none
フォレスト内での一方向の信頼関係の構築方法 RRS feed

  • 質問

  • 初の投稿をさせていただきます。

    yun_kanと申します。

    Active Directoryの場合、NTとは異なりフォレスト内のドメインは推移的な双方向の信頼関係が

    自動で構築されますが、

    NTと同じようにフォレスト内でも一方向の信頼関係を構築する方法はありますでしょうか。

    それとも一方向の信頼関係を断念するか、フォレストを分ける必要があるのでしょうか。

    (フォレストを分けることは極力行いたくありません)

    ~行いたいこと~

    ・1フォレスト、1ドメインの既存環境(2008 R2)にドメインを新規に追加(2008 R2)

    ・追加ドメインは既存フォレストに追加したい

    ・追加ドメインは既存ドメインと一方向の信頼関係を構築したい

     (信頼の方向:既存ドメイン→新規ドメイン)

    どなたか情報がありましたらご回答いただけますでしょうか。

    何卒よろしくお願いいたします。


    • 編集済み yun_kan 2013年4月7日 5:00
    2013年4月7日 4:59

回答

  • チャブーンです。

    フォレスト内の信頼ですが、推移的な信頼が前提でしくみが作られていますので、「片側ドメインがアクセスできない」という状況を無理に作ると問題が起こる可能性が高いでしょう。

    フォレストではスキーマや設定(Configuration)をすべてのドメイン間で複製し、情報を共有しています。またグローバルカタログには「全ドメインの情報」を集める必要がありますので、特定ドメインへのアクセスができない状況だと、予期しない問題が起こる可能性が高いです。

    a_pierrot さんが提供された情報を確認しましたが、これはあくまで「手動で追加する」信頼についての説明であり、自動構成される信頼はこうりょされていません。「同じフォレスト内で作る手動の信頼」にはショートカット信頼という、(大規模環境での)アクセス時間を短くするためのものがありますが、これは信頼のアクセスの流れを制御するもので、「アクセスを禁止する」という発想は含まれていません。

    アクセス禁止(相手側が見えないようにする)が前提であれば、フォレストを分けた方がいいように思います。

    • 回答の候補に設定 佐伯玲 2013年4月11日 6:39
    • 回答としてマーク 佐伯玲 2013年4月15日 4:19
    2013年4月9日 7:23
    モデレータ
  • 実際にやったことは無いですが、資料上は同一フォレストの別ドメインと一方向の信頼関係を確立することができる、と書いてあります。
    文面通りに受け止めれば、自動的に作成される双方向の信頼関係を削除したりして新たに一方向の信頼関係を結べるのではないかと思いますが、親子関係でもできるのか、サブドメイン同士でないといけないのかなど細かいことは検証してみないと、、、というところなのかと思います。

    TITLE : 信頼の方向とは
    URL   : http://technet.microsoft.com/ja-jp/library/cc731404(v=ws.10).aspx
    -->
    Windows Server 2008 ドメインまたは Windows Server 2008 R2 ドメインは、次のドメインや領域との間に一方向または双方向の信頼を確立することができます。
      ・同じフォレスト内の Windows Server 2008 ドメインまたは Windows Server 2008 R2 ドメイン
      ・異なるフォレスト内の Windows Server 2008 ドメインまたは Windows Server 2008 R2 ドメイン
      ・同じフォレスト内の Windows Server 2003 ドメイン
      ・異なるフォレスト内の Windows Server 2003 ドメイン
      ・Windows NT 4.0 ドメイン
      ・Kerberos Version 5 (V5) 領域

     

    • 回答の候補に設定 佐伯玲 2013年4月11日 6:39
    • 回答としてマーク 佐伯玲 2013年4月15日 4:19
    2013年4月9日 6:30

すべての返信

  • 実際にやったことは無いですが、資料上は同一フォレストの別ドメインと一方向の信頼関係を確立することができる、と書いてあります。
    文面通りに受け止めれば、自動的に作成される双方向の信頼関係を削除したりして新たに一方向の信頼関係を結べるのではないかと思いますが、親子関係でもできるのか、サブドメイン同士でないといけないのかなど細かいことは検証してみないと、、、というところなのかと思います。

    TITLE : 信頼の方向とは
    URL   : http://technet.microsoft.com/ja-jp/library/cc731404(v=ws.10).aspx
    -->
    Windows Server 2008 ドメインまたは Windows Server 2008 R2 ドメインは、次のドメインや領域との間に一方向または双方向の信頼を確立することができます。
      ・同じフォレスト内の Windows Server 2008 ドメインまたは Windows Server 2008 R2 ドメイン
      ・異なるフォレスト内の Windows Server 2008 ドメインまたは Windows Server 2008 R2 ドメイン
      ・同じフォレスト内の Windows Server 2003 ドメイン
      ・異なるフォレスト内の Windows Server 2003 ドメイン
      ・Windows NT 4.0 ドメイン
      ・Kerberos Version 5 (V5) 領域

     

    • 回答の候補に設定 佐伯玲 2013年4月11日 6:39
    • 回答としてマーク 佐伯玲 2013年4月15日 4:19
    2013年4月9日 6:30
  • チャブーンです。

    フォレスト内の信頼ですが、推移的な信頼が前提でしくみが作られていますので、「片側ドメインがアクセスできない」という状況を無理に作ると問題が起こる可能性が高いでしょう。

    フォレストではスキーマや設定(Configuration)をすべてのドメイン間で複製し、情報を共有しています。またグローバルカタログには「全ドメインの情報」を集める必要がありますので、特定ドメインへのアクセスができない状況だと、予期しない問題が起こる可能性が高いです。

    a_pierrot さんが提供された情報を確認しましたが、これはあくまで「手動で追加する」信頼についての説明であり、自動構成される信頼はこうりょされていません。「同じフォレスト内で作る手動の信頼」にはショートカット信頼という、(大規模環境での)アクセス時間を短くするためのものがありますが、これは信頼のアクセスの流れを制御するもので、「アクセスを禁止する」という発想は含まれていません。

    アクセス禁止(相手側が見えないようにする)が前提であれば、フォレストを分けた方がいいように思います。

    • 回答の候補に設定 佐伯玲 2013年4月11日 6:39
    • 回答としてマーク 佐伯玲 2013年4月15日 4:19
    2013年4月9日 7:23
    モデレータ
  • こんにちは、yun_kan さん
    フォーラムオペレータの佐伯 玲 です。

    その後の状況はいかがでしょうか?
    みなさんから寄せられている情報が参考になるのではないかと思われましたので勝手ながら私のほうで「回答としてマーク」とさせて頂きました。

    ご確認いただけた際にはその経過や結果等をその後ご返信いただけますと今後同じ疑問を持った方達が情報を探しやすくなります。
    そのためフォーラムではご確認いただいた後にはそれらの返信と、解決に至った際には参考になった返信に「回答としてマーク」をして頂くことをお願いしております。

    ご理解、ご協力のほど宜しくお願いいたします。
    __________________________
    日本マイクロソフト株式会社 フォーラム オペレータ 佐伯 玲
    2013年4月15日 4:19