- ベストアンサー
異なるセグメントのドメインコントローラで認証したい
- 異なるセグメントのドメインコントローラで認証する方法について調査しています。
- WindowsXPクライアントをドメインに参加させるためのネットワーク設定についての情報を探しています。
- Windowsサーバ側のセグメントは本番運用の環境であるため、設定変更には慎重に対応したいと考えています。
- yuri_tti
- お礼率84% (28/33)
- Windows系OS
- 回答数3
- ありがとう数4
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
>異なるセグメントのドメインコントローラで認証したい ではなくて、 >Windows2008サーバは、RTX1200で1対1の静的NATをしL2SWプライベートIPアドレス(192.168.19.240)に変換しています。 NAT配下でのActive Directoryの運用ですね。 マイクロソフトは、NAT配下のActive Directoryの運用についてはサポートしていません。 http://support.microsoft.com/kb/978772/ja うまくいかない大きな原因としては、クライアントがドメインコントローラを検索するときに以下のレコードをDNSでの問い合わせをしますが _ldap._tcp.DnsDomainName このレコードはドメインコントローラ(DC)の変換前のアドレス(172.18.19.0/24内)が動的更新でDNSに登録されていますので、 クライアントは172.18.19.0/24内のアドレスをDCのIPアドレスと認識しますが、実際にはこのIPにはアクセスできないことになります。 DNSの問題を解決させるために、 ・動的更新をやめてDCが使用するすべてのレコードを静的に作成する。 ・RTX1200をDNSのアプリケーション層のIPアドレスまでも変換してくれるような機器に変更する。 などの方法も考えられますが、実際にうまくいくかはわかりません。 NAT配下のActive Directoryが問題無く運用出来ている事例を見たことがありませんので。 参考にされたサイトはNTドメインの話なのとNATでないのであまり参考にならないと思います。 Active Directoryのネイティブクライアントの名前解決はDNSのみで、lmhostsは使用しません。
その他の回答 (2)
- m-take0220
- ベストアンサー率60% (477/782)
クライアントからDCへアクセスできるようにゲートウェイの設定を行う。 クライアントのDNSサーバーの設定をDCのアドレスにする。 上記が正しく設定できていれば、クライアントのコマンドプロンプトから nslookup -type=srv _ldap._tcp.dc._msdcs.<ドメイン名> を実行すると、SRVレコードの情報が表示されるはずです。SRVレコードに設定されているポートがアクセス可能であれば、ドメインにログインできるはずです。
お礼
ありがとうございます。 他の方の情報で、NAT経由での認証はサポートされていないということなのですが、 m-take0220様のご回答で、教えて頂くことが沢山ありました。 nslookupコマンドにもいろいろなオプションがあり、使い方によって多くのことがわかるんですね。 DNSでSRVレコードというのがあるということも初めて知ったので、とても興味深かったです。 ありがとうございました。
- SaKaKashi
- ベストアンサー率24% (755/3136)
XPクライアントのhostsファイルにDCの定義を記述すればいいのではないでしょうか。 XPクライアントからtracertコマンドでDCに到達できますか?
お礼
ありがとうございます。 他の方の情報で、NAT経由での認証はサポートされていないということなのですが、 tracertコマンドのこと勉強になりました。 ネットワーク系のコマンドについて知っていると、どこが問題になっているかなど 把握することができるんですね。 もっと勉強しようと思います。
お礼
そうです、NAT配下でのActive Directoryの運用です。 知識が半端で、どこが問題なのか自分でも混乱してましたが、 maesen様のご指摘で問題が整理できました。 ありがとうございます。 NAT経由でのActive Directoryサポートはされていないんですね。 ネットワーク機器の更新などはコスト的にも難しそうなので、 同じセグメントにするか、他の方法を検討したいと思います。 本当にありがとうございました。