Windows Server 2022または2019をベースにした読み取り専用ドメインコントローラー(RODC)の設定を試したことがあれば、最初は少し迷路のように感じるかもしれません。ここでの目標は、ADの読み取り専用コピーのみを持つDCを作成することです。つまり、変更はできませんが、認証はローカルで処理します。これは、特にブランチオフィスやセキュリティが制限されている場所で役立ちます。しかし、役割のインストールからパスワードポリシーの調整まで、必ずしも簡単ではありません。このガイドは完璧ではありませんが、時間と手間を省くための適切な概要を提供するはずです。
Windows Server に読み取り専用ドメイン コントローラをインストールして管理する方法
RODC が実際に何であるかを理解する
インストールプロセスに進む前に、RODCの特徴を理解しておくと役立ちます。RODCは基本的にメインのドメインコントローラーのコピーですが、読み取り専用モードになっています。ADデータの限定されたサブセット、主にリモートオフィスのユーザーのパスワードなどを保持しますが、非常に機密性の高いデータは保持しません。書き込み可能なDCから一方向にデータを複製するため、ブランチで誤って更新されることはありません。ある環境では非常にスムーズに動作しましたが、別の環境では奇妙な遅延が発生したり、コンソールで一部の属性が欠落したりしました。Windowsは配置にも細心の注意を払わなければなりません。RODCをRWDCと同じサイトに配置すると、問題が発生します。
サーバーマネージャーGUI経由でRODCをインストールする
定番の方法です。サーバーマネージャーを開いて、Active Directoryドメインサービス(AD DS)の役割を追加するだけでOKです。ウィザードを起動したら、「既存のドメインにドメインコントローラーを追加する」を選択します。ドメイン管理者としてログインしていることを確認してください。認証情報が必要になります。ドメイン名(woshub.comなど)を指定して、認証情報を設定します。
インストールする機能を尋ねるステップで、必要に応じてDNSとグローバルカタログをチェックし、読み取り専用ドメインコントローラーを選択します。次に、サイト(複数ある場合)を選択し、DSRMパスワードを設定します。覚えやすいパスワードで、管理者パスワードは避けてください。
次に、RODCの管理者権限を特定のユーザー(ブランチのシステム管理者など)に委任することで、完全なドメイン権限を持たずにRODCを管理できるようにします。また、キャッシュするアカウントのパスワードも選択します。一部のサーバーでは、既存のRODCアカウントに関するメッセージが表示される場合があります。特に事前にRODCアカウントを作成している場合は、このメッセージが表示されたら「既存のRODCアカウントを使用する」を選択してください。
ADデータベース、ログ、SYSVOLの保存パスは設定可能ですが、通常はデフォルト設定で問題ありません。インストールをクリックするとサーバーが再起動し、RODCが起動します。RODCを起動してdsa.msc接続し、レプリケーションが正しく行われていることを確認してください。ADの作成ボタンがグレー表示になり、属性が編集できない状態になりますが、これは読み取り専用の場合の正常な動作です。
PowerShell を使用して RODC を展開する
より自動化された環境を好む方、またはServer Coreで作業している方には、PowerShellが最適です。まず、役割とツールをインストールします。
Add-WindowsFeature AD-Domain-Services, RSAT-AD-AdminCenter, RSAT-ADDS-Tools
完了したら、次のようなコマンドで RODC を起動できます。
Install-ADDSDomainController -ReadOnlyReplica -DomainName woshub.com -SiteName MUN_Branch1_RO_Site -InstallDns:$true -NoGlobalCatalog:$false
その後、再起動を促すプロンプトが表示されますので、再起動してください。RODCが実際に読み取り専用になっているかどうかを確認するには、次のコマンドを実行してください。
Get-ADDomainController -Filter * | Select-Object Name, IsReadOnly
IsReadOnlyがTrueに設定されていることを確認してください。RODCアカウントを事前に作成する場合(昇格前のステージングなど)、以下を使用できます。
Add-ADDSReadOnlyDomainControllerAccount -DomainControllerAccountName MUN-RODC01 -DomainName woshub.com -DelegatedAdministratorAccountName "woshub\mbak" -SiteName MUN_Branch1_RO_Site
後でこのサーバーを RODC に昇格させるコマンドは次のようになります。
Install-ADDSDomainController -DomainName woshub.com -Credential (Get-Credential) -LogPath "C:\Windows\NTDS" -SYSVOLPath "C:\Windows\SYSVOL" -ReplicationSourceDC "MUN-DC01.woshub.com" –UseExistingAccount
ただし、PowerShell は RODC に直接接続している場合、AD オブジェクトの属性を変更できないことに注意してください。ユーザーオブジェクトなどを変更する必要がある場合は、–Serverパラメータを使用して書き込み可能な DC を指定する必要があります。
RODC におけるパスワードの複製とキャッシュ
この部分は、想定以上に頻繁にユーザーを困惑させます。どのユーザー、コンピューター、またはサーバーのパスワードをローカルにキャッシュするかを指定できます。こうすることで、RODCが書き込み可能なDCに接続されていない場合でも認証が可能になります。これもRODCを推奨する理由の一つです。Windowsは自動的に2つのグループを作成します。「許可されたRODCパスワードレプリケーショングループ」と「拒否されたRODCパスワードレプリケーショングループ」です。
デフォルトでは、ドメイン管理者やエンタープライズ管理者などの機密性の高いアカウントはキャッシュから除外されます。これは、ブランチオフィスに侵入された場合にセキュリティリスクとなるためです。一般ユーザーについては、許可グループに追加するか、ADUC(Active Directory ユーザーとコンピューター)のRODCプロパティにある「パスワードレプリケーションポリシー」タブでポリシーを指定できます。
ユーザーのキャッシュされたパスワードを直接削除できない(削除ボタンがない)という点が少し面倒です。代わりに、ADUCでユーザーのパスワードをリセットすることでキャッシュをクリアし、強制的に削除できます。スマートではありませんが、有効です。また、RODCが侵害された場合は、パスワードを変更するか、PowerShellコマンドを使用してキャッシュされた資格情報を破棄することで、キャッシュを無効にすることもできます。
結局のところ、RODCの導入は、手順さえ覚えてしまえばそれほど難しいことではありません。主な悩みの種となるのは、パスワードキャッシュにどのような権限とポリシーを設定するか、そしてサーバーの配置が適切かどうかを考えることです。しかし、少しの忍耐があれば、かなり管理しやすくなります。
まとめ
- GUI または PowerShell 経由で AD DS ロールをインストールする
- セットアップ中に適切なサイト、ドメイン情報、RODCオプションを選択します
- ADUCでパスワードキャッシュポリシーを構成する
- レプリケーションをチェックし、正しく動作していることを確認します。不要な属性の変更は許可されません。
- RODCは便利ですが、限界があることを覚えておいてください。機密情報はキャッシュ外に保管してください。
まとめ
RODCのセットアップは、最初のインストールのハードルさえクリアすれば、それほど難しくありません。ただし、セキュリティ対策と配置には十分注意してください。特に、一部の属性はフィルタリングされ、変更できないため、注意が必要です。あるマシンでは再起動後に問題なく動作しましたが、別のマシンではDNS設定を少し調整する必要がありました。全体的に見て、文句のつけようがありません。適切に計画すれば、問題なく動作します。