- PR -

WindowsServer2003 ゾーン転送なしでの信頼関係構築方法と影響

1
投票結果総投票数:3
Windows 3 100.00%
  • 投票は恣意的に行われます。統計的な調査と異なり、投票データの正確性や標本の代表性は保証されません。
  • 投票結果の正当性や公平性について、@ITは一切保証も関与もいたしません。
投稿者投稿内容
未記入
会議室デビュー日: 2008/02/04
投稿数: 5
投稿日時: 2008-02-04 17:39
はじめまして

今回以下のとおりの環境で信頼関係を構築しようと考えております。

Aドメイン:Win2k3 R2(ドメインコントローラ)
Bドメイン:Win2k3 R2(ドメインコントローラ)
・AドメインからBドメインに出力方向の信頼
・信頼の種類は外部の信頼
・フォレスト/ドメインの機能レベルはAドメインが2003、Bドメインが2000

信頼関係を構築するにあたっての名前解決として以下の2パターンの方法で検証して
います。
@Aドメイン側:_msdcs.<Bドメイン>および<Bドメイン>のゾーン転送を行う。
 Bドメイン側:_msdcs.<Aドメイン>および<Aドメイン>のゾーン転送を行う。
AAドメイン側:_msdcs.<Bドメイン>のゾーン転送を行い、AドメインのDCのHOSTSに
BドメインのDCのIPを記述
 Bドメイン側:_msdcs.<Aドメイン>のゾーン転送を行い、BドメインのDCのHOSTSに
AドメインのDCのIPを記述

上記環境で信頼関係を構築すると2パターンともエラーなく信頼関係が構築でき、
信頼関係のプロパティから「検証」ボタンをクリックすると、"信頼が検証されました。
信頼が存在し、有効です"と表示され正常に信頼関係が構築できている思われます。

しかし、以下の現象が発生してします。

@の場合
Aドメイン内のファイルサーバに存在するフォルダに対してBドメインユーザにアクセス権
を付与することができる。(正常動作)
Aの場合
Aドメイン内のファイルサーバに存在するフォルダに対してBドメインユーザにアクセス権
を付与しようとすると、Bドメインのユーザが検出されずアクセス権を付与することができない。

上記から現象だけで判断すると、名前解決の仕方に問題があるのではないかと考えられますが、
現象もあいまいなところが多く、断定するにいたっておりません。


----ここからが質問--------------------------------------------------------------
名前解決を行うになたって一部のみのゾーン転送を行う場合(Aの方法)の制限事項
及びに影響はどの様なことが考えれるでしょうか。
--------------------------------------------------------------------------------

セキュリティの観点からすべてのゾーン転送を行うことせずに、またはゾーン転送以外の
方法で信頼関係を構築したいと考えております。

どのたかご教示いただけないでしょうか。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2008-02-04 22:33
こんばんは.
引用:

未記入さんの書き込み (2008-02-04 17:39) より:

上記から現象だけで判断すると、名前解決の仕方に問題があるのではないかと考えられますが、
現象もあいまいなところが多く、断定するにいたっておりません。

Active Directory は DNS の機能が不可欠で,
「信頼関係」も Active Directory の機能の一つです.
だとすると,DNS ではない名前解決の方法を用いている時点で
方法論が間違ってませんか?

zone transfer が嫌であれば,zone forward ではダメですか?
未記入
会議室デビュー日: 2008/02/04
投稿数: 5
投稿日時: 2008-02-05 13:17
早速のご回答有難うございます。
やはりDNSでの名前解決がActiveDirectoryの必須と考えたほうが
良いということですよね。

また、フォワーダによる名前解決も解決の1つとして考えていきたい
と思います。
ただ、ここでひとつ気になる事は、AD上のDNSでフォワーダの設定を
した場合、相手先ドメインのDNSをフォワーダ先の優先順位として
下位(2番手以降)とした場合、相手先DCを見つけれる事ができない
ように思われます。(ちなみにクエリ転送タイムアウトの時間も相当の
時間をとるようにも設定してあります。)

今回は既にフォワーダが指定されている状況であり、優先順位を変える
ことができません。

信頼関係構築時にフォワーダにより名前解決をした場合の制限事項など
とかはございますでしょうか。

初心者であり、見当違いの質問でありましたら申し訳ございません。
続けての質問で失礼ではありますがご教示いただけないでしょうか。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2008-02-05 13:20
Windows2003のフォワーダ設定は、
ゾーンを指定して転送可能です(条件付きフォワーダ)。
参照元はゾーン情報自体は持ちませんが、
ゾーンを持つのと実施可能なことは実質似たようなもんです。

両ドメインメンバが参照しているDNSが、
両DNSドメインの名前解決を正常に行える環境を整備してください。
未記入
会議室デビュー日: 2008/02/04
投稿数: 5
投稿日時: 2008-02-05 13:48
早速の返信有難うございます。
条件付きフォワーダでやれば問題はなくいきそうです。
検証環境で確かめてみましたが問題なく動いています。
有難うございます。
1

スキルアップ/キャリアアップ(JOB@IT)