ブランチ拠点(支店)に、ネットワークが孤立した場合の万が一用にドメインコントローラーの設置を検討中です。
しかし、
- ブランチ拠点(支店)にはシステム管理者(情報システム)がいないので
- ADの管理者権限を与えたくない
- しかしWindowsパッチ当てやシャットダウンなど単純な運用はさせたい
そんな時に、登場するドメインコントローラがリードオンリーなドメインコントローラRODCです!
レジュメ
環境・前提条件
- Windows Server 2012 R2
で確認しました。
RODCはWindows Server 2008時点での目玉機能だったようですね。
RODCを構築してみる。RODC設定・構築方法
ドメインコントローラーを既存ドメインに追加する手順で簡単に作成可能です。
以下、構成ウィザード画面とポイントを記載します。
RODCにするサーバーの前提として、ドメイン参加しておいてください。そこから上記ウィザードを開始します。
「既存のドメインにドメインコントローラーを追加する」で、「この操作を実行するには資格情報を指定してください」の「変更」をおし、ドメインユーザーとパスワードを入力します。そして「次へ」ボタン。
読み取り専用ドメインコントローラー(RODC)
「読み取り専用ドメインコントローラー(RODC)」にチェックを入れます。
あとは、ディレクトリサービス復旧モードのパスワードを入力し、「次へ」。
委任された管理者アカウント
RODCのポイントですが、「委任された管理者アカウント」にドメインユーザーもしくはドメイングループを選択しておきます。
おすすめはドメイングループですね。
こちらを設定することにより、RODCにドメインadministratorといった強力なユーザー権限を使わずに、RODCのローカルadministratorsグループのような設定ができます。
これは後から設定を変更することや追加することが出来ます。(ドメインコントローラー上のRODCコンピュータアカウントから「管理者」タブ設定)
「次へ」
「次へ」
「次へ」
「インストール」ボタンを押し、RODCの作成が完了です。
「現在、ログオン要求を処理できるログオンサーバーはありません」
せっかくRODCをブランチ拠点(支店)に構築しましたが、
このままでは、RODCはDCと通信できない時に問題が発生しますので、その対応設定をする必要があります。
ここからがRODCの運用設計ですね。
パスワードキャッシュの設定・設計が必要です(Allowed RODC Password Replication Group )
参考情報が以下のURLにあります。