none
Cross-Forest 認証の名前解決について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    はじめまして、表題の件についてご教授願います。

    WS2003 R2 二台でCross-Forestの構成をとり JAASを用いて認証モジュールを作成しようとしています。

    ADtechover(ActiveDirectory技術情報)を見たところ、以下のような記述がありました。

     

    「名前一致機能はセキュリティプリンシパル名をすべての信頼されたフォレストの信頼された名前空間と比較します。

    一致するものが見つかった場合、ルーティングヒントとして信頼されたフォレスト名が返されます。」

    マルチドメイン環境で親ドメインを指定し子ドメインの情報の問い合わせを行うと「referral」といったものが

    返ってくるのは確認しており、似た様のものが返ってくると推察しプロトコルモニタ等で確認を行いましたが

    確認できませんでした。

    具体的に「ルーティングヒントとして信頼されたフォレスト名」とはどのようなものなのでしょうか?

    また、どうやったら確認できるのでしょうか?

     

    現状のCross-Forestの構成です

    1.二台のWS2003 R2 で 相互に信頼関係を結ぶ。

    2.ドメインの機能レベルを二台ともWindows Server 2003に上げる

    3.セカンダリのDNSサーバにお互いのIPを指定する。

     

    設定等不足が原因ではないかとは思いますがよろしくいお願いします。

     

    2010年5月6日 9:55
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    まず、(推移的信頼関係を含む)ドメイン間の信頼関係と、フォレスト間信頼の動作の違いについては、MSの資料がありますので、これを見てみてください。

    異なるドメインのリソースにアクセスする

    異なるフォレストのリソースにアクセスする

    ルーティングヒントが何か、という答えについては、異なるフォレストのリソースにアクセスする にこういう記述がありますね。

    ----
    フォレストの信頼が最初に確立されるとき、各フォレストはそのパートナー フォレストで信頼されているすべての名前空間を収集し、TDO に情報を格納します。信頼された名前空間には、ドメイン ツリー名、ユーザー プリンシパル名 (UPN) サフィックス、サービス プリンシパル名 (SPN) サフィックス、および他のフォレストで使用されるセキュリティ ID (SID) 名前空間が含まれます。TDO オブジェクトは、グローバル カタログにレプリケートされます。
    < 中略 >
    ルーティング ヒントは、そのフォレストの信頼の TDO に一覧表示された信頼される側の名前サフィックスを参照できるだけです。
    ----

    TDO(信頼されるドメインオブジェクト)は、信頼関係が構築された際に作られるオブジェクトで、信頼先に関する情報が含まれます。

    ルーティングヒントを受け取ったときに「ネットワークモニタでどう見えるのか」については、うえの資料を参考に、実際に試してもらうのが早いと思います。

    あと、「フォレスト間信頼」の設定方法ですが、チェックリスト : フォレストの信頼を作成する を参考に作業をしてみてください。ドメイン機能レベルやDNSを適切に設定する前に信頼関係を結んだ場合、単なる外部信頼関係に設定されるでしょう(自動的には変更されません)。またウィザードでは明示的に「フォレストの信頼」を選択する必要があります。

    2010年5月6日 19:25
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    まず、(推移的信頼関係を含む)ドメイン間の信頼関係と、フォレスト間信頼の動作の違いについては、MSの資料がありますので、これを見てみてください。

    異なるドメインのリソースにアクセスする

    異なるフォレストのリソースにアクセスする

    ルーティングヒントが何か、という答えについては、異なるフォレストのリソースにアクセスする にこういう記述がありますね。

    ----
    フォレストの信頼が最初に確立されるとき、各フォレストはそのパートナー フォレストで信頼されているすべての名前空間を収集し、TDO に情報を格納します。信頼された名前空間には、ドメイン ツリー名、ユーザー プリンシパル名 (UPN) サフィックス、サービス プリンシパル名 (SPN) サフィックス、および他のフォレストで使用されるセキュリティ ID (SID) 名前空間が含まれます。TDO オブジェクトは、グローバル カタログにレプリケートされます。
    < 中略 >
    ルーティング ヒントは、そのフォレストの信頼の TDO に一覧表示された信頼される側の名前サフィックスを参照できるだけです。
    ----

