Active Directory ドメイン サービスで構築したドメインでは、ドメインを管理するコンピューターのことを「ドメイン コントローラー」と呼びます。
ドメインでは拠点ごとに「サイト」を構成して管理することができますが、システム管理者がいない拠点にドメイン コントローラーを配置するのはセキュリティの観点を考慮すると望ましい構成ではありません。このセキュリティ面の問題を解消できる機能として、「読み取り専用ドメイン コントローラー」(RODC)を構築できます。
今回は「読み取り専用ドメイン コントローラー」の基本の仕組みについて紹介します。
読み取り専用ドメイン コントローラー(RODC)とは
Windows Server 2008 から、新しいドメイン コントローラーの種類である「読み取り専用ドメイン コントローラー」(RODC:Read Only Domain Controller) が利用できるようになりました。一般的には、RODC と呼ばれています。
RODC は、名前の通り、「読み取り専用」のドメイン コントローラーのことで、認証や設定の配布などのドメイン コントローラーの基本的な機能はありますが、ドメイン コントローラーで管理しているデータを変更することはできません。データの変更ができるのは、通常の書き込み可能なドメイン コントローラー(RWDC:Read Write Domain Controller) のみで、RODC は RWDC からデータを一方向で複製されます。
Active Directory のドメインでは、拠点ごとに「サイト」を作って、ドメイン内のネットワーク構成を最適化することができます。ドメインに参加している端末がログオンした場合、基本的には同じサイト内にあるドメイン コントローラーへ認証要求を送信する動作となります。サイト内にドメイン コントローラーが1台もない場合、別のサイトにあるドメイン コントローラーへアクセスしますが、物理的に離れている場合はネットワークの遅延などの影響を受ける可能性もあります。そのため、各サイトに少なくとも 1 台はドメイン コントローラーを配置する構成が理想です。
しかしながら、すべてのサイトにドメイン コントローラーを配置する構成にした場合、ドメイン管理者がいない拠点にもドメイン コントローラーを配置しなくてはなりません。ドメイン コントローラーはドメインで管理している情報を保持しているため、管理者ではないユーザーがドメイン コントローラーにアクセスして、情報を変更してしまったら問題です。
そのため、管理者が不在のサイトにおいては、ドメイン コントローラーが保持する情報を編集できないように、「読み取り」しかできないドメイン コントローラーを構築することができるようになりました。ブランチ オフィスのような管理者がいないリモート拠点のサイトでは、RODC を配置すると安全です。
RODC を構築する手順については、以下の記事で紹介しています。
Active Directory ドメイン サービスでは、ドメインで管理するユーザーやコンピューターは、ドメイン コントローラーと呼ばれる役割をもつサーバーで管理しています。 通常は、ユーザーやコンピューターのアカウントの追加、グループ […]
RODC でのデータ複製
RODC では、ドメイン コントローラーで管理されているデータを変更することはできません。RODC は、OS のバージョンが Windows Server 2008 以降の書き込み可能な通常のドメイン コントローラー(RWDC)から、一方向の複製(レプリケーション)で必要なデータを受け取ります。RODC は「読み取り専用」のドメイン コントローラーであるため、アカウントの認証やグループ ポリシーの配布などは行えますが、アカウントの登録などの AD データが変更される作業は行うことはできません。通常のドメイン コントローラーから RODC に複製されるデータは、AD データベースと SYSVOL のデータです。ただし、既定の設定では、アカウントのパスワードの複製されません。
RODC がデータを複製できるのは、Windows Server 2008 以降の通常のドメイン コントローラーのみとなります。そのため、ドメイン内に Windows Server 2008 以降の通常のドメイン コントローラーが1台もない場合は、RODC を構築することはできません。
RODC のみで構成されているサイトに所属するクライアント端末は、同一サイト内にある RODC を利用します。クライアント端末にて、アカウントのパスワードの更新や DNS レコードの更新など、AD データベースで管理しているデータの更新が行われた場合、RODC 上では更新することができないため、RWDC へ更新情報を転送します。RWDC にてデータの更新が行われ、更新されたデータを RODC へも即時に複製する動作となります。
RODC でのアカウントのパスワードの管理
既定の設定では、RODC にはアカウントのパスワードの情報は複製されません。そのため、RODC はクライアント端末から認証要求を受け取ると、RODC では認証の処理をすることができないため、Windows Server 2008 以降の RWDC へ認証要求を転送して、認証を行います。
もし、RODC のみがあるサイトと RWDC があるサイト間のネットワークに問題があった場合、RODC はクライアント端末から受け取った認証要求を RWDC へ転送できません。その場合、RODC では認証要求は処理を行えないため、認証ができず、クライアント端末でログオンができないなどの問題が発生することが想定されます。
既定の設定では、RODC にはアカウントのパスワードの情報は複製されませんが、「パスワード レプリケーション ポリシー」により、RODC にアカウントのパスワードのキャッシュを保持するように構成することができます。RODC にてアカウントのキャッシュがあれば、RWDC へ認証要求を転送せずに、RODC にて認証を処理することができます。そのため、RODC のみがあるサイトと RWDC があるサイト間のネットワークに問題があった場合でも、ログオンができないなどの問題を解消することができます。
パスワードをキャッシュする必要があるアカウントは、ログオンするユーザーとログオン先のクライアント端末の両方となります。
パスワード レプリケーション ポリシー
パスワード レプリケーション ポリシーとは?
