拠点・支店向けソリューション　富士通PCサーバPRIMERGY TX120を利用したRODC構築ガイド

(1)

拠点・支店向けソリューション

富士通 PC サーバ PRIMERGY TX120

を利用した RODC 構築ガイド

2009 年 10 月

富士通株式会社

(2)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド改訂履歴改版日時版数改版内容 2009.01 1.0 新規作成 2009.03 1.1 留意事項を追加 2009.10 2.0 Windows Server 2008 R2 に対応

(3)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド目次はじめに...5 1 RODCとは?...6 1.1 読み取り専用のディレクトリ ...6 1.2 明示的に許可したパスワード情報のみ保持 ...6 1.3 ローカル管理権限とAD管理権限の分離 ...6 2 拠点・支店にRODCを設置する理由...7 2.1 拠点・支店へのRODC設置によるソリューション...7 2.1.1 拠点・支店にADに精通した管理者がいない...7 2.1.2 適切なセキュリティが確保されたサーバ設置場所がない ...7 2.2 RODC＋PRIMERGY TX120 によるソリューション ...8 2.2.1 オフィス内設置に最適なサーバ ...8 2.2.2 ハードウェア/ソフトウェア両面からのセキュリティ対策 ...8 3 RODC導入時の設計ポイント...9 3.1 RODC導入の前提条件...9 3.2 RODCインストールに関する設計 ... 10 3.2.1 インストール形態の選択 ... 10 3.2.2 インストールの委任 ... 10 3.3 ドメイン構成の設計 ... 11 3.4 サイト構成の設計 ... 11 3.5 FSMOの配置の設計... 12 3.6 グローバルカタログ配置の設計... 12 3.7 パスワードキャッシュの設計... 13 4 RODC運用管理に関する設計ポイント ... 15 4.1 通常時の運用管理設計... 15 4.1.1 アカウント管理設計 ... 15 4.1.2 バックアップ設計... 15 4.1.3 監視設計 ... 15 4.1.4 その他メンテナンス作業設計 ... 16 4.2 障害発生時の運用設計... 17 4.2.1 中央拠点とのネットワーク障害、通常DCの障害... 17 4.2.2 RODCの障害 ... 19 4.3 RODCサーバ盗難時の対処 ... 19 4.4 運用管理タスクの分担 ... 20

(4)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 5 RODC構築手順 ... 21 5.1 構築環境 ... 21 5.2 構築の流れ ... 23 5.3 RODC追加の準備 ... 24 5.3.1 ドメインのスキーマ拡張 ... 24 5.3.2 サイトの設定(支店サイトを構成)... 25 5.3.3 ネットワーク設定... 25 5.4 RODC追加... 26 5.5 RODCの設定 ... 31 6 留意事項 ... 38 6.1 RODCサーバにアプリケーションをインストールする場合の留意事項 ... 38 6.2 RODCで認証を行う場合の留意事項 ... 38 6.2.1 コンピュータアカウントのパスワードもキャッシュが必要 ... 38 6.2.2 IPアドレスを指定してサーバにアクセスできない... 38 6.3 既存ドメインへRODCを追加する場合の留意事項 ... 39 6.4 RODCバックアップ設計の留意事項 ... 39 6.5 RODCを配置したドメインでサポートするクライアントの留意事項... 39 おわりに ... 40 付録 1 ： RODCサーバ盗難時の対処方法 ... 41 付録 2 ： Server CoreにRODCを構築する ... 45 付録 3 ： RODCインストールの委任 ... 48

(5)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド

はじめに

本書は、Windows Server 2008 で新たに追加された「読み取り専用ドメインコントローラ(RODC)」を構築・運用するために必要なノウハウを紹介します。富士通は PC サーバ「PRIMERGY TX120」で RODC を構築し、認証基盤を拠点・支店にも置くことで、中央拠点やネットワークの障害による業務影響を最小限にとどめるソリューションを提案します。

本書では、以下の略称を使用することがあります。

正式名称略称

Microsoft® Windows® 2000 Windows 2000 Microsoft® Windows Server® 2003 Windows Server 2003 Microsoft® Windows Server® 2008 Windows Server 2008 Microsoft® Windows Server® 2008 R2 Windows Server 2008 R2 Microsoft® Windows® XP Windows XP

Microsoft® Windows Vista® Windows Vista

Windows® 7 Windows 7

製品名

Microsoft® SQL Server® SQL Server

ドメインコントローラ DC

読み取り専用ドメインコントローラ（Read-Only Domain Controller）

RODC Microsoft® Windows® 2000 Server Active

Directory®のドメイン

Windows 2000 ドメイン Microsoft® Windows Server® 2003 Active

Windows 2003 ドメイン Microsoft® Windows Server® 2008 Active

Windows 2008 ドメイン Microsoft® Windows Server® 2008 R2 Active

Microsoft, Windows, Windows Server, Windows Vista, SQL Server, Active Directory は、Microsoft Corporation の米国及びその他の国における登録商標または商標です。

Symantec, Backup Exec は Symantec Corporation の米国およびその他の国における登録商標または商標です。

(6)

1 RODCとは?

RODC（Read-Only Domain Controller）は、サーバを設置する上で十分なセキュリティが確保されていない拠点・支店にも DC を設置することを目的に、Windows Server 2008 で追加された新機能です。 RODC は、書き込み可能な通常の DC(以下「通常 DC」と表記)とは異なる以下の特徴を持ちます。・読み取り専用のディレクトリである・明示的に許可したパスワード情報のみ保持する・ローカル管理者権限とドメイン管理者権限を分離できる

1.1 読み取り専用のディレクトリ

RODC の AD データベースは読み取り専用であり、ユーザの新規追加や情報更新など、AD データベースの変更が行えません。このため、拠点・支店管理者による操作ミスや、悪意あるユーザによる AD データベースの改ざんを防止できます。また、RODC では AD データベースの変更操作が行われないため、DC 間の AD データベース複製は、通常 DC から RODC への一方向のみ行われます。AD データベースの複製トラフィックを抑えることができると同時に、RODC の誤った情報がディレクトリ全体に影響を与えることがありません。

1.2 明示的に許可したパスワード情報のみ保持

RODC では、明示的に許可したユーザ/コンピュータのパスワード情報のみキャッシュされます。パスワードをキャッシュすることにより、通常 DC と通信できない場合でも、RODC で認証が行えます。また、RODC の役割を持つサーバ機が盗難された場合、盗難された RODC が保持しているユーザパスワードの一斉リセットができるため、アカウントの不正利用を防止できます。

