• ベストアンサー
  • 困ってます

activedirectory構築について

会社でサーバー管理をすることになりました。 かなり初心者なので表現がおかしいかもしれませんが、よろしくお願いします。 事業所が2ヶ所あってそれぞれWindows server 2003のマシンが設置されており、ファイルサーバーとして使用しています。便宜上workgroupで運用していましたが、クライアントパソコンも50台ほどになってしまったのでActivedirectoryを構築して管理することになりました。 現在、クライアントはIPアドレスをルータのDHCP機能で振り分けていますが、これからはサーバーのDHCPサーバー機能で管理したほうが良いのではと考えています。その際ルータのDHCP機能を無効にして、サーバーの優先DNSサーバーのアドレスをプロバイダ指定のアドレスに書き換えれば良いのでしょうか? また、2事業所は離れているため、VPN環境で接続しています。 その場合はドメインを1つでサイトを2つ(事業所別)作成すればよいのでしょうか? 色々と調べてはみたのですが、逆にどんどんわからなくなってしまって質問させていただきました。 よろしくお願いします。

共感・応援の気持ちを伝えよう!

  • 回答数1
  • 閲覧数424
  • ありがとう数1

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.1
  • maesen
  • ベストアンサー率81% (646/790)

既に日数が経過しているため回答は用をなさないかもしれませんが、回答が一つも付いていないようですので書かせて頂きます。 >現在、クライアントはIPアドレスをルータのDHCP機能で振り分けていますが、これからはサーバーのDHCPサーバー機能で管理したほうが良いのではと考えています。 この判断は正しいと思います。 >その際ルータのDHCP機能を無効にして、サーバーの優先DNSサーバーのアドレスをプロバイダ指定のアドレスに書き換えれば良いのでしょうか? ルータのDHCP機能を無効にするのは正しいですが、DNSの設定は間違いです。 Active Directory(以下、AD)を構築するとAD上の名前解決のためにDNSを使用します。 大抵の場合、ドメインコントローラ(以下、DC)がDNSサーバになりますのでDHCPで配信するDNSサーバのIPアドレスは、DCのIPアドレスのみにする必要があります。 また、DC自身の優先DNSサーバのIPアドレスはDC自身のIPアドレスに設定します。 (近隣にADのDNSがあれば変わりますが、今回の質問者さんの環境はこれでいいと思います) その上で、DNSサーバにフォワーダという機能がありますのでそこにプロバイダ指定のDNSサーバのIPアドレスを設定するような構成にするのが一般的です。 >また、2事業所は離れているため、VPN環境で接続しています。 >その場合はドメインを1つでサイトを2つ(事業所別)作成すればよいのでしょうか? これはDCの配置に依存します。 DCがどちらかの事業所のみに配置するのであればサイトを分ける必要はありません。 2事業所にそれぞれDCを配置する場合はサイトを2つ構成するのが良いでしょう。 ADクライアントの認証プロセスにて同一のサイトに複数のDCがある場合、デフォルト設定では均等にDCを使用します。 つまり、2事業所にそれぞれDCを配置する場合に1つのサイトではVPN側に余分なトラフィックが発生します。 サイトを別にすればクライアントは所属するサイトのDCを優先的に使用するように動作します。 DCはADの対障害性を考慮すれば複数台のDCで構成するのがいいので、可能ならば事業所それぞれにDCを配置するのが良いでしょう。 なお、ドメインを分ける必要性は今回は無いと思います。 ドメインを分けるのはドメインを分けなければ対応できないようなポリシーの違いがあるような場合です。 私が構築した例では事業所が10以上でユーザーが3万ユーザーという規模でもポリシーは同じであるためシングルドメインとなっています。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ご回答ありがとうございました。 お礼が遅くなり申し訳ありません。 ご回答いただいた方法で構築していきたいと思います。 初めてのことなので不安だったのですが、 ご回答いただけて助かりました。 ありがとうございます!

