RODC(Read Only Domin Controller)のメリットの1つに、AD DSに関する全ての情報が読み取り専用であるという点が挙げられます。アカウント情報、スキーマ情報をはじめとして、SYSVOLや AD統合ゾーンとして格納されているDNSレコードも読み取り専用です。
このことがRODCの安全性を高めているわけですが、SYSVOLに関して注意しなければならない点があります。
いくらSYSVOLが読み取り専用であっても、ユーザーが管理者権限を持っていればSYSVOLフォルダに対して「作成」「削除」「変更」ができてしまいます。もちろん、RODC上のSYSVOLに対してです。
当然、
「え?それじゃ読み取り専用じゃナイじゃんか?」
という疑問が出てきますよね。
RODCのSYSVOLが読み取り専用と言われる所以は、
「RODCのSYSVOLへの変更は、他のDCに複製されない」
という機能が備わっているからです。
ここで注意していただきたいのが、管理者によるSYSVOLへの変更がもたらす影響は、FRS と DFSR とで異なる点です。
FRSはご存知ですよね。Windows Server 2003 以前では、SYSVOLの複製にはFRS(File Replication Service)が使われていましたが、Windows Server 2008からは、SYSVOLの複製に DFSR を使用できるようになりました。
ただし、以下の記事にも書かれているとおり、Domain Controller への昇格時に、ドメイン機能レベルが「Windows Server 2008 レベル」になっていなければなりません。
【Windows Server 2008】 Sysvol 複製を FRS から DFSR に移行するには Dfsrmig.exe コマンドを使用する
http://blogs.technet.com/junichia/archive/2008/01/24/windows-server-2008-sysvol-frs-dfsr.aspx
では、タイトルにあるように、なぜ DFSR が FRS に比べてお勧めなのか。
もちろん「新しいから」とか「複製が早いから」という理由もありますが、より完全なRODCに近づけるのが DFSR なのです。
その理由を以下に挙げておきますので、今後の設計の参考にしてください。
■FRSを使用している場合
SYSVOLに加えられた変更は、RWDC(RODCに対して、書き込み可能な通常のDCのこと)からの複製が行われない限り、元に戻らない。
複製は、複製元(RWDC)側に変更が発生しない限り(もしくは、Burflagsと呼ばれるレジストリエントリを D2 に設定する)行われない。
よって、複製が発生するまで、RODCで認証されるクライアントには、RWDCのSYSVOLに格納されているものとは異なるログオンスクリプトやグループポリシーが適用されてしまう。
■DFSRを使用している場合
SYSVOLは常に監視されており、最後に複製された状態を維持するための機構によって守られる。
管理者が変更しても、それを検出し、RWDC側SYSVOLフォルダの中身とのバージョンチェックを行う。
もし既存のファイルが変更されたり削除されていれば、RWDC側から正しいファイルを複製する。RWDC側に存在しないファイルやフォルダがあれば削除する。
ちなみに、Windows Server 2008 R2 の DFSR では、管理者が変更することさえも出来なくなるため、まさに「読み取り専用SYSVOL」と呼ぶに相応しい姿となります。
参考サイト
How does DFSR function on Read Only Domain Controllers?
http://blogs.technet.com/filecab/archive/2008/02/04/how-does-dfsr-function-on-read-only-domain-controllers.aspxDFS Replication: What’s new in Windows Server™ 2008 R2
http://blogs.technet.com/filecab/archive/2009/01/19/dfs-replication-what-s-new-in-windows-server-2008-r2.aspx