Windows Server 2008 R2ドメインコントローラ：慎重に計画するRODC

物理的なセキュリティがない場合は、データセキュリティへの注力を強化することが重要になります。 Windows
Server 2008およびR2はこれを行うための新しい方法を提供します。これらの方法は、物理的なセキュリティが重要ではないリモートオフィスなどの環境に合わせて調整されているようです。読み取り専用ドメインコントローラー（RODC）は、 Windows
ServerシステムのActive Directoryドメインサービス（AD DS）の新機能です。読み取り専用ドメインコントローラーは、ドメインコントローラー（DC）が通常使用される方法に対する基本的な変更を表します。

RODCの新機能の多くは設計および展開プロセスの重要な側面に影響を与えるため、企業でこれらの機能を活用する方法を理解することが重要です。環境にこれらの機能を導入する前に考慮しなければならないいくつかの重要な設計と計画の考慮事項があります。 RODCは、Active Directoryデータベースパーティションの完全な読み取り専用コピー、SYSVOLの読み取り専用コピー、および書き込み可能なDCからの特定のアプリケーションデータの受信方向の複製を制限するフィルタプロパティセット（FAS）をホストするDCです。 。

既定では、RODCはユーザーアカウントとコンピューターアカウントの資格情報を選択的に保存しませんが、選択的な保存用に構成することはできます。これは通常、データセンターのイントラネットで物理的なセキュリティが不足しているリモートブランチオフィスや境界ネットワークでのRODCの使用のみを保証します。 RODCは、他のあまり知られていないセキュリティ機能も提供しています。たとえば、侵害されたRODC自体に関連するチケットベースの攻撃に対するKerberos RODCの専用チケット付与アカウントなどです。

セキュリティ上の問題がRODCを展開する最も一般的な理由ですが、RODCには、企業の管理容易性やスケーラビリティなど、他にも多くの利点があります。一般に、RODCはローカルの認証と承認を必要とするが、書き込み可能なDCの物理的なセキュリティが欠如している環境で使用されます。したがって、RODCはデータセンターの境界ネットワークまたは支店で最も一般的です。

AD DSを必要とするデータセンターはRODCの効果的な使用例ですが、セキュリティ上の制約から、境界ネットワークで会社のAD DSフォレストを利用することはできません。この場合、RODCは関連するセキュリティ要件を満たすため、AD DSを実装するために会社のインフラストラクチャが変更されます。そのような状況はおそらくより一般的になるでしょう。これは、拡張企業フォレストモデルなど、境界ネットワーク用の現在のベストプラクティスAD DSモデルも反映しています。

RODCを使用した支店の設立

AD DSを使用したRODCの最も一般的な環境は、依然として支店です。そのような環境は、通常、ハブアンドスポークネットワークトポロジのエンドポイントです。それらは典型的には広い地理的な場所に分散しており、それぞれが少数のユーザーグループを持ち、低速で信頼性の低いネットワークリンクを介して中央サイトに接続されており、経験豊富なローカル管理者を欠いていることが多い。

既に書き込み可能なDCをホストしているブランチオフィスでは、RODCを展開する必要はないかもしれません。ただし、この場合、RODCは既存のAD DS関連の要件を満たすだけでなく、セキュリティの向上、管理の強化、アーキテクチャの簡素化、および総所有コスト（TCO）の削減に関する要件を超えています。セキュリティまたは管理容易性の要件によりDCが禁止されている場所では、RODCを使用してDCを環境に持ち込み、便利なローカライズサービスをいくつか提供できます。

RODCの新機能と利点により高く評価されるようになりましたが、アプリケーションの互換性の問題やサービスへの影響など、考慮すべき要素が他にもあります。これらの要因により、一部の環境ではRODCの展開が受け入れられない場合があります。

たとえば、ディレクトリをサポートする多くのアプリケーションやサービスはAD DSからデータを読み取るため、引き続きRODCを実行して使用する必要があります。ただし、常に書き込み可能なアクセス許可が必要なアプリケーションがあると、RODCが受け入れられないことがあります。書き込み可能なDCへのRODCの書き込みは、ネットワーク接続にも依存します。書き込みの失敗はアプリケーションに関連する最も一般的な問題ですが、非効率的または失敗した読み取り操作、書き込み - 読み取り - 戻り操作、およびRODC自体との関連など、考慮すべき問題が他にもあります。一般的なアプリケーションは不完全です。

アプリケーションの問題に加えて、書き込み可能なDCへの接続が失われたり失われたりすると、基本的なユーザーとコンピュータの操作に影響が出る可能性があります。たとえば、アカウントパスワードがキャッシュ可能でなく、ローカルRODCにもキャッシュされていない場合、基本認証サービスは失敗する可能性があります。この問題を解決するには、アカウントをRODCのパスワードレプリケーションポリシー（PRP）でキャッシュ可能にしてから、パスワードを事前に入力します。これらの手順を実行するには、書き込み可能なDCに接続する必要もあります。

書き込み可能なDCに接続できない場合、パスワードの有効期限、アカウントのロックアウト、その他の認証の問題が著しく影響を受けます。パスワード変更要求および手動でロックされたアカウントのロックを解除しようとしても、書き込み可能なDCへの接続が復元されるまで失敗します。これらの依存関係とそれに続く運用上の行動の変化を理解することは、要件とサービスレベル契約（SLA）を確実に満たすために不可欠です。

いくつかの一般的なケースでは、RODCを展開できます。 RODCは、DCが現在存在しない場合、または現在ホストされているDCが新しいバージョンのWindowsに置き換えられるかアップグレードされる場合に役立ちます。状況ごとに具体的な包括的な計画の考慮事項がありますが、ここでは非特異的な方法に焦点を当てます。ただし、これらの方法は、従来の書き込み可能なDCではなく、RODCに対するまったく異なるアプローチです。