Windows 2000ネットワーク解剖
>
ドメインツリーとフォレスト
フォレスト
フォレストには,1つ以上のドメインツリー(単独のドメインでもドメインツリーとして扱われることに注意)が含まれる。たとえば,active.dsl.local.ドメインをルートドメインとするドメインツリーと,otherdom.dsl.local.ドメインをルートドメインとするドメインツリーが,1つのフォレストに含まれていても問題はない。そればかりか,DNSのトップレベルドメインが異なっていても,同じフォレストに所属させることができる。たとえば,itmedia.co.jp.ドメインをルートドメインとするドメインツリーと,itmedia.com.ドメインをルートドメインとするドメインツリーを,同じフォレストに所属させることができるのである。もちろん,これらのドメインツリーは複数のフォレストに分散させることもできるが,1つのフォレストにまとめることで,スキーマ情報やグローバルカタログを共有できるようになる(クライアントは,適切な権限さえ有していれば,フォレスト内のリソースに対して自由にアクセスできる)。同じフォレスト内に存在する各ドメインは,次の要件を満たす。
- ドメインツリーのルートドメイン同士,およびドメインツリーの親ドメインと子ドメインとのあいだには,推移的な信頼関係が結ばれる
- スキーマ情報とネットワーク構成情報が共有される
- グローバルカタログが共有される
フォレストに新しいドメインツリーを追加すると,フォレストのルートドメインと,新規ドメインツリーのルートドメインとのあいだに信頼関係が結ばれる。Fig.3は,active.dsl.local.ドメインをルートドメインとするフォレストにotherdom.dsl.local.ドメインを追加した例である。
Fig.3 フォレストの構成例(図版をクリックすると拡大可能)
フォレストに新規に追加されたotherdom.dsl.local.ドメインは,フォレストのルートドメインであるactive.dsl.local.ドメインと信頼関係を結ぶ。もしotherdom.dsl.local.ドメインの配下に子ドメインを追加してドメインツリーを形成したならば,その子ドメインは親ドメインであるotherdom.dsl.local.ドメインと信頼関係を結ぶ。つまり,フォレスト内の各ドメインは,次のような信頼関係を結んでいる。
- ドメインツリーを形成している場合,親ドメインと子ドメインは信頼関係を結ぶ
- フォレスト内に複数のドメインツリーが存在する場合,各ドメインツリーのルートドメインとフォレストのルートドメインは信頼関係を結ぶ
Active Directoryで自動的に結ばれる信頼関係は推移的であるため,各ドメイン間でそれぞれ信頼関係を結ばなくても,フォレスト内のすべてのドメインと暗黙のうちに信頼関係が成立する。
 |
4/17 |  |
