拠点・支店向けソリューション 富士通PCサーバPRIMERGY TX120を利用したRODC構築ガイド

Similar documents
Windows Small Business Server 2011 Essentials クライアントPCリストアガイド

Windows Server 2008/2008 R2 Active Directory環境へのドメイン移行の考え方

Windows Server 2012/2012 R2 Active Directory環境へのドメイン移行の考え方

UEFI環境におけるWindows Serverバックアップのシステム回復手順

Windows Small Business Server 2011 Essentialsバックアップ容量節減ガイド

Windows Server 2012/2012 R2 Active Directory 移行の手引き

Windows Server 2016 Active Directory環境へのドメイン移行の考え方

Windows Server 2016 Active Directory 移行の手引き

Windows Server 2012 R2 Active Directory 環境構築ガイド

改版履歴 版数 改版日付 改版内容 /03/14 新規作成 2013/03まで製品サイトで公開していた WebSAM DeploymentManager Ver6.1 SQL Server 2012 製品版のデータベース構築手順書 ( 第 1 版 ) を本 書に統合しました 2

第 2 版

第 1 版

アプリケーション補足説明書(Office2003)Microsoft(R) Office 2003 Editions

RW-5100 導入説明書 Windows7 用 2017 年 7 月 シャープ株式会社

親指シフトキーボード(FMV-KB611)、JISキーボード(FMV-KB621)、FMV-LIFEBOOK(親指シフトキーボードモデル)をお使いになる方へ

更新用証明書インポートツール 操作マニュアル 2011 年 10 月 31 日 セコムトラストシステムズ株式会社 Copyright 2011 SECOM Trust Systems CO.,LTD. All rights reserved. P-1

親指シフトキーボード(FMV-KB611)、JISキーボード(FMV-KB621)、FMV-LIFEBOOK(親指シフトキーボードモデル)をお使いになる方へ

貸出デバイス用設定手順書

Windows Server 2008/2008 R2 Active Directory移行の手引き

音声認識サーバのインストールと設定

アプリケーション補足説明書(Office2003)

改版履歴 Ver. 日付履歴初版 2014/7/10 - 目次 1. はじめに クラスター構築の流れ Windows Server Failover Cluster をインストールするための準備 OS のセットアップ時の注意... -

Microsoft Word JA_revH.doc

改版履歴 版数 日付 内容 担当 V /03/27 初版発行 STS V /01/27 動作条件のオペレーティングシステムに Windows 7 STS を追加 また 動作条件のブラウザに Internet Explorer 8 を追加 V /0

改版履歴 Ver. 日付履歴 1.0 版 2014/5/30 目次 0 はじめに 本文中の記号について Windows Server Failover Cluster をインストールするための準備 Windows Server Failover

セットアップマニュアル

Microsoft Word - L05_Active_Directory_Lab.docx

Windows XPファイル送信方法 SMB編

『PCA自動バックアップオプション』セットアップ説明書

アプリケーション補足説明書Microsoft(R) Office 2003 Editions

RW-4040 導入説明書 Windows 7 用 2017 年 7 月 シャープ株式会社

楽2ライブラリ クライアントサーバ V5.0 体験版 クライアントOS利用時におけるIIS設定手順書

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

第 1 版

ESMPRO/JMSS Ver6.0

改訂履歴 改訂日改定内容 第 1 版 2013 年 7 月 16 日新規作成 第 2 版 2013 年 9 月 4 日 STEP3-2 認証用バッチの実行 に Vista での操作を追記 第 3 版 2014 年 7 月 14 日 Windows XP に関する記述を削除 STEP2-1 新規インス

AIP2016R2 DC backup_restore

ユーザーズマニュアル

SQL Server データベース接続設定 マニュアル

ESMPRO/JMSS Ver6.0

セットアップマニュアル

ServerView RAID Manager VMware vSphere ESXi 6 インストールガイド

はじめに URBANO PROGRESSO を microusb ケーブル 01 ( 別売 ) またはこれと共通の仕様の microusb ケーブル ( 別売 )( 以下 USB ケーブル ) と接続して USB テザリング機能をご使用いただくためには あらかじめパソコンに USB ドライバ をイン

はじめに 京セラ製スマートフォンを指定の microusb ケーブル ( 別売 ) またはこれと共通仕様の microusb ケーブル ( 別売 )( 以下 USB ケーブル ) と接続して USB テザリング機能をご使用いただくためには あらかじめパソコンに USB ドライバ をインストールしてい

改版履歴 版数 改訂日 該当頁 / 該当項目 改訂の要点 /03/31 6 対応 OSの変更に伴う修正 動作環境 の OS に以下を追加 Windows 8.1 Update (64Bit) Windows 8.1 Update Pro (64Bit) 動作環境 の OS から以

[重要]WindowsUpdate で公開された MS15-058:セキュリティ更新プログラム

アカウント情報連携システム 操作マニュアル(一般ユーザー編)

これらの情報は 外部に登録 / 保存されることはございません 5 インターネット接続の画面が表示されます 次へ > ボタンをクリックしてください 管理者様へ御使用時に設定された内容を本説明文に加筆ください 特に指定不要で利用可能であった場合は チェックボックスを オフ していただきますようご案内くだ

証明書インポート用Webページ

Webセキュリティサービス

ご注意 1) 本書の内容 およびプログラムの一部 または全部を当社に無断で転載 複製することは禁止されております 2) 本書 およびプログラムに関して将来予告なしに変更することがあります 3) プログラムの機能向上のため 本書の内容と実際の画面 操作が異なってしまう可能性があります この場合には 実

OS の bit 数の確認方法 - Windows0 及び Windows8. Windows のコントロールパネルを開きます Windows0 の場合 スタート から Windows システムツール の コントロールパネル をクリックします Windows8. の場合 スタート から PC 設定

管理サーバの移行

PowerPoint Presentation

Windows Server 2008 AD RMS権利ポリシーテンプレートの一括適用のステップ

Windows Small Business Server 2011 Essentials 手動インストールガイド ~PRIMERGY MX130 S1編~

手順書

目次 目次... 2 はじめに SQL Server 2005 製品版へのアップグレード SQL Server 2005 製品版へのデータベース (DPM インスタンス ) の構築 / 設定 データベース (DPM インスタンス ) の構築

福岡大学ネットワーク認証・検疫システム実施マニュアル

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

ドメインコントローラを冗長化していてもバックアップは必要です! Active Directory データベースの複製の仕組み DC1 2 変更された情報を定期的に他の DC に複製 DC2 同期 1 ドメインコントローラ (DC) で変更が行われる Active Directory データベース上で

スライド 1

Microsoft Word - V70MAX-Vista_XP.doc

Veritas System Recovery 16 Management Solution Readme

Master'sONEセキュアモバイル定額通信サービス(MF120)設定手順書(Ver1_2).doc

アプリケーション補足説明書(Office2003)

SFTPサーバー作成ガイド

Windows 7ファイル送信方法 SMB編

クライアント証明書導入マニュアル

ESET Smart Security 7 リリースノート

PrintBarrierV3L50(V ) アップデート手順書 第 1.01 版 株式会社富士通アドバンストエンジニアリング 平成 25 年 3 月 7 日 1

[ 証明書の申請から取得まで ] で受領したサーバ証明書を server.cer という名前で任意の場所に保存してください ( 本マニュアルではローカルディスクの work ディレクトリ [C:\work] に保存しています ) 中間 CA 証明書を準備します 次の URL にアク

明治大学 オープンプリンタ インストール マニュアル 第 1.1 版 2017 年 02 月 15 日 対象 OS:Windows Vista (32/64bit 日本語版 ) アポロオフィスシステム株式会社

