読み取り専用ドメインコントローラー(RODC)がチェックされていることを確認し、次へをクリックします。次へをクリックします。復元モードパスワードを入力し、確認してから次へをクリックします。選択をレビューし、次へをクリックします。Active Directoryのインストールが開始されます。インストールが完了したら、完了をクリックします。インストールを完了するには、今すぐ再起動をクリックします。
読み取り専用ドメインコントローラーの展開方法
- サーバーマネージャーダッシュボードを開き、「役割と機能の追加」をクリックします。
- 「役割ベースまたは機能ベースのインストール」のラジオボタンをクリックし、次へをクリックします。
- 読み取り専用ドメインコントローラーとして設定する予定のサーバーを選択し、次へをクリックします。
- 「Active Directoryドメインサービス」のラジオボタンをチェックし、「機能の追加」をクリックします。
- インストールが開始されるまで次へをクリックし続けます。このインストールプロセスには数分かかり、システムは何度か再起動する可能性があります。
- インストールが完了したら、このサーバーをドメインコントローラーに昇格させるをクリックします。
- メインコントローラーを追加するためのドメインの資格情報を入力するよう求められます。
- 読み取り専用ドメインコントローラー(RODC)」のラジオボタンをクリックし、Directory Services Restore Mode(DSRM)パスワードを入力します。
- インストール画面に到達するまで次へをクリックし続けます。インストールをクリックし、設定が完了するのを待ちます。