Windows Server 2008で強化された分野のひとつに、リモートブランチでの運用に対する配慮がある。ここでいうリモートブランチとは、たとえば小規模な営業拠点のように、専任の管理者を置くことができない出先組織などを指す。

そこで今回と次回の2回にわたり、リモートブランチ関連の機能として読み取り専用ドメインコントローラ(以下RODC : Read Only Domain Controller)について解説しよう。

リモートブランチとActive Directory

こうした拠点は、WAN(Wide Area Network)、あるいはVPN(Virtual Private Network)を用いて接続することが多いが、いずれにしてもLAN(Local Area Network)と比較すると伝送能力が劣る。そのため、リモートブランチ側ドメインコントローラを設置しないと、ログオン時に回線にかかる負荷の比率が相対的に高まる。

その問題を解決するために、リモートブランチ側にドメインコントローラを設置すると、ログオン時の認証を効率化するために使用するパスワードキャッシュの問題が出てくる。それもドメインコントローラ同士で同期しているため、リモートブランチ側にいる数少ないユーザーのために、全ユーザーのパスワードキャッシュを同機・拡散させることになるからだ。

そこでRODCが登場する。RODCは、通常のドメインコントローラと同様にユーザー認証を受け付けることができるが、以下のような特徴がある。

・他のドメインコントローラとの同期が一方通行になっており、更新した情報を受け取るだけ
・RODCが保持するパスワードキャッシュの対象を、グループ単位で制限できる

これらは主として、セキュリティ上の配慮に基づいたものといえる。同期を一方通行にすることで、リモートブランチ側で加わった変更(正規の手順やユーザーによる変更だけでなく、トラブル、あるいは不正行為によるものも含む)をネットワーク全体に拡散させる事態を回避できる。専任の管理者がいない場面を前提とした場合、これは管理負荷の軽減に効果があると考えられる。

また、パスワードキャッシュの保持対象を制限する機能により、パスワード情報の漏洩防止につながる効果を期待できる。もちろん、キャッシュといっても入力したパスワードをそのまま保持しているわけではないが、たとえハッシュ値を使用したとしても、偶発的に、あるいは総当たりによってパスワードを突き止められる可能性は皆無ではない。RODCに保持するパスワードキャッシュを制限することで、その場合の被害拡散を防ぐ効果を期待できる。

なお、これはパスワードキャッシュを行うかどうかという意味なので、ログオンの可否とは関係ない。パスワードキャッシュの保持を禁止したグループのメンバーでも、RODCでログオン時の認証を受ける操作は可能だ。

このほか、RODCに限定して管理を委任する機能がある。これにより、リモートブランチ側のユーザーが管理操作を行えるようになるが、その対象はRODCに限られる。そのため、たとえばユーザーIDとパスワードの情報を盗まれるような事態が発生しても、被害を局限できる。

RODCの追加作業(1)

RODCだけでは、Active Directoryを運用できない。まず通常のドメインコントローラが稼働していて、そこに追加ドメインコントローラとしてRODCを追加するという構成をとる。

そのため、RODCの構成作業は途中まで、通常のドメインコントローラ追加と同様にして進む形をとっており、その途中でRODCの追加を指示する仕組みだ。具体的な作業の流れは、以下のようになる。

1. ドメインコントローラの種類選択(ドメインコントローラの追加を指示)

2. Active Directoryに対して管理者権限を持つユーザーと、それに対応するパスワードの指定。[代替の資格情報]を選択した状態で、[設定]をクリックして指定する。

3. Active Directoryの指定。ドメインDNS名で指定する。

4. 所属するサイトの選択(サイトについては、そのうち本連載で取り上げる予定だ)。

5. [追加のドメインコントローラオプション]画面で、[読み取り専用ドメインコントローラ(RODC)]チェックボックスををオンにして続行する

RODCを設置するには、ドメインコントローラの追加作業を行い、途中で[読み取り専用ドメインコントローラ(RODC)]チェックをオンにする

と、ここまでは通常のドメインコントローラ追加と同じようにして作業が進んでくるが、ここから先の内容はRODCに独特のものになる。

RODCの追加作業(2)

続いて、RODCに固有の設定項目について解説しよう。

1. パスワードレプリケーションポリシーの設定。これは、どのグループについてパスワードキャッシュ複製を認めるかどうかを指定するもの。既定値では[Allows RODC Password Replication Group]だけに複製を許可している。

パスワードレプリケーションポリシーの設定により、指定したグループについて、パスワードキャッシュの可否を指定する。パスワードキャッシュを許可したグループのメンバーだけが、RODCによるパスワードキャッシュの対象になる

2. さらに別のグループにも複製を許可したい場合、[追加]をクリックする。ここではグループの指定に加えて許可/拒否の選択を行えるので、特定のグループについて明示的に、複製を禁止する指定も可能だ。

[追加]をクリックすると表示するダイアログで、その後で指定するグループについて、パスワードキャッシュを許可するか、それとも拒否するかを指定する

3. RODCの管理委任設定。任意のユーザー/グループに対してRODCの管理を委任する設定を行える。

4. Active Directoryデータベースの複製元指定。既定値では既存のドメインコントローラからActive Directoryデータベースを複製するが、[次の場所のメディアからデータをレプリケートする]を選択すると、CD-RやUSBフラッシュメモリから複製することもできる。これは主として、既存のドメインコントローラと接続するネットワークが存在しない、あるいはネットワークが低速で同期に時間がかかりすぎる場合に利用する機能だ。

リモートブランチではネットワークの伝送能力が落ちる、あるいはまだネットワークにつながっていない可能性があるため、Active Directoryデータベースの複製元として、CD-RやUSBフラッシュメモリといったストレージ機器を指定できるようになっている

5. 複製元ドメインコントローラの選択。前の画面で、複製元として既存のドメインコントローラを指定した場合に必要となる作業。既定値では自動選択だが、[特定のドメインコントローラを使用する]を選択することもできる。

また、既存のドメインコントローラから複製する場合でも、任意のドメインコントローラを指定できる

6. Active Directoryデータベースとログの配置場所指定、システムボリュームの配置場所指定、ディレクトリサービス復元モードのパスワード指定と続くが、これらは通常のドメインコントローラ構成時と同じ要領で設定できる。

7. ウィザード最終画面で設定内容を確認して、[次へ]をクリックすると構成作業を開始する。完了後に再起動すると、RODCが稼働を開始する。