プライマリ ドメインと信頼されたドメイン
最終更新日: 2002年12月27日
目次
Windows 2000 サーバーのドメイン コントローラへの変換
新規ドメイン ツリーの作成
既存のドメイン ツリーへの新しい子ドメインの作成
既存のドメインへのドメイン コントローラの追加
一方向の非推移的信頼の構成
以下はリモート システムに配置されたドメインを示す用語です。
プライマリ ドメイン : Windows 2000 システムのプライマリ ドメインは、信頼関係を確立し、認証を実行する (あるいは信頼された適切なドメインに認証要求を渡す)役割を担うドメインです。プライマリ ドメインのドメイン コントローラは、ワークステーションから発信された認証要求の処理または受け渡しを行います。
ログオンが実行されると、ローカル セキュリティ機関 (LSA: Local Security Authority) がビルトインのアカウント ドメインで認証情報を確認します。ログオンを試みているアカウントが、いずれのドメインにも属さない場合、ログオン要求はシステムのプライマリ ドメインに渡されます。
信頼されたドメイン : 信頼されたドメインは、ユーザーの認証時にローカル システムが信頼するドメインです。すなわち、ユーザーまたはアプリケーションが信頼されたドメインによって認証された場合、この認証は、認証する側のドメインを信頼するすべてのドメインによって承認されます。
Windows 2000 システムでは、各子ドメイン (ドメイン階層に従属するドメイン) が自動的に親ドメインと双方向の信頼関係を結びます。既定でこれは推移的な信頼になります。つまりシステムがドメイン A を信頼した場合、ドメイン A が信頼するすべてのドメインを信頼することを意味します。Windows 2000 システムは、Windows NT 4.0 形式の非推移的な一方向の信頼もサポートします。これにより Windows 2000 システムは、推移的な双方向の信頼をサポートしない Windows NT 4.0 システムとの信頼関係を確立できます。
LSA には、TrustedDomain というオブジェクトの種類があります。これは、信頼されたドメインの名前とセキュリティ識別子 (SID)、認証要求に使用するドメインのアカウント、名前と SID の変換要求、信頼されたドメインのドメイン コントローラ名の取得など、信頼関係に関する情報の格納に使用します。
Windows 2000 では、ローカル システムによって信頼されたドメインごとに、LSA で TrustedDomain オブジェクトのインスタンスが作成されます。たとえば、Windows 2000 ワークステーションが、代わりに他の 4 つのシステムを信頼する Windows 2000 ドメイン コントローラを信頼する場合、(推移的な信頼を利用して接続された) そのワークステーションはローカル システムに 5 つの TrustedDomain オブジェクトを持つことになります。
Windows 2000 では、エンタープライズ システムのドメインの信頼関係を示す際に、「ツリーとフォレスト」のメタファーを利用しています。企業内のドメインをグループ化し、ツリーを構成できます。ツリー内のすべてのドメインは、自動的に相互信頼されています。ツリーをさらにグループしたものがフォレストで、フォレスト内のすべてのツリー同士は自動的に信頼を確立します。1 つのフォレスト内のドメインが、別のフォレスト内のドメインとの信頼を確立していても、フォレスト間の信頼は一方向の非推移的な NTLM 信頼なので、フォレスト内のすべてのドメインと自動的に信頼が確立されません。
Windows 2000 サーバーのドメイン コントローラへの変換
サーバーのインストール完了後、あるいはインストール中に [ネットワーク内に既に 1 つ以上のサーバーがあります] または [このサーバーを後で構成します] のいずれかのオプションを選択した場合に、後でドメイン コントローラを設定するには、次の手順を利用します。
管理者としてログオンします (まだログオンしていない場合)。
[サーバーの構成] のページが開かない場合、[スタート] をクリックし、[プログラム]、[管理ツール] の順にポイントし、[サーバーの構成] をクリックします。
[サーバーの構成] のページの左側のコラムから、[Active Directory] をクリックします。
.gif)
