none
1つのADドメインにて 同等階層の異なるドメインを作ることは可能でしょうか RRS feed

  • 質問

  • はじめまして、ADでのDNSの動きについて教えてください。

     現在、1つのADドメインがあり、PCもサーバもこのドメインに参加しています。

     このドメイン名を ホスト名 A とします

     メンバーのサーバを Bとします

     1.ドメイン名は、d1.co.jp とした場合、このドメインに参加しているサーバを

      d2.co.jp としても名前解決することが出来るようにしたいと思っております。

      この場合、Aサーバに d2のゾーンを作成するという方法で名前解決が出来るかと

      思っておりますが問題ないでしょうか?

      子ドメインの追加等なら問題ないとは思うのですが、同じレベル?のものを追加可能かが

      気になっております。

    2.1が問題ないとした場合、Aサーバ(A.d1.co.jp)も A.d2.co.jpとして名前解決をすることが

      可能でしょうか

      方法は2と同様、d2のゾーンにAサーバの登録を行おうと思っています。

    参照しに来るコンピュータは、ほとんどが d1ドメインに参加しているものとなりますが

    参加していないものもあります。

    評価環境を構築してテストは実施する予定なのですが、急遽解決する必要があるのと

    無理やりな対応策でどこかで影響が出てくるとかがないかが気になっております。

    よろしくお願いします。

    • 移動 三沢健二Moderator 2011年5月2日 7:06 AD カテゴリの方が適切ではないかと判断したため (移動元:Windows Server 2003 全般)
    2011年4月13日 2:25

回答

  • こういうことでしょうか?

    例えば、ADのドメインであるcontoso.localとうドメインがあるが、外部からはcontoso.comでアクセスしたい。

    そこでserver1のサフィックスはcontoso.localだが、server1.contoso.com でも名前解決させたいが大丈夫か?

    確かにDNS的には新たにゾーンを作成し、Aレコードを登録すれば問題ないのではないでしょうか。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年4月17日 13:12
    モデレータ
  • チャブーンです。

    このご質問ですが、「外部からのアクセスにどう対応(主に認証について)させたいのか」で、話は違ってきますので、一筋縄ではいかない気がしますよ。

    純粋なコンピュータの名前解決、というところであれば、追加で設定したドメインのDNSゾーンにAレコードを登録して、外部からそのゾーンを参照してFQDNで引けば、サーバへのアクセスはできるでしょう。ただし、これはいわゆる一対一の名前解決の対応としてしか機能しないので、ワークグループ環境では有効ですが、ドメイン環境での認証が欲しい、という場合、ほとんどNGでしょう。

    Active Directoryでは2つ以上の「プライマリサフィックス」を設定することはできません。そのため、dc1.a.co.jpとdc1.b.co.jpを同一ドメインコントローラの名前として設定はできないのです。プライマリサフィックスでないドメイン名でのFQDNでは、ドメインコントローラ自体の名前解決はできてもSRVレコードでの解決ができないので、Active Directoryの認証は使えないのです。

    何が何でも実現したい、というなら、可能性としてActive DirectoryのLDAP属性の内容を修正することで、どちらのドメインもActive Directoryのドメイン名、と認識させる方法自体はあるかもしれません(プライマリサフィックス自体を2つ設定することはできません)。これはmsDS-AllowedDNSSuffixesという属性で複数のDNSサフィックスをドメイン名として認識させ、msDS‑DnsRootAlias属性で新しいドメイン名を別名のルートDNSゾーンとして設定することです。

    こうすることで内部的には、別のDNSゾーンを自分のADゾーンとして認識させ、NetLogonでSRVレコードが登録できるようになる可能性はあります。ですがこの機能はこういう目的のために用意されたモノではなく、できるかどうかはきちんとご自身で確認してもらう必要があるでしょう(普通は誰もこんなことはしません)。

    ですから、ご要望について、「ドメインの認証がからむなら」かなり難しいと理解されるといいでしょう。ご要望のような話しは、Active Directoryでは考慮されていませんので。

    2011年4月19日 3:33
    モデレータ

すべての返信

  • いまいち質問内容がはっきりしませんが、私なりに質問を理解するとこういうことでしょうか?

    例えば、フォレストルートドメインにcontoso.comを作成します。同一フォレストにサブドメインではなく、別ドメイン(複数ツリー)であるnwtraders.comを作成できるか?

    ということでしたら、可能です。

    その際、お互いのドメイン間での名前解決を行うためにはどうすればよいのか?

    ポイントは次の通り

    • それぞれのドメインに配置されているDNSにそのドメインのゾーンを作成し、お互いに条件付きフォワーダの設定を行います。
    • クライアントの名前解決においてはそのドメインのDNSを登録します。
    • 単一ラベルのクエリは、そのドメインのサフィックスを使用しての名前解決となります。
    • 異なるドメインに対する名前解決はFQDNでのクエリが必要になります。
    • 単一ラベルで異なるドメインにおいても名前解決を行い場合は、各クライアントにそれぞれのDNSサフィックスを追加します。
      これによって、最初のサフィックスを使用しての名前解決ができないときは、次に登録されているサフィックスを使用しての名前解決が行われます。

