【AD DS】読み取り専用ドメイン コントローラー(RODC)の構築手順

Active Directory ドメイン サービスでは、ドメインで管理するユーザーやコンピューターは、ドメイン コントローラーと呼ばれる役割をもつサーバーで管理しています。

通常は、ユーザーやコンピューターのアカウントの追加、グループ ポリシーの設定変更などを行える書き込み可能のドメイン コントローラーを構築します。Windows Server 2008 から、読み取り専用のドメイン コントローラー(RODC:Read Only Domain Controller)を構築することができるようになりました。RODC の基本的な仕組みについては、以下の記事で紹介しています。

あわせて読みたい!

Active Directory ドメイン サービスで構築したドメインでは、ドメインを管理するコンピューターのことを「ドメイン コントローラー」と呼びます。 ドメインでは拠点ごとに「サイト」を構成して管理することができますが、システム管理者[…]

今回は、RODC の構築手順を紹介します。

 

環境

ドメイン環境を以下の環境で構成します。今回、構築するドメイン環境の構成は、書き込み可能なドメイン コントローラー 1 台がある環境に、読み取り専用のドメイン コントローラーを構築します。どちらのドメイン コントローラーも、端末の OS のバージョンは Windows Server 2019 です。

読み取り専用のドメイン コントローラーを構築するサーバーのネットワーク設定において、優先 DNS は構築済みの書き込み可能なドメイン コントローラーの IP アドレスを指定します。

 

読み取り専用ドメイン コントローラー(RODC)の構築手順

今回は、既存のドメインに読み取り専用のドメイン コントローラー(RODC)を構築する手順です。Windows Server 2019 の OS で動作確認しています。

1) RODC を構築する Windows Server 2019 のサーバーに管理者権限をもつユーザーでログオンします。

2) [サーバー マネージャー] を開き、[管理] より [役割と機能の追加] をクリックします。

 

3) [開始する前に] にて、[次へ] をクリックします。

 

4) [インストールの種類の選択] にて、[役割ベースまたは機能ベースのインストール] を選択した状態として、[次へ] をクリックします。

 

5) [対象サーバーの選択] にて、そのまま [次へ] をクリックします。

 

6) [サーバーの役割の選択] にて、[Active Directory ドメイン サービス] のチェックボックスをクリックします。

 

7) [Active Directory ドメイン サービスに必要な機能を追加しますか?] というポップアップ画面が表示されたら、[機能の追加] をクリックします。

 

8) [サーバーの役割の選択] にて、[Active Directory ドメイン サービス] の項目が選択された状態であることを確認して、[次へ] をクリックします。

 

9) [機能の選択] にて、そのまま [次へ] をクリックします。

 

10) [インストール オプションの確認] にて、[インストール] をクリックします。

 

11) [インストールの進捗状況] にて、Active Directory ドメイン サービスの役割が正常にインストールされたら、[このサーバーをドメイン コントローラーに昇格する] をクリックします。

 

12) [配置構成] にて、[既存のドメイン コントローラーに追加する] を選択して、追加するドメイン名を入力し、[この操作を実行するには資格情報を指定してください] にて、ドメインの Domain Admins の権限をもつユーザーの資格情報を入力して [次へ] をクリックします。

 

13) [ドメイン コントローラー オプション] にて、[読み取り専用ドメイン コントローラー(RODC)] の項目のチェックボックスを有効にして、ディレクトリ サービス復元モード(DSRM) のパスワードを入力して、[次へ] をクリックします。

 

14) [RODC オプション] にて、既定の設定のまま [次へ] をクリックします。

 

15) [追加オプション] にて、複製元とするドメイン コントローラーを指定して、[次へ] をクリックします。ドメイン内に存在するドメイン コントローラーが Windows Server 2008 以降の書き込み可能なドメイン コントローラーのみであれば、既定の [任意のドメイン コントローラー] の設定のまま [次へ] をクリックします。

 

16) [パス] にて、既定の設定のまま [次へ] をクリックします。

 

17) [オプションの確認] にて、[次へ] をクリックします。

 

18) [前提条件のチェック] にて、”すべての前提条件のチェックに合格しました。“と表示されていることを確認したら、[インストール] をクリックします。

 

19) [結果] にて、正常にインストールされたら [閉じる] をクリックすると、OS が再起動されます。

 

20) “Active Directory ドメイン サービスのインストールの処理が完了したら、OS が自動で再起動されます。

 

21) OS の再起動が完了したら、読み取り専用ドメイン コントローラー(RODC) の構築が完了です。

 

読み取り専用のドメイン コントローラーが構築された後、ドメイン コントローラーにて [Active Directory ユーザーとコンピューター] を開くと、以下の通り、[DC の種類] に “読み取り専用” と表示されるドメイン コントローラーのコンピューター アカウントが表示されます。