Windows 2000 フォレスト間のリソース共有

  • [アーティクル]

Active Directory™ は Windows 2000 に付属するディレクトリ サービスです。Active Directory の単一の実装を Windows 2000 フォレストと言います。組織内の個別の部門間でポリシーに大きな差異がある場合、単一の組織で複数のフォレストを実装できます。このシナリオでは、ユーザーのセキュリティ アカウントが異なる Active Directory フォレストに位置する場合に、ユーザーにリソースの使用を許容する方法を紹介します。

トピック

目的
設計のロジック
DNS に関する注意事項
ビジネス面の考慮事項
信頼に関する注意事項
グループ メンバシップ
管理面の責任
その他の利点
機能するしくみ
Reskit.com コンピュータ
Acquired01-int.com コンピュータ
セキュリティで保護されたチャネルの作成
リソース ディレクトリの共有
信頼する側のサーバーへの接続の要求
リソースへのユーザー アクセスのチェック
実装した方法
セットアップ手順
その他の参考資料

目的

このシナリオの目的は以下のとおりです。

  • 別のフォレスト内のドメインのユーザーおよびサービスに対して認証および承認を提供します。

  • 別のフォレスト内のドメインの適切なユーザーに対してフォレスト内のドメインのリソースの利用を許容することによって、ビジネス ニーズに対応します。

  • 2 つのフォレスト内で、リソースの複製/同期処理の必要性をなくします。

  • ほかのフォレストのオフィスに外出中のモバイル ユーザーにホーム ドメインにログオンすることを許容します。

次の「設計のロジック」では、上記の目的をどのようにして達成したか説明します。

設計のロジック

このシナリオの目的を達成するために、Reskit では明示的な信頼関係を利用します。Reskit は、親会社およびアジアの買収子会社の管理面およびビジネス面のニーズに対応するために 2 つの Active Directory フォレストを実装している多国籍企業です。この 2 つの部門はほとんど独立していますが、いくつかの部署で管理面の協力が必要です。このシナリオでは、協力の 1 形態であるリソース共有について、2 つの部門のマーケティング部担当者の場合を例として取り上げます。

このシナリオでは、Reskit の 2 つのフォレストを 2 つの Windows 2000 ドメイン コントローラ HKG-AC-DC-01.acquired01-int.com および SEA-NA-DC-01.noam.reskit.com で表します。HKG-AC-DC-01.acquired01-int.com は、Hong Kong SAR サイトに位置し、SEA-NA-DC-01.noam.reskit.com は Seattle サイトに位置します。これらのサイトにはその他にもドメイン コントローラがありますが、このシナリオでは、それぞれのサイトの 1 つのドメインの 1 台のドメイン コントローラに注目します。図 1 は、各フォレストの 2 つのドメインと、このシナリオで使用するコンピュータ デバイスとネットワーク デバイスを示しています。

trust01-01
図 1: サイトおよびフォレストの異なる 2 つのドメイン

この 2 つのドメインは異なるフォレストにあるので、信頼関係が自動的に構築されることはありません。また、2 つのドメインの存在する物理的なサイトが異なるので、ワイド エリア ネットワーク (WAN) 接続によってルーターを経由して通信を行う必要があります。Hong Kong SAR サイトでは、コンピュータが Seattle 内の Ethernet ネットワークと通信できるように、ATM (Asynchronous Transfer Mode) ネットワークを使用しています。ATM ネットワークは、LANE (Local Area Network Emulation) の使用によって、Ethernet ネットワークと統合されます。この 2 つのサイトを接続するために、フレーム リレーおよび T-1 回線を使用します。

DNS に関する注意事項

Reskit フォレストおよび Acquired フォレストのドメイン コントローラから相互に接続できるようにするには、ドメイン ネーム システム (DNS) をセットアップして、各フォレストのサーバーで相手フォレストの信頼される側のドメイン内のサーバー名を解決することができなければなりません。Acquired 部門および Reskit 部門はともに、内部でプライベートな名前空間を持ちますが、一方の名前空間のコンピュータで他方の名前空間の名前を解決できるように DNS を構成する必要があります。この構成について詳しくは、『Microsoft Windows 2000 Server リソース キット 6 TCP/IP ガイド』の「第 6 章 Windows 2000 DNS (概要紹介) 」 (英語) を参照してください。