セットアップの流れ Graphtec Pro Studio を使用する SAi Cloud へのユーザー登録 1-1 SAi Cloud へのユーザー登録 Graphtec Pro Studio のインストール 1-2 Graphtec Pro Studio のインストール Cutting Mast

Microsoft Word - NAP手順書_DHCP_RC1最終.doc

シナリオ6:自動再起動(ServerView ASR&R)

FormPat 環境設定ガイド

CompuSec SW 強制削除手順

セキュリティー機能(TPM)設定ガイド

クラウドファイルサーバーデスクトップ版 インストールマニュアル ファイルサーバー管理機能 第 1.1 版 2017/01/24 富士通株式会社

スライド 1

現行のICカードリーダRW4040インストーラの課題

RICOH Device Manager Pro バックアップ/バージョンアップ作業手順書

ServerView Resource Orchestrator V3.0 ネットワーク構成情報ファイルツール(Excel形式)の利用方法

アルファメールプレミア 移行設定の手引き

TimeTracker FX セットアップガイド 補足資料 2/14 0. はじめに 本資料は [TimeTracker FX セットアップガイド ] では説明していない Microsoft SQL Server 2005 ( 以下 SQL Server 2005) の設定や操作方法を補足するための

はじめに

1. はじめに (1) 本書の位置づけ 本書ではベジフルネット Ver4 の導入に関連した次の事項について記載する ベジフルネット Ver4 で改善された機能について 新機能の操作に関する概要説明 ベジフルネット Ver4 プログラムのインストールについて Ver4 のインストール手順についての説明

Microsoft Word - MyWebPortalOffice_Levelup.doc

iStorage ソフトウェア VMware vCenter Plug-in インストールガイド

DPM の設定 について 差し替え 以下の内容に差し替えをお願いします 青字部分が修正個所です DPM の設定 コンポーネントの選択 で DPM サーバを選択していた場合 DPM サーバの設定 画面が表示されます DPM サーバをインストールするにあたって必要

目次 第 1 章概要....1 第 2 章インストールの前に... 2 第 3 章 Windows OS でのインストール...2 第 4 章 Windows OS でのアプリケーション設定 TP-LINK USB プリンターコントローラーを起動 / 終了するには

CentreCOM VT-Kit2 plus リリースノート

GHS混合物分類判定システムインストールマニュアル

Veritas System Recovery 16 Management Solution Readme

はじめに このマニュアルには マイクロソフト社製 Windows 7/Server 2008 R2 で沖データプリンタ MICROLINE シリーズ B シリーズ C シリーズをお使いいただくためのソフトウェアのセットアップ方法が書かれています ご使用になる前に 必ず本マニュアルをお読みください 表

証明書インポート用Webページ

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

目次 本書の概要... 3 QNAP で AD 環境を構築するネットワーク環境... 3 Active Directory ドメインコントローラ構築... 5 AD ユーザ作成 AD ユーザ単独作成 AD ユーザ複数作成 共有フォルダアクセス許可追加

Transcription:

拠点 支店向けソリューション 富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 2009 年 10 月 富士通株式会社

改訂履歴 改版日時 版数 改版内容 2009.01 1.0 新規作成 2009.03 1.1 留意事項を追加 2009.10 2.0 Windows Server 2008 R2 に対応 -2-

目次 富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド はじめに...5 1 RODCとは?...6 1.1 読み取り専用のディレクトリ...6 1.2 明示的に許可したパスワード情報のみ保持...6 1.3 ローカル管理権限とAD 管理権限の分離...6 2 拠点 支店にRODCを設置する理由...7 2.1 拠点 支店へのRODC 設置によるソリューション...7 2.1.1 拠点 支店にADに精通した管理者がいない...7 2.1.2 適切なセキュリティが確保されたサーバ設置場所がない...7 2.2 RODC+PRIMERGY TX120 によるソリューション...8 2.2.1 オフィス内設置に最適なサーバ...8 2.2.2 ハードウェア / ソフトウェア両面からのセキュリティ対策...8 3 RODC 導入時の設計ポイント...9 3.1 RODC 導入の前提条件...9 3.2 RODCインストールに関する設計... 10 3.2.1 インストール形態の選択... 10 3.2.2 インストールの委任... 10 3.3 ドメイン構成の設計... 11 3.4 サイト構成の設計... 11 3.5 FSMOの配置の設計... 12 3.6 グローバルカタログ配置の設計... 12 3.7 パスワードキャッシュの設計... 13 4 RODC 運用管理に関する設計ポイント... 15 4.1 通常時の運用管理設計... 15 4.1.1 アカウント管理設計... 15 4.1.2 バックアップ設計... 15 4.1.3 監視設計... 15 4.1.4 その他メンテナンス作業設計... 16 4.2 障害発生時の運用設計... 17 4.2.1 中央拠点とのネットワーク障害 通常 DCの障害... 17 4.2.2 RODCの障害... 19 4.3 RODCサーバ盗難時の対処... 19 4.4 運用管理タスクの分担... 20-3-

5 RODC 構築手順... 21 5.1 構築環境... 21 5.2 構築の流れ... 23 5.3 RODC 追加の準備... 24 5.3.1 ドメインのスキーマ拡張... 24 5.3.2 サイトの設定 ( 支店サイトを構成 )... 25 5.3.3 ネットワーク設定... 25 5.4 RODC 追加... 26 5.5 RODCの設定... 31 6 留意事項... 38 6.1 RODCサーバにアプリケーションをインストールする場合の留意事項... 38 6.2 RODCで認証を行う場合の留意事項... 38 6.2.1 コンピュータアカウントのパスワードもキャッシュが必要... 38 6.2.2 IPアドレスを指定してサーバにアクセスできない... 38 6.3 既存ドメインへRODCを追加する場合の留意事項... 39 6.4 RODCバックアップ設計の留意事項... 39 6.5 RODCを配置したドメインでサポートするクライアントの留意事項... 39 おわりに... 40 付録 1 : RODCサーバ盗難時の対処方法... 41 付録 2 : Server CoreにRODCを構築する... 45 付録 3 : RODCインストールの委任... 48-4-

はじめに 本書は Windows Server 2008 で新たに追加された 読み取り専用ドメインコントローラ (RODC) を構築 運用するために必要なノウハウを紹介します 富士通は PC サーバ PRIMERGY TX120 で RODC を構築し 認証基盤を拠点 支店にも置くことで 中央拠点やネットワークの障害による業務影響を最小限にとどめるソリューションを提案します 本書では 以下の略称を使用することがあります 正式名称 略称 製品名 Microsoft Windows 2000 Windows 2000 Microsoft Windows Server 2003 Windows Server 2003 Microsoft Windows Server 2008 Windows Server 2008 Microsoft Windows Server 2008 R2 Windows Server 2008 R2 Microsoft Windows XP Windows XP Microsoft Windows Vista Windows Vista Windows 7 Windows 7 Microsoft SQL Server SQL Server ドメイン ドメインコントローラ DC 読み取り専用ドメインコントローラ RODC (Read-Only Domain Controller) Microsoft Windows 2000 Server Active Windows 2000 ドメイン Directory のドメイン Microsoft Windows Server 2003 Active Windows 2003 ドメイン Directory のドメイン Microsoft Windows Server 2008 Active Windows 2008 ドメイン Directory のドメイン Microsoft Windows Server 2008 R2 Active Windows 2008 R2 ドメイン Directory のドメイン Active Directory AD グローバルカタログ GC その他 Service Pack SP 本書の内容は 改善のため事前連絡なしに変更することがあります 本書に記載されたデータの使用に起因する 第三者の特許権およびその他の権利の侵害については 当社はその責を負いません 無断転載を禁じます Microsoft, Windows, Windows Server, Windows Vista, SQL Server, Active Directory は Microsoft Corporation の米国及びその他の国における登録商標または商標です Symantec, Backup Exec は Symantec Corporation の米国およびその他の国における登録商標または商標です -5-

