これらは大きな話題であることは承知していますが、明確にしておきたい質問がいくつかあります。
q1) DNS インターネット ドメインと Active Directory ドメインは同じものを指しますか、それとも関連していますか?
上記の質問をする理由は、別々のネットワークに 2 つの小さなオフィスがあり、ビジネスの性質が異なるため 2 つの異なるドメイン名を購入した場合です。
例えば
company1.com -- office 1
company2.com -- office 2
各オフィスに独自の DC を持たせつつ、同じ AD データベースを共有したいと考えていました。
dc1.company1.com
dc1.company2.com
両方のネットワークのワークステーションは、ネットワーク ドメイン名 (company1.com、company2.com) が異なっていても、同じ Active Directory ドメインに参加できますか?
workstations in office 1 ---> dc1.company1.com ==\
--- join to the same AD domain
workstations in office 2 ---> dc2.company2.com ==/
そこで、元の質問に戻りますが、インターネット ドメインと Active Directory ドメインは同じものを指しているのでしょうか? これらは、単にグループ化するための論理的な命名なのでしょうか?
よろしく、Noob
答え1
あなたの質問に誰も答えていないことに驚いています。
Active Directory ドメイン名と、Web ホスティング会社から購入するドメイン名空間のリンクに関しては、確かにこの 2 つは関連しています。これらは単にグループ化するための論理的な命名ですが、AD では、公開されていないドメイン名空間も使用できます。たとえば、server.local などです。
.local で終わるネットワーク デバイスのホスト名は、プライベート ネットワークでよく使用され、マルチキャスト ドメイン名サービス (mDNS) またはローカル ドメイン ネーム システム (DNS) サーバーを介して解決されます。ただし、同じネットワークで両方のアプローチを実装すると問題が発生する可能性があるため、ゼロ構成ネットワーク (zeroconf) をサポートするコンピューター、プリンター、その他のデバイスがますます一般的になるにつれて、このような名前を「ユニキャスト」DNS サーバーを介して解決することは好まれなくなりました。
IETF は、.local 名前空間を購入不可とし、ローカル エリア ネットワークのみで使用することを指定しています。AD のドメイン名とパブリック インターネットのドメイン名の主な違いは、AD ドメイン名はパブリック インターネット経由でホスト名で必ずしもアクセス可能ではないということです。インターネットでアクセス可能なホスト名を使用することは可能ですが (計画しているように)、必須ではありません (場合によっては好ましくないこともあります)。
つまり、2 つの別々のドメイン名空間 (company1.com、company2.com) を持ち、それらを WAN リンク経由でリンクすることは可能です。
2 つのドメイン間の関係は、推移的信頼と呼ばれます。以下は TechNet からのもので、Server 2003 の機能に関する情報ですが、同じ原則が Server 2012 にも適用されます。
Microsoft より:
推移性は、信頼が形成された 2 つのドメインの外部に信頼を拡張できるかどうかを決定します。推移的な信頼は、他のドメインとの信頼関係を拡張するために使用できます。非推移的な信頼は、他のドメインとの信頼関係を拒否するために使用できます。
フォレストに新しいドメインを作成するたびに、新しいドメインとその親ドメインの間に双方向の推移的な信頼関係が自動的に作成されます。子ドメインが新しいドメインに追加されると、信頼パスはドメイン階層を上方向に流れ、新しいドメインとその親ドメインの間に作成された最初の信頼パスを拡張します。推移的な信頼関係は、ドメイン ツリーが形成されると上方向に流れ、ドメイン ツリー内のすべてのドメイン間に推移的な信頼を作成します。
認証要求はこれらの信頼パスに従うため、フォレスト内の任意のドメインのアカウントは、フォレスト内の他の任意のドメインによって認証されます。 適切なアクセス許可を持つアカウントは、1 回のログオン プロセスで、フォレスト内の任意のドメインのリソースにアクセスできます。 次の図は、ツリー 1 とツリー 2 のすべてのドメインがデフォルトで推移的な信頼関係を持っていることを示しています。 その結果、リソースに適切なアクセス許可が割り当てられている場合、ツリー 1 のユーザーはツリー 2 のドメインのリソースにアクセスでき、ツリー 1 のユーザーはツリー 2 のリソースにアクセスできます。
Windows Server 2003 フォレストで確立された既定の推移的信頼に加えて、新しい信頼ウィザードを使用して、次の推移的信頼を手動で作成できます。 ショートカット信頼。 大規模で複雑なドメイン ツリーまたはフォレスト内の信頼パスを短縮するために使用される、同じドメイン ツリーまたはフォレスト内のドメイン間の推移的信頼。
- 森林信託。1 つのフォレスト ルート ドメインと別のフォレスト ルート ドメイン間の推移的な信頼。
