次の方法で共有

2つのネットワーク(AD)を相互接続した場合の認証について

Anonymous
2024-09-27T06:26:54+00:00

2つのネットワークを相互接続し、以下のような状態になった場合、認証が通るのかどうか、確認したく、ご存じの方、いらっしゃいましたら、アドバイス頂ければ幸いです。

異なるネットワークセグメントが存在し、それぞれに別のADが存在します。

192.168.1.0 Domain-A

192.168.2.0 Domain-B

IPネットワークとしは、相互に通信が可能。

Domain-AのDCには、192.168.1.0 のスコープを持つDHCPと、条件付きフォワーダーとしてDomain-BのDCを指定したDNSが存在する。

Domain-BのDCには、192.168.2.0 のスコープを持つDHCPと、条件付きフォワーダーとしてDomain-AのDCを指定したDNSが存在する。

この状態で、Domain-Aに参加しているPC-Aを、Domain-B側のネットワークに接続した場合、以下のように動作するという認識は正しいでしょうか?

PC-Aは、Domain-BのDHCPから192.168.2.x のアドレスをリースされる。

DHCPから渡されたDNSサーバーのアドレスはDomain-Bのものだが、フォワーダーが設定されているので、Domain-AのDCが見つけられるので、正しく認証を受けられる。

結果として、PC-Aは、192.168.2.0のネットワーク上で、正常に使用できる。

よろしくお願いいたします。

Windows Server ID およびアクセス管理 Active Directory

ロックされた質問。 この質問は、Microsoft サポート コミュニティから移行されました。 役に立つかどうかに投票することはできますが、コメントの追加、質問への返信やフォローはできません。 プライバシーを保護するために、移行された質問のユーザー プロファイルは匿名化されます。

0 件のコメント
承認済みの回答
  1. Anonymous
    2024-09-28T06:15:01+00:00

    チャブーンです。

    この件ですが、Domain-AとDomain-Bは信頼関係もないし、条件付きフォワーダーで相手先が指定されている以外、とくに関連性がない、ということでよろしいでしょうか?

    上記の前提ですと、おっしゃるとおり、相手側の領域にネットワーク接続したとしても、認証には問題はありません。相手側領域にいるクライアントは、

    • 自分が参加しているドメイン名のSRVレコードを通して、ドメインコントローラーの情報を得る
    • SRVで得た情報を前提に、対象ドメインコントローラーに直接認証を要求する

    という流れになるからです。相手先領域に条件付きフォワーダーがあれば、名前解決に障害はないので、問題は起こりません。名前解決の又聞きのためだけに、相手先領域のDNSサーバーは使用されます。

    ただし、相手側領域にいる場合、DHCPにより「DNSサフィックス名」をいっしょに配布しているケースがあると思います。ドメイン環境で「ホスト名だけで」サーバーを名前解決できるのは、DNSサフィックス名がバックグラウンドで補完されているためです。つまりユーザーは知らず知らずにFQDNで名前解決を行っているわけです。DHCPから異なるサフィックス名を配布されている場合、この補完が働かないため、FQDNでの名前解決をしないと、うまく名前解決ができないケースがあることは、ご理解ください。

    2 人がこの回答が役に立ったと思いました。
    0 件のコメント

3 件の追加の回答

並べ替え方法: 最も役に立つ
最も役に立つ 新しい順 古い順
  1. Anonymous
    2024-09-27T07:38:37+00:00

    この応答は自動的に翻訳されています。 その結果、文法上の誤りや奇妙な言い回しが生じる可能性があります。

    こんにちは、M.Uchiyamaさん、

    マイクロソフト コミュニティ フォーラムに投稿していただき、ありがとうございます。

    パスワードの有効期限を防ぐために、Active Directory 環境できめ細かなパスワード・ポリシーを作成することは、一般的な方法です。パスワードの有効期限が切れないようにするには、実際に「パスワード履歴を強制する」設定に対処する必要があります。

    通常、パスワードの有効期限が切れないようにするには、次の手順が必要です。

    1. 細かい設定が可能なパスワードポリシーを作成する: 新しい細かい設定が可能なパスワードポリシーを作成し、パスワードの有効期限が [なし] に設定されていることを確認します。
    2. パスワードの有効期限を設定する: [パスワード履歴を強制する] の設定をオフに設定します。
    3. ポリシーの更新を強制する: gpupdate /force コマンドを使用して、グループ ポリシーを強制的に更新します。

    場合によっては、パスワードの有効期限を直接 0 に設定できないなど、設定に制限がかかることがあります。このような場合は、次の手順を試すことができます。

    • パスワードの有効期限を強制しないように選択する: [パスワード履歴を強制する] 設定をオフにして、ユーザーが特定の期間内にパスワードの変更を強制されないようにします。
    • パスワードを無期限に設定する (省略可能): パスワードの有効期限が切れないようにする場合は、ドメイン コントローラーのユーザー アカウントに "パスワードを無期限にする" 属性を直接設定できます。Active Directory ユーザーとコンピュータ管理ツールを使用して、ユーザ オブジェクトを検索し、プロパティを編集します。[アカウント] タブで [パスワードを無期限にする] 属性を [はい] に設定します。

    よろしくお願いいたします

    ノイビ

    0 件のコメント
  2. Anonymous
    2024-09-27T08:29:17+00:00

    少なくとも Domain-A に 192.168.2.0 のサブネット オブジェクトの作成が必要だと思います。

    0 件のコメント
  3. Anonymous
    2024-09-30T01:46:17+00:00

    ありがとうございます。

    それぞれADドメインを持つ2つの会社を統合し、最初の段階では、IPアドレス体系を整備し、エンドツーエンドの通信が出来る状態まで持っていく予定です。

    この時点で、Domain-A、Domain-Bに参加しているPCを、相互に移動した場合、認証が得られるか・・・という懸念があって、質問させて頂きました。

    この形を経て、最終的には、1つのドメインに統合する予定です。

    ご教示ありがとうございました。

    0 件のコメント