関連するQ&A

  • ActiveDirectoryでアカウントを一元化したい

     既存のネットワークに新しく、ActiveDirectoryを使って認証サーバを構築しようとしているのですが、メール(postfix)などを管理している既存のLinuxマシンにあるユーザアカウントやパスワードの情報を利用することはできるのでしょうか?  できるのであればどのようにすればできるのか教えていただけますでしょうか?  やりたいことはActiveDirectoryがあるPCに認証とファイルサーバの機能を持たせ、既存のLinuxにメールやDNS、DHCPなどの機能を持たせて、クライアントはログイン時にドメインに参加することにより各種のサービスが受けられるというようにしたいのです。  よろしくお願いします。

  • ActivedirectoryとDNSについて

    以下について、ご教示のほどお願いいたします。 状況から説明させていただきます。 A拠点のLANに、 OSがWindows2003Server R2 ・Activedirectory(ドメインは、aaa.co.jp ひとつのみ) ・DNSサーバ(フォワーダはルータを指定) ・DHCPサーバ ・ファイルサーバ を構成したサーバ1台があり ネットワークの構成は、 ネットワークアドレス 192.168.0.0/24 サーバIPアドレス 192.168.0.230 ルータIPアドレス 192.168.0.1 クライアント端末は全てDHCPで取得 この状況において、やりたいこととして、 上記A拠点で利用していたクライアントPCを、 B拠点に数台持って行き、異なるネットワークセグメントからも A拠点で使っていたように、ドメインにログオンし、ファイルサーバに アクセスしたり、AD内の検索をできるようにしたいと考えております。 なお、A拠点とB拠点は、ルータのVPN機能で インターネットVPNを構築しており、通信はできる状態です。 そこで、一つ目の疑問なのですが A拠点にあるPCは、起動時に当然ドメインにログオンしますが、 起動~ログオン前の画面の状態で既に、 自分のIPアドレス、DNSサーバのIPアドレスを得ているのでしょうか? そうじゃないと、ドメイン名でのログオンができないですよね。? ちなみに、ログオン後のPCで、ipconfigを見ると IPアドレス(自動取得)以外に、 DNSservr   192.168.0.230 DHCPserver 192.168.0.230 DefaultGateway 192.168.0.1 となっておりました。 二つ目の疑問としましては、 VPNで接続しているB拠点に、A拠点で使用していたPCをもっていった場合でも、 A拠点で利用していた感覚のまま、ドメインにログオンすることができるのでしょうか? B拠点には、サーバを置かないためルータ側で、DHCPサーバとなり、 DNSについては、利用するaaa.co.jpというドメインの時は、A拠点の192.168.0.230宛に それ以外は、B拠点のインターネット側ISPのDNSを参照させています。 長文になり申し訳ありません。 また、説明が不足していたり、文章の意味がわからない事がございましたら、ご指摘のほどよろしくお願いいたします。

  • ActiveDirectoryとWINSについて

    いつもお世話になっています! 先日講義でこんな実習をしました。 1.教室で4チームに分かれて、それぞれ4つの異なるセグメントを構築 2.すべてルータを挟み通信可能 3.教室全体で1つのドメインを構築(各チームに1台ActiveDirectoryをイ  ンストールしてドメインコントローラを構築) 4.各チームに1台DHCPサーバ構築 5.ドメインユーザを複数登録 6.クライアントPCとして、Windows2000Proが1台、Windows98が1台 7.WINSサーバ設定 設定は以上です。 ここで、先生が「Windows98がいるのでWINSを設定しないといけない」とおっしゃったのですが、なぜだか理解出来ぬまま講義終了となってしまいました。 つまりWin98がいなければ、いらないということだと思うのですが、いまいち分かりません。 ActiveDirectoryインストール時にDSN設定をしたので、DNSがありますが、Win98ではDNS機能は使えないということでしょうか? Win98のTCP/IP設定画面でもDNSを使うとか、使わないといった設定があった ような気がします。 98がいるとWINSがいるの意味がよく理解できません! どなたか、教えてください!!

