Windows NT4.0が出た頃に構築された社内LAN&インターネットサーバ環境を、今頃ようやくWindows Server 2003 R2 & Windows 2000 Serverで構築されたネットワークにアップグレードしようとしています。
現在の状態は(ネットワークを構築した当時のセキュリティの観点からなのか)インターネットサーバが置いてあるDMZと、社内LANがわざわざ別のNTドメインになっています。
今回、Active Directoryで構築し直すに当たって、やはり同じようにドメインを分ける必要があるのかどうか判らず、教えていただければと思い投稿しました。
現在は、社内LAN、mailサーバ、wwwサーバ、DBサーバ全てがWindowsNT4.0になっています。
mailサーバとwwwサーバにはそれぞれ社内LANのサブネットと同じプライベートアドレスが振ってあり、Firewallでグローバルアドレスに変換して外部からアクセスできるようになっています。これをDMZと呼んで良いのかどうか判らないのですが一応DMZと呼んでいます。
社内LANのNTドメイン(DOMAIN-Aとします)と、このDMZにあるmailサーバ、wwwサーバ、そして社内LANにあるDBサーバから構成されたNTドメイン(DOMAIN-Bとします)という二つのNTドメインが存在しています。
そして、OSが古かったからかもしれないのですが、DMZのNTドメインには以前外部から侵入された形跡があり、知らないユーザーアカウントが登録されたことがありました。そんなこともあったので、外部からアクセスできる領域は別のドメインにしておいた方がより安全なのかも、と思ったりしています。
しかし一方で「今はそんな面倒な組み方してる所はないよ」という話かもしれず、現在の主流な組み方が判らないので教えていただけないでしょうか。
よろしくお願い致します。
No.1ベストアンサー
- 回答日時:
ネットワーク構成が以下のような状態にあると想定して回答します。
DMZは通常構成します。DMZが無い構成のほうが珍しいでしょう。
http://www.atmarkit.co.jp/aig/02security/dmz.html
DMZ専用に別のアカウント ドメインを作ることは、数年前までは常識でした。ログオンできるがメールを届けないなどのアカウントの区別ができなかったためと、この方がセキュリティが高いと考えられていたためです。(セキュリティが高いと考えられていたのは実際には勘違いで、パスワードが長期に変更されなくなるなどのリスクがかえって増大する結果となります)
また、DNSに関しても接続元のIPアドレスによって回答を変更するような機能がなかったため、外部用DNSサーバと内部用DNSサーバが分かれていました。
現在では同じアカウントを使用し受信可否の区別ができますのであえて分ける理由もないのではないかと思います。
真面目に構成するとしたら、DMZ上にフォワード用のDNSサーバとメールサーバ(ウイルスチェック用サーバなど)、外部公開用WWWサーバを設置し、内部ネットワークに内部用DNSサーバ、メールサーバ(クライアントが接続する本物のサーバpop3,imapなど)を設置します。
予算次第で台数が減るかもしれませんが・・・
ご回答、ありがとうございます。
大変助かります。
なるほど、今は同じドメインで構築してしまって良いんですね。
DMZ上にフォワード用のDNSサーバを置く余裕は無さそうなのでこれは現在の構成と同じくISPのDNSサーバを指定させてもらおうと思います。
あとは、フォワード用のメールサーバは置けますので、まさに書いていただいた構成で組もうと思います。
追加で恐縮なのですが、もしご存じならばWindows Serverで組むこういうLAN&インターネット環境の構築について、おススメの本などがありましたらご教授いただけないでしょうか。
厚かましいお願いですみません。
No.2
- 回答日時:
>Windows Serverで組むこういうLAN&インターネット環境の構築について、おススメの本などがありましたらご教授いただけないでしょうか。
メールサーバを何にするかですが・・・
Windows Server 2003 のSMTP、POP3の機能を使うのでしたら
http://technet2.microsoft.com/WindowsServer/ja/l …
ユーザー数が数千に及ぶ場合はExchangeやLinuxのメールサーバを使用することになるでしょう。
Exchange の場合は、どの書籍もすべてをカバーしたものは存在しないので複数の本を参考に構築することになります。
マイクロソフトのトレーニングを受けたほうが賢明でしょう。
Linuxの場合は、
Active DirectoryとLinuxによるシステム構築ガイド
http://www.amazon.co.jp/Active-Directory%E3%81%A …
を基本に、postfix で構築するのが簡単です。
ありがとうございます。
御礼が遅くなってしまい申し訳ありません。
Windows Server 2003にはそんな機能もあったんですね。見落としていました。それだと比較的簡単にできそうな気がします。
色々教えていただき大変助かりました。試行錯誤しながらですが、なんとかやってみようと思います。
ありがとうございました。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・人生のプチ美学を教えてください!!
- ・10秒目をつむったら…
- ・あなたの習慣について教えてください!!
- ・牛、豚、鶏、どれか一つ食べられなくなるとしたら?
- ・【大喜利】【投稿~9/18】 おとぎ話『桃太郎』の知られざるエピソード
- ・街中で見かけて「グッときた人」の思い出
- ・「一気に最後まで読んだ」本、教えて下さい!
- ・幼稚園時代「何組」でしたか?
- ・激凹みから立ち直る方法
- ・1つだけ過去を変えられるとしたら?
- ・【あるあるbot連動企画】あるあるbotに投稿したけど採用されなかったあるある募集
- ・【あるあるbot連動企画】フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
- ・映画のエンドロール観る派?観ない派?
- ・海外旅行から帰ってきたら、まず何を食べる?
- ・誕生日にもらった意外なもの
- ・天使と悪魔選手権
- ・ちょっと先の未来クイズ第2問
- ・【大喜利】【投稿~9/7】 ロボットの住む世界で流行ってる罰ゲームとは?
- ・推しミネラルウォーターはありますか?
- ・都道府県穴埋めゲーム
- ・この人頭いいなと思ったエピソード
- ・準・究極の選択
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
会社の共有フォルダのIPアドレ...
-
530が出て、FTPアクセスできません
-
RHELのErrataの適用
-
fastcopyとタスクスケジューラ...
-
Windows2000サーバの各ユーザの...
-
subversionサーバ用のGUIツール...
-
OSの動向について
-
Mac X Tigerサーバ
-
メモ帳の排他について
-
一般家庭でLinuxを生かすには?
-
DMZと社内LANは違うWindowsドメ...
-
Linux へのログイン方法
-
複数ドメインの統合について
-
ドメインをワークグループに変...
-
Administrators設定時のエラー
-
【regini.exeについて】
-
Win7端末に対するリモートデス...
-
Windows10でのユーザー追加にお...
-
Linuxへの移行 来年でWindows10...
-
突然pingが飛ばなくなった!
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
会社の共有フォルダのIPアドレ...
-
530が出て、FTPアクセスできません
-
メモ帳の排他について
-
RHELのErrataの適用
-
ApacheのREAD_TIMEOUTについて
-
squid cache_peerのproxy-only...
-
サーバー台数は何台くらい必要なの
-
Windows Server 2003 で、ネッ...
-
32bit/64bitアプリケーションの...
-
自動メール送信するには?
-
WindowsserverとCALの事について
-
fastcopyとタスクスケジューラ...
-
DMZと社内LANは違うWindowsドメ...
-
DNSサーバへの負荷試験ツール・...
-
administrator、administrators...
-
fastcopyとタスクスケジューラ...
-
ntpデーモンについての質問
-
ネットワーク上にWindows2000Se...
-
ServerProtect for Linuxのシリ...
-
サーバの日付を変更するとWebア...
おすすめ情報