- PR -

ActiveDirectoryについて

1
投稿者投稿内容
ねこがら
会議室デビュー日: 2004/11/17
投稿数: 3
投稿日時: 2004-11-17 16:25
お世話になります。ねこがらと申します。

最近ActiveDirectoryを構築しているのですが
現状3台で形だけを組んで見ました。
PC1:windows2000  192.168.1.253(ADS.DOMAIN1.LOCALHOST)
   ドメインコントローラー フォレスト1
PC2:windows2000   192.168.2.253(ADS.DOMAIN2.LOCALHOST)
   ドメインコントローラー フォレスト2
PC3:WindowsXP Home 192.168.1.172(BIND DNS)
それとネットワークを越える為のルータを1台
192.168.1.xxxの為のHubを1台使用しました。

上記構成を作成PC1-PC2間で信頼関係を結ぶとこまではできました。
ログオン時にも、ドメイン、domain1 or domain2の選択は可能となりました。

PC1とPC2はフォレストまで別々にきり、プロパティの信頼にて認証までは取れたのですが
PC1からドメイン2にログオンしようとすると時間がずれているのでログオン不可という
エラーが起き、ログオンできない状態です。



また、PC1,PC2のユーザー追加には現状自分でまったく同じものを手動で入れております
この手動というのを、PC1に入れると自動的に反映されるといった方式に変えたいのですが、これは可能なのでしょうか?

自分でも、まだいまいち、ADサーバーが分かっていない状況です。

宜しかったら、ご教授のほどよろしくお願いいたします。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2004-11-17 16:37
引用:

PC1とPC2はフォレストまで別々にきり、プロパティの信頼にて認証までは取れたのですが
PC1からドメイン2にログオンしようとすると時間がずれているのでログオン不可という
エラーが起き、ログオンできない状態です。

で、お互いのドメインコントローラの時間は揃ってるんでしょうか?
ActiveDirectoryで使われるKerberos認証は、認証情報に時間を使ってるので、
時間がずれてるとログオンできないんですが。


引用:

また、PC1,PC2のユーザー追加には現状自分でまったく同じものを手動で入れております
この手動というのを、PC1に入れると自動的に反映されるといった方式に変えたいのですが、これは可能なのでしょうか?

違うドメインなんだから当然です。
DomainAのUserAとDomainBのUserAは別ユーザなんですから、自動的に、なんてのは無理です。
それが嫌なら単一ドメインにしなさい、ってことです。ドメインの設計からやり直し。

引用:

自分でも、まだいまいち、ADサーバーが分かっていない状況です。

何の検証のためにそんな環境を作ってるのかも分かってないんじゃないでしょうか?
複数フォレストの複数ドメイン環境を構築する予定でもあるんでしょうか?

なんか、フォレストを分ける意味やドメインを分ける意味から勉強しなおしてください。
特に理由がなければ単一ドメイン単一フォレスト構成が基本であり、
別途様々な要素があるからドメイン分けたりフォレスト分けたり。
たとえ勉強のための構築作業だとしても、基本的なこと勉強せずにじゃ大した勉強にならないです。

[ メッセージ編集済み 編集者: Mattun 編集日時 2004-11-17 18:03 ]
ねこがら
会議室デビュー日: 2004/11/17
投稿数: 3
投稿日時: 2004-11-23 03:08
お世話になります
ねこがらです。

フォレストの件は大きく間違えておりました。
そして、構成組みなおしを始めているのですが
どうしても、うまくいかない点があり、行詰ってしまったので
宜しかったらご教授ください。
アドレス構成としましては同じ構成で行こうと思っています。
ドメインも変えずにこのままで検証を行いたいと思っております。

PC1:windows2000  192.168.1.253(ADS.DOMAIN1.LOCALHOST)
   ドメインコントローラー フォレスト1
PC2:windows2000   192.168.2.253(ADS.DOMAIN2.LOCALHOST)
   ドメインコントローラー フォレスト2
PC3:WindowsXP Home 192.168.1.172(BIND DNS)
(ネットワークも前回と変わらず間にルータを挟んでおります)
前回とは違う点としましては、複数のフォレストではなく
単一のフォレストで構成しております。

片側は(domain1)もともとの構成のまま使用
domain2側をdcpromoにて一度削除し、再度インストール作業を
行っております。

インストール中に新しいドメインのDC作成、新しいドメインツリー作成
既存フォレストに新しいドメインツリーを配置のように
作業を進めて行き、ユーザー名、パスワード、ドメインを入力。
(ここではドメイン確認ができました)
その次の項目に移り、新しいツリーの完全なDNS入力にて
「ADS.DOMAIN2.LOCALHOST」を入れて、NETBIOS用ドメイン等を登録し設定の最後に
「名前"ADS.DOMAIN2.LOCALHOST"を処理できるDNSサーバーに接続できない為動的更新を
 サポートするか判別できません。・・・」
と、返答が帰ってきます。
設定してるDomain2側でDOSプロンプトにて "Ping ADS.DOMAIN2.LOCALHOST"実施すると
アドレスを解決し、通信が取れるのですが、これをどういったことなのでしょうか?