1.3 ローカル管理権限とAD管理権限の分離

パッチ適用やドライバ更新といったローカル管理と、AD 管理の権限を分離できます。必要な権限を任意のアカウントに割り当て可能なため、管理者のいない拠点・支店でも、DC を安心して設置できます。

(7)

2 拠点・支店にRODCを設置する理由

AD の構成設計では、「拠点・支店から認証を行うユーザが多い」、または「ネットワーク回線や中央拠点の DC で障害が発生した際の運用継続を重要視する」場合に、拠点・支店への DC 設置を検討します。しかし、これまでは以下の問題から拠点・支店への DC 設置を見送るケースがありました。・拠点・支店に AD に精通した管理者がいない・適切なセキュリティが確保されたサーバ設置場所がない RODC はこのようなケースでも、拠点・支店への DC 設置を可能とします。

2.1 拠点・支店へのRODC設置によるソリューション

拠点・支店に DC を設置する際に起こり得る以下のような問題を、RODC を利用することで回避できます。

2.1.1 拠点・支店にADに精通した管理者がいない

RODC は読み取り専用のため、ユーザの追加・削除などデータベース変更を伴う操作が行えません。従って、拠点・支店管理者が誤ってデータベースを変更してしまい、全 DC に複製されてしまうといった事故を防ぐことができます。

2.1.2 適切なセキュリティが確保されたサーバ設置場所がない

拠点・支店では、通常の事務所スペースにサーバを設置するケースも多く見られます。このような社外の人間も立ち入ることが可能な場所に、全社的に重要な DC サーバを設置することは大きなリスクです。万一、DC が盗難に遭った場合、アカウント情報を悪用され、不正アクセスや情報漏洩などさまざまな被害につながる恐れがあります。特に、海外拠点は盗難の危険性が高い国や地域もあり、軽視できないリスクと言えます。 RODC は、必要なユーザのパスワード情報を明示的にキャッシュすることはできますが、通常、管理者アカウントなど重要なパスワード情報を持ちません。また、万一 RODC サーバが盗難に遭った場合も、悪用される可能性のあるアカウントパスワードは限定されており、キャッシュされたパスワードについても中央拠点管理者がリセット処理を行うことができます。

(8)

2.2 RODC＋PRIMERGY TX120 によるソリューション

RODC が提供する拠点・支店への DC 設置ソリューションに加え、RODC を富士通コンパクトサーバ「PRIMERGY TX120」で構築することで、さらに以下のメリットがあります。

2.2.1 オフィス内設置に最適なサーバ

富士通 PC サーバ PRIMERGY TX120 は拠点・支店への設置に最適な以下の特徴を持ち、デスク下のスペースやオフィスの一角などに設置し、お客様の環境を乱すことなく快適にお使いいただけます。・「人のささやき声」並みの静音性・場所を取らない省スペース設計

2.2.2 ハードウェア/ソフトウェア両面からのセキュリティ対策

富士通 PC サーバ PRIMERGY TX120 には、本体の盗難防止用ロックに加え、ハードディスクの盗難を防止するフロントカバーキーロックを装備しており、物理的な盗難対策が可能です。また、オプションとしてサーバ背面の USB ポートや LAN ポートへの物理的な接続を遮断するセキュリティカバーも利用可能です。これにより、RODC の持つ盗難時のリスク回避に、盗難リスクや不正アクセスを低減する物理的なセキュリティを加えた万全のソリューションが実現できます。富士通 PC サーバ PRIMERGY TX120 の詳細は以下の URL を参照してください。・PRIMERGY（プライマジー）コンパクトサーバ TX120 S2 http://primeserver.fujitsu.com/primergy/catalog/tx120s2/

(9)

3 RODC導入時の設計ポイント

本章は、Windows 2000 ドメインを使用されているお客様環境において、拠点・支店に RODC を導入する際の設計ポイントを紹介します。

3.1 RODC導入の前提条件

既存ドメイン環境に RODC を導入する場合、Windows 2008/2008 R2 ドメインへのアップグレードが必要になります。また、フォレスト機能レベルを「Windows Server 2003」以上に上げる必要があります。機能レベルの詳細については、以下の URL を参照してください。・ドメインおよびフォレストの機能とは(マイクロソフト) http://technet.microsoft.com/ja-jp/library/cc771294(WS.10).aspx 参考：Windows 2000 ドメインへRODC追加時の設計ポイント

フォレスト機能レベルが「Windows Server 2003 以上」の環境では、Windows 2000 Server DC をサポートしません。新規 Windows Server 2008/2008 R2 DC 追加後、ドメインフォレスト内全ての Windows 2000 Server DC を降格する必要があります。

(10)

3.2 RODCインストールに関する設計

3.2.1 インストール形態の選択

RODC は Windows Server 2008/2008 R2 通常 DC と同様に、Server Core インストールに機能追加することもできます。ただし、Server Core インストールでは、GUI を利用したインストールや管理が行えないため、上級者向きです(手順については、「付録 2：Server Core に RODC を構築する」を参照してください)。特別な要件がない場合は、完全インストールを選択することをお勧めします。表 1 インストール形態の選択指針完全インストール Server Core インストール・GUI を利用してインストールや管理を行いたい・サーバのリソースを節約したい・セキュリティパッチ適用回数を減らしたい・AD に精通していないユーザが容易に操作できないようにしたい

3.2.2 インストールの委任

RODC のインストールでは、部分的に拠点・支店のドメインユーザに作業を委任することが可能です。委任されたドメインユーザは、ドメインの管理権限(Enterprise Admins、Domain Admins) を持たずに、必要最低限の権限で RODC を構築することが可能です。

本書は、中央拠点管理者が RODC の構築を行うシナリオのため、インストールの委任は使用しません。インストールの委任方法については、「付録 3：RODC インストールの委任」を参照してください。

(11)

3.3 ドメイン構成の設計

RODC を配置するドメインには、Windows Server 2008 または Windows Server 2008 R2 の通常 DC が最低 1 台必要になります。RODC が所属するドメイン内に Windows Server 2008 以降の通常 DC が配置されていない場合、AD データベースの論理パーティションの一つ「ドメインパーティション」の情報が複製されません。ドメインパーティションにはアカウント情報など、認証に必要なデータが含まれています。従って、ドメインパーティション情報が複製されないということは、事実上 AD として正常に機能しないことになります。図 1 AD データベース論理パーティションの複製

3.4 サイト構成の設計

サイトの設計では、本社のサイトと RODC を設置する支店のサイトを分割します。サイトを分割して RODC を設置することで、サイト内のクライアントは RODC で認証されます。新規にサイトを作成する場合、サイトリンクオブジェクトやリンクコストの設計が必要になります。サイトの設計については以下の URL を参照してください。

