- PR -

Internet 経由での ActiveDirectory

1|2 次のページへ»
投稿者投稿内容
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-04-07 12:42
お世話になります.

Internet を経由して ActiveDirectory は構築できるものでしょうか?
Single Domain で ActiveDirectory を構成し,
複数の site に Domain Controller を設置して,
それぞれの Domain Controller 間の情報の複製は
Internet を経由することを念頭に置いています.

「Internet 上の複製のための通信は VPN 等を利用しないといけない」
とか,そういった条件付きでも実現できる方法があればご教示ください.
また,事例があるようでしたら是非ノウハウをご教示いただきたく思います.

以上,よろしくお願いいたします.
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-04-07 14:00
単一セグメントのLANなら可能です。
複数セグメントのLANでも可能です。

ここまではあえて説明するまでもなくOKです。
逆になぜOKなのか?って資料を見つけるとなると面倒かもしれませんが。

VPN経由の場合、結局はL3レベルで考えると、複数セグメントのLANと
変わらないですから、これも問題なく可能です。
実際のクライアントサーバ間の通信は、あくまでもプライベートIPアドレス同士で行われます。
各セグメント間の通信にインターネットを経由してることなんて意識することもありません。

---------------------
ここまでが現実味があり、実例も多数ある環境です。
これ以降はどうしても「理屈的には〜」ということしか言えないです。
実際に構築してみると、技術的には面白そうだなぁとは思いますが、
それを管理したいとは思えません。

---------------------


VPNを使わないインターネット経由でって場合になると、
各端末が接続するアドレスと、端末自身が持っているアドレスが、
プライベート同士じゃなくなる、って点が大きく異なります。

組み合わせとして、対象となるサーバ・クライアント端末が
1. 直接グローバルIPアドレスを持っている(アドレス変換一切なし)
2. NAT経由(グローバルIPとプライベートIPが1対1)
3. NAPT経由(グローバルIPとプライベートIPが1対多)
が考えられます。


で、ADが動作するために必要なのは
・DNSを利用したAD関連SRVレコードの名前解決
・ログオン通信の処理
・DC間複製処理
あたりでしょうか。

1.のみで構成されてた場合は、AD関連の通信で問題になりそうな点も見当たりませんから、
問題なく動くとは思います。
ただし、適切にパケットフィルタを構築するなりしないと、セキュアな状況ではないですから、
構築の手間がどれだけかかることやら。

2.が入る場合、特にDCのnetlogonサービスがDNSに登録するSRVレコード情報が
プライベートIPアドレスになってしまい、実際の接続に利用される
グローバルIPアドレスにならない点が問題になるでしょう。
その点については、SRVレコードを手動登録することで解決できる可能性はあります。

3.に関しては、少なくともDCがそんな環境なら、現実的じゃないでしょう。
ADで使われる全ポートを適切にマッピングできるなら可能かもしれませんが。

2.や3.に該当するのがクライアントだったりする場合は、問題ない可能性もあります。

また、2.や3.とDC間複製の関係については、SMTPを使った複製もできるわけですから、
設計さえしっかりしてればどうにかなるとは思います。

そして、レガシクライアントまで考慮すると、さらにNetBIOS名解決の問題も出てきます。
こっちはLmhostsで逃げる方法はあるでしょうし、普通にWINS立ててってのもありでしょう。


何がともあれ、まともに動作して、かつセキュアな環境、なんてのを作るのは
とても骨が折れそうです。
NAO
ぬし
会議室デビュー日: 2001/10/24
投稿数: 1256
お住まい・勤務地: 神奈川のはずれから東京の下町
投稿日時: 2005-04-07 14:29
今日は。

一番簡単(というか実現性がある)なのは
両方のサイトにグローバルカタログをおいて、
それをSMTPサイトリンクで夜間とか使わない時間帯に複製を
スケジュールする。

かな? 
_________________
Inspired Ambitious
ISMS Assistant Auditor
zousan
大ベテラン
会議室デビュー日: 2004/11/09
投稿数: 129
投稿日時: 2005-04-07 21:24
目的が良く分かりませんが、気が付いたところでは

1.DCはグローバルアドレスを割り当てるとして、使用するポートの制限が実質的に規制不可能なので、FWのDMZに対するフィルタリングは、ほとんど無きに等しいという恐ろしい環境が予想されます。実は社内でセグメント別けしてフィルタリングを検討しましたが、無理そうでした。

2.ドメイン参加のクライアントもグローバルアドレスですか?まさかですよね。確かNAT環境からは運用できないはずです。DCからクライアントへの通信が発生するみたいなので。

結局のところ、インターネットでのAD使用というのは、公開サーバそのものがADなのではなく、公開サーバから認証する内部サーバ(RADIUS,LDAPへのポート制限下で)がADというのではないでしょうか。

VPNの場合は、インターネット云々は無視して考えられますから、当然可能ですね。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-04-07 22:44
こんばんわ.

