読み取り専用ドメイン コントローラー (RODC) の段階的インストールを実行できます。段階的インストールでは、異なるユーザーが 2 つの段階でインストールを実行できます。インストールの各段階を実行する場合は、Active Directory ドメイン サービスのインストール ウィザードを使用できます。

RODC の段階的インストールについて

インストールの 1 番目の段階では、RODC 用のアカウントを Active Directory ドメイン サービス (AD DS) に作成します。インストールの 2 番目の段階では、RODC となる実際のサーバーを、RODC 用に既に作成されているアカウントへ関連付けます。

1 番目の段階では、RODC に関するすべてのデータが Active Directory ドメイン サービスのインストール ウィザードによって記録され、分散された Active Directory データベースに格納されます。これらのデータには、RODC のドメイン コントローラー アカウント名や、RODC が配置されるサイトなどがあります。この段階は、Domain Admins グループのメンバーが実行する必要があります。

RODC アカウントを作成するユーザーは、作成の際、どのユーザーまたはグループがインストールの 2 番目の段階を実行できるのかを指定することもできます。インストールの 2 番目の段階は、アカウントの作成時にインストールの実行権限を委任された任意のユーザーまたはグループのメンバーが、ブランチ オフィスで実行できます。この段階では、Domain Admins グループなどの組み込みのグループのメンバーシップは必要ありません。RODC アカウントを作成したユーザーが、インストールの実行 (および RODC の管理) の委任を指定しなかった場合は、Domain Admins グループまたは Enterprise Admins グループのメンバーだけがインストールを実行できます。

インストールの 2 番目の段階では、ウィザードによって、RODC となるサーバーに AD DS がインストールされます。通常、この段階は、RODC を展開するブランチ オフィスで実行されます。この段階では、データベースやログ ファイルなど、ローカルに常駐するすべての AD DS データが、RODC 上に作成されます。インストールのソース ファイルは、ネットワークを経由して別のドメイン コントローラーから RODC にレプリケートできます。または、メディアからのインストール (IFM) 機能を使用できます。IFM を使用する場合は、Ntdsutil.exe を使用してインストール メディアを作成します。このインストール メディアは RODC のインストール用に特別に作成されるものです。IFM の使用の詳細については、「メディアからインストールする」を参照してください。

RODC となるサーバーを RODC アカウントに関連付ける場合、そのサーバーはドメインに参加していないサーバーであることが必要です。Active Directory ドメイン サービスのインストール ウィザードでは、インストールの一環として、サーバーの名前がドメイン用に事前に作成された RODC アカウントの名前と照合され、サーバー名に一致するアカウント名の検出が自動的に実行されます。一致するアカウント名がウィザードによって検出された場合は、そのアカウントを使用して RODC のインストールを実行するよう指示されます。

段階的インストールの実行のシナリオ

組織で段階的インストールを利用すると、以前のバージョンの Windows Server の場合よりも効率良く、ドメイン コントローラーをブランチ オフィスの場所に展開できます。たとえば、組織の中核となる場所にいる Domain Admins グループのメンバーが、RODC アカウントを AD DS に作成できます。インストールのこの段階では、ドメイン コントローラー用のコンピューター アカウントの作成、ドメイン コントローラーのサイトの指定、サーバー用の関連する NTDS 設定オブジェクトの作成など、Domain Admin の資格情報を必要とするすべての展開タスクを実行します。

Domain Admins グループのメンバーは、RODC アカウントの作成時に、ブランチ オフィスの場所で RODC のインストールを実行するための権限を別のユーザーまたはセキュリティ グループに委任することができます。サーバーを既存の RODC アカウントに関連付けるタスクは、必ずしも Domain Admins グループのメンバーが実行する必要はありません。インストールの 1 番目の段階で Domain Admins グループのメンバーによる指定を受けた、任意の委任された管理者、または委任されたグループ メンバーが、このタスクを実行できます。

組織でサーバーを発注してブランチ オフィスの場所に直接納入し、そこで RODC のインストールを実行できます。これまでは、ブランチ オフィス用のドメイン コントローラーを発注する際、組織の中核となる場所やステージ サイトに納入して組み立てた後、さらに展開先のブランチ オフィスの場所に納入しなければならない場合が多くありました。または、インストール メディアを組織の中核となる場所で作成した後、ブランチ オフィスの場所に納入してドメイン コントローラーのインストールを実行していました。RODC の段階的インストールによって、こうした中間的なインストール手順がなくなり、ドメイン コントローラーの展開プロセスが合理化されます。

段階的インストールの実行方法

RODC をインストールする前に、adprep /rodcprep を実行してフォレストを準備する必要があります。adprep を実行してフォレストを準備する手順の詳細については、「Active Directory ドメイン サービスの展開構成を選択する」を参照してください。

フォレストの準備ができたら、Active Directory ユーザーとコンピューター スナップインを使用して RODC アカウントを作成します。コンソール ツリーで、[ドメイン コントローラー] コンテナーを右クリックするか、[ドメイン コントローラー] コンテナーをクリックして [操作] をクリックし、[読み取り専用ドメイン コントローラー アカウントの事前作成] をクリックします。

