この記事の内容

  • Active Directoryの信頼関係(Trust)の概念と、フォレスト間・ドメイン間の違いを解説します
  • 信頼関係を構成するための前提条件として、DNSの条件付きフォワーダー設定が必要である点を説明します
  • 信頼関係ウィザードの各オプション(双方向/一方向、外部/フォレスト、認証範囲)の意味を紹介します
  • FSMOロール(操作マスター)と信頼関係作成の関係性についても触れます
  • 信頼関係を結んだ後、共有フォルダへのアクセス権で動作を確認する手順を紹介します

環境の構成

今回の解説で使用する環境は、2つのフォレストと合計5つのドメインで構成されています。

フォレスト1

  • ad.local(フォレストルートドメイン)
  • sub.ad.local(サブドメイン)
  • ebis.com

フォレスト2

  • another.local(フォレストルートドメイン)
  • sub2.another.local(サブドメイン)

同じフォレスト内のドメイン同士は、最初から相互に信頼関係が結ばれています。つまり、フォレスト1内のどのドメインのユーザーも、フォレスト1内の別ドメインのリソースにアクセスできます。今回は、この信頼関係を別フォレストにまで拡張していきます。

前提条件:DNSの設定

信頼関係を結ぶ前に、DNSで相互に名前解決できる状態にしておく必要があります。今回は条件付きフォワーダー(Conditional Forwarder)を使って設定しています。

フォレスト1側のDCでは、another.local に対して 10.1.10.x を指すよう条件付きフォワーダーを設定します。フォレスト2側のDCでは、ad.localebis.com に対してそれぞれのIPアドレスを指定します。

#a#aendbo.itlsho.eccrao1.2lmloca11l00..11..1110...141.10.x2DCIP

サブドメイン(sub2.another.local など)については、フォレスト内で自動的に名前解決が委譲されるため、個別の設定は不要です。

正しく設定されているかどうかは、nslookup コマンドで双方向から確認します。

信頼関係のUIを確認する

信頼関係の設定は、「Active Directory ドメインと信頼関係」ツールから行います。

対象ドメインを右クリックして「プロパティ」を開くと、「信頼」タブがあります。ここには次の2種類が表示されます。

  • 出力方向の信頼:このドメインに信頼されるドメイン
  • 入力方向の信頼:このドメインを信頼するドメイン

一見わかりにくい表現ですが、出力・入力の両方向が揃って初めて「双方向の信頼」が成立します。片方向だけの信頼(一方はアクセスできるが、逆方向はできない)という構成も可能です。

FSMOロールと信頼関係の作成

信頼関係の作成には注意点があります。「新しい信頼」ボタンが押せない(グレーアウトしている)場合、接続先のドメインコントローラーがFSMOの ドメイン名前付けマスター ロールを持っていないことが原因の可能性があります。

#GGeeFttS--MAAODDDFoomraeisntSSPeeollweeeccrttS--hOOebbljjleeccttIDnofmraaisntNraumcitnugrMeaMsatsetre,r,ScRhIeDmMaaMsatsetre,rPDCEmulator

信頼関係の作成はフォレストルートドメインのドメインコントローラーに接続して行う必要があります。適切なDCに接続し直すと「新しい信頼」ボタンが有効になります。

信頼関係ウィザードの各オプション

「新しい信頼ウィザード」では、いくつかのオプションを選択します。

信頼の種類

種類説明
フォレストの信頼フォレスト全体と信頼関係を結ぶ。配下のすべてのドメインが対象になる
外部の信頼特定の1ドメインだけと信頼関係を結ぶ
Kerberosバージョン5 領域信頼Windowsドメイン以外(Linuxなど)との信頼に使用

信頼の方向

  • 双方向:お互いに信頼し合う
  • 一方向(このドメインのみ):片方だけが相手を信頼する

信頼を作成する対象

  • このドメインのみ:片方のフォレストでのみ設定する。相手側では別途同じ操作が必要
  • 両方のドメイン:相手フォレストの管理者資格情報を入力することで、一度の操作で両側の設定を完了できる

認証の範囲

設定説明
フォレスト全体の認証相手フォレストのユーザーが、ローカルフォレストのすべてのリソースに自動的にアクセスできる
選択的な認証リソースごとに個別にアクセス権を付与する必要がある。別組織との信頼に推奨

今回はフォレスト全体の認証を選択し、双方向・両ドメイン同時設定で進めます。

信頼関係の動作確認

信頼関係が正しく設定されているかを確認するために、共有フォルダを使って実際のアクセスをテストします。

確認手順

  1. フォレスト1のDCに共有フォルダを作成する
  2. 共有のアクセス権をEveryoneのフルコントロールに設定する
  3. セキュリティ(NTFSアクセス権)の継承を無効化し、明示的なアクセス権のみにする
  4. 最初はフォレスト1のAdministratorsのみにアクセス権を設定し、フォレスト2からアクセスできないことを確認する
  5. セキュリティタブで「追加」→「場所」から another.local を選択し、別フォレストのユーザーを追加する
  6. 「場所」の選択画面でフォレスト2の another.localsub2.another.local が表示されることを確認する
  7. アクセス権を付与した後、フォレスト2のDCからアクセスできることを確認する

ポイント

「場所」の選択画面に別フォレストのドメインが表示されること自体が、信頼関係が正しく機能している証拠です。フォレストの信頼関係では、フォレストルートを信頼することで、配下のサブドメインまで推移的に信頼が伝わります。

##\dc01\2shDaCre1DC

まとめ

今回はActive Directoryの信頼関係について、実際の画面を見ながら解説しました。

  • 同じフォレスト内のドメインはデフォルトで相互に信頼関係が成立しており、別フォレストとの信頼関係は明示的に設定する必要があります
  • 信頼関係を設定する前に、DNS条件付きフォワーダーで相互に名前解決できる環境を整えることが必須です
  • 信頼関係の作成はフォレストルートドメインのドメインコントローラーに接続して行う必要があります(FSMOのドメイン名前付けマスターが関係します)
  • フォレストの信頼を結ぶと、相手フォレスト配下のすべてのドメインまで推移的に信頼関係が及びます
  • 信頼関係を結んだだけではリソースへのアクセスはできず、共有フォルダやファイルのアクセス権(NTFSアクセス権)で明示的に相手フォレストのユーザー・グループを許可する必要があります

次回のシリーズでは、ディレクトリサービス復元モード(DSRM)を使ったActive Directoryの災害対策について解説予定です。