・Windows Server 2008/2008 R2 Active Directory 設計指南書

http://primeserver.fujitsu.com/primergy/technical/construct/pdf/win2008-active-directory0 2.pdf

(12)

3.5 FSMOの配置の設計

RODC は AD データベースへの書き込みができないため、FSMO サーバとして構成できません。 Windows Server 2008/2008 R2 通常 DC に FSMO を配置するよう設計します。

参考：ドメイン内にWindows Server 2003 DCが存在する場合の留意事項

・PDC エミュレータの役割を Windows Server 2008/2008 R2 DC が持つ必要あり

RODC が存在する環境では、FSMO の役割の一つ「PDC エミュレータ」を Windows Server 2008/2008 R2 DC が担う必要があります。Windows Server 2003 が PDC エミュレータの役割を担っている場合、RODC とクライアント間で時間の整合性が取れないことがあります。詳細は以下の URL を参照してください。・RODC がタイムソースとしてアドバタイズしない(マイクロソフト) http://technet.microsoft.com/ja-jp/library/cc753966(WS.10).aspx 図 2 FSMO の役割を配置する際のポイント

3.6 グローバルカタログ配置の設計

RODC を配置するサイトでは、ほとんどの場合、RODC がサイト内で唯一の DC となります。グローバルカタログは各サイトに 1 台必要であり、ユーザ認証を効率的に行うためも RODC をグローバルカタログとして構成します。

(13)

3.7 パスワードキャッシュの設計

通常 DC やネットワーク回線に障害が発生した場合でも、拠点・支店の運用を継続するためには、以下のパスワードを事前にキャッシュするように設計します。・ユーザアカウント(RODC と同じサイトで利用するアカウント) ・コンピュータアカウント(RODC と同じサイトで利用するアカウント) ・業務サーバのコンピュータアカウント(ネットワーク障害時に継続運用が必要なサーバのみ) また、ドメイン管理者など重要なアカウントのパスワードはキャッシュしないよう設計します。本節では、以下の想定環境におけるパスワードキャッシュの設計例を紹介します。図 3 パスワードキャッシュ想定環境 ■支店 1 に設置した RODC(Branch1SV-01)にキャッシュするアカウント・ユーザアカウント：Branch1User-01、Branch1User-02、・・・、Branch1User-m ・コンピュータアカウント：Branch1CL-01、Branch1CL-02、・・・、Branch1CL-m’ ・業務サーバアカウント：Branch1SV-02、Branch1SV-03 ■支店 2 に設置した RODC(Branch2SV-01)にキャッシュするアカウント・ユーザアカウント：Branch2User-01、Branch2User-02、・・・、Branch2User-n ・コンピュータアカウント：Branch2CL-01、Branch2CL-02、・・・、Branch2CL-n’ ・業務サーバアカウント：Branch2SV-02 上記のようにアカウントのパスワードを RODC にキャッシュすることにより、拠点間のネットワークで障害が発生した場合でも、サイト内のリソースを利用して業務を継続できます。

(14)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド参考：セキュリティグループを利用したパスワードレプリケーションポリシーの設計

RODC では、既定で「Allowed RODC Password Replication Group」というパスワードのキャッシュを許可するセキュリティグループが用意されています。このセキュリティグループにアカウントを所属させることで、RODC へパスワードをキャッシュできます。ただし複数拠点に RODC が存在する場合、アクセスした全ての RODC にパスワードがキャッシュされます。以下のように設計すると、同一拠点・支店の RODC にのみパスワードをキャッシュさせることができます。手順 1：拠点・支店単位に、パスワードキャッシュを許可するセキュリティグループ(例：Branch1 Group、Branch2Group)を作成します。手順 2：RODC のパスワードレプリケーションポリシーに手順 1 で作成したセキュリティグループを追加し、パスワードのキャッシュを許可します。手順 3：パスワードのキャッシュを許可するアカウントを手順 1 で作成したセキュリティグループに追加します。図 4 パスワードレプリケーションポリシー設計例

(15)

4 RODC運用管理に関する設計ポイント

RODC を設置する場合、拠点・支店へのドメイン管理者の配置は必須ではありません。 RODC では定期的なバックアップが不要であるなど、運用管理項目は通常 DC と多少異なりますが、 “お客様の管理体制にあわせ、どのタスクをどの管理者が実施するかを決定する”という考え方は、通常の AD 運用管理設計と同様です。

4.1 通常時の運用管理設計

4.1.1 アカウント管理設計

アカウント管理は、基本的に中央拠点管理者が行います。RODC 管理者に拠点・支店のアカウントだけ管理を委任することも可能ですが、この場合ドメイン管理者権限を付与しないことをお勧めします。ドメイン管理者権限を持つアカウントでログインした場合、RODC の【Active Directory ユーザーとコンピューター】で他の DC に接続することができるため、他 DC に対してデータベース変更が可能となってしまいます。管理の委任手順については「5.5 章 (2) RODC ローカル管理の委任設定」を参照してください。

4.1.2 バックアップ設計

RODC から他 DC へは複製が行えないことから、RODC でバックアップを取得しても、ドメイン環境の復元はできません。ドメイン環境のバックアップは、通常 DC で取得する必要があります。 RODC では、dcpromo 直前の OS イメージをバックアップしておくと、復旧時にローカルサーバの設定が不要のため便利です。

4.1.3 監視設計

AD の稼働状態の監視は、中央拠点管理者が他 DC とあわせて実施します。ハードウェアの監視は、富士通 PC サーバ PRIMERGY に標準添付されている ServerView Operations Manager を活用頂くことで、異常の検知、障害予兆の検知が可能です。中央拠点でハードウェア/ソフトウェアを集中監視する設計を行うことで、管理コストの削減が期待できます。お客様の監視ポリシーによっては、拠点・支店へ監視を委任する設計も検討します。

なお、RODC サーバに ServerView Operations Manager 管理コンソールのインストールはできません。ServerView Operations Manager を使用してハードウェアの集中監視を行う場合は、 RODC サーバに ServerView Operations Manager Agents をインストールし、別サーバの ServerView Operations Manager 管理コンソールから監視を行うように設計してください。

ServerView Operations Manager の詳細は以下の URL を参照してください。・サーバ監視ソフトウェア ServerView Operations Manager ご紹介

http://primeserver.fujitsu.com/primergy/serverview/ ・マニュアル

(16)

4.1.4 その他メンテナンス作業設計

サーバのメンテナンス作業(セキュリティパッチの適用、ウィルススキャン)が必要です。RODC では、管理を委任することでドメイン管理者権限を持たずに RODC にログインできるため、安心して拠点・支店管理者にメンテナンスを依頼できます。また、拠点・支店管理者が不在の場合は、運用管理ソフトウェアの利用やリモート操作による管理を計画してください。参考：運用管理ソフトウェア

