A:Kerberos認証プロトコルは、Windowsユーザーがアクセスを要求するサーバーまたはサービスのパスワードから派生した対称キーで暗号化されたセッションチケットを使用 セッションチケットを要求するには、ユーザーは、ドメインコントローラ(DC)上のKerberosキー配布センター(KDC)サービスにチケット付与チケット(TGT)と呼ばれる特別なチケ すべてのWindowsユーザーは、パスワードを使用してKDCに正常に認証された後、Windowsログインセッションの開始時にKDCからTGTを取得します。
KDCは、krbtgt ADドメインアカウントのパスワードから派生したキーでユーザーのTGTを暗号化します。 Krbtgtアカウントとそのパスワードは、ドメイン内のすべてのDcのKDCサービス間で共有されます。 Krbtgtアカウントは、ドメイン内の最初のDCでdcpromo ADインストールプロセスの一環として自動的に作成されます。 これは、Microsoft管理コンソール(MMC)Active Directoryユーザーとコンピュータスナップインのユーザーコンテナに表示され、既定では無効になっています。 他のADユーザーアカウントとは異なり、krbtgtアカウントを使用してドメインに対話的にログオンすることはできません。 それは組み込みのアカウントなので、krbtgtも名前を変更することはできません。
読み取り専用ドメインコントローラ(RODC)は、MicrosoftがWindows Server2008で導入した新しいタイプのDCです。 RODCは、ADデータベースの読み取り専用パーティションをホストします。 Windowsドメイン内のすべてのユーザーアカウントのパスワードハッシュは保存されません; 代わりに、RODCには、Rodcのパスワードレプリケーションポリシー(PRP)で定義されているアカウントのパスワードハッシュのみが格納されます。 この方法は、RODCの侵害は、ドメイン内のすべてのユーザーアカウントのパスワードハッシュのコピーを保持する従来の読み取り/書き込みDC(RWDC)の侵害よりも そのため、RODCは安全性が低いと考えられる方法で展開できます。 組織は通常、支社または非武装地帯(DMZs)に展開します。
RODCはブランチオフィスまたはDMZのKerberos KDCとして機能するため、krbtgtアカウントも必要です。 侵害されたRODCのkrbtgtを他のRodcまたはRwdcへのチケットを要求するために活用できないようにするために、各RODCには特別なローカルkrbtgtアカウントがあります。 このアカウントの形式はkrbtgt123で、”123″は乱数の文字列です。 このランダムな文字列は、RODCを一意に識別し、RODCがインストールされたときに生成されます。
ドメイン内のRodcの異なるローカルkrbtgtアカウントはADに格納され、ユーザーコンテナの下のActive Directoryユーザーとコンピュータに表示されます。 ドメイン内のすべてのRwdcは、ドメイン内のRODCsのkrbtgtアカウントのパスワードハッシュのコピーも保持します。 したがって、RODCによって発行されたTGTは、同じRODCおよびドメイン内の他のRWDCに対してセッションチケットを要求する場合に有効です。
RODCが有効でないTGTに基づくセッションチケット要求を受信した場合、つまりTGTがRODC自体によって発行されていないことを意味します。 RODCにユーザーのパスワードハッシュのコピーがない場合、RODCはTGT要求をRWDCに転送します。 この場合、RODCはプロキシとして機能し、RWDCからの回答をクライアントコンピューターに直接転送します。 同時に、RODCはユーザーのパスワードハッシュをキャッシュするプロセスをトリガーし、RODCが将来その特定のユーザーのTGTを作成できるようにします。 RodcのPRPがユーザーアカウントのパスワードハッシュをRODCにキャッシュすることを許可している場合、キャッシュは成功します。
関連:読み取り専用ドメインコントローラ(RODC)をインストールして構成するにはどうすればよいですか?
