- PR -

ネットワークにドメインサーバーを接続する時の注意点

1|2 次のページへ»
投稿者投稿内容
koara
ベテラン
会議室デビュー日: 2005/09/16
投稿数: 96
投稿日時: 2006-11-03 18:23
お世話になっております。
koaraと申します。

社内のある課内で完全ローカルで運用していたドメインサーバーを
社内のネットワークに接続したいと考えています。

具体的には下図のようなことを考えています、
SERVER AはドメインサーバーでLOCAL.DOMAINを構成しており、
同ネットワークには20台ほどのPC(DOS,Windows2000)が繋がっています。

このSERVER AにNIC Bを増設して(xxx.xxx.xxx.xxx/24)の
グローバルネットワークに接続したいと考えています。
グローバルネットワークの別セグメントには、複数のドメインサーバーが存在します。

この際、注意しなければいけないことには、どんなことでしょうか?
コンピュータ名の重複のようなことが、ドメイン名でも起こるのかを心配しております。

コード:
図:質問の構成

SERVER_A.LOCAL.DOMAIN
   +--------+
   |        |         +---+
   |SERVER_A+---------+HUB+-----...
   |        | NIC B   +---+
   +--------+ (xxx.xxx.xxx.xxx/24)
  NIC A|
 (DHCP)|
       |
     +---+
     |HUB|
     +---+
       +----+----+----+...
       |    |    |    |        
       PC   PC   PC   PC

【SERVER_A】
OS: Windows2000 AdvancedServer
FQDN: SERVER_A.LOCAL.DOMAIN
ドメイン名: LOCAL.DOMAIN


SERVER Aにグローバルネットワークから参照したいファイルがあるのですが、
影響がわからないため、現状は下記のような構成になっており、
SERVER AのファイルをSERVER Bに定期的にコピーしてSERVER B経由でファイル共有しています。

コード:
図:現在の構成

SERVER_A.LOCAL.DOMAIN         WORKGROUP
   +--------+ NIC B            +--------+
   |        | (192.168.0.1)    |        |
   |SERVER_A+------------------+SERVER_B+-----...
   |        |             NIC C|        |NIC D
   +--------+     (192.168.0.2)+--------+(xxx.xxx.xxx.xxx/24)
  NIC A|         クロス接続
 (DHCP)|
       |
     +---+
     |HUB|
     +---+
       +----+----+----+...
       |    |    |    |        
       PC   PC   PC   PC

【SERVER_A】
OS: Windows2000 AdvancedServer
FQDN: SERVER_A.LOCAL.DOMAIN
ドメイン名: LOCAL.DOMAIN

【SERVER_B】
OS: Windows2000 AdvancedServer
FQDN: SERVER_B
WORKGROUP:WORKGROUP


現状の構成は私の自信の無さの現れです。
本当はもっとスマートな構成にできると思うのですが...

叩かれるのを覚悟で質問しました。
知識のなさを受け止めて、これを機に理解に至り、
あやふやな状態での運用をやめたいと思っています。

参考になりそうなWEBサイトでも結構です、
アドバイスよろしくお願いします。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-11-03 21:42
こんばんわ.
引用:

koaraさんの書き込み (2006-11-03 18:23) より:

このSERVER AにNIC Bを増設して(xxx.xxx.xxx.xxx/24)の
グローバルネットワークに接続したいと考えています。
グローバルネットワークの別セグメントには、複数のドメインサーバーが存在します。

この際、注意しなければいけないことには、どんなことでしょうか?
コンピュータ名の重複のようなことが、ドメイン名でも起こるのかを心配しております。

別の network segment であれば,
Domain 間の通信が発生しなければ問題は生じないと思います.
しかし,
引用:

SERVER Aにグローバルネットワークから参照したいファイルがあるのですが、
影響がわからないため、現状は下記のような構成になっており、
SERVER AのファイルをSERVER Bに定期的にコピーしてSERVER B経由でファイル共有しています。

という条件があって,それを回避するために server B の役割を
本来の server A に「戻す」ことをお考えなのですよね.
引用:

現状の構成は私の自信の無さの現れです。
本当はもっとスマートな構成にできると思うのですが...

server A の Domain が他と干渉しないように再構築するのが最善の策だと思います.

もっとも困るのは,同じ Active Directory の Domain 名と
同じ computer 名を使っている場合,
接続したい client が参照する DNS によっては
「一方にしか接続できない」状態になることでしょう.
要するに「名前解決」の仕組みをよくよく考えておかないと,
「client から接続する必要のある computer が server に正常に接続できない」
という事態が生じると思います.