・マイクロソフト「Microsoft® Windows Server Update Services(WSUS)」(セキュリティパッチ) http://www.microsoft.com/japan/technet/windowsserver/wsus/default.mspx

・トレンドマイクロ社「ウィルスバスターコーポレートエディション」(ウィルススキャン) http://jp.trendmicro.com/jp/products/enterprise/corp-family/corp/

(17)

4.2 障害発生時の運用設計

4.2.1 中央拠点とのネットワーク障害、通常DCの障害

RODC を設置したサイトから通常 DC に通信できない場合の影響度は、パスワードキャッシュ設定の有無によって大きく異なります。 RODC にアカウントのパスワードをキャッシュしていない場合、RODC と同じサイトのユーザは DC で認証が行えず、コンピュータにログオンできない、またはサイト内のリソースにアクセスできないため業務が停止します。アカウントのパスワードをキャッシュしている場合は、RODC で継続して認証できるため、サイト内のリソースには通常通りアクセスできます。参考：パスワードキャッシュ有無による動作の違い拠点・支店サイトと他拠点の通信が不可能な場合における、RODC へのパスワードキャッシュの有無による動作の違いを紹介します。 ■ログオン認証時パスワードキャッシュなしパスワードキャッシュありパスワードを事前キャッシュしていないユーザでログオンを試みます。「現在、ログオン要求を処理できるログオンサーバーはありません。」が表示され、ログオンできません。パスワードを事前キャッシュしているユーザでログオンを試みます。通常通り、クライアントコンピュータへログオンできます。

(18)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド ■ドメイン内メンバーサーバ(本資料ではファイルサーバ)アクセス時パスワードキャッシュなしパスワードキャッシュありパスワードキャッシュしていないユーザからファイルサーバ(\\Branch1SV-02\share) へアクセスファイルサーバにアクセスできず、「ネットワークパスワードの入力」画面が表示されます。パスワードキャッシュしているユーザからファイルサーバ(\\Branch1SV-02\share) へアクセス通常 DC が稼働している時と同様にファイルサーバにアクセスできます。

POINT!

・クライアントのコンピュータ、ユーザのパスワードに加えて、ファイルサーバのコンピュータアカウントのパスワードを事前に RODC へキャッシュしておく必要があります。・RODC による認証時は、IP アドレス指定によるサーバアクセスはできません。

(19)

4.2.2 RODCの障害

RODC が障害でサービス停止した場合、拠点・支店の認証要求は他サイトで処理できます。従って、RODC 単体の障害が発生した際の拠点・支店業務への影響度は少ないと言えます。ただし、RODC が停止した状況で、同時に中央拠点とのネットワーク障害が発生すると、拠点業務が停止するため、早期に復旧することが望まれます。復旧方法 RODC の復旧は、再セットアップを実施します。なお、dcpromo 実行前の OS イメージをバックアップしている場合、迅速に復旧が可能です。

4.3 RODCサーバ盗難時の対処

RODC サーバが万一盗難に遭った場合は、RODC がキャッシュしているアカウントのパスワードをリセットすることで、アカウントの不正利用を阻止することができます。アカウントを不正利用される可能性を少なくするためにも、速やかに対処できるよう運用手順を確立しておくことが重要です。 RODC サーバ盗難時にアカウントパスワードをリセットする方法は「付録 1：RODC サーバ盗難時の対処方法」を参照してください。また、RODC は不在になっても業務影響が少なく、盗難に気付きにくいため、常時サーバを監視することが重要です。PRIMERGY 標準添付ソフト ServerView Operations Manager を利用することで、サーバが盗難に遭い通信できなくなった時点で管理者へ通知メールを送信するなど、監視を自動化できます。ServerView Operations Manager の詳細については、以下 URL を参照してください。

・サーバ監視ソフトウェア ServerView Operations Manager ご紹介 http://primeserver.fujitsu.com/primergy/serverview/

・マニュアル

(20)

4.4 運用管理タスクの分担

RODC では基本的に AD データベースを操作しないため、AD の管理は中央拠点管理者が行います。RODC サーバのローカル管理は、任意のドメインユーザに委任できるため、拠点・支店管理者に管理作業を依頼できます。以下に中央拠点管理者と拠点・支店管理者が管理可能な作業を紹介します。表 2 中央拠点管理者と拠点・支店管理者が管理可能な作業分類管理作業中央拠点管理者拠点・支店管理者ユーザ/コンピュータ/グループの追加・変更・削除 ○ × OU の管理 ○ × グループポリシーの管理 ○ × パスワードリセット、アカウントロック解除 ○ × パスワードキャッシュの管理 ○ × サイトの管理 ○ × DNS へのレコード登録 ○ × セキュリティパッチの適用 ○ ○ ウィルスパターンの更新 ○ ○ ハードウェア監視・保守 ○ ○ 通常運用時構築時のバックアップ ○ ○ 障害発生時 RODC 障害時のリカバリ ○ ○ パスワードリセット ○ × 盗難発生時アカウントリセット ○ × 凡例： ○・・・管理可能 ×・・・管理不可拠点・支店管理者は、AD データベースの変更権を持たないため、誤ってデータを削除するなどの心配がありません。

(21)

5 RODC構築手順

5.1 構築環境

本資料では以下の検証環境を想定して RODC 構築手順を紹介します。図 5 検証環境・既存 Windows 2000 ドメインを Windows 2008 R2 ドメインへバージョンアップします。・本社と支店を別サイトとして構成します。・支店に RODC を設置します。

POINT!

(22)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド ■DC

表 3 RODC 設置前(Windows 2000 ドメイン環境) 表 4 RODC 設置後(Windows 2008 R2 ドメイン環境)

番号項目内容

コンピュータ名 2008R2DC-1 IP アドレス 192.168.1.10

OS、SP Windows Server 2008 R2 DNS 優先：192.168.1.10 代替：192.168.1.20 サイト Default-First-Site-Name ③ 役割 DC(FSMO、GC)、DNS コンピュータ名 2008R2DC-2 IP アドレス 192.168.1.20

OS、SP Windows Server 2008 R2 DNS 優先：192.168.1.20 代替：192.168.1.10 サイト Default-First-Site-Name ④ 役割 DC(GC)、DNS コンピュータ名 2008R2RODC-1 IP アドレス 192.168.2.10

OS、SP Windows Server 2008 R2 DNS 優先：192.168.2.10 代替：192.168.1.10 サイト Branch-First-Site ⑤ 役割 RODC(GC)、DNS 番号項目内容コンピュータ名 2000DC-1 IP アドレス 192.168.1.10

