![](http://oshiete.xgoo.jp/images/v2/pc/qa/question_title.png?e8efa67)
Windows NT4.0が出た頃に構築された社内LAN&インターネットサーバ環境を、今頃ようやくWindows Server 2003 R2 & Windows 2000 Serverで構築されたネットワークにアップグレードしようとしています。
現在の状態は(ネットワークを構築した当時のセキュリティの観点からなのか)インターネットサーバが置いてあるDMZと、社内LANがわざわざ別のNTドメインになっています。
今回、Active Directoryで構築し直すに当たって、やはり同じようにドメインを分ける必要があるのかどうか判らず、教えていただければと思い投稿しました。
現在は、社内LAN、mailサーバ、wwwサーバ、DBサーバ全てがWindowsNT4.0になっています。
mailサーバとwwwサーバにはそれぞれ社内LANのサブネットと同じプライベートアドレスが振ってあり、Firewallでグローバルアドレスに変換して外部からアクセスできるようになっています。これをDMZと呼んで良いのかどうか判らないのですが一応DMZと呼んでいます。
社内LANのNTドメイン(DOMAIN-Aとします)と、このDMZにあるmailサーバ、wwwサーバ、そして社内LANにあるDBサーバから構成されたNTドメイン(DOMAIN-Bとします)という二つのNTドメインが存在しています。
そして、OSが古かったからかもしれないのですが、DMZのNTドメインには以前外部から侵入された形跡があり、知らないユーザーアカウントが登録されたことがありました。そんなこともあったので、外部からアクセスできる領域は別のドメインにしておいた方がより安全なのかも、と思ったりしています。
しかし一方で「今はそんな面倒な組み方してる所はないよ」という話かもしれず、現在の主流な組み方が判らないので教えていただけないでしょうか。
よろしくお願い致します。
![](http://oshiete.xgoo.jp/images/v2/common/profile/M/noimageicon_setting_07.png?e8efa67)
No.1ベストアンサー
- 回答日時:
ネットワーク構成が以下のような状態にあると想定して回答します。
DMZは通常構成します。DMZが無い構成のほうが珍しいでしょう。
http://www.atmarkit.co.jp/aig/02security/dmz.html
DMZ専用に別のアカウント ドメインを作ることは、数年前までは常識でした。ログオンできるがメールを届けないなどのアカウントの区別ができなかったためと、この方がセキュリティが高いと考えられていたためです。(セキュリティが高いと考えられていたのは実際には勘違いで、パスワードが長期に変更されなくなるなどのリスクがかえって増大する結果となります)
また、DNSに関しても接続元のIPアドレスによって回答を変更するような機能がなかったため、外部用DNSサーバと内部用DNSサーバが分かれていました。
現在では同じアカウントを使用し受信可否の区別ができますのであえて分ける理由もないのではないかと思います。
真面目に構成するとしたら、DMZ上にフォワード用のDNSサーバとメールサーバ(ウイルスチェック用サーバなど)、外部公開用WWWサーバを設置し、内部ネットワークに内部用DNSサーバ、メールサーバ(クライアントが接続する本物のサーバpop3,imapなど)を設置します。
予算次第で台数が減るかもしれませんが・・・
ご回答、ありがとうございます。
大変助かります。
なるほど、今は同じドメインで構築してしまって良いんですね。
DMZ上にフォワード用のDNSサーバを置く余裕は無さそうなのでこれは現在の構成と同じくISPのDNSサーバを指定させてもらおうと思います。
あとは、フォワード用のメールサーバは置けますので、まさに書いていただいた構成で組もうと思います。
追加で恐縮なのですが、もしご存じならばWindows Serverで組むこういうLAN&インターネット環境の構築について、おススメの本などがありましたらご教授いただけないでしょうか。
厚かましいお願いですみません。
![](http://oshiete.xgoo.jp/images/v2/common/profile/M/noimageicon_setting_07.png?e8efa67)
No.2
- 回答日時:
>Windows Serverで組むこういうLAN&インターネット環境の構築について、おススメの本などがありましたらご教授いただけないでしょうか。
メールサーバを何にするかですが・・・
Windows Server 2003 のSMTP、POP3の機能を使うのでしたら
http://technet2.microsoft.com/WindowsServer/ja/l …
ユーザー数が数千に及ぶ場合はExchangeやLinuxのメールサーバを使用することになるでしょう。
Exchange の場合は、どの書籍もすべてをカバーしたものは存在しないので複数の本を参考に構築することになります。
マイクロソフトのトレーニングを受けたほうが賢明でしょう。
Linuxの場合は、
Active DirectoryとLinuxによるシステム構築ガイド
http://www.amazon.co.jp/Active-Directory%E3%81%A …
を基本に、postfix で構築するのが簡単です。
ありがとうございます。
御礼が遅くなってしまい申し訳ありません。
Windows Server 2003にはそんな機能もあったんですね。見落としていました。それだと比較的簡単にできそうな気がします。
色々教えていただき大変助かりました。試行錯誤しながらですが、なんとかやってみようと思います。
ありがとうございました。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- サーバー 別サーバに構築したApache+Tomcatの連携について 2 2023/03/06 23:23
- サーバー ネットワーク内のDNSについて 1 2022/12/11 11:13
- その他(メールソフト・メールサービス) メールが送信できない 発信側でできる対策 3 2023/05/11 10:22
- WordPress(ワードプレス) WordPressの編集画面がいつもと違うのですがこれは何でしょう? 1 2023/03/29 10:26
- その他(IT・Webサービス) 無料ドメイン無料サーバでHP作りたい。 知り合いの飲食店のHPを作ってあげたいのですが、その店主には 3 2022/06/05 01:22
- ネットワーク Active Directoryの管理者パスワードが過去に変更されたか否かはわかるのでしょうか 1 2023/04/15 18:50
- サーバー Windows Server 2019 CALについて 3 2022/04/02 16:40
- ドメイン・サーバー・クラウドサービス サクラサーバーでのHPのUPについて 1 2023/06/10 11:21
- オープンソース 研究室内だけで見れるサイトをどの様に構築すればいいかわかりません 2 2022/06/30 20:58
- ドメイン・サーバー・クラウドサービス さくらサーバーでhpをアップロードしたいです・・・ 1 2023/06/09 21:03
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
会社の共有フォルダのIPアドレ...
-
530が出て、FTPアクセスできません
-
RHELのErrataの適用
-
アクセス許可、管理者権限が得...
-
【ドメイン参加】ネットワーク...
-
「フルコントロール」と「変更...
-
Everyone拒否したら自分がアク...
-
特定のユーザーをログオン不可...
-
VNCにうまくつながらない
-
自分のPCがリモートされてるか...
-
ローカルでログインできない
-
ユーザ登録時「サーバは使用可...
-
Windowsでリモートデスクトップ...
-
ドメインをワークグループに変...
-
リモートデスクトップ接続機能...
-
システムに接続されたデバイス...
-
「プリンター(1コピー)」の削除...
-
アクセス権がなく、iTunesを起...
-
1台のPCを複数のワークグループ...
-
コマンドのnetstatで表示される...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
会社の共有フォルダのIPアドレ...
-
530が出て、FTPアクセスできません
-
メモ帳の排他について
-
自動メール送信するには?
-
tracert www.yahoo.co.jp
-
ファイルコピーする場合のサー...
-
fastcopyとタスクスケジューラ...
-
administrator、administrators...
-
fastcopyとタスクスケジューラ...
-
RHELのErrataの適用
-
「日本でのUnixサーバーの普及...
-
ntpデーモンについての質問
-
tmpディレクトリの中に
-
32bit/64bitアプリケーションの...
-
WindowsserverとCALの事について
-
サーバの日付を変更するとWebア...
-
RIOWORKS PDVIA(Slot1 Dual)に...
-
この環境だとサーバーは何台ぐ...
-
Win2012 POPサービス機能
-
net timeができない。
おすすめ情報