1 RODC とは? RODC(Read-Only Domain Controller) は サーバを設置する上で十分なセキュリティが確保されていない拠点 支店にも DC を設置することを目的に Windows Server 2008 で追加された新機能です RODC は 書き込み可能な通常の DC( 以下 通常 DC と表記) とは異なる以下の特徴を持ちます 読み取り専用のディレクトリである 明示的に許可したパスワード情報のみ保持する ローカル管理者権限とドメイン管理者権限を分離できる 1.1 読み取り専用のディレクトリ RODC の AD データベースは読み取り専用であり ユーザの新規追加や情報更新など AD データベースの変更が行えません このため 拠点 支店管理者による操作ミスや 悪意あるユーザによる AD データベースの改ざんを防止できます また RODC では AD データベースの変更操作が行われないため DC 間の AD データベース複製は 通常 DC から RODC への一方向のみ行われます AD データベースの複製トラフィックを抑えることができると同時に RODC の誤った情報がディレクトリ全体に影響を与えることがありません 1.2 明示的に許可したパスワード情報のみ保持 RODC では 明示的に許可したユーザ / コンピュータのパスワード情報のみキャッシュされます パスワードをキャッシュすることにより 通常 DC と通信できない場合でも RODC で認証が行えます また RODC の役割を持つサーバ機が盗難された場合 盗難された RODC が保持しているユーザパスワードの一斉リセットができるため アカウントの不正利用を防止できます 1.3 ローカル管理権限とAD 管理権限の分離パッチ適用やドライバ更新といったローカル管理と AD 管理の権限を分離できます 必要な権限を任意のアカウントに割り当て可能なため 管理者のいない拠点 支店でも DC を安心して設置できます -6-

2 拠点 支店に RODC を設置する理由 富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド AD の構成設計では 拠点 支店から認証を行うユーザが多い または ネットワーク回線や中央拠点の DC で障害が発生した際の運用継続を重要視する 場合に 拠点 支店への DC 設置を検討します しかし これまでは以下の問題から拠点 支店への DC 設置を見送るケースがありました 拠点 支店に AD に精通した管理者がいない 適切なセキュリティが確保されたサーバ設置場所がない RODC はこのようなケースでも 拠点 支店への DC 設置を可能とします 2.1 拠点 支店へのRODC 設置によるソリューション拠点 支店にDCを設置する際に起こり得る以下のような問題を RODCを利用することで回避できます 2.1.1 拠点 支店にADに精通した管理者がいない RODC は読み取り専用のため ユーザの追加 削除などデータベース変更を伴う操作が行えません 従って 拠点 支店管理者が誤ってデータベースを変更してしまい 全 DC に複製されてしまうといった事故を防ぐことができます 2.1.2 適切なセキュリティが確保されたサーバ設置場所がない拠点 支店では 通常の事務所スペースにサーバを設置するケースも多く見られます このような社外の人間も立ち入ることが可能な場所に 全社的に重要な DC サーバを設置することは大きなリスクです 万一 DC が盗難に遭った場合 アカウント情報を悪用され 不正アクセスや情報漏洩などさまざまな被害につながる恐れがあります 特に 海外拠点は盗難の危険性が高い国や地域もあり 軽視できないリスクと言えます RODC は 必要なユーザのパスワード情報を明示的にキャッシュすることはできますが 通常 管理者アカウントなど重要なパスワード情報を持ちません また 万一 RODC サーバが盗難に遭った場合も 悪用される可能性のあるアカウントパスワードは限定されており キャッシュされたパスワードについても中央拠点管理者がリセット処理を行うことができます -7-

2.2 RODC+PRIMERGY TX120 によるソリューション RODC が提供する拠点 支店への DC 設置ソリューションに加え RODC を富士通コンパクトサーバ PRIMERGY TX120 で構築することで さらに以下のメリットがあります 2.2.1 オフィス内設置に最適なサーバ富士通 PC サーバ PRIMERGY TX120 は拠点 支店への設置に最適な以下の特徴を持ち デスク下のスペースやオフィスの一角などに設置し お客様の環境を乱すことなく快適にお使いいただけます 人のささやき声 並みの静音性 場所を取らない省スペース設計 2.2.2 ハードウェア / ソフトウェア両面からのセキュリティ対策富士通 PC サーバ PRIMERGY TX120 には 本体の盗難防止用ロックに加え ハードディスクの盗難を防止するフロントカバーキーロックを装備しており 物理的な盗難対策が可能です また オプションとしてサーバ背面の USB ポートや LAN ポートへの物理的な接続を遮断するセキュリティカバーも利用可能です これにより RODC の持つ盗難時のリスク回避に 盗難リスクや不正アクセスを低減する物理的なセキュリティを加えた万全のソリューションが実現できます 富士通 PC サーバ PRIMERGY TX120 の詳細は以下の URL を参照してください PRIMERGY( プライマジー ) コンパクトサーバ TX120 S2 http://primeserver.fujitsu.com/primergy/catalog/tx120s2/ -8-

3 RODC 導入時の設計ポイント 富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 本章は Windows 2000 ドメインを使用されているお客様環境において 拠点 支店に RODC を導入する際の設計ポイントを紹介します 3.1 RODC 導入の前提条件既存ドメイン環境に RODC を導入する場合 Windows 2008/2008 R2 ドメインへのアップグレードが必要になります また フォレスト機能レベルを Windows Server 2003 以上に上げる必要があります 機能レベルの詳細については 以下の URL を参照してください ドメインおよびフォレストの機能とは( マイクロソフト ) http://technet.microsoft.com/ja-jp/library/cc771294(ws.10).aspx 参考 :Windows 2000 ドメインへRODC 追加時の設計ポイントフォレスト機能レベルが Windows Server 2003 以上 の環境では Windows 2000 Server DC をサポートしません 新規 Windows Server 2008/2008 R2 DC 追加後 ドメインフォレスト内全ての Windows 2000 Server DC を降格する必要があります -9-

3.2 RODC インストールに関する設計 富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 3.2.1 インストール形態の選択 RODC は Windows Server 2008/2008 R2 通常 DC と同様に Server Core インストールに機能追加することもできます ただし Server Core インストールでは GUI を利用したインストールや管理が行えないため 上級者向きです ( 手順については 付録 2:Server Core に RODC を構築する を参照してください ) 特別な要件がない場合は 完全インストールを選択することをお勧めします 表 1 インストール形態の選択指針 完全インストール GUI を利用してインストールや管理を行いたい Server Core インストール サーバのリソースを節約したい セキュリティパッチ適用回数を減らしたい AD に精通していないユーザが容易に操作できないようにしたい 3.2.2 インストールの委任 RODC のインストールでは 部分的に拠点 支店のドメインユーザに作業を委任することが可能です 委任されたドメインユーザは ドメインの管理権限 (Enterprise Admins Domain Admins) を持たずに 必要最低限の権限で RODC を構築することが可能です 本書は 中央拠点管理者が RODC の構築を行うシナリオのため インストールの委任は使用しません インストールの委任方法については 付録 3:RODC インストールの委任 を参照してください -10-