ビジネス面の考慮事項

このシナリオでは、Seattle の noam.reskit.com マーケティング担当者と、Hong Kong SAR の acquired01-int.com マーケティング担当者が、リソースの複製バージンを同期させなくても、双方のドメインから文書ファイルを表示できることが必要です。Reskit ではこのようなファイルを使用してさまざまな製品ラインのマーケティング戦略について議論するので、Web サーバーにファイルの情報を発行したり、電子メールの添付ファイルとして送信するのを避けることに決定しました。

管理者は、これらのドメイン間でリソースを共有するために、noam.reskit.com ドメインおよび acquired01-int.com ドメイン間で外部信頼関係を構築する必要があります。外部信頼関係は、一方向のみの関係です。したがって Reskit 管理者は、ドメイン間で双方向の信頼関係を確立するために、一方向の信頼関係を 2 つ作成します。

信頼に関する注意事項

acquired01-int.com のユーザーに noam.reskit.com のリソースの使用を許容するには、2 人の管理者 (各ドメインの管理者) が協力して、以下の手順で noam.reskit.com (信頼する側のドメイン) から acquired01-int.com (信頼される側のドメイン) への一方向の外部信頼関係を作成します。

  • acquired01-int.com で、acquired01-int.com を信頼するドメインとして noam.reskit.com を追加します。

  • noam.reskit.com で、noam.reskit.com によって信頼されるドメインとして acquired01-int.com を追加します。

noam.reskit.com のユーザーに acquired01-int.com のリソースの使用を許容するには、2 人の管理者 (各ドメインの管理者) が協力して、以下の手順で acquired01-int.com (信頼する側のドメイン) から noam.reskit.com (信頼される側のドメイン) への一方向の外部信頼関係を作成します。

  • noam.reskit.com で、noam.reskit.com を信頼するドメインとして acquired01-int.com を追加します。

  • acquired01-int.com で、acquired01-int.com に信頼されるドメインとして noam.reskit.com を追加します。

    注意
    外部信頼関係は推移性ではありません。noam.reskit.com と acquired01-int.com の信頼関係は、いずれのフォレストにおいてもほかのドメインに波及することはありません。

グループ メンバシップ

この 2 つの一方向の信頼関係によって noam.reskit.com の管理者は、noam.reskit.com 内のリソースのアクセス許可リストに acquired01-int.com のユーザーとグループを追加できます。このシナリオでは Reskit のマーケティング部門の管理者がファイル サーバー上のマーケティング リソースを共有し、noam.reskit.com および acquired01-int.com の両方のユーザーにマーケティング リソースに対する適切なアクセス許可を与えます。

マーケティング部門の管理者は、以下の 4 つのグループを使用してマーケティング リソースへのアクセスを制御します。

  • Noam Mktg Admins には、ファイル サーバーのマーケティング用のファイルおよびフォルダの追加および削除、内容の変更を行うことのできる管理ユーザーが含まれます。

  • Noam Mktg には、noam.reskit.com 内のマーケティング リソースの読み取りを許容される noam.reskit.com のユーザーが含まれます。

  • Acquired Mktg には、acquired01-int.com 内のマーケティング リソースの読み取りを許容される acquired01-int.com のユーザーが含まれます。

  • Enterprise Mktg は、Noam Mktg グループおよび Acquired Mktg グループの両方を含むマーケティング グループです。

管理面の責任

Reskit では、Noam Server Admins グループのメンバである IT 管理者が noam.reskit.com ドメインのファイル サーバーの集中管理の責任を負っています。この管理者は、リソース管理者の要望に応じて共有フォルダ (ファイル共有とも呼ばれます) を作成し、共有フォルダに対する共有アクセス許可および NTFS アクセス許可を設定します。noam.reskit.com では、マーケティング管理者がファイル サーバー管理者に以下のアクセス許可を有する Marketing 共有フォルダを作成するように依頼しました。

