Windows Server 2016 RODCのインストールと構成

どうも、Miyaです。

RODC(Read Only Domain Controller)とは、読み取り専用ドメインコントローラーと呼ばれ、オブジェクトに対して読み取りしか行えない制限されたドメインコントローラーです。
サーバー管理者が在籍しないブランチオフィスに、潜在的な危険にさらすことなく、ドメインコントローラーの設置を実現することができます。
本記事では、RODCの概要+構築のデモストレーションをご紹介したいと思います。

スポンサーリンク:

RODCの役割

RODCは読み取り専用のため、オブジェクトの書き込み操作が行えません。つまり、新規オブジェクトを作成や、既存のオブジェクトに対する変更操作が行えないDCとして存在します。
「じゃあ、なんのためにRODCを作るの?」ですが、要は、認証のためだけに設置するDCとなります。

例えば、本拠点を東京に置く企業が、名古屋、大阪にブランチオフィスを持っていたしましょう。
本拠点には、DCが構築されており、名古屋、大阪のユーザーは、パソコンを起動してログインする度に、本拠点に設置されているDCに対して認証を実施します。
RODC

図を見ていただけるとわかるように、認証のためのDCが東京にしか存在しないために、各拠点のユーザーはWANを伝って東京に辿るしかないのです。
つまり、認証の際のネットワークトラフィックが増大し、WANのコストパフォーマンスが下がってしまいます。

そのような状況を打開するためには、各拠点にDCを配置し、認証のネットワークトラフィックを拠点毎に収めることが必要になります。
RODC

但し、この解決策の課題として、セキュリティ管理などがあるかと思います。
スキルのない社員にDCに触る可能性もなくはありませんし、セキュリティ対策を行っていない拠点であれば、攻撃の恐れだってあるかもしれません。

そんな時に構築するのがRODCになります。
RODCは読み取り専用のため、書き込み可能なDCから一方向のレプリケーションのみ行われます。
また、パスワードなどのシステムにとって重要な属性は、安全とみなされないため、規定ではレプリケーションされません。
つまり、RODCには認証のためだけに必要最低限の情報をレプリケートしておくことで、盗聴された場合のリスクを最小化することができます。
RODC

資格情報のキャッシュについて

RODCは資格情報の一部をキャッシュすることによって、アカウント情報の一部のみを格納する機能を提供します。
RODCには余計な情報を持たせないのが理想な設計のため、アカウントに紐づくパスワードなどの機密情報をRODCにキャッシュさせるかを管理者が選択することが出来ます。

資格情報をキャッシュする場合、PRP(Password Replication Policy)がユーザーとコンピューターオブジェクトの資格情報をキャッシュするかどうかを判断します。
PRPによって、資格情報のキャッシュが許可されている場合、そのアカウントの認証およびサービスチケットの配布はRODCが行うことが出来ます。
逆に、PRPによってキャッシュが許可されていないアカウントの認証およびサービスチケットの配布は、RODC経由で書き込み可能なDCに渡されて処理が行われます。

PRPには、許可リストと拒否リストが含まれており、実態はセキュリティグループとして存在しています。
これらのグループに属しているアカウントに対して、資格情報をキャッシュするか否かを判断しています。

拒否グループのメンバーとして、規定でDomain AdminsやEnterprise Adminsなどの管理権限を持ったアカウントが含まれています。
これは、RODCに管理権限を持ったアカウント情報をキャッシュしないことで、漏洩を防ぐために設定されています。
通常、RODCを構築するにあたりキャッシュするアカウント情報は認証が必要な最低限のユーザーに絞るのが一般的です。

RODCのインストールと構成

それでは、RODCをブランチオフィスに構築してみたいと思います。
今回インストール方法として、書き込み可能なDCから事前にRODCコンピューターオブジェクトに作成する方法で説明します。

インストール要件は以下の通りです。
・フォレスト機能レベルがWindows Server 2003以降であること
・Windows Server 2008の書き込み可能なDCが少なくとも一つ以上あること
・RODCの役割を持たせるコンピューターはWORKGROUPであること

RODCアカウントの事前作成

まず、書き込み可能なDCの[ユーザーとコンピューター]から[DomainController OU]を右クリック⇨[読み取り専用ドメインコントローラーアカウントの事前作成]をクリックします。
RODC

