• ベストアンサー
※ ChatGPTを利用し、要約された質問です(原文:ADのドメイン参加の認証について)

ADのドメイン参加の認証について

このQ&Aのポイント
  • ADサーバへのドメイン参加の認証にはIPアドレスを使用しないようです
  • 関係のない端末についてはL3スイッチのアクセスリストで制御することができますが、ドメイン参加ができてしまったようです
  • IPアドレスは認証に関係ないため、別の方法で制御する必要があります

質問者が選んだベストアンサー

  • ベストアンサー
  • maesen
  • ベストアンサー率81% (646/790)
回答No.2

>そもそもログオンとドメイン参加に違いについても理解ができておりませんでした。 既に理解されたかもしれませんが、 一般的にドメイン参加とはPCをActive Directoryドメインに登録し、Active Directoryで管理されるPCに設定することを指します。 具体的には、PC側の「ドメイン及びワークグループの設定」でドメインを選択し、ドメイン名を設定することによって行います。 (通常初期設定として一度実施するだけですね) ログオンはログオン先をドメイン名としてログオンすることですね。 >(3)スイッチのACLは30.10だと許可しているので30.1の場合は拒否されると > 考えてTESTアカウントでログオン先をADサーバにしてログオン⇒成功 やりたいことは既にドメインの参加している特定のIPアドレスのPCで、ドメインユーザーでのログオンを拒否したいということにみえますが合っていますでしょうか。 Active Directoryの既定の設定では一度でもログオンすると、そのログオンがキャッシュされる設定になっています。 このキャッシュは永続的にクライアントに残ると考えて下さい。 ※もちろん消えることもありますが、その仕組みを説明すると長くなるのでここでは省略させて頂きます。 キャッシュがある状態ではドメインコントローラ(以下、DC)と通信が全く出来なくてもログオン自体は成功します。 従って、いくらL3スイッチで通信を制限してもログオンを失敗させることは出来ません。 キャッシュを無効にするのはActive Directoryのポリシーを変更すれば可能ですが、それはそれでDCとの通信が常に確保されないといけませんのでネットワーク障害時などに柔軟性が無くなる恐れもあります。 質問者さんがやりたいことが前述したログオンの拒否であれば、Active Directoryのポリシーで実現することも可能ですが、ちょっと高度(?)な設定が必要です。 Active Directoryの管理者が別にいらっしゃるのならば相談されるといいでしょう。

okinawa157
質問者

お礼

maesen様 連絡遅くなり申し訳ございませんでした。 教えていただいた内容を基にいろいろ調べて理解ができました。 今回検証するのに端末の台数が少なかったため1台でIPアドレスを変えながら 検証を取りたかったのが質問のきっかけでした。 結局IP変更するたびにワークグループに戻ってリブート後検証を続けることで ログオン時の通信の検証を取ることができました。 本当にありがとうございました。

その他の回答 (1)

  • maesen
  • ベストアンサー率81% (646/790)
回答No.1

>制御をおこないたいため、必要のないIPについてはdenyにしたのですがドメイン参加ができてしまいました。 さすがにこれは無いと思います。 ドメインコントローラとの通信が出来なければ、ドメイン参加は出来ないはずです。 通信で使用するのはほとんどがTCPですが、UDP、ICMPも若干あります。 つまり、IPで通信が出来なければドメイン参加は出来ないはずです。 ドメインコントローラが1台ならば、アクセス制限の設定に誤りはありませんでしょうか? ドメインコントローラが複数台ならば、いずれかに通信が通るパスがありませんでしょうか? >この設定で >A端末はログオン成功 >B端末はログオン失敗 >にしたいのです。 ドメイン参加とログオンは厳密には通信が異なります。 全ての通信を拒否すれば結果としては同じですが。 キャッシュログオンということもありますのでログオンについては通信に影響しない場合もあります。(実際にはちゃんとログオン出来ていないのですが、見た目上ログオンしたように見える) やりたいことがいまいち見えない部分がありますが、 ドメインコントローラとの全ての通信を拒否するのではなく、ドメインコントローラの運用などでドメイン参加を拒否する方向性もあるかと思います。 提示された情報ではドメイン参加やログオンを制限したいというよりも、ドメインコントローラとの通信の制限になっていてちょっとずれているような気がします。

