Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Vertrauensstellung zwischen 2 Domänen

Mitglied: justinp

justinp (Level 1) - Jetzt verbinden

05.02.2006, aktualisiert 14.02.2006, 8204 Aufrufe, 2 Kommentare

DCs können sich organisatorisch bedingt nur selten übers Netz erreichen

Hallo,

ich bräuchte mal einen Rat zum Thema Active Directory.

Wir haben einen zweiten Windows-Server den wir gelegentlich unterwegs einsetzen (Datenbank und ein paar Freigaben). Bisher hatte ich dazu 2 unabhängige Domänen mit dem Nachteil, daß hier die Benutzer und Computerkonten in beiden gepflegt werden mußten.

Ich mußte die Computer dann jedesmal vor so einer "Reise" aus der einen Domäne rausnehmen und in die andere reinstecken.

Sollte man diese Sache mittels Vertrauensstellungen lösen? Die Notebooks würden sich dann weiterhin an der "feste Domäne" anmelden aber die Freigaben bestehen auf dem mobilen Server.

Vermutlich ist es problematisch, dass der mobile Server nur selten den festen Server erreichen wird, da er nur hinundwieder im Büro ist. Muß ich hier mit Geschwindigkeitsproblemen rechnen weil der mobile Server erstmal ewig probiert den festen Server zu erreichen?

Mit der Funktion "Standorte und Dienste", die man seit WinSrv'03 in der Verwaltung findet, scheint irgendwie steuern zu können wann und wie oft zwischen den Standorten (i.d.F. "Fest" und "Mobil") repliziert wird. Hab noch nicht rausgefunden wie genau.

Ein weiteres Problem wäre das Login-Skript. Bisher habe ich einfach nur eine batch-Datei. Das ginge dann vermutlich nicht mehr. Wie wäre das zu lösen? GPO?

Für alle Ratschläge schonmal vielen Dank.

Gruß
JP

PS: fester SRV ist Win2000SRV und mobiler SRV Win2003SRV...adprep hatte ich schon gemacht...auf den Clients ist XP
Mitglied: gogoflash
12.02.2006 um 00:43 Uhr
Hi,

mein Vorschlag wäre keine Vertrauensstellung sondern zwei Domänencontroller.

A) Vorbereitung:
i) Auf beiden läuft ein DHCP mit unterschiedlichen Teilbereichen.
Die Clients die von ServerA eine IP bekommen, sollten als primären DNS Server den ServerA haben, die Clients vom ServerB dementsprechend.
Die DHCP Leasetime ändern, so das die Clients schneller mögliche Änderungen bekommen, besonders die Einstellungen bezüglich des primären/sekundären DNS Servers sind da wichtig. Sonst kann es zu Performanceeinbußen kommen.
ii) OUs erstellen in den die mobilen Clients und User drinstehen.
Es kann später Probleme mit den Policies geben falls sie unterwegs und @home geändert werden. Zumindest werden dann in unterschiedlichen Bereichen Änderungen möglich.
iii) Das Anmeldeskript in Netvolume reinlegen, dadurch wird es auf beide Controller gespiegelt. In der Userverwaltung das Anmeldeskript angeben. Es ist DC unabhängig. Wenn der eine nicht erreichbar ist, holt sich der Client es vom verbleibenen.
Im Anmeldeskript sollte dann die Existenz des ServersA mit einem Ping geprüft werden.

<font class="code">
@echo off
set hostname=192.168.1.1
ping -n 1 -w 5 %hostname% | find /i "Antwort" && goto :sub1 || goto :sub2
goto :end
REM ServerA gibt Antwort
:sub1
....Mach was
goto :end
REM ServerA gibt keine Antwort
:sub2
....mach was anderes
goto :end
:end
</font>
iv) Nie die IP des zweiten Servers ändern. Sollte für immer und ewig statisch sein.

B) Wenn beide Domänencontroller getrennt werden, ist es als wäre der andere nicht mehr im Betrieb.
Zu Hause sollten die Clients vom verbleibenen DHCP Server, die Informationen bekommen.
Unterwegs hast Du auch einen DHCP Server (oder Du machst es mit statischen IPs)
Man kann die Abgleichfunktion abschalten, würde ich aber nicht machen. Meine Erfahrung mit mehreren DCs, wenn eines Ausfällt, hält sich in Grenzen.
Der DC sollte nicht allzulange unterwegs sein.

Falls irgendwo ein Gateway eingerichtet wird -unterwegs- sollten die IPs mit denen deines Homenetzes korrespondieren.

C) Sei Vorsichtig mit Änderungen unterwegs. Änderungen im Anmeldeskript usw. Können sich fatal auswirken, wenn sie zu Hause eingespielt werden.


Gruß Miguel
Bitte warten ..
Mitglied: justinp
14.02.2006 um 09:29 Uhr
Hallo Miguel,

vielen Dank für deinen Lösungsvorschlag.
Mir ist inzwischen aufgefallen, dass ich auch bei den XP-Rechnern beim Login wieder dieses Dropdown-Feld habe wo man die Domäne einstellen kann bei der man sich einloggen will. Vorher hatte ich immer nur 1 Domäne + Lokal zur Auswahl, inzwischen sind es beide so wie ich es eigentlich haben wollte. Ich nehme an es liegt daran, dass es jetzt eine Vertrauensstellung zwischen den Domänen gibt (anders als vorher).

Die Notebookuser können nun einfach die Domäne auswählen beim Einloggen und schon sind die richtigen Freigaben und Laufwerksverknüpfungen verfügbar.

Die Benutzerkonten muss ich allerdings noch immer in jeder Domäne pflegen. Wäre schön wenn das nur in der Hauptdomäne machen müsste.

Viele Grüße
justin
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk

Printserver aus einer anderen Domäne nutzen OHNE Vertrauensstellung

Frage von Oneil-1989Windows Netzwerk14 Kommentare

Hallo zusammen, kurz zur Strucktur. Domäne A: Dort läuft ein Printserver (Server 2003) mit Drucker (freigabe JEDER). Drucken funktioniert ...

Windows Server

AD- Domänen und Vertrauensstellungen leer

gelöst Frage von manuelwWindows Server5 Kommentare

Hallo, ich bin gerade dabei meinen Server zu tauschen. Der neue Server soll als Virtuelle Maschine laufen. Ich habe ...

PHP

Zugriff mit LDAP auf fremde Domäne mit Vertrauensstellung

Frage von Maik87PHP

Hallo zusammen, egal wie sehr ich mich anstrenge, ich bekomme es nicht zum Laufen! :( Ich habe mir vor ...

Windows Server

W2k8 + W2k12 -Domänen Vertrauensstellung - Gruppen

gelöst Frage von cordialWindows Server3 Kommentare

Hallo zsam, Windows 2008 R2 Domäne (Windows 2003 Ebene) -> Domäne "A" Windows 2012 R2 Domäne (Windows 2012 R2 ...

Neue Wissensbeiträge
Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 1 StundeWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 1 StundeMicrosoft1 Kommentar

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 2 TagenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 2 TagenSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1016 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)13 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall10 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Server-Hardware
Server für Exchange 2016, Kaufberatung
Frage von MazenauerServer-Hardware10 Kommentare

Guten Tag werte Gemeinde, Vorab: Ich dachte es gab mal einen separaten Bereich für solche Anfragen, habe ich leider ...