また、DNS側の設定が悪いとしたら、例としてどういった、入れ方をするのがベストなのでしょうか?
 一通りは入っていると思うのですが、抜けがあってDNS解決出来てないのか、若しくは
 AD側の設定が間違っているのか、どちらか見当付かずでお手上げ状態です。
 お手数おかけ致しますがよろしくお願いします。

[ メッセージ編集済み 編集者: ねこがら 編集日時 2004-11-23 03:10 ]

[ メッセージ編集済み 編集者: ねこがら 編集日時 2004-11-23 03:16 ]
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2004-11-23 07:40
引用:

PC1:windows2000  192.168.1.253(ADS.DOMAIN1.LOCALHOST)
   ドメインコントローラー フォレスト1
PC2:windows2000   192.168.2.253(ADS.DOMAIN2.LOCALHOST)
   ドメインコントローラー フォレスト2
PC3:WindowsXP Home 192.168.1.172(BIND DNS)
(ネットワークも前回と変わらず間にルータを挟んでおります)
前回とは違う点としましては、複数のフォレストではなく
単一のフォレストで構成しております。

最終的には、PC2は、ADS.DOMAIN1.LOCALHOSTとADS.DOMAIN2.LOCALHOSTは
共にフォレスト1に含まれるんですよね?

で、今回は単一フォレストとはいえ、相変わらず複数ドメインなままなんですが、
複数ドメインを利用する意味を分かって、検証環境を構築してるんでしょうか?
しかも、ドメインツリーまで複数だし。
複数ドメインのままじゃ、最初につまづいてた
引用:
引用:

また、PC1,PC2のユーザー追加には現状自分でまったく同じものを手動で入れております
この手動というのを、PC1に入れると自動的に反映されるといった方式に変えたいのですが、これは可能なのでしょうか?

については何ら変わらないんですけど。
もし目的見失ってるなら、もう少しドメイン設計関連の資料を漁って勉強した方が
いいと思います。

引用:

その次の項目に移り、新しいツリーの完全なDNS入力にて
「ADS.DOMAIN2.LOCALHOST」を入れて、NETBIOS用ドメイン等を登録し設定の最後に
「名前"ADS.DOMAIN2.LOCALHOST"を処理できるDNSサーバーに接続できない為動的更新を
 サポートするか判別できません。・・・」
と、返答が帰ってきます。

PC2は、どのDNSサーバを利用しているんでしょうか?
で、そのDNSサーバに、ADS.DOMAIN2.LOCALHOSTってゾーンは定義されており、
動的更新は有効になってるんでしょうか?
PC3のBINDを使ってるなら、バージョン情報と、
named.confと各ゾーンファイルの中身を晒してください。特にnamed.conf
BINDを使うかMicrosoftDNSを使うかは最後は自由なんですが、
BINDに慣れてないようならAD用構築設定の解説が多いMicrosoftDNSの方がいいでしょう。

ActiveDirectoryにおいて、DNSの設定が一番の肝です。
DNSさえ正しく構成されてれば大抵は問題なく導入できるし、
設定に不備があれば正しく導入できません。
また、dcpromo時にDNSの自動構成フェーズがありますが、
Windows2000Serverの場合、自動構成を使ったDNS構築は正常動作しませんので、
dcpromo実行前にDNSは済ませておく必要があります。

引用:

設定してるDomain2側でDOSプロンプトにて "Ping ADS.DOMAIN2.LOCALHOST"実施すると
アドレスを解決し、通信が取れるのですが、

PINGは、DNS名前解決確認のためのツールじゃありません。
疎通確認のためのツールであり、その疎通確認に必要な名前解決にはDNSが使われるとは限りません。
使うならnslookupかdigを使ってください。
それ以上に、参照しているDNSサーバのゾーン情報の目視確認が先です。

引用:

また、DNS側の設定が悪いとしたら、例としてどういった、入れ方をするのがベストなのでしょうか?