1 Marketing フォルダのアクセス許可

グループ

共有アクセス許可

NTFS アクセス許可

Everyone

なし (削除する)

なし (削除する)

Administrators

フルコントロール

フルコントロール

Noam Mktg Admins

フルコントロール

フルコントロール

Enterprise Mktg

読み取り

読み取りと実行

IT 管理者によって共有フォルダが作成された後、Noam Mktg Admins のメンバはフォルダ内容を管理し、必要に応じてリソースを含めるためのサブフォルダを作成できます。

その他の利点

外部信頼関係はまた、信頼される側のドメインのユーザーが、信頼する側のドメインのコンピュータにログオンすることを可能にします。したがって、あるドメインのユーザーが別のドメインの場所に外出しているときに、外出先のホスト ドメインが信頼する側であれば、そのドメインのコンピュータからホーム ドメインにログオンできます。このような機能は、打ち合わせや会議のために Seattle によく出張する Hong Kong SAR のマーケティング担当者にとって役立ちますし、その逆のケースでも同様です。このような信頼関係があると、信頼する側のドメインにあるコンピュータのログオン画面で [ログオン先] ボックスに信頼される側のドメインの名前が表示されます。両ドメインはともに信頼する側で、かつ信頼される側であるため、両方のドメインのユーザーが相手先ドメインを訪れているときに、ホーム ドメインにログオンできます。

次の「機能しくみ」では、外部信頼関係が作成されていて、ユーザーがほかのフォレスト内の信頼する側のドメインの共有のリソースに接続する場合に発生するネットワーク デバイス上の処理について説明します。「実装した方法」では、リソースキット導入実験において、信頼関係を作成し、リソースを共有するために実行した手順について説明します。

機能するしくみ

ここでは、Windows 2000 セキュリティと一方向の外部信頼関係が連携して機能することで、acquired01-int.com フォレストのユーザーが reskit.com フォレストのリソースにアクセスすることを可能にしているしくみについて説明します。

メモ このシナリオでは、一方向の信頼関係を 2 つ作成します。ここでは、1 つの一方向の信頼関係によって、信頼される側のドメインのユーザーからのリソース アクセスが可能になるしくみを示します。

図 2 は、異なるフォレストに位置する 2 つのサイトおよび 2 つのドメイン内のコンピュータ デバイスとネットワーク デバイスを示しています。

trust01-01
図 2: acquired01-int.com および noam.reskit.com のネットワークデバイス

Reskit.com コンピュータ

Seattle サイトでは、SEA-NA-DC-01 は noam.reskit.com ドメインのドメイン コントローラです。SEA-NA-CLNT-01 は、Microsoft Windows 2000 Professional と、 Microsoft Windows 2000 Server の管理ツールを実行するワークステーシンです。このコンピュータは、Reskit ドメインの管理者およびマーケティング責任者が Active Directory アカウントを管理するために使用する管理クライアントです。

注意 最善の慣行に従えば、ドメインコントローラではないワークステーシンコンピュータまたはサーバーコンピュータから Active Directory を管理する必要があります。ドメインコントローラは通常、IT 管理者のみが直接管理するセキュリティで保護されたコンピュータです。この導入実験では、各ドメインの管理用ワークステーシンコンピュータに管理ツールをインストールしました。任意の Windows 2000 ベースのコンピュータに管理ツールをインストールする方法の詳細については、Windows 2000 Server ヘルプ の「ユーザーとコンピュータ」の「サーバーをリモートで管理する」を参照してください。

Acquired01-int.com コンピュータ

Hong Kong SAR サイトでは、HKG-AC-DC-01 が Acquired01-int.com ドメインのドメイン コントローラです。HKG-AC-CLNT-01 は、Windows 2000 Professional および管理ツールを実行する管理クライアントです。HKG-AC-CLNT-02 は、acquired01-int.com 内のユーザーが noam.reskit.com 内のファイル サーバー上の共有リソースに接続するクライアント ワークステーシンです。

