- PR -

Active Directoryに別セグメントから参加

1
投稿者投稿内容
ZYX
大ベテラン
会議室デビュー日: 2004/11/08
投稿数: 109
投稿日時: 2007-06-28 13:20
いつもお世話になっています。

弊社でActive Directoryを運用しています。

ドメインコントローラーがあるセグメント(例:192.168.0.0/24)とは
別のセグメント(例:192.168.100.0/24)からADに参加しているユーザーがいます。

192.168.0.0/24と192.168.100.0/24の間に、ローカルルータを設置しています。
ローカルルータでは、IPアドレス単位、TCP/UDP単位、ポート番号単位で、
各サーバーへのアクセスを制限しています。

ドメインコントローラーへの通信以外は、正常にフィルターで制御できていますが、
ドメインコントローラーとの通信に問題があります。

【問題】
 ・192.168.100.0/24からドメイン(AD)に参加できない
 ・192.168.100.0/24からドメインユーザーのパスワードが変更できない

【現在のルーターの設定】
192.168.100.0/24とドメインコントローラー間の通信は、
TCP/UDPともに全ポート番号を許可しています。

但し、netbios-ns(ポート137)、netbios-dgm(ポート138)、
netbios-ssn(ポート139)、microsoft-ds(ポート445)については、
フィルターでブロックしています。

上記ポートを禁止している理由は、192.168.0.0/24と192.168.100.0/24の間で
ファイル共有を許可したくないからです。


192.168.0.0/24と192.168.100.0/24の間のファイル共有の禁止しながら、
なおかつドメイン(AD)への参加ができる方法を教えてください。

よろしくお願いします。

[ メッセージ編集済み 編集者: ZYX 編集日時 2007-06-28 13:21 ]
yawata133
ベテラン
会議室デビュー日: 2007/04/06
投稿数: 76
投稿日時: 2007-06-28 15:14
具体的にどのような方法でドメインに参加させようとしているのですか?
マイコンピュータのシステムのプロパティを変更させる方法ですか?
ドメインAdministratorのアカウントで参加させようとしているのですか?
ファイル共有の禁止ならばファイルサーバでセキュリティ制御する程度のアイデアがないのですいません。あとは、ドメインコントローラ、ファイルサーバーをL3スイッチの別ポートにしてルーティングする程度のアイデアしかないなあ

誰かいい回答してくれるといいんですが・・・興味深い課題ですね。
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2007-06-28 16:01
その segment に DC を立てたほうがいいと思われます。

で、firewall を DC - DC のみ SMB/CIFS 許可。


_________________
チャブーン
大ベテラン
会議室デビュー日: 2006/11/25
投稿数: 149
投稿日時: 2007-06-30 22:05
チャブーンです。

私も、ちゃっぴさんのご意見に賛成です。というか、事実上この方法しか使えないでしょう。なぜなら Windows ログオン時にはグループポリシー適用のため SYSVOL 共有にかならずアクセスします。いわゆる NBT は必要ないですが、CIFS は必要になります。

この方法が採れないなら、ドメインコントローラの共有フォルダの ACL をきちんとチェックしてそこだけ通信を許可するか、ステートフルインスペクション機能のあるファイアウォールで、SYSVOL にアクセスしていることを検知するフィルタ (どう作るのかはしりませんが) を用意するぐらいしかないでしょう。
ZYX
大ベテラン
会議室デビュー日: 2004/11/08
投稿数: 109
投稿日時: 2007-07-19 11:36
自分の質問のスレが見当たらなくなり、返答が遅れてしまいました。

貴重な情報ありがとうございました。

何とか上手く設定することができました。
1

スキルアップ/キャリアアップ(JOB@IT)