手順 5 - PRIV フォレストと CORP フォレスト間に信頼関係を確立するStep 5 – Establish trust between PRIV and CORP forests

Contoso.local などの CORP ドメインごとに、PRIV と CONTOSO のドメイン コントローラーを信頼関係でバインドする必要があります。For each CORP domain such as contoso.local, the PRIV and CONTOSO domain controllers need to be bound by a trust. これにより、PRIV ドメインのユーザーが CORP ドメインのリソースにアクセスできるようになります。This lets users in the PRIV domain to access resources on the CORP domain.

各ドメイン コントローラーを対応するドメイン コントローラーに接続するConnect each domain controller to its counterpart

信頼関係を確立する前に、各ドメイン コントローラーで、相手側のドメイン コントローラーと DNS サーバーの IP アドレスに基づいて、相手側の DNS 名解決を構成する必要があります。Before establishing trust, each domain controller must be configured for DNS name resolution for its counterpart, based on the other domain controller/DNS server’s IP address.

  1. MIM ソフトウェアを備えたドメイン コントローラーまたはサーバーが仮想マシンとして展開されている場合は、これらのコンピューターにドメイン名前付けサービスを提供している他の DNS サーバーがないことを確認します。If the domain controllers or server with the MIM software are deployed as virtual machines, ensure that there are no other DNS servers which are providing domain naming services to those computers.

    • パブリック ネットワークに接続されているネットワーク インターフェイスなど、複数のネットワーク インターフェイスが仮想マシンにある場合は、一時的にそれらの接続を無効にするか、Windows のネットワーク インターフェイス設定をオーバーライドする必要があります。If the virtual machines have multiple network interfaces, including network interfaces connected to public networks, you may need to temporarily disable those connections or override the Windows network interface settings. DHCP で提供された DNS サーバー アドレスがどの仮想マシンでも使用されていないことを必ず確認してください。It's important to make sure that a DHCP-supplied DNS server address is not used by any virtual machines.
  2. 既存の CORP ドメイン コントローラーが名前を PRIV フォレストにルーティングできることを確認します。Verify that each existing CORP domain controller is able to route names to the PRIV forest. CORPDC などの PRIV フォレスト外部の各ドメイン コントローラーで、PowerShell を起動し、次のコマンドを入力します。On each domain controller outside of the PRIV forest, such as CORPDC, launch PowerShell, and type the following command:

    nslookup -qt=ns priv.contoso.local.
    

    出力が、正しい IP アドレスを持つ PRIV ドメインのネームサーバー レコードを示すことを確認します。Check that the output indicates a nameserver record for the PRIV domain with the correct IP address.

  3. ドメイン コントローラーが PRIV ドメインをルーティングできない場合は、DNS マネージャー ([開始] > [アプリケーション ツール] > [DNS] にある) を使用して、PRIV ドメインから PRIVDC の IP アドレスへの DNS 名転送を構成します。If the domain controller is unable to route the PRIV domain, use DNS Manager (located in Start > Application Tools > DNS) to configure DNS name forwarding for the PRIV domain to PRIVDC’s IP address. ドメイン コントローラーが上位ドメイン (例: contoso.local) である場合は、このドメイン コントローラーとそのドメインのノードを [CORPDC] > [前方参照ゾーン] > [contoso.local] のように展開して、ネーム サーバー (NS) の種類として priv というキーが表示されていることを確認します。If it is a superior domain (e.g., contoso.local), expand the nodes for this domain controller and its domain, such as CORPDC > Forward Lookup Zones > contoso.local, and ensure a key named priv is present as a Name Server (NS) type.

    priv キーのファイル構造 - スクリーンショット

PAMSRV で信頼関係を確立するEstablish trust on PAMSRV

PAMSRV で、CORPDC などの各ドメインとの一方向の信頼関係を確立し、CORP ドメイン コントローラーが PRIV フォレストを信頼するようにします。On PAMSRV, establish one-way trust with each domain such as CORPDC so that the CORP domain controllers trust the PRIV forest.

  1. PRIV ドメイン管理者 (PRIV\Administrator) として PAMSRV にサインインします。Sign in to PAMSRV as a PRIV domain administrator (PRIV\Administrator).

  2. PowerShell を起動します。Launch PowerShell.

  3. 既存の各フォレストに対して、次の PowerShell コマンドを入力します。Type the following PowerShell commands for each existing forest. CORP ドメイン管理者 (CONTOSO\Administrator) の資格情報を求める画面が表示されたら、資格情報を入力します。Enter the credential for the CORP domain administrator (CONTOSO\Administrator) when prompted.