皆様,ありがとうございます.
とても参考になります.

実際 VPN 経由なら,
たしかに「何とかなる」かなと考えています.
引用:

Mattunさんの書き込み (2005-04-07 14:00) より:

VPNを使わないインターネット経由でって場合になると、
各端末が接続するアドレスと、端末自身が持っているアドレスが、
プライベート同士じゃなくなる、って点が大きく異なります。

この場合を視野に入れないとならなそうなので,
今お客さんを説得してるところです.
NAT や NAPT での「構築まで」ならなんとかなる/するとしても,
その後の綱渡りのような運用を考えたら冷汗ものですよね.
引用:

何がともあれ、まともに動作して、かつセキュアな環境、なんてのを作るのは
とても骨が折れそうです。

はい,自分もそのとおりだと考えてます.
なので,「運用が心配じゃないですか?」と話してます.
引用:

NAOさんの書き込み (2005-04-07 14:29) より:
今日は。

一番簡単(というか実現性がある)なのは
両方のサイトにグローバルカタログをおいて、
それをSMTPサイトリンクで夜間とか使わない時間帯に複製を
スケジュールする。

複製は夜間でないとダメでしょうか?
各 site の password の同期は素早くやりたいと思っているのです.
引用:

zousanさんの書き込み (2005-04-07 21:24) より:

結局のところ、インターネットでのAD使用というのは、公開サーバそのものがADなのではなく、公開サーバから認証する内部サーバ(RADIUS,LDAPへのポート制限下で)がADというのではないでしょうか。

はい,その辺が落としドコロだと思ってます.

背景を説明してませんでした.
遅まきながら簡単に.

大学のように複数の場所にある場合,
各 site を単一 Domain で ActiveDirectory が実現できないかと思ったのです.
単に ActiveDirectory だけなら
別 Domain として Forest にすれば簡単なのですが,
実は ActiveDirectory を RADIUS や e_mail server の認証にも
使いたいと考えています.
玉数,つまり server の台数を出来る限り減らしたりしたので,
そのような考えに行き着きました.

もっとも,複数 site それぞれに firewall appliance を導入するので,
その間で IP-VPN を結んでしまおうとも考え始めています.

何かよい考えがあったら是非続けて書き込みを.
以上,よろしくお願いいたします.
NAO
ぬし
会議室デビュー日: 2001/10/24
投稿数: 1256
お住まい・勤務地: 神奈川のはずれから東京の下町
投稿日時: 2005-04-08 09:12
お早うございます。
引用:

複製は夜間でないとダメでしょうか?
各 site の password の同期は素早くやりたいと思っているのです.

別段昼間でも構いませんが。
但し回線が細いとその同期で帯域取られますので、
回線の容量とトレードオフですね。 
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-04-08 11:47
引用:

引用:

何がともあれ、まともに動作して、かつセキュアな環境、なんてのを作るのは
とても骨が折れそうです。

はい,自分もそのとおりだと考えてます.
なので,「運用が心配じゃないですか?」と話してます.

どこも誰もそんな構成してない、っていう事例の少なさと、構築の難しさ、
LAN内でしか使わない認証情報を暗号化もせずにインターネットへ流すことのリスク、
あたりをネタに、
引用:

もっとも,複数 site それぞれに firewall appliance を導入するので,
その間で IP-VPN を結んでしまおうとも考え始めています.

という方向に持っていったほうがいいでしょう。
どう考えても茨の道です<非VPN インターネット経由でのAD構築

ADはLAN内のみで構築するのが常識です。
WAN経由では構築できません。
加えて、VPNで結ばれたらLANです。
って理由で十分かと思います。
下手に「できる」とかいうべきじゃないでしょう。

理由を聞かれたら、アドレス変換が発生する時点でADは動きません、
でいいんじゃないかと。


でも、前にとある大学の管理を手伝ってる人に聞いたら、、
大抵の端末がグローバルIPアドレスをもってて、普通にWAN経由でファイル共有してる、
なんて話しも聞いたことがあるんで、油断はできませんが。


引用:

複製は夜間でないとダメでしょうか?

規模次第ですが、1Mbpsのインターネット回線があるなら、そこまで神経質になることも
ないはずです<複製トラフィック量
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-04-08 12:02
こんにちわ.
引用:

Mattunさんの書き込み (2005-04-08 11:47) より:

でも、前にとある大学の管理を手伝ってる人に聞いたら、、
大抵の端末がグローバルIPアドレスをもってて、普通にWAN経由でファイル共有してる、
なんて話しも聞いたことがあるんで、油断はできませんが。


大学さんは意外とたくさん global な IP address を持ってたりするんですよね.
だからそんな贅沢が可能なんでしょう.
油断しないように IP-VPN に落とし込む方向で話を進めようと思います.

皆様,ご意見ありがとうございました.
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)