検索
連載

いまさら聞けないドメインの信頼関係今だからこそ学び直すActive Directory基礎のキソ(3)

先人たちが作り上げてきたActive Directoryドメインを引き継ぎ、管理を始めると、ドメインが複数存在することに気が付くことがあります。なぜドメインが複数あるのか? そしてドメインが複数ある場合、どのように管理すればよいのか? 今回は複数のActive Directoryドメインの管理方法について学び直します。

[国井傑,株式会社エストディアン] PC用表示 関連情報
Share
Tweet
LINE
Hatena
今だからこそ学び直すActive Directory基礎のキソ

今だからこそ学び直すActive Directory基礎のキソ

企業で複数のドメインを使う理由とは

 かつてMicrosoftは「1つの会社で1つのActive Directoryドメインを利用すること」を推奨してきました。ドメインは1つあれば会社のユーザーやコンピュータを全てまとめて管理するのに十分ですし、逆にドメインが複数あると管理が複雑になるからです。

 しかし、Microsoftの思惑とは反対に、複数のドメインを作って運用する会社が後を絶ちませんでした。それには主に次のような理由が挙げられます。

ドメインが複数存在する理由

  • ライセンス管理などの観点から、自社とグループ会社で別々のドメインを作成した
  • GDPR(EU一般データ保護規則)などの法令を順守するために、同じ会社であっても国によってドメインを分割した
  • M&A(企業の合併、買収)などにより、それぞれの会社が持つドメインが統合されずに現在に至っている

 複数あるドメインを1つに統合する"機械的な方法"は(他の製品を利用しない限り)存在しないため、簡単ではありません。そのため、ドメインを廃止でもしない限り、いまある複数のドメインはそのまま使い続けることが多くの会社における一般的な運用になっています。

複数ドメインをつなぐ「信頼関係」

 前回(「いまさら聞けないドメイン/ドメインコントローラーの役割」)では、ドメインとは「一度のサインインでユーザーがアクセスできる範囲であること」を解説しました。しかし、前述の理由から複数のドメインを利用しなければならない会社では、それぞれのドメインにアクセスするたびに、あらためてサインインしなければなりません。

 こうした“面倒”を解消するために、Active Directoryでは「信頼関係」という機能を用意しています。信頼関係は「複数のドメインを連携させる機能」で、例えばAドメインとBドメインがある場合、BドメインにサインインしたユーザーはAドメインのサーバにもアクセスできるようになります。つまり、信頼関係は「一度のサインインでアクセスできる範囲を拡張する機能」といえます(図1)。

ALT
図1 信頼関係を設定することでクライアントがアクセスできる範囲が拡大する

 信頼関係には「方向」という概念があり、AドメインがBドメインを信頼するように設定した場合(片方向の信頼関係)、Bドメインにサインインしたユーザーは、Aドメインのサーバにもアクセスできます。逆に、Aドメインにサインインしたユーザーは、Bドメインのサーバにはアクセスできません。

 そのため、AドメインのユーザーとBドメインのユーザーが互いにそれぞれのドメインにアクセスできるようにするには、以下のように両方向の信頼関係を設定する必要があります。

  • AドメインがBドメインを信頼する
  • BドメインがAドメインを信頼する

信頼関係の種類

 信頼関係にはドメインのインストール後に設定する方法と、ドメインのインストール時に設定する方法の2つがあります。

インストール後に設定可能な信頼関係

 ドメインのインストール後に設定する方法は、「外部信頼」と「フォレスト信頼」と呼ばれる、2つの構成パターンがあります。

 外部信頼は、既存のドメインに対して手動で設定可能な信頼関係です。AドメインとBドメインの間での信頼関係を設定した場合、直接信頼関係を結んだドメイン同士でのみアクセス可能になります。そのため、AドメインとBドメインで信頼関係を結び、BドメインとCドメインで信頼関係を結んだ場合、CドメインにサインインしたユーザーはAドメインのサーバにはアクセスできないということになります(図2)。

ALT
図2 外部信頼の場合、直接的な信頼が設定されていないドメイン同士はアクセスできない(非推移的信頼)

 一方、フォレスト信頼は、既存のドメインに対して手動で設定、またはドメインのインストール時に設定できる信頼関係です。外部信頼とは異なり、直接信頼関係を結んでいないドメイン同士でもアクセスが可能になります。

 つまり、AドメインとBドメインで信頼関係を結び、BドメインとCドメインで信頼関係を結んだ場合は、CドメインにサインインしたユーザーもAドメインのサーバにアクセスできます(このような信頼を「推移的な信頼」と呼びます)。