okinawa157
質問者

お礼

先ほどの続きです access-list 120 permit udp 192.168.20.1 0.0.0.0 192.168.10.1 0.0.0.0 eq 123 access-list 120 permit udp 192.168.20.1 0.0.0.0 192.168.10.1 0.0.0.0 eq 137 access-list 120 permit udp 192.168.20.1 0.0.0.0 192.168.10.1 0.0.0.0 eq 138 access-list 120 permit udp 192.168.20.1 0.0.0.0 192.168.10.1 0.0.0.0 gt 1024 access-list 120 permit udp 192.168.20.1 0.0.0.0 192.168.10.1 0.0.0.0 lt 5000 access-list 120 permit tcp 192.168.20.1 0.0.0.0 192.168.10.1 0.0.0.0 gt 1024 access-list 120 permit tcp 192.168.20.1 0.0.0.0 192.168.10.1 0.0.0.0 lt 5000 access-list 130 permit udp 192.168.30.10 0.0.0.0 192.168.10.1 0.0.0.0 eq 123 access-list 130 permit udp 192.168.30.10 0.0.0.0 192.168.10.1 0.0.0.0 eq 137 access-list 130 permit udp 192.168.30.10 0.0.0.0 192.168.10.1 0.0.0.0 eq 138 access-list 130 permit udp 192.168.30.10 0.0.0.0 192.168.10.1 0.0.0.0 gt 1024 access-list 130 permit udp 192.168.30.10 0.0.0.0 192.168.10.1 0.0.0.0 lt 5000 access-list 130 permit tcp 192.168.30.10 0.0.0.0 192.168.10.1 0.0.0.0 gt 1024 access-list 130 permit tcp 192.168.30.10 0.0.0.0 192.168.10.1 0.0.0.0 lt 5000 interface GigabitEthernet1/0/1 switchport access vlan 10 switchport mode access no ip address no shutdown ! interface GigabitEthernet1/0/2 switchport access vlan 20 switchport mode access no ip address no shutdown ! interface GigabitEthernet1/0/3 switchport access vlan 30 switchport mode access no ip address no shutdown (1)上記設定をスイッチに行いA端末からADサーバへ  TESTアカウントでログオン先をADサーバにしてログオン⇒成功 (2)A端末をいったんログオフ  ログオン先をA端末を選択してログオンし、IPアドレスを  192.168.30.1に変更 (3)スイッチのACLは30.10だと許可しているので30.1の場合は拒否されると  考えてTESTアカウントでログオン先をADサーバにしてログオン⇒成功   このような結果がでました。 そもそもログオンとドメイン参加に違いについても理解ができておりませんでした。 ひょっとするとA端末をリブートするとよいのかなとか思ったりしたのですが、 IPを変更したのだからACLを通る時にひっかかるはずだしなどと考えてみたり 調べてみたのですがmaesen様がおっしゃられるようにドメインコントローラの運用で ドメイン参加を拒否することならいっぱい載っていたのですがアクセスリストで 制御するのはほんの少し(ADとの通信で使用するポート)についての記載くらいでした。 maesen様もしこの内容をみておかしいと思われるところがあればもう少しお付き合い いただけないでしょうか? よろしくお願いいたします。

