【問題】
会社のネットワークはWindows Server 2003のドメイン・コントローラ(DC)を含む単一のWindows Server 2008 Active Directoryフォレストで構成されている。そのフォレストは複数のツリーで構成され,各ツリーは1つ以上のドメインで成り立っている。
あなたは,遠隔地にある少人数のオフィスに「読み取り専用ドメイン・コントローラ(RODC)」の配置を検討している。RODCをインストールする前に行うべき操作は,次のうちのどれか,適切なものを選択しなさい。
A. | 各ドメイン・コントローラ1回ずつ「ADPREP /RODCprep」コマンドを実行する |
---|---|
B. | 各ドメインで1回ずつ「ADPREP /RODCprep」コマンドを実行する |
C. | 各ドメイン・ツリーで1回ずつ「ADPREP /RODCprep」コマンドを実行する |
D. | フォレストで1回「ADPREP /RODCprep」コマンドを実行する |
正解:D
【解説】
読み取り専用ドメイン・コントローラ(RODC)は,Windows Server 2008でサポートされたドメイン・コントローラ(DC)である。名前の通り,読み取りしかできず,RODCに対するユーザー登録などの書き込み作業は行えない。またユーザーのパスワード変更の要求もRODCでは受け付けない。
Windows Server 2008よりも以前のバージョンのDCが存在する環境(従来環境)に,Windows Server 2008のRODCを追加する場合には,フォレストで1回だけ「Adprep /RODCprep」コマンド(Adprep.exe,名称は「Active Directory Preparation Tool」)を実行する必要がある(図1)。
図1●「Adprep /RODCprep」コマンドの実行 Windows Server 2003フォレストで「AdPrep /RODCprep」を実行する [画像のクリックで拡大表示] |
RODCの複製対象は,フォレスト全体に複製される「エンタープライズ・パーティション」を含む。そのため,RODCの準備作業もフォレスト全体で設定する必要があると考えれば覚えやすいだろう。内部的には,Adprep /RODCprepコマンドは,ドメインの名前付けコンテキスト(ディレクトリ・データベースのパーティション一覧を記録したデータベース領域)のアクセス許可を更新し,RODCに対する複製を可能にするものである。単純に考えるなら,RODCをインストールするための準備を行うコマンドである。したがって正解はDであり,それ以外は誤りである。
なお,全てのドメイン・コントローラおよびDNSサーバーがWindows Server 2008上で実行されている場合には,Adprep /RODCprepコマンドを実行する必要はない。また,DNSサーバーがWindows Server 2008よりも以前のバージョン上で実行されていたとしても,そのDNSサーバーがアプリケーション・パーティションを持たない場合には,Adprep /RODCprepコマンドを実行する必要はない。
ADPrepのその他の役割
RODCに限らず,Windows Serve 2003以前のActive Directory環境にWindows Server 2008のドメイン・コントローラを追加する場合は,2段階のステップが必要である。最初のステップはフォレスト全体の設定で,2番目のステップはドメイン単位での設定である。RODCの追加準備は3番目のステップとなる。実際には,フォレスト全体の設定をした後であれば,RODCの追加準備はいつでも構わない。ただし,RODCの昇格作業を行う前に,ドメイン単位の設定も完了しておく必要がある。
フォレスト全体の設定は,「Adprep /ForestPrep」コマンドをスキーマ・マスタの役割を持つDC上で実行する(図2)。これによって,Active Directoryスキーマ(データベース・テンプレート)が,Windows Serve 2008対応となる。
図2●「Adprep /ForestPrep」コマンドの実行 図は実行結果の一部(開始直後)である。実際はスクロールが1~2分続く [画像のクリックで拡大表示] |
ドメイン単位での設定は,各ドメインのインフラストラクチャ・マスタ役割を持つドメイン・コントローラ上で「Adprep /DomainPrep /GPprep」コマンドを実行する(図3)。このコマンドは,ドメインの情報の更新とグループ・ポリシーのアクセス許可を更新するものである。ただし,「Adprep /DomainPrep /GPprep」コマンドを実行するには,ドメインの機能レベルがWindows 2000ネイティブ以上でなければならない。Windows Serve 2008では「Windows 2000混在」機能レベルはサポートされない。
図3●「Adprep /DomainPrep」コマンドの実行 グループ・ポリシーの量によっては時間がかかることもある [画像のクリックで拡大表示] |
Adprepコマンド実行後は,「%Systemroot%\Debug\adprep\logs」フォルダの下に年月日時刻でサブ・フォルダが作成され,そのサブ・フォルダに「ADPrep.log」というファイル名でログが作成される(図4)。ログを作成した旨のメッセージが出るのは,「Adprep /RODCprep」コマンド実行時のみであるが,他のコマンド実行時にもログが作成されている。エラーが出る際にはログ作成のメッセージが表示されなくても,該当フォルダを参照してほしい。
図4●「Adprep.exe」の実行ログの一部 [画像のクリックで拡大表示] |
Adprepコマンドは,OSインストールDVDの「\sources\adprep」フォルダに収められている。他のコマンドのようにハードディスク中にインストールされているわけではない。これは,Adprepコマンドが,既存のドメイン・コントローラ,つまりWindows Serve 2003またはWindows 2000 Server上で実行されるためである。
ADPrepのまとめ
最後にADPrepの実行とドメイン・コントローラの昇格順序をまとめておこう。
- 「Adprep /ForestPrep」コマンドをスキーマ・マスタ上で実行(フォレストで1回)
- 「Adprep /DomainPrep /GPprep」コマンドをインフラストラクチャ・マスタ上で実行(ドメインごとに1回)
- 「Adprep /RODCprep」コマンドを任意のドメイン・コントローラ上で実行(フォレストで1回)
- 準備が完了したら,Windows Server 2008のドメイン・コントローラへの昇格作業を開始