- PR -

信頼関係の設定について

1
投稿者投稿内容
elfy
常連さん
会議室デビュー日: 2004/09/23
投稿数: 25
投稿日時: 2005-05-11 22:36
こんばんは。
いつもお世話になっております。

信頼関係の設定についてご教授願えますでしょうか。

サーバA:WindowsServer2003
サーバB:WindowsOS、バージョン不明(明日には分かると思います)

サーバAからサーバBのリソースにアクセスできるように
片方向の信頼関係を結ぶ設定をしているところです。

Q0.
この場合、言葉の表現としては、
 ・サーバBはサーバAを信頼する
 ・サーバA→サーバBの方向の信頼関係
でしょうか。

Q1.
サーバBでの設定のみで良いでしょうか。
(サーバA側では何も設定はする必要がないという意味で)

Q2.
サーバBでの設定には何が必要でしょうか。
(一応、サーバBがWindowsNTであった場合の設定については
Microsoftのサイトに説明があるようです)

Q3.
サーバBで信頼関係の設定の際にドメイン名として
NetBIOSドメイン名を設定しました。
ところが、自動的にドメイン名に置き換わりました。
これは正常な動作でしょうか?
またなぜでしょうか?

Q4.
片方向の信頼関係を結んだとして、設定後の動作確認方法には
どのようなことをすれば良いでしょうか。

もしご存知の項目がありましたら、
1つでも構いませんのでご教授くださるようお願い致します。
elfy
常連さん
会議室デビュー日: 2004/09/23
投稿数: 25
投稿日時: 2005-05-11 22:41
申し訳ありません。
もう一つ追加です。

Q5.
サーバAのドメインに所属のクライアントPCが
WindowsNTからWindows2000以上に変わった場合、
Q3の動作から何か問題はありますでしょうか。

どうぞよろしくお願い致します。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-05-11 23:15
引用:

サーバAからサーバBのリソースにアクセスできるように
片方向の信頼関係を結ぶ設定をしているところです。

ドメインAのユーザ情報で、ドメインBのサーバのリソースにアクセスできるように、
と読み替えて問題ありませんか?

引用:

Q0.
この場合、言葉の表現としては、
 ・サーバBはサーバAを信頼する
 ・サーバA→サーバBの方向の信頼関係
でしょうか。

・ドメインBはドメインAを信頼する
・ドメインB→ドメインAの方向の信頼関係
です。

引用:

Q1.
サーバBでの設定のみで良いでしょうか。
(サーバA側では何も設定はする必要がないという意味で)

ドメインB側での設定は必須。
ドメインA側の設定は、ドメインB側の作業者が、ドメインA側のDomanAdminsグループの
ユーザの認証情報を知っているなら不要。
知らないなら、ドメインA側の管理者に、ドメインAのDomainAdminsグループの
ユーザで設定を行ってもらう必要があります。

引用:

Q2.
サーバBでの設定には何が必要でしょうか。
(一応、サーバBがWindowsNTであった場合の設定については
Microsoftのサイトに説明があるようです)

Windowsのヘルプで、外部信頼について調べてください。
作業手順の概要はそれで分かります。

引用:

Q3.
サーバBで信頼関係の設定の際にドメイン名として
NetBIOSドメイン名を設定しました。
ところが、自動的にドメイン名に置き換わりました。
これは正常な動作でしょうか?
またなぜでしょうか?

この辺はDNSやWINSの構成次第なはずですが、
NetBIOSドメイン名だろうとDNSドメイン名だろうと同じものを指してる以上は
気にしない方がいいと思います。

引用:

Q4.
片方向の信頼関係を結んだとして、設定後の動作確認方法には
どのようなことをすれば良いでしょうか。

1. ドメインBに参加している端末で、ドメインAのユーザでログオンしてみる
2. ドメインBに参加している端末のファイル/フォルダに対し、
  ドメインAのユーザ/グループに対するアクセス権設定が可能か確認する
3. ドメインBに参加している端末(特にサーバ)が、同じWINSサーバ/DNSサーバを
  参照しているか確認する
あたりかと。
1.と2.は、今回の信頼関係を結んだことで実現できる基本的なことの動作確認。
3.は、WINSやDNSの設定が正しくないドメインBの端末が、ドメインAの情報へ
アクセスできない、という自体を防ぐための確認作業。

