あなたはNorthWind Traders社でActive Directoryドメインを管理している。今回,あなたの会社はContoso社を買収することになった。Contoso社もActive Directoryドメインを運用している。経営陣は,両社のネットワーク・インフラストラクチャに与える影響を最小限に抑えた統合運用を希望しているため,フォレスト間信頼を結ぶことになった。フォレスト間信頼を結んだ場合,両社のどのPCでも利用可能な機能を選びなさい。

1:Active Directoryスキーマの統合
2:UPNを使ったログオン名の統合
3:グローバル・カタログの統合
4:サイトの統合

正解:2

 Windows 2000では,異なるフォレストを相互運用するとき,Windows NT互換の信頼関係を結ぶのが唯一の方法であった。その場合,別フォレストに対してはuser@salesのようなUPN(ユーザー・プリンシパル名)認証が使えず,ドメイン名を明示的に指定したログオンしかできなかった。


図1●フォレスト間信頼は推移しない
[画像のクリックで拡大表示]

図2●UPNサフィックス・ルーティングとは?
[画像のクリックで拡大表示]

 Windows Server 2003では,「フォレスト間信頼」という機能が用意された。フォレストAとBがフォレスト間信頼を結ぶと,フォレストAとB内の全ドメインが自動的に信頼関係を持つ。ただし,フォレスト間信頼は推移しない。図1[拡大表示]ではフォレストAとCのドメイン間で自動的に信頼関係が結ばれることはない。

 フォレスト間信頼は,Kerberosで定義された信頼関係であり,以下の機能が利用できる。

●UPNを使ったログオン名の統合
●ドメイン名を指定したログオン
●グローバル・グループとユニバーサル・グループの相互参照

 UPNを使ったログオン名の統合は以下のように実現されている。UPNの中のUPNサフィックス(上記例ではsalesの部分)は,フォレスト単位で自由に作成できる。UPNサフィックスだけではログオン先が決まらないので,各フォレストは,信頼関係を結んだ相手のフォレストに登録されたUPNサフィックスをお互いにコピーする。そして,ログオン時は,UPNサフィックスの所有フォレストを問い合わせ,適切なドメイン・コントローラに認証を転送する。これを「UPNサフィックス・ルーティング」と呼ぶ(図2[拡大表示])。

 別々のフォレストで同じUPNサフィックスを使っていることもあるだろう。その場合,ログオンに使ったコンピュータのローカルUPNサフィックスが優先され,UPNサフィックス・ルーティングは行われない(図2左)。

 なお,フォレスト間信頼を結んでも,以下の機能は依然として利用できない。

●グローバル・カタログの統合
●スキーマの統合
●サイトの統合

 グローバル・カタログの統合ができないということは,フォレストをまたがる検索はできないし,Exchange Serverのアドレス帳の共有もできない(適当なツールを使えばExchangeのアドレス帳の相互複製は可能)ということである。

出典:日経Windowsプロ 2004年10月号 140ページより
記事は執筆時の情報に基づいており、現在では異なる場合があります。