none
Win2008R2とNTドメインの信頼関係について RRS feed

  • 質問

  • いつもお世話になっております

    タイトルの件について社内にて評価作業を行っていますが実現できていない状況です。

    環境としては下記の通りです。

    Win2008R2:ドメイン名 A

    NTServer:ドメイン名 B

    信頼関係は双方向で設定しており、2008、NTともエラーなしでした。

    NTからは2008のアカウント情報の参照はできますが、2008からはNTのアカウント情報参照すると「検索に失敗」となります。

    また、2008のドメインと信頼関係で検証を実施すると失敗してしまいます。

    そこで質問ですが、

     1.Win2008R2とNTドメインの信頼関係を構築することはできるのでしょうか

     2.できるのであれば、確認する項目、注意点等ありましたらご教示ください。

    以上、よろしくお願いします。

    2011年8月25日 0:23

回答

  • そもそもWindows NTは既にサポート対象外ですので期待通りの動作は保障されませんが、できるできないで考えるとある条件下で「できます」。

    Windows Server 2008 R2 と NT ドメインで信頼関係を設定
    http://engineermemo.wordpress.com/2011/02/12/windows-server-2008-r2-%E3%81%A8-nt-%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E3%81%A7%E4%BF%A1%E9%A0%BC%E9%96%A2%E4%BF%82%E3%82%92%E8%A8%AD%E5%AE%9A/

    こちらに詳しく書かれていますね。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年8月25日 5:02
    モデレータ
  • チャブーンです。

    この件ですが、結論としては「どういう環境であっても、普通の意味での『双方向の信頼』を結ぶことはできません」になります。これについてはちょっと説明がいると思いますので、投稿します。

    まず、MSが実際にコメントしている範囲ですが、「技術的には」出力方向入力方向の信頼のみ、設定することが可能ですが、サポートされていません。入力方向出力方向の信頼については絶対できないことを含め、これについてはKBに書いてあります。

    http://support.microsoft.com/kb/2021766

    で、阿部さんのコメントにあったブログの記事ですが、これの意味するところは、「Windows Server 2003以前のドメインコントローラ」があれば、そのドメインコントローラに限っては、「かたちのうえで」双方向の信頼関係を結べてしまうことを検証で確認しましたよ、ということかしらと。

    ドメインの信頼に関する情報は(いわゆるTDO(信頼されたドメインオブジェクト)というものです)、すべてのドメインコントローラ間で複製され、それぞれのドメインコントローラが信頼の情報を持っている必要があります。一部のドメインコントローラしかこの情報を持っていない場合、クライアントがログオンするドメインコントーラのよって挙動が変わるので、信頼先のリソースにアクセスができたりできなかったりするはずです。このような状態は「正常な信頼関係がある」とはいえないと思います。

    阿部さんが紹介されたブログの内容は、非常に実験的で好感が持てますが、読み手側で注意深く確認する必要があると思います。私の結論としては「Windows Server 2008 R2ドメインコントローラがある環境では、『Windows NTとの双方向の信頼』を結ぶことはできません」と認識していますけれど。

    追記:内容を見返したところ、KBの解釈を逆に書いてしまっていました。修正しました。すみません。


    2011年8月26日 13:52
    モデレータ

すべての返信

  • そもそもWindows NTは既にサポート対象外ですので期待通りの動作は保障されませんが、できるできないで考えるとある条件下で「できます」。

    Windows Server 2008 R2 と NT ドメインで信頼関係を設定
    http://engineermemo.wordpress.com/2011/02/12/windows-server-2008-r2-%E3%81%A8-nt-%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E3%81%A7%E4%BF%A1%E9%A0%BC%E9%96%A2%E4%BF%82%E3%82%92%E8%A8%AD%E5%AE%9A/

    こちらに詳しく書かれていますね。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年8月25日 5:02
    モデレータ
  • ご返信、ありがとうございます。

    ご提示頂いた、HPを確認いたしました。

    ActiveDirectory側にDCを追加すれば構築できるという認識で間違いないでしょうか。

    こちらの要望といたしましては、別途DCを追加せずに実現したいのですが。やっぱり無理なのでしょうか。

    ご提示していただいた方法と違う実現方法があれば、ご教示して頂きたいです。

    以上、よろしくお願いいたします。

    2011年8月25日 5:38
  • >こちらの要望といたしましては、別途DCを追加せずに実現したいのですが。やっぱり無理なのでしょうか。

    私が知る限りでは無理だと思います。

    この点に関してはマイクロソフトに質問しても既にサポート対象外のOSのことなので期待した情報は得られないと思われます。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年8月25日 6:10
    モデレータ
  • チャブーンです。

    この件ですが、結論としては「どういう環境であっても、普通の意味での『双方向の信頼』を結ぶことはできません」になります。これについてはちょっと説明がいると思いますので、投稿します。

    まず、MSが実際にコメントしている範囲ですが、「技術的には」出力方向入力方向の信頼のみ、設定することが可能ですが、サポートされていません。入力方向出力方向の信頼については絶対できないことを含め、これについてはKBに書いてあります。

    http://support.microsoft.com/kb/2021766

    で、阿部さんのコメントにあったブログの記事ですが、これの意味するところは、「Windows Server 2003以前のドメインコントローラ」があれば、そのドメインコントローラに限っては、「かたちのうえで」双方向の信頼関係を結べてしまうことを検証で確認しましたよ、ということかしらと。

    ドメインの信頼に関する情報は(いわゆるTDO(信頼されたドメインオブジェクト)というものです)、すべてのドメインコントローラ間で複製され、それぞれのドメインコントローラが信頼の情報を持っている必要があります。一部のドメインコントローラしかこの情報を持っていない場合、クライアントがログオンするドメインコントーラのよって挙動が変わるので、信頼先のリソースにアクセスができたりできなかったりするはずです。このような状態は「正常な信頼関係がある」とはいえないと思います。

    阿部さんが紹介されたブログの内容は、非常に実験的で好感が持てますが、読み手側で注意深く確認する必要があると思います。私の結論としては「Windows Server 2008 R2ドメインコントローラがある環境では、『Windows NTとの双方向の信頼』を結ぶことはできません」と認識していますけれど。

    追記:内容を見返したところ、KBの解釈を逆に書いてしまっていました。修正しました。すみません。


    2011年8月26日 13:52
    モデレータ