  • ActiveDirectory用DNSについて

    よろしくお願い致します。 現在、Windows2003Serverのセットアップをしており、ActiveDirectoryをインストールして検証をしています。ActiveDirectoryを利用すると、必ずDNSも同一サーバーにインストールする必要があると思うのですが、このDNS情報を、クライアント側で何か設定する必要があるのでしょうか。 現在は、他のファイヤーウォール専用アプライアンス機器内のDHCPサーバー上に登録してあるDNS(プロバイダ提供)を利用している為、クライアントPCでは、マシンIPと共に、DNSも自動取得にしてあります。 以上、何卒宜しくお願い致します。

  • ActiveDirectoryの構築について

    Windows2000ServerのActiveDirectoryを利用して、グループ内のアカウント管理等をしたいと考えています。 しかし、私が利用している環境には下記のような条件があります。 (※ドメイン名やアドレス空間は実際とは異なります) このような条件の中で、 「部内の他のグループに迷惑をかけることなく、 自グループ内でのみ利用するActiveDirectoryを構築すること」 は可能でしょうか? 同様のケースの経験談等もありましたら、ぜひ情報をお願い致します。 また、下記の情報では判断できないようでしたら、必要な情報をご指摘下さい。 [条件] 1.部に割り当てられているアドレスは 10.23.0.0~10.23.15.255 である。 2.上記アドレスの中で、グループ毎にサブネットが割り当てられている。 3.私の所属するグループのサブネットは 10.23.5.0~10.23.5.255 である。 4.部で利用しているドメインは bu.aaa.co.jp である。 5.bu.aaa.co.jp ドメインのDNSサーバは、部全体のNW管理者が管理している。 6.部のドメインbu.aaa.co.jpの運用ルールで、サブドメインが禁止されている。 7.Windows2000Serverのアドレスは 10.23.5.10 である。 8.Windows2000Serverのホスト名は server.bu.aaa.co.jp である。 9.server.bu.aaa.co.jp が bu.aaa.co.jp のDNSサーバとなることはできない。 (条件5と6から) 10.私の所属するグループでは、自グループだけが利用しているWorkgroupは存在しているが、NTドメインは利用していない。 11.現在予定はないが、将来的に部全体でActiveDirectoryを構築した場合の、スムーズな移行を可能な限り考慮したい。 以上、よろしくお願い致します。

  • ActiveDirectoryについて

    ActiveDirectoryについて質問します。 1.サーバにてActiveDirectoryを設定し、ファイルサーバとして使用しています。 サーバ内の共有ファイルを使用するネットワーク内のクライアントは、サーバのユーザとコンピュータに登録しておかなければならないことは存じ挙げています。 で、悩んでいますところは、 初めて作成したユーザはクライアントからサーバ内の共有ファイルへのアクセスは可能なのですが、 そのユーザを一度でも削除し作成し、作り直すと、適切なアクセス権限をつけているにも関わらず2度とファイル閲覧が不可能となってしまうところです。 どこかにゴミ?(設定ファイル)が残っていると思うのですが、削除の仕方、もしくは解決法ご存知でしたら教えてください。 2.ActiveDirectoryを作成したうえで、クライアントはドメインへの参加の有無を選ぶことができますが、参加するメリットがいまいちわかりません。小さなことで構いませんのでお聞かせください。ただし、ネットワーク内にドメインコントローラは1台しかなく、今後も他のドメインコントローラに接続する予定はありません。ですので、フォレスト等との考えは省いてください。私が知っている範囲内では、移動ユーザプロファイルの作成しか思いつきません。 よろしくお願いします。

