今回は、Active Directory環境における異なるドメイン間で信頼関係を設定する方法を検証し、手順にしていきたいと思います。
期待する目標
本手順で期待する目標は以下の通りです。
- 条件付きフォワーダーの設定ができる
- 異なるドメイン間で信頼関係の設定ができる
Active Directory信頼関係の概要
通常、Active Directoryで管理しているリソースはフォレスト内でのみ利用が可能。
しかし、条件付きフォワーダーと信頼関係を設定すると、ドメイン(フォレスト)が異なっていても相互に利用が可能になる。
そのため、会社の吸収や統合で複数のドメインが存在する場合には、相互に信頼関係を設定することで、A社のリソースをB社が使用し、B社のリソースをA社が使用することができるようになる。
そのため、A社のAドメインに所属するサーバにB社のBドメインのユーザがアクセスすることが可能になる。
前提条件
本手順で使用する環境は以下の通りです。
今回はAドメインとBドメインの双方向で信頼関係を設定します。
Aドメイン
- OS : Windows Server 2022
- CPU : 2vCPU
- MEM : 4GB
- DISK : 60GB
- IP : 192.168.100.112
- Domain : a.local
Bドメイン
- OS : Windows Server 2022
- CPU : 2vCPU
- MEM : 4GB
- DISK : 60GB
- IP : 192.168.100.113
- Domain : b.local
a.local 条件付きフォワーダー設定
Active Directoryの信頼関係を設定する前提として、それぞれのDNSサーバに条件付きフォワーダーを設定します。
a.localドメインのActive Directoryサーバにログインし、[DNSマネージャー]を起動します。
[DNSマネージャー]より、[条件付きフォワーダ]を右クリックし、[新規条件付きフォワーダー]を押下します。
[新規条件付きフォワーダー]より、以下の設定を行います。
- DNSドメイン : 条件付きフォワーダーを設定するドメインを設定
- マスターサーバのIPアドレス : 対抗のDNSサーバのIPアドレスを設定
- このActive Directoryに条件付きフォワーダーを保存し、次の方法でレプリケートする : ■(このドメインのすべてのDNSサーバ)
- クエリ転送のタイムアウト : 5
設定が完了したら、[OK]を押下します。
この設定を入れることによって、特定のドメインのみ別のDNSサーバにフォワードすることができるようになります。
例えば、a.local内でxxx.b.localという名前解決が発生した場合、条件付きフォワーダーを設定しないと通常のフォワード先にリクエストがフォワードされますが、a.localのDNSサーバに条件付きフォワーダーを設定することで、b.localのDNSサーバにフォワードされ、b.localのDNSサーバで名前解決が実施されます。
条件付きフォワーダーの設定が完了すると、[DNSマネージャー]-[条件付きフォワーダー]に設定した[b.local]が作成されます。
a.local信頼関係設定
[a.local]に[b.local]の条件付きフォワーダー設定が完了したら、[a.local]→[b.local]に信頼関係を設定していきます。
[a.local]のADサーバより、[Active Directoryドメインと信頼関係]を起動します。
[Active Direcyoryドメインと信頼関係]より、[a.local]を右クリックし、[プロパティ]を押下します。
[a.local]のプロパティより、[信頼]タブを選択し、[新しい信頼関係]を押下します。
[新しい信頼ウィザードの開始]より、[次へ]を押下します。
[信頼の名前]より、信頼先のDNS名またはNetBIOS名を入力します。
今回の場合だと、[b.local]に対し信頼関係を設定するので、名前に[b.local]を入力します。
設定が完了したら[次へ]を押下します。
[信頼の種類]より、[フォレストの信頼]を選択し、[次へ]を押下します。
[信頼の方向]より、[双方向]を選択し、[次へ]を押下します。
[信頼を作成する対象]より、[このドメインのみ]を選択し、[次へ]を押下します。
[出力方向の信頼認証レベル]より、[フォレスト全体の認証]を選択し、[次へ]を押下します。
[信頼パスワード]より、信頼パスワードを設定します。
信頼パスワードは、信頼関係を設定するための共通パスワード的なもので、対向のActive Directoryでも入力が必要になります。
信頼パスワードの設定が完了したら、[次へ]を押下します。
[信頼の選択の完了]より、信頼の設定内容を確認し、[次へ]を押下します。
[信頼の作成完了]より、指定されたドメインを確認し、[次へ]を押下します。
[出力方向の信頼の確認]より、[確認しない]を選択し、[次へ]を押下します。
信頼関係の確認については、もう一方のドメインの信頼関係設定を行った後に実施します。
