二つのルータを介してのActive Directoryへの参加について

すべての返信

• 

  

  0

  サインインして投票

  チャブーンです。

  この件ですが、ルーター1と2はグローバルIPのみでルーティングしている環境で、かつNAT(NAPT)サーバーということなのでしょうか？

  残念ですが、Active DirectoryではNAT経由の接続は不推奨であり、事実上サポートされていない実情があります。したがって、仮にポートフォワードを行っても、うまく通信はできません。

  どうしても接続したいという場合、ルーター1と2をルーター間VPNで接続し、シームレスに(ローカルIPで)通信可能な状態を構成するしかないでしょう。

  追記:あるいは、ルーター1に対してサイト対ポイントVPNを構成して、ルータ2からVPN接続することで、対象クライアントがルータ1ネットワークの一員にすることも、一応はできると思います。

  ---

  フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

  
  

  • 編集済み チャブーンMVP, Moderator 2017年10月6日 10:42
  • 回答の候補に設定 栗下 望Microsoft employee, Moderator 2017年10月10日 4:18

  2017年10月6日 10:33

  返信

  |

  引用

  モデレータ
• 

  

  0

  サインインして投票

  大まかに言えば、次のようなことが必要になると思います。

  1. ルーター2LAN～ルーター1LAN間（またはクライアント2～ルーター1LAN間）がネットワークで接続され、正しくルーティングされること
  2. クライアント2がDNSを使用してドメインコントローラーを見つけられること
  3. クライアント2とドメインコントローラの間のActiveDirectory関連の通信がブロックされず、十分な帯域があること

  
  （もしルーター2側のLANにもドメインコントローラーを設置する場合は、ActiveDirectoryサイトの構成も必要になると思います。）

  １については、支店～本社の場合はサイト間VPN、自宅～勤務先の場合はリモートアクセス（ポイントtoサイトVPNやDirectAccess）を構成する必要があります。いずれにしても、ルーター1には固定のグローバルIPアドレスが必要になるでしょう。

  ２については、サイト間VPNの場合は（ルーター2LAN内にDNSサーバーを設置して）DNSフォワーダかセカンダリDNSを構成します。ルーターがDNSフォワーディング機能を備えていることもあります。
  クライアント2がルータ1LANのDNSを直接参照するようにもできますが、万一サイト間VPNがダウンした時にクライアント2がDNSを使用できなくなるためお勧めしません。
  リモートアクセスの場合は、ルーター1LANのDNSを使用するようにリモートアクセスのサーバー側を構成します。

  ３については、必要なポートがTechNetライブラリの「Active Directory and Active Directory Domain Services Port Requirements」に載っていますのでご参照ください。

  ドメインコントローラーのポートをインターネットに公開することは、セキュリティの観点からもやめておくほうが良いと思います。

  ご参考になれば幸いです。

  
  
  

  • 編集済み Alfred360 2017年10月6日 21:54
  • 回答の候補に設定 栗下 望Microsoft employee, Moderator 2017年10月10日 4:18

  2017年10月6日 20:53

  返信

  |

  引用