パスワード レプリケーション ポリシーとは、RODC のドメイン コントローラーにパスワード キャッシュを保存するアカウントを定義するポリシーのことです。
RODC では、既定ではアカウントのパスワードは保存されません。RODC にてアカウントの認証を処理できるようにするには、アカウントのパスワードの情報が必要です。そのため、パスワード レプリケーション ポリシーにて、認証を行う対象のアカウントのパスワード キャッシュを保存するように許可する設定が必要です。
パスワード レプリケーション ポリシーは、[Active Directory ユーザーとコンピューター] の管理コンソールにて、RODC のコンピューター アカウントのプロパティ画面の [パスワード レプリケーション ポリシー] タブにて設定できます。[パスワード レプリケーション ポリシー] にて、許可されているグループがパスワードのキャッシュが保存されているグループ、拒否されているグループがパスワードのキャッシュが拒否されているグループです。
既定の設定は以下の通りとなります。
パスワード レプリケーション ポリシーの設定手順
パスワード レプリケーション ポリシーにアカウントを許可して、RODC にパスワード キャッシュを保存される手順は以下の通りです。
1) 書き込み可能な任意のドメイン コントローラーに管理者権限でログオンします。
2) [Windows 管理コンソール] にて、[Active Directory ユーザーとコンピューター] を開きます。
3) 画面の左ペインにて [Domain Controllers] の OU を選択して、RODC のコンピューター アカウントをダブルクリックしてプロパティ画面を開きます。
4) RODC のコンピューター アカウントのプロパティ画面にて、[パスワード レプリケーション ポリシー] タブを選択します。
5) “Allowed RODC Password Replication Group” にダブルクリックしてグループ アカウントのプロパティ画面を開きます。
6) [メンバー] タブを選択し、[追加] をクリックします。
7) パスワード キャッシュの保存を許可するアカウントを指定して、[OK] をクリックします。
8) [所属するメンバー] の項目に、パスワード キャッシュの保存を許可するアカウントが追加されたのを確認して、[OK] をクリックします。
パスワードキャッシュの即時複製
パスワード レプリケーション ポリシーで設定したアカウントのパスワードのキャッシュが RODC へ保存されるのは、そのアカウントが RODC に認証要求を送信したタイミングです。対象のアカウントが一度も RODC に認証要求を送信したことがない場合、RODC ではアカウントのパスワードのキャッシュは保存されません。
もし、RODC にアカウントのパスワード キャッシュがない状態で、RODC のみがあるサイトと RWDC があるサイトの間で通信障害が発生した場合、RODC のサイトでアカウントがログオンをしようとしたときに、ログオンできない障害が発生します。
ユーザーがログオンの有無に関係なく、管理者が手動で RODC にアカウントのパスワード キャッシュを保存させることができます。RODC にパスワードをキャッシュする手順は以下の通りです。
1) 書き込み可能な任意のドメイン コントローラーに管理者権限でログオンします。
2) [Windows 管理コンソール] にて、[Active Directory ユーザーとコンピューター] を開きます。
3) 画面の左ペインにて [Domain Controllers] の OU を選択して、RODC のコンピューター アカウントをダブルクリックしてプロパティ画面を開きます。
4) RODC のコンピューター アカウントのプロパティ画面にて、[パスワード レプリケーション ポリシー] タブを選択します。
7) [詳細なパスワード レプリケーション ポリシー] の設定にて、[パスワードの事前配布] をクリックします。
※[パスワードがこの読み取り専用ドメイン コントローラーに保存されているアカウント] を表示している場合、一覧に表示されているユーザー アカウントとコンピューター アカウントは、RODC にパスワード キャッシュが保存されているアカウントの一覧です。
8) [ユーザー または コンピューター の選択] にて、RODC にパスワードをキャッシュするアカウントを入力して [OK] をクリックします。
9) [パスワードの事前配布] にて、配布する対象のアカウントが選択されていることを確認して、[はい] をクリックします。
10) アカウントのパスワード キャッシュが配布されたことを示すメッセージが表示されたら [OK] をクリックします。