Windows Server
 Computer >> コンピューター >  >> システム >> Windows Server

Windows Server 2019/2022に読み取り専用ドメインコントローラー(RODC)をインストールして構成する

読み取り専用ドメインコントローラー(RODC) この機能は、Windows Server 2008で最初に導入されました。RODCの主な目的は、ADDSロールサーバーを物理的に保護することが難しいリモートブランチやオフィスに独自のドメインコントローラーを安全にインストールすることです。 RODCには、ActiveDirectoryデータベースの読み取り専用コピーが含まれています。つまり、ドメインコントローラホストに物理的にアクセスしていても、ADのデータを変更することはできません(ドメイン管理者パスワードのリセットを含む)。

この記事では、WindowsServer2022/2019に基づく新しい読み取り専用ドメインコントローラーをインストールする方法とその管理方法について説明します。

Active Directoryの読み取り専用ドメインコントローラー(RODC)とは何ですか?

RODCと一般的な読み取り/書き込み可能ドメインコントローラー( RWDC )の主な違いは次のとおりです。 )

  1. RODCは、ADデータベースの読み取り専用コピーを維持します。したがって、このドメインコントローラーのクライアントは変更を加えることができません。
  2. RODCはADデータとSYSVOLフォルダーを他のドメインコントローラー(RWDC)に複製せず、一方向の複製が使用されます。
  3. RODCは、ADオブジェクトのパスワードハッシュと機密情報を含むその他の属性を除いて、ADデータベースの完全なコピーを維持します。この属性のセットは、 Filtered Attribute Set(FAS)と呼ばれます。 。 ms-PKI-AccountCredentials、ms-FVE-RecoveryPassword、ms-PKI-DPAPIMasterKeysなどの属性が含まれています。 LAPSを使用する場合、ms-MCS-AdmPwd属性にクリアテキストで保存されたコンピューターパスワードなど、他の属性をこのセットに追加できます。
  4. RODCがユーザーから認証要求を受信すると、その要求をRWDCに転送します。
  5. RODCは、一部のユーザーの資格情報をキャッシュできます(RWDCに接続されていない場合でも、認証が高速化され、ユーザーがドメインコントローラーで認証できるようになります)。
  6. RODCへの管理アクセスとRDPアクセスを非管理ユーザーに提供できます(たとえば、ブランチSysOpsの場合)。
  7. RODCのDNSサービスは読み取り専用モードです。

読み取り専用ドメインコントローラーを展開するための要件。

  • サーバーに静的IPを割り当てる必要があります。
  • DCとクライアント間でトラフィックを通過させるには、Windowsファイアウォールを無効にするか正しく構成する必要があります。
  • 最も近いRWDCをDNSサーバーとして指定する必要があります;
  • RODCはWindowsServerFullGUIとWindowsServerCoreEditionの両方にインストールできます。
  • RODCをRWDCと同じADサイトに配置しないでください。
サーバーマネージャーGUIを使用したRODCのインストール

サーバーマネージャーコンソールを開き、ActiveDirectoryドメインサービスを追加します 役割(すべての追加コンポーネントと管理ツールをインストールすることに同意します)。

Windows Server 2019/2022に読み取り専用ドメインコントローラー(RODC)をインストールして構成する

新しいDCの設定を指定するときは、既存のドメインにドメインコントローラーを追加するを確認してください。 オプションで、必要に応じてドメイン管理者権限を持つユーザーアカウントのドメイン名と資格情報を指定します。

Windows Server 2019/2022に読み取り専用ドメインコントローラー(RODC)をインストールして構成する

DNSサーバー、グローバルカタログ(GC)、およびRODC機能をインストールする必要があることを指定します。次に、新しいコントローラーを配置するサイトと、DSRMモードでアクセスするためのパスワードを選択します。

Windows Server 2019/2022に読み取り専用ドメインコントローラー(RODC)をインストールして構成する

次に、ドメインコントローラーへの管理アクセスを委任するユーザーと、パスワードのRODCへの複製が許可または拒否されるアカウント/グループのリストを指定する必要があります(これは後で行うことができます)。

