- PR -

ActiveDirectryのマルチドメイン環境でのDNS

1
投稿者投稿内容
カカズ
会議室デビュー日: 2005/11/08
投稿数: 13
投稿日時: 2006-10-30 12:52
お世話になります。
早速ですが、既存でActiveDirectry(Windows2003)を構築しております。今回、新規ドメインを構築し一部ユーザを移行しようと思っています。
そこで、新規ドメインを構築する際に既存のDNSとの連携はどのようにすればいいのでしょうか。
1.既存のADの同じフォレスト内に新規ADを構築
2.既存ドメイン構成:サイト×2,各サイトにドメインコントローラ×2
3.新規ドメイン構成は、上記2と同じサイトに設置,IPネットワークアドレス同じ
4.ドメイン名は、既存の小ドメインではなくまったく別の名前
5.DNSのフォワード先(インターネット接続用)は同じアドレス
6.既存ドメインと新規ドメインは信頼関係を結びます。

既存及び新規のDNSサーバに各々新/既存のドメインを登録する必要があるのでしょうか。
それとも、フォワード先に各々のDNSサーバのIPアドレスを登録するだけでいいのでしょうか。もしくは、何もしなくてもいいのでしょうか。

よろしくお願いします。
Wingard
大ベテラン
会議室デビュー日: 2004/10/04
投稿数: 168
お住まい・勤務地: 頭の中はファンタージェン
投稿日時: 2006-10-30 13:39
あまり詳しくないのであれなのですが、
既存のドメインコントローラのOSは何を使っていますか?
NT Serverか、2000/2003 Serverかによってやり方が変わってきます。

_________________
◇◇◇ 社内SEを兼務する文系プログラマです。
◇◇◇ WinXP VisualStudio2005(C#メイン) MS・SQLServer とかを使っています。
◇◇◇ 周囲にプログラマがいないので、みなさんだけが頼りですヽ(`Д´;ノ
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-10-30 13:44
こんにちわ.
引用:

カカズさんの書き込み (2006-10-30 12:52) より:

既存及び新規のDNSサーバに各々新/既存のドメインを登録する必要があるのでしょうか。
それとも、フォワード先に各々のDNSサーバのIPアドレスを登録するだけでいいのでしょうか。もしくは、何もしなくてもいいのでしょうか。

それぞれの DNS で,対岸の Active Directory の
Domain Controller を割り出せないと,信頼関係が正常に機能しないと思います.
「お互いの zone 情報(resource record 含め)を解釈できれば良い」ので,
対岸の 2ndary としても,対岸の DNS へ forward しても
動きそのものは違わないと思います.
あとは「頻繁に変更があるか?」とか「対岸への問い合わせが多いか?」
といった条件によるんじゃないでしょうか?

個人的には「forward するより 2ndary の方が手堅い」と思っています.
forward する場合は「zone 情報を返してくれない」場合に使うかなと.

以上,ご参考までに.
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2006-10-30 14:29
質問自体の答えはkazさんが書いてる通りではあるのですが、
若干気になる点。

・同一フォレスト、別ドメインツリーのドメイン
・別フォレストのドメイン
の2パターンが考えられるんですが、どちらを想定してるんでしょうか?
何となく前者を考慮せずに後者だけで考えてたりしないかと思ってみました。

前者の場合、フォレストは同一ですので、
グローバルカタログ、ユニバーサルグループ、
フォレストにおけるFSMO配置、サイト管理などは共有できる(してしまう)状況です。
二つのドメインの関係次第では、そちらも選択肢になりえるでしょう。

DNSの構成については、どちらでも同じです。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
カカズ
会議室デビュー日: 2005/11/08
投稿数: 13
投稿日時: 2006-10-30 18:51
Wingardさん、kazさん、Mattunさん
ご意見ありがとうございました。
”最初からやれよ”といわれそうですが、VirtualServerで検証してみました。
結果は、フォワードでうまくいきました。なにをもってうまくいったかは・・・ですが
とにかく、同一フォレスト内での別ドメインツリー構成でうまく新規ドメインを構築できました。信頼関係もデフォルトで構築されています。(プロパティ内の検証もOKです)
手順としては、
1.新規のサーバで新規ドメイン名でDNSを構築
2.フォワード先に既存のDNSを追加
3.新規サーバでDCPROMOを実行です。
今回、スキーマの統一を考慮したのですが(特にNIS)正直別フォレストでもよかったかもしれません。
ふと思ったのですが→実は同じフォレスト内の別ドメインという構成は初めてだったのですが、信頼関係を解除できないとは知りませんでした。

1

スキルアップ/キャリアアップ(JOB@IT)