Windows 2000ネットワーク解剖
ドメインツリーとフォレスト

Windows NT 4.0クライアントのトレースとその考察
 Windows NT 4.0クライアントは,PC98-D.active.dsl.local.というホスト名である。実際にアクセスするリソースは,Windows 2000クライアントで検証した場合と同様,otherforest.dsl.local.ドメイン上にあるサーバーw2k-5.otherforest.dsl.local.の共有フォルダ「share」である。接続方法も,Windows 2000クライアントで検証した場合と変わらない。Windows NT 4.0クライアントのコマンドプロンプトから次のように入力し,List6のトレースを取得した。

net use * \\w2k-5.otherforest.dsl.local\share

 なお,トレースは見やすいように筆者が一部編集していることをお断りしておく。

 すでに述べたように,Active Directoryは,サーバーやクライアントなど通信に参加するコンピュータのすべてがKerberosをサポートしていない限り,Kerberosを利用しない。Windows NT 4.0クライアントはKerberosをサポートしていないため,Active DirectoryがKerberos認証を用いることはない。

 フォレスト内の信頼関係の特徴は,(1)自動的に結ばれること,(2)推移的であること,(3)双方向に結ばれること,という3点である。このうち,ネットワークのトレースに特徴が現れるのは,推移的であることである。しかし,Windows NT 4.0クライアントの場合は,Kerberosによる認証は発生しない。そのため,フォレスト間の明示的な信頼関係であっても,フォレスト内の信頼関係と同じようなトレース内容となっている。接続先の名前解決,ICMPの送出,セッションの確立要求があり,そのあとドメインコントローラ同士で通信している。ドメインコントローラは互いにRPCで通信しており,PC98-Dのユーザーを認証したあと,セッションの確立要求に対して応答している。

信頼関係のまとめ

 以上で,Active Directoryドメイン環境における信頼関係の説明は完了である。実際に取得したトレースを元にして説明したので,ある程度までその仕組みと実際の挙動について理解を深めていただくことができたのではないだろうか。最後に,これまでに説明してきた検証結果から把握できたポイントをまとめておく。

  • Kerberosに基づく推移的で双方向の信頼関係が自動形成されているフォレスト内では,Windows 2000クライアントはKerberosによる推移的な信頼関係を利用してほかのドメインのリソースへアクセスする
  • 異なるフォレストに所属するドメイン間で明示的で非推移的な信頼関係を結んでいる場合,ドメイン間ではKerberos認証ではなく,NTLM認証が用いられている
  • Windows NT 4.0のような従来クライアントからActive Directoryドメインに参加している場合は,ほかのActive DirectoryドメインへのアクセスにNTLM認証が使用される(クライアントが参加しているドメインのドメインコントローラがパススルー認証する)。従来クライアントは,Kerberosに基づく推移的で双方向の信頼関係が形成されているフォレスト内でも,異なるフォレストのドメイン間で明示的で非推移的な信頼関係を結んでいる環境でも,同じようにNTLM認証を使用したシーケンスで通信を実現する

織田 薫(熊野 大介,Bridge Metaware

参考文献

Prev 17/17