Windows 2000ネットワーク解剖
Windows NTドメインコントローラとの混在環境

Active DirectoryドメインとWindows NTドメインで信頼関係を結んだ環境

 フォレスト内に存在するActive Directoryドメインのあいだには,自動的に推移する双方向の信頼関係が結ばれる。また,異なるフォレストに存在するドメインとのあいだにも,推移しない明示的な信頼関係を結ぶことができる。異なるフォレストに存在するドメインとのあいだに結ぶ信頼関係と同様に,Windows NTドメインとのあいだにも明示的な信頼関係を結ぶことができる。

 Windows NTドメインをActive Directoryドメインに上書きアップグレードする場合,既存のWindows NTドメインで結ばれていた信頼関係は維持される。たとえば,2つのWindows NTドメインがあり,そのあいだで信頼関係を結んでいたとしよう。このとき,片方のWindows NTドメインをActive Directoryドメインへとアップグレードしても,2つのドメインのあいだでは,以前と同様に信頼関係が結ばれている。この信頼関係は,Active Directoryのフォレスト内で結ばれる双方向で推移的な信頼関係とは異なり,非推移的で一方向の信頼関係である。つまり,この信頼関係は,Windows NTドメインで利用していた信頼関係と変わらない。

 既存のWindows NTドメインをActive Directoryドメインへとアップグレードしたのではなく,新規にActive Directoryドメインを導入した場合でも,Windows NTドメインとのあいだに信頼関係を結ぶことはできる。このような信頼関係は,異なるフォレストに存在するドメインとの信頼関係と同様,管理者が明示的に締結する必要がある。この場合の信頼関係も,非推移的で一方向の信頼関係である。つまり,信頼関係を結んだドメイン同士はリソースなどを共有できるが,フォレスト内に含まれるほかのドメインにその影響が及ぶことはない。したがって,フォレスト内にActive Directoryドメインが複数あり,すべてのActive Directoryドメインとリソースを共有したければ,各Active DirectoryドメインとWindows NTドメインとのあいだで,個別に信頼関係を結ぶ必要がある。これは,Windows NTドメインが複数ある場合も同様となる。

Fig.2 Active DirectoryドメインとWindows NTドメインとのあいだで結ばれる信頼関係
fig2

Fig.3 Windows NTドメインからアップグレードした場合の信頼関係
fig3

 Windows NTドメインとActive Directoryドメインとのあいだに信頼関係を結ぶ方法は,異なるフォレストに属するドメイン間に信頼関係を結ぶ場合と同様,[Active Directoryドメインと信頼関係]管理ツールを使用する。[スタート]メニューから[プログラム]−[管理ツール]−[Active Directoryドメインと信頼関係]を選択し,Windows NTドメインと信頼関係を結びたいActive Directoryドメインを右クリックしてプロパティを表示する。あとは,[信頼]パネルを開き,必要な信頼関係を明示的に追加すればよい。

Fig.4 明示的な信頼関係の締結(画像をクリックすると拡大可能)
fig4

 Windows NTドメインとActive Directoryドメインとのあいだの信頼関係では,認証プロトコルとしてNTLMが利用される。すでに連載中でも述べたとおり,Active Directoryの基本的な認証プロトコルはKerberosであるが,Kerberosを利用できない場合は,それ以外のプロトコルも利用できるようになっている。Windows NTドメインとの信頼関係の場合,Windows NTドメイン側がNTLMのみをサポートしているため,この信頼関係ではNTLMが使用されることになる。

Prev 8/11 Next