none
サブドメインでのアカウント一元化 RRS feed

  • 質問

  • はじめまして、お世話になります
    Windows2003SERVERSP2で B.LOCAL というドメインと そのサブドメイン A.B.LOCAL を作成しました。
    A.B.LOCAL の方のDNSはセカンダリで構築しています。

    A.B.LOCAL 配下のクライアントにおいて、ログオン時に B.LOCAL  で作成したアカウントでログインしたいのですが
    可能でしょうか?(ログイン先をAとします)

    試しに、あるユーザを作成し、ユニバーサルグループに所属させましたがログイン先が「B]の場合は当然ログインできましたが、「A」とすると
    ユーザ名が不明ということでログインできませんでした。
    2009年10月5日 22:58

回答

  • こんにちは

    > A.B.LOCAL 配下のクライアントにおいて、ログオン時に
    > B.LOCAL  で作成したアカウントでログインしたいのですが可能でしょうか?
    > (ログイン先をAとします)

    こちらですが、B.LOCALのアカウントでログオンする場合、ログオン先をAにするとアカウントがないのでログオンできないのではないでしょうか?

    > 試しに、あるユーザを作成し、ユニバーサルグループに所属させましたが
    > ログイン先が「B]の場合は当然ログインできましたが、
    > 「A」とするとユーザ名が不明ということでログインできませんでした。

    の結果で正しいような。
    2009年10月11日 5:40
  • 阿部です

    質問の詳細を見過ごしていました

    確かに

    > A.B.LOCAL 配下のクライアントにおいて、ログオン時に
    > B.LOCAL  で作成したアカウントでログインしたいのですが可能でしょうか?
    > (ログイン先をAとします)

    これではダメですね。私は(ログイン先をAとします)の部分を見落としていました。てっきりログイン先がBと思っていての回答をしてしまいました。ですのでtissueさんが回答しているように動作としては正しいと思われます。

    基本的にそのドメインのユーザーはそのドメインにしかいませんので

    ただし、別ドメインに参加しているPCからのログオンは可能です

    その場合自分が参加しているドメインを指定する必要があります(もしくはUPNを使用する)

    混乱する回答を載せてしまい申し訳ありませんでした
    2009年10月12日 12:24
    モデレータ
  • 阿部です。

    私が質問の詳細をちゃんと見ていなかったので誤った回答になってしまいましたがここでまとめてみたいと思います。

    まず、ドメインを指定してのログオンには、そのドメインに所属するユーザーでしかログオンできません。なぜなら、そのドメインにしか指定したユーザーはいないからです。

    サブドメインのクライアントからルートドメインに所属しているユーザーアカウントを使用してルートドメインにログオンすることはできます。しかし、ルートドメインに所属して
    いるユーザーがサブドメインにログオンすることはできません。

    ですのでこの動作は正常ということになります。

    この質問での意図は同じ組織で複数ドメイン構成をされていて、わざわざ自分のドメインを指定しないといけないのか?というように理解するとある方法があります。

    それはUPNサフィックスを作成し、それを使用してログオンすることです。

    使用例としては、会社ではメールアドレスがEMAIL GONEだとします。組織ではこのメールアドレスのドメインを使用してWindowsドメインにログオンしたいという要望がある場合、UPNサフィックスとしてabc.comを作成し、ユーザーに対して割り当てることができます。UPNサフィックスはフォレスト単位で使用できるので、ドメインが異なっても同じUPNサフィックスを指定できます。こうすれば、同じ組織で同じUPNサフィックスを使用してログオンすることが可能です。

    またDNSの情報は知っておいていいと思います。

    以上、長々と失礼しました。
    2009年10月13日 1:20
    モデレータ

すべての返信

  • 阿部です

    結論から申しますとできます。

    動作の流れとしては、testユーザー(b.localのユーザー)がログオンする際に、UPN EMAIL GONE としてログオンします。そうすると、GCに問い合わせを行いどのドメインのユーザーなのかの判断をしてログオンできます。

    怪しいのがDNSの設定ですね。

    セカンダリで運用するよりも、サブドメインとしての設定を行うのが推奨です。(MSドメインをサブドメインとして運用する場合、DNSも同様にする)

    そしてDNSの委任もしくは、B.Localよりスタブの設定を行います(推奨はスタブです)

    またこのような設定を正確に行うとADのドメインと信頼関係にはb.localとa.b.localが見えて信頼関係がはられるはずです。

    ユニバーサルグループはこの件とは関係ありません。

    2009年10月6日 4:32
    モデレータ
  • 阿部様 早速のご回答ありがとうございます。


    セカンダリで構築しています。

    度々すいませんが、「サブドメインとしての設定」というのは具体的にはどのような手順になりますでしょうか?
    参考になるHPなどありましたらご紹介ください。


    2009年10月6日 6:53
  • 阿部です

    まず、セカンダリとはプライマリの複製になります。DNSの場合はゾーンという管理範囲において管理しています。

    MSドメインの管理範囲とDNSの管理範囲は通常同じにします。

    ということはゾーンは異なるということになります。

    ですので、b.locaドメインにおけるDNSのゾーンはb.localになります。

    そして、a.b.localドメインにおけるゾーンはa.b.localになります。

    このようにDNSにおいてサブドメインを構成する場合、DNSのサブドメインとしての設定が必要になります。

    具体的には

    委任の場合は、b.localより委任の設定をサブドメインに対して行います(サブドメインのDNSを登録する)。

    スタブの場合は、新しいゾーンの作成でサブドメインのゾーンを登録します。そうすると、自動的にSOA、NS、グルーAレコードがゾーン転送されます。これにより、委任と同等の処理が行われます(こちらが推奨)。

