adprep /rodcprep って実行する必要ありますか ?

  • Article

Windows プラットフォームサポートの進藤です。

Windows Server 2003 のドメイン環境で運用されているお客様より、ドメイン コントローラーの OS バージョンアップに関するお問い合わせを多くいただきます。

Windows Server 2008 以降では読み取り専用ドメイン コントローラー (RODC) が利用可能ですが、 RODC を利用する予定が無い場合に、 adprep /rodcprep を実行するべきか迷うことはないでしょうか?

結論から言いますと RODC を利用しない場合には adprep /rodcprep は不要です。

読み取り専用ドメイン コントローラー (RODC) は Windows Server 2008 で新たに追加されたドメイン コントローラーのオプションで、Active Directory データベースを読み取り専用で保持します。

RODC は物理的なセキュリティ対策が弱く IT 管理者がいないブランチ オフィスの環境にドメイン コントローラーを展開する場合などを想定して設計されています。

 

この RODC を利用する予定が無い場合には、ドメイン コントローラーを Windows Server 2008 以降にバージョン アップする際、ドメイン移行作業の中で adprep /rodcprep を実行する必要はありません。

 

この点については下記の技術情報にも記載があります。

 

Adprep.exe の実行

https://technet.microsoft.com/ja-jp/library/dd464018(v=ws.10).aspx

--------

(抜粋) adprep /rodcprep このコマンドは省略可能です。読み取り専用ドメイン コントローラー (RODC) をインストールする場合に限り実行します。

--------

移行作業が完了した後に RODC を追加することになった場合でも、後から adprep /rodcprep  を実行することも可能です。

その際は、RODC のドメイン コントローラーを構築する前に adprep /rodcprep を実行します。

以上のとおり、RODC を使用しない限りは、 adprep /rodcprep を実施しなくても問題ないのですが、ドメイン コントローラーの健全性確認のために使用する dcdiag では、コマンドを実行しておかないとエラーが表示されてしまうので、これについて補足します。

 

Dcdiag のエラーメッセージについて

adprep /rodcprep を実行していない場合には、ドメイン コントローラーの診断ツールである dcdiag コマンドで確認を行った際に、下記のような警告メッセージが出力されます。

 

---------------------------

 テストを開始しています: NCSecDesc

  エラー: NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS には

   Replicating Directory Changes In Filtered Set

   名前付けコンテキストへのアクセス権がありません:

    DC=DomainDnsZones,DC=CONTOSO,DC=COM

 

  エラー: NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS には

   Replicating Directory Changes In Filtered Set

   名前付けコンテキストへのアクセス権がありません:

    DC=ForestDnsZones,DC=CONTOSO,DC=COM

  ......................... "ホスト名"はテスト NCSecDesc に失敗しました

---------------------------

 

このテストでは、読み取り専用ドメイン コントローラー (RODC) へ複製することを許可するための権限が名前付けコンテキストに対して設定されているかどうかを確認しており、"ENTERPRISE DOMAIN CONTROLLERS" グループにはその権限がなかったことを示しています。

 

このエラーは、adprep /rodcprep コマンドを実行していない環境において dcdiag を実行した際に出力されるもので、RODC を追加する予定がない場合は、この出力は無視できます。

dcdiag の出力結果に上記のエラーを出したくない場合には、adprep /rodcprep コマンドを実行する必要があります。

 

既に Windows Server 2003 から Windows Server 2008 以降のドメイン コントローラーへ移行が完了している場合でも、adprep /rodcprep コマンドを実行してももちろん問題はありません。

 

上記の dcdiag でエラーが出力される現象は下記の技術情報にて公開しております。

Dcdiag fails for NCSecDesc test on Windows 2008 Domain Controllers

https://support.microsoft.com/kb/967482

 

 「コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。」