はじめまして。当方、某大学の大学院2年で
研究室のサーバーおよびネットワーク管理をしています。
そこで、windows2000server,2003serverの持っている
ルーティングとリモートアクセスサービス(RRAS)の1つである
NAT(ネットワークアドレス変換)について、大先輩方の意見を
教えてください。
現在当研究室は
すべてグローバルIPアドレスをもっていて、それを
ドメインコントローラーであるwindows2000serverで
管理しています。
<例>
IPaddress OS 備考
133.*,*,4 Redhat Linux 3 NISserver,DNSserver
133.*.*.2 FreeBSD4.5 DNSプライマリserver
133.*.*.3 FreeBSD3.3 Mailserver
133.*.*.47 Redhat Linux7.3 ファイルserver
133.*.*.71 windows2000server DC
です。unix端末はsamdaを導入し、DC(ドメインコントローラー)であるAD(アクティブディレクトリ)に参加させています。
全部で50台ほどのPCがADにドメイン参加しており、50人程の
ユーザーが在籍しています。
しかし、グローバルIPの枯渇のため、windows2000serverを調べたところ、NAT機能をもっている事がわかり、NATを利用して、
プライベートIPをふって構築しなおそうと考えています。
しかし、ネットや本では、グローバルIPとプライベートIPアドレス
を共存させたNAT詳しい設定方法がなく、わかりかねております。
現在のMAILserver,NISserver,DNSserver等のグローバル
アドレスを変更せずに、それ以外の端末をプライベート化して、
ともにドメインコントローラーである(NAT機能を持たせた)端末
にドメイン参加させ、それぞれ、ADの参加(グローバルIPを持ったsambaを導入した端末)は可能でしょうか?
それとも、やはり、ルーターを別に買わなければならないでしょうか?
また、可能な場合はやり方の伝授(設定方法等)お願いいたします。
これが解決しだい、2003serverへ移行しようと検討しています。
ためしに、現状の状態でNICを2枚さして、本などの方法で(NAT、ルーター)設定してみたら、グローバルアドレスをもった端末がドメインから消失するという結果になってしまいました。
初心者ですので、当り前の知識、間違った表現、記載等あると
思いますが、よろしくお願いします。
研究室のサーバーおよびネットワーク管理をしています。
そこで、windows2000server,2003serverの持っている
ルーティングとリモートアクセスサービス(RRAS)の1つである
NAT(ネットワークアドレス変換)について、大先輩方の意見を
教えてください。
現在当研究室は
すべてグローバルIPアドレスをもっていて、それを
ドメインコントローラーであるwindows2000serverで
管理しています。
<例>
IPaddress OS 備考
133.*,*,4 Redhat Linux 3 NISserver,DNSserver
133.*.*.2 FreeBSD4.5 DNSプライマリserver
133.*.*.3 FreeBSD3.3 Mailserver
133.*.*.47 Redhat Linux7.3 ファイルserver
133.*.*.71 windows2000server DC
です。unix端末はsamdaを導入し、DC(ドメインコントローラー)であるAD(アクティブディレクトリ)に参加させています。
全部で50台ほどのPCがADにドメイン参加しており、50人程の
ユーザーが在籍しています。
しかし、グローバルIPの枯渇のため、windows2000serverを調べたところ、NAT機能をもっている事がわかり、NATを利用して、
プライベートIPをふって構築しなおそうと考えています。
しかし、ネットや本では、グローバルIPとプライベートIPアドレス
を共存させたNAT詳しい設定方法がなく、わかりかねております。
現在のMAILserver,NISserver,DNSserver等のグローバル
アドレスを変更せずに、それ以外の端末をプライベート化して、
ともにドメインコントローラーである(NAT機能を持たせた)端末
にドメイン参加させ、それぞれ、ADの参加(グローバルIPを持ったsambaを導入した端末)は可能でしょうか?
それとも、やはり、ルーターを別に買わなければならないでしょうか?
