信頼の方向
信頼の種類、および信頼に割り当てられた方向は、認証に使用される信頼パスに影響します。信頼パスとは、一連の信頼関係のことで、ドメイン間の認証要求はこれに従います。ユーザーが他のドメインのリソースにアクセスする前に、Windows Server 2008 または Windows Server 2008 R2 を実行しているドメイン コントローラーのセキュリティ システムは、信頼する側のドメイン (ユーザーがアクセスしようとしているリソースが存在するドメイン) が信頼される側のドメイン (ユーザーがログオンしているドメイン) と信頼関係を持っているかどうかを確認する必要があります。この確認のために、セキュリティ システムは、信頼する側のドメイン コントローラーと信頼される側のドメイン コントローラーとの間の信頼パスを計算します。次の図では、信頼パスが矢印で表されています。矢印の方向は信頼の方向を示しています。
すべてのドメイン信頼関係において、関係するのは、信頼する側のドメインと信頼される側のドメインの 2 つのみです。
一方向の信頼
一方向の信頼は、2 つのドメインの間で作成される、単方向の認証パスです。たとえば、ドメイン A とドメイン B の間に一方向の信頼がある場合、ドメイン A のユーザーはドメイン B のリソースにアクセスすることができますが、ドメイン B のユーザーはドメイン A のリソースにアクセスすることができません。一方向の信頼は、作成された信頼の種類によっては、非推移性または推移性を選択できる場合もあります。信頼の種類の詳細については、「信頼の種類とは」を参照してください。
双方向の信頼
Windows Server 2008 フォレストまたは Windows Server 2008 R2 フォレストのドメインの信頼はすべて、双方向で推移的な信頼です。新しい子ドメインが作成された場合、新しい子ドメインと親ドメインとの間に、双方向で推移的な信頼が自動的に作成されます。双方向の信頼では、ドメイン A はドメイン B を信頼し、ドメイン B はドメイン A を信頼します。つまり、認証要求は 2 つのドメイン間で両方向に渡されます。双方向の関係は、作成された信頼の種類によっては、非推移性または推移性を選択できる場合もあります。詳細については、「信頼の種類とは」を参照してください。
Windows Server 2008 ドメインまたは Windows Server 2008 R2 ドメインは、次のドメインや領域との間に一方向または双方向の信頼を確立することができます。
-
同じフォレスト内の Windows Server 2008 ドメインまたは Windows Server 2008 R2 ドメイン
-
異なるフォレスト内の Windows Server 2008 ドメインまたは Windows Server 2008 R2 ドメイン
-
同じフォレスト内の Windows Server 2003 ドメイン
-
異なるフォレスト内の Windows Server 2003 ドメイン
-
Windows NT 4.0 ドメイン
-
Kerberos Version 5 (V5) 領域
Kerberos V5 認証の詳細については、Kerberos V5 プロトコルの詳細に関するページ (英語の可能性あり) (