schusterharry 10 Geschrieben 20. August 2007 Melden Teilen Geschrieben 20. August 2007 abend, ich hab zu oben genannten Dingen ein paar Fragen: hab ichs soweit richtig verstanden: verwende ich universelle Gruppen und der Server der den globalen Katalog " spielt" ist ausgefallen können sich alle User normal anmelden, AUSNAHME: User die einer universellen Gruppe angehören....richtig? weiters: meldet sich ein User an der einer universellen Gruppe angehört nimmt der authentifizierende DC IMMER Kontakt zu einem globalen Katalogserver auf...stimmt das so? dann: meldet sich ein User an der NICHT zu einer universellen Grupe gehört braucht man rein für die Anmeldung auch KEINEN globalen Katalog, der DC nimmt KEINEN kontakt zu einem globalen Katalog auf...richtig? Einen Standort ohne globalen Katalog sollte ich dann in Betracht ziehen wenn die Bandbreite gering ist und ich vermute das es Probleme bei der replikation geben kann Hab ich nun einen Standort ohne glob Katalog und hier aber Nutzer die einer universellen Gruppe angehören muss ich die Option der ZWISCHENSPEICHERUNG VON UNIVERSELLEN GRUPPENMITGLIEDSCHAFTEN aktiveren, nur dann können sich Mitglieder einer uni. Gruppe auch dann anmelden (mit den zwischengespeicherten Informatione) wenn es KEINEN glob Katalog gibt....stimmt so? Frage: wenn das oben so stimmt, ich also die Option der ZWISCHENSPEICHERUNG VON UNIVERSELLEN GRUPPENMITGLIEDSCHAFTEN nutze muss aber EINMAL ,nämlich beim ersten Mal wenn sich univ Gruppenmitlgieder anmelden sehr wohl ein glob Katalog vorhanden sein damit nun der DC der die Authentifizerierung macht die nötigen Infos vom glob Katalog beziehen kann und nun wo die Option aktiv ist diese eben lokal am DC zwischenspeichern kann.... So, hab ich die Zusammenhänge soweit richtig verstanden? Wär nett wenn sich das jemand durchlesen würd und mich bestätigt oder aufklärt wie es wirklich abläuft *g* danke bestens mfg Schuster Harry Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 20. August 2007 Melden Teilen Geschrieben 20. August 2007 hab ichs soweit richtig verstanden: verwende ich universelle Gruppen und der Server der den globalen Katalog " spielt" ist ausgefallen können sich alle User normal anmelden, AUSNAHME: User die einer universellen Gruppe angehören....richtig? Jain (mehr nein). Zunächst als Grundlage: Wir reden hier von einem Mehr-Domänenmodell. In einem ein-Domänenmodell ist das schon mal hinfällig. Gut. Wenn die Domäne, in der sich der Benutzer anmeldet, im 2000 pur Modus oder 2003 Server Modus läuft, und nur dann, wird der globale Katalog connectet, um zu prüfen, in welchen UGs der Benutzer Mitglied ist. Ist kein GC erfügbar, schlägt die Anmeldung nach einiger (!) Wartezeit am Client fehl (Benutzername oder Kennwort falsch). weiters: meldet sich ein User an der einer universellen Gruppe angehört nimmt der authentifizierende DC IMMER Kontakt zu einem globalen Katalogserver auf...stimmt das so? Nein, siehe oben. dann: meldet sich ein User an der NICHT zu einer universellen Grupe gehört braucht man rein für die Anmeldung auch KEINEN globalen Katalog, der DC nimmt KEINEN kontakt zu einem globalen Katalog auf...richtig? Nein, siehe oben :D Einen Standort ohne globalen Katalog sollte ich dann in Betracht ziehen wenn die Bandbreite gering ist und ich vermute das es Probleme bei der replikation geben kann Microsoft-Schulungstechnisch Korrekt. Aber: Der Inter-Site-Replikationsverkehr wird sehr häufig überschätzt. In einem sehr großen Forest, wir reden hier von zig-tausend Benutzern, tausenden von anderen Objekten, kann der GC-Replikationsverkehr etwas ins Gewicht fallen. Aber das hängt von noch mehr Faktoren ab, z.B. die Replikationshäufigkeit, was sonst noch über die Leitung geht usw. Nochmal, der Inter-Site-GC-Replikationsverkehr ist in durchschnittlichen Domänen nicht sooo groß. Hab ich nun einen Standort ohne glob Katalog und hier aber Nutzer die einer universellen Gruppe angehören muss ich die Option der ZWISCHENSPEICHERUNG VON UNIVERSELLENGRUPPENMITGLIEDSCHAFTEN aktiveren, nur dann können sich Mitglieder einer uni. Gruppe auch dann anmelden (mit den zwischengespeicherten Informatione) wenn es KEINEN glob Katalog gibt....stimmt so? Wiederum nein, siehe oben. Kleiner Denkanstoß zur Hilfestellung. Du sagst immer "Wenn der Benutzer Mitglied einer UG..... GC suchen oder nicht" "Wenn der Benutzer nicht Mitglied einer UG.... dann GC suchen oder nicht". Der GC wird gesucht, um eben das herauszufinden, in welchen UGs der Benutzer ist! Du kommst mit dem Ergebnis schon vorweg, um dann das Mittel zum Feststellen des Ergebnisses zu wählen. Diese Katze beißt sich in den Schwanz ;) Frage: wenn das oben so stimmt, ich also die Option der ZWISCHENSPEICHERUNG VON UNIVERSELLEN GRUPPENMITGLIEDSCHAFTEN nutze muss aber EINMAL ,nämlich beim ersten Mal wenn sich univ Gruppenmitlgieder anmelden sehr wohl ein glob Katalog vorhanden sein damit nun der DC der die Authentifizerierung macht die nötigen Infos vom glob Katalog beziehen kann und nun wo die Option aktiv ist diese eben lokal am DC zwischenspeichern kann.... Korrekt. Und die SIDs der UGs, in denen der benutzer Mitglied ist - geliefert von eben diesem GC - werden standardmäßig auf dem DC 8h lang zwischengespeichert. Sollte bei einer nachfolgenden Anmeldung innerhalb dieser 8h der GC dann icht zur Verfügung stehen, wird der Benutzer dennoch angemeldet und erhält bezügich der UG-Mitgliedschaften ein korrektes Ticket gemäß Stand der letzten Abfrage. Um nochmals den Ring zu meiner obigen grundlegenden Aussage zu schließen: in einem Ein-Domänenmodell vergessen wir das Gesagte. In einem Mehrdomänenmodell in einer Domäne in den zwei niedrigeren Modi auch. BTW: Es gäbe eine weitere Alternative: Das Abschalten des UG-Checks über eienn GC in der Registry. grizzly999 Zitieren Link zu diesem Kommentar
schusterharry 10 Geschrieben 20. August 2007 Autor Melden Teilen Geschrieben 20. August 2007 danke für deine Antwort...demnach könnte man sagen das die vielen "neins" daher kommen das ich angenommen hab das der DC der für die Authentifizierung "weis" wer zu einer UG gehört (ich nahm echt an das diese Infos sowieso jeder DC hat...woher auch immer *gggggggggggggg* ) , dies weis er aber nicht sondern dies erfährt er eben von GK.... richtig verstanden? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.