lehmm 10 Geschrieben 12. November 2004 Melden Teilen Geschrieben 12. November 2004 Hallo zusammen, ich suche gerade nach einer Lösung für folgende Anforderung: - Unser Active Directory besitzt 4 Domänen (1x root + 3 mal Sub-Domain) - Insesamt erstreckt sich das AD über rund 20 physische Standort (i.d.R. mit lediglich einem DC vor Ort) Anforderung nun: Realisierung von 2 AD Domänen (x und y) an einem Standort, der ledigliche einen Server beinhaltet (DC der Domäne x). - Verwendung von "server-gespreicherten Profile) und - Login Script auf den jeweil lokalen File-Server (sowohl für User der Domäne x als auch y). Schwierigekeiten die ich sehe: - Wie und wo erfolgt die User authentifizerung für die Domäne y ? - Login Script wird doch eigentlich vom DC jeder Domäne bereitgestellt. Was passiert jedoch, wenn die WAN Verbindung nicht verfügbar ist ? Vielen Dank für eure Hilfe. MfG Marco Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 12. November 2004 Melden Teilen Geschrieben 12. November 2004 Hallo Ich bin mir nicht sicher, ob diese Anforderung erfüllt werden kann, denn es ist mir neu, dass auf einem und demselben DC ein Forest/Root und eine Childdomain laufen kann. (Es sei denn es sind zwei virtuelle Geräte auf einem physikalischen Host). Nach meinem Wissen brauchst Du mindestens für den Forest einen DC und für die Childdomain einen DC. Bei dedizierten Offices, Hauptsitz in A und Filiale in B sollte man in der Regel den FSMO Master der Childdomain/Forest in A haben und einen weiteren Domaincontroller (mit replizierten GlobalCatalog) in der Filiale B. Wift man auch noch ein Auge auf Redundanz und Sicherheit so sind für dieses Konstrukt vier Domaincontroller notwendig: Root/Forest FSMO Master Root/Forest Add. Domaincontroller Childdomain FSMO Master Childdomain Add. Domaincontroller Wenn die WAN Verbindung nicht verfügbar ist während dem Logon nimmt der client der nächste verfügbare Domaincontroller - also derjenige seiner Zweigniederlassung. Der Uplink zu dem FSMO Master darf jedoch keinenfalls länger unterbrochen sein (mehrere Tage), denn in der Regel laufen am Dritten Tag die Kerberostickets des Domaincontrollers ab und danach kann dieser nicht mehr validieren. Die Autentifizierung findet immer auf der Stufe statt wo die Resource dazugehört d.h. Clients der Childdomain A auf dem/den Child-DC(s) von A, Servers des Forest auf dem Forest-DC. Clients der Childdomain B können sich nicht auf einem DC der Childdomain A validieren. Gruss, MAtthias Zitieren Link zu diesem Kommentar
lehmm 10 Geschrieben 12. November 2004 Autor Melden Teilen Geschrieben 12. November 2004 Hallo Mathias ja, klingt soweit logisch. Was ist jedoch, wenn der "Singel DC" in der Ausstenstelle als "Global Catalog" Server aggiert. Kann er dann nicht die Anmeldung für beide Domänen (x und y) durchführen ? In der Regel sind in den Außenstelle lediglich 5-10 MA vor Ort. Einen zusätzlichen Server für ein paar MA in Domäne y wäre da sehr kostenintensiv. Meine Frage bezüglich WAN Anbindung ging dahingehend, dass wenn die WAN Verbindung nicht da ist, sich die User in Domäne y (in der Zweisstelle) überhaupt nicht anmeldne können, da lokal ja nur ein DC der Domäne y da ist, oder ? Gruß Marco Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 12. November 2004 Melden Teilen Geschrieben 12. November 2004 Hallo Marco Doch natürlich kann er beide Accounts identifizieren und validieren, sofern beide Accounts A und B demselben Forest entstammen. Der SID-Master ist auf dem FSMO Master des Forest d.h. die sind unique in allen child-domains und können aufgelöst werden. Am einfachsten ist das verständlich: - Die Childdomain traut einseitig den Accounts der Forestdomain. Also ein intransitiver Onewaytrust.- Folge: Jeder Admin aus dem Forest kann sich auf jedem Child-PC anmelden. Umgekehrt jedoch nicht. Ich bin mir nicht ganz sicher, ob der Globale Katalog wie der Name sagt, ALLE Accounts des Forests enthält oder nur diejenige der Childdomain. Sicher weiss das aber jmd hier .... Es gibt betreffs der Erreichbarkeit zwei Überlegungen: - Sind in den kleinen Offices keinerlei Domaincontroller könnten sich die Leute nicht richtig einloggen und Grouppolicies werden u.U. nicht sauber applied. Bei Windows XP ist dies (bei einem kurzen Unterbruch) nicht tragisch, da die Profiledaten local auf den Domainmebers gecached sind. - Sind vor Ort (in grösseren Zweigniederlassungen) Domaincontrollers könnten die schlimmstenfalls 1x täglich per ISDN auf den FSMO MAster einwählen und synchronisieren. Preislich muss man auch sagen, dass ein Domaincontroller kein High-End Peformance Power Ultra Server sein muss. Wir setzten bei uns einen ML370 First Generation mit 600 MHz ein (mit Raid1) - Backup auf den Fileserver. Wenn man bei Dell unter Lowcoastgeräte schaut findet man da schon was ab 400€. Wieso nicht ein alter Benutzer PC der nicht mehr eingesetzt wird, weil der User nicht mehr mit der alten Karrette will, mit neuer Harddisk ausstatten und dem zum DC degradieren. Ein (zusätzlicher) DC sollte mindestens 256 MB RAM haben, falls möglich Raid (bei FSMO Master ein Muss), Backupmöglichkeit auf anderes Gerät. Gruss, Matthias Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 12. November 2004 Melden Teilen Geschrieben 12. November 2004 Uhm, wurde ziemlich viel geschrieben in dem Beitrag. Ich mach meine Version etwas kürzer, wenn's recht ist ;) :D Das geht schlichtweg nicht, zwei Domänen auf einem DC (von virtuellen Maschinen abgesehen, aber das war glaube ich nicht die Frage). grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.