フォレスト間信頼の設定と、信頼関係の削除

今週は、Windows Server 2003から加わった新機能のひとつである、フォレスト間信頼について解説する。何らかの事情で複数のフォレストが共存していて、かつ両者の相互運用が必要になったときに利用する機能だ。

フォレスト間信頼とは

フォレスト間信頼といっても、設定の手順が異なるわけではない。設定の対象によって、フォレスト間信頼かどうかが変わるだけだ。

具体的にいうと、フォレストルートドメイン同士で信頼関係を設定すると、自動的にフォレスト間信頼になる。通常のドメイン同士の信頼関係と異なるのは、推移的な信頼関係を設定できる点だ。そのため、フォレストルートドメイン同士で信頼関係を設定するだけで、相手側フォレストのドメインツリーに所属するすべてのドメインについて、アカウント情報へのアクセスが可能になる。

ただし、信頼元と信頼先の関係については単独のドメイン同士で信頼関係を設定する場合と変わらないため、相互にアカウント情報にアクセスするために双方向の信頼関係を必要とする点は同じだ。

フォレスト間信頼を設定する際の注意点と手順

フォレスト間信頼はWindows Server 2003から加わった機能なので、設定作業を行う前にドメインとフォレストのそれぞれについて、機能レベルをWindows Server 2003ネイティブ(ないしはそれ以上)に上げておく必要がある。

また、混乱が生じないように、フォレスト間信頼を設定するフォレストでは、配下のドメインに対して(手作業で)他のドメインとの信頼関係を設定しない方がスッキリするだろう。過去の回で解説しているように、フォレスト内のドメイン同士では自動的に双方向の信頼関係を設定しているが、それ以外には何も足さない、何も引かないというわけだ。

フォレスト間の信頼関係を設定するために使用する管理ツールは、ドメイン間信頼と同じ[Active Directoryフォレストと信頼関係]管理ツールで、設定の手順も同じになる。異なるのは、すでに解説しているように、信頼関係を設定する対象が、信頼元と信頼先のいずれも、フォレストルートドメインになる点だけだ。

信頼関係を設定する際に、相手ドメインとして、相手側フォレストのフォレストルートドメインを指定する。このとき、[外部の信頼]と[フォレストの信頼]という選択肢があるが、前者は指定したドメインだけを信頼関係の対象にするもので、その場合には推移的な信頼関係にならない。それに対して後者を選択した場合、そのドメインを頂点とするフォレスト全体を信頼関係の対象にする。つまり、推移的な信頼関係を実現する。

このほか、信頼認証レベルの設定が存在する点も同じだ。対象がドメインではなくフォレストに変化するものの、無条件のアクセスを認めるか、認証を行った上でアクセスを認めるか、という考え方そのものは、ドメイン同士の信頼関係と同じだ。

フォレスト間信頼の削除手順は、通常の信頼関係削除と同じになる。相手側フォレストのフォレストルートドメインに対して設定している信頼関係を削除すると、それがすなわちフォレスト間信頼の削除になる。その結果、相手側フォレストのドメインツリーに属するすべてのドメインについて、アカウント情報にアクセスできなくなる。

フォレスト間信頼を設定したときの場所の選択

フォレスト間信頼を設定すると、ユーザー検索画面で[場所]をクリックした際に表示するダイアログの選択対象が、ドメインではなくフォレストに変化する。