none
ドメイン間で信頼関係を結んだ後のADユーザ検索の挙動について RRS feed

  • 質問

  • お世話になっております。

    以下の問題につきましてご質問させてください。

    ■構築サーバ
    ○Windows Server 2003 standard  ×2
    ・ドメイン/フォレストレベルはWindowsServer2003
    ・シングルドメイン構成
    ・ActiveDirectoyにおいてAドメインを構築
    ・ユーザは20人前後作成
    ・グループポリシーはパスワードの制限のみ

    ○Windows Server 2008 R2 standard ×2
    ・ドメイン/フォレストレベルはWindowsServer2003
    ・シングルドメイン構成
    ・ActiveDirectoyにおいてBドメインを構築
    ・グループポリシーの設定はデフォルト

    現在、上記構成でそれぞれシングルフォレストのADドメインを
    構築して信頼関係を結んでいるのですが以下のような現象が発生しております。

    ・Aドメインを構築したWindowsServer2003からBドメインのADユーザを検索できる
    ・Bドメインを構築したWindowsServer2008からAドメインのADユーザを検索できる
    ・Aドメインに参加したクライアントからBドメインのADユーザが検索できない
    ・Bドメインに参加したクライアントからAドメインのADユーザが検索できない

    信頼関係を結んだ後、ドメインを構築したサーバ間では
    ADユーザの検索は出来るのですが、AドメインorBドメインに
    登録したユーザでログインを行い、ユーザの検索を行うと
    所属しているドメインのユーザしか検索ができません。
    権限の問題かと思い、グループのスコープを「ユニバーサル」
    にして試しても信頼関係を結んだドメインのユーザは
    検索できませんでした。

    信頼関係に関する詳細な情報が発見できず、上記動作が
    正常なのかどうかが判断できなかった為ご質問させて頂きました。

    上記動作がに正常である、設定不足で検索が出来ない等
    何かございましたらご指摘の程よろしくお願いします。

    • 移動 三沢健二Moderator 2011年3月4日 8:37 AD カテゴリの方が適切ではないかと判断したため (移動元:Windows Server 2008 R2 全般)
    2011年3月4日 2:03

回答

  • 私が検証したところ、

    Server 2003 R2 ADServer 2008 AD間でフォレスト間の信頼を構築した場合、

    クライアントから相手側ドメインのActive Directoryの検索でユーザの検索ができるのは

    Windoows VistaServer 2008以上

    Windows XPからは、相手側ドメインのWindoows VistaServer 2008以上にリモートデスクトップ接続してActive Directoryの検索でユーザの検索を行うか、Windows XPAdminpak.msiをインストールする必要があるようです。

    http://technet.microsoft.com/ja-jp/library/cc738274(WS.10).aspx

    http://www.atmarkit.co.jp/fwin2k/win2ktips/066admintools/admintools.html

     

    おっしゃる動作は正常だと思いますが。


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    • 回答としてマーク 服部清次 2011年3月31日 8:47
    2011年3月5日 14:00
  • こんにちは、フォーラムオペレーターの三沢健二です。

    すでに 試験問題作成委員会 さんが回答されていましたが、下記の情報を参照していただければと思います。
    (信頼関係に関するご質問の場合、外部信頼なのかフォレスト間信頼なのかを記載していただけると助かります)

    - 参考情報
    The Object Picker cannot locate objects that are located in another forest in Windows XP and Windows 2000
    http://support.microsoft.com/kb/878452/en-us


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2011年3月31日 8:48
    2011年3月8日 7:23
    モデレータ

すべての返信

  • 検索時に「場所(L)」ボタンを押しても相手側ドメインが出てこないということでしょうか?

    2011年3月4日 9:45
    モデレータ
  • 私が検証したところ、

    Server 2003 R2 ADServer 2008 AD間でフォレスト間の信頼を構築した場合、

    クライアントから相手側ドメインのActive Directoryの検索でユーザの検索ができるのは

    Windoows VistaServer 2008以上

    Windows XPからは、相手側ドメインのWindoows VistaServer 2008以上にリモートデスクトップ接続してActive Directoryの検索でユーザの検索を行うか、Windows XPAdminpak.msiをインストールする必要があるようです。

    http://technet.microsoft.com/ja-jp/library/cc738274(WS.10).aspx

    http://www.atmarkit.co.jp/fwin2k/win2ktips/066admintools/admintools.html

     

    おっしゃる動作は正常だと思いますが。


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    • 回答としてマーク 服部清次 2011年3月31日 8:47
    2011年3月5日 14:00
  • 検索時に「場所(L)」ボタンを押しても相手側ドメインが出てこないということでしょうか?

    はい、ファイルのプロパティ→セキュリティ→追加を選択し、「ユーザ名、コンピュータ または グループの選択」画面より「場所(L)」を選択した時に信頼関係を結んだドメインが表示されません。

    また、マイネットワークから「ActiveDirectoryの検索」を実施して「場所(N)」からも表示されませんでした。

     

    情報が少々抜けておりましたが、こちらを確認したクライアントにつきましてはWindowsXP SP3となります。

    2011年3月8日 6:28
  • こんにちは、フォーラムオペレーターの三沢健二です。

    すでに 試験問題作成委員会 さんが回答されていましたが、下記の情報を参照していただければと思います。
    (信頼関係に関するご質問の場合、外部信頼なのかフォレスト間信頼なのかを記載していただけると助かります)

    - 参考情報
    The Object Picker cannot locate objects that are located in another forest in Windows XP and Windows 2000
    http://support.microsoft.com/kb/878452/en-us


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2011年3月31日 8:48
    2011年3月8日 7:23
    モデレータ
  • ご確認ありがとうございます。
    こちら、検証を行っていたクライアントにつきましてはWindowsXP SP3 となります。

    上記回答を頂き安心しておりましたが、同じ検証を実施した方よりWindowsXPを利用してドメインにログインしたクライアントより信頼関係を結んだドメインのADユーザを検索することが可能であったと回答もらいました。
    現在、再度検証を行い再現できるかを確認している所です。

    何か進展がありましたら報告させていただきます。
    2011年3月8日 8:56
  • ご確認ありがとうございます。

    信頼関係につきましてはフォレスト間なります。

    現在、同検証を行った方よりWindowsXPより信頼関係を結んだ別ドメインのユーザ検索が行えたと情報を頂きましたので、構成を含め確認を行っている最中です。

    いただきました情報につきましては参考とさせていただきます。

     

    2011年3月8日 9:07
  • RK_123 さん、

    こんにちは。
    フォーラム オペレーターの服部清次です。

    RK_123 さんがこちらの質問を投稿されてから少し経ちましたが、今回、試験問題作成委員会 さんと
    弊社の三沢健二の回答を参考にしていただけたのではないかと思いましたので、
    勝手ながら、私の方でひとまず [回答としてマーク] させていただきました。

    RK_123 さんがおっしゃっていた異なる動作に関しましては、もう一度条件などを再確認されてみてはいかがでしょうか?

    また何か困ったことなどがありましたら、ぜひ TechNet フォーラムをご活用ください。
    今後とも、よろしくお願いします!
    それでは、また。


    __________________________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 服部 清次

    2011年3月31日 8:50