  • ActiveDirectory導入のためのDHCPサーバ

    サーバもクライアントもスタンドアローン環境において、Microsoft Active Directoryを導入予定です。 つきましては、Active Directoryを導入にあたって、DHCPサーバをWindows Server 2003 DHCPサーバにリプレイスしなければならないのか、を教えていただきたく存じます。 【現在の環境】 ロケーション1(本社):DHCPサーバとして「NetWyvern」を使用中。IPセグメントは3つ。DHCPスコープは3つ。L3コアスイッチ(Extreme)でリレーエージェント。クライアント数200 ロケーション2: DHCPサーバとして「ルータ(NEC IX)」を使用中。 IPセグメントは1つ。DHCPスコープは1つ。 クライアント数50 ※ロケーション1とロケーション2はIP-VPNで接続 ※ドメインコントローラは本社にのみ1台設置予定 【既知の知識】 独自の調査によりますと、ActiveDirectory環境では、 a.DHCPサーバはドメインコントローラに認証されなければならない、それにはDHCPサーバは(ほとんどの場合)Windows Serverでなければならない。 b.ドメインコントローラに認証されたDHCPサーバでないと、Dynamic DNSのエントリーをUodateできない。 お暇なときで結構ですので、ご教授願えましたら幸いです。 また、上記以外にもお気づきの点がございましたら、なんなりとご指摘ください。。 よろしくおねがいします。

  • ActiveDirectory(ドメイン)構築のメリット、デメリットに関して

    こんにちは。 先日社内サーバをリプレースしました。 Windows Server 2003 を導入しました。現状単にファイル共有で運用していますが、クライアントの一元管理と言う事で、ActiveDirectory(ドメイン)を構築した方が良いのでは無いかと言う話が出ています。 正直、ActiveDirectory(ドメイン)を構築した際に、メリット、デメリットが判りません。メリットとしてクライアント PC のパスワード等がサーバ側から一元管理出来る程度の認識です。 また、デメリットでもしサーバが起動出来なくなった場合、クライアントPC は起動出来るの??という疑問が有ります。 他にも、メリット、デメリットが有ればアドバイスを頂きたいと思います。もしくは解説されてるサイトをご紹介して頂ければ嬉しく思います。 クライアント PC は約40台程度、全て Windows XP Pro を利用しています。現状ファイル共有で困っていません。

  • 自宅でイントラネットサーバ構築したいのですが、、

    自宅でイントラネットサーバを含めたLAN環境を作りたいのですが、 DHCP、IPアドレスの設定方法がよくわかりません。 ・インターネットへはNTTのV110ルータ経由 ・クライアントはWindowsXP Home × 2台  ・イントラネットサーバLinux RedHat8 機能としては、 ・クライアント2台からそれぞれからインターネット接続をしたい ・イントラネットサーバへはクライアントからだけでしたい ・イントラネットサーバは勉強用で、DHCP機能も持たせたい Bフレッツを契約しておりまして、 グローバルIPアドレス1個を割り当てられています。 IPアドレスとしては、 ルータを192.168.1.2 サーバを192.168.1.1とそれぞれ固定で設定しています。 クライアントへはDHCPで割り当てたいです。、 サーバ側でDHCPサーバとしてアドレスを振りたいのですが、クライアントへうまくアドレスが振れません。 そこで質問なのですが、ルータでインターネットへ接続する場合は やはり、ルータにDHCP機能をもたせないといけないのでしょうか? また、上記構成でうまく運用できるようにするには 他に何か設定しておくべき項目などありますか?

  • ActiveDirectoryのドメインにクライアントが参加できない

    BINDで設定したDNSサーバーに下記URLのようなSRVレコードを追加して、 WindowsXPをActiveDirectoryのドメインに参加させたいと考えています。 http://technet.microsoft.com/ja-jp/library/cc985025.aspx しかし、以下のようなエラーがでて上手くいきません。 ------------ ドメイン コントローラの名前を IP アドレスに割り当てるための Host (A) レコードが見つからないか、正しくないアドレスを含んでいる。 DNS で登録されているドメイン コントローラがネットワークに接続されていないか、実行中でない。 ------------ DNSは動的更新となっていますし、 クライアントでのDCサーバに対する正引き、逆引き、PINGは問題ありません。 DCもサーバーでは実行中となっており、アカウントの作成など操作もできています。 DCをインストールする際にDNSも新規でインストールした場合はドメインに参加できたので、 (今は設定を削除してDCのみインストールしている状態です) BINDかクライアントの設定がおかしいとは思うのですが原因が分からず苦慮しております。 ご存知の方は何卒ご教示願います。

専門家に質問してみよう