専門用語に慣れないと回答できない

質問の用語が難しい専門用語なので、回答も難しい専門用語となる。

（質問）

Cross-Forest 認証の名前解決について

 

はじめまして、表題の件についてご教授願います。

WS2003 R2 二台でCross-Forestの構成をとり JAASを用いて認証モジュールを作成しようとしています。

ADtechover（ActiveDirectory技術情報）を見たところ、以下のような記述がありました。

 

「名前一致機能はセキュリティプリンシパル名をすべての信頼されたフォレストの信頼された名前空間と比較します。

一致するものが見つかった場合、ルーティングヒントとして信頼されたフォレスト名が返されます。」

マルチドメイン環境で親ドメインを指定し子ドメインの情報の問い合わせを行うと「referral」といったものが

返ってくるのは確認しており、似た様のものが返ってくると推察しプロトコルモニタ等で確認を行いましたが

確認できませんでした。

具体的に「ルーティングヒントとして信頼されたフォレスト名」とはどのようなものなのでしょうか？

また、どうやったら確認できるのでしょうか？

 

現状のCross-Forestの構成です

1.二台のWS2003 R2 で相互に信頼関係を結ぶ。

2.ドメインの機能レベルを二台ともWindows Server 2003に上げる

3.セカンダリのDNSサーバにお互いのIPを指定する。

 

設定等不足が原因ではないかとは思いますがよろしくいお願いします。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

（回答）

○○○○です。

まず、(推移的信頼関係を含む)ドメイン間の信頼関係と、フォレスト間信頼の動作の違いについては、MSの資料がありますので、これを見てみてください。

異なるドメインのリソースにアクセスする

異なるフォレストのリソースにアクセスする

ルーティングヒントが何か、という答えについては、異なるフォレストのリソースにアクセスする にこういう記述がありますね。

----
フォレストの信頼が最初に確立されるとき、各フォレストはそのパートナーフォレストで信頼されているすべての名前空間を収集し、TDO に情報を格納します。信頼された名前空間には、ドメインツリー名、ユーザー プリンシパル名 (UPN) サフィックス、サービス プリンシパル名 (SPN) サフィックス、および他のフォレストで使用されるセキュリティ ID (SID) 名前空間が含まれます。TDO オブジェクトは、グローバル カタログにレプリケートされます。
< 中略 >
ルーティング ヒントは、そのフォレストの信頼の TDO に一覧表示された信頼される側の名前サフィックスを参照できるだけです。
----

TDO(信頼されるドメインオブジェクト)は、信頼関係が構築された際に作られるオブジェクトで、信頼先に関する情報が含まれます。

ルーティングヒントを受け取ったときに「ネットワークモニタでどう見えるのか」については、うえの資料を参考に、実際に試してもらうのが早いと思います。

あと、「フォレスト間信頼」の設定方法ですが、チェックリスト : フォレストの信頼を作成する を参考に作業をしてみてください。ドメイン機能レベルやDNSを適切に設定する前に信頼関係を結んだ場合、単なる外部信頼関係に設定されるでしょう(自動的には変更されません)。またウィザードでは明示的に「フォレストの信頼」を選択する必要があります。

 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/d6249922-ef71-460d-805f-8595c508f7bb

 

信頼の種類および信頼の方向をまず理解すべきだろう。