none
子ドメインサーバーと別フォレストのドメインサーバーとの信頼関係 RRS feed

  • 質問

  •  いつもお世話になっております。
    下記、お見苦しい点があるかと思いますが、ご容赦願います。
    当方下記のようにADサーバーを3台構築し
    信頼関係の検証を行っておりまして、
    現在、下図のような構成を行い、検証を行っているのですが
    次の現象でつまずいてしまいましてアドバイスをいただければと思います。
    Aサーバー・Bサーバーと2台のADサーバーを構築(別フォレスト)し、
    各サーバーのDNSにA・Bサーバーのレコードを登録。
    (レコードの更新も行えました)
    登録後にチェックを兼ねて、信頼関係を構築し、
    ユーザーの検索・追加が行えるかの検証を行いましたところ
    問題なし。
    次にA・Bサーバーの信頼関係を一旦削除。
    信頼関係削除後にCサーバー(子ドメインADサーバー)を構築し、
    DNSにBサーバーのレコードを登録。
    BサーバーとCサーバーに信頼関係を構築したのですが、
    ユーザーの検索・追加が行えません。
    ”場所検索”内にはドメイン名は表示されています。
    DNSを確認しているのですが、両サーバーとも
    レコードが更新されていない。
     win2008R2           win2008R2
     Aドメインサーバー       Bドメインサーバー(別フォレスト)
    ActiveDirectory        ActiveDirectory
    DNS                 DNS
    (親ドメイン)               /
    l                 /
    l                /
    l               /
    l              /
    l             /
    l            / 信頼関係を結び
    l           /  Bドメイン内のユーザーグループに
    l          /   Cドメインのユーザーを追加したい
    l         /
    l        /
        win2008R2
       Cドメインサーバー
    ActiveDirectory
    DNS
      (子ドメイン)
    最終的には上記の用な構成を完成させ、検証を行いたいのですが、
    ユーザー検索が行えない原因としてDNSのレコードが更新されていないことが気になっております。
    情報として不足分があるかと思いますが、アドバイスいただければと思います。
    よろしくお願いいたします。
    2011年9月15日 5:50

回答

  • チャブーンです。

    この件ですが、DNSクライアントとしての、「否定応答のキャッシュ」が記録されたから、かもしれません。DNSサーバーの負荷を下げるため、クライアントは名前解決を行った結果(存在しなかったレコードも)をキャッシュし、しばらくはそこを参照します。この時間はレコードの生存時間TTLで決まりますが、これが長い場合Windowsの標準である15分に設定されます。

    待っていれば自然と解決しますが、すぐにリセットしたいならipconfig /flushdnsコマンドを実行すればいい、という話しだった可能性があります。

    • 回答としてマーク 田中夢 2011年10月11日 6:52
    2011年10月1日 5:06
    モデレータ
  • チャブーンです。

    この件は、信頼関係を結んでいるドメイン間での名前解決に問題がある、ように見えます。

    > 各サーバーのDNSにA・Bサーバーのレコードを登録。

    この操作の意味が、率直に言って分かりません。フォレスト間やドメイン間での信頼を結ぶ場合、相手先ドメインの「DNSゾーン」に対して、条件付きフォワーダでフォワーダするか、セカンダリゾーンを構成して「ゾーン全部のコピー」を持っておく必要があります。

    個別のレコードを登録する作業は必要なく(SRVレコードが適切に動作しません)、この操作では正常に動作しません。

    まずは「ドメイン」「信頼関係」「DNS」「フォワーダ」というキーワードで検索を行い、名前解決の条件を確認してみてください。

     

    • 回答としてマーク 田中夢 2011年10月11日 6:51
    2011年9月16日 3:15
    モデレータ
  • >DNSの更新タイミングが大体10分程度かかるものなのでしょうか。

    どのような更新ですか?
    ゾーンならゾーンの更新間隔とか、クライアントのキャッシュであればipconfig /displaydnsを実行すればタイムアウト値を確認できます。

    個人的には、名前解決は方々にキャッシュが残っていたり伝達に時間がかかったりするため、信頼関係などの作業は変更後小一時間開けて作業するようにしています。
    #急ぎの場合、片っ端からマシンやサービスの再起動したり、強制同期のコマンドを実行したりしますが、怖いので余裕を持ったタイムスケジュールを心がけています。

    てっとり早く更新したいのであれば、DNS ServerやDNS Clientサービスを再起動してやれば更新されます。

    「ゾーン設定を管理する」
    http://technet.microsoft.com/ja-jp/library/cc794745(v=WS.10).aspx