また、可能な場合はやり方の伝授(設定方法等)お願いいたします。
これが解決しだい、2003serverへ移行しようと検討しています。
ためしに、現状の状態でNICを2枚さして、本などの方法で(NAT、ルーター)設定してみたら、グローバルアドレスをもった端末がドメインから消失するという結果になってしまいました。
初心者ですので、当り前の知識、間違った表現、記載等あると
思いますが、よろしくお願いします。
|
|
|
|
コメント(16)
>かずさん
確かに、セキュリティは問題ありますが、
研究室在室の住人が自宅から、端末に直接リモートアクセス
しています。ですので、プライベート化すると、個人がリモートアクセス
できなくなる可能性があって、グローバルのまま運営しています。
>www,mail,dns,proxyサーバーについて
>グローバルIPを割り振るというのは普通だと思いますが
ですが、proxyサーバーは学校側の協力なセキュリティがあり、
その他のサーバは別に強力なセキュリティ対策をしています。
現在、セキュリティが不安があるのが、かずさんの指摘の通り
DCです。
>井上@koujiiさん
おっしゃる通りだど思います。ただ、一つ問題があり、
別途、ルーターを一台用意して、Active Directoryに関連するDC
とクライアント一式をプライベートIPアドレス側に入れてしまう
のがいいとは思うのですが、その場合同じルーターの別の口に接続した、グローバルIPアドレスを持った端末をプレイベートIPをもったDCのADに参加させることは可能なのでしょうか?
確かに、セキュリティは問題ありますが、
研究室在室の住人が自宅から、端末に直接リモートアクセス
しています。ですので、プライベート化すると、個人がリモートアクセス
できなくなる可能性があって、グローバルのまま運営しています。
>www,mail,dns,proxyサーバーについて
>グローバルIPを割り振るというのは普通だと思いますが
ですが、proxyサーバーは学校側の協力なセキュリティがあり、
その他のサーバは別に強力なセキュリティ対策をしています。
現在、セキュリティが不安があるのが、かずさんの指摘の通り
DCです。
>井上@koujiiさん
おっしゃる通りだど思います。ただ、一つ問題があり、
別途、ルーターを一台用意して、Active Directoryに関連するDC
とクライアント一式をプライベートIPアドレス側に入れてしまう
のがいいとは思うのですが、その場合同じルーターの別の口に接続した、グローバルIPアドレスを持った端末をプレイベートIPをもったDCのADに参加させることは可能なのでしょうか?
>確かに、セキュリティは問題ありますが、
研究室在室の住人が自宅から、端末に直接リモートアクセス
しています。ですので、プライベート化すると、個人がリモートアクセス
できなくなる可能性があって、グローバルのまま運営しています。
であれば,ドメインコントローラやワークステーションを LAN 上において,VPN でアクセスするのがよいかと思います。
例えば YAMAHA ルータとかを使って,こんな感じでどうかと。
http://netvolante.jp/solution/vpn/case1/example5.html
あと一つ経験則上の話を書きますと,ドメインコントローラを NAT サーバとしても使うと,かなりパフォーマンスに影響がでます。
パケットフィルタリングはそれなりに大きな仕事と思われ,フィルタルールなどをきちんと組み立てて運用すると,ドメインコントローラとしてのパフォーマンスにかなりの影響が出るようです。
# トピ主さんが目指していると思われる構成と似たような環境を一時的に組んだことがありましたが,そのサーバではかなりのパフォーマンス低下が観察されました。
# 後でルータを置いてみたら打って変わって軽やかな動作で拍子抜け・・・。
ドメインコントローラをインターネット上にさらすことに伴うセキュリティ面の影響も考えると,やはりルータを間に入れたほうがいろいろと安全だと思います。
研究室在室の住人が自宅から、端末に直接リモートアクセス
しています。ですので、プライベート化すると、個人がリモートアクセス
できなくなる可能性があって、グローバルのまま運営しています。
であれば,ドメインコントローラやワークステーションを LAN 上において,VPN でアクセスするのがよいかと思います。
例えば YAMAHA ルータとかを使って,こんな感じでどうかと。
http://netvolante.jp/solution/vpn/case1/example5.html
あと一つ経験則上の話を書きますと,ドメインコントローラを NAT サーバとしても使うと,かなりパフォーマンスに影響がでます。
パケットフィルタリングはそれなりに大きな仕事と思われ,フィルタルールなどをきちんと組み立てて運用すると,ドメインコントローラとしてのパフォーマンスにかなりの影響が出るようです。
# トピ主さんが目指していると思われる構成と似たような環境を一時的に組んだことがありましたが,そのサーバではかなりのパフォーマンス低下が観察されました。
# 後でルータを置いてみたら打って変わって軽やかな動作で拍子抜け・・・。
ドメインコントローラをインターネット上にさらすことに伴うセキュリティ面の影響も考えると,やはりルータを間に入れたほうがいろいろと安全だと思います。
あと、4. の以下の質問に対する回答も。
> 別途、ルーターを一台用意して、Active Directoryに関連するDCとクライアント一式をプライベートIPアドレス側に入れてしまう のがいいとは思うのですが、その場合同じルーターの別の口に接続した、グローバルIPアドレスを持った端末をプレイベートIPをもったDCのADに参加させることは可能なのでしょうか?