セキュリティで保護されたチャネルの作成

noam.reskit.com ドメインと acquired01-int.com ドメイン間の信頼関係によって、一方のドメインのコンピュータ上の Net Logon サービスと、他方のコンピュータ上の Net Logon サービスとの通信を経由するセキュリティで保護されたチャネルが有効になります。セキュリティで保護されたチャネルによって、以下の機能が実現します。

  • noam.reskit.com ドメインのユーザーは、acquired01-int.com のセキュリティ プリンシパルのリストを表示し、それを noam.reskit.com 内のグループおよびリソースのアクセス制御リストに追加できます。

  • acquired01-int.com ドメインにログオンするユーザーは、noam.reskit.com 内のリソース サーバーに接続するための認証を受けることができます。

  • acquired01-int.com ドメインのアカウントを使用したユーザーが noam.reskit.com ドメインのコンピュータから acquired01-int.com にログオンできます。

リソース ディレクトリの共有

SEA-NA-FP-03 の IT 管理者は、ファイル リソースへのアクセスをリモート コンピュータに許容するために、共有ディレクトリ (フォルダ) と 、共有名を指定します (共有ディレクトリは "共有" または "共有フォルダ" とも呼ばれます) 。システムでは、サーバーの内部共有テーブルに新しいエントリが作成されます。このエントリには、共有名、共有ディレクトリへのパス、共有のアクセス制御リストが含まれます。この共有テーブルに存在するディレクトリは、ネットワーク クライアント接続で利用可能です。非共有ディレクトリは、ネットワーク クライアントから利用できません。

共有のアクセス許可によって、共有への接続が制御されます。認証済みユーザーのアクセス トークンによって、共有アクセス許可リストに存在するグループのメンバシップが含まれている場合、そのユーザーは接続を認められます。共有への接続時には、共有アクセス許可のみが評価されます。以降の共有またはその内容に対する処理では、共有に対するアクセス許可に加えて、共有ディレクトリ自身およびそのディレクトリの内容の NTFS アクセス許可の組み合わせによって承認されます。

信頼する側のサーバーへの接続の要求

HKG-AC-CLNT-02 にログオンするユーザーは、[スタート] メニューの [ファイル名を指定して実行] ダイアログ ボックスで \\SEA-NA-FP-03\Marketing と入力することによって、SEA-NA-FP-03 上の Marketing 共有フォルダへの接続を試みます。

注意
ネットワーク共有は、[マイ ネットワーク] に配置できます。しかし導入実験ネットワークでは、クラス B アドレスおよび 255.255.252.0/22 サブネット マスクを使用しています。このサブネット スキーマの場合、Windows インターネット ネーム サービス (WINS) サーバーの場所によっては、すべてのドメインのアイコンが [マイネットワーク] に表示されない場合があります。詳細については、『Microsoft Windows 2000 Server リソース キット 6 TCP/IPガイド』の「付録 I Windows 2000 ブラウザサービス」を参照してください。

このユーザー操作によって、アプリケーシン プロセスが開始します。このプロセスは、ユーザーのセキュリティ コンテキストで動作するスレッドの集合です。あるフォレストでユーザーの実行するアプリケーシンと、ほかのフォレストのアプリケーシン サーバーとの間の認証処理は、ユーザーを認証するためにチャレンジ/レスポンス認証メカニズムを使用するNTLM 認証プロトコルによって行われます。

注意
Windows 2000 フォレスト内の認証処理は、Kerberos V5 認証プロトコルによって行われます。異なる Windows 2000 フォレストのドメイン間の認証処理、および Windows 2000 フォレストのドメインと Microsoft Windows NT ドメイン間の認証処理では、NTLM 認証プロトコルが使用されます。

