【連載】

にわか管理者のためのActive Directory入門

【第26回】読み取り専用ドメインコントローラ(RODC)の構成(2008限定)

[2009/01/07 08:30]井上孝司 ブックマーク ブックマーク

  • サーバ/ストレージ

サーバ/ストレージ

Windows Server 2008で強化された分野のひとつに、リモートブランチでの運用に対する配慮がある。ここでいうリモートブランチとは、たとえば小規模な営業拠点のように、専任の管理者を置くことができない出先組織などを指す。

そこで今回と次回の2回にわたり、リモートブランチ関連の機能として読み取り専用ドメインコントローラ(以下RODC : Read Only Domain Controller)について解説しよう。

リモートブランチとActive Directory

こうした拠点は、WAN(Wide Area Network)、あるいはVPN(Virtual Private Network)を用いて接続することが多いが、いずれにしてもLAN(Local Area Network)と比較すると伝送能力が劣る。そのため、リモートブランチ側ドメインコントローラを設置しないと、ログオン時に回線にかかる負荷の比率が相対的に高まる。

その問題を解決するために、リモートブランチ側にドメインコントローラを設置すると、ログオン時の認証を効率化するために使用するパスワードキャッシュの問題が出てくる。それもドメインコントローラ同士で同期しているため、リモートブランチ側にいる数少ないユーザーのために、全ユーザーのパスワードキャッシュを同機・拡散させることになるからだ。

そこでRODCが登場する。RODCは、通常のドメインコントローラと同様にユーザー認証を受け付けることができるが、以下のような特徴がある。

・他のドメインコントローラとの同期が一方通行になっており、更新した情報を受け取るだけ
・RODCが保持するパスワードキャッシュの対象を、グループ単位で制限できる

これらは主として、セキュリティ上の配慮に基づいたものといえる。同期を一方通行にすることで、リモートブランチ側で加わった変更(正規の手順やユーザーによる変更だけでなく、トラブル、あるいは不正行為によるものも含む)をネットワーク全体に拡散させる事態を回避できる。専任の管理者がいない場面を前提とした場合、これは管理負荷の軽減に効果があると考えられる。

また、パスワードキャッシュの保持対象を制限する機能により、パスワード情報の漏洩防止につながる効果を期待できる。もちろん、キャッシュといっても入力したパスワードをそのまま保持しているわけではないが、たとえハッシュ値を使用したとしても、偶発的に、あるいは総当たりによってパスワードを突き止められる可能性は皆無ではない。RODCに保持するパスワードキャッシュを制限することで、その場合の被害拡散を防ぐ効果を期待できる。

なお、これはパスワードキャッシュを行うかどうかという意味なので、ログオンの可否とは関係ない。パスワードキャッシュの保持を禁止したグループのメンバーでも、RODCでログオン時の認証を受ける操作は可能だ。

このほか、RODCに限定して管理を委任する機能がある。これにより、リモートブランチ側のユーザーが管理操作を行えるようになるが、その対象はRODCに限られる。そのため、たとえばユーザーIDとパスワードの情報を盗まれるような事態が発生しても、被害を局限できる。

RODCの追加作業(1)

RODCだけでは、Active Directoryを運用できない。まず通常のドメインコントローラが稼働していて、そこに追加ドメインコントローラとしてRODCを追加するという構成をとる。

そのため、RODCの構成作業は途中まで、通常のドメインコントローラ追加と同様にして進む形をとっており、その途中でRODCの追加を指示する仕組みだ。具体的な作業の流れは、以下のようになる。

  1. ドメインコントローラの種類選択(ドメインコントローラの追加を指示)

