【Management】RODCを導入するなら SYSVOL複製には DFSR がお勧めです

RODC(Read Only Domin Controller)のメリットの1つに、AD DSに関する全ての情報が読み取り専用であるという点が挙げられます。アカウント情報、スキーマ情報をはじめとして、SYSVOLや AD統合ゾーンとして格納されているDNSレコードも読み取り専用です。 このことがRODCの安全性を高めているわけですが、SYSVOLに関して注意しなければならない点があります。 いくらSYSVOLが読み取り専用であっても、ユーザーが管理者権限を持っていればSYSVOLフォルダに対して「作成」「削除」「変更」ができてしまいます。もちろん、RODC上のSYSVOLに対してです。 当然、 「え?それじゃ読み取り専用じゃナイじゃんか?」 という疑問が出てきますよね。 RODCのSYSVOLが読み取り専用と言われる所以は、 「RODCのSYSVOLへの変更は、他のDCに複製されない」 という機能が備わっているからです。 ここで注意していただきたいのが、管理者によるSYSVOLへの変更がもたらす影響は、FRS と DFSR とで異なる点です。 FRSはご存知ですよね。Windows Server 2003 以前では、SYSVOLの複製にはFRS(File Replication Service)が使われていましたが、Windows Server 2008からは、SYSVOLの複製に DFSR を使用できるようになりました。 ただし、以下の記事にも書かれているとおり、Domain Controller への昇格時に、ドメイン機能レベルが「Windows Server 2008 レベル」になっていなければなりません。 【Windows Server 2008】 Sysvol 複製を FRS から DFSR に移行するには Dfsrmig.exe コマンドを使用する http://blogs.technet.com/junichia/archive/2008/01/24/windows-server-2008-sysvol-frs-dfsr.aspx では、タイトルにあるように、なぜ DFSR が FRS に比べてお勧めなのか。 もちろん「新しいから」とか「複製が早いから」という理由もありますが、より完全なRODCに近づけるのが DFSR なのです。 その理由を以下に挙げておきますので、今後の設計の参考にしてください。…