  1. 図 3 では、HKG-AC-CLNT-02 からセキュリティで保護されたファイル サーバーへの接続を試みると、ワークステーシンとサーバーがそれぞれ異なる Windows 2000 フォレストにあるので、NTLM 認証がネゴシエートされます。

    trust01-05
    図 3: 信頼する側のドメインのサーバーにログオンするクライアントの要求

  2. NTLM 認証では、ワークステーシンとサーバー間でチャレンジ/レスポンス メカニズムが使用されます。ログオン要求は、NTLM パススルー認証によってユーザー アカウントのドメインに転送されます (図 4 を参照) 。まず SEA-NA-FP-03 は、ログオン要求を SEA-NA-DC-01 ドメインのドメイン コントローラに渡します。そして SEA-NA-DC-01 は、ログオン要求をユーザーのドメイン (HKG-AC-DC-01) のドメイン コントローラに渡します。パススルー トラフィックは、メンバ サーバーとドメイン コントローラ間、および信頼する側のドメイン コントローラ間で、セキュリティで保護されたチャネルを経由します。

    trust01-06
    図 4: 信頼される側のユーザーの NTLM パススルー認証

  3. 図 5 では、HKG-AC-DC-01 がパスワードを確認し、ユーザーの承認データ (ユーザーのセキュリティ識別子 (SID)と、そのユーザーの所属するすべてのグループの SID ) を SEA-NA-DC-01 に送信し、さら SEA-NA-DC-01 がそのデータを SEA-NA-FP-03 に送信します。

    trust01-07
    図 5: 要求先のサーバーに返される承認データ

  4. 図 6 で SEA-NA-FP-03 上の Net Logon サービスは、承認データをローカル セキュリティ機関 (LSA) に渡します。そして LSA が、ユーザーのアクセス トークンを作成します。アクセス トークンによって、ユーザーに共有フォルダへのアクセスが認められます。

    trust01-08
    図 6: 要求先のサーバー上でのアクセストークンの作成

リソースへのユーザー アクセスのチェック

アクセス トークンの内容は、共有フォルダ オブジェクトのアクセス制御リストの SID リストと比較されます。

注意
サーバー メッセージ ブロック (SMB) サーバーが共有アクセス許可に対するアクセス チェックを実行し、NTFS がファイル システム アクセス制御リストに対するアクセス チェックを実行します。

アクセス制御リストには、共有フォルダへの読み取りアクセス許可を持つ Enterprise Mktg グループが含まれます。ユーザーは Acquired Mktg のメンバであり、Acquired Mktg は Enterprise Mktg のメンバであるため、ユーザーのアクセス トークンには Enterprise Mktg SID が含まれます。したがって、アプリケーシンで Marketing 共有フォルダを開くことができ、ユーザーがその内容を表示することが可能です。図 7 では、Enterprise Mktg の SID がユーザー アクセス トークンおよびリソース アクセス制御リストの両方に表示されます。

trust01-09
図 7: アクセス トークンとアクセス制御リストの比較

ユーザーが MktStrategies サブフォルダをダブルクリックすると、そのユーザーがサブフォルダを開くことが許可されているかどうか特定するためのアクセス チェックが行われます。Marketing フォルダに適用した同じアクセス許可が MktStrategies サブフォルダに継承されます。したがってユーザーは、MktStrategies サブフォルダを開いて、その内容を読み取ることを許可されます。

実装した方法

管理者は、ここに記載したセットアップ手順で必要になる構成を実行するための適切な権限を持たなければなりません。既定の設定で Domain Admins グループのメンバは、外部信頼関係を作成するための適切な権限を持ちます。コンピュータのローカル Administrator アカウントには、ローカル コンピュータ上のフォルダを共有する権限があります。そのコンピュータがドメインに参加していれば、ドメインの Administrator アカウント、Domain Admins グループのメンバ、および Server Operators グループのメンバも同様の権限を持ちます。ここでのセットアップ手順やその他のセットアップ手順で使用したアカウントについて説明しておきます。

注意
このシナリオにおいてコンピュータおよびデバイスを構成するために使用した手続きはサンプルとして示したものです。実際の各ネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、そのシナリオの機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になるその他の手順については取り上げていません。

このセットアップ手順では、以下の構成を仮定しています。

  • ドメイン acquired01-int.com がフォレスト ルート ドメインとしてインストールされていて、ネイティブ モードで動作しています。

  • ドメイン reskit.com がフォレスト ルート ドメインとしてインストールされていて、ネイティブ モードで動作しています。

  • ドメイン noam.reskit.com が reskit.com の子ドメインとしてインストールされていて、ネイティブ モードで動作しています。

  • クライアント SEA-NA-CLNT-01 が noam.reskit.com ドメインに参加しています。クライアント HKG-AC-CLNT-01 および HKG-AC-CLNT-02 が acquired01-int.com ドメインに参加しています。