    以上、横から失礼しました。

    • 回答としてマーク 田中夢 2011年10月11日 6:52
    2011年9月27日 2:54
    モデレータ

すべての返信

  • チャブーンです。

    この件は、信頼関係を結んでいるドメイン間での名前解決に問題がある、ように見えます。

    > 各サーバーのDNSにA・Bサーバーのレコードを登録。

    この操作の意味が、率直に言って分かりません。フォレスト間やドメイン間での信頼を結ぶ場合、相手先ドメインの「DNSゾーン」に対して、条件付きフォワーダでフォワーダするか、セカンダリゾーンを構成して「ゾーン全部のコピー」を持っておく必要があります。

    個別のレコードを登録する作業は必要なく(SRVレコードが適切に動作しません)、この操作では正常に動作しません。

    まずは「ドメイン」「信頼関係」「DNS」「フォワーダ」というキーワードで検索を行い、名前解決の条件を確認してみてください。

     

    • 回答としてマーク 田中夢 2011年10月11日 6:51
    2011年9月16日 3:15
    モデレータ
  • チャブーン様

    ご返信ありがとうございます。

     

    当方、DNSの設定に疎く、質問内容が正しく行えていませんでした。

    申し訳ございません。

    ご指摘のとおり、条件付フォワーダーを設定したところ、無事、信頼関係を結ぶことができました。

     

    ※ちなみに条件付フォワーダーを設定後、相手先サーバーに対して フルパスにてpingを実行したのですが、

    暫くの間まったく通らず、10分少々経過後にフルパスでのpingが通りました。

    ex.CサーバーにBサーバーの条件付フォワーダーを設定後、以下内容にてpingを実施

    ping BサーバーPC名.domain.local - t

     

    DNSの更新タイミングが大体10分程度かかるものなのでしょうか。

    追加の質問でも仕分けございませんが、ご教授いただければと思います。

     

    2011年9月22日 6:34
  • >DNSの更新タイミングが大体10分程度かかるものなのでしょうか。

    どのような更新ですか?
    ゾーンならゾーンの更新間隔とか、クライアントのキャッシュであればipconfig /displaydnsを実行すればタイムアウト値を確認できます。

    個人的には、名前解決は方々にキャッシュが残っていたり伝達に時間がかかったりするため、信頼関係などの作業は変更後小一時間開けて作業するようにしています。
    #急ぎの場合、片っ端からマシンやサービスの再起動したり、強制同期のコマンドを実行したりしますが、怖いので余裕を持ったタイムスケジュールを心がけています。

    てっとり早く更新したいのであれば、DNS ServerやDNS Clientサービスを再起動してやれば更新されます。

    「ゾーン設定を管理する」
    http://technet.microsoft.com/ja-jp/library/cc794745(v=WS.10).aspx

    以上、横から失礼しました。

    • 回答としてマーク 田中夢 2011年10月11日 6:52
    2011年9月27日 2:54
    モデレータ
  • チャブーンです。

    この件ですが、DNSクライアントとしての、「否定応答のキャッシュ」が記録されたから、かもしれません。DNSサーバーの負荷を下げるため、クライアントは名前解決を行った結果(存在しなかったレコードも)をキャッシュし、しばらくはそこを参照します。この時間はレコードの生存時間TTLで決まりますが、これが長い場合Windowsの標準である15分に設定されます。

    待っていれば自然と解決しますが、すぐにリセットしたいならipconfig /flushdnsコマンドを実行すればいい、という話しだった可能性があります。

    • 回答としてマーク 田中夢 2011年10月11日 6:52
    2011年10月1日 5:06
    モデレータ
  • こんにちは。
    フォーラム オペレーターの田中夢です。
     
    チャブーン さん、Chuki さん
    参考になるアドバイスをいただき、ありがとうございます。
     
    nunnun さん
    最初の投稿内容について、無事に解決したとのご報告を頂きありがとうございます。
    また、追加のご質問について、皆様の投稿をご覧になっていただけましたでしょうか?

    今回、チャブーン さん、Chuki さんにご案内いただいた内容が参考になったのではないかと
    思われますので、勝手ながら私のほうで [回答としてマーク] とさせていただきますね。
     
     
    今後とも TechNet フォーラムをよろしくお願いいたします。
    ---------------------------------------------------------------------

    日本マイクロソフト株式会社 フォーラム オペレーター 田中夢

    2011年10月11日 6:51