- - PR -
【Windows2003】新規AD構築時のツリーとフォレストについて
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2005-01-09 19:37
MISTと申します。
初めて投稿させていただきます。 件名の通りADのツリーとフォレストについてですが、新規にAD構築する際に どのような理由で皆様はフォレストやツリーを分けられておりますか? AD構築後にフォレスト間で信頼関係を結んでもフォレストルートドメインの GCを参照できないなどの理由は分かりますが、新規構築時にフォレストや ツリーを分けるメリットはありますでしょうか? 新規AD構築時はシングルドメインで各拠点サイトに既存ドメインDC追加という 形で特に問題ないのでは?と考え質問させていただいた次第です。 フォレストでは西と東の事業部で分かれている事例、ツリーではツリー構造の 一部変更が可能なメリットを利用する以外に皆様が実際に運用されていて、 このような理由でフォレストを分けツリーを構成しているなどの事例が ありましたらご教授いただければ幸いです。 以上、宜しくお願い致します。 | ||||
|
投稿日時: 2005-01-10 00:13
こんばんわ.
理由は様々だと思いますが, 「かつて NT Domain では信頼関係で相互にやりとりしていた」 場合が多いのではないかと. あるいは影響力を残した子会社や事業部門を 「子 Domain」として分割するとか. つまり「分けなければならない何らかの理由」があってのことで, 言い換えると「分ける理由がないなら OU などで木構造 を作る」のが正道かと. たしか Microsoft も「とくに理由がなければ Single Domain が良いでしょう」 とどこかに書いていたと思います. 物理的に分割されている場合は Domain で分けるよりも site 構成で replicate を調節したりするのでは? と,認識しています. | ||||
|
投稿日時: 2005-01-10 09:29
一応、下記に、ドメインやフォレストを分ける正当な理由という感じの記述があります。 それに当てはまらない場合はドメインやフォレストは分けないほうがいい、ってことでしょうね。 http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/actdirds.asp 上記はWindows2000世代でのADの設計資料ですが、この頃は少なくとも1企業1フォレストに 統合を目指せ的な方針をMicrosoftは打ち出してたと記憶してます。 それが、実際の現場では統合が進まない、ていうか無理、みたいな意見が多くあがり、 1企業複数フォレストって構成も可能なように、フォレスト信頼を含めた いくつかの機能がWindows2003 ADで実装されたんでしょう。 そういう意味では、2003ADであれば、複数フォレストでも運用可能なケースは 大分増えたんじゃないかとは思ってます。 それでも、単一フォレスト単一ドメインで運用可能ならば、その方がいいと思います。 とりあえず、MicrosoftにADの設計のための資料があるんですから、 まずはそれを参考に設計を考えるべきでしょう。 実際に設計運用してる人達も、大抵はそれに従ってるでしょうから。 | ||||
|
投稿日時: 2005-01-11 09:11
私的には、同一組織体で新規に複数フォレストを検討する理由は、2つしか見当たらないです。
1.セキュリティを完全に分けたい NT時代のDomainUsersを拡張したAuthenticatedUsersが、色んな場所でこっそり(ADオブジェクトのアクセス権など)指定されています。これはフォレスト内の全ドメインのDomainUsersですから、困る場合もあるでしょう。例えば学校における先生ドメインと生徒ドメインなどでしょうか。 2.スキーマを分けたい ディレクトリ(LDAP)対応アプリはスキーマ拡張するのもが多いですが、一旦拡張すると削除できませんし、そもそもEnterpriseAdmins権限が必要なので全社的なコンセンサスが必要です。Exchange2000/2003はMS純正なので許可されやすいですが、その他のものは困難でしょう。 | ||||
|
投稿日時: 2005-01-11 21:46
MISTです。
皆様ご返答有難うございます。 私も独自に再調査したところ、子ドメインに関しては --------------------------------------------------------- ・複製トラフィックの抑制 − 全情報の複製トラフィックの削減 ・異なるセキュリティポリシーの実装 − パスワードポリシーの分離 ・管理権限の分離 − 異なる組織の子ドメイン管理権限分離 --------------------------------------------------------- 以上の理由で子ドメインを導入することがわかりました。 フォレストに関してはzousan様の内容とMattun様のリンクを 参照して纏めておこうと思います。 貴重なご意見有難うございました。 | ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。