  • ルーティングは、コンピュータの通信時に必要に応じてセットアップされます。また、コンピュータには、以下の IP アドレスが割り当てられます (ドメイン コントローラの IP アドレスは割り当て済みであり、ほかのコンピュータはすべて DHCP によって割り当てられます) 。

    SEA-RK-DC-01.reskit.com                                172.16.4.11
SEA-NA-DC-01.noam.reskit.com                           172.16.8.11
SEA-NA-CLNT-01.noam.reskit.com 管理クライアント         172.16.8.0/22
SEA-NA-FP-03.noam.reskit.com ファイル サーバー          172.16.8.0/22
HKG-AC-DC-01.acquired01-int.com                        172.16.88.11
HKG-AC-CLNT-01.acquired01-int.com ユーザー クライアント 172.16.88.0/22
HGK-AC-CLNT-02.acquired01-int.com 管理クライアント      172.16.88.0/22

    注意
    これらの IP アドレスは、プライベート ネットワーク用に予約された IP アドレス範囲内のアドレスです。テスト環境内やファイアウォールの背後ではこれらの IP アドレスを使用することはできますが、インターネット上では使用できません。詳細については、RFC 1918 を参照してください。

  • SEA-RK-DC-01.reskit.com 上で TCP/IP を設定し、優先 DNS サーバーとして自身のサーバー、代替 DNS サーバーとして SEA-NA-DC-01.noam.reskit.com を使用します。SEA-NA-DC-01.noam.reskit.com では、優先サーバーとして SEA-RK-DC-01.reskit.com、代替サーバーとして自身を使用します。HKG-AC-DC-01.acquired01-int.com では、優先 DNS サーバーとしてそれ自身、代替 DNS サーバーとして SEA-RK-DC-01.reskit.com を使用します。

  • SEA-RK-DC-01.reskit.com 上の DNS サーバーでは、ルート ゾーンおよび reskit.com ゾーンを含むいくつかのゾーンがホストされます。ルート ゾーンの .com ドメインには、ゾーン reskit.com を管理するサーバーとして SEA-RK-DC-01.reskit.com を参照する委任と、ゾーン acquired01-int.com を管理するサーバーとして HKG-AC-DC-01.acquired01-int.com を参照する委任が含まれています。reskit.com ゾーンには、ゾーン noam.reskit.com を管理するサーバーとして SEA-NA-DC-01.noam.reskit.com を参照する委任が含まれています。

  • SEA-NA-DC-01.noam.reskit.com の DNS サーバーのルート ヒントファイル内のリストには、SEA-RK-DC-01.reskit.com が含まれます。

  • HKG-AC-DC-01.acquired01-int.com の DNS サーバーは、reskit.com ゾーンのセカンダリ コピーをホストします。

  • noam.reskit.com 内の管理者と acquired01-int.com 内の管理者は、各ドメインの信頼される側のドメインのリストと信頼する側のドメインのリストにそれぞれのドメインを追加するために両者が使用するパスワードについて同意し、把握しています。

表 2 に、導入実験のこのシナリオを開発するために使用したハードウェアおよびソフトウェアのリストを示します。

2 導入実験で使用したコンピュータの IP アドレス

コンポーネント

ハードウェア

ソフトウェア

Seattle 内の Reskit.com フォレスト ルート ドメイン コントローラと DNS サーバー

SEA-RK-DC-01

Compaq ProLiant サーバー

Windows 2000 サーバー

DNS サービス

Seattle 内の Noam.reskit.com ドメイン コントローラおよび DNS サーバー

SEA-NA-DC-01

Compaq ProLiant サーバー

Windows 2000 サーバー

DNS サービス

Seattle の Noam.reskit.com 管理クライアント

SEA-NA-CLNT-01

Compaq DeskPro Desktop コンピュータ

Windows 2000 Professional

Windows 2000 Server 管理ツール (adminpak.msi)

