none
マルチドメイン(親子)のサーバ構成について RRS feed

  • 質問

  • フォーラムを検索しましたが、見あたらないようなので、質問します。
    これまで、親子別々のPCで稼働していましたが、電気代も馬鹿にならないので1PC(親PCに子ドメインも盛り込む)で稼働させようとしています。
    親(x.jp)はグローバルIPを持ち、子(x.x.jp)はLAN内でプライベートアドレスで構成されております。
    そこで質問ですが
    1.DNSの設定で、子ドメインは「新しいドメイン」として親ゾーンの配下に作成すべきなのでしょうか?それとも「新しいゾーン」として作成すべきなのでしょうか?(子ドメインは子ドメインでユーザー管理したのですが・・・)
    2.nslookupで確認すると、default serverが子ドメインのドメイン名とプライベートアドレスを返すのはしょうがないのでしょうか?
    3.外部からの親ドメインのアクセス(WEB)と、子からの外部アクセス(WEB)はOKなのですが、子のドメインに参加できません。(IPアドレスはDHCPサーバから取得しています※ちなみにWindows7RCだけはつながります?)
    4.公開サーバなので、あまりいじりたくないのですが、OSインストール時はADでDNSを構成しましたが、ADは敷居が高くその後いじっていませんが、何らかの変更が必要となりますか?
    スキルが乏しく説明が完全ではないと思いますが、よろしくお願いします。


    2009年10月8日 6:06

回答

  • こんにちは。
    返信が遅くなってしまい申し訳ありません。

    さて、今問題が発生している環境は、仮想化された環境ではないですよね?
    一台のハードウェアの上に、WindowsServerのOSが一つ稼働している環境ですよね?

    それであれば、エリさんの望まれている環境の実現は難しいと思います。
    ActiveDirectoryでは、ドメインごとにドメインコントローラーという管理サーバーが最低一台(推奨2台)必要になります。
    エリさんの環境の場合ですと、
    ・親ドメイン【x.jp】を管理するドメインコントローラー
    ・子ドメイン【x.x.jp】を管理するドメインコントローラー
    それぞれ一台づつ必要になります。

    >親ドメインサーバーを基に、NETカードを追加して、LANアドレス(元の子ドメインサーバーアドレス)を付与しています。
    後は、DNSを設定して、DHCP機能を追加しています。これから先はどうすればよいのか?DNS設定で子ドメインは「新しいドメイン」として親ゾーンの配下に作成すべきなのか、新しいゾーンとして作成すべきなのか?

    ActiveDirectoryとDNSには密接な関係がありますが
    ActiveDirectory環境を提供するサービスと、DNSは全くの別物です。

    どうしても、一台のハードウェアで親ドメイン【x.jp】と子ドメイン【x.x.jp】を管理する必要があるのであれば
    ※子ドメインサーバーが、まだ健在であると仮定して

    1.親ドメインサーバーにVirtualServer等を導入し、ゲストOSとしてWindowsServerをセットアップ
    2.手順1.にて構築したサーバーを、子ドメイン【x.x.jp】の追加のドメインコントローラーとしてセットアップ(DNSも)
    3.子ドメイン【x.x.jp】に参加しているクライアントのDNS参照先を手順2.にて構築したDNSへ変更する。
    4.稼働していた子ドメインサーバーの電源を落とす(もしくはLANケーブルを抜く)
    5.クライアントからの認証が問題なく行われる事を確認する。(グループポリシーがあればそちらも確認)
    6.子ドメインサーバーの電源を投入(もしくはLANケーブルを挿入)
    7.子ドメインサーバーをメンバーサーバーへ降格
    8.子ドメインサーバーを撤去

    以上の様な作業を行えば、お望みの環境を構築可能だとは思います。

    しかしながら、ドメインコントローラーは、物理的に最低2台での構成をおススメいたします。
    一台しかない環境ですと、ドメインコントローラーが故障したら、全ての認証が行われなくなります。
    ファイルサーバーにすらアクセス出来ない環境になってしまいますよ。

    エリさんの環境ですと、元々の状態でもかなりリスクのある状態なのに、さらにリスクを高める環境を望まれている事は理解されていますか?
    普通に考えれば、エリさんの今の環境へ、サーバーを増やして冗長性を実現させる方がまともだと思います。
    勿論コストは今より増えますが。

    上司の方や、経営層の方が、業務継続のリスクをどのように考えているか、一度確認された方が良いと思いますよ。

    私の示した、お望みの環境の実現方法に関しては、単なる一例ですので、お気に召さないようでしたら他の識者の方の回答をお待ち下さい。



    • 回答としてマーク エリ 2009年10月13日 23:56
    2009年10月13日 2:06

すべての返信

  • こんにちは。
    エリさんが仰っている、「親ドメイン」「子ドメイン」はActiveDirectoryドメインの事を指してますか?
    それとも、WebサーバーのDNSドメインの事を指してますか?
    説明を見る限りでは、混同されてしまっているような気がしますが・・・。

    ネットワークの構成としては、
    ・親ドメインサーバーはグローバルIPを持ち、DMZ等に存在している。
    ・子ドメインサーバーはLAN内にある。
    ってことでOKですか?