    TDO(信頼されるドメインオブジェクト)は、信頼関係が構築された際に作られるオブジェクトで、信頼先に関する情報が含まれます。

    ルーティングヒントを受け取ったときに「ネットワークモニタでどう見えるのか」については、うえの資料を参考に、実際に試してもらうのが早いと思います。

    あと、「フォレスト間信頼」の設定方法ですが、チェックリスト : フォレストの信頼を作成する を参考に作業をしてみてください。ドメイン機能レベルやDNSを適切に設定する前に信頼関係を結んだ場合、単なる外部信頼関係に設定されるでしょう(自動的には変更されません)。またウィザードでは明示的に「フォレストの信頼」を選択する必要があります。

    2010年5月6日 19:25
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    yu_fujiです。

    早速のご返信ありがとうございます。

    ご指摘にあったチェックリスト : フォレストの信頼を作成する を参考にもう一度DNSの設定あたりを中心にやり直してみようと

    思います。

    具体的には「ゾーンの委任」、「フォワーダの設定」等に抜けがあるように認識しておりますので

    設定及び確認が済んで後またご報告いたしたいと思います。

    とても参考になりました。

    ありがとうございました。

     

    2010年5月7日 2:46
    |
  • Question
    サインインして投票
    0
    サインインして投票

    お世話になっております、yu_fuji です。

    ご教授いただいた内容を元にフォレスト間の信頼関係を再構築しましたところフォレストの信頼を確立することができました。

    具体的には以下の要領で行いました。

     

    1.サーバの役割 → DNSサーバを構築

    2.サーバの役割 → ActiveDirectoryを構築

    3.ネットワークのプロパティ → 代替DNSサーバのアドレスにお互いのIPを指定

    4.管理ツール → DNS → プロパティ → フォワーダでお互いのドメイン名とIPを設定

    5.管理ツール → ActiveDirectory ユーザとコンピュータ → ドメインの機能レベルを

                    Windows Server 2003に上げる

    6.管理ツール → ActiveDirectory ユーザとコンピュータ → フォレストの機能レベルを

                    Windows Server 2003に上げる

    7.管理ツール → ActiveDirectory ドメインと信頼関係 → プロパティ → 信頼 →

                    新しい信頼関係

    管理ツール → ActiveDirectory ドメインと信頼関係 → プロパティ → 信頼 から
    「フォレストの信頼」が構築できているのを確認いたしました。


    8.各フォレストで管理ツール → ActiveDirectory ユーザとコンピュータ → Usersに

                                        ユーザを追加


    以上の環境でForest A に対し Forest Bに属するユーザの情報取得を試み、プロトコルモニタを用いて
    ルーティングヒントの発行(?)確認を行いましたが、未だ確認することができません。
    自分で作成したJavaのモジュールが原因かADの設定が原因か問題の切り分けを行いたいのですがいい方法はありますでしょうか?
    また、設定不足等がお分かりになるようでしたら、ご指摘をお願いいたします


    以上、よろしくお願いいたします。

     

    2010年5月13日 7:32
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    返信が適切なタイミングでできませんでした。すみません。
    もしご覧になることがあれば、どうぞ。

    フォレスト間認証はおっしゃる設定で問題ありませんが、 cross-Reference (LDAP Referral 機能を使った紹介) は、フォレスト間では行なわれない可能性があります。

    LDAP の Referrals 機能については、フォレスト内では有効ですが、フォレスト間(外部フォレスト)ではそもそも有効になっていないようです。これは crossRef オブジェクトがフォレスト間では生成されないためです(CN=Partitions,CN=Configuration,<Forest Root DN> を見るとわかります)。

    逆にいうと、明示的に crossRef オブジェクトをフォレスト間に作ることで、ご要望を満たす動作になるのではないでしょうか。下のページをご覧になってみてはいかがでしょう?

    How to Create crossRef Objects for a DNS Namespace Subordinate of an Existing Active Directory Forest

    2010年5月24日 9:19
    |
    モデレータ