Seattle の Noam.reskit.com ファイル サーバー

SEA-NA-FP-03

Compaq ProLiant サーバー

Windows 2000 サーバー

ファイルとプリント サービス

Seattle Cisco ルーター

SEA-NA-CISCO-03

Cisco Catalyst 6006 スイッチ

 

Seattle Cisco ルーター

SEA-NA-CISCO-01

Cisco 7513 ルーター

 

Hong Kong SAR 内の Acquired01.int.com フォレスト ルート ドメイン コントローラと DNS サーバー

HKG-AC-DC-01

Compaq ProLiant サーバー

Windows 2000 サーバー

DNS サービス

Hong Kong SAR 内の管理のクライアント

HKG-AC-CLNT-01

Compaq DeskPro Desktop コンピュータ

Windows 2000 Professional

Windows 2000 Server 管理ツール (adminpak.msi)

Hong Kong SAR 内のユーザー クライアント

HKG-AC-CLNT-02

Compaq DeskPro Desktop コンピュータ

Windows 2000 Professional

スイッチ

ATM スイッチ (3)

 

Hong Kong SAR Cisco ルーター

HKG-AC-CISCO-01

Cisco 7507 ルーター

 

セットアップ手順

このシナリオをセットアップするために、以下の作業を実施しました。

  1. 外部信頼関係の設定

              1. 一方向の信頼の作成 (1)

              2. 一方向の信頼の作成 (2)

              3. 外部信頼関係を作成するその他の方法

  2. リソース共有の設定

              1. ドメイン ローカル グループへのグローバル グループの追加

              2. Marketing フォルダの作成と共有

              3. MktStrategies サブフォルダの作成

図 8 は、異なるフォレストに位置する 2 つのサイトおよび 2 つのドメイン内のコンピュータ デバイスとネットワーク デバイスを示しています。

trust01-01
図 8: acquired01-int.com および noam.reskit.com のネットワーク デバイス

その他の参考資料

このシナリオに関係する情報について、以下の資料が参考になります。

導入実験のシナリオ

Windows 2000 リソースキット
以下は、『Microsoft Windows 2000 Professional リソース キット』および『Microsoft Windows 2000 Server リソース キット』の参考資料です。オンラインで概要を参照できる章もあります。

  • 信頼関係については、『Microsoft Windows 2000 Server リソース キット 3 分散システムガイド 上』の「第 1 章 Active Directory の論理構造」を参照してください。

  • フォレストについては、『Microsoft Windows 2000 Server リソース キット 3 分散システムガイド 上』の「第 1 章 Active Directory の論理構造」を参照してください。

  • Active Directory 統合ゾーンの実装については、『Microsoft Windows 2000 Server リソース キット 6 TCP/IP ガイド』の「第 6 章 Windows 2000 DNS (概要紹介) 」 (英語) を参照してください。

  • DNS ネーム サーバーについて詳しくは、『Microsoft Windows 2000 Server リソース キット 6 TCP/IP ガイド』の「第 5 章 DNS入門」および「第 6 章 Windows 2000 DNS (概要紹介) 」 (英語) を参照してください。

  • Kerberos V5 および認証については、『Microsoft Windows 2000 Server リソース キット 3 分散システムガイド 上』の「第 11 章 認証」を参照してください。

  • セキュリティ コンテキストおよびアクセス制御については、『Microsoft Windows 2000 Server リソース キット 3 分散システムガイド 上』の「第 12 章 アクセス制御」を参照してください。

ツール

  • Nltest.exe

    Nltest.exe を使用すれば、信頼関係の状態をチェックし、信頼する側のドメインと信頼される側のドメイン間のセキュリティで保護されたチャネルをリセットできます。Nltest について詳しくは、Windows 2000 Support Tools のヘルプを参照してください。Windows 2000 Support Tools および Support Tools ヘルプをインストールし、使用する方法については、Windows 2000 オペレーティング システム CD-ROM の \Support\Tools フォルダ内のファイル Sreadme.doc (英語) を参照してください。

