信頼関係の基礎知識については下記をご参照。
準備
相手側ドメインの名前解決ができること
信頼関係を設定するにあたり、相手側のドメイン名(FQDN)が解決できる必要があります。名前解決ができない場合はDNSサーバ側で条件付きフォワーダを設定する事で解決できるようになります。くわしくは下記の記事で解説していますのでご参照ください。
相手側ドメインコントローラへの通信が確保できていること
相手側ドメインコントローラとの通信ポートのファイアウォール穴あけポートについては下記をご参照ください。
認証に関する情報共有
相手側ドメイン管理者に、事前に以下の情報を共有しておきます。
・信頼関係を設定する日時 (例:2024年12月11日 13:00~14:00)
・信頼パスワード (例:abcd1234)
設定手順
環境の説明
前提として、下記の環境にて片方向の信頼関係を結びます。
・片方向の外部信頼を設定
・システムへの権限設定はAD担当は関与せず基本システム管理者まかせにしたい
信頼する側(出力方向:Outbound)の設定
まずはhoge.testドメイン側の設定です。
1.まずは相手先のドメイン名をこちらのDNSサーバから解決できることをきちんと確認しておきます。
nslookup -type=any "hogehoge.test" 192.168.0.12
解決できる場合は以下のようにいろいろと結果が返ってきます。
以下のように解決できない場合はコマンドや条件付きフォワーダの設定を見直してみましょう。
2.Windows管理ツールより「Active Directory ドメインと信頼関係」をドメイン管理者権限で開きます。
3.管理ツールが開いたら左ツリートップのドメイン名を右クリックし「プロパティ」を開きます。
4.プロパティ画面より「新しい信頼」をクリックします。
5.ウィザードが開きます。「次へ」をクリックします。
6.名前欄に相手先のドメイン名を入力し、「次へ」をクリックします。
※通信ポートのファイアウォール穴あけが十分でないと下記のようにエラーが発生し中断されますので注意。
7.信頼の種類を選択します。今回は外部の信頼を選択して「次へ」をクリックします。
8.信頼関係の方向を選択します。今回はこちらから相手を信頼する設定になるので「一方向: 出力方向」を選択して「次へ」をクリックします。
9.「このドメインのみ」を選択して「次へ」をクリックします。
10.「ドメイン全体の認証」を選択し「次へ」をクリックします。
ここで「認証の選択」にすると、信頼関係を設定後権限を設定する際に、ドメインに参加したサーバのコンピュータアカウントの「セキュリティ」タブから相手方ドメインユーザーやグループの権限を個別に付与する作業が発生します。なので不特定多数のリソースにアクセスを許可したい場合には「ドメイン全体の認証」を選択し、アクセス許可をさせるシステムがあらかじめ決まっていて限定・管理したいなら「認証の選択」を選ぼう!
11.一時的なパスワードを設定し「次へ」をクリックします。
12.信頼の選択の完了画面で「次へ」をクリックします。
13.信頼の作成の完了画面で「次へ」をクリックします。
14.出力方向の信頼の確認が出ますが、ここは「確認しない」を選択し「次へ」をクリックしましょう。
15.「完了」をクリックします。
16.下記のポップアップが表示される事がありますが「OK」で閉じます。
17.出力方向の信頼関係が設定された事を確認し「OK」で閉じます。
信頼される側(入力方向:Inboud)の設定
続いてhogehoge.testドメイン側の作業です。
1.相手先のドメイン名をこちらのDNSサーバから解決できることをきちんと確認しておきます。
nslookup -type=any "hoge.test" 192.168.0.14
.Windows管理ツールより「Active Directory ドメインと信頼関係」をドメイン管理者権限で開きます。
3.管理ツールが開いたら左ツリートップのドメイン名を右クリックし「プロパティ」を開きます。
4.プロパティ画面より「新しい信頼」をクリックします。
5.ウィザードが開きます。「次へ」をクリックします。
6.名前欄に相手先のドメイン名を入力し、「次へ」をクリックします。
7.信頼の種類を選択します。今回は外部の信頼を選択して「次へ」をクリックします。
8.信頼関係の方向を選択します。今回はこちらから相手から信頼される設定になるので「一方向: 入力方向」を選択して「次へ」をクリックします。
9.「このドメインのみ」を選択して「次へ」をクリックします。
10.出力方向の信頼関係で設定したパスワードと同じパスワードを指定して「次へ」をクリックします。
11.信頼の選択の完了画面で「次へ」をクリックします。
12.信頼の作成の完了画面で「次へ」をクリックします。
13.入力方向の信頼の確認が出ますが、ここは「確認しない」を選択し「次へ」をクリックしましょう。
14.無事、成功の画面が出ている事を確認し「完了」をクリックします。
なお失敗した場合は下記のように表示されます。
15.入力方向の信頼関係が設定された事を確認し「OK」で閉じます。
これで双方の設定は完了です。
テストしてみよう!
・hoge.testドメインのwin11PC上にフォルダ「testhoge」という共有フォルダを作成
・hogehoge.testのユーザー「hanako」に対してアクセス許可を設定
・「hanako」>> testhogeフォルダにアクセス可能か確認
hoge.testドメインのWin11PC上にフォルダ「testhoge」という共有フォルダを作成
Win11のPC上にフォルダを作ります。
hogehoge.testのユーザー「hanako」に対してアクセス許可を設定
共有タブより詳細な共有から設定します。
テストなので共有のアクセス許可はEveryoneにフルコントロールをチェックします。
今度はセキュリティタブより設定します。
相手先ドメインを選択します。
ユーザー名を入れて名前の確認をします。
認証がきたら入力してOKします。※hanakoではなく別のドメインユーザーでもOK
下線が引かれたことを確認して「OK」をクリックします。
無事権限が付いたら変更権限を追加して「OK」>>「閉じる」で閉じましょう。
「hanako」>> testhogeフォルダにアクセス可能か確認
hanakoでサインインします。
今回検証環境のhogehogeドメインにはドメインコントローラしかマシンがなかったので、hanakoでサインインする為に今回やむなくhogehoge\administratorsに含めました。その結果hogehogeドメインのドメインコントローラに対しての管理者権限が付与されましたが、今回参照するのは相手側(hoge)ドメインのフォルダなので、特に検証結果に影響はないでしょう。。。
サインインしたら、タスクトレイアイコンのフォルダをクリックします。
アドレスバーにフォルダパスを入力してEnterを押します。
無事、開けました!
試しにテキストファイルを作成し、編集して保存もしてみました。
総括
他のドメインからでもDNSの名前解決ができ、信頼関係があり、リソースへのアクセス権があるという条件を満たす事で、まるで同じドメインかのようにリソースにアクセスする事ができました。
企業やドメイン、システムの要件に合わせて双方向の信頼にする、フォレストレベルの信頼にする、などは検討しましょう!!
コメント