Active Directory の構成に関する重要情報が示された [Active Directory] ページが表示されます。情報を読み、ページの最後までスクロールし、 [開始します] をクリックし、Active Directory のインストール ウィザードを起動します。
.gif)
[Active Directory のインストール ウィザード] が表示されます。[次へ] ボタンをクリックして続行します。
.gif)
新規ドメインのドメイン コントローラであるか、既存のドメインに追加するドメイン コントローラであるかを選択し、[次へ] ボタンをクリックします (選択後に関する警告メッセージを必ず読んでください)。
.gif)
引き続き [Active Directory のインストール ウィザード] の指示に従い、ドメイン コントローラの構成を完了します。
ページのトップへ
新規ドメイン ツリーの作成
既存のツリーとは別に新規ドメイン ツリーを作成するには、次の手順に従います。
[スタート] をクリックし、[ファイル名を指定して実行] をクリックします。
[ファイル名を指定して実行] ダイアログ ボックスの [開く] ボックスに、dcpromo と入力し、[OK] をクリックします。
[Active Directory のインストール ウィザード] で [次へ] をクリックします。
[ドメイン コントローラの種類] ダイアログ ボックスで、[新しいドメインのドメイン コントローラ] を選択し、[次へ] をクリックします。
[ツリーまたは子ドメインの作成] ダイアログ ボックスで、[新しいドメイン ツリーを作成] オプションを選択し、[次へ] をクリックします。
[フォレストの作成または追加] ダイアログ ボックスで、次のいずれかのオプションを選択します。
ドメイン ツリーの新しいフォレストを作成 |
これが組織内で最初のドメインである場合、または現在のフォレストから独立させて新しいドメインを作成する場合、このオプションを選択します。 |
既存のフォレストに新しいドメイン ツリーを配置 |
新しいドメインのユーザーが既存のドメイン ツリーのリソースにアクセスする場合、あるいはその逆のアクセスをする場合、このオプションを選択します。 |
7. **\[次へ\]** をクリックします。
8. **\[ドメイン ツリーの新しいフォレストを作成\]** オプションを選択した場合、**\[新しいドメイン名\]** ダイアログ ボックスに新しいドメインの完全なドメイン ネーム システム (DNS) 名を入力します。
9. **\[NetBIOS ドメイン名\]** ダイアログ ボックスに、初期バージョンの Microsoft Windows のユーザーがドメインの識別に使用する名前を入力します。完全な DNS 名よりも短い既定の名前を承認することをお勧めします。**[次へ]** をクリックします。
10. **[データベースとログの場所]** ダイアログ ボックスの既定の設定を承認し、**[次へ]** をクリックします。
11. **[共有システム ボリューム]** ダイアログ ボックスの既定の設定を承認し、**[次へ]** をクリックします。
12. DNS がコンピュータにインストールされていない場合、インストールする旨のプロンプトが表示されます。**[はい、DNS をこのコンピュータにインストールして構成します]** を選択し、**[次へ]** をクリックします。
13. **[アクセス許可]** ダイアログ ボックスの [Windows 2000 サーバーとのみ互換性があるアクセス許可]オプションを選択し、**[次へ]** をクリックします。
14. **[ディレクトリ サービス復元モード Administrator パスワード]** ダイアログ ボックスで、以下を実行します。
パスワード |
サーバーの Administrator アカウントに割り当てられたパスワードを入力します。 |
パスワードの確認入力 |
確認のため、再度パスワードを入力します。 |
15. **[概要]** ダイアログ ボックスで、Active Directory の構成が適切であるか、選択したオプションを確認します。適切な場合、**[次へ]** をクリックします。選択を再設定する場合は、**[戻る]** をクリックします。
16. Active Directory がコンピュータにインストールされていることを示す、[Active Directory の構成中] ダイアログ ボックスが表示されます。
17. **[Active Directory のインストール ウィザードの完了]** ダイアログ ボックスの **[完了]** をクリックします。
