web-dev-qa-db-ja.com

ドメインへのログイン-WindowsActiveDirectory-仕組み

ドメインに接続されているウィンドウにログインするときに、

domain\userid(例:companya\usera)

ドメインはActiveDirectoryのIPに解決する必要があると思いますか?コンピューターにインターネット接続がない場合はどうなりますか?

コンピュータは実際にどこで/どのようにドメインを解決しますか? (ただし、背後に.comがないことはわかっています)

ここの第一人者は、バックエンドでどのように機能するかを明らかにすることができますか?

また、複数のコンピューターを使用して、互いにログアウトせずに自分のアカウントでログインできることもわかりました。これは正常ですか?

2
Noob

ドメインはActiveDirectoryのIPに解決する必要があると思いますか?

いいえ、必ずしもそうとは限りません。 Windowsは、追加のサブドメインのSRVレコードを使用して、必要なすべてのサービスを検出します。たとえば、_kerberos._udp.domainはKerberosサーバー(実際の認証に使用)を指し、_ldap._tcp.domainはLDAPサーバー(追加のアカウント情報の取得に使用)を指します。

(ただし、ADのDNSレイアウトは上記の例よりも少し複雑で、グローバルサービスと「サイト」固有のサービスがありますが、一般的な考え方は同じです。)

ADの外部でも同じスキームが使用されます。たとえば、Minecraftは_minecraft._tcp.domainを使用し、XMPP(Jabber)チャットは_xmpp-client._tcp.domainを使用し、従来の電子メールにはMXレコードがあります。

コンピューターにインターネット接続がない場合はどうなりますか?

以前にログインしたことがある場合、Windowsはキャッシュされた情報を使用してユーザーを確認します。それ以外の場合は、インターネットに接続するように求められます。

コンピュータは実際にどこで/どのようにドメインを解決しますか? (ただし、背後に.comがないことはわかっています)

他のドメインの場合と同じように、コンピューターに構成されたDNSサーバーを使用します。

コンピュータが最初に企業DNSサーバーに名前について尋ねたとき、そのサーバーは、グローバルDNSに存在していなくても、決定したanyドメインに関するクエリに実際に答えることができます。 (同様に、多くのホームゲートウェイには、.homeドメインなどをホストするDNSサーバーが組み込まれています。)

(ただし、これはDNSSECと新しいSSL証明書の要件の両方のために難しくなっています。しかし、私見ではとにかくばかげた考えでした。)

また、複数のコンピューターを使用して、互いにログアウトせずに自分のアカウントでログインできることもわかりました。これは正常ですか?

はい、複数のパソコンを使ってGmailにログインできるのと同じように、これはまったく正常なことです。 Active Directoryは認証(および承認やアカウントデータの取得などの関連するもの)に使用されますが、ほとんどの場合、そこで終了します–アカウントには「シングルユース」リソースがないため、いいえ技術的 1回のログインを強制する理由。

(はい、いくつかの例外があります。たとえば、古い「移動プロファイル」は複数のログインではうまく機能しないため、管理者はそれを制限することを選択する可能性があります。)

2
user1686

WindowsドメインとDNSドメインは同じものではありません。それ以外にもたくさんありますが、単にWindowsドメインは、MS ActiveDirectory内のコンピューターとサーバーの組織です。また、DNSドメインは、IPアドレスに割り当てられた名前です。

Windowsドメインは関連していないため、インターネット接続は必要ありません。コンピューターは、ActiveDirectoryによって提供されるDNSを介してドメインを解決します。

1つのアカウントで複数のコンピューターにログインする場合は、これが標準です。制限することもできますが、通常は必要ありません。

2
Keltari