  • Netdom.exe

    Netdom.exe を使用すれば、ネットワークの信頼関係を確認し、2 つのドメイン間のセキュリティで保護されたチャネルをリセットできます。Netdom について詳しくは、Windows 2000 Support Tools のヘルプを参照してください。Windows 2000 Support Tools および Support Tools ヘルプをインストールし、使用する方法については、Windows 2000 オペレーティング システム CD-ROM の \Support\Tools フォルダ内のファイル Sreadme.doc (英語) を参照してください。

  • Nbtstat.exe

    Nbtstat.exeを使用すれば NetBIOS 名の登録をチェックできます。Nbtstat について詳しくは、Windows 2000 Support Tools のヘルプを参照してください。Windows 2000 Support Tools および Support Tools ヘルプをインストールし、使用する方法については、Windows 2000 オペレーティング システム CD-ROM の \Support\Tools フォルダ内のファイル Sreadme.doc (英語) を参照してください。

  • Active Directory Sizer (英語)

    Active Directory Sizer を使用すると、Active Directory を導入するために必要なハードウェアを、その組織のプロファイル、ドメイン情報、およびサイト トポロジに基づいて見積もることができます。Active Directory Sizer にユーザーが値を入力すると、その値と内部の計算方式に基づいて、次の数の見積もりが求められます。

    • 各サイトの各ドメインごとのドメイン コントローラ

    • 各サイトの各ドメインごとのグローバル カタログ サーバー

    • コンピュータごとの CPU と CPU の種類

    • Active Directory のデータ記憶域として必要なディスク

    さらに Active Directory Sizer では、次の値のおよその見積もりも求められます。

    • 必要なメモリの容量

    • ネットワーク帯域幅の使用状況

    • ドメイン データベースのサイズ

    • グローバル カタログ データベースのサイズ

    • サイト間の複製に必要な帯域幅

Windows 2000 オンラインドキュメント

  • Windows 2000 ベースのコンピュータに管理ツールをインストールする方法については、Windows 2000 Server ヘルプ の「ユーザーとコンピュータ」の「サーバーをリモートで管理する」を参照してください。

  • アクセス許可の概要については、Windows 2000 Server ヘルプの「セキュリティ」の「概念」の「セキュリティとは」の「アクセス制御」の「アクセス許可」を参照してください。

  • ファイル アクセス許可の概要については、Windows 2000 Server ヘルプの「セキュリティ」の「概念」の「セキュリティとは」の「アクセス制御」の「オブジェクトとオブジェクト マネージャ」の「ファイルのアクセス許可」を参照してください。

  • 共有アクセス許可の概要については、Windows 2000 Server ヘルプの「セキュリティ」の「概念」の「セキュリティとは」の「アクセス制御」の「オブジェクトとオブジェクト マネージャ」の「共有フォルダのアクセス許可」を参照してください。

Requests for Comments (RFC)

  • IP アドレスの割り当てについては、RFC Editor Web サイトleave-ms (英語) の RFC 1918、「Address Allocation for Private Internets」を参照してください。

  • Kerberos V5 認証プロトコルについては、RFC Editor Web サイトleave-ms(英語)の RFC 1510、「The Kerberos Network Authentication Service (V5) 」を参照してください。

ホワイトペーパー

Microsoft Press

TechNet

導入実験の詳細と協力企業について

リソースキット導入実験シナリオの凡例

  • Microsoft Windows 2000 リソース キット導入実験シナリオのネットワーク図で使用されている略語や記号について詳しくは、『導入実験シナリオの凡例』を参照してください。

リソースキット導入実験のネットワーク図

  • ネットワークの設計、ネットワーク ルーティング設計、ドメイン ネーム システム (DNS) 設計、および Active Directory 階層の高水準の編成については、『導入実験のネットワーク図』を参照してください。

関連資料

注意
このシナリオにおいて、コンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして紹介したものです。実際のネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、目的とする機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になる、その他の手順については取り上げていません。すべてのシナリオは、特に表記しない限り Windows 2000 を使用してテストされています。また、ブラウザとして Microsoft Internet Explorer 5 以上を推奨します。