- PR -

Active Directoryのドメインコントローラ検索とLMHOSTSファイルの関係について

1
投稿者投稿内容
つっさん
会議室デビュー日: 2003/06/18
投稿数: 3
投稿日時: 2004-12-11 17:06
お世話になります。
Windows NTドメインからActive Directoryへの移行を予定しています。
既存NTドメイン環境では、クライアントPC(Win XP、Win NT)が
プライマリドメインコントローラ、セカンダリドメインコントローラを
検索するためにLMHOSTSファイルを利用しています。
(WINSは利用していない)

Active Directoryでは、ドメインコントローラの検索にDNSを使うという
ことになっていますが、この件について、テスト環境において奇妙な状況が
起こっています。
クライアントPCにLMHOSTSファイルを保存したまま、Active Directoryへ
移行を行って、DNSの参照先を一切設定せずに、ログオンをしてみたところ
問題なくログオンすることができました。
XPクライアントでは、Kerberos認証も問題なく行えておりました。

今後もDNSを利用する必要がないのか?と想定してしまいそうですが、
DNSを利用しない場合の弊害などあるのでしょうか?
またLMHOSTSファイルを保存したままで、移行することが問題ないのか
も気にかかるところです。

浅い知識・経験しか持ち合わせておりませんので、苦労しております。
皆様の力をお借りしたく思います。
参考文献などの情報もいただけましたら、幸いです。

以上よろしくお願いいたします。
zousan
大ベテラン
会議室デビュー日: 2004/11/09
投稿数: 129
投稿日時: 2004-12-11 21:49
AD環境でDNSを正しく向けない場合は、ケルベロスでなくNTLM認証となります。したがってクライアントにとってはNTドメインとして機能しますから、AD新機能が使えないですね。

例えばXPクライアントに対してグループポリシーは適用できないでしょう。

結論から言って、DNSとWINSの併用がお勧めです。(LNHOSTSは廃止)
つっさん
会議室デビュー日: 2003/06/18
投稿数: 3
投稿日時: 2004-12-12 00:22
書き込みありがとうございます。

>AD環境でDNSを正しく向けない場合は、ケルベロスでなくNTLM認証となります。

私もzousanさんと同じ認識でおりましたが、Kerberos認証を行っているかどうかを
確認するツール"kerbtray.exe"を使うとKerberosチケットを取得していたのです。
グループポリシーが適用されるかどうかは確認しておりませんが・・・。
特に今後LMHOSTSを利用したいという考えはありませんが、クライアントからLMHOSTS
ファイルを削除する手間を考えると、そのままにしておければと思っています。

テスト環境では、ドメインコントローラにDNSサーバの機能も持たせていました。
(ゾーンはActive Directory統合している)
何か関係ありますでしょうか。
1

スキルアップ/キャリアアップ(JOB@IT)