コマンド ラインで dcpromo を実行して RODC アカウントを作成することもできますが、その場合はコマンドに RODC のインストール先ドメインの名前も指定する必要があります。コマンド ラインで、次のコマンドを入力し、Enter キーを押します。

dcpromo /CreateDCAccount /ReplicaDomainDNSName:ドメイン名

この "ドメイン名" は、RODC をインストールするドメインの名前です。

作成した RODC アカウントは、委任されたユーザーがサーバーをそのアカウントに関連付けるまで、使用されていないドメイン コントローラー アカウントとして [ドメイン コントローラー] コンテナーに表示されます。

委任された管理者は、サーバーの静的 IP アドレスを割り当てて DNS クライアントの設定を構成した後、Active Directory ドメイン サービスのインストール ウィザードを実行して、ブランチ オフィスのサーバーを既存の RODC アカウントに関連付けることができます。サーバーを既存のアカウントに関連付けるには、ドメイン コントローラーとなるサーバーでコマンド プロンプトを開き、次のコマンドを入力して、Enter キーを押します。

dcpromo /UseExistingAccount:Attach

AD DS バイナリがインストールされていることが、委任された管理者に通知されます。この後、Active Directory ドメイン サービスのインストール ウィザードによって、インストールの 2 番目の段階が自動的に開始されます。委任された管理者は、dcpromo コマンドに /adv パラメーターを追加するか、ウィザードの [Active Directory ドメイン サービスのインストール ウィザードの開始] ページで [詳細モード インストールを使用する] チェック ボックスをオンにすることで、次の追加のインストール オプションを指定できます。

  • データをネットワーク経由でレプリケートするか、メディアからレプリケートするか

  • どのドメイン コントローラーをインストール パートナーとして使用するか

委任された管理者は、ウィザードの [ネットワーク資格情報] ページで、RODC をインストールするフォレスト内のドメインの名前を、インストールに使用する代替の資格情報と共に入力する必要があります。代替の資格情報は、サーバーを既存のドメイン コントローラー アカウントに関連付ける場合に必要になります。これは、ドメイン ユーザーがその操作を実行する必要があるためです。ただし、サーバーはまだドメインに参加していないたため、委任された管理者は最初はローカル管理者アカウントでサーバーにログオンしています。したがって、委任された管理者は、この時点では、RODC に関するインストールと管理の権限が委任されているドメイン ユーザーのアカウント (または、委任された管理グループのメンバーであるアカウント) を指定する必要があります。なお、RODC に関するインストールと管理の権限の委任は、Domain Admins グループのメンバーが RODC 用のアカウントを作成したときに行われます。

RODC から AD DS を削除する

委任された管理者は、Dcpromo.exe を実行して、AD DS を RODC から削除できます。Active Directory ドメイン サービスのインストール ウィザードでは、新しいローカルの Administrator アカウントのパスワードなどの情報が要求されます。このパスワードは、AD DS を削除してコンピューターをスタンドアロン サーバーにするために必要になります。AD DS の削除を完了するにはサーバーを再起動する必要があります。

コンピューター名とアカウントの競合を検出する

委任された管理者が、サーバーと関連付ける RODC アカウントの名前を選択した後、Active Directory ドメイン サービスのインストール ウィザードでは、そのアカウントがアクティブなドメイン コントローラーによって現在使用されていないかどうかが確認されます。アカウントが使用されていないことを確認できた場合は、サーバーとアカウントとの関連付けが自動的に行われ、インストールが完了します。

一致する名前を持つコンピューター アカウントが見つからない場合、委任された管理者は、サーバーの名前を既存のコンピューター アカウントと一致する別の名前に変更するか、または他の手順で名前の競合を解決する必要があります。

一致するドメイン コントローラー アカウント名が見つかったものの、そのアカウントが有効になっている場合は、ウィザードによってそのドメイン コントローラーとの通信が試みられ、ドメイン コントローラーがオンラインかどうかが確認されます。その後、次の処理がウィザードによって行われます。

  • 同じ名前を持つ別のドメイン コントローラーが既にオンラインであることを確認できた場合は、AD DS のインストールを完了できなくなります。この場合は、RODC のインストール先となるサーバーの名前を、まだ使用されていない RODC アカウントの名前に変更する必要があります。

  • 同じ名前を持つ別のドメイン コントローラーがオンラインになっていることを確認できない場合は、委任された管理者に警告が表示されます。警告では、インストールを続行すると、同じアカウント名を持つドメイン コントローラーが正常に機能しなくなる場合があることが示されます (ウィザードからドメイン コントローラーへ通信はできなかったが、実際にはドメイン コントローラーがオンラインになっている可能性があるため)。

    このような状況は、サーバーと既存のアカウントとの関連付けを以前に行ったとき、インストールが完了する前にその関連付け操作を取り消した場合に発生することがあります。この場合は、インストールが完了する前に、RODC アカウントの状態が無効から有効に変わることがあります。ドメイン コントローラーがオンラインになっていることを確認できなかった場合、委任された管理者は警告が表示された後に [OK] をクリックして続行できます。

詳細については、「読み取り専用ドメイン コントローラー アカウントを選択する」を参照してください。


目次