[](#mainsection)[ページのトップへ](#mainsection)
### 既存のドメイン ツリーへの新しい子ドメインの作成
既存のドメインの子となる新しいドメインを作成するには、次の手順を実行します。
1. **\[スタート\]** をクリックし、**\[ファイル名を指定して実行\]** をクリックします。
2. **\[ファイル名を指定して実行\]** ダイアログ ボックスの **\[開く\]** ボックスに、**dcpromo** と入力し、**\[OK\]** をクリックします。
3. **\[Active Directory のインストール ウィザード\]** で **\[次へ\]** をクリックします。
4. **\[ドメイン コントローラの種類\]** ダイアログ ボックスで、**\[新しいドメインのドメイン コントローラ\]** を選択し、**\[次へ\]** をクリックします。
5. \[ツリーまたは子ドメインの作成\] ダイアログ ボックスで、\[既存のドメイン ツリーに新しい子ドメインを作成\] オプションを選択し、\[次へ\] をクリックします。
6. **[ネットワーク資格情報]** ダイアログ ボックスに、ドメイン管理者のユーザー名、パスワード、およびドメイン名を入力し、**[次へ]** をクリックします。
7. **[子ドメインのインストール]** ダイアログ ボックスで、以下を実行します。
親ドメイン |
親ドメインの名前を入力します。 |
子ドメイン |
子ドメインの名前を入力します。 |
8. **[次へ]** をクリックします。
9. **[ドメイン NetBIOS 名]** ボックスに、初期バージョンの Microsoft Windows のユーザーがドメインの識別に使用する名前を入力します。完全な DNS 名よりも短い既定の名前を承認することをお勧めします。**[次へ]** をクリックします。
10. **[データベースとログの場所]** ダイアログ ボックスの既定の設定を承認します。
11. **[共有システム ボリューム]** ダイアログ ボックスの既定の設定を承認します。
12. DNS がコンピュータにインストールされていない場合、インストールする旨のプロンプトが表示されます。**[はい、DNS をこのコンピュータにインストールして構成します]** を選択し、**[次へ]** をクリックします。
13. **[アクセス許可]** ダイアログ ボックスの [Windows 2000 サーバーとのみ互換性があるアクセス許可]オプションを選択し、**[次へ]** をクリックします。
14. **[ディレクトリ サービス復元モード Administrator パスワード]** ダイアログ ボックスで、以下を実行します。
パスワード |
サーバーの Administrator アカウントに割り当てられたパスワードを入力します。 |
パスワードの確認入力 |
確認のため、再度パスワードを入力します。 |
15. Active Directory がコンピュータにインストールされていることを示す、**[Active Directory の構成中]** ダイアログ ボックスが表示されます。
16. **[Active Directory のインストール ウィザードの完了]** ダイアログ ボックスの **[完了]** をクリックします。
[](#mainsection)[ページのトップへ](#mainsection)
### 既存のドメインへのドメイン コントローラの追加
複数のドメイン コントローラを作成すると、Active Directory が自動的に相互のディレクトリ情報を複製します。あるドメイン コントローラが利用できなくなった場合でも、他のドメイン コントローラ経由で引き続きディレクトリ情報を利用できます。
既存のドメインにドメイン コントローラを追加するには、次の手順を実行します。
1. **\[スタート\]** をクリックし、**\[ファイル名を指定して実行\]** をクリックします。
2. **\[ファイル名を指定して実行\]** ダイアログ ボックスの **\[開く\]** ボックスに、**dcpromo** と入力し、**\[OK\]** をクリックします。**\[Active Directory のインストール ウィザード\]** が表示されるので **\[次へ\]** をクリックします。
.gif)
3. **\[ドメイン コントローラの種類\]** ダイアログ ボックスで、**\[既存のドメインの追加ドメイン コントローラ\]** を選択します。このオプションは複製パートナーとしてのドメインコントローラを作成します。**\[次へ\]** をクリックし、続行します。