  2. Active Directoryに対して管理者権限を持つユーザーと、それに対応するパスワードの指定。[代替の資格情報]を選択した状態で、[設定]をクリックして指定する。

  3. Active Directoryの指定。ドメインDNS名で指定する。

  4. 所属するサイトの選択(サイトについては、そのうち本連載で取り上げる予定だ)。

  5. [追加のドメインコントローラオプション]画面で、[読み取り専用ドメインコントローラ(RODC)]チェックボックスををオンにして続行する

RODCを設置するには、ドメインコントローラの追加作業を行い、途中で[読み取り専用ドメインコントローラ(RODC)]チェックをオンにする

と、ここまでは通常のドメインコントローラ追加と同じようにして作業が進んでくるが、ここから先の内容はRODCに独特のものになる。

RODCの追加作業(2)

続いて、RODCに固有の設定項目について解説しよう。

  1. パスワードレプリケーションポリシーの設定。これは、どのグループについてパスワードキャッシュ複製を認めるかどうかを指定するもの。既定値では[Allows RODC Password Replication Group]だけに複製を許可している。

パスワードレプリケーションポリシーの設定により、指定したグループについて、パスワードキャッシュの可否を指定する。パスワードキャッシュを許可したグループのメンバーだけが、RODCによるパスワードキャッシュの対象になる

  1. さらに別のグループにも複製を許可したい場合、[追加]をクリックする。ここではグループの指定に加えて許可/拒否の選択を行えるので、特定のグループについて明示的に、複製を禁止する指定も可能だ。

[追加]をクリックすると表示するダイアログで、その後で指定するグループについて、パスワードキャッシュを許可するか、それとも拒否するかを指定する

  1. RODCの管理委任設定。任意のユーザー/グループに対してRODCの管理を委任する設定を行える。

  2. Active Directoryデータベースの複製元指定。既定値では既存のドメインコントローラからActive Directoryデータベースを複製するが、[次の場所のメディアからデータをレプリケートする]を選択すると、CD-RやUSBフラッシュメモリから複製することもできる。これは主として、既存のドメインコントローラと接続するネットワークが存在しない、あるいはネットワークが低速で同期に時間がかかりすぎる場合に利用する機能だ。

リモートブランチではネットワークの伝送能力が落ちる、あるいはまだネットワークにつながっていない可能性があるため、Active Directoryデータベースの複製元として、CD-RやUSBフラッシュメモリといったストレージ機器を指定できるようになっている

  1. 複製元ドメインコントローラの選択。前の画面で、複製元として既存のドメインコントローラを指定した場合に必要となる作業。既定値では自動選択だが、[特定のドメインコントローラを使用する]を選択することもできる。

また、既存のドメインコントローラから複製する場合でも、任意のドメインコントローラを指定できる

  1. Active Directoryデータベースとログの配置場所指定、システムボリュームの配置場所指定、ディレクトリサービス復元モードのパスワード指定と続くが、これらは通常のドメインコントローラ構成時と同じ要領で設定できる。

  2. ウィザード最終画面で設定内容を確認して、[次へ]をクリックすると構成作業を開始する。完了後に再起動すると、RODCが稼働を開始する。

776
2
【連載】にわか管理者のためのActive Directory入門 [26] 読み取り専用ドメインコントローラ(RODC)の構成(2008限定)
Windows Server 2008で強化された分野のひとつに、リモートブランチでの運用に対する配慮がある。ここでいうリモートブランチとは、たとえば小規模な営業拠点のように、専任の管理者を置くことができない出先組織などを指す。そこで今回と次回の2回にわたり、リモートブランチ関連の機能として読み取り専用ドメインコントローラ(以下RODC : Read Only Domain Controller)について解説しよう。
https://news.mynavi.jp/itsearch/2015/10/09/ad026/index.top.jpg
Windows Server 2008で強化された分野のひとつに、リモートブランチでの運用に対する配慮がある。ここでいうリモートブランチとは、たとえば小規模な営業拠点のように、専任の管理者を置くことができない出先組織などを指す。そこで今回と次回の2回にわたり、リモートブランチ関連の機能として読み取り専用ドメインコントローラ(以下RODC : Read Only Domain Controller)について解説しよう。

会員新規登録

初めてご利用の方はこちら

会員登録(無料)

マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
人事・経理・総務で役立つ! バックオフィス系ソリューション&解説/事例記事まとめ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る