3.3 ドメイン構成の設計 RODC を配置するドメインには Windows Server 2008 または Windows Server 2008 R2 の通常 DC が最低 1 台必要になります RODC が所属するドメイン内に Windows Server 2008 以降の通常 DC が配置されていない場合 AD データベースの論理パーティションの一つ ドメインパーティション の情報が複製されません ドメインパーティションにはアカウント情報など 認証に必要なデータが含まれています 従って ドメインパーティション情報が複製されないということは 事実上 AD として正常に機能しないことになります 図 1 AD データベース論理パーティションの複製 3.4 サイト構成の設計サイトの設計では 本社のサイトと RODC を設置する支店のサイトを分割します サイトを分割して RODC を設置することで サイト内のクライアントは RODC で認証されます 新規にサイトを作成する場合 サイトリンクオブジェクトやリンクコストの設計が必要になります サイトの設計については以下の URL を参照してください Windows Server 2008/2008 R2 Active Directory 設計指南書 http://primeserver.fujitsu.com/primergy/technical/construct/pdf/win2008-active-directory0 2.pdf -11-

3.5 FSMOの配置の設計 RODC は AD データベースへの書き込みができないため FSMO サーバとして構成できません Windows Server 2008/2008 R2 通常 DC に FSMO を配置するよう設計します 参考 : ドメイン内にWindows Server 2003 DCが存在する場合の留意事項 PDC エミュレータの役割を Windows Server 2008/2008 R2 DC が持つ必要あり RODC が存在する環境では FSMO の役割の一つ PDC エミュレータ を Windows Server 2008/2008 R2 DC が担う必要があります Windows Server 2003 が PDC エミュレータの役割を担っている場合 RODC とクライアント間で時間の整合性が取れないことがあります 詳細は以下の URL を参照してください RODC がタイムソースとしてアドバタイズしない ( マイクロソフト ) http://technet.microsoft.com/ja-jp/library/cc753966(ws.10).aspx 図 2 FSMO の役割を配置する際のポイント 3.6 グローバルカタログ配置の設計 RODC を配置するサイトでは ほとんどの場合 RODC がサイト内で唯一の DC となります グローバルカタログは各サイトに 1 台必要であり ユーザ認証を効率的に行うためも RODC をグローバルカタログとして構成します -12-

3.7 パスワードキャッシュの設計通常 DC やネットワーク回線に障害が発生した場合でも 拠点 支店の運用を継続するためには 以下のパスワードを事前にキャッシュするように設計します ユーザアカウント(RODC と同じサイトで利用するアカウント ) コンピュータアカウント(RODC と同じサイトで利用するアカウント ) 業務サーバのコンピュータアカウント( ネットワーク障害時に継続運用が必要なサーバのみ ) また ドメイン管理者など重要なアカウントのパスワードはキャッシュしないよう設計します 本節では 以下の想定環境におけるパスワードキャッシュの設計例を紹介します 図 3 パスワードキャッシュ想定環境 支店 1 に設置した RODC(Branch1SV-01) にキャッシュするアカウント ユーザアカウント :Branch1User-01 Branch1User-02 Branch1User-m コンピュータアカウント:Branch1CL-01 Branch1CL-02 Branch1CL-m 業務サーバアカウント:Branch1SV-02 Branch1SV-03 支店 2 に設置した RODC(Branch2SV-01) にキャッシュするアカウント ユーザアカウント :Branch2User-01 Branch2User-02 Branch2User-n コンピュータアカウント:Branch2CL-01 Branch2CL-02 Branch2CL-n 業務サーバアカウント:Branch2SV-02 上記のようにアカウントのパスワードを RODC にキャッシュすることにより 拠点間のネットワークで障害が発生した場合でも サイト内のリソースを利用して業務を継続できます -13-

参考 : セキュリティグループを利用したパスワードレプリケーションポリシーの設計 RODC では 既定で Allowed RODC Password Replication Group というパスワードのキャッシュを許可するセキュリティグループが用意されています このセキュリティグループにアカウントを所属させることで RODC へパスワードをキャッシュできます ただし複数拠点に RODC が存在する場合 アクセスした全ての RODC にパスワードがキャッシュされます 以下のように設計すると 同一拠点 支店の RODC にのみパスワードをキャッシュさせることができます 手順 1: 拠点 支店単位に パスワードキャッシュを許可するセキュリティグループ ( 例 :Branch1 Group Branch2Group) を作成します 手順 2:RODC のパスワードレプリケーションポリシーに手順 1 で作成したセキュリティグループを追加し パスワードのキャッシュを許可します 手順 3: パスワードのキャッシュを許可するアカウントを手順 1 で作成したセキュリティグループに追加します 図 4 パスワードレプリケーションポリシー設計例 -14-

4 RODC 運用管理に関する設計ポイント 富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド RODC を設置する場合 拠点 支店へのドメイン管理者の配置は必須ではありません RODC では定期的なバックアップが不要であるなど 運用管理項目は通常 DC と多少異なりますが お客様の管理体制にあわせ どのタスクをどの管理者が実施するかを決定する という考え方は 通常の AD 運用管理設計と同様です 4.1 通常時の運用管理設計 4.1.1 アカウント管理設計アカウント管理は 基本的に中央拠点管理者が行います RODC 管理者に拠点 支店のアカウントだけ管理を委任することも可能ですが この場合ドメイン管理者権限を付与しないことをお勧めします ドメイン管理者権限を持つアカウントでログインした場合 RODC の Active Directory ユーザーとコンピューター で他の DC に接続することができるため 他 DC に対してデータベース変更が可能となってしまいます 管理の委任手順については 5.5 章 (2) RODC ローカル管理の委任設定 を参照してください 4.1.2 バックアップ設計 RODC から他 DC へは複製が行えないことから RODC でバックアップを取得しても ドメイン環境の復元はできません ドメイン環境のバックアップは 通常 DC で取得する必要があります RODC では dcpromo 直前の OS イメージをバックアップしておくと 復旧時にローカルサーバの設定が不要のため便利です 4.1.3 監視設計 AD の稼働状態の監視は 中央拠点管理者が他 DC とあわせて実施します ハードウェアの監視は 富士通 PC サーバ PRIMERGY に標準添付されている ServerView Operations Manager を活用頂くことで 異常の検知 障害予兆の検知が可能です 中央拠点でハードウェア / ソフトウェアを集中監視する設計を行うことで 管理コストの削減が期待できます お客様の監視ポリシーによっては 拠点 支店へ監視を委任する設計も検討します なお RODC サーバに ServerView Operations Manager 管理コンソールのインストールはできません ServerView Operations Manager を使用してハードウェアの集中監視を行う場合は RODC サーバに ServerView Operations Manager Agents をインストールし 別サーバの ServerView Operations Manager 管理コンソールから監視を行うように設計してください ServerView Operations Manager の詳細は以下の URL を参照してください サーバ監視ソフトウェア ServerView Operations Manager ご紹介 http://primeserver.fujitsu.com/primergy/serverview/ マニュアル http://primeserver.fujitsu.com/primergy/manual.html -15-

4.1.4 その他メンテナンス作業設計サーバのメンテナンス作業 ( セキュリティパッチの適用 ウィルススキャン ) が必要です RODC では 管理を委任することでドメイン管理者権限を持たずに RODC にログインできるため 安心して拠点 支店管理者にメンテナンスを依頼できます また 拠点 支店管理者が不在の場合は 運用管理ソフトウェアの利用やリモート操作による管理を計画してください 参考 : 運用管理ソフトウェア マイクロソフト Microsoft Windows Server Update Services(WSUS) ( セキュリティパッチ ) http://www.microsoft.com/japan/technet/windowsserver/wsus/default.mspx トレンドマイクロ社 ウィルスバスターコーポレートエディション ( ウィルススキャン ) http://jp.trendmicro.com/jp/products/enterprise/corp-family/corp/ -16-

