- PR -

ドメイン信頼関係について

投稿者投稿内容
trust009
会議室デビュー日: 2005/03/12
投稿数: 19
投稿日時: 2006-02-09 12:38
いつもお世話になっております。

同一セグメント上に以下2台のADサーバが存在し、双方向の信頼関係を結びました。
・Windows 2003 ホスト名:HOST1 ドメイン名:DOM1 シングルドメイン DNS兼任
・Windows 2003 ホスト名:HOST2 ドメイン名:DOM2 シングルドメイン DNS兼任

HOST1上の共有フォルダのアクセス権にドメイン”DOM2"のユーザ
を追加しようとするとオブジェクトが見つかりませんと表示されて
しまいます。

そこでHOST1上のDNS参照先IPアドレスにHOST2のIPアドレスを設定すると
正常にオブジェクトは見つかるのですが、DNSのIPアドレスを設定しない
方法で、HOST1上の共有フォルダのアクセス権にDOM2上のユーザ
を設定する方法はございますでしょうか?



Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2006-02-09 13:00
HOST1、HOST2それぞれのDNSサーバで、
DOM1、DOM2どちらの名前解決が出来る状態にしてください。
普通は信頼関係を結ぶ前にやる作業です。

具体的には、HOST1でDOM2のセカンダリゾーンを、
HOST2でDOM1のセカンダリゾーンを保持してください。
セカンダリゾーンじゃなく、スタブゾーンでも条件付きフォワーダでも構いません。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
trust009
会議室デビュー日: 2005/03/12
投稿数: 19
投稿日時: 2006-02-09 13:24
早速の返信ありがとうございます。

DNSを使用しないで、lmhostsで名前解決の設定を行ってみたのですが
ダメでした。
ちなみにLMHOSTS記載内容は、以下になります。
HOST1上
192.168.0.2 host2 #PRE #DOM:DOM2

HOST2上
192.168.0.1 host1 #PRE #DOM:DOM1

やはりDNSでの解決は、必須なのでしょうか?
yakip
会議室デビュー日: 2006/02/06
投稿数: 3
投稿日時: 2006-02-09 14:12
trust009様
DNS名の名前解決であればlmhostsではなくhostsに書いてみてはいかがでしょうか。
ですがSRVレコードのことを考えてますとMattun様がおっしゃる構成にすべきと感じでおります。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-02-09 14:25
こんにちわ.
引用:

yakipさんの書き込み (2006-02-09 14:12) より:

ですがSRVレコードのことを考えてますとMattun様がおっしゃる構成にすべきと感じでおります。


「結ぶべき」ではなく「結ばないとダメ」では?
SRV resource record の内容を鑑みると,
「Domain Controller が探せない」という事態に陥るのが
「通常の動作」だと思います.
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2006-02-09 14:32
引用:

やはりDNSでの解決は、必須なのでしょうか?


はい。


ADに関わる通信において、Windows2000以降同士の名前解決が必要な場合はDNS。
レガシクライアント/サーバ向けの名前解決も必要なときはWINS。
(HostsやLmhostsでのその場しのぎの対応は安易にやるべきじゃありません)

外部信頼はDC同士の通信が発生し、相手のDCの名前解決ができないと通信できません。
で、お互いのDCがWindows2000以上なわけなので、DNSです。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
trust009
会議室デビュー日: 2005/03/12
投稿数: 19
投稿日時: 2006-02-09 15:04
ご回答ありがとうございました。

今回のケースでは、Windows2000以降同士であったので
やはりDNSが必須なのですね。ありがとうございました。

ちなみにWindows 2000以降のADとDNS、WINSともに設置していない
NTドメインとの信頼関係を結ぶ場合は、一般的にはlmhostやhosts
での名前解決を行う形でしょうか?
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2006-02-09 15:14
引用:

ちなみにWindows 2000以降のADとDNS、WINSともに設置していない
NTドメインとの信頼関係を結ぶ場合は、一般的にはlmhostやhosts
での名前解決を行う形でしょうか?


WINSを設置して、WINSを使う構成にしてください。

まず、Hostsはありえません。

Lmhostsでは実現は可能です。
ただし、NTドメイン同士またはNTドメインとActiveDirectoryドメイン間で
WINSなどの名前解決基盤を使わないで信頼関係を結ぶ、ってことは、
全ドメインコントローラと全ドメインメンバの
Lmhostsをメンテする、ってことなんですよ。
(両ドメインが単一セグメントに収まってるケースを除いて)
限定したレコードを記載したLmhostsを限定したメンバに配布する、
という運用は考えられますが、よほど他の点をうまく制御しないと
トラブルの耐えない構成になります。
構成変更まで考慮して、管理者の引継ぎまで考えた場合、
それを管理しきれるか、その方が楽か、を考えてください。
WINS環境へ移行するのもLmhostsを配布するのも手間変わらないですよ。

それでもあえてWINSを使わない構成にして
Lmhostsを使う理由があるとは思えません。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)

スキルアップ/キャリアアップ(JOB@IT)