[入力方向の信頼の確認]より、[確認しない]を押下し、[次へ]を押下します。
信頼関係の確認については、もう一方のドメインの信頼関係設定を行った後に実施します。
[新しい信頼ウィザードの完了]より、信頼関係が作成されたことを確認し、[完了]を押下します。
a.localドメインのプロパティより、対向のドメインの信頼関係が設定されていることを確認します。
以上で、a.localの信頼関係設定は完了です。
b.local条件付きフォワーダー設定
a.localからb.localに信頼関係設定が完了したら、逆のパータンを設定していきます。
b.localのActive Directoryサーバより、[DNSマネージャー]を起動します。
[DNSマネージャー]より、[条件付きフォワーダー]を右クリックし、[新規条件付きフォワーダー]を押下します。
[新規条件付きフォワーダー]より、以下の設定を行います。
- DNSドメイン : 条件付きフォワーダーを設定するドメインを設定
- マスターサーバのIPアドレス : 対向のDNSサーバのIPアドレスを設定
- このActive Directoryに条件付きフォワーダーを保存し、次の方法でレプリケートする : ■(このドメインのすべてのDNSサーバ)
- クエリ転送のタイムアウト : 5
設定が完了したら、[OK]を押下します。
[DNSマネージャー]より、[a.local]への条件付きフォワーダーが設定されていることを確認します。
以上で、b.local条件付きフォワーダー設定は完了です。
b.local信頼関係設定
a.localに対し、条件付きフォワーダー設定が完了したら、a.localに対し信頼関係設定を行っていきます。
[Active Directory ドメインと信頼関係]より、ドメインを右クリックし、[プロパティ]を押下します。
ドメインのプロパティより、[信頼]タブを選択し、[新しい信頼]を押下します。
[新しい信頼ウィザードの開始]より、[次へ]を押下します。
[信頼の名前]より、信頼先のDNS名またはNetBIOS名を入力します。
今回の場合だと、[a.local]に対し信頼関係を設定するので、名前に[a.local]を入力します。
設定が完了したら[次へ]を押下します。
[信頼の種類]より、[フォレストの信頼]を選択し、[次へ]を押下します。
[信頼の方向]より、[双方向]を選択し、[次へ]を押下します。
[信頼を作成する対象]より、[このドメインのみ]を選択し、[次へ]を押下します。
[出力方向の信頼認証レベル]より、[フォレスト全体の認証]を選択し、[次へ]を押下します。
[信頼パスワード]より、[a.local]で設定した信頼パスワードを入力し、[次へ]を押下します。
[信頼の選択の完了]より設定する項目を確認し、[次へ]を押下します。
[信頼の作成完了]より、[a.local]への信頼関係が作成されたことを確認し、[次へ]を押下します。
[出力方向の信頼の確認]より、[確認する]を選択し、[次へ]を押下します。
[a.local]ドメインの際は、信頼の相手側が作成されていなかったため、信頼の確認を行っていませんでしたが、[b.local]の場合は、対向の[a.local]の信頼関係を設定しているため、チェックを行います。
[入力方向の信頼の確認]より、[確認する]にチェックを入れ、信頼先のユーザ名とパスワードを入力します。
設定が完了したら、[次へ]を押下します。
[新しい信頼ウィザードの完了]より、変更の状態を確認し、[完了]を押下します。
b.localドメインのプロパティより、対向のドメインの信頼関係が設定されていることを確認します。
以上で、b.localの信頼関係設定は完了です。
信頼関係の確認
[a.local]と[b.local]のドメインで信頼関係の設定ができました。
信頼関係の設定ができていると、a.localのドメインに参加しているPCからb.localのホスト名が検索できるはずなので、nslookup等で名前解決ができることを確認します。
また、a.localのドメインユーザでb.localドメインに参加しているコンピュータにログインすることができるので、実際にログインし確認します。
まとめ
今回は、異なるドメインで条件付きフォワーダー設定を行い、Active Directoryの信頼関係を設定しました。
信頼関係の設定自体は、比較的簡単に設定ができますが、本当に信頼関係の設定ができているかは、GUIからだと確認する方法がないので、実際に信頼関係を結んでいるドメインユーザでログインしてみたり、ファイル共有のアクセス権を設定してみるなどの確認が必要になってくると思いました。
おまけ
本ブログではVMwareやWindows、Linuxのインストール手順等も公開しております。
インフラエンジニアとして有益な記事や無益なコンテンツも作成しておりますので、通勤時間や休憩時間、休日のスキマ時間等に合わせて読んでいただけると幸いです。
また、Youtubeで解説動画も鋭意作成中です。本ブログで記事にしているものも動画にしようと思っておりますので、よろしくお願いいたします。
willserverのnoteも開設したのでフォローお願いします。
コメント