4.2 障害発生時の運用設計 富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 4.2.1 中央拠点とのネットワーク障害 通常 DCの障害 RODC を設置したサイトから通常 DC に通信できない場合の影響度は パスワードキャッシュ設定の有無によって大きく異なります RODC にアカウントのパスワードをキャッシュしていない場合 RODC と同じサイトのユーザは DC で認証が行えず コンピュータにログオンできない またはサイト内のリソースにアクセスできないため業務が停止します アカウントのパスワードをキャッシュしている場合は RODC で継続して認証できるため サイト内のリソースには通常通りアクセスできます 参考 : パスワードキャッシュ有無による動作の違い拠点 支店サイトと他拠点の通信が不可能な場合における RODC へのパスワードキャッシュの有無による動作の違いを紹介します ログオン認証時 パスワードキャッシュなし パスワードキャッシュあり パスワードを事前キャッシュしていないユーザでログオンを試みます パスワードを事前キャッシュしているユーザでログオンを試みます 現在 ログオン要求を処理できるログオンサーバーはありません が表示され ログオンできません -17- 通常通り クライアントコンピュータへログオンできます

ドメイン内メンバーサーバ ( 本資料ではファイルサーバ ) アクセス時パスワードキャッシュなしパスワードキャッシュあり パスワードキャッシュしていないユーザからファイルサーバ (\\Branch1SV-02\share) へアクセス パスワードキャッシュしているユーザからファイルサーバ (\\Branch1SV-02\share) へアクセス ファイルサーバにアクセスできず ネットワークパスワードの入力 画面が表示されます 通常 DC が稼働している時と同様にファイルサーバにアクセスできます POINT! クライアントのコンピュータ ユーザのパスワードに加えて ファイルサーバのコンピュータアカウントのパスワードを事前に RODC へキャッシュしておく必要があります RODC による認証時は IP アドレス指定によるサーバアクセスはできません -18-

4.2.2 RODCの障害 RODC が障害でサービス停止した場合 拠点 支店の認証要求は他サイトで処理できます 従って RODC 単体の障害が発生した際の拠点 支店業務への影響度は少ないと言えます ただし RODC が停止した状況で 同時に中央拠点とのネットワーク障害が発生すると 拠点業務が停止するため 早期に復旧することが望まれます 復旧方法 RODC の復旧は 再セットアップを実施します なお dcpromo 実行前の OS イメージをバッ クアップしている場合 迅速に復旧が可能です 4.3 RODCサーバ盗難時の対処 RODC サーバが万一盗難に遭った場合は RODC がキャッシュしているアカウントのパスワードをリセットすることで アカウントの不正利用を阻止することができます アカウントを不正利用される可能性を少なくするためにも 速やかに対処できるよう運用手順を確立しておくことが重要です RODC サーバ盗難時にアカウントパスワードをリセットする方法は 付録 1:RODC サーバ盗難時の対処方法 を参照してください また RODC は不在になっても業務影響が少なく 盗難に気付きにくいため 常時サーバを監視することが重要です PRIMERGY 標準添付ソフト ServerView Operations Manager を利用することで サーバが盗難に遭い通信できなくなった時点で管理者へ通知メールを送信するなど 監視を自動化できます ServerView Operations Manager の詳細については 以下 URL を参照してください サーバ監視ソフトウェア ServerView Operations Manager ご紹介 http://primeserver.fujitsu.com/primergy/serverview/ マニュアル http://primeserver.fujitsu.com/primergy/manual.html -19-

4.4 運用管理タスクの分担 RODC では基本的に AD データベースを操作しないため AD の管理は中央拠点管理者が行います RODC サーバのローカル管理は 任意のドメインユーザに委任できるため 拠点 支店管理者に管理作業を依頼できます 以下に中央拠点管理者と拠点 支店管理者が管理可能な作業を紹介します 表 2 中央拠点管理者と拠点 支店管理者が管理可能な作業 分類 管理作業 中央拠点管理者 拠点 支店管理者 通常運用時 ユーザ / コンピュータ / グループの追 加 変更 削除 OU の管理 グループポリシーの管理 パスワードリセット アカウントロック 解除 パスワードキャッシュの管理 サイトの管理 DNS へのレコード登録 セキュリティパッチの適用 ウィルスパターンの更新 ハードウェア監視 保守 構築時のバックアップ 障害発生時 RODC 障害時のリカバリ 盗難発生時 パスワードリセット アカウントリセット 凡例 : 管理可能 管理不可 拠点 支店管理者は AD データベースの変更権を持たないため 誤ってデータを削除するなどの心配がありません -20-

5 RODC 構築手順 5.1 構築環境 本資料では以下の検証環境を想定して RODC 構築手順を紹介します 図 5 検証環境 POINT! 既存 Windows 2000 ドメインを Windows 2008 R2 ドメインへバージョンアップします 本社と支店を別サイトとして構成します 支店に RODC を設置します -21-

DC 富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 表 3 RODC 設置前 (Windows 2000 ドメイン環境 ) 表 4 RODC 設置後 (Windows 2008 R2 ドメイン環境 ) 番号項目内容 番号項目内容 1 コンピュータ名 2000DC-1 3 コンピュータ名 2008R2DC-1 IP アドレス 192.168.1.10 IP アドレス 192.168.1.10 OS SP Windows 2000 Server SP4 OS SP Windows Server 2008 R2 DNS 優先 :192.168.1.10 代替 :192.168.1.20 DNS 優先 :192.168.1.10 代替 :192.168.1.20 サイト Default-First-Site-Name サイト Default-First-Site-Name 役割 DC(FSMO GC) DNS 役割 DC(FSMO GC) DNS 2 コンピュータ名 2000DC-2 4 コンピュータ名 2008R2DC-2 IP アドレス 192.168.1.20 IP アドレス 192.168.1.20 OS SP Windows 2000 Server SP4 OS SP Windows Server 2008 R2 DNS 優先 :192.168.1.20 代替 :192.168.1.10 DNS 優先 :192.168.1.20 代替 :192.168.1.10 サイト Default-First-Site-Name サイト Default-First-Site-Name 役割 DC(GC) DNS 役割 DC(GC) DNS 5 コンピュータ名 2008R2RODC-1 IP アドレス 192.168.2.10 OS SP Windows Server 2008 R2 DNS 優先 :192.168.2.10 代替 :192.168.1.10 サイト 役割 Branch-First-Site RODC(GC) DNS クライアントコンピュータ 表 5 クライアントコンピュータ環境 番号項目内容番号項目内容 6 コンピュータ名 Win7-1 7 コンピュータ名 Win7-2 IP アドレス 192.168.1.200 IP アドレス 192.168.2.200 OS SP Windows 7 OS SP Windows 7 DNS 優先 :192.168.1.10 代替 :192.168.1.20 DNS 優先 :192.168.1.10(RODC 設置前 ) 192.168.2.10(RODC 設置後 ) サイト Default-First-Site-Name 代替 :192.168.1.20(RODC 設置前 ) 192.168.1.10(RODC 設置後 ) サイト Default-First-Site-Name(RODC 設置前 ) Branch-First-Site(RODC 設置後 ) -22-

5.2 構築の流れ RODC を追加する前に Windows 2000 ドメインから Windows 2008 R2 ドメインへの移行が必要ですが 本書では RODC の構築で必要となる手順を中心に紹介します Windows 2000 ドメインから Windows 2008 R2 ドメインへの移行については 以下の Windows Server 2008 Active Directory 移行の手引き を参照してください Windows Server 2008 Active Directory 移行の手引き http://primeserver.fujitsu.com/primergy/technical/construct/pdf/win2008-active-directory0 3.pdf Windows Server 2008 R2 対応の Active Directory 移行の手引き は後日公開予定です Windows Server 2008 の移行手順は Windows Server 2008 R2 でも共通です 図 6 既存 Windows 2000 ドメインへの RODC 追加手順概要 -23-

