2つの独立した Active Directory 環境で信頼関係を構成し、相互の共有ファイルへアクセスする方法

ドメイン間共有には、経路、DNS 条件付きフォワーダー、時刻同期、信頼確認、ドメイン間グループ、共有権限、NTFS ACL が必要です。

1. 結論と対象範囲

クライアント／サーバーのバージョン、ドメイン参加状況、DNS とゲートウェイ、ネットワーク場所、完全なエラー文、イベント時刻、直近の変更を準備します。例では予約済みの corp.example を使用し、実在する顧客のドメイン、IP、アカウント、機器番号は掲載していません。

本件は「Active Directory とグループポリシー」に分類されます。ログと設定はリモートで収集できる場合がありますが、権限の一括変更、スイッチ経路、本番切替、復元テストは計画した作業枠で実施します。

2. 主な症状と環境確認

• 口頭説明だけで判断せず、完全なエラー文、イベントログの時刻、失敗した操作を保存します。
• 影響範囲、初回発生時刻、再現性、別セグメントでも同じ結果になるかを記録します。
• ドメイン参加端末は社内 DNS を使用します。パブリック DNS では AD の検出に必要な SRV レコードを返せません。

3. 推奨する切り分け順序

1. ドメイン参加端末は社内 DNS を使用します。パブリック DNS では AD の検出に必要な SRV レコードを返せません。
2. セグメントをまたぐ場合は、単一ポートだけでなく DNS、Kerberos、LDAP、SMB、RPC、動的 RPC 範囲を確認します。
3. クライアント、ドメインコントローラー、ハイパーバイザーのタイムゾーンと時刻同期元を確認し、Kerberos の失敗を防ぎます。
4. 共有権限はネットワーク経由の上限、NTFS 権限はファイルシステムアクセスを制御し、実効権限は両者の厳しい方になります。
5. 「有効なアクセス」を使用し、グループ所属、継承、明示的な拒否を含む最終権限を確認します。
6. 引き渡し資料には、構成図、IP/VLAN、アカウント・権限、ポリシー、ポート、バックアップ、設定エクスポート、変更履歴、受入試験、ロールバックを含めます。

nltest /domain_trusts
nslookup -type=SRV _ldap._tcp.dc._msdcs.partner.example

4. 安全な修復と一括展開

読み取り専用の確認、設定エクスポート、単一システムでの検証を優先します。原因を確認してから対象範囲、作業時間、ロールバック方法を決めます。複数端末ではテスト OU と少数のパイロット端末を用意し、ポリシー結果を保存してから段階的に展開します。

• 共有権限はネットワーク経由の上限、NTFS 権限はファイルシステムアクセスを制御し、実効権限は両者の厳しい方になります。
• 「有効なアクセス」を使用し、グループ所属、継承、明示的な拒否を含む最終権限を確認します。
• 引き渡し資料には、構成図、IP/VLAN、アカウント・権限、ポリシー、ポート、バックアップ、設定エクスポート、変更履歴、受入試験、ロールバックを含めます。

5. 確認方法・ロールバック・注意点

一度動作しただけで完了としません。利用者操作、ログ、再起動／再ログイン、必要に応じて別ネットワーク場所、次回のポリシー／バックアップ周期で再確認します。

確認とロールバック

• 一度に変更する条件は1つにし、変更前に設定をエクスポートするか現状を記録します。
• クライアント、ドメインコントローラー、ハイパーバイザーのタイムゾーンと時刻同期元を確認し、Kerberos の失敗を防ぎます。
• ドメインコントローラー間の AD と SYSVOL の複製、および接続先 DC のポリシーバージョンを確認します。

避けるべき一般的な誤り

• パブリック DNS や hosts への恒久的な DC 登録で回避すること。
• ローカル管理者を確認せずにドメイン離脱すること。
• パイロット検証なしで新しい GPO をドメイン全体へリンクすること。