Windows Server 2019/2022に読み取り専用ドメインコントローラー(RODC)をインストールして構成する

ADデータベースデータを任意のDCから複製できることを指定します。

->Any domain controllerから複製

Windows Server 2019/2022に読み取り専用ドメインコントローラー(RODC)をインストールして構成する

次に、NTDSデータベース、ログ、およびSYSVOLフォルダーへのパスを指定します(必要に応じて、後で別のドライブに移動できます)。

Windows Server 2019/2022に読み取り専用ドメインコントローラー(RODC)をインストールして構成する

すべてのオプションをチェックしたら、ADDSロールをインストールできます。

Windows Server 2019/2022に読み取り専用ドメインコントローラー(RODC)をインストールして構成する

または、段階的を使用してRODCをデプロイすることもできます。 特徴。これは、ADUCコンソールでのRODCコンピューターアカウントの事前作成と基本的なセットアップで構成されています。これを行うには、ドメインコントローラーを右クリックします コンテナを選択し、読み取り専用ドメインコントローラアカウントを事前に作成を選択します 。

Windows Server 2019/2022に読み取り専用ドメインコントローラー(RODC)をインストールして構成する

同じ名前のサーバーにADDSロールをインストールすると、次のメッセージが表示されます。

A Pre-created RODC account that matches the name of the target server exists in the directory. Choose whether to use this existing RODC account or reinstall this domain controller.

既存のRODCアカウントを使用するを選択します 事前に作成されたRODCオブジェクトを使用するオプション。

Windows Server 2019/2022に読み取り専用ドメインコントローラー(RODC)をインストールして構成する

ロールのインストールを完了してサーバーを再起動すると、RODCコントローラーが届きます。ドメインコントローラーの状態を確認できます。

ADUCスナップイン時(dsa.msc )RODCに接続すると、すべての新しいADオブジェクト作成ボタンがグレー表示されます。また、読み取り専用ドメインコントローラのADオブジェクトの属性を変更することはできません。検索を含む、ActiveDirectoryコンソールの他のすべてのアクションは通常どおり機能します。

Windows Server 2019/2022に読み取り専用ドメインコントローラー(RODC)をインストールして構成する

PowerShellを使用したWindowsServer読み取り専用DCの展開

PowerShellを使用して新しいRODCを展開するには、ADDSロールとPowerShellADDSモジュールをインストールする必要があります。

Add-WindowsFeature AD-Domain-Services,RSAT-AD-AdminCenter,RSAT-ADDS-Tools

これで、RODCをインストールできます:

Install-ADDSDomainController -ReadOnlyReplica -DomainName woshub.com -SiteName MUN_Branch1_RO_Site -InstallDns:$true -NoGlobalCatalog:$false

PowerShellは、WindowsServerCoreに読み取り専用ドメインコントローラーをインストールするためにも使用されます。

インストールが完了すると、コマンドレットによりサーバーを再起動するように求められます。

Active Directory PowerShellモジュールのGet-ADDomainControllerコマンドレットを使用して、ドメイン内のDCを一覧表示します。

Get-ADDomainController -Filter * | Select-Object Name,IsReadOnly

読み取り専用ドメインコントローラーのIsReadOnly属性値はTrueである必要があります。

ドメイン内のすべてのRODCを一覧表示するには、次を実行します。

Get-ADDomainController –filter {IsReadOnly –eq $true}

最初にドメインRODCアカウントを事前に作成する場合(段階的な展開)、次のコマンドを使用します。

Add-ADDSReadOnlyDomainControllerAccount -DomainControllerAccountName MUN-RODC01 -DomainName woshub.com -DelegatedAdministratorAccountName "woshub\mbak" -SiteName MUN_Branch1_RO_Site

Windows ServerホストをDCに昇格させる場合は、次のコマンドを使用します。

Install-ADDSDomainController -DomainName woshub.com -Credential (Get-Credential) -LogPath "C:\Windows\NTDS" -SYSVOLPath "C:\Windows\SYSVOL" -ReplicationSourceDC "MUN-DC01.woshub.com" – UseExistingAccount

RODCに接続するときに、PowerShellを使用してADオブジェクトの属性を変更することはできません。 RODCを使用するサイトのオブジェクトの属性を変更する場合は、 –Serverを使用して最も近いRWDCのアドレスを指定します。 Set-ADUser、Set-ADComputer、New-ADUserなどのPowerShellコマンドレットで使用可能なパラメーター。

RODCパスワードレプリケーションポリシーと資格情報のキャッシュ

各RODCで、ユーザー、コンピューター、およびサーバーのリストを指定できます。これらのユーザー、コンピューター、およびサーバーのパスワードハッシュは、このドメインコントローラーへの複製を許可または拒否されます。

パスワードがRODCキャッシュに保存されているすべてのコンピューター、ユーザー、およびサーバーは、RWDCに接続されていない場合でも、このドメインコントローラーに対して認証できます。