- レルム信頼Active Directory ドメインと Kerberos V5 レルム間の推移的な信頼。
非推移的な信頼は、信頼関係にある 2 つのドメインに限定され、フォレスト内の他のドメインには適用されません。非推移的な信頼は、双方向の信頼または一方向の信頼になります。非推移的な信頼は既定では一方向ですが、一方向の信頼を 2 つ作成して双方向の関係を作成することもできます。非推移的なドメイン信頼は、次の間で確立できる唯一の信頼関係の形式です: Windows Server 2003 ドメインと Windows NT ドメイン
あるフォレスト内の Windows Server 2003 ドメインと別のフォレスト内のドメイン (フォレストの信頼によって結合されていない場合)
新しい信頼ウィザードを使用すると、次の非推移的な信頼を手動で作成できます。
- 外部からの信頼Windows Server 2003 ドメインと、別のフォレストの Windows NT、Windows 2000、または Windows Server 2003 ドメインとの間に作成される非推移的な信頼。Windows NT ドメインを Windows Server 2003 ドメインにアップグレードすると、既存の Windows NT 信頼はすべてそのまま保持されます。Windows Server 2003 ドメインと Windows NT ドメイン間の信頼関係はすべて非推移的です。
- レルム信頼。Active Directory ドメインと Kerberos V5 レルム間の非推移的な信頼。
信頼の種類 すべての信頼はリソースへの認証されたアクセスを可能にしますが、信頼にはさまざまな特性があります。信頼関係に含まれるドメインの種類は、作成される信頼の種類に影響します。たとえば、異なるフォレストにある 2 つの子ドメイン間の信頼は常に外部信頼ですが、2 つの Windows Server 2003 フォレスト ルート ドメイン間の信頼は外部信頼またはフォレスト信頼のいずれかになります。
Active Directory インストール ウィザードを使用すると、2 種類の信頼が自動的に作成されます。他の 4 種類の信頼は、新しい信頼ウィザードまたは Netdom コマンドライン ツールを使用して手動で作成できます。
自動信託 既定では、Active Directory インストール ウィザードを使用してドメイン ツリーまたはフォレスト ルート ドメインに新しいドメインが追加されると、双方向の推移的な信頼が自動的に作成されます。 既定の信頼の 2 つの種類は、親子の信頼とツリー ルートの信頼です。
親子の信頼 ツリー内に新しいドメインが作成されるたびに、親子の信頼関係が確立されます。Active Directory のインストール プロセスにより、新しいドメインと、名前空間階層内でそのドメインの直前のドメインとの間に信頼関係が自動的に作成されます (たとえば、corp.tailspintoys.com は tailspintoys.com の子として作成されます)。親子の信頼関係には、次の特性があります。同じツリーと名前空間内の 2 つのドメイン間にのみ存在できます。
親ドメインは常に子ドメインによって信頼されます。
推移的かつ双方向である必要があります。推移的な信頼関係の双方向の性質により、Active Directory 内のグローバル ディレクトリ情報を階層全体に複製できます。
ツリールート信頼 ツリー ルート信頼は、フォレストに新しいドメイン ツリーを追加するときに確立されます。Active Directory のインストール プロセスにより、作成するドメイン (新しいツリー ルート) とフォレスト ルート ドメインの間に信頼関係が自動的に作成されます。ツリー ルート信頼関係には次の制限があります。同じフォレスト内の 2 つのツリーのルート間でのみ確立できます。
それは推移的かつ双方向でなければなりません。
手動信託 Windows Server 2003 には、手動で作成する必要がある信頼の種類が 4 つあります。ショートカット信頼は、同じフォレスト内のドメイン ツリー間の最適化に使用されます。外部、領域、およびフォレストの信頼は、フォレスト外のドメイン、他のフォレスト、または領域との相互運用性を提供するのに役立ちます。これらの信頼の種類は、新しい信頼ウィザードまたは Netdom コマンド ライン ツールを使用して作成する必要があります。
ショートカット信託 ショートカット信頼は、管理者が認証プロセスを最適化する必要がある場合に使用できる、一方向または双方向の推移的な信頼です。認証要求は、最初にドメイン ツリー間の信頼パスを通過する必要があります。信頼パスとは、任意の 2 つのドメイン間で認証要求を渡すために通過する必要がある一連のドメイン信頼関係です。複雑なフォレストでは、信頼パスを通過するのに必要な時間がパフォーマンスに影響を与える可能性があります。ショートカット信頼を使用すると、この時間を大幅に短縮できます。ショートカット信頼により、別のドメイン ツリーの階層の深いところにあるドメインのリソースへのログオンとアクセスの時間が短縮されます。次の図は、Windows Server 2003 フォレストの 2 つのツリー間の信頼関係を示しています。
- をちょきちょきと切る -
さらに詳しく知りたい場合は、TechNetの以下のリンクをご覧ください。