Reading Time: 1 minutes
・ ドメインコントローラーとRODCの違いについて解説
皆さんこんにちは。Active Directoryのコラムを担当している新井です。これまでのコラムでは、ワークグループとドメインの違いや、Active Directoryの概念やキーワードなどについて解説してきました。今回は、Active Directoryドメインの環境における主要なコンポーネントであるドメインコントローラーの展開方法について解説します。
■ ドメインコントローラーの展開
ドメインコントローラーを展開する前に、決定しておくべきことがいくつかあります。その中でも最も重要なのが「配置構成」の決定です。配置構成では、どの展開パターンでドメインコントローラーを構成するかについて、3つの選択肢の中から選択します。その3つの展開パターンをまとめると、以下のようになります。
■ ドメインコントローラーの展開方法
ドメインコントローラーの展開には2つのフェーズがあり、1つ目のフェーズとなるのが役割の追加です。Windows Serverをドメインコントローラーとして構成するためには、WebサーバーやDHCPサーバーとして構成するときと同様に、役割の追加が必要です。役割の追加は、Windows Serverの管理ツールである「サーバーマネージャー」から「管理」、「役割と機能の追加」の順にクリックし、表示されるウィザード内で「Active Directoryドメインサービス」のチェックボックスをオンにして進めるだけです。この役割の追加によって、Windows ServerにActive Directory Domain Servicesという名前のサービスが登録されます。
2つ目のフェーズは、構成ウィザードの実行です。1つ目のフェーズとして役割のインストールをおこないましたが、それだけではまだサービスが開始されません。ドメインコントローラーとして動作させるためには、構成ウィザードを実行する必要があります。役割のインストールが完了すると、構成ウィザードを実行するためのリンクが表示されるため、それをクリックして構成ウィザードを開始します。構成ウィザードの実行時には、事前に解説した配置構成を含む、いくつかのパラメーターを設定します。「既存ドメインにドメインコントローラーを追加」のパターンにおいてはその他のパラメーターとして、どのドメインに追加するのかの指定やそのための資格情報の入力、DNSやRODCなどの展開オプション、データベースのインストールパスなどの指定が求められます。
■ ドメインコントローラーの展開オプション
ドメインコントローラーを構成する際には、RODC (Read Only Domain Controller:読み取り専用ドメインコントローラー) と呼ばれる展開オプションがあります。レプリケーションのしくみについては次回以降のコラムで解説しますが、ここでは通常のドメインコントローラーとRODCの違いについて紹介しておきます。通常のドメインコントローラーは、データベースに対して変更をおこなうことができるドメインコントローラーです。したがって、ユーザーアカウントの作成やプロパティの変更などの操作が可能であり、おこなわれた変更内容は他のドメインコントローラーに複製されます。一方、RODCはデータベースに対して読み取りの権限のみを持つドメインコントローラーです。したがって、RODCではデータベースの参照や他のドメインコントローラーからの複製を受け取ることはできますが、RODCからデータベースに対して変更をおこなうことはできません。
RODCは、管理者が不在であったり、セキュリティ的な懸念事項がある拠点に対してドメインコントローラーを構築する際のオプションとして考えて頂くと良いでしょう。拠点などにドメインコントローラーを構築する際に上記のような懸念事項がある場合には、拠点内のドメインコントローラーでの誤った変更操作が他のドメインコントローラーに複製されてしまったり、ドメインコントローラーおよびデータベースそのものが物理的に盗難されてしまうといった可能性が考えられます。そのようなリスクを軽減するための展開オプションとしてRODCという選択肢が用意されているのです。RODCとして運用すれば、そこからデータベースに対する変更はおこなわれることはありませんし、拠点内で使用するユーザーなどのパスワードのみをRODC上に保有して運用することができます。
今回はドメインコントローラーの展開方法について解説しました。次回は、複数のドメインコントローラー間でおこなわれる複製のしくみについて解説します。
株式会社ソフィアネットワークに勤務し、2009年よりマイクロソフト認定トレーナーとしてトレーニングの開催やコース開発に従事。前職である会計ソフトメーカー勤務時には、会計ソフトの導入サポート支援や業務別講習会講師を担当。これらの経歴も活かして、ユーザー視点や過去の経験談なども交えながらのトレーニングを提供。主にWindows OS、仮想化技術関連のマイクロソフト認定コースを中心に講師として活動しながら、近年の書籍の執筆などの活動も評価され、2017年からMicrosoft MVP for Enterprise Mobilityを受賞。
主な著作は『ひと目でわかるAzure Information Protection』 (日経BP)、『徹底攻略MCP問題集 Windows Server 2016』『徹底攻略MCP問題集 Windows 10』(インプレスジャパン)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。
▼▼ 過去記事はこちら ▼▼
【MicrosoftのMVP解説!Active Directoryのハウツー読本】第1回 Active Directoryの必要性
【MicrosoftのMVP解説!Active Directoryのハウツー読本】第2回 Active Directoryのキホン(1)
【MicrosoftのMVP解説!Active Directoryのハウツー読本】第3回 Active Directoryのキホン(2)
▼▼ 別シリーズのブログ記事もチェック! ▼▼
【MicrosoftのMVP解説!AzureADの虎の巻】第1回 AzureADを利用する意味
【MicrosoftのMVP解説!AzureADの虎の巻】第2回 Azure ADを使って安全にクラウドサービスへアクセスする
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。