5.3 RODC 追加の準備 富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 5.3.1 ドメインのスキーマ拡張 RODC を追加するためのスキーマ拡張 (rodcprep) を実行します スキーマ拡張はフォレスト全体に影響する操作です 運用への影響を考慮し Windows Server 2008 R2 DC 追加時のスキーマ拡張とあわせて実行することを検討してください 本手順は32008R2DC-1 で行います (Windows Server 2008 R2 DC 追加前に実行する場合は 12000DC-1 で行います ) 1 ドメインの管理者権限でサーバにログインします 2 Windows Sever 2008 R2 のインストールメディアを DVD ドライブに挿入します コマンドプロンプトで (DVD-ROM ドライブ名 ): \support\adprep\adprep /rodcprep を入力し Enter キーを押下します 3 コマンド実行が成功すると 以下のメッセージが表示されます Adprep は問題なく完了しました すべてのパーティションが更新されました 詳細については インストールログ保存ディレクトリ名 のADPrep.logを確認してください 以上で ドメインのスキーマ拡張作業は完了です -24-

5.3.2 サイトの設定 ( 支店サイトを構成 ) RODC を設置するサイトが存在しない場合 事前にサイトを作成する必要があります ドメインのサイト設計に従ってサイトを構成してください 5.3.3 ネットワーク設定 RODC サーバに静的な IP アドレスを割り当てられている必要があります Windows Server 2008/2008 R2 では IPv6 を標準サポートしており 既定で有効になっています 使用しない TCP/IP プロトコルは無効にすることをお勧めします RODC インストール時に IP アドレス (IPv6 または IPv4) アドレスが静的に設定されていない場合 インストールの途中で以下の警告が表示されます 図 7 静的アドレス未設定時の警告メッセージ -25-

5.4 RODC 追加 富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド コマンドプロンプトより dcpromo コマンドを実行して RODC のインストールを行います 本手順は52008R2RODC-1 で行います 1 ローカル管理者権限でサーバにログインします 2 スタート - ファイル名を指定して実行... をクリックします 3 ファイル名を指定して実行 が表示されます dcpromo と入力します Enter キーを押下します 4 Active Directory ドメインサービスインストールウィザードの開始 が表示されます 次へ をクリックします -26-

5 オペレーティングシステムの互換性 が表示されます 次へ をクリックします 6 展開の構成の選択 が表示されます 既存のフォレスト 既存のドメインにドメインコントローラーを追加する を選択します 次へ をクリックします 7 ネットワーク資格情報 が表示されます このドメインコントローラーをインストールするフォレスト内のドメイン名を入力してください に RODC を追加するドメイン名を入力します 代替の資格情報 の 設定 をクリックします 8 ドメイン管理者権限を持つアカウントとパスワードを入力します OK をクリックします -27-

9 ネットワーク資格情報 に戻ります 次 へ をクリックします 富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 10 ドメインの選択 が表示されます ドメイ ン名を選択し 次へ をクリックします 11 サイトの選択 が表示されます 適切な サイトが選択されていることを確認し 次へ をクリックします 12 追加のドメインコントローラーオプション が表示されます 読み取り専用ドメインコントローラー (RODC) にチェックを入れます 必要に応じて DNS サーバー グローバルカタログにチェックを入れます 次へ をクリックします 本書ではすべての項目にチェックを入れます -28-

13 RODC のインストールと管理の委任 が表示されます 次へ をクリックします RODC のインストールと管理の委任については 5.5 章 (2) 管理の委任設定 を参照してください 14 データベース ログファイル および SYSVOL の場所 が表示されます 必要な場合 格納場所を変更します 次へ をクリックします 15 ディレクトリサービス復元モード Administrator パスワード が表示されます パスワードを入力します 次へ をクリックします 16 概要 が表示されます 内容を確認し 次へ をクリックします -29-

17 Active Directory ドメインサービスのインストールウィザード が開始されます 完了時に再起動する にチェックを入れます ドメインサービスのインストール完了後 自動的に再起動します 以上で RODC の追加作業は完了です -30-

5.5 RODCの設定 RODC インストール後に運用管理に関する設定を行います (Active Directory ドメインサービスインストールウィザードで 詳細モードインストール を選択することにより RODC インストール時に設定を行うことも可能です ) 本章では パスワードレプリケーションポリシーの設定と RODC ローカル管理の委任について紹介します (1) パスワードレプリケーションポリシーの設定 本手順は32008R2DC-1 で行います 1 ドメインの管理者権限でサーバにログインします 2 スタート - 管理ツール - サーバーマネージャー をクリックします 3 サーバーマネージャー が表示されます 左ペインの サーバーマネージャー - 役割 - Active Directory ドメインサービス - Active Directory ユーザーとコンピューター - ドメイン名 - Domain Controllers をクリックします 右ペインの中からポリシーを設定する RODC サーバ名を右クリックし プロパティ をクリックします 4 サーバ名のプロパティ が表示されます パスワードレプリケーションポリシー タブをクリックします グループ ユーザー またはコンピューター の Allowed RODC Password Replication Group をダブルクリックします -31-

5 Allowed RODC Password Replication Group のプロパティ が表示されます メンバー タブをクリックします 追加 をクリックします 6 ユーザー 連絡先 コンピューター サービスアカウントまたはグループの選択 が表示されます パスワードキャッシュを許可するアカウントを入力します OK をクリックします 参考 : コンピュータの選択手順 6 でコンピュータを選択するには 以下の手順が必要です ユーザー 連絡先 コンピューター サービスアカウントまたはグループの選択 で オブジェクトの種類 をクリックします オブジェクトの種類 で コンピューター にチェックを入れます OK をクリックします 7 Allowed RODC Password Replication Group のプロパティ に追加したアカウントが表示されることを確認します POINT! パスワードレプリケーションポリシーでは ユーザアカウントだけでなくコンピュータアカウントの登録も必要になります -32-

また 通常 DC との接続が遮断された場合に 継続して利用したいメンバーサーバも登録する必要があります OK をクリックします 8 サーバ名のプロパティ に戻ります 以上の設定で 登録したアカウントがドメイン認証を行った際に RODC へパスワードがキャッシュされます 事前にパスワードをキャッシュしない場合は OK をクリックします 事前にパスワードをキャッシュする場合は 以下の パスワードの事前キャッシュ ( オプション ) の手順に進んでください パスワードの事前キャッシュ ( オプション ) 9 サーバ名のプロパティ の パスワードレプリケーションポリシー タブで 詳細設定 をクリックします -33-

10 詳細なパスワードレプリケーションポリシーサーバ名 が表示されます パスワードの事前配布 をクリックします 11 ユーザーまたはコンピューターの選択 が表示されます RODC にパスワードを事前キャッシュするアカウントを入力します OK をクリックします 12 パスワードの事前配布 が表示されます はい をクリックします 13 パスワードを事前取得しています... が表示されます -34-

14 パスワードの事前配布成功 が表示さ れます OK をクリックします 富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 15 詳細なパスワードレプリケーション ポリシーサーバ名 が表示されます 閉じる をクリックします 16 サーバ名のプロパティ が表示されま す OK をクリックします 以上で パスワードレプリケーションポリシーの設定は完了です -35-