    MSサブドメインのDNS上にはプライマリとしてサブドメインを作成します。この例では、a.b.localになりますね。

    MSドメインにおいてDNSを構築する際にはAD統合ゾーンが推奨になります。

    これらの構成を行うことにより、自動的にSRVレコードが登録されGC、DCなどの情報が書き込まれます。うまく書きこまれない場合は各サーバーにおいてnetlogonサービスを再起動するとDNSに対して動的にレコードが書き込まれます。

    DNS の操作方法
    http://technet.microsoft.com/ja-jp/library/cc757540(WS.10).aspx

    ここら辺が参考になるかもしれません

    2009年10月6日 7:41
    モデレータ
  • こんにちは

    > A.B.LOCAL 配下のクライアントにおいて、ログオン時に
    > B.LOCAL  で作成したアカウントでログインしたいのですが可能でしょうか?
    > (ログイン先をAとします)

    こちらですが、B.LOCALのアカウントでログオンする場合、ログオン先をAにするとアカウントがないのでログオンできないのではないでしょうか?

    > 試しに、あるユーザを作成し、ユニバーサルグループに所属させましたが
    > ログイン先が「B]の場合は当然ログインできましたが、
    > 「A」とするとユーザ名が不明ということでログインできませんでした。

    の結果で正しいような。
    2009年10月11日 5:40
  • 阿部です

    質問の詳細を見過ごしていました

    確かに

    > A.B.LOCAL 配下のクライアントにおいて、ログオン時に
    > B.LOCAL  で作成したアカウントでログインしたいのですが可能でしょうか?
    > (ログイン先をAとします)

    これではダメですね。私は(ログイン先をAとします)の部分を見落としていました。てっきりログイン先がBと思っていての回答をしてしまいました。ですのでtissueさんが回答しているように動作としては正しいと思われます。

    基本的にそのドメインのユーザーはそのドメインにしかいませんので

    ただし、別ドメインに参加しているPCからのログオンは可能です

    その場合自分が参加しているドメインを指定する必要があります(もしくはUPNを使用する)

    混乱する回答を載せてしまい申し訳ありませんでした
    2009年10月12日 12:24
    モデレータ
  • 阿部です。

    私が質問の詳細をちゃんと見ていなかったので誤った回答になってしまいましたがここでまとめてみたいと思います。

    まず、ドメインを指定してのログオンには、そのドメインに所属するユーザーでしかログオンできません。なぜなら、そのドメインにしか指定したユーザーはいないからです。

    サブドメインのクライアントからルートドメインに所属しているユーザーアカウントを使用してルートドメインにログオンすることはできます。しかし、ルートドメインに所属して
    いるユーザーがサブドメインにログオンすることはできません。

    ですのでこの動作は正常ということになります。

    この質問での意図は同じ組織で複数ドメイン構成をされていて、わざわざ自分のドメインを指定しないといけないのか?というように理解するとある方法があります。

    それはUPNサフィックスを作成し、それを使用してログオンすることです。

    使用例としては、会社ではメールアドレスがEMAIL GONEだとします。組織ではこのメールアドレスのドメインを使用してWindowsドメインにログオンしたいという要望がある場合、UPNサフィックスとしてabc.comを作成し、ユーザーに対して割り当てることができます。UPNサフィックスはフォレスト単位で使用できるので、ドメインが異なっても同じUPNサフィックスを指定できます。こうすれば、同じ組織で同じUPNサフィックスを使用してログオンすることが可能です。

    またDNSの情報は知っておいていいと思います。

    以上、長々と失礼しました。
    2009年10月13日 1:20
    モデレータ
  • こんにちは、フォーラムオペレーターの三沢健二です。

    ABE NAOKI さん、ご丁寧な回答ありがとうございます (^^)
    tissue さん、適切なフォローありがとうございます !

    お二方からコメントいただきましたように、ログオン先にはユーザーアカウントが所属するドメインを指定する必要がありますので、ご投稿いただいた内容は正常な動作であると判断できますね。

    それでは、こちらのスレッドは大変参考になる情報ではないかと思いましたので、私の方で [回答としてマーク] を付けさせていただきました。

    これからも皆様の情報交換の場として、ぜひ TechNet フォーラムをご利用ください (^^)/

    ______________________________________
    マイクロソフト株式会社 フォーラムオペレーター 三沢健二

    2009年10月20日 4:31
    モデレータ