4. **[ネットワーク資格情報]** ダイアログ ボックスに、ドメイン管理者のユーザー名、パスワード、およびドメイン名を入力し、**[次へ]** をクリックします。
5. **[追加ドメイン コントローラ]** ダイアログ ボックスに、追加ドメイン コントローラになるサーバーのドメイン名を入力します。ドメインを検索する場合、**[参照]** ボタンを使用します。**\[次へ\]** をクリックし、続行します。
6. **[データベースとログの場所]** ダイアログ ボックスの既定の設定を承認し、**\[次へ\]** をクリックします。
7. **[共有システム ボリューム]** ダイアログ ボックスの既定の設定を承認し、**\[次へ\]** をクリックします。
8. **[ディレクトリ サービス復元モード Administrator パスワード]** ダイアログ ボックスを空白にしたまま、**\[次へ\]** をクリックします。
9. [概要] ダイアログ ボックスの **[次へ]** をクリックします。
10. **[Active Directory のインストール ウィザードの完了]** ダイアログ ボックスが表示されたら、**[完了]** をクリックし、コンピュータを再起動します。
[](#mainsection)[ページのトップへ](#mainsection)
### 一方向の非推移的信頼の構成
明示的な信頼とは、ドメイン コントローラのインストール時に自動的に作成される信頼とは対照的に、管理者が作成する信頼関係です。明示的な信頼の作成と管理には、**[Active Directory ドメインと信頼関係]**を使用します。
場合によって、ドメイン間に明示的な信頼関係を作成する必要があります。その一例が、分散したフォレスト内のドメイン相互に信頼が必要な場合です。ドメインの管理者は、相手のドメインと非推移的な一方向の信頼を確立することで、それを実現できます。非推移的な信頼とは、信頼関係が 2 つのドメインに限られ、フォレスト内の他のドメインに推移しない信頼関係です。留意が必要なのは、信頼を確立したドメインが信頼する側のドメインになることです。つまりこれは、そのドメインが選択したドメインを信頼することを意味し、それ以外のドメインもその信頼を承認するという意味ではありません (他のドメインの管理者は、同様の手順を実行する必要があります)。
一方向の信頼を開始するには、次の手順を実行します。
1. 信頼される側のドメインのドメイン コントローラから、**[Active Directory ドメインと信頼関係]** スナップインを起動します。
2. ドメイン オブジェクトを右クリックし、**[プロパティ]** を選択します。
3. **[信頼]** タブをクリックします。
.gif)
4. \[このドメインを信頼するドメイン\] ウィンドウの \[追加\] をクリックします。
5. **[信頼する側のドメインの追加]** ダイアログ ボックスに、信頼する側のドメインの名前を入力します。パスワードを入力し、**[パスワードの確認入力]** ボックスに再度パスワードを入力します。
.gif)
6. **[OK]** をクリックします。
7. **[Active Directory]** ダイアログ ボックスの **[OK]** をクリックし、信頼を確定します。
8. 信頼する側のドメインの信頼関係を変更するアクセス許可を与えるユーザーの名前とパスワードを入力します。信頼する側のドメインが追加され、信頼が確認されたことを示すメッセージが表示されます。
9. **[Active Directory ドメインと信頼関係]** コンソールを終了します。
10. 信頼する側のドメインのドメイン コントローラで、**[Active Directory ドメインと信頼関係]** コンソールを起動します。
11. 信頼する側のドメインを右クリックし、**[プロパティ]** を選択します。
12. **[このドメインに信頼されるドメイン]** ボックスの **[追加]** をクリックします。
13. **[信頼される側のドメインの追加]** ダイアログ ボックスに、信頼される側のドメインの名前を入力します。パスワードを入力し、**[パスワードの確認入力]** ボックスに再度パスワードを入力します。
14. **[OK]** をクリックします。
[](#mainsection)[ページのトップへ](#mainsection)