none
信頼関係の認証動作について RRS feed

  • 質問

  • ドメインの信頼関係の認証について質問させてください。

    Windows 2000 Server のドメインコントーラー (2 台) が稼働している AD 環境へ新規に Windows Server 2008 R2 のドメインコントーラー (2 台) を追加しました。

    2000 ドメコンと 2008 R2 ドメコンはネットワークセグメントが異なりますが、通信はできています。

    しかし、2000 ドメコンで信頼関係を結んでいる他のドメインがファイアーウォールの関係で 2008 R2 ドメコンで表示されない状況です。

    この際、2008 R2 ドメコンで認証したクライアントが信頼関係を結んだドメインのリソースにアクセスする際にどのような動作をするのでしょうか。

    アクセスが NG だった場合など 2000 ドメコンへ再認証などの動きをするでしょうか。

    恐れ入りますが、ご存知の方がいましたら、よろしくお願いします。
    2013年4月1日 7:04

回答

  • チャブーンです。

    クライアントが認証したドメインコントローラの内部的問題で「できるはずのことが出来なかった」場合、他のドメインコントローラに再度認証にいくことはありません。ですからご質問のような動作は期待できない、ということになります。

    • 回答としてマーク ZAQPAQ 2013年4月4日 3:54
    2013年4月4日 0:40
    モデレータ

すべての返信

  • チャブーンです。

    まず、「見えている」内容ですが、Windowsの「ブラウジングサービス」の機能を指しているとお見受けしますが、ブラウジングと実際の認証とは直接の関連はありません。つまり、ブラウジングで見えていてもいなくても、条件が整っていれば、信頼先の認証はきちんと行われます。条件(通信が必要なポート等)はしたの情報をご覧になってください。

    http://support.microsoft.com/kb/179442/en-us

    また、ファイアウォールのブロック等で信頼先のドメインコントローラに到達できない場合、信頼の認証は必ず失敗します。信頼元のドメインコントローラは信頼先のActive Directory情報は持っていないため、信頼先に代わって認証を行うといったことはできません。

    2013年4月3日 3:16
    モデレータ
  • チャブーンさん

    返信いただき、ありがとうございます。

    『2000 への再認証』 と記載した部分ですが、『2008 R2 で認証したクライアントがファイアーウォールで信頼先ドメインの認証が取れなかった場合、信頼先ドメインと通信が取れている 2000 ドメコンへ聞きにいくようなリトライの動きをするか。』 という質問になります。

    恐れ入りますが、ご存知の方がいましたら、よろしくお願いします。

    2013年4月3日 6:15
  • チャブーンです。

    クライアントが認証したドメインコントローラの内部的問題で「できるはずのことが出来なかった」場合、他のドメインコントローラに再度認証にいくことはありません。ですからご質問のような動作は期待できない、ということになります。

    • 回答としてマーク ZAQPAQ 2013年4月4日 3:54
    2013年4月4日 0:40
    モデレータ
  • チャブーンさん、ありがとうございます。
    大変、参考になり助かりました。
    2013年4月4日 3:54