Windows Server 2008 の読み取り専用ドメイン コントローラのパスワード レプリケーション - TechRepublic

組織が読み取り専用ドメイン コントローラを最大限に活用したい場合は、Windows Server 2008 のこの新機能の設定に関して考慮すべき点が多数あります。

ドメインコントローラの初期構成では、読み取り専用ドメインコントローラとして追加するオプションが簡単に選択できます。図Aは、新しいドメインコントローラを読み取り専用として選択するオプションを示しています。
図A

ドメイン コントローラーのビルドが完了したら、コンピューター アカウントのログオン イベントを正しく処理するために追加の手順が必要になります。

デフォルトのインストール後、書き込み可能なドメインコントローラーが利用できなくなるまではすべて正常に動作しているように見えます。読み取り専用ドメインコントローラーは読み取り専用ですが、書き込み可能なドメインコントローラーが利用できない場合でも、ログオン要求を処理できる必要があります。書き込み可能なドメインコントローラーが利用できない場合、ログオンイベント中に図Bのメッセージが表示されます。
図B

対応するWindowsイベントログには、コンピュータアカウントがキャッシュされていないこと、およびコンピュータアカウントの有効性に疑問があることが記録されています。このコンピュータアカウントの簡単な修正方法は、読み取り専用ドメインコントローラーにログインするためのコンピュータアカウントを含むセキュリティグループを作成し、「Allowed RODC Password Replication Group」というデフォルトグループのメンバーにすることです。図Cは、RWVDEV.INTRAドメインに、指定されたグループ（「Allowed RODC Password Replication Group」のメンバー）にコンピュータアカウントを追加した例です。
図C

許可されたRODCパスワードレプリケーショングループには、読み取り専用ドメインコントローラーにパスワード（この場合はコンピューターアカウント）を複製する権限が付与されます。これは、読み取り専用ドメインコントローラーへのログオンを許可するコンピューターアカウントを指定する場合にも役立ちます。コンピューターアカウントの場合は、Active Directory内でパスワードが関連付けられています。ユーザーアカウントとは異なり、システムによって管理されます（管理されたサービスアカウント機能と同様）。

コンピュータアカウントと同様に、ユーザーアカウントは、読み取り専用ドメインコントローラーへの認証を許可されるには、「許可されたRODCパスワードレプリケーショングループ」に属している必要があります。また、コンピュータアカウントと同様に、このグループは、ユーザーが読み取り専用ドメインコントローラー（リモートサイトに関連付けられている場合もあります）に対して認証できるかどうかを指定できます。注:デフォルトの管理者アカウントは、「許可されたRODCパスワードレプリケーショングループ」のメンバーではありません。ベストプラクティスとして、（おそらく）読み取り専用ドメインコントローラーを備えたリモートサイトにログインすることが予想されるユーザーの明示的なインベントリを、「許可されたRODCパスワードレプリケーショングループ」に追加することをお勧めします。

TechNet のパスワード複製リソースの詳細なリストを確認してください。

書き込み可能なドメインコントローラーを使用せずに、読み取り専用ドメインコントローラーを使用してテストしたことがありますか？もしそうであれば、どのような驚くべき結果が出ましたか？ご意見をお聞かせください。

毎週水曜日に配信される無料の Windows Server ニュースレターで、Windows Server 2003 および Windows Server 2008 の最新のヒントやコツを入手してください。

今すぐ自動的にサインアップしましょう!