それ以外は他の Active Directory や network の環境「次第」だと思います.
koara
ベテラン
会議室デビュー日: 2005/09/16
投稿数: 96
投稿日時: 2006-11-06 14:33
kazさん、
レスありがとうございます。

引用:

server A の Domain が他と干渉しないように再構築するのが最善の策だと思います.


kaz様のアドバイスのお陰で、
名前解決がこうだから...あーなって...と考えるよりも
そもそも他と干渉しない設定にするのが最善の策だと思いました。

DOMAIN名は変更せずにSERVER_Aに一意のコンピュータ名を設定することにしました。

知識としてどうなるか知っておきたいので、
よろしければもう少しお付き合い頂けるとうれしいです。

引用:

もっとも困るのは,同じ Active Directory の Domain 名と
同じ computer 名を使っている場合,
接続したい client が参照する DNS によっては
「一方にしか接続できない」状態になることでしょう.
要するに「名前解決」の仕組みをよくよく考えておかないと,
「client から接続する必要のある computer が server に正常に接続できない」
という事態が生じると思います.


名前解決については、NetBIOS名での名前解決は同一セグメント内だけ、
DNSでの名前解決は(任意でレコードを登録した)DNSサーバーの参照範囲という認識をしています。

下図でDNSサーバーがSERVER_A=192.168.2.1というレコードを保持していたとすると、
DHCP下のPCは同ネットワーク上のSERVER_Aを参照するのは問題なさそうですが、
192.168.1.xxx/24側のPC_XからSERVER_Aを参照しようとした時に問題が出そうな気がしますがどうでしょうか?


コード:

SERVER_A.LOCAL.DOMAIN                            SERVER_A.LOCAL.DOMAIN
   +--------+(192.168.1.1/24)                          +--------+
   |        |NIC B   +----+     +------+               |        |
   |SERVER_A+--------+HUB2+-----+ROUTER+---------------+SERVER_A+
   |        |        +-+--+     +--+---+          NIC C|        |
   +--------+          |           |   (192.168.2.1/24)+--------+
  NIC A|               |           |                       |NIC D
 (DHCP)|               |           |                       |(DHCP)
       |             PC_X          |                       |
     +----+                      +-+-+                   +----+
     |HUB1|                      |DNS|                   |HUB3|
     +----+                      +---+                   +----+
       +---+---+---+...                                  +---+---+-...
       |   |   |   |                                     |   |   |
       PC  PC  PC  PC                                    PC  PC  PC


kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-11-06 16:04
こんにちわ.
引用:

koaraさんの書き込み (2006-11-06 14:33) より:

DOMAIN名は変更せずにSERVER_Aに一意のコンピュータ名を設定することにしました。

どちらかというと Domain 名を変更する方が確実だと思います.
問題が生じるとしたらむしろ「所属する local Domain でない方の同名の Domain」
に接続する場合だと思うので.
「政治的に変更することが可能か?」はまた別の話ですが...
引用:

名前解決については、NetBIOS名での名前解決は同一セグメント内だけ、
DNSでの名前解決は(任意でレコードを登録した)DNSサーバーの参照範囲という認識をしています。

NetBIOS については WINS server が無ければその認識で良いと思います.
DNS については DNS server 側ではなく DNS client 側の問題で,
その DNS client が「どの DNS server を参照しているか?」
ということに左右されます.
※という意味で書かれていますか?
引用:

下図でDNSサーバーがSERVER_A=192.168.2.1というレコードを保持していたとすると、
DHCP下のPCは同ネットワーク上のSERVER_Aを参照するのは問題なさそうですが、
192.168.1.xxx/24側のPC_XからSERVER_Aを参照しようとした時に問題が出そうな気がしますがどうでしょうか?

おそらく local.domain はいずれも Active Directory の domain で,
とすると当然それぞれに DNS server が動いていると思います.
とすると,PC_X がどの DNS server を参照してるか?で決まります.
つまり,PC_X がどちらかの Active Directory に参加していたら,
local の domain の SERVER_A しか名前解決ができないことになると思います.

そういう意味で「domain 名を変える方が確実」と書きました.
server 名(computer 名)が同じでも,
「local.domain の SERVER_A」であれば
「local.domain の変更後の domain の SERVER_A」とは
厳然として区別されるわけですし.

以上,ご参考までに.
koara
ベテラン
会議室デビュー日: 2005/09/16
投稿数: 96
投稿日時: 2006-11-07 15:47
kaz様 
お世話になっております。

結局、社内にドメイン名に対する命名規則がないため、
ユニークなコンピュータ名を設定することで対処しました。

ちなみに、社内ネットワークに接続するコンピュータは、
管理者に登録する義務があるので基本的に重複しません。

引用:

DNS については DNS server 側ではなく DNS client 側の問題で,
その DNS client が「どの DNS server を参照しているか?」
ということに左右されます.
*という意味で書かれていますか?