デフォルトでは、2つの新しいグローバルグループがドメインに作成されます。

  • 許可されたRODCパスワードレプリケーショングループ
  • 拒否されたRODCパスワードレプリケーショングループ

デフォルトでは、最初のグループは空で、2番目のグループには特権セキュリティグループが含まれています。このグループのパスワードは、RODCで複製またはキャッシュして、パスワードが危険にさらされるのを防ぐことはできません。デフォルトでは、次のグループがここに含まれています:

  • グループポリシー作成者の所有者
  • ドメイン管理者
  • 証明書発行者
  • エンタープライズ管理者
  • スキーマ管理者
  • アカウントkrbtgt
  • アカウントオペレーター
  • サーバーオペレーター
  • バックアップオペレーター

Windows Server 2019/2022に読み取り専用ドメインコントローラー(RODC)をインストールして構成する

RODCパスワード複製許可グループには、通常、RODCが配置されているブランチオフィスのユーザーが含まれます。

ドメインに複数のRODCを展開する場合は、RODCごとにそのようなグループを作成するのが最適です。 PasswordReplicationポリシーでグループをRODCにバインドできます ADUCコンソールのサーバープロパティセクションのタブ。

Windows Server 2019/2022に読み取り専用ドメインコントローラー(RODC)をインストールして構成する

RODC_nameの高度なパスワードレプリケーションポリシーについて 、表示できます:

  • パスワードがこの読み取り専用ドメインコントローラーに保存されているアカウント –パスワードがこのRODCにキャッシュされているユーザーとコンピューターのリスト
  • この読み取り専用DCに対して認証されたアカウント –この読み取り専用ドメインコントローラーで現在認証されているユーザーとコンピューターのリスト

Windows Server 2019/2022に読み取り専用ドメインコントローラー(RODC)をインストールして構成する

結果ポリシーについて タブで、ユーザーアカウントを選択し、そのパスワードがRODCにキャッシュされるかどうかを確認できます。

PowerShellを使用してRODCグループを管理できます。 ADグループのユーザーを一覧表示します:

Get-ADGroupMember -Identity "Denied RODC Password Replication Group" | ft Name, ObjectClass

特定のActiveDirectory組織単位(OU)からすべての有効なユーザーをRODCグループに追加します。

Get-ADUser -SearchBase 'OU=MUN_Branch1,DC=woshub,DC=com' -Filter {Enabled -eq "True"} | ForEach-Object {Add-ADGroupMember -Identity 'Allowed RODC Password Replication Group' -Members $_ -Confirm:$false }

OUからRODCにユーザーパスワードキャッシュを事前入力するには、次のPowerShellスクリプトを使用します。

$usrs = Get-ADUser -SearchBase 'OU= MUN_Branch1,DC=woshub,DC=com' -Filter {Enabled -eq "True"}
foreach ($usr in $usrs) {
Get-ADObject -identity $usr | Sync-ADObject -Source MUN-DC01 ‑Destination MUN-RODC1 -PasswordOnly
}

パスワードがRODCキャッシュにあるユーザーとコンピューターを一覧表示できます。

Get-ADDomainControllerPasswordReplicationPolicyUsage -Identity MUN-RODC1 ‑RevealedAccounts

特定のユーザーのパスワードをRODCキャッシュから削除することはできません。ただし、ADUCスナップインまたはSet-ADAccountPassword PowerShellコマンドレットを使用してユーザーのパスワードをリセットすることにより、このキャッシュを無効にすることができます。


  1. Windows 10 に XAMPP をインストールして構成する

    Windows 10 に XAMPP をインストールして構成する: PHP で Web サイトをコーディングするときはいつでも、PHP 開発環境を提供し、バックエンドとフロントエンドを接続するのに役立つものが必要になります。 XAMPP、MongoDB など、Web サイトをローカルでテストするために使用できるソフトウェアは多数あります。各ソフトウェアには独自の長所と短所がありますが、このガイドでは、特に Windows 10 の XAMPP について説明します。この記事では、 Windows 10 に XAMPP をインストールして構成する方法を説明します。 XAMPP: XAMPP は、A

  2. Windows 10、8.1、および 7 で FTP サーバーを構成およびセットアップする方法 (2022 年更新)

    Windows 10 FTP サーバーの構成を探しています ネットワーク経由でファイルを共有したりアクセスしたりするには?この投稿では、Windows 10 で FTP サーバーを作成する方法について説明します。 そして8.1。また、ファイルを共有して FTP サーバー経由でアクセスする方法と、どこからでも LAN および WAN 経由でアクセスする方法を示します。また、ユーザー名/パスワードまたは匿名アクセスでユーザーを制限することにより、FTP サイトへのアクセスを許可できます。 FTP サーバーの目的によって異なります 内部または外部ネットワークで。 FTP は ファイル転送プロトコル