Windows 2000ネットワーク解剖
>
ドメインツリーとフォレスト
Windows 2000クライアントのトレースとその考察
Windows 2000クライアントは,celica.active.dsl.local.というホスト名のコンピュータである。実際にアクセスするリソースは,otherdom.dsl.local.ドメイン上にあるサーバーw2k-4.otherdom.dsl.local.の共有フォルダ「share」である。Windows 2000クライアントのコマンドプロンプトから次のように実行した場合のトレースをList 3に示す。
net use * \\w2k-4.otherdom.dsl.local\share
なお,トレースは見やすいように筆者が一部編集していることをお断りしておく。
クライアントであるcelicaは,最初に接続先のサーバーであるw2k-4のIPアドレスを取得し,1と2でDNSの名前解決を実行している。そのあと,3と4でARPを利用してMACアドレスを取得し,ICMPでサーバーの生存を確認する。そして,7〜13でセッションを確立している。ここまでは,同じドメインツリーに所属するほかのドメインに接続する場合と変わらない。
実際にKerberosによる認証が推移しているのは,14からである。とはいえ,この場合も,同じドメインツリーに所属するほかのドメインと接続する場合と大差はない。クライアントは,自分の所属するドメインのKDCであるlilyにTGS要求を送出し,otherdom.dsl.local.ドメインのセッション鍵を応答として受け取る。そのあと,otherdom.dsl.local.ドメインのKDCとのあいだでTGS要求とその応答を,引き続きAP要求とその応答を,それぞれやり取りし,IPC$へと接続する。そして,実際に接続対象となるリソースにアクセスするため,再びKerberosによる認証を利用している。最終的に,39以降で共有フォルダ「share」へのセッション確立を開始し,44で共有フォルダへの接続を要求,45でその応答を受け取り,セッションを確立している。
このように,フォレスト内の異なるドメインツリー間でも,ドメインツリー内のドメインと同じように,Kerberosに基づいて推移的な信頼関係が結ばれていることがわかる。つまり,同じフォレストに存在するドメインへと接続する場合,Windows 2000クライアントから接続する限り,Kerberosの推移的な信頼関係により認証されることがわかる。
 |
12/17 |  |
