Windows 2000ネットワーク解剖
>
ドメインツリーとフォレスト
明示的な信頼関係を追加した場合
Active Directoryの信頼関係は推移的であり,フォレストのルートドメインとドメインツリーのルートドメインを起点として機能する。つまり,下位の領域であるドメインツリーのサブドメインなどから別のドメインツリーへと接続する場合,ドメインツリーのルートドメインや,フォレストのルートドメインなど,上位の領域に向かって信頼関係が推移することになる。このため,フォレストが大規模になり,ドメインツリーの階層が深くなったり,ドメインツリーの数が増えたりすると,認証のオーバーヘッドが増大するおそれがある。このような場合は,自動的に生成される双方向の信頼関係のほかに,必要なドメイン間で明示的な信頼関係を結ぶとよい。このような信頼関係は,「ショートカット信頼関係」もしくは「最短の信頼」と呼ばれる(Fig.9)。
たとえば,上図のようなフォレストにおいて,ドメインEからドメインBに対してアクセスするためには,通常「ドメインD → ドメインA → ドメインB」という順番で信頼関係を推移する必要がある。しかし,ドメインBの資源をドメインEから頻繁に使用するとき,いちいち信頼関係を推移していたのでは,ユーザーの体感速度が低下するうえ,ネットワークトラフィックが増大してしまう。
そこで,ドメインEとドメインBとのあいだで直接的な信頼関係を結び,「最短の信頼」を作成する。これによって,ドメインEからドメインBへの接続に際してわざわざ信頼関係を推移する必要はなくなり,認証のオーバーヘッドを軽減することができる。具体的には,ドメインBからドメインEに対して最短の信頼を結ぶことで,ドメインEからドメインBのリソースを利用するときにドメインDやドメインAのKDCを経由する必要がなくなり,直接ドメインBのKDCに認証を任せることができるのである。
このように,管理者が明示的に設定する信頼関係は,Active Directoryのフォレスト内に存在するドメイン間で自動的に結ばれる信頼関係とは,2つの点で異なる。まず,明示的に管理者が作成した信頼関係は推移しない。したがって,ドメインEとドメインBとのあいだで新たに設定された信頼関係は,この2つのドメインに対してしか影響を及ぼさない。さらに,この信頼関係は自動的に双方向で結ばれることはない(Windows NTドメインの信頼関係と同じく,一方向の信頼関係となる)。また,フォレスト内で自動的に結ばれる信頼関係は管理者が削除することはできないのに対して,明示的に設定した信頼関係は管理者が自由に作成または削除することができる。明示的な信頼関係を設定すれば,それだけフォレスト内の認証トラフィックは軽減されるが,半面,数が増えるにつれて管理コストは増大する(Windows NTドメインの信頼関係を管理する場合と同じ問題を抱え込むことになる)。
明示的な信頼関ヌ理ツール]−[Active Directoryドメインと信頼関係]を選択する。コンソールツリーから信頼関係を結びたいドメインを右クリックして[プロパティ]を選び,[信頼]パネルを開いて必要な信頼関係を追加する(Fig.10)。
Fig.10 明示的な信頼関係の締結(図版をクリックすると拡大可能)
 |
14/17 |  |
