Windows 2000ネットワーク解剖
>
ドメインツリーとフォレスト
異なるフォレストに属するドメインと信頼関係を結んだ場合
Active Direcotryのフォレスト内に存在するドメイン間では,Kerberosによる推移的で双方向の信頼関係が自動的に結ばれる。しかし,フォレストが2つ以上存在していた場合,そのフォレスト間で自動的に信頼関係が結ばれることはない。このため,異なるフォレストに属するドメインと信頼関係を結ぶためには,管理者が明示的に信頼関係を締結する必要がある。
最短の信頼と同様に,異なるフォレスト間のドメインを結ぶ明示的な信頼関係もまた,フォレスト内で自動的に結ばれる信頼関係とは異なる。まず,異なるフォレスト間のドメインを結ぶ信頼関係は推移しない。また,双方向の信頼関係を結ぶためには,Windows NTドメインの信頼関係と同じく,管理者が明示的に信頼関係を相互に設定しなければならない(双方向の信頼関係ではなく,一方向の信頼関係である)。
このように,異なるフォレストに所属するドメイン同士で信頼関係を結ぶことにより,異なるフォレストに所属するリソースにもアクセスすることは可能である。同じWindows 2000のドメイン同士の信頼関係であるが,Active Directoryに搭載されているKerberosによる信頼関係とは異なり,異なるフォレストのドメイン間で信頼関係を結んでも推移はせず,信頼関係はそれを結んだドメイン間のみに適用される。また,異なるフォレスト間ではスキーマや構成コンテナを共有することができないため,管理上のオーバーヘッドが生じてしまうので注意してほしい。
通常は一組織内で複数のフォレストを作成することは推奨されていない。その理由は,オーバーヘッドの問題のみではない。異なる2つのフォレストはあとから統合できないし,フォレスト間でディレクトリ情報を複製することはできないからである。ただし,本稿の執筆時点では,マイクロソフトからActive Directory 移行ツールが提供されている。この移行ツールにより,Windows NT Server 4.0(ServicePack 4.0以降)やWindows 2000 Serverで構築したドメインから,別のフォレストに作成したActive Directoryドメインに対して,ユーザーアカウントなどを移行させることができるようになっている。
なお,異なるフォレストに属するドメイン間で明示的な信頼関係を作成するためには,[スタート]メニューから[プログラム]−[管理ツール]−[Active Directoryドメインと信頼関係]を選択する。ほかのフォレストのドメインと信頼関係を結びたいドメインを右クリックして[プロパティ]を選び,[信頼]パネルで信頼関係を追加する(Fig.11)。
Fig.11 異なるフォレストとの信頼関係の締結(図版をクリックすると拡大可能)
ここでは,Fig.12のようなネットワーク構成において,異なるフォレストに存在するドメインと信頼関係を結び,そのドメインのリソースへとアクセスした場合のトレースをもとに,実際にどのように認証されているのかを検証する。このネットワークには,active.dsl.local.ドメインをルートドメインとするフォレストと,otherforest.dsl.local.ドメインをルートドメインとするフォレストが存在する。そして,active.dsl.local.ドメインとotherforest.dsl.local.ドメインとのあいだで,明示的な信頼関係を結んでいる。なお,両ドメインのあいだには,双方向の信頼関係が成立するように互いに信頼関係を結んでいる。
Fig.12 異なるフォレスト間での信頼関係を検証するネットワーク構成(図版をクリックすると拡大可能)
 |
15/17 |  |
