異なるセグメントのドメインコントローラで認証したい

以下のようなネットワーク構成で、WindowsXPクライアントをドメインに参加させようとしています。

L2SW --- RTX1200 --- Windows2008サーバ（DC）
　　　　 ｜
　　　　　-- RT58i --- WindowsXPクライアント

RTX1200のセグメントは、プライベートアドレスが172.18.19.0/24、
RT58iのセグメントは、プライベートアドレスが172.18.19.0/24としています。
Windows2008サーバは、RTX1200で1対1の静的NATをしL2SWプライベートIPアドレス(192.168.19.240)に変換しています。
WindowsXPクライアントは複数台あり、RT58iで1対多の静的NATをしL2SWプライベートIPアドレス(192.168.19.101)に変換しています。
RTX1200の内部にあるXPマシンからドメインに参加できることは確認済みです。

下記のURLを参考に設定してみようかと思うのですが、
http://network.station.ez-net.jp/server/domain/n …
NAT変換している場合はこれとはまた違ってくるのでしょうか。

私のWindowsサーバやネットワークの知識が乏しく、
また、Windowsサーバ側のセグメントは本番運用の環境であるため、
ある程度の見当をたててから設定変更などをしたいと思っています。

情報が不足しているかもしれませんが、
このようなネットワーク構成でドメイン参加するには
どういった設定が必要でしょうか。

宜しくお願い致します。

No.3 ベストアンサー 回答者： maesen 回答日時： 2010/12/06 17:05

＞異なるセグメントのドメインコントローラで認証したい

ではなくて、

＞Windows2008サーバは、RTX1200で1対1の静的NATをしL2SWプライベートIPアドレス(192.168.19.240)に変換しています。

NAT配下でのActive Directoryの運用ですね。
マイクロソフトは、NAT配下のActive Directoryの運用についてはサポートしていません。

http://support.microsoft.com/kb/978772/ja

うまくいかない大きな原因としては、クライアントがドメインコントローラを検索するときに以下のレコードをDNSでの問い合わせをしますが

_ldap._tcp.DnsDomainName

このレコードはドメインコントローラ（DC）の変換前のアドレス（172.18.19.0/24内）が動的更新でDNSに登録されていますので、
クライアントは172.18.19.0/24内のアドレスをDCのIPアドレスと認識しますが、実際にはこのIPにはアクセスできないことになります。

DNSの問題を解決させるために、

・動的更新をやめてDCが使用するすべてのレコードを静的に作成する。
・RTX1200をDNSのアプリケーション層のIPアドレスまでも変換してくれるような機器に変更する。

などの方法も考えられますが、実際にうまくいくかはわかりません。
NAT配下のActive Directoryが問題無く運用出来ている事例を見たことがありませんので。

参考にされたサイトはNTドメインの話なのとNATでないのであまり参考にならないと思います。
Active Directoryのネイティブクライアントの名前解決はDNSのみで、lmhostsは使用しません。

この回答へのお礼

そうです、NAT配下でのActive Directoryの運用です。
知識が半端で、どこが問題なのか自分でも混乱してましたが、
maesen様のご指摘で問題が整理できました。
ありがとうございます。

NAT経由でのActive Directoryサポートはされていないんですね。
ネットワーク機器の更新などはコスト的にも難しそうなので、
同じセグメントにするか、他の方法を検討したいと思います。

本当にありがとうございました。

お礼日時：2010/12/07 09:29

No.2 回答者： m-take0220 回答日時： 2010/12/06 16:34

クライアントからDCへアクセスできるようにゲートウェイの設定を行う。

クライアントのDNSサーバーの設定をDCのアドレスにする。

上記が正しく設定できていれば、クライアントのコマンドプロンプトから

nslookup -type=srv _ldap._tcp.dc._msdcs.<ドメイン名>

を実行すると、SRVレコードの情報が表示されるはずです。SRVレコードに設定されているポートがアクセス可能であれば、ドメインにログインできるはずです。

この回答へのお礼

ありがとうございます。
他の方の情報で、NAT経由での認証はサポートされていないということなのですが、
m-take0220様のご回答で、教えて頂くことが沢山ありました。
nslookupコマンドにもいろいろなオプションがあり、使い方によって多くのことがわかるんですね。
DNSでSRVレコードというのがあるということも初めて知ったので、とても興味深かったです。
ありがとうございました。

お礼日時：2010/12/07 09:20

No.1 回答者： SaKaKashi 回答日時： 2010/12/06 16:19

XPクライアントのhostsファイルにDCの定義を記述すればいいのではないでしょうか。

XPクライアントからtracertコマンドでDCに到達できますか？

この回答へのお礼

ありがとうございます。
他の方の情報で、NAT経由での認証はサポートされていないということなのですが、
tracertコマンドのこと勉強になりました。
ネットワーク系のコマンドについて知っていると、どこが問題になっているかなど
把握することができるんですね。
もっと勉強しようと思います。

お礼日時：2010/12/07 09:15