今回の構成だと、以下のように構成してください。
1. ADS.DOMAIN1.LOCALHOSTとADS.DOMAIN2.LOCALHOSTの正引きゾーンと、
  対応する逆引きゾーンを管理しているプライマリDNSサーバを構築する
2. 1.の各ゾーンにて、動的更新を有効にする
3. 各DCは、ネットワーククライアントの設定において、1.のDNSを参照するように構成する
4. セグメントを越える場合、DNS関連の通信をフィルタしない


とりあえず、設計に関することから、DNSサーバの設定にいたるまで、
管理者のためのActive Directory入門
を読んでください。
また、Microsoft内のページにも色々情報があります。さらに詳細な情報が多いです。
http://www.google.com/search?hl=ja&lr=lang_ja&oe=Shift_JIS&inlang=ja&c2coff=1&q=+site:www.microsoft.com+active+directory+%E8%A8%AD%E8%A8%88

[ メッセージ編集済み 編集者: Mattun 編集日時 2004-11-23 08:10 ]
ねこがら
会議室デビュー日: 2004/11/17
投稿数: 3
投稿日時: 2004-11-23 10:46
朝早くからお返事ありがとうございます。

BINDのコンフィグを載せます。
バージョンはBIND 9.2.4 です

====================named.conf======================================================
options {
directory "C:\named";
};
controls {
inet 127.0.0.1 allow { localhost; } keys { "rndc-key"; };
};
logging {
channel query_logging {
file "C:\named\named.log.txt"
versions 3 size 10M;
severity info;
print-time yes; // timestamp log entries
};
category queries {
query_logging;
};
category lame-servers { null; };
};

zone "." IN {
type hint;
file "named.ca.txt";
};

zone "domain.localhost" IN {
type master;
file "localhost.zone.txt";
allow-update { any; };
};

zone "domain1.localhost" IN {
type master;
file "domain1.localhost.txt";
allow-update { any; };
};

zone "1.168.192.in-addr.arpa" IN {
type master;
file "named.domain1.txt";
allow-update { any; };
};

zone "domain2.localhost" IN {
type master;
file "domain2.localhost.txt";
allow-update { any; };
};

zone "2.168.192.in-addr.arpa" IN {
type master;
file "named.domain2.txt";
allow-update { any; };
};

zone "0.0.127.in-addr.arpa" IN {
type master;
file "named.local.txt";
allow-update { none; };
};
==================domain1.localhost=========================================================

$ORIGIN _tcp.dc._msdcs.ad.mydom.com.
$TTL 86400 ; 1 day
_kerberos IN SRV 0 0 88 ads.domain1.localhost.
_ldap SRV 0 0 389 ads.domain1.localhost.
$ORIGIN _tcp.ad.mydom.com.
_kerberos SRV 0 0 88 ads.domain1.localhost.
_ldap SRV 0 0 389 ads.domain1.localhost.
$ORIGIN .
domain1.localhost SOA dns.domain1.localhost. administrator.domain1.localhost. (
2003072425 ; serial
10800 ; refresh (3 hours)
900 ; retry (15 minutes)
604800 ; expire (1 week)
86400 ; minimum (1 day)
)
IN NS ads.domain1.localhost
$TTL 600 ; 10 minutes
A 192.168.1.253
$TTL 86400 ; 1 day
MX 10 domain1.localhost.
$ORIGIN _msdcs.domain1.localhost.
$TTL 600 ; 10 minutes
614eff3f-3024-4fa2-8687-fdacd1506bd6 CNAME ads.domain1.localhost.
$ORIGIN _tcp.Default-First-Site-Name._sites.dc._msdcs.domain1.localhost.
_kerberos SRV 0 100 88 ads.domain1.localhost.
_ldap SRV 0 100 389 ads.domain1.localhost.
$ORIGIN _tcp.dc._msdcs.domain1.localhost.
_kerberos SRV 0 100 88 ads.domain1.localhost.
_ldap SRV 0 100 389 ads.domain1.localhost.
$ORIGIN domains._msdcs.domain1.localhost.
_ldap._tcp.3b49bf23-6615-4023-91c3-e359c191ec06 SRV 0 100 389 ads.domain1.localhost.
$ORIGIN _msdcs.domain1.localhost.
gc A 192.168.1.253
$ORIGIN gc._msdcs.domain1.localhost.
_ldap._tcp.Default-First-Site-Name._sites SRV 0 100 3268 ads.domain1.localhost.
_ldap._tcp SRV 0 100 3268 ads.domain1.localhost.
$ORIGIN _msdcs.domain1.localhost.
_ldap._tcp.pdc SRV 0 100 389 ads.domain1.localhost.
$ORIGIN _tcp.Default-First-Site-Name._sites.domain1.localhost.
_gc SRV 0 100 3268 ads.domain1.localhost.
_kerberos SRV 0 100 88 ads.domain1.localhost.
_ldap SRV 0 100 389 ads.domain1.localhost.
$ORIGIN _tcp.domain1.localhost.
_gc SRV 0 100 3268 ads.domain1.localhost.
_kerberos SRV 0 100 88 ads.domain1.localhost.
_kpasswd SRV 0 100 464 ads.domain1.localhost.
_ldap SRV 0 100 389 ads.domain1.localhost.
$ORIGIN _udp.domain1.localhost.
_kerberos SRV 0 100 88 ads.domain1.localhost.
_kpasswd SRV 0 100 464 ads.domain1.localhost.
$ORIGIN domain1.localhost.
$TTL 86400 ; 1 day
ADS A 192.168.1.253
$TTL 1200 ; 20 minutes
$TTL 86400 ; 1 day