NAT 環境での Active Directory へのドメイン参加もサポートされていません。これは、今回の環境のケースも、サーバーとクライアントが逆のケースも同様です。
Active Directory はサーバー/クライアント間の双方向のアクセスを必要としています。
> 別途、ルーターを一台用意して、Active Directoryに関連するDCとクライアント一式をプライベートIPアドレス側に入れてしまう のがいいとは思うのですが、その場合同じルーターの別の口に接続した、グローバルIPアドレスを持った端末をプレイベートIPをもったDCのADに参加させることは可能なのでしょうか?
NAT 環境での Active Directory へのドメイン参加もサポートされていません。これは、今回の環境のケースも、サーバーとクライアントが逆のケースも同様です。
Active Directory はサーバー/クライアント間の双方向のアクセスを必要としています。
> かずくんさん
> 各サーバーはグローバル/プライベート共に持たせることで
DMZ に配備するサーバーは二本足でなくて大丈夫です。DMZ のみ接続し、DMZ - "プライベート IP Zone" 間は NAT でなくルーティングしてください。これが一般的な DMZ 構築方法です。
ルーティングさせることで、DMZ へのアクセスがシームレスに可能となり、また必要に応じてそこに端末を設置することも可能となります。
ただ、非常に残念なのですが、その構成を実現するルータや FW 機器は、一番安価なものでも、15 万程度します。思いつく機器は、NetScreen-5GT Extended、VPN-1、Safe@Office、あたりです。
もし速度懸念がなければ、ルータ部位を Linux サーバーや Windows サーバーでまかなうのもひとつの手でしょう。我が家の実験環境では、そのポジションを ISA Server 2004 という製品でまかなっています。
> 各サーバーはグローバル/プライベート共に持たせることで
DMZ に配備するサーバーは二本足でなくて大丈夫です。DMZ のみ接続し、DMZ - "プライベート IP Zone" 間は NAT でなくルーティングしてください。これが一般的な DMZ 構築方法です。
ルーティングさせることで、DMZ へのアクセスがシームレスに可能となり、また必要に応じてそこに端末を設置することも可能となります。
ただ、非常に残念なのですが、その構成を実現するルータや FW 機器は、一番安価なものでも、15 万程度します。思いつく機器は、NetScreen-5GT Extended、VPN-1、Safe@Office、あたりです。
もし速度懸念がなければ、ルータ部位を Linux サーバーや Windows サーバーでまかなうのもひとつの手でしょう。我が家の実験環境では、そのポジションを ISA Server 2004 という製品でまかなっています。
>Felice☆Im@sさん
>ロードスターくんさん
>やまにょんさん
>かずさん
>安藤@大分さん
とても、参考になります。ありがとございます。
特にやまにょんさん。
>あと一つ経験則上の話を書きますと,ドメインコントローラを N>AT サーバとしても使うと,かなりパフォーマンスに影響がでま>す。
>パケットフィルタリングはそれなりに大きな仕事と思われ,フィ>ルタルールなどをきちんと組み立てて運用すると,ドメインコン>トローラとしてのパフォーマンスにかなりの影響が出るようで>>す。
># トピ主さんが目指していると思われる構成と似たような環境を>一時的に組んだことがありましたが,そのサーバではかなりのパ>フォーマンス低下が観察されました。
># 後でルータを置いてみたら打って変わって軽やかな動作で拍子>抜け・・・。
>ドメインコントローラをインターネット上にさらすことに伴うセ>キュリティ面の影響も考えると,やはりルータを間に入れたほう>がいろいろと安全だと思います。
の説明がとても、参考になりました。この経験話をきくと、
例え、構築できたとしても、快適な環境を提示できない事
になりますね。ドクターの方から、環境の移行後、問題なく運用できるのがが一番心配されてる点ですので、先輩方のおっしゃるとおりルーターを購入しようと考えています。
しかし
一つ気になる点があるのですが、
>SBSでネットワーク組んでます。
VPNでもつながるし、プライベートPCへ外部からVNCでつないだりできます。
と大変興味深いお話しがあるのですが、WINDOWS2003SERVER,ENTERPRISEエディション R2で上記ネットワーク
は可能でしょうか?
