ActiveDirectoryドメインにログイン可能なネットワーク範囲について

こんにちは。

ActiveDirectory(以下AD)ドメインにログインする事が可能なネットワーク範囲について教えて下さい。

基本的に同一LAN内にいる必要がある、と思っているのですが、この「同一LAN」という定義もいまいち解っていません。

以下、質問です。

1.異なるサブネット（サブネットマスクが異なるクライアント）からADドメインに参加する事は可能でしょうか？
2.クラサバ間にFWやルータを経由する場合、クライアントがADドメインに参加する事は出来るのでしょうか？
3.ADドメインに参加するために必ず開けておかなくてはならないポート番号などはあるのでしょうか？
4.その他、ADドメインにログインするための条件がございましたら、教えて下さい。

かなり初歩的な質問だと思いますが、どうぞ、よろしくお願い致します。

No.1 ベストアンサー 回答者： M290 回答日時： 2005/03/04 18:27

こんにちは

回答順番としては、４から１の方が説明しやすいので、順番を変えます。

４．Win９ｘ系クライアントにはActiveDirectoryサポートツール(DSCLIENT)が必要です
Win2KSVのCDに入っています

３．ポート１３７から１３９が開いている必要があります

２．質問３のポートが開いていれば問題ありません

１．質問２のFW（ブリッジORローカルルータ）かルータを経由するか、
サーバーに複数枚LANボードを挿し各々のサブネットに対応させます

但し、サブネット越え（通常はセグメント越えといいます）の場合、LMHOSTSにDCを記述するか、
DCがDNSサーバーになる必要があります

参考文献
ドメインの検証および他の名前解決に関する問題のために LMHOSTS ファイルを記述する方法

参考URL：http://support.microsoft.com/default.aspx?scid=k …

この回答へのお礼

とても分かりやすいご回答、ありがとうございます！

FW越え出来るんですかー。
つまり、以下の条件
・FWのポート１３７から１３９が開いている
・PDCおよびDNS(AD統合)がインターネットに公開されている
・クライアントからPDCの名前解決が出来ている（AD統合のDNSを参照している）
さえ満たしていれば、VPNなどを使わなくても、インターネット経由で会社のドメインにログイン出来たりするって事ですよね。
ただ現実的にはセキュリティの観点上、そのような運用をしている会社は無い、といった感じでしょうか。

お礼日時：2005/03/06 09:13

No.2 回答者： Toshi0230 回答日時： 2005/03/05 01:34

細かいところですが補足のつっこみ：

> 但し、サブネット越え（通常はセグメント越えといいます）の場合、LMHOSTSにDCを記述するか、DCがDNSサーバーになる必要があります

別にDCがDNSサーバになる必要は必ずしもありませんが、アクティブディレクトリ構築時にDNSは必須です。
サーバとクライアントが同一系統のDNSを参照していれば、問題ありません。