none
NAT環境でのドメコン同士の通信 RRS feed

  • 質問

  • haru1banと申します。

    ADのNAT環境での利用に関して、以下情報にをお持ちであればご教授ください。

    ■質問
     静的NAT環境にある、ドメコン同士は正常に通信が行えるか
     ・DC<--->クライアント間のkerberos通信はNAT環境で使えないと聞いているが
      DC<--->DC間の通信は可能確認したい。

    ■環境
     NW:
      ・ネットワークが二つある(A、B)。それぞれプライベートIPが割り当てられたネットワークである。
      ・ネットワーク間のやりとりは接続されているNAT用ルータにて静的NATが行
    われている。

     DC:片方のネットワークAにドメインコントローラが一台設置されている。
     (Windows2008 Standard)

    ■経緯
     ネットワークBにドメコンを1台追加することとなった。
     両ドメコン間の通信はNATアドレスを使って接続する。

    以上です。

    すみませんが、宜しくお願いいたします。

    2012年6月29日 6:43

回答

  • チャブーンです。

    ドメインコントローラ同士の通信ですが、NATはサポートされていません。

    Active DirectoryでのNATサポートですが、以下の制約があるという認識です。

    ・Kerberosについては、パケット内に記録されているIPアドレスがNAT変換できないため、問題が起こります。ただこれはレジストリを変更することで修正できます。
    http://support.microsoft.com/kb/318071/ja

    ・RPCについては、NAT環境には対応していません。これを回避する方法は残念ながらありません。
    http://support.microsoft.com/kb/154596

    ----
    クライアントがサーバーとの通信に使用するポートを構成することはできますが、サーバーの実際の IP アドレスを使用してサーバーにアクセスできる必要があります。アドレス変換を行うファイアウォールを経由して DCOM を使用することはできません (アドレス変換を行うファイアウォールでは、たとえば、サーバーの実際のアドレス 192.100.81.101 が仮想アドレス 198.252.145.1 に透過的にマッピングされ、クライアントはこの仮想アドレスに接続します)。
    ----

    2012年6月30日 3:33
    モデレータ

すべての返信

  • チャブーンです。

    ドメインコントローラ同士の通信ですが、NATはサポートされていません。

    Active DirectoryでのNATサポートですが、以下の制約があるという認識です。

    ・Kerberosについては、パケット内に記録されているIPアドレスがNAT変換できないため、問題が起こります。ただこれはレジストリを変更することで修正できます。
    http://support.microsoft.com/kb/318071/ja

    ・RPCについては、NAT環境には対応していません。これを回避する方法は残念ながらありません。
    http://support.microsoft.com/kb/154596

    ----
    クライアントがサーバーとの通信に使用するポートを構成することはできますが、サーバーの実際の IP アドレスを使用してサーバーにアクセスできる必要があります。アドレス変換を行うファイアウォールを経由して DCOM を使用することはできません (アドレス変換を行うファイアウォールでは、たとえば、サーバーの実際のアドレス 192.100.81.101 が仮想アドレス 198.252.145.1 に透過的にマッピングされ、クライアントはこの仮想アドレスに接続します)。
    ----

    2012年6月30日 3:33
    モデレータ
  • チャブーンさん

    お忙しい中、ご教授ありがとうございます。

    ドメインコントローラ同士の通信ですが、NATはサポートされていないということですね。

    (確かに、DNSサーバにDC情報が登録されるので、NAT環境はNGですよね)。

    haru1ban

    2012年7月3日 10:43