    >子のドメインに参加できません。(IPアドレスはDHCPサーバから取得しています※ちなみにWindows7RCだけはつながります?)
    これをクライアントPCからActiveDirectory【x.x.jp】と解釈するのであれば、単純にクライアントが参照しているDNSサーバーにActiveDirectory【x.x.jp】の情報が無いだけの様な気がします。
    一度確認してみて下さい。
    2009年10月9日 1:55
  • 返信ありがとうございます
    ADの機能が理解出来ていないのですが、親ドメインサーバー(グローバルIPを持つ)と子ドメインサーバー(LAN内)を1PCで構成したのですが、
    うまくいきません。
    親ドメインサーバーを基に、NETカードを追加して、LANアドレス(元の子ドメインサーバーアドレス)を付与しています。
    後は、DNSを設定して、DHCP機能を追加しています。これから先はどうすればよいのか?DNS設定で子ドメインは「新しいドメイン」として親ゾーンの配下に作成すべきなのか、新しいゾーンとして作成すべきなのか?AD構成をみても、x.jpしか表示されない状態です。
    たぶんDNSの設定に問題があるようなのですが、・・・
    引き続きよろしくお願いします。
    2009年10月9日 14:56
  • こんにちは。
    返信が遅くなってしまい申し訳ありません。

    さて、今問題が発生している環境は、仮想化された環境ではないですよね?
    一台のハードウェアの上に、WindowsServerのOSが一つ稼働している環境ですよね?

    それであれば、エリさんの望まれている環境の実現は難しいと思います。
    ActiveDirectoryでは、ドメインごとにドメインコントローラーという管理サーバーが最低一台(推奨2台)必要になります。
    エリさんの環境の場合ですと、
    ・親ドメイン【x.jp】を管理するドメインコントローラー
    ・子ドメイン【x.x.jp】を管理するドメインコントローラー
    それぞれ一台づつ必要になります。

    >親ドメインサーバーを基に、NETカードを追加して、LANアドレス(元の子ドメインサーバーアドレス)を付与しています。
    後は、DNSを設定して、DHCP機能を追加しています。これから先はどうすればよいのか?DNS設定で子ドメインは「新しいドメイン」として親ゾーンの配下に作成すべきなのか、新しいゾーンとして作成すべきなのか?

    ActiveDirectoryとDNSには密接な関係がありますが
    ActiveDirectory環境を提供するサービスと、DNSは全くの別物です。

    どうしても、一台のハードウェアで親ドメイン【x.jp】と子ドメイン【x.x.jp】を管理する必要があるのであれば
    ※子ドメインサーバーが、まだ健在であると仮定して

    1.親ドメインサーバーにVirtualServer等を導入し、ゲストOSとしてWindowsServerをセットアップ
    2.手順1.にて構築したサーバーを、子ドメイン【x.x.jp】の追加のドメインコントローラーとしてセットアップ(DNSも)
    3.子ドメイン【x.x.jp】に参加しているクライアントのDNS参照先を手順2.にて構築したDNSへ変更する。
    4.稼働していた子ドメインサーバーの電源を落とす(もしくはLANケーブルを抜く)
    5.クライアントからの認証が問題なく行われる事を確認する。(グループポリシーがあればそちらも確認)
    6.子ドメインサーバーの電源を投入(もしくはLANケーブルを挿入)
    7.子ドメインサーバーをメンバーサーバーへ降格
    8.子ドメインサーバーを撤去

    以上の様な作業を行えば、お望みの環境を構築可能だとは思います。

    しかしながら、ドメインコントローラーは、物理的に最低2台での構成をおススメいたします。
    一台しかない環境ですと、ドメインコントローラーが故障したら、全ての認証が行われなくなります。
    ファイルサーバーにすらアクセス出来ない環境になってしまいますよ。

    エリさんの環境ですと、元々の状態でもかなりリスクのある状態なのに、さらにリスクを高める環境を望まれている事は理解されていますか?
    普通に考えれば、エリさんの今の環境へ、サーバーを増やして冗長性を実現させる方がまともだと思います。
    勿論コストは今より増えますが。

    上司の方や、経営層の方が、業務継続のリスクをどのように考えているか、一度確認された方が良いと思いますよ。

    私の示した、お望みの環境の実現方法に関しては、単なる一例ですので、お気に召さないようでしたら他の識者の方の回答をお待ち下さい。



    • 回答としてマーク エリ 2009年10月13日 23:56
    2009年10月13日 2:06
  • 返信ありがとうございます
    よくわかりました(望みの環境を構築するのが難しいことと、やるべきではないこと)
    今後、ActiveDirectoryについて、理解を深めていきたいと思います
    ありがとうございました

    2009年10月13日 23:59