なぜかというと、先日上記2003サーバーを
アカデミパックで購入済みのためです。
ですので、SBSではなく、2003SERVERエンタープライズエディションでも、VPNで繋げて、プライベートPCへ外部からVNCでつないだりできる環境があるのでしたら、ルーターを買わなくても、
安藤@大分さんのネットワーク環境でいけるかなと思っているからです。
よろしくお願いします。
後、もう一つ質問があります。
研究室にリモートで繋ぐ場合、学校側のVPNサーバーに繋いでから、
アクセスしています。ただ、そのVPNサーバーは学校側
で管理しているため、いじることができません。ですので、
別途、VPNサーバーをたてる必要があるという意味でしょうか?
当方、サーバーをいじるのが大変面白く、研究よりも、
管理のほうをメインでやってます。きつい言い方でも、ぜんぜんかまいません。より、快適な環境を提示できるのであれば、問題ないです。よろしくお願いします。
>ロードスターくんさん
>やまにょんさん
>かずさん
>安藤@大分さん
とても、参考になります。ありがとございます。
特にやまにょんさん。
>あと一つ経験則上の話を書きますと,ドメインコントローラを N>AT サーバとしても使うと,かなりパフォーマンスに影響がでま>す。
>パケットフィルタリングはそれなりに大きな仕事と思われ,フィ>ルタルールなどをきちんと組み立てて運用すると,ドメインコン>トローラとしてのパフォーマンスにかなりの影響が出るようで>>す。
># トピ主さんが目指していると思われる構成と似たような環境を>一時的に組んだことがありましたが,そのサーバではかなりのパ>フォーマンス低下が観察されました。
># 後でルータを置いてみたら打って変わって軽やかな動作で拍子>抜け・・・。
>ドメインコントローラをインターネット上にさらすことに伴うセ>キュリティ面の影響も考えると,やはりルータを間に入れたほう>がいろいろと安全だと思います。
の説明がとても、参考になりました。この経験話をきくと、
例え、構築できたとしても、快適な環境を提示できない事
になりますね。ドクターの方から、環境の移行後、問題なく運用できるのがが一番心配されてる点ですので、先輩方のおっしゃるとおりルーターを購入しようと考えています。
しかし
一つ気になる点があるのですが、
>SBSでネットワーク組んでます。
VPNでもつながるし、プライベートPCへ外部からVNCでつないだりできます。
と大変興味深いお話しがあるのですが、WINDOWS2003SERVER,ENTERPRISEエディション R2で上記ネットワーク
は可能でしょうか?
なぜかというと、先日上記2003サーバーを
アカデミパックで購入済みのためです。
ですので、SBSではなく、2003SERVERエンタープライズエディションでも、VPNで繋げて、プライベートPCへ外部からVNCでつないだりできる環境があるのでしたら、ルーターを買わなくても、
安藤@大分さんのネットワーク環境でいけるかなと思っているからです。
よろしくお願いします。
後、もう一つ質問があります。
研究室にリモートで繋ぐ場合、学校側のVPNサーバーに繋いでから、
アクセスしています。ただ、そのVPNサーバーは学校側
で管理しているため、いじることができません。ですので、
別途、VPNサーバーをたてる必要があるという意味でしょうか?
当方、サーバーをいじるのが大変面白く、研究よりも、
管理のほうをメインでやってます。きつい言い方でも、ぜんぜんかまいません。より、快適な環境を提示できるのであれば、問題ないです。よろしくお願いします。
- mixiユーザー
- ログインしてコメントしよう!
|
|
|
|
Windows Serverを管理する人 更新情報
-
最新のアンケート
-
まだ何もありません
-