ウィザードが起動するので、[次へ]をクリックします。
RODC

フォレストの特権ユーザーのアカウントを選択したら[次へ]をクリックします。
RODC

RODCの役割を持たせるコンピューター名を入力し、[次へ]をクリックします。
RODC

RODCを配置するサイトを選択します。
RODC

RODCに持たせる役割を選択します。
ちなみにRODCにDNSの役割を持たせた場合、DNSも同様に読み取り専用として動作します。
RODC

RODCの管理を委任することができます。
Administratorでも構いませんが、現地のエンジニアに委任する場合、そのユーザーを選択することで、後に行うRODCのインストールウィザードもそのユーザーで実行することができます。
RODC

構成に問題がなければ、[次へ]をクリックします。
RODC

インストールウィザードが完了すれば、[完了]で閉じましょう。
RODC

[ユーザーとコンピューター]コンソールに戻ると、TEST01というRODCコンピューターオブジェクトが生成されていることが確認できます。
RODC

RODCのインストール

それでは、コンピューターにRODCの役割をインストールしていきましょう。
RODCとして作成するコンピューターオブジェクトにローカルAdministratorとしてログインしましょう。
準備として、ActiveDirectoryの役割をインストールしておきます。
RODC

役割のインストールが終了すると、構成ウィザードを起動しましょう。
資格情報には、RODCコンピューターオブジェクトの事前作成ウィザードで設定した管理者の情報を入力します。
RODC

次のページで[既存のRODCアカウントを使用する]にチェックします。
そうすると、DNSやGC、サイト名の選択が軒並みグレーアウトして、変更できないようになっていますね。
これは、RODCコンピューターオブジェクトの事前作成で予め設定しているために、RODCの管理者からは変更できないようになっています。
RODC

レプリケート元を選択します。
RODC

データベースの保存場所を選択します。
RODC

構成に問題がなければ[次へ]をクリックします。
RODC

それでは、インストールしちゃいましょう。
RODC

インストールが完了し、再起動すればRODCの完成です。但し、資格情報のレプリケーションが拒否されているので、RODCで認証させるには管理者側から許可の設定が必要となります。

PRPの設定

PRPの設定は、書き込み可能なDCから行いましょう。
RODCコンピューターオブジェクトを右クリック⇨[プロパティ]⇨[パスワードレプリケーションポリシー]タブに遷移すると、レプリケーションの許可/拒否のリストが表示されます。
RODC

BuiltinアカウントやDeniedRODCPasswordReplicationグループが拒否されていることが確認できます。
AllowedRODCPasswordReplicationグループには規定では空っぽのグループですので、ここにパスワードをレプリケートを許可するユーザーを含める必要があります。

せっかくですので、許可グループを新規作成して、そこに許可ユーザーを含めたいと思います。
以下のようなセキュリティグループを作成しました。
この時の注意ですが、ユーザーが使用するコンピューターのアカウントも許可グループに入れましょう。
コンピューターアカウントも裏ではパスワードを保持しており、認証を行なっているためです。
RODC

作成した許可グループを先ほどのパスワードレプリケーションポリシータブの[追加]から許可設定で追加してあげましょう。
RODC

追加したら、[詳細設定]をクリックして、[ポリシーの結果]タブに移動して、[追加]から資格情報をレプリケーションしたいユーザー選択します。
以下のように結果が[許可]と表示されていれば、レプリケートが許可されたユーザーということがわかります。
RODC

レプリケートが許可されているため、RODCで認証をした際に、書き込み可能なDCから資格情報をレプリケートしてキャッシュされます。
このキャッシュを事前にDCからRODCに対して配布することができます。
[ポリシーの使用]タブから[パスワードの事前配布]から事前配布したいアカウントを選択します。
RODC

RODC

おわりに

いかがでしたでしょうか?
RODCは最低限の情報をレプリケートするため、万が一が起こった時のリスクを最小化することが出来ます。
また、読み込み専用かつレプリケートが一方向であるため、現地エンジニアによる誤動作による障害の心配がないため、ブランチオフィスへの認証基盤の展開には欠かせない役割だと思います。

ただし、許可グループなどのメンテナンスに一手間かかりますし、書き込みが行えないDCになりますから、いざという時には色々と不便な面があるかもしれません。
そのため、ブランチオフィスの環境をよく分析した後に、どちらで展開するのかを検討していきましょう。

それでは、よいWindows Server ライフをっ♫

スポンサーリンク