にわか管理者のためのWindows Server 2012入門

【第6回】読み取り専用ドメインコントローラ(RODC)の構成

Windows Server 2012はWindows Server 2008の機能強化を引き継いで、リモートブランチでの運用を想定した「読み取り専用ドメインコントローラ」(以下RODC : Read Only Domain Controller)の機能を用意している。Windows Server 2012でも基本的にはWindows Server 2008と同じ考え方で運用できそうだが、導入手順に若干の違いがあるので、そこに重点を置いて解説する。

RODCの構成

RODCは「読み取り専用」で、既存のドメインコントローラから一方通行でActive Directoryデータベースを受け取って動作する。だから、少なくとも1台は(RODCではない)ドメインコントローラが必要になる。そこに追加ドメインコントローラを加える際に、RODCにするかどうかを指定するという流れである。

そのため、「Active Directoryドメインサービス構成ウィザード」を起動して、最初の画面で[既存のドメインにドメインコントローラーを追加する]を選択、[ドメイン]には、追加先となるActive DirectoryのドメインDNS名を入力するところまでは同じだが、その次の画面で[読み取り専用ドメインコントローラー(RODC)]のチェックをオンにしなければならない点が異なる。

追加ドメインコントローラをRODCにする際には、[読み取り専用ドメインコントローラー(RODC)]のチェックをオンにする

すると、その次に現れる画面はRODCに特有のもので、「管理者アカウントの委任設定」「パスワードのレプリケートを許可するアカウント」「パスワードのレプリケートを拒否するアカウント」の指定を行う。

その後は、Active Directoryデータベースのコピー元指定、データベース/ログ/システムボリュームのパス指定、確認画面、前提条件のチェックと進むことになるが、これは通常の追加ドメインコントローラと同じである。

パスワードレプリケーションポリシーについて

既定値では[Allows RODC Password Replication Group]だけにパスワードのレプリケート(複製)を許可しており、これはWindows Server 2008と同じである。このグループに所属しているメンバーについては、ログオン時に入力したパスワードのキャッシュ情報をRODCが保持するという意味になる。

一方、明示的に拒否対象として既定値で登録してあるグループは、以下のものである。

・BUILTIN\Administrators
・BUILTIN\Server Operators
・BUILTIN\Backup Operators
・BUILTIN\Account Operators
・<ドメイン名>\Denied RODC Password Replication Group

もちろん、許可と拒否のいずれについても、[追加][削除]をクリックすると表示するダイアログでユーザーやグループを指定して、対象を変更することができる。