DMZと社内LANは違うWindowsドメインにすべき？

Windows NT4.0が出た頃に構築された社内LAN＆インターネットサーバ環境を、今頃ようやくWindows Server 2003 R2 ＆ Windows 2000 Serverで構築されたネットワークにアップグレードしようとしています。

現在の状態は（ネットワークを構築した当時のセキュリティの観点からなのか）インターネットサーバが置いてあるDMZと、社内LANがわざわざ別のNTドメインになっています。

今回、Active Directoryで構築し直すに当たって、やはり同じようにドメインを分ける必要があるのかどうか判らず、教えていただければと思い投稿しました。

現在は、社内LAN、mailサーバ、wwwサーバ、DBサーバ全てがWindowsNT4.0になっています。
mailサーバとwwwサーバにはそれぞれ社内LANのサブネットと同じプライベートアドレスが振ってあり、Firewallでグローバルアドレスに変換して外部からアクセスできるようになっています。これをDMZと呼んで良いのかどうか判らないのですが一応DMZと呼んでいます。

社内LANのNTドメイン（DOMAIN-Aとします）と、このDMZにあるmailサーバ、wwwサーバ、そして社内LANにあるDBサーバから構成されたNTドメイン（DOMAIN-Bとします）という二つのNTドメインが存在しています。

そして、OSが古かったからかもしれないのですが、DMZのNTドメインには以前外部から侵入された形跡があり、知らないユーザーアカウントが登録されたことがありました。そんなこともあったので、外部からアクセスできる領域は別のドメインにしておいた方がより安全なのかも、と思ったりしています。

しかし一方で「今はそんな面倒な組み方してる所はないよ」という話かもしれず、現在の主流な組み方が判らないので教えていただけないでしょうか。

よろしくお願い致します。

No.1 ベストアンサー 回答者： junkUser 回答日時： 2008/07/11 10:39

ネットワーク構成が以下のような状態にあると想定して回答します。

DMZは通常構成します。DMZが無い構成のほうが珍しいでしょう。
http://www.atmarkit.co.jp/aig/02security/dmz.html

DMZ専用に別のアカウント ドメインを作ることは、数年前までは常識でした。ログオンできるがメールを届けないなどのアカウントの区別ができなかったためと、この方がセキュリティが高いと考えられていたためです。（セキュリティが高いと考えられていたのは実際には勘違いで、パスワードが長期に変更されなくなるなどのリスクがかえって増大する結果となります）
また、DNSに関しても接続元のIPアドレスによって回答を変更するような機能がなかったため、外部用DNSサーバと内部用DNSサーバが分かれていました。
現在では同じアカウントを使用し受信可否の区別ができますのであえて分ける理由もないのではないかと思います。

真面目に構成するとしたら、DMZ上にフォワード用のDNSサーバとメールサーバ（ウイルスチェック用サーバなど）、外部公開用WWWサーバを設置し、内部ネットワークに内部用DNSサーバ、メールサーバ（クライアントが接続する本物のサーバpop3,imapなど）を設置します。

予算次第で台数が減るかもしれませんが・・・

この回答へのお礼

ご回答、ありがとうございます。
大変助かります。

なるほど、今は同じドメインで構築してしまって良いんですね。
DMZ上にフォワード用のDNSサーバを置く余裕は無さそうなのでこれは現在の構成と同じくISPのDNSサーバを指定させてもらおうと思います。
あとは、フォワード用のメールサーバは置けますので、まさに書いていただいた構成で組もうと思います。

追加で恐縮なのですが、もしご存じならばWindows Serverで組むこういうLAN＆インターネット環境の構築について、おススメの本などがありましたらご教授いただけないでしょうか。
厚かましいお願いですみません。

お礼日時：2008/07/11 18:39

No.2 回答者： junkUser 回答日時： 2008/07/13 09:31

＞Windows Serverで組むこういうLAN＆インターネット環境の構築について、おススメの本などがありましたらご教授いただけないでしょうか。

メールサーバを何にするかですが・・・

Windows Server 2003 のSMTP、POP3の機能を使うのでしたら
http://technet2.microsoft.com/WindowsServer/ja/l …

ユーザー数が数千に及ぶ場合はExchangeやLinuxのメールサーバを使用することになるでしょう。

Exchange の場合は、どの書籍もすべてをカバーしたものは存在しないので複数の本を参考に構築することになります。
マイクロソフトのトレーニングを受けたほうが賢明でしょう。

Linuxの場合は、
Active DirectoryとLinuxによるシステム構築ガイド
http://www.amazon.co.jp/Active-Directory%E3%81%A …
を基本に、postfix で構築するのが簡単です。

この回答へのお礼

ありがとうございます。
御礼が遅くなってしまい申し訳ありません。

Windows Server 2003にはそんな機能もあったんですね。見落としていました。それだと比較的簡単にできそうな気がします。

色々教えていただき大変助かりました。試行錯誤しながらですが、なんとかやってみようと思います。
ありがとうございました。

お礼日時：2008/07/16 01:46