Windows 2000ネットワーク解剖
>
ドメインツリーとフォレスト
単一フォレスト環境で,異なるドメインツリーに含まれるドメインのリソースを利用する場合
前項では,同じドメインツリーに属する異なるドメインのリソースを利用する場合のトレースを示した。今度は,同じフォレストの異なるドメインツリーに含まれるドメインのリソースを利用する場合のトレースを示す。前項の例との違いは,ドメインツリーを構成する親ドメインと子ドメインとのあいだで結ばれた信頼関係の推移を利用するのではなく,ドメインツリーのルートドメイン間で結ばれた信頼関係の推移を利用するということである。もちろんこの場合も,Windows 2000クライアントであればKerberosの推移的な信頼関係を利用し,Windows NT 4.0クライアントであればKerberosではなくNTLM認証による信頼関係を利用するはずである。
サンプル環境のクライアントとしては,前項と同様にWindows 2000 ProfessionalとWindows NT 4.0 Workstation(SP6a)を用いる。このトレースのネットワーク構成は,Fig.8のとおりである。active.dsl.local.ドメインのドメインコントローラとしてlily.active.dsl.local.が,otherdom.dsl.local.ドメインのドメインコントローラとしてw2k-4.otherdom.dsl.local.が,それぞれ使用されている。前項と同様に,lilyはDNSサーバーも兼務している。
この検証を,ドメインツリーの深い位置にあるコンピュータを使って実施すれば,(1)クライアントが存在するドメインツリーを構成するドメイン間,(2)フォレストを構成するドメインツリーのルートドメイン間,(3)目的のサーバーが存在するドメインツリーを構成するドメイン間,という具合に信頼関係が推移してゆく様子が掴めるはずである。しかし,準備できたテスト用コンピュータの台数と設置場所の都合から,ここでは2つのドメインツリーのルートドメイン同士で検証している。このため,前項で示したトレースとほとんど同じ結果となっている。
Fig.8 異なるドメインツリーに含まれるドメインのリソースを利用する場合の検証環境(図版をクリックすると拡大可能)
 |
11/17 |  |