okinawa157
質問者

補足

おはようございます。   朝自分の書いた内容を読み返して自分のやりたい事を書いただけで 実際にやってみた内容と違っていました。申し訳ございません。 <実際に行った調査方法> ADサーバ | | L3スイッチ |    |    A端末   ADサーバ  IP:192.168.10.1 GW:192.168.10.254 ADサーバのユーザアカウントに TESTをdomainuser権限で追加 A端末  IP:192.168.20.1 GW:192.168.20.254 A端末に成功した後設定した内容 IP:192.168.30.1 GW:192.168.30.254 <SWの設定> interface Vlan10 ip address 192.168.10.254 255.255.255.0 ip access-group 110 in ! interface Vlan20 ip address 192.168.20.254 255.255.255.0 ip access-group 120 in ! interface Vlan30 ip address 192.168.30.254 255.255.255.0 ip access-group 130 in アクセスリスト access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.20.1 0.0.0.0 eq 53 access-list 110 permit udp 192.168.10.1 0.0.0.0 192.168.20.1 0.0.0.0 eq 53 access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.20.1 0.0.0.0 eq 88 access-list 110 permit udp 192.168.10.1 0.0.0.0 192.168.20.1 0.0.0.0 eq 88 access-list 110 permit udp 192.168.10.1 0.0.0.0 192.168.20.1 0.0.0.0 eq 123 access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.20.1 0.0.0.0 eq 135 access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.20.1 0.0.0.0 gt 1024 access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.20.1 0.0.0.0 lt 5000 access-list 110 permit udp 192.168.10.1 0.0.0.0 192.168.20.1 0.0.0.0 gt 1024 access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.20.1 0.0.0.0 lt 5000 access-list 110 permit udp 192.168.10.1 0.0.0.0 192.168.20.1 0.0.0.0 eq 137 access-list 110 permit udp 192.168.10.1 0.0.0.0 192.168.20.1 0.0.0.0 eq 138 access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.20.1 0.0.0.0 eq 139 access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.20.1 0.0.0.0 eq 389 access-list 110 permit udp 192.168.10.1 0.0.0.0 192.168.20.1 0.0.0.0 eq 389 access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.20.1 0.0.0.0 eq 445 access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.20.1 0.0.0.0 eq 3268 access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.20.1 0.0.0.0 eq 636 access-list 110 permit udp 192.168.10.1 0.0.0.0 192.168.20.1 0.0.0.0 eq 636 access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.20.1 0.0.0.0 eq 3269 access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.30.10 0.0.0.0 eq 53 access-list 110 permit udp 192.168.10.1 0.0.0.0 192.168.30.10 0.0.0.0 eq 53 access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.30.10 0.0.0.0 eq 88 access-list 110 permit udp 192.168.10.1 0.0.0.0 192.168.30.10 0.0.0.0 eq 88 access-list 110 permit udp 192.168.10.1 0.0.0.0 192.168.30.10 0.0.0.0 eq 123 access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.30.10 0.0.0.0 eq 135 access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.30.10 0.0.0.0 gt 1024 access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.30.10 0.0.0.0 lt 5000 access-list 110 permit udp 192.168.10.1 0.0.0.0 192.168.30.10 0.0.0.0 gt 1024 access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.30.10 0.0.0.0 lt 5000 access-list 110 permit udp 192.168.10.1 0.0.0.0 192.168.30.10 0.0.0.0 eq 137 access-list 110 permit udp 192.168.10.1 0.0.0.0 192.168.30.10 0.0.0.0 eq 138 access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.30.10 0.0.0.0 eq 139 access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.30.10 0.0.0.0 eq 389 access-list 110 permit udp 192.168.10.1 0.0.0.0 192.168.30.10 0.0.0.0 eq 389 access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.30.10 0.0.0.0 eq 445 access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.30.10 0.0.0.0 eq 3268 access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.30.10 0.0.0.0 eq 636 access-list 110 permit udp 192.168.10.1 0.0.0.0 192.168.30.10 0.0.0.0 eq 636 access-list 110 permit tcp 192.168.10.1 0.0.0.0 192.168.30.10 0.0.0.0 eq 3269 続きます

関連するQ&A

専門家に質問してみよう