2
Vertrauensstellung zwischen 2 Domänen
DCs können sich organisatorisch bedingt nur selten übers Netz erreichen
Hallo,
ich bräuchte mal einen Rat zum Thema Active Directory.
Wir haben einen zweiten Windows-Server den wir gelegentlich unterwegs einsetzen (Datenbank und ein paar Freigaben). Bisher hatte ich dazu 2 unabhängige Domänen mit dem Nachteil, daß hier die Benutzer und Computerkonten in beiden gepflegt werden mußten.
Ich mußte die Computer dann jedesmal vor so einer "Reise" aus der einen Domäne rausnehmen und in die andere reinstecken.
Sollte man diese Sache mittels Vertrauensstellungen lösen? Die Notebooks würden sich dann weiterhin an der "feste Domäne" anmelden aber die Freigaben bestehen auf dem mobilen Server.
Vermutlich ist es problematisch, dass der mobile Server nur selten den festen Server erreichen wird, da er nur hinundwieder im Büro ist. Muß ich hier mit Geschwindigkeitsproblemen rechnen weil der mobile Server erstmal ewig probiert den festen Server zu erreichen?
Mit der Funktion "Standorte und Dienste", die man seit WinSrv'03 in der Verwaltung findet, scheint irgendwie steuern zu können wann und wie oft zwischen den Standorten (i.d.F. "Fest" und "Mobil") repliziert wird. Hab noch nicht rausgefunden wie genau.
Ein weiteres Problem wäre das Login-Skript. Bisher habe ich einfach nur eine batch-Datei. Das ginge dann vermutlich nicht mehr. Wie wäre das zu lösen? GPO?
Für alle Ratschläge schonmal vielen Dank.
Gruß
JP
PS: fester SRV ist Win2000SRV und mobiler SRV Win2003SRV...adprep hatte ich schon gemacht...auf den Clients ist XP
Hallo,
ich bräuchte mal einen Rat zum Thema Active Directory.
Wir haben einen zweiten Windows-Server den wir gelegentlich unterwegs einsetzen (Datenbank und ein paar Freigaben). Bisher hatte ich dazu 2 unabhängige Domänen mit dem Nachteil, daß hier die Benutzer und Computerkonten in beiden gepflegt werden mußten.
Ich mußte die Computer dann jedesmal vor so einer "Reise" aus der einen Domäne rausnehmen und in die andere reinstecken.
Sollte man diese Sache mittels Vertrauensstellungen lösen? Die Notebooks würden sich dann weiterhin an der "feste Domäne" anmelden aber die Freigaben bestehen auf dem mobilen Server.
Vermutlich ist es problematisch, dass der mobile Server nur selten den festen Server erreichen wird, da er nur hinundwieder im Büro ist. Muß ich hier mit Geschwindigkeitsproblemen rechnen weil der mobile Server erstmal ewig probiert den festen Server zu erreichen?
Mit der Funktion "Standorte und Dienste", die man seit WinSrv'03 in der Verwaltung findet, scheint irgendwie steuern zu können wann und wie oft zwischen den Standorten (i.d.F. "Fest" und "Mobil") repliziert wird. Hab noch nicht rausgefunden wie genau.
Ein weiteres Problem wäre das Login-Skript. Bisher habe ich einfach nur eine batch-Datei. Das ginge dann vermutlich nicht mehr. Wie wäre das zu lösen? GPO?
Für alle Ratschläge schonmal vielen Dank.
Gruß
JP
PS: fester SRV ist Win2000SRV und mobiler SRV Win2003SRV...adprep hatte ich schon gemacht...auf den Clients ist XP
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 25254
Url: https://administrator.de/contentid/25254
Ausgedruckt am: 26.11.2024 um 12:11 Uhr
2 Kommentare
Neuester Kommentar
Hi,
mein Vorschlag wäre keine Vertrauensstellung sondern zwei Domänencontroller.
A) Vorbereitung:
i) Auf beiden läuft ein DHCP mit unterschiedlichen Teilbereichen.
Die Clients die von ServerA eine IP bekommen, sollten als primären DNS Server den ServerA haben, die Clients vom ServerB dementsprechend.
Die DHCP Leasetime ändern, so das die Clients schneller mögliche Änderungen bekommen, besonders die Einstellungen bezüglich des primären/sekundären DNS Servers sind da wichtig. Sonst kann es zu Performanceeinbußen kommen.
ii) OUs erstellen in den die mobilen Clients und User drinstehen.
Es kann später Probleme mit den Policies geben falls sie unterwegs und @home geändert werden. Zumindest werden dann in unterschiedlichen Bereichen Änderungen möglich.
iii) Das Anmeldeskript in Netvolume reinlegen, dadurch wird es auf beide Controller gespiegelt. In der Userverwaltung das Anmeldeskript angeben. Es ist DC unabhängig. Wenn der eine nicht erreichbar ist, holt sich der Client es vom verbleibenen.
Im Anmeldeskript sollte dann die Existenz des ServersA mit einem Ping geprüft werden.
iv) Nie die IP des zweiten Servers ändern. Sollte für immer und ewig statisch sein.