 また、フォレスト信頼は、片方向または両方向の設定が可能ですが、インストール時に設定した場合は「自動的に両方向の信頼設定」になります。

 前回、クライアントコンピュータがドメインコントローラーを探す際には、DNS(Domain Name System)サーバを利用することを解説しました。そのため、信頼関係を設定している場合は、アクセス先となる全てのドメインにアクセスができなければなりません。

 DNSサーバでは自分のドメイン以外の名前解決をする際に「フォワーダ」と呼ばれる設定を利用して、自分のDNSサーバが分からないことを他のDNSサーバに問い合わせる機能があります。このフォワーダを利用して、Aドメインの名前解決、Bドメインの名前解決、インターネットの名前解決の全てが利用できるように設定します。

ALT
図3 インターネットの名前解決はフォワーダで、別のドメインの名前解決は「条件付きフォワーダ」を使うことで、それぞれの名前解決をそれぞれのDNSサーバに任せることができる

 信頼関係の手動設定とフォワーダの設定については、既に別の記事で解説されているのでそちらを参考にしてください。

インストール時に設定可能な信頼関係

 既存のドメインが会社にある状況で新しいドメインをインストールする場合は、既存のドメインと新しいドメインとの間で信頼関係を設定できます。例えば、「contoso.com」というドメインがある場合、「jp.contoso.com」のようなサブドメインを追加して、信頼関係を設定できます。このような信頼関係を「ドメインツリー」と呼びます。

 また、インストール時に設定する信頼はドメイン名に関連性のない ドメイン同士でも信頼を設定可能です。この時はドメインツリーの最初に作られたドメインとの間で信頼を設定できます。

 ここまで見てきた、いずれかの信頼関係によって結ばれたドメインの集合を「フォレスト」と呼びます。フォレスト内のドメイン同士は“推移的な信頼”で、なおかつ“両方向の信頼”が自動的に設定されます。

ALT
図4 フォレストとドメインツリーの関係

信頼関係を利用したアクセス許可の設定方法

 ここまで「信頼関係を設定すると別のドメインのサーバにアクセスようになる」と便宜上、解説しました。しかし、実際には相手のドメインに自分のドメインのサーバと同じように「アクセス許可」が設定されていなければ利用できません。例えば、ファイルサーバの共有フォルダでアクセス許可を割り当てる場合、信頼関係が設定されているドメインであれば別のドメインのユーザーに対するアクセス許可を割り当てることができます。

 以下の画面1にあるアクセス許可設定では、contoso.comドメインと「example.com」ドメインで両方向の信頼を設定しており、contoso.comドメインのファイルサーバでアクセス許可を設定しているところです。

ALT
画面1 ファイル共有のアクセス許可

 信頼関係を設定していない場合、アクセス許可を割り当てられるのはファイルサーバが参加するドメインのユーザー/グループだけです。信頼関係を設定していると、別のドメインのユーザーにもアクセス許可を割り当てられます。

 アクセス許可を設定する場合、一般的には複数のユーザーを対象とするため、ユーザー単位でなく、グループ単位で割り当てることが多いと思います。グループの種類には本連載第1回(「いまさら聞けないActive Directoryの仕組みと運用」)で解説した「ドメインローカルグループ」「グローバルグループ(ドメイン参加のサーバではローカルグループ)」「ユニバーサルグループ」の3種類があり、別のドメインでアクセス許可を割り当てる際にはグローバルグループとユニバーサルグループのみが利用可能です。Active Directoryでは“ユニバーサルグループ”の利用が推奨されています。

 その理由は、ユニバーサルグループの場合は「グローバルカタログ」にグループのメンバー情報が格納されるからです。前回解説したように、グローバルカタログはActive Directoryの検索用データベースであり、信頼関係を設定しているドメインのグローバルカタログ情報も保有します。

 グローバルグループのメンバーにアクセス許可が割り当てられている場合は、メンバー確認のために相手のドメインにアクセスしなければなりません。対して、ユニバーサルグループのメンバー情報はグローバルカタログに格納されているため、自分のドメインのドメインコントローラーで確認できます(図5)。

ALT
図5 グローバルグループのメンバーの確認には別ドメインにアクセスする必要があるが、ユニバーサルグループのメンバーの確認は自分のドメインのグローバルカタログで確認できる

 1つのドメインで運用している環境ではユニバーサルグループは影の薄い存在でしたが、信頼関係を設定して運用しているドメインではアクセス許可の確認を高速化できるという点で利用価値があるのです。

筆者紹介

国井 傑(くにい すぐる)

株式会社エストディアン代表取締役。1997年からマイクロソフト認定トレーナーとして、Azure Active DirectoryやMicrosoft 365 Defenderなど、クラウドセキュリティを中心としたトレーニングを提供している。2007年からMicrosoft MVP for Enterprise Mobilityを連続して受賞。なお、テストで作成するユーザーアカウントには必ずサッカー選手の名前が登場するほどのサッカー好き。


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る