==================domain2.localhost=========================================================

$ORIGIN _tcp.dc._msdcs.ad.mydom.com.
$TTL 86400 ; 1 day
_kerberos IN SRV 0 0 88 ads.domain2.localhost.
_ldap SRV 0 0 389 ads.domain2.localhost.
$ORIGIN _tcp.ad.mydom.com.
_kerberos SRV 0 0 88 ads.domain2.localhost.
_ldap SRV 0 0 389 ads.domain2.localhost.
$ORIGIN .
domain2.localhost SOA dns.domain2.localhost. administrator.domain2.localhost. (
2003072423 ; serial
10800 ; refresh (3 hours)
900 ; retry (15 minutes)
604800 ; expire (1 week)
86400 ; minimum (1 day)
)
IN NS ads.domain2.localhost
A 192.168.2.253
$ORIGIN _msdcs.domain2.localhost.
$TTL 600 ; 10 minutes
614eff3f-3024-4fa2-8687-fdacd1506bd6 CNAME ads.domain2.localhost.
$ORIGIN _tcp.Default-First-Site-Name._sites.dc._msdcs.domain2.localhost.
_kerberos SRV 0 100 88 ads.domain2.localhost.
_ldap SRV 0 100 389 ads.domain2.localhost.
$ORIGIN _tcp.dc._msdcs.domain2.localhost.
_kerberos SRV 0 100 88 ads.domain2.localhost.
_ldap SRV 0 100 389 ads.domain2.localhost.
$ORIGIN domains._msdcs.domain2.localhost.
_ldap._tcp.3b49bf23-6615-4023-91c3-e359c191ec06 SRV 0 100 389 ads.domain2.localhost.
$ORIGIN _msdcs.domain2.localhost.
gc A 192.168.1.253
$ORIGIN gc._msdcs.domain2.localhost.
_ldap._tcp.Default-First-Site-Name._sites SRV 0 100 3268 ads.domain2.localhost.
_ldap._tcp SRV 0 100 3268 ads.domain2.localhost.
$ORIGIN _msdcs.domain2.localhost.
_ldap._tcp.pdc SRV 0 100 389 ads.domain2.localhost.
$ORIGIN _tcp.Default-First-Site-Name._sites.domain2.localhost.
_gc SRV 0 100 3268 ads.domain2.localhost.
_kerberos SRV 0 100 88 ads.domain2.localhost.
_ldap SRV 0 100 389 ads.domain2.localhost.
$ORIGIN _tcp.domain2.localhost.
_gc SRV 0 100 3268 ads.domain2.localhost.
_kerberos SRV 0 100 88 ads.domain2.localhost.
_kpasswd SRV 0 100 464 ads.domain2.localhost.
_ldap SRV 0 100 389 ads.domain2.localhost.
$ORIGIN _udp.domain2.localhost.
_kerberos SRV 0 100 88 ads.domain2.localhost.
_kpasswd SRV 0 100 464 ads.domain2.localhost.
$ORIGIN domain2.localhost.
$TTL 86400 ; 1 day
ADS A 192.168.2.253
$TTL 1200 ; 20 minutes


==================逆引きdomain1.localhost=========================================================

$ORIGIN .
$TTL 86400 ; 1 day
1.168.192.in-addr.arpa IN SOA domain1.localhost. administrator.domain1.localhost. (
1997022701 ; serial
28800 ; refresh (8 hours)
14400 ; retry (4 hours)
3600000 ; expire (5 weeks 6 days 16 hours)
86400 ; minimum (1 day)
)
NS ns.domain1.localhost.
$ORIGIN 1.168.192.in-addr.arpa.
172 PTR BINDServer.
$TTL 1200 ; 20 minutes
253 PTR ads.domain1.localhost.

==================逆引きdomain2.localhost=========================================================

$ORIGIN .
$TTL 86400 ; 1 day
2.168.192.in-addr.arpa IN SOA domain2.localhost. administrator.domain2.localhost. (
1997022702 ; serial
28800 ; refresh (8 hours)
14400 ; retry (4 hours)
3600000 ; expire (5 weeks 6 days 16 hours)
86400 ; minimum (1 day)
)
NS ns.domain1.localhost.
$ORIGIN 2.168.192.in-addr.arpa.
172 PTR BINDServer.
$TTL 1200 ; 20 minutes
253 PTR ads.domain2.localhost.


[ メッセージ編集済み 編集者: ねこがら 編集日時 2004-11-23 10:47 ]
1

スキルアップ/キャリアアップ(JOB@IT)