none
サーバの信頼関係はセキュアチャネルを使っているのでしょうか?動きについてご教示ください。 RRS feed

  • 質問

  • ご教示ください。

    サーバの「信頼関係」はセキュアチャネルを使っているのでしょうか?

    DCサーバ1と信頼関係を設定しているDCサーバ2をP2Vによる延命を計画しています。

    ただし、暫くの間(約30日)DCサーバ2はネットワークには接続せず、切替タイミングを見計らって接続を変更する予定です。

    信頼関係での問題が発生しないかを懸念しております。

    2018年11月7日 10:00

回答

  • チャブーンです。

    Windows Trust(信頼関係)においても、セキュアチャネルは使用します。ただし"Trusted Domain Object"という特殊な隠しオブジェクトのパスワード交換で実現されます。

    Windows 2000以降のドメイン同士ならば、このパスワード交換は30日ごとに行われます。普通のセキュアチャネルと同じく、両ドメイン間での通信が発生しない限り、パスワード変更の処理は行われませんので、あまり気にしなくてもよいように思います。詳細については、したの資料をご覧になってください。

    https://social.technet.microsoft.com/wiki/contents/articles/24644.detailed-concepts-secure-channel-explained.aspx
    https://blogs.technet.microsoft.com/askds/2009/02/15/machine-account-password-process-2/

    万一、信頼関係に損傷が認められた場合、netdom trust resetコマンドで信頼関係をリセットすれば、問題はありません。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク k-i 2018年11月10日 15:50
    2018年11月7日 20:05
    モデレータ
  • チャブーンです。

    この件ですが、図を見て思ったのですが、「最初にお伝えいただいた話しと違う」部分が出てきていますね。

    図の中で、「テスト後は元に戻す」の項目があるようですが、この項目に関しては「確実に失敗」します。なぜなら、(30日後以降に起動する)BBB P2Vマシンと既存AAA ドメインコントローラー間で「信頼関係パスワード」情報が更新され、新たなパスワードが設定されるのですが、以前のBBB 物理マシンは変更前のパスワードしか知らない状態になっているため、パスワード不一致が起こるためです。

    このような状況になった場合Netdomコマンドを使って、信頼関係(パスワード)をリセットする必要があります。この状態を事前設定などで「回避」はすることはできません。

    それと、念のためのコメントですが、

    私自身、「信頼関係を結ぶ」という操作をしたことが無いものでして。。。。

    とのことですが、コミュニティは「サポートの代わりではない」ため、質問者さんはWindowsに関して必要十分な基本知識がある、という前提で「ヒント等を助言する」建て付けになります。必要な知識に関しては、基本的にご自身で調査・理解いただく必要があることを事前にご了承ください。「手取り足取りの情報提供・指示」が必要な場合、MS有償サポートにご依頼いただくようお願いします。コミュニティでこういったレベルの対応はお受けしていません。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク k-i 2018年11月11日 3:34
    2018年11月11日 1:47
    モデレータ

すべての返信

  • チャブーンです。

    Windows Trust(信頼関係)においても、セキュアチャネルは使用します。ただし"Trusted Domain Object"という特殊な隠しオブジェクトのパスワード交換で実現されます。

    Windows 2000以降のドメイン同士ならば、このパスワード交換は30日ごとに行われます。普通のセキュアチャネルと同じく、両ドメイン間での通信が発生しない限り、パスワード変更の処理は行われませんので、あまり気にしなくてもよいように思います。詳細については、したの資料をご覧になってください。

    https://social.technet.microsoft.com/wiki/contents/articles/24644.detailed-concepts-secure-channel-explained.aspx
    https://blogs.technet.microsoft.com/askds/2009/02/15/machine-account-password-process-2/

    万一、信頼関係に損傷が認められた場合、netdom trust resetコマンドで信頼関係をリセットすれば、問題はありません。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク k-i 2018年11月10日 15:50
    2018年11月7日 20:05
    モデレータ
  • チャブーン 様
    ご回答有難うございます。大変助かります。netdomコマンドとかあるのですね。
    私自身、「信頼関係を結ぶ」という操作をしたことが無いものでして。。。。
    図にすると添付のような事になります。この動作検証中に問題が発生して元のサーバまで影響を及ぼさないか、簡単に復旧できるものなのか、、、を懸念しています。。。


    2018年11月10日 10:58
  • チャブーンです。

    この件ですが、図を見て思ったのですが、「最初にお伝えいただいた話しと違う」部分が出てきていますね。

    図の中で、「テスト後は元に戻す」の項目があるようですが、この項目に関しては「確実に失敗」します。なぜなら、(30日後以降に起動する)BBB P2Vマシンと既存AAA ドメインコントローラー間で「信頼関係パスワード」情報が更新され、新たなパスワードが設定されるのですが、以前のBBB 物理マシンは変更前のパスワードしか知らない状態になっているため、パスワード不一致が起こるためです。

    このような状況になった場合Netdomコマンドを使って、信頼関係(パスワード)をリセットする必要があります。この状態を事前設定などで「回避」はすることはできません。

    それと、念のためのコメントですが、

    私自身、「信頼関係を結ぶ」という操作をしたことが無いものでして。。。。

    とのことですが、コミュニティは「サポートの代わりではない」ため、質問者さんはWindowsに関して必要十分な基本知識がある、という前提で「ヒント等を助言する」建て付けになります。必要な知識に関しては、基本的にご自身で調査・理解いただく必要があることを事前にご了承ください。「手取り足取りの情報提供・指示」が必要な場合、MS有償サポートにご依頼いただくようお願いします。コミュニティでこういったレベルの対応はお受けしていません。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク k-i 2018年11月11日 3:34
    2018年11月11日 1:47
    モデレータ
  • チャブーン様

    早々のご返信ありがとうございます。
    やはりパスワード交換の時におかしくなりますよね。
    この度は大変勉強になりました。
    MS有償サポートへの依頼を検討するように致します。
    2018年11月11日 3:42