あと、ドメインBに参加している端末に対し、ドメインAから今までアクセスしていて、
アクセスする際に認証ダイアログが現れ、ドメインB(または接続先のローカル)ユーザの認証を
入力していた、というケースがあるかどうかを確認してください。
今まではドメインBはドメインAを知らなかったため、ドメインAの認証情報を送信されてきても
理解不能だったため、認証ダイアログが表示され、ドメインBの認証情報の入力が可能でした。
それが、信頼関係を結んだことで、ドメインAのユーザで自動的に認証されてしまい、
意図しないアクセス権で接続されてしまうケースが出てきます。
その場合、ネットワークドライブの割り当て作業時に、意図的に送信するユーザ認証情報を
指定するか、ドメインAのユーザに対しても適切にアクセス権を割り当てておくか、
という作業が必要となってきます。
# 丁度今日ハマッたところ。

外部信頼に関しては、何か情報少ないんですよね・・・
elfy
常連さん
会議室デビュー日: 2004/09/23
投稿数: 25
投稿日時: 2005-05-11 23:42
Mattunさん、ありがとうございます。

引用:

ドメインAのユーザ情報で、ドメインBのサーバのリソースにアクセスできるように、
と読み替えて問題ありませんか?


はい、問題ありません。

引用:

ドメインB側での設定は必須。
ドメインA側の設定は、ドメインB側の作業者が、ドメインA側のDomanAdminsグループの
ユーザの認証情報を知っているなら不要。
知らないなら、ドメインA側の管理者に、ドメインAのDomainAdminsグループの
ユーザで設定を行ってもらう必要があります。

すみません。
この辺りがよく判りません。
「ドメインA側のDomanAdminsグループのユーザの認証情報を知っている」
とはどういう意味でしょうか。

引用:

この辺はDNSやWINSの構成次第なはずですが、
NetBIOSドメイン名だろうとDNSドメイン名だろうと同じものを指してる以上は
気にしない方がいいと思います。


サーバA側ではWINSの設定をしています。

サーバA側の話ですが、
通常、ActiveDirectory(DNS?)の設定ウィザードの中で、
完全修飾ドメイン名の最初のピリオドまでが
NetBIOSドメイン名として検出されるかと思います。
ところが、今回はこの検出されたNetBIOSドメイン名を別の任意の名前に
変更して登録しております。
そして、サーバB側で信頼関係の設定をした際に、
上記NetBIOS名を設定しましたがドメイン名に置き換わりました。

他、ご教授くださったこと、確認中です。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-05-11 23:46
引用:

引用:

ドメインB側での設定は必須。
ドメインA側の設定は、ドメインB側の作業者が、ドメインA側のDomanAdminsグループの
ユーザの認証情報を知っているなら不要。
知らないなら、ドメインA側の管理者に、ドメインAのDomainAdminsグループの
ユーザで設定を行ってもらう必要があります。

すみません。
この辺りがよく判りません。
「ドメインA側のDomanAdminsグループのユーザの認証情報を知っている」
とはどういう意味でしょうか。

ドメインB側で実行する、信頼関係を設定するウィザードの中で、
ドメインA側の設定も行うための選択があります。
で、ドメインA側の設定を行うためには、当然ドメインA側のDomainAdmins権限が
必要であるため、その選択を行うために、ドメインA側のDomainAdminsユーザの
認証情報を入力しなければならないんです。

ドメインA側のDomainAdminsユーザの認証情報を知らない場合、
ドメインB側の作業の最中にドメインA側の設定を行うことが出来ないため、
別途ドメインA側で作業が必要になります。

ってことです。
1

スキルアップ/キャリアアップ(JOB@IT)