none
ドメインの信頼関係の種類を変更する RRS feed

  • 質問

  • 毎回、お世話になります。

    ドメインファンクショナルレベル、フォレストファンクショナルレベルがWindows 2012 R2 環境で、現在、非推移的な双方向の信頼関係で2つのドメインが構築されています。これを、推移的な双方向の信頼関係に変更したら、どのような考えられうる影響があるでしょうか? また、変更するには、現在の信頼関係をなくして、改めて再構築、という手順しかないのでしょうか?

    Domain A

    Domain B

    Workstation A (part of Domain A).

    Account A (Part of Domain A)

    通常、ユーザーはAccount A でWorkstation A を操作しDomain Aにログインします。その状態で、Domain B のリソースにアクセスすることがほとんどです。


    よろしくお願いいたします。

    2019年10月21日 19:07

回答

すべての返信

  • チャブーンです。

    この件ですが、質問の意図がわからない部分がありますが、まず前提として、

    • 非推移的な双方向の信頼=外部信頼
    • 推移的な双方向の信頼=フォレスト間信頼

    ということですよね?したのページによくまとまった資料がありますが、UPNを使った信頼先へのログオンを使わない限り、大きな変更点はないと思います。

    https://tech.nikkeibp.co.jp/it/article/COLUMN/20060214/229299/
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/dd560679(v=ws.10)?WT.mc_id=EM-MVP-8322
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc757352(v=ws.10)?WT.mc_id=EM-MVP-8322


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2019年10月22日 6:43
    モデレータ
  • チャブーンさん

    毎回、早々の返信ありがとうございます。ご指摘の通り、

    • 非推移的な双方向の信頼=外部信頼
    • 推移的な双方向の信頼=フォレスト間信頼

    ということです。現在、外部信頼で2つのドメインを結んでいます。これをフォレスト間信頼に変えたいのです。そのためには、

    現在の外部信頼設定を解除してから新たにフォレスト間信頼として再構築しないといけないのでしょうか?それとも、現在の外部信頼設定を解除せずにフォレスト間信頼に変更することはできるのでしょうか?

    もし、現在の外部信頼設定を解除してから新たにフォレスト間信頼を再構築した場合、考えられるシステムインパクトは何かありますか?

    よろしくお願いいたします

    2019年10月22日 15:19
  • チャブーンです。

    この質問で、

    質問の意図がわからない部分がありますが、

    としたのは、なぜ外部信頼→フォレスト間信頼にムリに変える必要があるのか、という点です。前回示した資料をきちんと読めばわかると思いますが、シングルフォレスト=シングルドメイン構成同士なら、「UPNを使った信頼先へのログオン」以外の変更点はほぼ関係ない話しになります。

    信頼関係はあとづけでは設定変更できないと理解していますので、いったん解除し、再作成することになると思います。「システムインパクト」が何を指しているのかわからないのですが、機能の差以外の話しであれば、ユーザー使用中に信頼関係を切断すれば、新しい内容が全ドメインコントローラーに伝播するまで、信頼が使えなくなる、ということは自明かと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年10月22日 16:57
    モデレータ
  • チャブーンさん

    毎回、早速返信をいただいて、ありがとうございます。

    この質問の意図ですが、根本にある問題を解決手段として信頼関係の変更をしたい、という案があり、そのため、信頼関係を変更したら、具体的に何が変わり、現在のシステム全体の環境にどれだけ影響があるか、ということを調査する必要があり、質問をさせていただきました。

    根本にある問題は、2つのドメインが双方向で信頼関係を結んでいるにも関わらず、相手方のドメインが見えない、という現象です。アクティブディレクトリードメイン&トラストで、信頼関係の確認ををそれぞれのドメインから行っても問題ないので 、解決方法はもっと違うところにあるのではないか、というのが私個人の見解で、引き続き問題解決にいそしみます。

    ありがとうございました。

    2019年10月23日 14:59
  • フォーラムにご投稿くださいましてありがとうございます

     チャブーンさんも、適格なアドバイスをいただきありがとうございました。

    またご経験のある方おりましたら、ご意見を共有頂ければ本当に有難いです

    今後ご不明な点がございましたら、お気軽にお問い合わせください

    FAN


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年10月28日 9:19
    モデレータ