(2)RODC ローカル管理の委任設定 RODC では 管理の委任を行うことで ドメイン管理者権限を与えずに任意のドメインユーザに RODC サーバのローカル管理を委任できます 管理者の委任設定は dcpromo 実行時のウィザードでも行うことができますが ここでは DC 構築後の設定方法を紹介します 本手順は32008R2DC-1 で行います 1 ドメインの管理者権限でサーバにログインします 2 スタート - 管理ツール - サーバーマネージャー をクリックします 3 サーバーマネージャー が表示されます 左ペインの サーバーマネージャー - 役割 - Active Directory ドメインサービス - Active Directory ユーザーとコンピューター - ドメイン名 - Domain Controllers をクリックします 右ペインの中からポリシーを設定する RODC サーバ名を右クリックし プロパティ をクリックします 4 サーバ名のプロパティ が表示されます 管理者 タブをクリックします 変更 をクリックします 5 ユーザーまたはグループの選択 が表示されます RODC サーバのローカル管理を委任するアカウントを入力します OK をクリックします -36-

参考 : グループの選択 (Windows Server 2008 DCのみ ) 手順 5 でグループを選択するには 以下の手順が必要です ユーザまたはグループの選択 で オブジェクトの種類 をクリックします オブジェクトの種類 で グループ にチェックを入れます OK をクリックします 6 サーバ名のプロパティ に戻ります 名前 にユーザまたはグループが設定されていることを確認します OK をクリックします 以上で RODC のローカル管理を委任する設定は完了です -37-

6 留意事項 6.1 RODCサーバにアプリケーションをインストールする場合の留意事項 RODC の AD データベースは読み取り専用です サービスアカウントを作成するなど AD データベースへ変更操作を行うアプリケーションは 正常に動作しない場合があります RODC サーバにアプリケーションをインストールする場合は 以下の観点でアプリケーションの仕様を確認してください Active Directory データベースへの書き込みを行う仕様でないこと 書き込みを行う仕様の場合 書き込み処理が可能な通常 DC を探して処理要求を行えること インストールできないアプリケーションの例 SQL Server 2005 は RODC サーバ上での動作がサポートされません 問題の詳細は以下 URL を参照してください http://support.microsoft.com/kb/947986/ また データベースとして SQL Server 2005 Express Edition を利用するアプリケーションも 同様に RODC サーバ上での動作はサポートされません 例えば以下のアプリケーションが該当します ServerView Console Symantec Backup Exec 6.2 RODCで認証を行う場合の留意事項ネットワーク障害で中央拠点の通常 DC と通信できない場合でも RODC にパスワードがキャッシュされていれば RODC で認証を行えます たたし 以下の留意事項があります 6.2.1 コンピュータアカウントのパスワードもキャッシュが必要 RODC を利用して認証を行うには RODC にユーザアカウントのパスワードをキャッシュする必要があります さらに サーバやクライアントコンピュータのアカウントのパスワードもキャッシュする必要があるため注意が必要です 拠点 支店のユーザアカウント 拠点 支店のコンピュータアカウント ファイルサーバなど業務継続に必要なサーバやクライアントコンピュータのアカウント パスワードキャッシュを忘れやすいため注意!! 6.2.2 IPアドレスを指定してサーバにアクセスできない RODC の認証は Kerberos 認証を基盤としており NTLM 認証をサポートしていません クライ アントコンピュータからサーバへ IP アドレスを指定してアクセスする場合は NTLM 認証が必要なため アクセスできません -38-

6.3 既存ドメインへRODCを追加する場合の留意事項 Windows 2003 ドメイン以前のドメイン環境に RODC を追加するためには 以下の要件を満たす必要があります フォレスト機能レベルが Windows Server 2003 以上 RODC を追加するドメイン内に PDC エミュレータ の役割を持つ Windows Server 2008/2008 R2 通常 DC が配置されている 6.4 RODCバックアップ設計の留意事項 RODC サーバは他の DC へデータベースを複製できません 従って RODC で AD データベースのバックアップを取得しても AD 全体の復旧には使用できません AD データベースのバックアップは必ず通常 DC で取得してください 6.5 RODCを配置したドメインでサポートするクライアントの留意事項ドメイン内に RODC を配置した場合でも サポートするクライアント OS は同じです ただし RODC サイト内のクライアント OS が Windows 2000 や最新のサービスパックや修正モジュールが適用されていない場合 問題が発生する場合があります 詳細は以下 URL を参照してください http://technet.microsoft.com/en-us/library/cc725669.aspx 参考 :Windows 2008/2008 R2 ドメインのサポートクライアント Windows 2000 Server Windows 2000 Professional Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 上記 OS でも ドメイン参加がサポートされないエディションもあります 詳細はマイクロソフトの各クライアント OS の Web サイトをご確認ください -39-

おわりに 本書では 富士通 PC サーバ PRIMERGY TX120 を用いて RODC を構築することによる拠点 支店のインフラソリューションをご紹介しました 拠点 支店へ RODC を導入される場合は TX120 での構築をご検討ください -40-

付録 1 : RODC サーバ盗難時の対処方法 富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド RODC が盗難にあった場合は RODC アカウントを削除することで RODC にキャッシュされたアカウントのパスワードをリセットできます 以下に手順を紹介します パスワードリセット手順 1 ドメインの管理者権限でサーバにログインします 2 スタート - 管理ツール - サーバーマネージャー をクリックします 3 サーバーマネージャー が表示されます 左ペインの サーバーマネージャー - 役割 - Active Directory ドメインサービス - Active Directory ユーザーとコンピューター - ドメイン名 - Domain Controllers をクリックします 右ペインの中からコンピュータアカウントを削除する RODC サーバ名を右クリックし 削除 をクリックします 4 Active Directory ドメインサービス が表示されます はい をクリックします 5 ドメインコントローラーの削除 が表示されます この読み取り専用 ~ユーザーアカウントのパスワードをすべてリセットする にチェックが入っていることを確認します この読み取り専用 ~コンピューターアカウントのパスワードをすべてリセットする のチェックが外れていることを確認します 削除する RODC にキャッシュされているア -41-

カウント一覧ファイルをエクスポートする場合は この読み取り専用 ~ 次のファイルにエクスポートする にチェックが入っていることを確認します 参照 をクリックして アカウント一覧ファイルの保存先を指定します 削除 をクリックします 6 次の操作を実行しようとしています: が表示されます OK をクリックします 7 RODC が GC の場合 この Active Directory ドメインコントローラーはグローバルカタログです 削除を続行しますか? が表示されます はい をクリックします 8 Active Directory ユーザーとコンピューター が表示されます RODC が削除されていることを確認します 以上でパスワードリセットが完了します RODC にパスワードがキャッシュされていたユーザアカウントはパスワードの再設定を行うまで使用できません パスワードの再設定については 以下の パスワードをリセットしたユーザアカウントを再度利用する方法 を参照してください なお 削除した RODC を再度利用することはできません 再構築が必要になります -42-

パスワードをリセットしたユーザアカウントを再度利用する方法 RODC のコンピュータアカウントを削除した場合 RODC にパスワードキャッシュしていたユーザアカウントが利用できなくなります ユーザアカウントを再度利用する場合は ユーザアカウントのパスワードをリセットし 再設定する必要がありますユーザアカウントのパスワードリセット 1 ドメインの管理者権限でサーバにログインします 2 スタート - 管理ツール - サーバーマネージャー をクリックします 3 サーバーマネージャー が表示されます 左ペインの サーバーマネージャー - 役割 - Active Directory ドメインサービス - Active Directory ユーザーとコンピューター - ドメイン名 - Users をクリックします 右ペインの中からパスワードをリセットするユーザ名を右クリックし パスワードのリセット をクリックします 4 パスワードのリセット が表示されます 新しいパスワード と パスワードの確認入力 に新しいパスワードを入力します ユーザーは次回ログオン時にパスワード変更が必要 にチェックが入っていることを確認します OK をクリックします 5 Active Directory ドメインサービス が表示されます OK をクリックします -43-

