Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Vertrauensstellung zwischen 2 Domänen

Mitglied: justinp

justinp (Level 1) - Jetzt verbinden

05.02.2006, aktualisiert 14.02.2006, 8379 Aufrufe, 2 Kommentare

DCs können sich organisatorisch bedingt nur selten übers Netz erreichen

Hallo,

ich bräuchte mal einen Rat zum Thema Active Directory.

Wir haben einen zweiten Windows-Server den wir gelegentlich unterwegs einsetzen (Datenbank und ein paar Freigaben). Bisher hatte ich dazu 2 unabhängige Domänen mit dem Nachteil, daß hier die Benutzer und Computerkonten in beiden gepflegt werden mußten.

Ich mußte die Computer dann jedesmal vor so einer "Reise" aus der einen Domäne rausnehmen und in die andere reinstecken.

Sollte man diese Sache mittels Vertrauensstellungen lösen? Die Notebooks würden sich dann weiterhin an der "feste Domäne" anmelden aber die Freigaben bestehen auf dem mobilen Server.

Vermutlich ist es problematisch, dass der mobile Server nur selten den festen Server erreichen wird, da er nur hinundwieder im Büro ist. Muß ich hier mit Geschwindigkeitsproblemen rechnen weil der mobile Server erstmal ewig probiert den festen Server zu erreichen?

Mit der Funktion "Standorte und Dienste", die man seit WinSrv'03 in der Verwaltung findet, scheint irgendwie steuern zu können wann und wie oft zwischen den Standorten (i.d.F. "Fest" und "Mobil") repliziert wird. Hab noch nicht rausgefunden wie genau.

Ein weiteres Problem wäre das Login-Skript. Bisher habe ich einfach nur eine batch-Datei. Das ginge dann vermutlich nicht mehr. Wie wäre das zu lösen? GPO?

Für alle Ratschläge schonmal vielen Dank.

Gruß
JP

PS: fester SRV ist Win2000SRV und mobiler SRV Win2003SRV...adprep hatte ich schon gemacht...auf den Clients ist XP
Mitglied: gogoflash
12.02.2006 um 00:43 Uhr
Hi,

mein Vorschlag wäre keine Vertrauensstellung sondern zwei Domänencontroller.

A) Vorbereitung:
i) Auf beiden läuft ein DHCP mit unterschiedlichen Teilbereichen.
Die Clients die von ServerA eine IP bekommen, sollten als primären DNS Server den ServerA haben, die Clients vom ServerB dementsprechend.
Die DHCP Leasetime ändern, so das die Clients schneller mögliche Änderungen bekommen, besonders die Einstellungen bezüglich des primären/sekundären DNS Servers sind da wichtig. Sonst kann es zu Performanceeinbußen kommen.
ii) OUs erstellen in den die mobilen Clients und User drinstehen.
Es kann später Probleme mit den Policies geben falls sie unterwegs und @home geändert werden. Zumindest werden dann in unterschiedlichen Bereichen Änderungen möglich.
iii) Das Anmeldeskript in Netvolume reinlegen, dadurch wird es auf beide Controller gespiegelt. In der Userverwaltung das Anmeldeskript angeben. Es ist DC unabhängig. Wenn der eine nicht erreichbar ist, holt sich der Client es vom verbleibenen.
Im Anmeldeskript sollte dann die Existenz des ServersA mit einem Ping geprüft werden.

<font class="code">
@echo off
set hostname=192.168.1.1
ping -n 1 -w 5 %hostname% | find /i "Antwort" && goto :sub1 || goto :sub2
goto :end
REM ServerA gibt Antwort
:sub1
....Mach was
goto :end
REM ServerA gibt keine Antwort
:sub2
....mach was anderes
goto :end
:end
</font>
iv) Nie die IP des zweiten Servers ändern. Sollte für immer und ewig statisch sein.

B) Wenn beide Domänencontroller getrennt werden, ist es als wäre der andere nicht mehr im Betrieb.
Zu Hause sollten die Clients vom verbleibenen DHCP Server, die Informationen bekommen.
Unterwegs hast Du auch einen DHCP Server (oder Du machst es mit statischen IPs)
Man kann die Abgleichfunktion abschalten, würde ich aber nicht machen. Meine Erfahrung mit mehreren DCs, wenn eines Ausfällt, hält sich in Grenzen.
Der DC sollte nicht allzulange unterwegs sein.

Falls irgendwo ein Gateway eingerichtet wird -unterwegs- sollten die IPs mit denen deines Homenetzes korrespondieren.

C) Sei Vorsichtig mit Änderungen unterwegs. Änderungen im Anmeldeskript usw. Können sich fatal auswirken, wenn sie zu Hause eingespielt werden.