「クライアントが参照しているDNSサーバーに登録されている内容による」ということ
が書きたかったのですが、分かり難くなってしまい申し訳ありません。


引用:

おそらく local.domain はいずれも Active Directory の domain で,
とすると当然それぞれに DNS server が動いていると思います.


local.domainはADのdomain名です、
DNSはどちらもSERVER_A自身になっていました。

PC_Xは全く別セグメントのDNS serverを参照していて、
そのDNS serverにはSERVER_A(192.168.2.1/24)が登録されていました。*
(*PC_XからSERVER_Aへのpingの応答結果で確認しました。)

また、PC_XはどちらのADにも参加していません。
ADに参加しているのはNIC A(NIC D)以下のDHCP接続のPCだけです。

引用:

つまり,PC_X がどちらかの Active Directory に参加していたら,
local の domain の SERVER_A しか名前解決ができないことになると思います.

ADに参加する=SERVER_AのDNSを参照することになるのでしょうか?

kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-11-07 18:11
引用:

koaraさんの書き込み (2006-11-07 15:47) より:

local.domainはADのdomain名です、
DNSはどちらもSERVER_A自身になっていました。

それは正しいと思います.
domain controller が複数あれば別ですが,
単独であれば「local の DNS を参照する」ので良いはずです.
引用:

PC_Xは全く別セグメントのDNS serverを参照していて、
そのDNS serverにはSERVER_A(192.168.2.1/24)が登録されていました。*
(*PC_XからSERVER_Aへのpingの応答結果で確認しました。)

つまり,PC_X は 192.168.2.1/24 の DNS server を
参照しているという理解でよろしいですね?
引用:

引用:

つまり,PC_X がどちらかの Active Directory に参加していたら,
local の domain の SERVER_A しか名前解決ができないことになると思います.

ADに参加する=SERVER_AのDNSを参照することになるのでしょうか?

そうなります.
Active Directory には DNS server が必ず必要で,
それがそれぞれ単一の domain controller で構成されているなら,
所属する Active Directory の方の SERVER_A を
参照する DNS server として設定する必要があります.
koara
ベテラン
会議室デビュー日: 2005/09/16
投稿数: 96
投稿日時: 2006-11-08 11:06
kaz様

お付き合い下さって、
どうもありがとうございます。

引用:

つまり,PC_X は 192.168.2.1/24 の DNS server を
参照しているという理解でよろしいですね?


いえ、
PC_Xは192.168.3.x/24というセグメントにあるDNS serverを参照しており、
このDNS serverがSERVER_A=192.168.2.1/24と答えます。

引用:

そうなります.
Active Directory には DNS server が必ず必要で,
それがそれぞれ単一の domain controller で構成されているなら,
所属する Active Directory の方の SERVER_A を
参照する DNS server として設定する必要があります.


PC_Xはドメインに参加せずWORKGROUPで運用しているため、
DNS server(192.168.3.1/24)を参照する設定にできる。
もし、PC_Xをドメインに参加させたとすると、
そのAD内のDNS serverを参照するよう設定しなければならない。
ということでしょうか?

現在SERVER_AのDNS serverは自分自身のレコードしか持っていません。
DNS server(192.168.3.1/24)は社内DNS serverなので、こちらも参照させたいのですが、
そのためにはWORKGROUPで運用するしかないのでしょうか?


kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-11-08 13:56
こんにちわ.
引用:

koaraさんの書き込み (2006-11-08 11:06) より:

もし、PC_Xをドメインに参加させたとすると、
そのAD内のDNS serverを参照するよう設定しなければならない。
ということでしょうか?

そうです.
引用:

現在SERVER_AのDNS serverは自分自身のレコードしか持っていません。
DNS server(192.168.3.1/24)は社内DNS serverなので、こちらも参照させたいのですが、
そのためにはWORKGROUPで運用するしかないのでしょうか?

であれば,
PC_X -(参照)-> SERVER_A -(forward)-> DNS Server(192.168.3.1/24)
でよろしいのでは?
SERVER_A の DNS zone と DNS Server(192.168.3.1/24) の zone が
同じであれば実現できません.
この場合,PC_X は SERVER_A に名前解決をお願いします.
その際,SERVER_A は自分の管理する zone であれば PC_X に直接答えますし,
そうでなければ forwarding 先に問い合わせ,その回答を PC_X に答えます.

ちなみに Windows 2000 ではできませんが,
Windows Server 2003 であれば特定の zone だけを forward できます.
Windows 2000 Server の場合は「自分が管理している zone」以外を
全て forward することになります.
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)