RODC設計(その前に知っておきたいこと)

2015/2/16 Server

さまざまなHPやブログでRODCのインストール方法などが紹介されていますが、その前に知っておきたいことがあります。それを知っているとなぜRODCをインストールするべきなのかがわかります。また、設計におけるヒントにもなります。

そもそもRODCとは、その役割は?

Windows Server 2008から新しい形態のドメインコントローラーであるRODCがサポートされました。このRODCとは読み取り専用ドメインコントローラーと呼ばれています。

RODCの利用用途としては、セキュリティに不安があるようなブランチオフィスなどに設置するなどとよく言われています。しかし、そもそもなぜRODCという機能ができたのか?を知ることによって設計手法も導き出せると考えます。

では、RODCがなかったころ・・・要するにWindows Server 2003の頃問題となったのはどういうことか?

それは、支社において管理者や、セキュリティ領域(サーバールームなど)がなく運用管理やセキュリティに不安がある場所においても書き込み可能なドメインコントローラー(DC)を置かないといけない場合があった。そうなるとDCにはドメインの資格情報(パスワードなど)が格納されているのでDCのコンピューター自体が盗まれ、解析されてしまうなどのリスクを持つことになります。

この問題を解決するための手段としてRODCが開発されたと考えます。

では、なぜそのような場所にDCを置かなくてはいけないのか?その大きな一つの要因は

  • クライアントユーザーのログイン速度を上げたい

ということになります。

でも支社にDCを置いたからその支社のユーザーはすべてローカルに存在するDCを使ってログインするのか?実はある仕組みが必要になります。それはADのサイトを本社、支社に分け、支社のサイトに支社で使用するDCを配置します。そうすることによって、クライアントはサイトのサブネット設定により自分のサイトのDCを知ることができるのでログイントラフィックの封じ込めが可能になります。しかし、実はこれだけではありません。それは、サイトごとにGCやDNSを置くべきなんです。それはクライアントのログインプロセスに起因します。クライアントはまずDNSのSRVレコードを参照してDCを探します。そしてDCはGCカタログを参照することによってユニバーサルグループに入っているがどうかを確認します。これらのプロセスも同じサイトにないとログイントラフィックの封じ込めが中途半端になります。そしてサイト内のDCからユーザー情報を取得してログインを行います。

ただし、Windows Server 2003以降からはサイトの設定で、ユニバーサルグループメンバーシップのキャッシュをサポートしているので必ずしもGCをサイト内に設置する必要はありません。

RODCの要件とは

RODCを展開するためにはある一定条件が必要になります。それは

  • フォレストの機能レベルが Windows Server 2003以上にする
  • ドメインの機能レベルを Windows Server 2003以上にする
  • 同一ドメイン内に少なくとも一台以上Windows Server 2008が必要

参考

RODC の展開に必要な前提条件

RODCの利点

RODCの管理にはドメインレベルの権限を一切付与せずにRODC用に委任されたローカル管理者を設定することができる。これにより、支社(RODC)のみの管理を任せることができます。

パスワードレプリケーションポリシーを設定することにより、設定された資格情報のみがRODCに配置される。想定されるのは支社のユーザーの資格情報をRODCに配置することによってログオントラフィックを封じ込めができます。よって、RODC自体が盗まれて解析されてもドメイン全体に影響を及ぼすのではなく、その支社の資格情報が危険にさらされるのみとなります。そのような場合は本社側でRODCの資格情報をリセットすれば支社の資格情報も守られることになります。

想定されるRODCの前提とは(まとめ)

RODCは今までDCを配置してログイントラフィックの封じ込めを行っていた場所に対する代替の方法になる。ということは、サイト設計を行いサイトの分離を行う。そして支社のサイトにはDCは置かずに1台のRODCが配置される。またメンバーサーバーもあるかもしれませんね。さらにRODC上にDNSやGCを配置するのは強い推奨となると思われます。ただし、セキュリティを考慮するとGCを配置するよりもユニバーサルグループメンバーシップのキャッシュを設定するほうがよりセキュリティレベルは高くなるでしょう。そうすればRODCが配置されたサイトで、ユーザーがログインしたときのみキャッシュが登録されるからです。

RODCを配置する場合の注意事項

  • サイトにRODCを追加(RODCを複数立てると資格情報の不整合が発生する場合がある)
  • サイトにDCを追加(RODCを導入する意味がない)
  • サイトを作らずにRODCの追加(これも意味がない)

今回は技術的な話というよりは、設計を行う上での考慮点ということになりますね~

Related Posts

スポンサーリンク
レクタングル(大)広告
レクタングル(大)広告
  • このエントリーをはてなブックマークに追加

, Naoki Abe

コメントをどうぞ

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください