gooポイントが当たる質問投稿キャンペーン>>

ActiveDirectoryの信頼関係について
Windows2003のActiveDirectoryでAドメインからBドメインへ信頼関係を設定する方法を教えてください。

やりたいことはAドメインのユーザがBドメインの共有フォルダにアクセスできることです。

A 回答 (2件)

信頼関係を設定する方法は他の方が書かれている通りですが、


前段の作業として双方のドメインの名前解決が出来る必要があります。
Aドメインで使用しているDNSサーバがBドメインの、Aドメインで使用しているDNSサーバがBドメインの名前解決が出来る必要があります。
この辺の設定は大丈夫でしょうか?
他のドメインの名前解決は、DNSサーバでセカンダリゾーンを管理するか、フォワーダを設定します。
一般的には管理が簡単なのでフォワーダを設定します。
Windows Server 2003であれば、一般的に条件付きフォワーダを設定します。
これを双方のDNSサーバで設定を行います。

この後、ActiveDirectoryドメインと信頼関係で信頼関係の設定です。

既に実施しているのならば、申し訳ありませんが別の原因ですね。
フォワーダ設定に不明なところがあればまた質問して頂ければと思います。
    • good
    • 1

コントロールパネルの管理ツールに[ActiveDirectoryドメインと信頼関係]があるので起動してください。


起動後、左側のペインにドメイン名があるので右クリックしてプロパティを開き、
[信頼]タブにある[新しい信頼関係]をクリック。
後はウィザードにしたがっていけば大丈夫です。

この回答への補足

ご回答ありがとうございました。

指定されたドメインに接続できないため、新しい信頼ウィザードを続行できません。
ドメインが存在しないか、あるいはネットワークまたはその他の問題により、接続できません
と表示されます 。

補足日時:2010/08/27 09:18
    • good
    • 0

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人はこんなQ&Aも見ています

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Q同一フォレストにADサーバが複数存在する場合の運用

既存ドメインのフォレスト内に新規ドメインを構築する形で、両ドメイン間での信頼関係を結んでいます。
両ドメインのADサーバでは、DNSのforwardersの設定で互いのADサーバのIPアドレスを登録しており、
不明な問い合わせがあった場合は相手のADサーバに問い合わせて名前解決をしています。

上記の環境での運用について、2点教えて下さい。

【質問1】
この状況で新規に追加したADサーバを停止した場合、既存ドメインから新規ドメインの名前解決が
できなくなると思いますが、それ以外には影響が出ないと考えて良いでしょうか?気にしているのは、
もともと既存ドメインで完結していた機能が使えなくなるような事態が発生しないか、という点です。

【質問2】
一般的に、上記のように同一フォレスト内に複数のADサーバがある場合、
それぞれのADサーバを単独で停止させても良いものなのでしょうか?
それとも、単独で停止させるためには別フォレストにする必要があるのでしょうか?

Aベストアンサー

まず、標準ゾーン (プライマリまたはセカンダリ) とActive Directory統合ゾーンのゾーン情報の持ち方とゾーン情報の同期について理解しないと混乱すると思います。

標準ゾーンは、BINDなどの一般的なDNSサーバと同様に、各DNSサーバの <ゾーン名>.dns
というファイルにゾーン情報を持ちます。
もちろんこのファイルはローカルファイルなので共有されません。
同期はDNSのゾーン転送要求(AXFR,IXFR)でゾーン転送をすることで同期します。

プライマリとセカンダリの違いは、ゾーン情報を変更できる側と読み取り専用のコピーを持つ側という認識で良いかと思います。

Active Directory統合ゾーンは、Active Directoryデータベースにゾーン情報を持ちこれはDCで共有の情報です。
同期はもちろんActive Directoryで行います。
Active Directory統合ゾーンでは、全てのDNSサーバがゾーン情報を変更する(できる)ので全てがプライマリになります。

>1.AD統合ゾーンによるレプリケーションを行う場合、ゾーン転送は許可しなくても良いのでしょうか?

この許可はゾーン転送要求(AXFR,IXFR)を許可するしないに影響するため、不要ということになります。
(AD統合ゾーンはレプリケーションスコープによるところになります)

>2.AD統合ゾーンによるレプリケーションを行う場合、既存DNSに登録する新規ドメインの種類は

先に書いたように、ADでは1台のプライマリに更新を全部やらせるのではなく、それぞれのDNSサーバが情報を更新して同期されるようになっています。
だから、全てプライマリです。
BINDなどで複数のプライマリで構成することも出来ますが、ADのように同期させることは出来ないです。(最近はどうかわかりません)


セカンダリを使用しない場合の問題点を一つ追加すると
例えばプライマリ1台、セカンダリ複数台の場合、プライマリの1台が故障するとゾーンの変更が出来ず単一障害点になるということもあると思います。
もちろん全てのDNSサーバがAD統合ゾーンを使用出来る前提です。

まず、標準ゾーン (プライマリまたはセカンダリ) とActive Directory統合ゾーンのゾーン情報の持ち方とゾーン情報の同期について理解しないと混乱すると思います。

標準ゾーンは、BINDなどの一般的なDNSサーバと同様に、各DNSサーバの <ゾーン名>.dns
というファイルにゾーン情報を持ちます。
もちろんこのファイルはローカルファイルなので共有されません。
同期はDNSのゾーン転送要求(AXFR,IXFR)でゾーン転送をすることで同期します。

プライマリとセカンダリの違いは、ゾーン情報を変更できる側と読み取り...続きを読む

Q別のドメインのユーザIDでログインできる?

初歩的な質問でスミマセン。
前提)
・ドメインAにはユーザAさんが登録されている
・ドメインBにはユーザBさんが登録されている
・ドメインAとドメインBが信頼関係で結ばれている
・自分のPCはドメインAに所属。
・NTドメイン

質問)
自分のPCのログオン画面には、ログオン先としてプルダウンからドメインAおよびドメインBが選択できますが、(1)ドメインAを選択して、ユーザBでログオンできますか?
(2)ドメインBを選択して、ユーザAでログオンできますか?
(3)ドメインBを選択して、ユーザBでログオンできますか?

試す環境が無い為、質問させて頂きました。よろしくお願いします。

Aベストアンサー

ドメイン A、B
クライアント a,b
として、

ドメインAにbさんはログインできません。
ドメインBにaさんはログインできません。

但し、信頼関係が結ばれているのでドメインAのファイルサーバーにbさんのアクセス権を”付与”する事ができます。

もし、ドメインBにaさんのIDを登録した場合でも
別人となります。

ドメインAのaさんは A\a
ドメインBのaさんは B\a

QAdministratorsとDomain Adminsの違い

ドメイン上のAdministratorsとDomain Adminsのグループの違いをそれぞれ教えて下さい。

権限など違いがわかりません。
どのような用途でそれぞれ使いわけるのでしょうか?

よろしくお願いします。

Aベストアンサー

<Administrators>
ローカル管理者グループ
そのマシンの管理を行う目的のグループ
そのサーバ OS に最初から用意されているグループ
AD 環境においては意味なしと言える。(と思う)

<Domain Admins>
ドメイン管理者グループ
その Domain の全てを管理する目的のグループ
Active Directory 構成にした時に用意されるグループ

Active Directory 環境上では DC の Administrator ユーザーは DC 内の Administrators にも、AD の Domain Admins にも所属しているためややこしく感じるが、Administrators は無視しても構わない。(と思う)
なぜなら Domain Admins に所属していれば自動的にローカルの Administrators にも所属しているから。
仮に個人名をつけた "admin-hoge" というユーザーを AD 上に作成し、これを Domain Admins に所属させたとしても、やはり自動的に DC 上の Administorators に所属するため、Administrators グループは意味を持たなくなる。

AD に所属するクライアント上で言えば、
クライアント ローカルの Administrators グループはそのクライアントの管理権限しか持たず、他のクライアントの管理権限は持たない。
ただし AD に所属している以上、クライアント ローカルの Administrators グループには Domain Admins グループも含まれるため、Domain Admins に含まれるユーザーはその AD に所属するすべてのクライアント上で管理権限を持つことになる。


じゃぁクライアントでも Administrators グループは無用なものなのかというとそうではない。

「個人に貸与したクライアントは、その個人にもクライアントの管理権限を与える」 というルールで運用するならば(一般従業員には推奨できるものではないが)、PC-A のローカル Administrators グループに AD 上の hoge ユーザーを加えることで、 hoge さんは PC-A の管理権限を持たせられる。(他の PC の管理権限は持たない)

AD 上の hoge ユーザーを Domain Admins に所属させれば、hoge さんは AD 上の全ての PC で管理権限を持つ。

また、PC-A のローカルに admin-hoge というユーザーを作り、それを PC-A の Administrators に所属させれば、PC-A にしかログインできない管理権限ユーザーということになる。

<Administrators>
ローカル管理者グループ
そのマシンの管理を行う目的のグループ
そのサーバ OS に最初から用意されているグループ
AD 環境においては意味なしと言える。(と思う)

<Domain Admins>
ドメイン管理者グループ
その Domain の全てを管理する目的のグループ
Active Directory 構成にした時に用意されるグループ

Active Directory 環境上では DC の Administrator ユーザーは DC 内の Administrators にも、AD の Domain Admins にも所属しているためややこしく感じるが、Administrators...続きを読む

QDNSの前方参照ゾーンについて

複数のDNS(ドメイン)サーバー(Windows2000、Windows2003)があり、それぞれのDNSにて別DNSをセカンダリとして前方参照をしたいのですが、
ゾーン作成時に「DNSサーバーに読み込まれていないゾーン DNSサーバーがゾーンを読み込もうとしているときに、エラーが発生しました。
マスタサーバーからゾーンデータを転送できませんでした。」となり参照できません。逆引き参照ゾーンは作成できます。
エラーとなる問題がわからないので何を解決すればいいのかを教えて下さい。

Aベストアンサー

「ゾーン転送を許可するサーバー」の設定で、ゾーン転送が無効になっていないでしょうか?
・すべてのサーバー
・ネーム サーバー タブの一覧にあるサーバーのみ
・次のサーバーのみ
上記のいずれかで有効に設定されているにも拘わらず、転送エラーメッセージが出るのであれば、DNSログの詳細レベルを上げて、現象発生時にイベントログのDNSログに何か記録されていないかを教えていただければ幸いです。

Qドメイン再参加時に、エラー:アクセスが拒否されました。

---------------------------
コンピューター名/ドメイン名の変更
---------------------------
参加の操作を正しく完了できませんでした。
これは、既存の "PC名" という名前のコンピューター アカウントが以前、別の資格情報で作成された可能性があります。
別のコンピューター名を使うか、管理者に連絡して、競合を発生している無効なアカウントを削除してもらってください。

エラー:アクセスが拒否されました。
---------------------------
OK
---------------------------

ドメイン再参加時に上記エラーメッセージが表示されます。

ADサーバ上にコンピューターオブジェクトが残っているのが原因かと思いますが、
ADサーバ上からコンピューターオブジェクトを削除し、ドメイン参加した場合、
パソコン内の個人用フォルダ(C:\Users\ドメインユーザー名のフォルダ)は削除・再作成されますか?

それともパソコン内の個人用フォルダを元に、コンピューターオブジェクトが作成されますか?


よろしくお願いします。

---------------------------
コンピューター名/ドメイン名の変更
---------------------------
参加の操作を正しく完了できませんでした。
これは、既存の "PC名" という名前のコンピューター アカウントが以前、別の資格情報で作成された可能性があります。
別のコンピューター名を使うか、管理者に連絡して、競合を発生している無効なアカウントを削除してもらってください。

エラー:アクセスが拒否されました。
---------------------------
OK
---------------------------

ドメイン再参加...続きを読む

Aベストアンサー

> パソコン内の個人用フォルダ(C:\Users\ドメインユーザー名のフォルダ)は削除・再作成されますか?

削除も再作成もされず、そのまま残ります。

ワークグループで使用している PC に、その PC のローカルに作成したアカウントでログオンしているのでしょうかね。
この PC を Active Directory に参加させたとします。
AD 参加後、従来と同様に PC のローカルに作成されているユーザー アカウントでログオンした場合は以前の環境を引き続き使用できます。

AD 参加後、AD で管理されているユーザー アカウントでログオンした場合は新規にユーザー プロファイルが作成されます。
(その AD のユーザー アカウントで今まで一度もこの PC にログオンしたことが無い場合は)

AD で管理されているユーザー アカウントの名前が偶然にもローカルで使っていたユーザー アカウントの名前と同じだった場合も新規にユーザー プロファイルが作成されます。
ユーザー アカウントの名前が同じでも別のアカウントとして識別されるからです。

AD 参加後は AD のユーザー アカウントで日常的なログオンをするのであれば、今まで使っていたユーザー アカウント用のユーザー プロファイルから必要な物を引っ越してくる必要があります。

> パソコン内の個人用フォルダ(C:\Users\ドメインユーザー名のフォルダ)は削除・再作成されますか?

削除も再作成もされず、そのまま残ります。

ワークグループで使用している PC に、その PC のローカルに作成したアカウントでログオンしているのでしょうかね。
この PC を Active Directory に参加させたとします。
AD 参加後、従来と同様に PC のローカルに作成されているユーザー アカウントでログオンした場合は以前の環境を引き続き使用できます。

AD 参加後、AD で管理されているユーザー ア...続きを読む

Qドメインの一般ユーザーにローカルの管理者権限を付与したい

ドメインの一般ユーザーにローカルコンピューターの管理者権限を付与する方法を教えてください。ドメイン管理者のパスワードは知っています。

Aベストアンサー

Windows XPと仮定して。
1.ローカルコンピューターにドメイン管理者のアカウントでログオン。
2.「マイコンピュータ」を右クリック⇒「管理」
3.「コンピュータの管理」画面⇒「システムツール」⇒「ローカルユーザーとグループ」⇒「グループ」
4.「Administrators」を右クリック⇒「グループに追加」
5.ドメインの特定のユーザー(あるいは、Domain Users)を追加
でできるはずです。

QActiveDirectoryで一般ユーザーにadministrator権限を与えるには

ActiveDirectoryで一般ユーザーにadministrator権限を与えるには、
いくつか方法があると思いますが、どれが一番良いのでしょうか?

・グループポリシーの制限されたグループに、administratorsを追加してその中に一般ユーザーを含める。
・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにAdministratorsを追加する。
・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにDomain Adminsを追加する。

以上、宜しくお願いします。

Aベストアンサー

No2.です。
Domain Adminsはそのアクティブディレクトリに関する制御もできるようになってしまいます。つまりネットワーク構成からドメイン下のユーザ管理、下手したらサーバー構成まで変更できてしまいます。通常サーバー管理者のみ使うものだと私は考えます。

ユーザにどうしても与えるならば、ローカルadminまでとして、更に余計なトラブルを防ぐため、通常使うユーザー名と、管理者権限が必要なときに使うユーザー名を用意し、必要に応じてログオンするユーザー名を切り替える、こんな運用してもらうのがいいのではないかと思います。
ちょっと利用者側は手間かもしれませんが、常時管理者権限が必要ということはないと思いますし、意識もできますから。

Qすでに存在しないドメインとの信頼関係

Windows 2000と2003でActive Directoryを運用しています。
最近、すでに存在しないドメインが、「ドメインと信頼関係」の一覧に残っていることに気がつきました。

これを削除しようとしたところ、メニューには削除が表示されず、プロパティなどは選択しても、「サーバは使用可能ではありません」とメッセージが表示され、内容を確認することが出来ません。
netdomコマンドでも、うまくいきませんでした。

もし、これについての対処方法をご存知の方がいらっしゃいましたら、ご回答いただければと思います。

Aベストアンサー

ANo.1です。

ログオン先に表示されるのが気になるってことでしたかぁ。

ちなみに、DNSの不要情報は削除しましたか?
残骸駆除のためと思っていたので単純にADSIeditを
お勧めしましたが、ログオン先に表示される箇所ということなら
たしか、DNSのレコード(ldapだっけかな?)によって
ログオン先の表示が現れたかと記憶しています。

で、すでに撤去済みとのことなので
DNSサーバーから該当の撤去済みドメインのレコード情報が
残っているか確認してあった場合は一通り削除してください。
(AレコードもCNAMEもSRVもldapもkerberosも何もかも)
すでに無い物ですから削除によるリスクは軽微かと思います。
それにDNSに不要なレコードを残しておくと
後々に不具合を起こす可能性を秘めています。

一つ一つゾーンや格納フォルダをチェックしながらの
手作業となるので非常にめんどくさいですが。。。

QDNSサーバを設定したのですがnslookupがタイムアウトになります

よろしくお願いします。
最近,固定IPアドレス1個と自jpドメインを取得しました。
結構高かったです。泣きそうです。
しかも1個って・・・
ネットワークとブロードキャストで2個消えるので最低でも4個はもらえるのかと思ってました(汗
ドメイン名もいかした名前は売り切れ,というより意味のある単語はほとんど先客があり,苦し紛れに文字って,なんとかさまになる(??)ドメイン名を取得しました。
という前置きはさておき,今回皆さんにお聞きしたいのはDNSというかネットワークの環境についてです。
恐らくDNSの設定は正しくできていると思うのです。
というのもサーバーにログインしてnslookupコマンドをやると,ちゃんと意図したアドレスが帰ってくるからです。
でも私がメインで使ってるXP機のコマンド画面からnslookupをやると

DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address サーバーのアドレス: Timed out
*** Default servers are not available
Default Server: UnKnown
Address: サーバーのアドレス

となってしまいます。
DNSの設定の他に
ルーターの設定をいじったり
DHCPサーバーの設定をいじったりと
いろいろからかってみたのですが,未だに解決しません。

何か心当たりのある方いらっしゃいませんか。
どんな些細な事でも思い当たることがありましたら是非とも教えてください。

よろしくお願いします。
最近,固定IPアドレス1個と自jpドメインを取得しました。
結構高かったです。泣きそうです。
しかも1個って・・・
ネットワークとブロードキャストで2個消えるので最低でも4個はもらえるのかと思ってました(汗
ドメイン名もいかした名前は売り切れ,というより意味のある単語はほとんど先客があり,苦し紛れに文字って,なんとかさまになる(??)ドメイン名を取得しました。
という前置きはさておき,今回皆さんにお聞きしたいのはDNSというかネットワークの環境についてです。
恐ら...続きを読む

Aベストアンサー

 なるほど、それでは 192.168.1.130 という DNS サーバ側では引けているので、設定は問題ないという事ですね。

 そうしましたら、DNS 情報の登録はどのようになされていますでしょうか。もし .jp ドメインであれば
http://whois.jprs.jp/
こちらから情報の確認が出来ます。

 確認ポイントは[Name Server]で指定がされている DNS サーバです。ここで固定 IP アドレスを取得されたドメイン名のホスト情報を表示していますでしょうか。

 ドメイン登録業者では、一般的にそのドメイン業者の持つ DNS サーバが割り当てていますので、変更が必要になります。もし初期状態のままでしたら、DNS サーバまわりの設定(もしくは業者への申請)が適切かどうかご確認されたほうが良さそうです(お名前.comでしたらアドバイス可能です)。

QDomainAdminsとAdministratorsの違い

domain環境におけるDomainAdminsとAdministratorsの違いは
何でしょうか?下記Microsoftのサイトで確認しましたが、同じに思えます。
http://technet2.microsoft.com/WindowsServer/ja/library/1631acad-ef34-4f77-9c2e-94a62f8846cf1041.mspx?mfr=true
相違点を教えて下さい。

Aベストアンサー

例として,次のようなWindowsPC群があるとします。
  2台のドメインコントローラ…DC1とDC2
  ワークグループ状態の4台のPC…WS1,WS2,WS3,WS4
個々のPCには,各々のPC1台だけを管理するグループとしてAdministratorsが存在します(注:DC1,DC2は複製なので合わせて1台扱いです)。
WS1~WS4をドメインに参加させると,ActiveDirectory上のDomain Adminsグループが,WS1~WS4の各Administratorsグループのメンバとして追加されます。

上記については質問者が示したWebページで説明されています。同ページの本文3行目にあるHyperLink先「既定のローカル グループ」の記述と併せて,該当箇所を抜き書きしてみました。

●(ドメインコントローラ上の)Administrators
このグループのメンバは、【ドメイン内のすべてのドメイン コントローラ】に対するフル コントロールを持ちます。

●(ドメインコントローラ上の)Domain Admins
このグループのメンバは、【ドメイン】に対するフル コントロールを持ちます。既定では、ドメイン コントローラ、ドメインのワークステーション、およびドメインのメンバ サーバーがドメインに参加したとき、このグループは、これらのすべてで Administrators グループのメンバになります。

●(ローカルコンピュータ上の)Administrators
このグループのメンバは、サーバーのフル コントロールの権限があり……このサーバーをドメインに参加させると、Domain Admins グループがこのグループに自動的に追加されます。

例として,次のようなWindowsPC群があるとします。
  2台のドメインコントローラ…DC1とDC2
  ワークグループ状態の4台のPC…WS1,WS2,WS3,WS4
個々のPCには,各々のPC1台だけを管理するグループとしてAdministratorsが存在します(注:DC1,DC2は複製なので合わせて1台扱いです)。
WS1~WS4をドメインに参加させると,ActiveDirectory上のDomain Adminsグループが,WS1~WS4の各Administratorsグループのメンバとして追加されます。

上記については質問者が示したWebページで説明されています。同ペ...続きを読む


人気Q&Aランキング