フォレスト | 内部統制システム.com

【フォレスト】

フォレスト(forest)とは、
DNSの名前階層に基づく1つ以上のADドメインの階層的集合である。
1つ以上のADドメインを含むシステム領域であり、ADの概念の中で最も外側の領域である。

1つ以上のADドメインを設置する際に、DNSの名前階層に従って階層構造、すなわちフォレストを構成できる。
基準となるADドメインD1(ja.wikipedia.org)の下層に作成されたADドメインD2(sub1.ja.wikipedia.org)は「サブドメイン」となる。
基準ドメインD1とサブドメインD2の間には自動的に双方向の信頼関係が結ばれる。
サブドメインD2は、ドメインD1の下に作成された別のサブドメインD3(sub2.ja.wikipedia.org)、 あるいはドメインD1のさらに上位ドメインD0 (wikipedia.org)とも自動的に信頼関係が結ばれる。
つまり、「ドメインD2がドメインD1を信頼し、ドメインD1がドメインD0を信頼しているとき、ドメインD2はドメインD0を信頼する」という論理で信頼関係を結ぶ。
これを「信頼の推移」と呼ぶ。
同一フォレスト内のADドメインであれば、信頼の推移が行われるとともに、グループの共有も可能である。
ただ1つのADドメインしかなくてもフォレストを形成し、シングルフォレスト、シングルドメイン、シングルサイト構成になる。
最初に構築したADドメインは「フォレストルートドメイン」となり、他のADドメインを増設する際の基準ドメインになる。
先の例では、ドメインD0 (wikipedia.org)がフォレストルートドメインであり、他のADドメインに先駆けて最初に構築しなければならない。
Windows 2000 Serverによるフォレストでは、フォレスト間で一括して信頼関係を結ぶことはできない。
すなわち、フォレストルートドメイン間で信頼関係を結んでも、サブドメインには信頼は推移しない。
NTドメインと同様に、異なるフォレストに属するADドメイン間で個別に信頼関係を結ぶことはできる。
Windows Server 2003以降では「フォレスト間信頼」がサポートされ、フォレストルートドメイン間で信頼関係を結ぶことで、 各フォレストに属するADドメインも自動的に推移する信頼関係を結んだことになる。