リードオンリー ドメインコントローラ
「リードオンリー ドメインコントローラ」(RODC)は、Windows Server 2008から導入された、新しいドメインコントローラの形態です。Active Directoryでは、マルチマスターレプリケーションによってすべてのドメインコントローラがデータを更新できるようになっていますが、RODCはその名前の通り、読み取り専用のドメインコントローラです。
RODCは読み取り専用のキャッシュのような役割を果たします。RODCでは、ユーザーアカウントのパスワードといった機密性の高い情報を保持せず、物理的なセキュリティリスクに対する対策の一つとして活用が可能です。小規模拠点などサーバーの管理が完全ではないケースにおいて、サーバーのHDDから直接パスワードなどのデータが保存されたデータベースファイルをコピーされる危険性を回避することができます。
またRODCは読み取り専用であることから、ドメインコントローラ間で行われるデータのレプリケーション(複製)処理が簡略化され、より少ない負荷のレプリケーションが可能です。
ドメインツリーとフォレスト
Active Directoryは、ドメインという単位で管理されます。同じドメインに所属するドメインコントローラは、レプリケーションによって同じデータベースを保有することになります。
このドメインはDNS(ドメインネームシステム)の名前空間(名前付け方法)によって識別されます。名前空間がインターネット上で使われる「ドメイン」と同じですが、Active Directoryでの「ドメイン」とは直接的には関係がないので注意が必要です。Active DirectoryがDNSを利用しているのは、ドメインコントローラを自動的に識別するといった機能を実現するためであり、Active Directoryでいう「ドメイン」はドメインコントローラに存在するデータベースのデータを基にした管理単位のことになります。
なお、Active Directoryのドメインは一つのドメインだけではなく、ドメインツリーやフォレストといった構成によって、複数のドメインを連結して運用することが可能です。「ドメインツリー」は、一つのドメインの名前空間をルートとして、DNSでいうサブドメインの形態でツリー形式に子ドメインを追加していく構成です。「フォレスト」は、DNSドメイン名自体が違う名前空間のドメインを統合して、ドメインのグループとする構成です。
このような構成をとると、ドメインコントローラにはドメイン内のデータが保存されているため、ドメインを分割するとドメインコントローラによって保存されているデータを、それぞれのドメイン内で別個の状態に分割することができます。ドメインを分割することにより、ドメイン毎に違う管理者を置くといったことが可能になり、セキュリティ上の都合によって高い管理権限を分離したい場合などに、この構成を活用できます。
まとめ
今回は、Active Directoryがドメインコントローラによって構成されていることを紹介しました。ドメインコントローラはActive Directoryのデータベースを保存し、またそのデータベースに保存されているスキーマや、スキーマによって定義されたオブジェクトのデータを、マルチマスターレプリケーションによって相互に同期しています。
関連資料
- Active Directoryに関する技術情報:TechNet Active Directory TechCenter
- Active Directoryに関する概要情報:Active Directory機能概要ページ