Windows 2000ネットワーク解剖
>
ドメインツリーとフォレスト
Windows NTドメインの信頼関係は,自動的に結ばれることはなく,管理者が自分で設定する必要があった。また,指向性は常に一方向であり,双方向の信頼関係を結ぶためには一方向の信頼関係を相互に結ぶ必要があった。これに対してActive Directoryドメインの場合,同一のフォレストまたはドメインツリーを形成しているドメイン間にはKerberosに基づいて推移的で双方向な信頼関係が自動的に結ばれる。つまり,Active Directoryドメインをフォレストに参加させた場合にはフォレストのルートドメインと,ドメインツリーに参加させた場合にはドメインツリー内の親ドメインと,それぞれ信頼関係が結ばれることになる。この信頼関係は推移的であるため,フォレスト内のすべてのドメインに対する信頼関係が暗黙に成り立つ。
たとえば,Fig.1を例にすれば,active.dsl.local.ドメインとsubdomain.active.dsl.local.ドメインとのあいだ,およびactive.dsl.local.ドメインととsubdomain2.active.dsl.local.ドメインとのあいだで信頼関係が結ばれている。また,active.dsl.local.ドメインとotherdom.dsl.local.ドメインとのあいだにも信頼関係が結ばれる。Windows NTドメインの場合,このような信頼関係を結んでもsubdomain.active.dsl.local.ドメインとsubdomain2.active.dsl.local.ドメインとのあいだに信頼関係は成り立たなかった。しかし,Active Directoryドメインの場合,フォレストやドメインツリーを形成するときに自動的に結ばれる信頼関係は推移するため,subdomain.active.dsl.local.ドメインとsubdomain2.active.dsl.local.ドメインとのあいだに信頼関係が成り立つことになる。
ところで,すでに述べたとおり,フォレストには異なるドメインツリーを1つ以上含むことができる。したがって,連続したDNS名を持たないドメインでも,同一フォレストに含むことができる。通常,連続したDNS名を持つドメインであればドメインツリーとなるように構成するが,異なるドメインツリーとして構成してもかまわない。たとえば,Fig.1のように,フォレストのルートドメインであるactive.dsl.local.ドメインとsubdomain.active.dsl.local.ドメインがドメインツリーとして構成されている環境に,subdomain2.active.dsl.local.ドメインを追加する場合を考えてみよう。active.dsl.local.ドメインとsubdomain2.active.dsl.local.ドメインは連続したDNS名を持っているため,通常はドメインツリーとして構成する。しかし,何らかの理由によりドメインツリーとして構成したくない場合,subdomain2.active.dsl.local.ドメインを新しいドメインツリーのルートドメインとして構成することも可能である。この場合,ドメインツリーのルートドメインであるsubdomain2.active.dsl.local.ドメインと,フォレストのルートドメインであるactive.dsl.local.ドメインとのあいだには信頼関係が結ばれる。
ここでは,Active Directoryドメインにおけるドメインコントローラの役割について説明しながら,フォレストとドメインツリーにおける認証がどのように実施されるのかを検証してゆく。
 |
2/17 |  |