OS、SP Windows 2000 Server SP4 DNS 優先：192.168.1.10 代替：192.168.1.20 サイト Default-First-Site-Name ① 役割 DC(FSMO、GC)、DNS コンピュータ名 2000DC-2 IP アドレス 192.168.1.20

OS、SP Windows 2000 Server SP4 DNS 優先：192.168.1.20 代替：192.168.1.10 サイト Default-First-Site-Name ② 役割 DC(GC)、DNS ■クライアントコンピュータ表 5 クライアントコンピュータ環境番号項目内容番号項目内容コンピュータ名 Win7-1 コンピュータ名 Win7-2 IP アドレス 192.168.1.200 IP アドレス 192.168.2.200 OS、SP Windows 7 OS、SP Windows 7 DNS 優先：192.168.1.10 代替：192.168.1.20 DNS 優先：192.168.1.10(RODC 設置前) →192.168.2.10(RODC 設置後) 代替：192.168.1.20(RODC 設置前) →192.168.1.10(RODC 設置後) ⑥ サイト Default-First-Site-Name ⑦ サイト Default-First-Site-Name(RODC 設置前) →Branch-First-Site(RODC 設置後)

(23)

5.2 構築の流れ

RODC を追加する前に、Windows 2000 ドメインから Windows 2008 R2 ドメインへの移行が必要ですが、本書では RODC の構築で必要となる手順を中心に紹介します。

Windows 2000 ドメインから Windows 2008 R2 ドメインへの移行については、以下の「Windows Server 2008 Active Directory 移行の手引き」を参照してください。

・Windows Server 2008 Active Directory 移行の手引き

http://primeserver.fujitsu.com/primergy/technical/construct/pdf/win2008-active-directory0 3.pdf

※Windows Server 2008 R2 対応の「Active Directory 移行の手引き」は後日公開予定です。Windows Server 2008 の移行手順は Windows Server 2008 R2 でも共通です。

(24)

5.3 RODC追加の準備

5.3.1 ドメインのスキーマ拡張

RODC を追加するためのスキーマ拡張(rodcprep)を実行します。スキーマ拡張はフォレスト全体に影響する操作です。運用への影響を考慮し、Windows Server 2008 R2 DC 追加時のスキーマ拡張とあわせて実行することを検討してください。 ●本手順は③2008R2DC-1 で行います。 (Windows Server 2008 R2 DC 追加前に実行する場合は、①2000DC-1 で行います。) 1 ドメインの管理者権限でサーバにログインします。 2 Windows Sever 2008 R2 のインストールメディアを DVD ドライブに挿入します。コマンドプロンプトで、「(DVD-ROM ドライブ名): \support\adprep\adprep /rodcprep」を入力し、Enter キーを押下します。 3 コマンド実行が成功すると、以下のメッセージが表示されます。「Adprep は問題なく完了しました。すべてのパーティションが更新されました。詳細については、”インストールログ保存ディレクトリ名”の ADPrep.log を確認してください。」以上で、ドメインのスキーマ拡張作業は完了です。

(25)

5.3.2 サイトの設定(支店サイトを構成)

RODC を設置するサイトが存在しない場合、事前にサイトを作成する必要があります。ドメインのサイト設計に従ってサイトを構成してください。

5.3.3 ネットワーク設定

RODC サーバに静的な IP アドレスを割り当てられている必要があります。Windows Server 2008/2008 R2 では IPv6 を標準サポートしており、既定で有効になっています。使用しない TCP/IP プロトコルは無効にすることをお勧めします。

RODC インストール時に、IP アドレス(IPv6 または IPv4)アドレスが静的に設定されていない場合、インストールの途中で以下の警告が表示されます。

(26)

5.4 RODC 追加

コマンドプロンプトより「dcpromo」コマンドを実行して、RODC のインストールを行います。 ●本手順は⑤2008R2RODC-1 で行います。 1 ローカル管理者権限でサーバにログインします。 2 「スタート」-「ファイル名を指定して実行...」をクリックします。 3 「ファイル名を指定して実行」が表示されます。「 dcpromo 」と入力します。 Enter キーを押下します。 4 「Active Directory ドメインサービスインストールウィザードの開始」が表示されます。「次へ」をクリックします。

(27)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 5 「オペレーティングシステムの互換性」が表示されます。「次へ」をクリックします。 6 「展開の構成の選択」が表示されます。「既存のフォレスト」、「既存のドメインにドメインコントローラーを追加する」を選択します。「次へ」をクリックします。 7 「ネットワーク資格情報」が表示されます。「このドメインコントローラーをインストールするフォレスト内のドメイン名を入力してください」に RODC を追加するドメイン名を入力します。「代替の資格情報」の「設定」をクリックします。 8 ドメイン管理者権限を持つアカウントとパスワードを入力します。「OK」をクリックします。

(28)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 9 「ネットワーク資格情報」に戻ります。「次へ」をクリックします。 10 「ドメインの選択」が表示されます。ドメイン名を選択し、「次へ」をクリックします。 11 「サイトの選択」が表示されます。適切なサイトが選択されていることを確認し、「次へ」をクリックします。 12 「追加のドメインコントローラーオプション」が表示されます。「読み取り専用ドメインコントローラー (RODC)」にチェックを入れます。必要に応じて DNS サーバー、グローバルカタログにチェックを入れます。「次へ」をクリックします。 ※本書ではすべての項目にチェックを入れます

(29)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 13 「RODC のインストールと管理の委任」が表示されます。「次へ」をクリックします。 ※RODC のインストールと管理の委任については「5.5 章 (2)管理の委任設定」を参照してください。 14 「データベース、ログファイル、および SYSVOL の場所」が表示されます。必要な場合、格納場所を変更します。「次へ」をクリックします。 15 「ディレクトリサービス復元モード Administrator パスワード」が表示されます。パスワードを入力します。「次へ」をクリックします。 16 「概要」が表示されます。内容を確認し、「次へ」をクリックします。

(30)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 17 「Active Directory ドメインサービスのインストールウィザード」が開始されます。「完了時に再起動する」にチェックを入れます。ドメインサービスのインストール完了後、自動的に再起動します。以上で、RODC の追加作業は完了です。

(31)

5.5 RODCの設定

RODC インストール後に運用管理に関する設定を行います(Active Directory ドメインサービスインストールウィザードで「詳細モードインストール」を選択することにより、RODC インストール時に設定を行うことも可能です)。本章では、パスワードレプリケーションポリシーの設定と RODC ローカル管理の委任について紹介します。 (1)パスワードレプリケーションポリシーの設定 ●本手順は③2008R2DC-1 で行います。 1 ドメインの管理者権限でサーバにログインします。 2 「スタート」-「管理ツール」-「サーバーマネージャー」をクリックします。 3 「サーバーマネージャー」が表示されます。左ペインの「サーバーマネージャー」-「役割」-「Active Directory ドメインサービス」 - 「 Active Directory ユーザーとコンピューター」-「ドメイン名」-「Domain Controllers」をクリックします。右ペインの中からポリシーを設定する RODC サーバ名を右クリックし、「プロパティ」をクリックします。 4 「サーバ名のプロパティ」が表示されます。「パスワードレプリケーションポリシー」タブをクリックします。「グループ、ユーザー、またはコンピューター」の「 Allowed RODC Password Replication Group」をダブルクリックします。

(32)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 5 「Allowed RODC Password Replication

Group のプロパティ」が表示されます。「メンバー」タブをクリックします。「追加」をクリックします。「ユーザー、連絡先、コンピューター、サービスアカウントまたはグループの選択」が表示されます。パスワードキャッシュを許可するアカウントを入力します。「OK」をクリックします。 6 参考：コンピュータの選択手順 6 でコンピュータを選択するには、以下の手順が必要です。「ユーザー、連絡先、コンピューター、サービスアカウントまたはグループの選択」で「オブジェクトの種類」をクリックします。「オブジェクトの種類」で「コンピューター」にチェックを入れます。「OK」をクリックします。

7 「Allowed RODC Password Replication Group のプロパティ」に追加したアカウントが表示されることを確認します。

POINT!

パスワードレプリケーションポリシーでは、ユーザアカウントだけでなくコンピュータアカウントの登録も必要になり

(33)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイドまた、通常 DC との接続が遮断された場合に、継続して利用したいメンバーサーバも登録する必要があります。「OK」をクリックします。 8 「サーバ名のプロパティ」に戻ります。以上の設定で、登録したアカウントがドメイン認証を行った際に、RODC へパスワードがキャッシュされます。事前にパスワードをキャッシュしない場合は「OK」をクリックします。事前にパスワードをキャッシュする場合は、以下の「パスワードの事前キャッシュ(オプション)」の手順に進んでください。パスワードの事前キャッシュ(オプション) 9 「サーバ名のプロパティ」の「パスワードレプリケーションポリシー」タブで、「詳細設定」をクリックします。

(34)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 10 「詳細なパスワードレプリケーションポリシーサーバ名」が表示されます。「パスワードの事前配布」をクリックします。 11 「ユーザーまたはコンピューターの選択」が表示されます。RODC にパスワードを事前キャッシュするアカウントを入力します。「OK」をクリックします。 12 「パスワードの事前配布」が表示されます。「はい」をクリックします。 13 「パスワードを事前取得しています...」が表示されます。

(35)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 14 「パスワードの事前配布成功」が表示されます。「OK」をクリックします。 15 「詳細なパスワードレプリケーションポリシーサーバ名」が表示されます。「閉じる」をクリックします。 16 「サーバ名のプロパティ」が表示されます。「OK」をクリックします。以上で、パスワードレプリケーションポリシーの設定は完了です。

(36)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド (2)RODC ローカル管理の委任設定 RODC では、管理の委任を行うことで、ドメイン管理者権限を与えずに任意のドメインユーザに RODC サーバのローカル管理を委任できます。管理者の委任設定は、dcpromo 実行時のウィザードでも行うことができますが、ここでは DC 構築後の設定方法を紹介します。 ●本手順は③2008R2DC-1 で行います。 1 ドメインの管理者権限でサーバにログインします。 2 「スタート」-「管理ツール」-「サーバーマネージャー」をクリックします。 3 「サーバーマネージャー」が表示されます。左ペインの「サーバーマネージャー」 -「役割」-「Active Directory ドメインサービス」-「Active Directory ユーザーとコンピューター」 - 「ドメイン名」 - 「 Domain Controllers」をクリックします。右ペインの中からポリシーを設定する RODC サーバ名を右クリックし、「プロパティ」をクリックします。 4 「サーバ名のプロパティ」が表示されます。「管理者」タブをクリックします。「変更」をクリックします。 5 「ユーザーまたはグループの選択」が表示されます。RODC サーバのローカル管理を委任するアカウントを入力します。「OK」をクリックします。

(37)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド参考：グループの選択(Windows Server 2008 DCのみ) 手順 5 でグループを選択するには、以下の手順が必要です。「ユーザまたはグループの選択」で「オブジェクトの種類」をクリックします。「オブジェクトの種類」で「グループ」にチェックを入れます。「OK」をクリックします。 6 「サーバ名のプロパティ」に戻ります。「名前」にユーザまたはグループが設定されていることを確認します。「OK」をクリックします。以上で、RODC のローカル管理を委任する設定は完了です。

(38)

6 留意事項

6.1 RODCサーバにアプリケーションをインストールする場合の留意事項

RODC の AD データベースは読み取り専用です。サービスアカウントを作成するなど、AD データベースへ変更操作を行うアプリケーションは、正常に動作しない場合があります。RODC サーバにアプリケーションをインストールする場合は、以下の観点でアプリケーションの仕様を確認してください。・Active Directory データベースへの書き込みを行う仕様でないこと・書き込みを行う仕様の場合、書き込み処理が可能な通常 DC を探して処理要求を行えることインストールできないアプリケーションの例

SQL Server 2005 は RODC サーバ上での動作がサポートされません。問題の詳細は以下 URL を参照してください。

http://support.microsoft.com/kb/947986/

また、データベースとして SQL Server 2005 Express Edition を利用するアプリケーションも、同様に RODC サーバ上での動作はサポートされません。例えば以下のアプリケーションが該当します。

・ServerView Console ・Symantec™ Backup Exec™

6.2 RODCで認証を行う場合の留意事項

ネットワーク障害で中央拠点の通常 DC と通信できない場合でも、RODC にパスワードがキャッシュされていれば、RODC で認証を行えます。たたし、以下の留意事項があります。

6.2.1 コンピュータアカウントのパスワードもキャッシュが必要

RODC を利用して認証を行うには、RODC にユーザアカウントのパスワードをキャッシュする必要があります。さらに、サーバやクライアントコンピュータのアカウントのパスワードもキャッシュする必要があるため注意が必要です。・拠点・支店のユーザアカウント・拠点・支店のコンピュータアカウント ※ファイルサーバなど業務継続に必要なサーバやクライアントコンピュータのアカウント _{忘れやすいため注意！！}パスワードキャッシュを

6.2.2 IPアドレスを指定してサーバにアクセスできない

RODC の認証は Kerberos 認証を基盤としており、NTLM 認証をサポートしていません。クライアントコンピュータからサーバへ IP アドレスを指定してアクセスする場合は NTLM 認証が必要なため、アクセスできません。

(39)

6.3 既存ドメインへRODCを追加する場合の留意事項

Windows 2003 ドメイン以前のドメイン環境に RODC を追加するためには、以下の要件を満たす必要があります。

・フォレスト機能レベルが「Windows Server 2003」以上

・RODC を追加するドメイン内に、「PDC エミュレータ」の役割を持つ「Windows Server 2008/2008 R2 通常 DC」が配置されている

6.4 RODCバックアップ設計の留意事項

RODC サーバは他の DC へデータベースを複製できません。従って RODC で AD データベースのバックアップを取得しても、AD 全体の復旧には使用できません。AD データベースのバックアップは必ず通常 DC で取得してください。

6.5 RODCを配置したドメインでサポートするクライアントの留意事項

ドメイン内に RODC を配置した場合でも、サポートするクライアント OS は同じです。ただし、 RODC サイト内のクライアント OS が Windows 2000 や最新のサービスパックや修正モジュールが適用されていない場合、問題が発生する場合があります。詳細は以下 URL を参照してください。 http://technet.microsoft.com/en-us/library/cc725669.aspx 参考：Windows 2008/2008 R2 ドメインのサポートクライアント・Windows 2000 Server ・Windows 2000 Professional ・Windows XP ・Windows Server 2003 ・Windows Vista ・Windows Server 2008 ・Windows 7 ・Windows Server 2008 R2 ※上記 OS でも、ドメイン参加がサポートされないエディションもあります。詳細はマイクロソフトの各クライアント OS の Web サイトをご確認ください。

(40)

おわりに

本書では、富士通 PC サーバ PRIMERGY TX120 を用いて RODC を構築することによる拠点・支店のインフラソリューションをご紹介しました。拠点・支店へ RODC を導入される場合は TX120 での構築をご検討ください。

(41)

付録 1 ： RODCサーバ盗難時の対処方法

RODC が盗難にあった場合は、RODC アカウントを削除することで RODC にキャッシュされたアカウントのパスワードをリセットできます。以下に手順を紹介します。 ■パスワードリセット手順 1 ドメインの管理者権限でサーバにログインします。 2 「スタート」-「管理ツール」-「サーバーマネージャー」をクリックします。 3 「サーバーマネージャー」が表示されます。左ペインの「サーバーマネージャー」 -「役割」-「Active Directory ドメインサービス」-「Active Directory ユーザーとコンピューター」 - 「ドメイン名」 - 「 Domain Controllers」をクリックします。右ペインの中からコンピュータアカウントを削除する RODC サーバ名を右クリックし、「削除」をクリックします。 4 「Active Directory ドメインサービス」が表示されます。「はい」をクリックします。 5 「ドメインコントローラーの削除」が表示されます。「この読み取り専用～ユーザーアカウントのパスワードをすべてリセットする」にチェックが入っていることを確認します。「この読み取り専用～コンピューターアカウントのパスワードをすべてリセットする」のチェックが外れていることを確認します。削除する RODC にキャッシュされているア

(42)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイドカウント一覧ファイルをエクスポートする場合は、「この読み取り専用～次のファイルにエクスポートする」にチェックが入っていることを確認します。「参照」をクリックして、アカウント一覧ファイルの保存先を指定します。「削除」をクリックします。 6 「次の操作を実行しようとしています：」が表示されます。「OK」をクリックします。 7 RODC が GC の場合、「この Active Directory ドメインコントローラーはグローバルカタログです。削除を続行しますか?」が表示されます。「はい」をクリックします。 8 「Active Directory ユーザーとコンピューター」が表示されます。RODC が削除されていることを確認します。以上でパスワードリセットが完了します。RODC にパスワードがキャッシュされていたユーザアカウントはパスワードの再設定を行うまで使用できません。パスワードの再設定については、以下の「パスワードをリセットしたユーザアカウントを再度利用する方法」を参照してください。なお、削除した RODC を再度利用することはできません。再構築が必要になります。

(43)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド ■パスワードをリセットしたユーザアカウントを再度利用する方法 RODC のコンピュータアカウントを削除した場合、RODC にパスワードキャッシュしていたユーザアカウントが利用できなくなります。ユーザアカウントを再度利用する場合は、ユーザアカウントのパスワードをリセットし、再設定する必要がありますユーザアカウントのパスワードリセット 1 ドメインの管理者権限でサーバにログインします。 2 「スタート」-「管理ツール」-「サーバーマネージャー」をクリックします。 3 「サーバーマネージャー」が表示されます。左ペインの「サーバーマネージャー」 -「役割」-「Active Directory ドメインサービス」-「Active Directory ユーザーとコンピューター」-「ドメイン名」-「Users」をクリックします。右ペインの中からパスワードをリセットするユーザ名を右クリックし、「パスワードのリセット」をクリックします。 4 「パスワードのリセット」が表示されます。「新しいパスワード」と「パスワードの確認入力」に新しいパスワードを入力します。「ユーザーは次回ログオン時にパスワード変更が必要」にチェックが入っていることを確認します。「OK」をクリックします。 5 「Active Directory ドメインサービス」が表示されます。「OK」をクリックします。

(44)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイドユーザへのパスワード変更の通知 6 手順 4 で設定したパスワードをユーザに通知します。ユーザは初回ログオン時にパスワード変更が必要になります。 ※ユーザがパスワードを変更する際に、パスワードキャッシュ前と同じパスワードを設定しないようアナウンスが必要です。以上で、パスワードリセットは完了です。RODC アカウントをリセットしたことで利用できなくなったユーザアカウントが再度利用できます。

(45)

付録 2 ： Server CoreにRODCを構築する

Server Core 環境に RODC 機能を追加する場合、応答ファイルを作成し dcpromo コマンドで応答ファイルを指定します。

(1)応答ファイルの作成

●本手順は任意のサーバまたはクライアントコンピュータで行います。

dcpromo コマンドのパラメータは、以下のマイクロソフトの Web サイトで紹介されています。・Microsoft TechNet 「Dcpromo」

http://technet.microsoft.com/ja-jp/library/cc732887(WS.10).aspx 以下に、本資料で使用するサンプルを紹介します。例 RODC インストール応答ファイル[unattend.txt] [DCInstall] InstallDNS=Yes ConfirmGc=Yes

PasswordReplicationAllowed="FUJITSU\Allowed RODC Password Replication Group" PasswordReplicationDenied="BUILTIN\administrators"

PasswordReplicationDenied="BUILTIN\Server Operators" PasswordReplicationDenied="BUILTIN\Backup Operators" PasswordReplicationDenied="BUILTIN\Account Operators"

PasswordReplicationDenied="FUJITSU\Denied RODC Password Replication Group" Password= RebootOnCompletion=No ReplicaDomainDNSName=fujitsu.local ReplicaOrNewDomain=ReadOnlyReplica ReplicationSourceDC=2008R2DC-1.fujitsu.local SafeModeAdminPassword= SiteName=Branch-First-Site UserDomain=fujitsu.com UserName=fujitsu.local\administrator CreateDNSDelegation=No CriticalReplicationOnly=No DatabasePath="C:\Windows\NTDS" LogPath="C:\Windows\NTDS" SYSVOLPath="C:\Windows\SYSVOL" DisableCancelForDnsInstall=No ※「Password」、「SafeModeAdminPassword」には、パスワードを入力します。図 8 本資料で使用する応答ファイル(例)

(46)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド (2)dcpromo の実行 ●本手順は⑤2008R2RODC-1 で行います。 1 ドメインの管理者権限でサーバにログインします。 2 2008R2RODC-1 サーバの任意の場所に「(1)応答ファイルの作成」で作成した応答ファイルを格納します。 ※本書では応答ファイル「unattend.txt」を「C:\temp」フォルダ配下に格納します。 3 コマンドプロンプトで、「dcpromo /unattend:応答ファイル格納パス」を入力し、Enter キーを押下します。 ※本書では以下のコマンドを実行します。 dcpromo /unattend:C:\temp\unattend. txt 4 Active Directory ドメインサービスのインストールが開始します。コマンドプロンプト上にインストール状況が表示されます。 5 インストールが完了すると、以下のメッセージが表示されます。「ドメインドメイン名のこのコンピュータに Active Directory ドメインサービスがインストールされました。 (途中省略) 操作を完了するにはこのコンピューターを再起動する必要があります。」

(47)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 6 サーバを再起動します。コマンドプロン

プトで、「shutdown /r /t 0」を入力し、 Enter キーを押下します。

(48)

付録 3 ： RODCインストールの委任

(1)RODC アカウントの事前作成 ●本手順は③2008R2DC-1 で行います。 1 ドメインの管理者権限でサーバにログインします。 2 「スタート」-「管理ツール」-「サーバーマネージャー」をクリックします。 3 「サーバーマネージャー」が表示されます。左ペインの「サーバーマネージャー」-「役割」-「Active Directory ドメインサービス」 - 「 Active Directory ユーザーとコンピューター」-「ドメイン名」-「Domain Controllers」を右クリックし、「読み取り専用ドメインコントローラーアカウントの事前作成」をクリックします。 4 「Active Directory ドメインサービスインストールウィザードの開始」が表示されます。「次へ」をクリックします。 5 「オペレーティングシステムの互換性」が表示されます。「次へ」をクリックします。

(49)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 6 「ネットワーク資格情報」が表示されます。「現在のログオン資格情報」にチェックが入っていることを確認します。「次へ」をクリックします。 7 「コンピューター名の指定」が表示されます。「コンピューター名」に RODC となるサーバのコンピュータ名を入力します。「次へ」をクリックします。 8 「サイトの選択」が表示されます。RODC が所属するサイト名を選択します。「次へ」をクリックします。 9 「追加のドメインコントローラーオプション」が表示されます。必要に応じて「DNS サーバー」、「グローバルカタログ」にチェックを入れます。「次へ」をクリックします。 ※「読み取り専用ドメインコントローラー(RODC)」チェックボックスはグレーアウトされています。 ※本書ではすべての項目にチェックを入れます

(50)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 10 「RODC のインストールと管理の委任」が表示されます。「設定」をクリックします。「ユーザーまたはグループの選択」が表示されます。インストールを委任するアカウントを入力します。「OK」をクリックします。 11 参考：グループの選択(Windows Server 2008 DCのみ) 手順 11 でグループを選択するには、以下の手順が必要です。「ユーザーまたはグループの選択」で「オブジェクトの種類」をクリックします。「オブジェクトの種類」で「グループ」にチェックを入れます。「OK」をクリックします。 12 「RODC のインストールと管理の委任」画面に戻ります。「次へ」をクリックします。

(51)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 13 「概要」が表示されます。内容を確認し、「次へ」をクリックします。 14 「Active Directory ドメインサービスインストールウィザードの完了」が表示されます。「完了」をクリックします。

(52)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド (2)委任された管理者による dcpromo 実行 ●本手順は⑤2008R2RODC-1 で行います。 1 RODC のインストールを委任されたアカウントでサーバにログインします。 2 コマンドプロンプトで、「dcpromo /UseExistingAccount:Attac h」を入力し、Enter キーを押下します。 3 「Active Directory ドメインサービスインストールウィザードの開始」が表示されます。「次へ」をクリックします。 4 「ネットワーク資格情報」が表示されます。「代替の資格情報」の「設定」をクリックします。 5 インストールと管理を委任したユーザ名とパスワードを入力します。「OK」をクリックします。

(53)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 6 「ネットワーク資格情報」に戻ります。「次へ」をクリックします。 7 「ドメインコントローラーアカウントの選択」が表示されます。「アカウントの詳細」で現在のコンピュータ名をクリックします。「次へ」をクリックします。 8 「データベース、ログファイル、および SYSVOL の場所」が表示されます。必要な場合、格納場所を変更します。「次へ」をクリックします。 9 「ディレクトリサービス復元モード Administrator パスワード」が表示されます。パスワードを入力します。「次へ」をクリックします。

(54)

富士通 PC サーバ PRIMERGY TX120 を利用した RODC 構築ガイド 10 「概要」が表示されます。内容を確認し、「次へ」をクリックします。 11 「Active Directory ドメインサービスのインストールウィザード」が開始されます。「完了時に再起動する」にチェックを入れます。ドメインサービスのインストール完了後、自動的に再起動します。以上で、RODC のインストールを委任した場合のインストール作業は完了です。富士通 PC サーバ PRIMERGY につきましては、以下の技術情報を参照願います。・PC サーバ PRIMERGY http://primeserver.fujitsu.com/primergy/ ・PC サーバ PRIMERGY 機種比較表 http://primeserver.fujitsu.com/primergy/catalog/select-spec/ ・サーバ選定ガイド http://primeserver.fujitsu.com/primergy/technical/select-model/ 富士通 PC サーバ PRIMERGY のお問い合わせ先。・PC サーバ PRIMERGY（プライマジー）のお問い合わせ http://primeserver.fujitsu.com/primergy/contact/

(55)

拠点・支店向けソリューション 富士通PCサーバPRIMERGY TX120を利用したRODC構築ガイド