ユーザへのパスワード変更の通知 6 手順 4 で設定したパスワードをユーザに通知します ユーザは初回ログオン時にパス ワード変更が必要になります ユーザがパスワードを変更する際に パスワードキャッシュ前と同じパスワードを設定しないようアナウンスが必要です 以上で パスワードリセットは完了です RODC アカウントをリセットしたことで利用できなくなったユーザアカウントが再度利用できます -44-

付録 2 : Server Core に RODC を構築する 富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド Server Core 環境に RODC 機能を追加する場合 応答ファイルを作成し dcpromo コマンドで応答ファイルを指定します (1) 応答ファイルの作成 本手順は任意のサーバまたはクライアントコンピュータで行います dcpromo コマンドのパラメータは 以下のマイクロソフトの Web サイトで紹介されています Microsoft TechNet Dcpromo http://technet.microsoft.com/ja-jp/library/cc732887(ws.10).aspx 以下に 本資料で使用するサンプルを紹介します 例 RODC インストール応答ファイル [unattend.txt] [DCInstall] InstallDNS=Yes ConfirmGc=Yes PasswordReplicationAllowed="FUJITSU\Allowed RODC Password Replication Group" PasswordReplicationDenied="BUILTIN\administrators" PasswordReplicationDenied="BUILTIN\Server Operators" PasswordReplicationDenied="BUILTIN\Backup Operators" PasswordReplicationDenied="BUILTIN\Account Operators" PasswordReplicationDenied="FUJITSU\Denied RODC Password Replication Group" Password= RebootOnCompletion=No ReplicaDomainDNSName=fujitsu.local ReplicaOrNewDomain=ReadOnlyReplica ReplicationSourceDC=2008R2DC-1.fujitsu.local SafeModeAdminPassword= SiteName=Branch-First-Site UserDomain=fujitsu.com UserName=fujitsu.local\administrator CreateDNSDelegation=No CriticalReplicationOnly=No DatabasePath="C:\Windows\NTDS" LogPath="C:\Windows\NTDS" SYSVOLPath="C:\Windows\SYSVOL" DisableCancelForDnsInstall=No Password SafeModeAdminPassword には パスワードを入力します 図 8 本資料で使用する応答ファイル ( 例 ) -45-

(2)dcpromo の実行 本手順は52008R2RODC-1 で行います 1 ドメインの管理者権限でサーバにログインします 2 2008R2RODC-1 サーバの任意の場所に (1) 応答ファイルの作成 で作成した応答ファイルを格納します 本書では応答ファイル unattend.txt を C:\temp フォルダ配下に格納します 3 コマンドプロンプトで dcpromo /unattend: 応答ファイル格納パス を入力し Enter キーを押下します 本書では以下のコマンドを実行します dcpromo /unattend:c:\temp\unattend. txt 4 Active Directory ドメインサービスのインストールが開始します コマンドプロンプト上にインストール状況が表示されます 5 インストールが完了すると 以下のメッセージが表示されます ドメインドメイン名のこのコンピュータに Active Directory ドメインサービスがインストールされました ( 途中省略 ) 操作を完了するにはこのコンピューターを再起動する必要があります -46-

6 サーバを再起動します コマンドプロンプトで shutdown /r /t 0 を入力し Enter キーを押下します 以上で Server Core 環境に RODC を構成できます -47-

付録 3 : RODC インストールの委任 富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド (1)RODC アカウントの事前作成 本手順は32008R2DC-1 で行います 1 ドメインの管理者権限でサーバにログインします 2 スタート - 管理ツール - サーバーマネージャー をクリックします 3 サーバーマネージャー が表示されます 左ペインの サーバーマネージャー - 役割 - Active Directory ドメインサービス - Active Directory ユーザーとコンピューター - ドメイン名 - Domain Controllers を右クリックし 読み取り専用ドメインコントローラーアカウントの事前作成 をクリックします 4 Active Directory ドメインサービスインストールウィザードの開始 が表示されます 次へ をクリックします 5 オペレーティングシステムの互換性 が表示されます 次へ をクリックします -48-

6 ネットワーク資格情報 が表示されます 現在のログオン資格情報 にチェックが入っていることを確認します 次へ をクリックします 7 コンピューター名の指定 が表示されます コンピューター名 に RODC となるサーバのコンピュータ名を入力します 次へ をクリックします 8 サイトの選択 が表示されます RODC が所属するサイト名を選択します 次へ をクリックします 9 追加のドメインコントローラーオプション が表示されます 必要に応じて DNS サーバー グローバルカタログ にチェックを入れます 次へ をクリックします 読み取り専用ドメインコントローラー (RODC) チェックボックスはグレーアウトされています 本書ではすべての項目にチェックを入れます -49-

10 RODC のインストールと管理の委任 が表示されます 設定 をクリックします 11 ユーザーまたはグループの選択 が表示されます インストールを委任するアカウントを入力します OK をクリックします 参考 : グループの選択 (Windows Server 2008 DCのみ ) 手順 11 でグループを選択するには 以下の手順が必要です ユーザーまたはグループの選択 で オブジェクトの種類 をクリックします オブジェクトの種類 で グループ にチェックを入れます OK をクリックします 12 RODC のインストールと管理の委任 画面に戻ります 次へ をクリックします -50-

13 概要 が表示されます 富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 内容を確認し 次へ をクリックします 14 Active Directory ドメインサービスイ ンストールウィザードの完了 が表示されます 完了 をクリックします -51-

(2) 委任された管理者による dcpromo 実行 本手順は52008R2RODC-1 で行います 1 RODC のインストールを委任されたアカウントでサーバにログインします 2 コマンドプロンプトで dcpromo /UseExistingAccount:Attac h を入力し Enter キーを押下します 3 Active Directory ドメインサービスインストールウィザードの開始 が表示されます 次へ をクリックします 4 ネットワーク資格情報 が表示されます 代替の資格情報 の 設定 をクリックします 5 インストールと管理を委任したユーザ名とパスワードを入力します OK をクリックします -52-

6 ネットワーク資格情報 に戻ります 次へ をクリックします 富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 7 ドメインコントローラーアカウントの選択 が表示されます アカウントの詳細 で現在のコンピュータ名をクリックします 次へ をクリックします 8 データベース ログファイル および SYSVOL の場所 が表示されます 必要な場合 格納場所を変更します 次へ をクリックします 9 ディレクトリサービス復元モード Administrator パスワード が表示されます パスワードを入力します 次へ をクリックします -53-

10 概要 が表示されます 富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 内容を確認し 次へ をクリックします 11 Active Directory ドメインサービスのインストールウィザード が開始されます 完了時に再起動する にチェックを入れます ドメインサービスのインストール完了後 自動的に再起動します 以上で RODC のインストールを委任した場合のインストール作業は完了です 富士通 PC サーバ PRIMERGY につきましては 以下の技術情報を参照願います PC サーバ PRIMERGY http://primeserver.fujitsu.com/primergy/ PC サーバ PRIMERGY 機種比較表 http://primeserver.fujitsu.com/primergy/catalog/select-spec/ サーバ選定ガイド http://primeserver.fujitsu.com/primergy/technical/select-model/ 富士通 PC サーバ PRIMERGY のお問い合わせ先 PC サーバ PRIMERGY( プライマジー ) のお問い合わせ http://primeserver.fujitsu.com/primergy/contact/ -54-

-55-

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック