Windows Server 2008におけるActive Directoryの改善：読み取り専用ドメインコントローラー（RODC）

Windowsサーバー上の読み取り専用ドメインコントローラー（RODC）はありますか。 2008オペレーティングシステムの新しいドメインコントローラ。読み取り専用ドメインコントローラーを使用すると、組織は物理的なセキュリティが保証されていない分野にドメインコントローラーを簡単に展開できます。 RODCには、Active Directoryデータベースの読み取り専用部分が含まれています。

Windows Serverの場合2008年のリリース前に、ユーザーがWAN経由で認証を受けるためにドメインコントローラーに接続しなければならなかった場合、これ以上の代替方法はありません。多くの場合、これは効果的な解決策ではありません。支社は通常、書き込み可能なドメインコントローラに対して十分な物理的セキュリティを提供していません。さらに、支社がハブサイトに接続されている場合、それらのネットワーク帯域幅は通常貧弱です。これにより、ログイン時間が長くなります。これもネットワークリソースへのアクセスを妨げます。

Windows Serverから？ 2008年以降、組織はこれらの問題に対処するためにRODCを展開できます。展開の結果として、ユーザーは次のような利点を得ることができます。セキュリティの向上高速ログインネットワークリソースへのより効率的なアクセスRODCにできることは何ですか？

RODCの展開を検討する際、物理的なセキュリティの欠如が最も一般的な理由です。 RODCは、高速で信頼性の高い認証が必要とされるドメインコントローラを展開するための新しい方法を提供しますが、書き込み可能なドメインコントローラに対する物理的なセキュリティは保証されません。

ただし、組織は特別な管理ニーズに合わせてRODCを展開することもできます。たとえば、基幹業務（LOB）は、正常に実行するためにドメインコントローラーにのみインストールできます。または、ドメインコントローラがブランチオフィス内の唯一のサーバーであり、サーバーアプリケーションを実行する必要があります。

これらの例では、ビジネスプロセスの所有者はドメインコントローラーに対話的にログインするか、ターミナルサービスを使用してプログラムを構成および管理する必要があります。この環境では、書き込み可能なドメインコントローラでは許容できないセキュリティリスクが発生します。

RODCは、これらのシナリオでドメインコントローラを展開するためのより安全な機械的構造を提供します。対話型ディレクトリフォレストに関連するセキュリティ上のリスクを最小限に抑えながら、管理者権限なしでRODCにログインする権利をドメインユーザーに移すことができます。

他のシナリオでRODCを展開することもできます（例：EXTRANETSにローカルに保存されているすべてのドメインパスワードは大きな脅威と見なされます）。

他に特別な考慮事項がありますか。

RODCを展開するには、Windows Server 2008を実行している書き込み可能なドメインコントローラーが少なくとも1つ必要です。また、Active Directoryドメインとフォレストの機能レベルは、Windows Server 2003以上である必要があります。

この機能はどのような新機能を提供しますか？

RODCは支店でよくある問題を処理します。これらの場所にはドメインコントローラがない場合があります。あるいは、書き込み可能なドメインコントローラを持っていても、サポートを提供するのに十分な物理的セキュリティ、ネットワーク帯域幅、および専用の技術スタッフがいない。次のRODC機能により、これらの問題が軽減されます。読み取り専用のActive Directoryデータベース一方向のレプリケーション資格情報キャッシュ管理者の役割分割読み取り専用のDNS

読み取り専用のActive Directoryデータベースアカウントのパスワードに加え、RODCにはすべての書き込み可能ドメインがあります。コントローラが所有するオブジェクトとプロパティ。ただし、RODCに格納されているデータベースにデータを変更することはできません。データの変更は、書き込み可能なドメインコントローラで行い、その後RODCにコピーする必要があります。

ディレクトリの読み取り権限を要求しているローカルプログラムがアクセス権限を取得できます。 LDAP（Lightweight Directory Access Protocol）を使用しているプログラムが書き込みアクセスを要求すると、「紹介」応答が受信されます。ハブサイトでは、これらの応答は通常、書き込み要求を書き込み可能なドメインコントローラに送信します。

RODCフィルタ属性セットデータストアとしてAD DSを使用するプログラムの中には、信頼資格情報（パスワード、信頼資格情報、暗号化キーなど）のようなデータをRODCに格納するものがあります。そして、RODCが受けるセキュリティ上の脅威のため、このデータをRODCに保存したくはありません。

これらのプログラム用です。スキーマ内のRODCにコピーされていないドメインオブジェクトのプロパティセットを動的に構成できます。この一連の属性は、RODCフィルター処理属性セットと呼ばれます。 RODCフィルター処理属性セットで定義されている属性は、フォレスト内のどのRODCにもコピーできません。

RODCを脅かす悪意のあるユーザーが何らかの方法でRODCを構成し、RODCフィルタ処理属性セットで定義されている属性を他のドメインコントローラにコピーしようとする可能性があります。 RODCがWindows Server 2008がインストールされているドメインコントローラーからこれらの属性をコピーしようとすると、コピー要求は拒否されます。ただし、RODCがWindows Server 2003がインストールされているドメインコントローラからこれらの属性をコピーしようとすると、コピー要求は受け入れられます。

したがって、セキュリティ上の理由から、RODCフィルター処理属性セットを構成する場合は、フォレストの機能レベルがWindows Server 2008であることを確認してください。フォレストの機能レベルがWindows Server 2008の場合、Windows Server 2003を実行しているドメインコントローラはフォレスト内で許可されていないため、この脅威を受けたRODCはそれを使用できません。

RODCフィルタ属性セットにシステムキー属性を追加することはできません。システムの重要な属性であるかどうかを判断する根拠は、AD DS、LSA、SAM（およびKerberosなどのSSPI）を含む次のサービスが正常に機能するかどうかを確認することです。 1 schemaFlagsEx属性

RODCフィルタ処理属性セットは、スキーマ操作マスタを所有するサーバー上で構成されています。システムキー属性をRODCフィルタ処理属性セットに追加しようとしたときに、スキーマ操作マスタがWindows Server 2008で実行されていると、サーバーは "unwillingToPerform" LDAPエラーを返します。システムキー属性をRODCフィルタ処理属性セットに追加しようとしたが、スキーマ操作ホストがWindows Server 2003上で実行されている場合、操作は成功したように見えますが、属性値は実際には追加されません。したがって、RODCフィルター処理済み属性セットに属性を追加する場合は、価格アクションホストをWindows Server 2008を実行しているドメインコントローラーにすることをお勧めします。これにより、システムキー属性がRODCフィルタ処理属性セットに含まれなくなります。

一方向レプリケーションは、属性に対する変更がないためRODCに直接書き込まれます。そのため、変更はRODCから開始されません。したがって、複製パートナーとして機能する書き込み可能ドメインコントローラーは、RODCからデータを "プル"する操作を生成しません。これは、ブランチ構造のRODCで悪意のあるユーザーが実行した操作の結果がフォレストの残りの部分にコピーされないことを意味します。これにより、ハブサイトのブリッジヘッドサーバーの作業負荷とレプリケーションの監視に必要な作業量も削減されます。

RODCの一方向レプリケーションは、AD DSと分散ファイルシステム（DFS）レプリケーションの両方に適用されます。 RODCは、AD DSとDFSに対して通常のインバウンドレプリケーションを実行します。

認証情報キャッシュされた認証情報キャッシュは、ユーザーまたはコンピュータの認証情報のストアです。資格情報は、セキュリティプリンシパルに関連付けられている約10個のパスワードの小さなセットで構成されています。既定では、RODCはユーザーまたはコンピューターの資格情報を保存しません。例外は、RODC自身のコンピューターアカウントと、各RODCのすべての特別なkrbtgtアカウントです。 RODCに他の資格情報キャッシュを表示する必要があります。

RODCは、支店構造の鍵配布センター（KDC）を発表しました。 RODCは、書き込み可能なドメインコントローラ上のKDCとは別のkrgbrtアカウントとパスワードを使用して、署名または暗号化（TGT）要求を行います。

アカウントが正常に認証されると、RODCはハブサイトの書き込み可能なドメインコントローラーに連絡して適切な資格情報のコピーを要求しようとします。書き込み可能なドメインコントローラーは、要求がRODCから送信されたことを認識し、RODCに影響を与えるパスワードレプリケーションポリシーを調べます。

パスワードレプリケーションポリシーは、ユーザーまたはコンピューターの資格情報を書き込み可能なドメインコントローラーからRODCにコピーできるかどうかを決定します。ポリシーで許可されている場合、書き込み可能ドメインコントローラはパスワードをRODCにコピーし、RODCは資格情報をキャッシュします。

資格情報がRODCによってキャッシュされた後、資格情報が変更されるまで、RODCはユーザーログインのサービスを直接要求できます。 （TGTがRODCのkrbtgtアカウントで署名されている場合、RODCには資格情報のキャッシュコピーがあることが認識されます。別のドメインコントローラがTGTに署名すると、RODCは要求を書き込み可能なドメインコントローラに転送します。

資格情報キャッシュはRODCによって認証されてキャッシュされるユーザーの資格情報のみに制限されているため、RODCへの脅威による潜在的な資格情報の漏洩も制限されます。したがって、ドメインユーザーの資格情報のごく一部だけがRODCにキャッシュされます。したがって、RODCが盗まれると、キャッシュされた資格情報のみが解読される可能性があります。

認証情報キャッシュを閉じたままにしておくと、リークに対するより厳しい制限が可能になりますが、これによりすべての認証要求が書き込み可能なドメインコントローラに渡されることになります。管理者は既定のパスワードポリシーを変更して、ユーザーの資格情報をRODCにキャッシュできるようにすることができます。

管理者ロールのセグメンテーションユーザーにドメインまたはドメインコントローラへのアクセス権を付与せずに、RODCのローカル管理者権限を任意のドメインユーザーに委任することができます。これにより、ブランチオフィスのユーザーはRODCにログインしてドライバーのアップグレードなどのメンテナンスタスクを実行できます。ただし、ブランチ構造のユーザーは、他のドメインコントローラにログインしたり、ドメイン内の他の管理タスクを実行したりすることはできません。したがって、ブランチ構造のユーザーは、ドメインの他の部分のセキュリティを脅かすことなく、ブランチRODCを管理するための有効な権限を委任することができます。

読み取り専用DNS RODCにDNSサービスをインストールできます。 RODCは、ForestDNSZonesやDomainDNSZonesなど、DNSで使用されるすべてのプログラムディレクトリパーティションを複製できます。 DNSサービスがRODCにインストールされている場合、ユーザーは他のDNSサーバーと同じように名前解決を実行できます。

ただし、RODCのDNSサービスは直接のクライアント更新をサポートしていません。 RODCは、それが所有するAD統合領域のNSリソースレコードを登録しないためです。クライアントがRODC上のDNSレコードを更新しようとすると、サーバーはクライアントの更新を含むDNSサーバーへの参照を返します。その後、クライアントは、参照で提供されているDNSサーバーを使用してDNSレコードを更新しようとします。バックグラウンドで、RODC上のDNSサーバーは更新されたDNSサーバーから更新されたレコードをコピーしようとします。コピー要求は単一のオブジェクト（DNSレコード）のみを対象としています。特定の「単一オブジェクトのコピー」要求では、変更された領域全体またはドメインデータのリストは複製されません。