- PR -

一方のDCに参加させたくないとき

1
投稿者投稿内容
はなこ
会議室デビュー日: 2006/11/21
投稿数: 3
投稿日時: 2006-11-21 14:05
Windows2000ServerとWindowsServer2003の2台のDC
が存在する環境において、作業の都合上で一時的に
WindowsServer2003の方へユーザをログインさせたく
ないのです。(Windows2000Serverだけにログイン
させたい)

具体的にはDNSの編集をし、WindowsServer2003
に関するレコードを削除しておけばよいのでしょうか?

同様のことをされた方がいらっしゃいましたら教えて下さい。
もし他に容易な方法がございましたら、教えてください。



kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-11-21 21:23
こんばんわ.

具体的に何をしたいのかが伝わってきません.
「ログインさせたくない」とは具体的にどのようなことを指していますか?
単に接続させたくないのか,通信すらさせたくないのか,
限られた範囲で接続させたいのか...
引用:

はなこさんの書き込み (2006-11-21 14:05) より:

Windows2000ServerとWindowsServer2003の2台のDCが存在する環境において、
作業の都合上で一時的にWindowsServer2003の方へユーザをログインさせたく
ないのです。
(Windows2000Serverだけにログインさせたい)

それは同じ Active Directory に所属しているのですか?
それとも別のですか?

logon することと通信することは別の問題ですし,
共有設定された資源に接続しないようにするのは簡単なことだと思います.
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2006-11-21 21:35
CALの問題?とか深読みしてみる。

とりあえず、Windows2003でAD認証をさせたくない、
という前提で答えてみます。

引用:

具体的にはDNSの編集をし、WindowsServer2003
に関するレコードを削除しておけばよいのでしょうか?


AD関係のレコードを手動変更すること自体がお勧めできませんが、
矛盾なく、漏れなく変更できれば、実現したことはできるでしょう。
ただし、そのゾーンの動的更新は無効にする必要はあります。

また、完全ではないでしょうが、接続させたくないクライアントと
接続させたくないDCを別サイトにすることで、
認証に使わせる可能性を大きく下げることは可能です。
ただ、もうひとつのDCが落ちた場合や、ネットワーク利用率の関係などで
サイト外DCへの認証は発生することはありえます。


それ以外だと、AD認証に関連する通信を、ファイアウォール機能で
制限してしまう、というのも考えられますが、
これだとクライアント側には認証エラーが通知されたりするでしょうから、
ふさわしいやり方ではないでしょう。

DCとして使わせたくない
=DCじゃない状態にする
=降格する
が正道でしょう。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
masa
ベテラン
会議室デビュー日: 2005/04/27
投稿数: 99
投稿日時: 2006-11-22 14:05
こんにちわ。

特殊な事情で同じようなことを
本番環境でやったことがありますが、F/WでユーザからDCが
完全に見えないようにしておけば特に問題は起きません。
クライアントからDCが見えなければ認証エラーなども起きないはずです。

クライアントは必然的に通信可能なDCにログオンします。

ちなみに自分がやった時は
DCの直前にF/Wを設置してポート単位でなくクライアントの
IPアドレスレベルで制限しました。

ポート単位でやるのであれば
漏れが無いようにしないとクライアント側に
何かしらのエラーが出るかも知れません。

はなこ
会議室デビュー日: 2006/11/21
投稿数: 3
投稿日時: 2006-11-22 17:42
ご返信ありがとうございます。

言葉足らずでしたが、ログインさせたくないとは
”AD認証させたくない”です。
(特殊な事情がありまして)

みなさまの意見を参考に検討してみます。


1

スキルアップ/キャリアアップ(JOB@IT)