マンガでよめる痔のこと・薬のこと

こんにちは。

Active Directory学習のため職場のPCにWindows Server 2003を導入してみました。
とここで、このADマシンのドメイン名を付ける必要があるのですが、学習用としてはどのような名前が良いのでしょうか。
「グループ名.local」などが妥当でしょうか。

また、現在私の組織はJPNICに登録してあるドメインを持っており、ネームサーバも存在します(LINUX)。
この状態で、学習用ADのドメイン名をJPNICに登録しているものと同じものにして良いのでしょうか。
何か障害など起きませんでしょうか。(セキュアでない、馬鹿にされる、などのお話はさておき汗)
ちなみに学習用という性質上、本家ネームサーバに登録出来ないためADにDNSサーバ(デーモン)もインストールしました。

サーバ初心者なもので馬鹿な質問かもしれませんが、よろしくお願いします。

このQ&Aに関連する最新のQ&A

A 回答 (2件)

> すみません、これはドメインのネームサーバではなく


> 内部LAN用のネームサーバの間違いでした。
 なるほど。それならOK。内部のネームサーバなら問題ないね。外出しネームサーバと一緒にするだと、設定のミスで全マシンのエントリをインターネットに公開する事になりかねないので普通はしない(と思う)。

 ところで、前回は細かい話を端折ってしまったが、いい機会なのでついでにADのドメインを外向けドメインと同じかあるいはそのサブドメインにする意味(メリット)も解説しておこう。
 ADのドメインは、外出しと同じにしても良いしサブドメインにしても良いし独自のドメインにしても良いというのは既に述べたけど、へーそうなんだできるんだ、だけじゃなくって、それぞれにメリットデメリットがあるという事は押さえておいて欲しい。いずれかの方法だけが飛びぬけて良いのであれば、そんな選択肢はしょっぱちから用意されないはずだからね。ケースバイケースでどれにするかを選ぶためには良い点と悪い点を知ってないといけないよね。
 まず、ADの配下にあるマシンは、優先DNSサーバがADサーバのドメインを管理するネームサーバになる。これは、ドメインログオンに際してDNSのレコードでADサーバのありかを問い合わせるからだ。これが、NT4のドメインがNetBIOSで動作しているのと違う部分。
 ところで、仮にあなたの組織内の内部ドメインがcell2008.localであり、AD用にad.cell2008.localとし、かつ、あなたの学習用の場合と同じ、この2ドメインのネームサーバが別である場面を考えてみる。cell2008.localが現在本番稼動している内部ネームサーバ(サバA)で、ad.cell2008.localが学習用(サバB)やね。
 ここで、前述の通り学習用クライアントマシン(クラC)の優先DNSはサバBになる。そうすると、クラCの代替DNSをサバAにしても、+.cell2008.localドメインのAレコードを引くことができない(サバBの設定を細かくやればそうではないが)。サバBは、そのままでは*.ad.cell2008.localの情報しか持っておらず、自分の親である*.cell2008.localの情報も分からないからだ。つまり、クラCからwww.cell2008.localの問い合わせを受けた場合、cell2008.localドメインの情報を持っていないので「ルートネームサーバから」探しに行くことになる。がルートネームサーバは当然*.localなんてドメインの情報は持っていないのでそこで名前解決が途絶えてしまうのだ。
 ここで、設定を変えてサバAのドメインをcell2008.tldとして外出しドメインを担当する役だとし、サバBのドメインをad.cell2008.tldとし、tldは「com」などの実在するトップレベルドメインであると仮定する。ADを自社のグローバルドメインにあるいはそのサブドメインにしていた場合、クラCがサバBにwww.cell2008.tldを問い合わせると、ルートネームサーバからの正引きが正しく順々に行われ、最終的にサバAまでたどり着くことができる。
 まぁここまで説明すれば分かるように、別にこれはADだけがどうのこうのじゃなくって、社内用ホストの名前をどうつけるかまで話は広がるのだがね。まさにDNSの利点と欠点を知り尽くした中々こじゃれた名前計画だ。もちろん、AD用にad.cell2008.localとして、それ以外の社内用ホストをcell2008.tldとする事でも可能なのだが、それなら統一した方が良いよね。
 混乱するかも知れないが、今、社外向けネームサービスと社内向けネームサービスとAD用のネームサービスの話が複雑に絡み合ってるので注意深く読んでいって欲しい。

> まだインターネット上のDNSとADのDNSの違いが分かってなく
 もう一つついでに。Windows NT4までで使われていたいわゆるNTドメインはNetBIOSによって行われていた。これは、NetBIOSドメインという単位でNT4やWin95、98マシンのセキュリティポリシーやプロファイルを一元管理できる、これはこれで中々便利なものだった。この時代の話を知らないというのであればまぁこんなモンなんだと思って欲しい。
 これを、認証にKerberos、名前解決にDNS、ディレクトリ(階層構造のデータ群)管理にLDAPというオープンでグローバルな仕様を取り入れて拡張したものがActiveDirectoryと言える。
 これが、ActiveDirectoryにDNSがなぜ絡んでくるのかの理由。これはADの理解に意外と重要な概念なのでぜひ覚えておいて欲しい。意外にこの辺が分かってなくて「こんな操作をしたらこんな事ができる」としか知らないAD管理者も多い。こんな事じゃトラブルが発生した時に原因の切り分けができなくて「くそ、MSめ」って悪態をつくばっかり。そんな人たちに差をつけちゃえ!
 また、普通の(?)DNSとADを構築する際のDNSは同じものだというのは、これでご理解いただけたのではないかと思う。
    • good
    • 0
この回答へのお礼

度々ご回答ありがとうございます。

一連のご説明、大変参考になりました!
自分の中で
ADが名前解決にDNSを用いる = ADがネームサーバの機能を持つ
と勘違いしていました。
ADはリゾルバだけ持ってる感じなんですね。
なのでインストール時に既存のDNSを選択するか新規にインストールするか聞かれるわけですね。

それで、ADが認証したマシン(?)はDNSに登録され、外部に置いた場合
LANの構成要素が筒抜けると。

> サバA、サバB…

このお話はとても参考になりました。
cell2008.localだと名前解決「.(ルートDNS)」に「local」を聞いて、
知らないって言われて(笑)名前解決できないと。

ad.cell2008.tldで、かつJPNIC登録していればad参加のマシンがwww.cell2008.co.jpを問い合わせる場合、「.」に「co」を聞いて…と名前解決出来るわけですね。

現在の自分の会社では、一般ユーザのPCのPriDNSが内部NSに設定されているので、もしかしたらad.cell2008.tldというドメインを付けたほうがよいのかなと思いました。

それにしても、ADの勉強をする為にDNSの勉強をやりなおさないとなんて…笑
そのことに気づけて良かったです。
ありがとうございました。

お礼日時:2008/05/07 15:12

> このADマシンのドメイン名を付ける必要があるのですが、


> 学習用としてはどのような名前が良いのでしょうか。
> 「グループ名.local」などが妥当でしょうか。
学習用であればそれで全く問題ないでしょう。実際、実運用でも.localが使われる事もあります。

> 現在私の組織はJPNICに登録してあるドメイン・・・・
> 同じものにして良いのでしょうか。
全く同じものにするのは、不可能ではないですし障害も普通はおきませんし実運用でも例がありますが、個人的には考えものだと思います。仮にJPNICドメインがcell2008.tldであれば、ad.cell2008.tldなどという風にAD専用のサブドメイン名でつけると良いでしょう(私個人の意見ですが)。まぁ、さすがに馬鹿にされたりはしないと思います。

> ちなみに学習用という性質上、
> 本家ネームサーバに登録出来ないためADにDNSサーバ(デーモン)も
> インストールしました。
本番運用でもDNSは本家ネームサーバーと別にすべきですというか本番でそんなものを一緒にするなんて暴挙に出るとそれはさすがに馬鹿にされるかも。ADサーバは同ドメインのネームサーバにもなるのが基本で、ADサーバのレプリケーションパートナーが3台程度までならそうすべきだと思います。
    • good
    • 1
この回答へのお礼

なるほど、internalなADであるから(というかADはinternalですかね笑)
cell2008.local
または
ad.cell2008.co.jp
で良いわけですね。

> 本番運用でもDNSは本家ネームサーバーと別にすべきですというか本番でそんなものを一緒にするなんて暴挙に出ると…

すみません、これはドメインのネームサーバではなく内部LAN用のネームサーバの間違いでした。
でもanmochiさんのご回答ですと、ADのドメインにはサブドメイン(またはTLDが違うもの)を付けるし、ADはそのドメインのDNSになるだけなので実害はないのですね。

まだインターネット上のDNSとADのDNSの違いが分かってなく変な理解ですが、ありがとうございました。

お礼日時:2008/05/06 17:57

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Q外部に公開しないサーバのドメイン名のつけ方

CentOS6.4でサーバを構築しています。

外部に公開しないLAN内だけのサーバを構築する場合、サーバにつけるホスト名(ホスト名.ドメイン名)はどうつければいいですか?
外部に公開しないサーバであれば、test.comみたいにWAN上には存在するかもしれないドメイン名でもLAN内専用に任意の架空ドメイン名を好きにつけていいのでしょうか?
それとも必ずlocalhost.localdomainとしなければならないとか決まりはあるのでしょうか? 


============================ やりたいこと・条件 ============================
1.LAN内だけでアクセスさせるWEBサーバ(外部には公開しない)を立てる。
2.ドメイン名でアクセスさせ、バーチャルホスト機能により対象ディレクトリを切り替える。
3.クライアントへのドメイン名の名前解決は、LAN内専用のDNSに行わせる。
========================================================================

以下のように、サーバ機のホスト名や、ApacheのServerName(バーチャルホストも含む)に、
「取得してもいない任意のドメイン名」を勝手につけることはいいですか?

============================ サーバ機のホスト名 ============================
ホスト名: server1.test.com

============================ Apacheの設定 ============================

ServerName test.com:80 ←サーバの架空ドメイン名


<Virrualhost>
ServerName test..com     ←主となる架空ドメイン名(サーバの架空ドメイン名)
</Virrualhost>

<Virrualhost>
ServerName abc.com      ←任意に追加した架空ドメイン名
</Virrualhost> 

<Virrualhost>
ServerName def.com      ←任意に追加した架空ドメイン名
</Virrualhost>


ご指導のほどよろしくお願い致します。

CentOS6.4でサーバを構築しています。

外部に公開しないLAN内だけのサーバを構築する場合、サーバにつけるホスト名(ホスト名.ドメイン名)はどうつければいいですか?
外部に公開しないサーバであれば、test.comみたいにWAN上には存在するかもしれないドメイン名でもLAN内専用に任意の架空ドメイン名を好きにつけていいのでしょうか?
それとも必ずlocalhost.localdomainとしなければならないとか決まりはあるのでしょうか? 


============================ やりたいこと・条件 =========================...続きを読む

Aベストアンサー

完全にプライベートなネットワークの中なら、どうぞご自由に。
たとえ首相官邸と同じだろうがホワイトハウスと同じだろうが、どんな名前を付けても何も問題はありません。

外部に公開はしないけど外と繋がっているネットワークの場合は同じ名前のどこかにあるグローバルに公開されたサーバにアクセスできなくなることは起こりえますが、個人の問題なので無視しても構わないでしょう。

ただし名前解決するにはhostsファイルを使うか、完全に自分(またはごく身内)しか参照できない内部向けのDNSサーバを立てるなどしてください。
ヘタに外部から使われると乗っ取りと思われる可能性があります。
いきなりFBIにタイホされるかもしれません(嘘)。

Qログイン時に選択するドメイン名の".local"以降が省略される

クライアント端末のWindows XPで、社内ネットーワークのドメインに
ログインをする場合の事です。登録しているドメイン名は、

「AAAAA.local」

のような ".lcaol" が付加されているのですが、
クライアント端末起動後に表示される認証画面のドメイン名欄には、
プルダウンで選択出来るドメイン名としては、

「AAAAA」

というように ".local" が表示されません。
これはWindowsの仕様によるものであると思われますが、参考となる
検索ページが見つけられません。
どなたかご存知の方がいらっしゃいましたら、教えて頂けますでしょうか。

Aベストアンサー

「過去との互換性を重視した結果」という回答で満足いただけるでしょうか。

参考URL:http://www.atmarkit.co.jp/fwin2k/win2ktips/757upnname/upnname.html

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。

Qドメイン名のつけ方。

すでに、回答が出ているとは、思うのですが、探せなかったので、質問します。

ADSLモデムルーターの配下に、Win98系と2000PROのパソコンとプリンターが、ぶら下がっています。

2000サーバーに、98SEで、イントラ側ワークグループ名が、defというクライアント機グループと、2000PROで、abcというドメイン名でイントラ側に、参加するクライアント機があるとき、
初めて、WIN2000サーバー(サーバー名、XYZ)に、ドメイン名を設定するときは、申請取得したドメイン名が、abc.comとすると、
サーバーには、イントラ側のアクティブディレクトリー用に、abc.localで、ドメイン参加して、非アクティブディレクトリ用に、defで、参加すれば、良いのでしょうか?

また、サーバー機と98SE機のみに、NetBIOSプロトコルをインストールして、サーバー機のみに、ドメインNetBIOS名を、defと設定するのでしょうか?

どこか(例えばWAN側)で、abc.comというドメイン名を、設定する場所は、ありますか?

DHCPサーバー名は、XYZ.abc.localで、
DNSサーバー名は、XYZ.abc.comで、よろしいでしょうか?
よろしく、お願いします。

すでに、回答が出ているとは、思うのですが、探せなかったので、質問します。

ADSLモデムルーターの配下に、Win98系と2000PROのパソコンとプリンターが、ぶら下がっています。

2000サーバーに、98SEで、イントラ側ワークグループ名が、defというクライアント機グループと、2000PROで、abcというドメイン名でイントラ側に、参加するクライアント機があるとき、
初めて、WIN2000サーバー(サーバー名、XYZ)に、ドメイン名を設定するときは、申請取得したドメイン...続きを読む

Aベストアンサー

用語について、いくつか混同されているところがありますね。
# 説明の仕方が悪いのかなぁ…

アクティブディレクトリの参考書も参照してくださいね。
とりあえず、明らかに間違えているところを説明します。

「正引きゾーン」は、あくまでDNSで名前解決を行う為の領域を定義するものです。"abc.local"のゾーンでは、"xxx.abc.local" という名前のホストを管理することになります(サブドメインも含みます。但し、サブドメインの管理は別ゾーンに「委任」することができます。詳しくはDNSの参考書を見てください)
DNSの設定そのものはアクティブディレクトリの設定に影響を直接与えることはありません。(名前解決ができなくて通信できない、という状態を除く)
その為、DNSにはホスト名とドメイン名(サブドメイン名)以外の情報は記述する必要はありません。
"Built-in Computers", "OU" "Domain Controller"などは、いずれもADの管理要素ですので、DNSへの登録は不要です。

> なお、正引きゾーン=FQDNと理解してよろしいでしょうか?

違います。FQDNについては以下のURLを見てください。
http://e-words.jp/w/FQDN.html

> ドメインツリーの階層ごとに、第1階層から順に、何がないといけないのか、よく解っていません。

アクティブディレクトリの管理画面について言っているのだと思いますが、判らないときは触らない方がよいです。小規模なネットワークであればデフォルト状態でも十分に機能します。

まずはここまで。

用語について、いくつか混同されているところがありますね。
# 説明の仕方が悪いのかなぁ…

アクティブディレクトリの参考書も参照してくださいね。
とりあえず、明らかに間違えているところを説明します。

「正引きゾーン」は、あくまでDNSで名前解決を行う為の領域を定義するものです。"abc.local"のゾーンでは、"xxx.abc.local" という名前のホストを管理することになります(サブドメインも含みます。但し、サブドメインの管理は別ゾーンに「委任」することができます。詳しくはDNSの参考書を見てくだ...続きを読む

Qpingでポートの指定

pingでIPアドレスを指定して、通信できるかどうかというのは
よく使いますが、pingでポートを指定して応答するかどうかは調べられるのでしょうか?

よろしくお願いします

Aベストアンサー

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含むICMP)ではできません。

FTPの疎通確認であれば、クライアントからサーバに対するTCP/21通信(FTP-CMD)が可能であること(サーバからクライアントへのTCP/21からの応答を含む)+サーバからクライアントに対するTCP/20通信(FTP-DATA)が可能であること(クライアントからサーバへのTCP/21からの応答を含む)が必要でしょう。

監視ソフトによるものであれば、
・クライアントからサーバへのログイン(TCP/21)
・クライアントからサーバへのlsの結果(TCP/20)
で確認すればよいでしょう。

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含む...続きを読む

QAdministratorsとDomain Adminsの違い

ドメイン上のAdministratorsとDomain Adminsのグループの違いをそれぞれ教えて下さい。

権限など違いがわかりません。
どのような用途でそれぞれ使いわけるのでしょうか?

よろしくお願いします。

Aベストアンサー

<Administrators>
ローカル管理者グループ
そのマシンの管理を行う目的のグループ
そのサーバ OS に最初から用意されているグループ
AD 環境においては意味なしと言える。(と思う)

<Domain Admins>
ドメイン管理者グループ
その Domain の全てを管理する目的のグループ
Active Directory 構成にした時に用意されるグループ

Active Directory 環境上では DC の Administrator ユーザーは DC 内の Administrators にも、AD の Domain Admins にも所属しているためややこしく感じるが、Administrators は無視しても構わない。(と思う)
なぜなら Domain Admins に所属していれば自動的にローカルの Administrators にも所属しているから。
仮に個人名をつけた "admin-hoge" というユーザーを AD 上に作成し、これを Domain Admins に所属させたとしても、やはり自動的に DC 上の Administorators に所属するため、Administrators グループは意味を持たなくなる。

AD に所属するクライアント上で言えば、
クライアント ローカルの Administrators グループはそのクライアントの管理権限しか持たず、他のクライアントの管理権限は持たない。
ただし AD に所属している以上、クライアント ローカルの Administrators グループには Domain Admins グループも含まれるため、Domain Admins に含まれるユーザーはその AD に所属するすべてのクライアント上で管理権限を持つことになる。


じゃぁクライアントでも Administrators グループは無用なものなのかというとそうではない。

「個人に貸与したクライアントは、その個人にもクライアントの管理権限を与える」 というルールで運用するならば(一般従業員には推奨できるものではないが)、PC-A のローカル Administrators グループに AD 上の hoge ユーザーを加えることで、 hoge さんは PC-A の管理権限を持たせられる。(他の PC の管理権限は持たない)

AD 上の hoge ユーザーを Domain Admins に所属させれば、hoge さんは AD 上の全ての PC で管理権限を持つ。

また、PC-A のローカルに admin-hoge というユーザーを作り、それを PC-A の Administrators に所属させれば、PC-A にしかログインできない管理権限ユーザーということになる。

<Administrators>
ローカル管理者グループ
そのマシンの管理を行う目的のグループ
そのサーバ OS に最初から用意されているグループ
AD 環境においては意味なしと言える。(と思う)

<Domain Admins>
ドメイン管理者グループ
その Domain の全てを管理する目的のグループ
Active Directory 構成にした時に用意されるグループ

Active Directory 環境上では DC の Administrator ユーザーは DC 内の Administrators にも、AD の Domain Admins にも所属しているためややこしく感じるが、Administrators...続きを読む

QDirコマンドでフォルダ内ファイルの合計サイズをだすには?(コマンドプロンプトにて)

いろいろ調べましたが不明な点があり、質問します。

WindowsのDOSプロンプトでdirコマンドを打つとフォルダ・ファイルの一覧が表示されますが、その中にファイルサイズが表示されています。
このサイズを合計できるコマンドはありませんか?
DIRコマンドのオプションを調べましたがそれらしいものが見当たりません。
具体的には
C:\xxx\配下に50個程度のファイルがあります。
その50個の合計サイズを知りたいです。
xxxフォルダの親フォルダにはアクセス不可です。

ずーっと悩んでいます。よろしくお願いします。

なお、OSはWindowsNTか2000で使用予定です。

Aベストアンサー

カレントドライブ、カレントフォルダを
C:\xxx\
にした状態で、

dir /s /a-d

/sパラメータででサブディレクトリすべてを検索
/a-dパラメータでディレクトリ以外のファイル(つまり属性に関係なくすべてのファイル

これを実行すると最後にファイルの個数とファイルサイズの合計を表示します。

もし、隠し属性のファイルは合計しないのであれば、

dir /s

だけで良いと思われます。

Qapt-get install ****** でinstallしたものをuninstallするには?

御世話になります。
vncserverだけをinstallするつもりが
誤って
apt-get install vncとうってしまいました。
これをuninstallしたいのですが
どのようにすればよろしいでしょうか?

教えて下さい。

Aベストアンサー

# apt-get remove パッケージ名
では、設定ファイルは削除されずに残ります。

完全に削除するときは、
# apt-get --purge remove パッケージ名
です。

Q「いずれか」と「いづれか」どっちが正しい!?

教えて下さいっ!
”どちらか”と言う意味の「いずれか」のかな表記として
「いずれか」と「いづれか」のどちらが正しいのでしょう???

私は「いずれか」だと思うんですが、辞書に「いずれか・いづ--。」と書いてあり、???になってしまいました。
どちらでもいいってことでしょうか?

Aベストアンサー

「いずれか」が正しいです.
「いづれ」は「いずれ」の歴史的かな遣いですので,昔は「いづれ」が使われていましたが,現代では「いずれ」で統一することになっていますので,「いずれ」が正しいです.

Q自分のドメインを調べるにはどうすれば良いのか

現在ブロードバンドでインター、ットに接続しています。しかしあるサイトで、IISを設けているらしく、自分がそのサイトにアクセスする際、自分がどのドメインでアクセスしているか教えなければなりません。
どのようにすれば、自分がどのような名称のドメインでそのサイトにアクセスしようとしているのか、調べる方法をご教授ください。
宜しくお願い致します。

Aベストアンサー

お求めのもので無ければすいません。
http://oshiete1.goo.ne.jp/kotaeru.php3?q=910153
http://www.ugtop.com/spill.shtml

参考URL:http://oshiete1.goo.ne.jp/kotaeru.php3?q=910153,http://www.ugtop.com/spill.shtml


人気Q&Aランキング