Active Directory ドメインと信頼関係スナップインを使用して、ローカル フォレストへのルーティングから名前サフィックスを除外することができます。
名前サフィックスのルーティングは、フォレスト信頼によって連結された複数の Windows Server 2008 または Windows Server 2008 R2 フォレスト間で認証要求がルーティングされる方法を管理するためのメカニズムです。認証要求の管理を簡素化するため、フォレスト信頼を作成すると、すべての固有の名前サフィックスが既定でルーティングされます。固有の名前サフィックスは、フォレスト内の名前サフィックスです。たとえば、ユーザー プリンシパル名 (UPN) サフィックス、サービス プリンシパル名 (SPN) サフィックス、またはドメイン ネーム システム (DNS) フォレストやドメイン ツリー名のうち他の名前サフィックスに従属しないものなどです。
この手順を実行するには、Domain Admins または Enterprise Admins のメンバーシップ、あるいはそれらと同等のメンバーシップが最低限必要となります。 適切なアカウントおよびグループ メンバーシップの使用の詳細については、
ローカル フォレストへのルーティングから名前サフィックスを除外するには |
Active Directory ドメインと信頼関係を開きます。Active Directory ドメインと信頼関係を開くには、[スタート] ボタンをクリックし、[管理ツール] をポイントして、[Active Directory ドメインと信頼関係] をクリックします。
コンソール ツリーで、管理するドメインのノードを右クリックし、[プロパティ] をクリックします。
[信頼] タブの [このドメインに信頼されるドメイン (出力方向の信頼)] または [このドメインを信頼するドメイン (入力方向の信頼)] のいずれかで、管理するフォレストの信頼をクリックし、[プロパティ] をクリックします。
[名前サフィックス ルーティング] タブをクリックします。[x.x. フォレストにある名前サフィックス] で、ルーティング状態を除外する固有の名前サフィックスをクリックし、[編集] をクリックします。
[x.x へのルーティングから除外する名前サフィックス] で、[追加] をクリックし、固有の名前サフィックスに従属する DNS 名前サフィックスを入力して、[OK] をクリックします。
その他の考慮事項
-
この手順を実行するには、Active Directory ドメイン サービス (AD DS) の Domain Admins グループまたは Enterprise Admins グループのメンバーであるか、または適切な権限が委任されている必要があります。セキュリティを考慮するうえで最適な方法として、この手順を実行するときに [別のユーザーとして実行] を使うことを検討してください。詳細については、ヘルプとサポートで「[別のユーザーとして実行] を使用する」を検索してください。
-
名前サフィックスを除外すると、その DNS 名の子もすべて除外されます。
-
名前サフィックス、DNS 名、NetBIOS 名、およびこの信頼と関連する状態のログを表示するには、[名前を付けて保存] をクリックします。このログは認証の問題のトラブルシューティングに役立ちます。