    こちらにドメインツリーの追加方法が解説してありました。

    http://journal.mycom.co.jp/series/AD/016/index.html

    http://technet.microsoft.com/ja-jp/library/cc782483%28WS.10%29.aspx

    以上、参考になれば幸いです。

     


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年4月13日 13:30
    モデレータ
  • ご回答ありがとうございます。
    説明の仕方が悪く、もう少し具体的に記載します。

    現在使用しているドメインの名称を変更したいと思っています
    ADのドメイン名変更は、参加しているメンバーサーバ、PCの影響が高く
    今回は見送ることになっています
    ただ、一部のサーバのみ、新しいドメイン名でも解決できるようにする必要があります。

    この場合、DNSサーバに新しいドメイン名のゾーンを記載し、新しいドメインでも解決できる
    サーバのみ手動で登録すればいいかと思っています。
    ただ、一部の設定手順書では、「このゾーンのドメイン名称は、ADドメイン名称を記載する」
    「ルート」のドメイン名を記載するとの説明があるため、別ドメイン名で記入可能でも
    ADのDNSですと何か問題があるのかと気になり質問しました。

    また、ADサーバに別のAPをインストールしており、このサーバも別ドメイン名で名前解決できるように
    したいと思っています。
    新規のドメイン名のサーバはない状態です。

    DNS的には問題ないとは思っていますが、理論的には問題ないですが
    ADドメインサーバが、DNS的に別ドメイン名でも解決できるという
    状態がなんか矛盾を感じております

    新しく作成したゾーンで表記しているドメイン名は、インターネットで使用しているドメインです。
    今回登録するホスト以外の問い合わせは、Forwardで設定している外部DNSへ
    照会しに行くと考えています。

    2011年4月15日 11:11
  • こういうことでしょうか?

    例えば、ADのドメインであるcontoso.localとうドメインがあるが、外部からはcontoso.comでアクセスしたい。

    そこでserver1のサフィックスはcontoso.localだが、server1.contoso.com でも名前解決させたいが大丈夫か?

    確かにDNS的には新たにゾーンを作成し、Aレコードを登録すれば問題ないのではないでしょうか。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年4月17日 13:12
    モデレータ
  • チャブーンです。

    このご質問ですが、「外部からのアクセスにどう対応(主に認証について)させたいのか」で、話は違ってきますので、一筋縄ではいかない気がしますよ。

    純粋なコンピュータの名前解決、というところであれば、追加で設定したドメインのDNSゾーンにAレコードを登録して、外部からそのゾーンを参照してFQDNで引けば、サーバへのアクセスはできるでしょう。ただし、これはいわゆる一対一の名前解決の対応としてしか機能しないので、ワークグループ環境では有効ですが、ドメイン環境での認証が欲しい、という場合、ほとんどNGでしょう。

    Active Directoryでは2つ以上の「プライマリサフィックス」を設定することはできません。そのため、dc1.a.co.jpとdc1.b.co.jpを同一ドメインコントローラの名前として設定はできないのです。プライマリサフィックスでないドメイン名でのFQDNでは、ドメインコントローラ自体の名前解決はできてもSRVレコードでの解決ができないので、Active Directoryの認証は使えないのです。

    何が何でも実現したい、というなら、可能性としてActive DirectoryのLDAP属性の内容を修正することで、どちらのドメインもActive Directoryのドメイン名、と認識させる方法自体はあるかもしれません(プライマリサフィックス自体を2つ設定することはできません)。これはmsDS-AllowedDNSSuffixesという属性で複数のDNSサフィックスをドメイン名として認識させ、msDS‑DnsRootAlias属性で新しいドメイン名を別名のルートDNSゾーンとして設定することです。

    こうすることで内部的には、別のDNSゾーンを自分のADゾーンとして認識させ、NetLogonでSRVレコードが登録できるようになる可能性はあります。ですがこの機能はこういう目的のために用意されたモノではなく、できるかどうかはきちんとご自身で確認してもらう必要があるでしょう(普通は誰もこんなことはしません)。

    ですから、ご要望について、「ドメインの認証がからむなら」かなり難しいと理解されるといいでしょう。ご要望のような話しは、Active Directoryでは考慮されていませんので。

    2011年4月19日 3:33
    モデレータ
  • ABE_NAOKI様、チャブーン様 ご回答ありがとうございます。

    今回は、単なるDNS的な解決のみでドメイン認証は現状のままです。

    実際は、別名ドメイン名で解決したいサーバの認証について上手くいきましたが、別の名前改解決のところで影響が出てしまい

    最終的には、あきらめてもらうこととなりました。

    いろいろ教えていただき、ありがとうございました。

    2011年4月25日 4:55
  • こんにちは、フォーラムオペレーターの三沢健二です。

    ABE NAOKI さん、チャブーン さん、アドバイスありがとうございます。

    今回はうまく運用する事が出来なかったとの事でしたが、お二人のアドバイスは非常に参考になる内容ではと思いましたので、勝手ながら [回答としてマーク] を付けさせていただきました。

    補足:
    今回のご質問ですが、少しご質問の意図が分からなかった部分もありますので、、、次回ご質問いただく際には、構成や想定されている設定内容などを詳細にお伝えいただければと思います。


    それでは、今後とも TechNet Forum をよろしくお願いします。

    ______________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2011年5月2日 7:05
    モデレータ