    $ca = get-credential
    New-PAMTrust -SourceForest "contoso.local" -Credentials $ca
    
  4. 既存のフォレストの各ドメインに対して、次の PowerShell コマンドを入力します。Type the following PowerShell commands for each domain in the existing forests. CORP ドメイン管理者 (CONTOSO\Administrator) の資格情報を求める画面が表示されたら、資格情報を入力します。Enter the credential for the CORP domain administrator (CONTOSO\Administrator) when prompted.

    $ca = get-credential
    New-PAMDomainConfiguration -SourceDomain "contoso" -Credentials $ca
    

フォレストに Active Directory への読み取りアクセス権を付与するGive forests read access to Active Directory

既存のフォレストごとに、PRIV 管理者と監視サービスによる AD に対する読み取りアクセス権を有効にします。For each existing forest, enable read access to AD by PRIV administrators and the monitoring service.

  1. 既存の CORP フォレスト ドメイン コントローラー (CORPDC) に、そのフォレスト (Contoso\Administrator) のトップレベル ドメインのドメイン管理者としてサインインします。Sign in to the existing CORP forest domain controller, (CORPDC), as a domain administrator for the top-level domain in that forest (Contoso\Administrator).

  2. [Active Directory ユーザーとコンピューター] を起動します。Launch Active Directory Users and Computers.

  3. ドメイン contoso.local を右クリックし、[制御の委任] を選択します。Right click on the domain contoso.local and select Delegate Control.

  4. [選択されたユーザーとグループ] タブで、[追加] をクリックします。On the Selected Users and Groups tab, click Add.

  5. [ユーザー、コンピューター、またはグループの選択] ウィンドウで、[場所] をクリックし、場所を priv.contoso.local に変更します。On the Select Users, Computers, or Groups window, click Locations and change the location to priv.contoso.local. オブジェクト名に「Domain Admins」と入力し、[名前の確認] をクリックします。On the object name, type Domain Admins and click Check Names. ポップアップが表示されたら、ユーザー名に「priv\administrator」と入力し、パスワードを入力します。When a popup appears, enter the username priv\administrator and its password.

  6. 「Domain Admins」の後に「; MIMMonitor」を追加します。After Domain Admins, add "; MIMMonitor". Domain AdminsMIMMonitor の名前に下線が表示されたら、[OK] をクリックし、[次へ] をクリックします。Once the names Domain Admins and MIMMonitor are underlined, click OK, then click Next.

  7. 一般的なタスクの一覧で、[すべてのユーザー情報の読み取り] を選択し、[次へ][完了] の順にクリックします。In the list of common tasks, select Read all user information, then click Next and Finish.

  8. [Active Directory ユーザーとコンピューター] を閉じます。Close Active Directory Users and Computers.

  9. PowerShell ウィンドウを開きます。Open a PowerShell window.

  10. netdom を使用して、SID 履歴が有効で、SID フィルターが無効であることを確認します。Use netdom to ensure SID history is enabled and SID filtering is disabled. 次のように入力します。Type:

    netdom trust contoso.local /quarantine:no /domain priv.contoso.local
    netdom trust /enablesidhistory:yes /domain priv.contoso.local
    

    出力に、"この信頼に対して SID 履歴を有効にしています または "SID 履歴はこの信頼に対して既に有効になっています" という内容が示されるはずです。The output should say either Enabling SID history for this trust or SID history is already enabled for this trust.

    また、出力には "SID フィルタはこの信頼に対して有効になっていません" という内容も示されるはずです。The output should also indicate that SID filtering is not enabled for this trust. 詳細については、「SID フィルター検疫を無効にする」をご参照ください。See Disable SID filter quarantining for more information.

監視サービスとコンポーネント サービスを開始するStart the Monitoring and Component services

  1. PRIV ドメイン管理者 (PRIV\Administrator) として PAMSRV にサインインします。Sign in to PAMSRV as a PRIV domain administrator (PRIV\Administrator).

  2. PowerShell を起動します。Launch PowerShell.

  3. 次の PowerShell コマンドを入力します。Type the following PowerShell commands.

    net start "PAM Component service"
    net start "PAM Monitoring service"
    

次の手順で、グループを PAM に移動します。In the next step, you will move a group to PAM.