Gruß Miguel
Bitte warten ..
Mitglied: justinp
14.02.2006 um 09:29 Uhr
Hallo Miguel,

vielen Dank für deinen Lösungsvorschlag.
Mir ist inzwischen aufgefallen, dass ich auch bei den XP-Rechnern beim Login wieder dieses Dropdown-Feld habe wo man die Domäne einstellen kann bei der man sich einloggen will. Vorher hatte ich immer nur 1 Domäne + Lokal zur Auswahl, inzwischen sind es beide so wie ich es eigentlich haben wollte. Ich nehme an es liegt daran, dass es jetzt eine Vertrauensstellung zwischen den Domänen gibt (anders als vorher).

Die Notebookuser können nun einfach die Domäne auswählen beim Einloggen und schon sind die richtigen Freigaben und Laufwerksverknüpfungen verfügbar.

Die Benutzerkonten muss ich allerdings noch immer in jeder Domäne pflegen. Wäre schön wenn das nur in der Hauptdomäne machen müsste.

Viele Grüße
justin
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Vertrauensstellung, Passwortabfrage
gelöst Frage von TeWutzWindows Netzwerk3 Kommentare

Guten Tag, ich habe hier zwei Domänen. Hierzu habe ich eine Vertrauensstellung eingerichtet- eingehend als aus ausgehend, jeweils domänenweit. ...

Windows Server
Vertrauensstellung defekt
Frage von rony-x2Windows Server1 Kommentar

Hallo, richtige Kategorie? Einleitung: ein Kunde von uns betreibt einen Rechner aus Basis von Ubuntu mit VMWare Workstation (7.1). ...

Windows Server
Active Directory Vertrauensstellung
Frage von ukulele-7Windows Server11 Kommentare

Ich muss sagen das ist meine erste Vertrauensstellung. Ich habe sie in unserer alten AD ads.domain.local Windows 2003 und ...

Windows Server
Fehler Vertrauensstellung im AD
Frage von thomas-99Windows Server17 Kommentare

Hallo NG, hatte einen Server als DC, AD und Exchange. Das wurde jetzt getrennt in einen DC + AD, ...

Neue Wissensbeiträge
Internet

Schwarzer Tag für die Netzfreiheit: Die umstrittene Urheberrechtsreform wurde beschlossen

Information von Frank vor 6 StundenInternet13 Kommentare

Ich zitiere einfach mal Julia Reda von den Piraten, da mir selbst einfach die Worte dazu fehlen: Schwarzer Tag ...

Internet
Ist zwar keien Anleitung, aber
Anleitung von SachsenHessi vor 6 StundenInternet1 Kommentar

oder doch eine Anleitung ? Für die nächste EU-Wahl ? SH

PHP
Pfsense - Vouchergenerator 1.6.1
Anleitung von cafepost vor 7 StundenPHP

Hallo Zusammen , aus Sicherheitsgründen wurde mein Server auf den neuesten Stand gebracht, jetzt wollte ich den Vouchergenerator 1.6.1 ...

Internet

Verlag protestiert gegen Artikel 13 (jetzt Artikel 17) der geplanten EU-Verordnung

Information von Dilbert-MD vor 11 StundenInternet

Leider etwas spät, aber immerhin hat auch der heise-Verlag eingesehen, dass die Umsetzung der Urheberrechtsreform - so wie sie ...

Heiß diskutierte Inhalte
Voice over IP
Mikrotik: Voip mit SIP Phones in verschiedenen Subnetzen mit FritzBox
Frage von SpartacusVoice over IP18 Kommentare

Hallo, ich habe das Problem, dass ich verschiedene SIP-Clients in unterschiedlichen Subnetzen habe, die mit meinem Server FritzBox7412 keine ...

Batch & Shell
Computer im Active Directory filtern
Frage von chkdskBatch & Shell16 Kommentare

Hallo Zusammen, ich möchte über die Powershell Computer im Active Directory filtern. Als Beispiel: listet mir alle Computer auf, ...

LAN, WAN, Wireless
Netzwerkkomponenten von 2011 und nur 100 Mbit?
gelöst Frage von FalaffelLAN, WAN, Wireless14 Kommentare

Hallo zusammen, ist es möglich, dass bei Netzwerkkomponenten von ca. 2011 nicht mehr wie 100 Mbit möglich ist? Konkret ...

Internet
Schwarzer Tag für die Netzfreiheit: Die umstrittene Urheberrechtsreform wurde beschlossen
Information von FrankInternet13 Kommentare

Ich zitiere einfach mal Julia Reda von den Piraten, da mir selbst einfach die Worte dazu fehlen: Schwarzer Tag ...