Menu Close
Red Hat Training
A Red Hat training course is available for RHEL 8
32.9. フォレスト間の信頼設定のトラブルシューティング
本章では、Identity Management(IdM)環境と Active Directory(AD)フォレストとの間でフォレスト間の信頼を設定するプロセスのトラブルシューティングを説明します。
32.9.1. AD を使用してフォレスト間の信頼を確立するときのイベントのシーケンス
ipa trust-add
コマンドを使用して Active Directory(AD)ドメインコントローラー(DC)ドメインコントローラーとのフォレスト間の信頼を確立すると、コマンドは、コマンドを実行するユーザーの代わりに動作し、IdM サーバーで次のアクションを実行します。フォレスト間の信頼の設定に問題がある場合は、この一覧を使用して問題を絞り込むことができ、トラブルシューティングを行うことができます。
パート 1: コマンドによる設定および入力の検証
- IdM サーバーに Trust Controller ロールがあることを確認します。
-
ipa trust-add
コマンドに渡されるオプションを検証します。 -
信頼されるフォレストルートドメインに関連付けられた ID 範囲を検証します。ID 範囲タイプとプロパティーを
ipa trust-add
コマンドのオプションとして指定しなかった場合は、Active Directory から検出されます。
パート 2: コマンドは Active Directory ドメインへの信頼を確立しようとします。
- 各信頼方向に個別の信頼オブジェクトを作成します。各オブジェクトは、両側(IdM と AD)に作成されます。一方向の信頼を確立する場合は、各ノードに 1 つのオブジェクトのみが作成されます。
IdM サーバーは Samba スイートを使用して Active Directory のドメインコントローラー機能を処理し、ターゲットの AD PDC に信頼オブジェクトを作成します。
-
IdM サーバーは、ターゲット DC の
IPC$
共有へのセキュアな接続を確立します。RHEL 8.4 以降、接続には、セッションに使用される AES ベースの暗号化で接続が十分に安全になるように、Windows Server 2012 以降と少なくとも SMB3 プロトコルが必要です。 -
IdM サーバーは、
LSA QueryTrustedDomainInfoByName
呼び出しを使用する信頼されるドメインオブジェクト(TDO)の存在についてクエリーします。 TDO がすでにある場合は、
LSA DeleteTrustedDomain
呼び出しでこれを削除します。注記この呼び出しは、信頼を確立するために使用される AD ユーザーアカウントに、Incoming Forest Trust Builders グループのメンバーなど、フォレストルートに対する完全な エンタープライズ 管理(EA) またはドメイン管理(DA) 権限がない場合は失敗します。古い TDO が自動的に削除されない場合、AD 管理者は AD から手動で削除する必要があります。
-
IdM サーバーは、
LSA CreateTrustedDomainEx2
呼び出しで新しい TDO を作成します。TDO 認証情報は、128 ランダムな文字で Samba が提供するパスワードジェネレーターを使用して無作為に生成されます。 その後、新しい TDO は
LSA SetInformationTrustedDomain
呼び出しで変更され、信頼でサポートされる暗号化タイプが正しく設定されていることを確認します。-
Active Directory の設計方法により、使用中の RC4 キーがない場合に RC4
_HMAC_MD5
暗号化タイプが有効になります。 -
AES128_CTS_HMAC_SHA1_96
およびAES256_CTS_HMAC_SHA1_96
暗号化タイプが有効になります。
-
Active Directory の設計方法により、使用中の RC4 キーがない場合に RC4
-
IdM サーバーは、ターゲット DC の
-
フォレストの信頼の場合は、in-forest ドメインに
LSA SetInformationTrustedDomain
呼び出しで推移的に到達できることを確認します。 LSA RSetForestTrustInformation
呼び出しを使用して、AD と通信する場合に AD と通信する別のフォレスト(IdM との通信時)に関する信頼トポロジー情報を追加します。注記このステップにより、以下の 3 つの理由で競合が発生する可能性があります。
-
SID namespace の競合(
LSA_SID_DISABLED_CONFLICT
エラーとして報告)この競合は解決できません。 -
NetBIOS 名前空間の競合(
LSA_NB_DISABLED_CONFLICT
エラーとして報告)この競合は解決できません。 -
DNS 名前空間はトップレベルの名前(TLN)と競合し、
LSA_TLN_DISABLED_CONFLICT
エラーとして報告されています。IdM サーバーは、別のフォレストが原因である TLN 競合を自動的に解決できます。
TLN の競合を解決するには、IdM サーバーにより以下の手順を実行します。
- 競合するフォレストのフォレスト信頼情報を取得します。
- IdM DNS 名前空間の exclusion エントリーを AD フォレストに追加します。
- 競合しているフォレストのフォレスト信頼情報を設定します。
- 元のフォレストへの信頼の再設定を行います。
IdM サーバーは、フォレストの信頼を変更できる AD 管理者の権限で
ipa trust-add
コマンドを認証した場合にのみ、この競合を解決できます。これらの権限にアクセスできない場合は、元のフォレストの管理者は、Windows UI の Active Directory ドメインおよび信頼 セクションにある上記の手順を手動で実行する必要があります。-
SID namespace の競合(
- 存在しない場合は、信頼されるドメインの ID 範囲を作成します。
- フォレストの信頼の場合は、フォレストルートから Active Directory ドメインコントローラーをクエリーし、フォレストトポロジーの詳細を確認します。IdM サーバーは、この情報を使用して、信頼されるフォレストから追加のドメイン ID 範囲を作成します。
関連情報
- 信頼コントローラーおよび信頼エージェント
- 概要ドキュメント (Microsoft)
- テクニカルドキュメント (Microsoft)
- Privileged Accounts and Groups in Active Directory (Microsoft)