B) Wenn beide Domänencontroller getrennt werden, ist es als wäre der andere nicht mehr im Betrieb.
Zu Hause sollten die Clients vom verbleibenen DHCP Server, die Informationen bekommen.
Unterwegs hast Du auch einen DHCP Server (oder Du machst es mit statischen IPs)
Man kann die Abgleichfunktion abschalten, würde ich aber nicht machen. Meine Erfahrung mit mehreren DCs, wenn eines Ausfällt, hält sich in Grenzen.
Der DC sollte nicht allzulange unterwegs sein.
Falls irgendwo ein Gateway eingerichtet wird -unterwegs- sollten die IPs mit denen deines Homenetzes korrespondieren.
C) Sei Vorsichtig mit Änderungen unterwegs. Änderungen im Anmeldeskript usw. Können sich fatal auswirken, wenn sie zu Hause eingespielt werden.
Gruß Miguel
mein Vorschlag wäre keine Vertrauensstellung sondern zwei Domänencontroller.
A) Vorbereitung:
i) Auf beiden läuft ein DHCP mit unterschiedlichen Teilbereichen.
Die Clients die von ServerA eine IP bekommen, sollten als primären DNS Server den ServerA haben, die Clients vom ServerB dementsprechend.
Die DHCP Leasetime ändern, so das die Clients schneller mögliche Änderungen bekommen, besonders die Einstellungen bezüglich des primären/sekundären DNS Servers sind da wichtig. Sonst kann es zu Performanceeinbußen kommen.
ii) OUs erstellen in den die mobilen Clients und User drinstehen.
Es kann später Probleme mit den Policies geben falls sie unterwegs und @home geändert werden. Zumindest werden dann in unterschiedlichen Bereichen Änderungen möglich.
iii) Das Anmeldeskript in Netvolume reinlegen, dadurch wird es auf beide Controller gespiegelt. In der Userverwaltung das Anmeldeskript angeben. Es ist DC unabhängig. Wenn der eine nicht erreichbar ist, holt sich der Client es vom verbleibenen.
Im Anmeldeskript sollte dann die Existenz des ServersA mit einem Ping geprüft werden.
@echo off
set hostname=192.168.1.1
ping -n 1 -w 5 %hostname% | find /i "Antwort" && goto :sub1 || goto :sub2
goto :end
REM ServerA gibt Antwort
:sub1
....Mach was
goto :end
REM ServerA gibt keine Antwort
:sub2
....mach was anderes
goto :end
:endB) Wenn beide Domänencontroller getrennt werden, ist es als wäre der andere nicht mehr im Betrieb.
Zu Hause sollten die Clients vom verbleibenen DHCP Server, die Informationen bekommen.
Unterwegs hast Du auch einen DHCP Server (oder Du machst es mit statischen IPs)
Man kann die Abgleichfunktion abschalten, würde ich aber nicht machen. Meine Erfahrung mit mehreren DCs, wenn eines Ausfällt, hält sich in Grenzen.
Der DC sollte nicht allzulange unterwegs sein.
Falls irgendwo ein Gateway eingerichtet wird -unterwegs- sollten die IPs mit denen deines Homenetzes korrespondieren.
C) Sei Vorsichtig mit Änderungen unterwegs. Änderungen im Anmeldeskript usw. Können sich fatal auswirken, wenn sie zu Hause eingespielt werden.
Gruß Miguel
Hallo Miguel,
vielen Dank für deinen Lösungsvorschlag.
Mir ist inzwischen aufgefallen, dass ich auch bei den XP-Rechnern beim Login wieder dieses Dropdown-Feld habe wo man die Domäne einstellen kann bei der man sich einloggen will. Vorher hatte ich immer nur 1 Domäne + Lokal zur Auswahl, inzwischen sind es beide so wie ich es eigentlich haben wollte. Ich nehme an es liegt daran, dass es jetzt eine Vertrauensstellung zwischen den Domänen gibt (anders als vorher).
Die Notebookuser können nun einfach die Domäne auswählen beim Einloggen und schon sind die richtigen Freigaben und Laufwerksverknüpfungen verfügbar.
Die Benutzerkonten muss ich allerdings noch immer in jeder Domäne pflegen. Wäre schön wenn das nur in der Hauptdomäne machen müsste.
Viele Grüße
justin
vielen Dank für deinen Lösungsvorschlag.
Mir ist inzwischen aufgefallen, dass ich auch bei den XP-Rechnern beim Login wieder dieses Dropdown-Feld habe wo man die Domäne einstellen kann bei der man sich einloggen will. Vorher hatte ich immer nur 1 Domäne + Lokal zur Auswahl, inzwischen sind es beide so wie ich es eigentlich haben wollte. Ich nehme an es liegt daran, dass es jetzt eine Vertrauensstellung zwischen den Domänen gibt (anders als vorher).
Die Notebookuser können nun einfach die Domäne auswählen beim Einloggen und schon sind die richtigen Freigaben und Laufwerksverknüpfungen verfügbar.
Die Benutzerkonten muss ich allerdings noch immer in jeder Domäne pflegen. Wäre schön wenn das nur in der Hauptdomäne machen müsste.
Viele Grüße
justin
