97872
Jul 02, 2013
11599
16
0
Zugriff auf zwei Domänen...Vertrauensstellung notwendig?
Hallo Zusammen,
wir bekommen in unserer Firma demnächst einen neuen Server. Dieser ist für eine von uns neu gegründete Firma gedacht um die Firmen Datentechnisch voneinander zu trennen und um bei einer späteren eventuellen räumlichen Trennung der Firmen den neuen Server einfach in das neue Firmengebäude mitnehmen zu können.
Der neue Server wird folglich auch eine eigene Domäne eingerichtet bekommen und fungiert als Domänencontroller. Als Betriebssystem für den neuen Server bietet sich wegen des integrierten Exchange Servers SBS 2011 an. Dieser bietet allerdings bekannterweise keine Möglichkeit zur Vertrauensstellung.
Da aber nun ausgewählte Mitarbeiter auf beide Domänen zugreifen sollen können, frage ich mich, ob dazu zwingend eine Vertrauensstellung notwendig ist. Wenn ich nun in beiden Domänen Benutzerkonten mit den selben Namen und Passwörtern einrichte, sollte es doch beim Dateizugriff (Netzlaufwerke etc.) keine Probleme geben oder?
Meine Frage ist nun, ist das ohne Probleme möglich? Gibt es noch Dinge hinter dem Vorhang, die die Vertrauensstellung regelt? Ist es bei einer späteren räumlichen Trennung der Server/Domänen besser eine Vertrauensstellung zu haben? Gibt es noch andere Faktoren zu bedenken?
Danke und Beste Grüße,
Bonk3rs
wir bekommen in unserer Firma demnächst einen neuen Server. Dieser ist für eine von uns neu gegründete Firma gedacht um die Firmen Datentechnisch voneinander zu trennen und um bei einer späteren eventuellen räumlichen Trennung der Firmen den neuen Server einfach in das neue Firmengebäude mitnehmen zu können.
Der neue Server wird folglich auch eine eigene Domäne eingerichtet bekommen und fungiert als Domänencontroller. Als Betriebssystem für den neuen Server bietet sich wegen des integrierten Exchange Servers SBS 2011 an. Dieser bietet allerdings bekannterweise keine Möglichkeit zur Vertrauensstellung.
Da aber nun ausgewählte Mitarbeiter auf beide Domänen zugreifen sollen können, frage ich mich, ob dazu zwingend eine Vertrauensstellung notwendig ist. Wenn ich nun in beiden Domänen Benutzerkonten mit den selben Namen und Passwörtern einrichte, sollte es doch beim Dateizugriff (Netzlaufwerke etc.) keine Probleme geben oder?
Meine Frage ist nun, ist das ohne Probleme möglich? Gibt es noch Dinge hinter dem Vorhang, die die Vertrauensstellung regelt? Ist es bei einer späteren räumlichen Trennung der Server/Domänen besser eine Vertrauensstellung zu haben? Gibt es noch andere Faktoren zu bedenken?
Danke und Beste Grüße,
Bonk3rs
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 208949
Url: https://administrator.de/contentid/208949
Printed on: April 16, 2024 at 13:04 o'clock
16 Comments
Latest comment
Zitat von @97872:
Wenn ich nun in beiden Domänen Benutzerkonten mit den selben Namen
Wenn ich nun in beiden Domänen Benutzerkonten mit den selben Namen
Wie soll das gehen?????
LG, Thomas
1
Wie soll das nicht gehen? Jeder Server bzw Domäne für sich hat eine AD wo ich Benutzer anlegen kann.
Grüße
Grüße
Zitat von @97872:
Wie soll das nicht gehen? Jeder Server bzw Domäne für sich hat eine AD wo ich Benutzer anlegen kann.
Echt? Wusste ich gar nicht .... Wie soll das nicht gehen? Jeder Server bzw Domäne für sich hat eine AD wo ich Benutzer anlegen kann.
Ich habe noch die alte AD-Version, da heisst es Name@domäne1 und Name@Domäne2 ... ich muss mir dringend auch dieses Extra kaufen!
LG, Thomas
2
Kann hierzu noch jemand was sagen? Vielleicht liege ich hier auch falsch, ich habe mit Vertrauensstellungen bis jetzt nie arbeiten müssen
Hallo,
nein - das wird so nicht gehen, da der Benutzer - wie Thomas schon sagte - nicht mit "Benutzernamen und Passwort", sondern mit benutzername@domain und dem Kennwort authentifiziert wird. Wobei, halt. Das ist auch nicht wirklich richtig.
Jeder Benutzer erhalt eine SID. Diese setzt sich aus der Domain und der Benutzer-ID zusammen. Im AD findet man das im Attribut-Editor unter ObjectSID. Die Freigaben bzw. Zugriffsrechte werden anhand dieser SID identifiziert und erteilt oder eben verweigert.
Sprich: Nein, einfach BN / PW reichen nicht.
Gruß,
Florian
EDIT: Achja.. und vergiss die Vertrauensstellung beim SBS! Das geht nicht!
nein - das wird so nicht gehen, da der Benutzer - wie Thomas schon sagte - nicht mit "Benutzernamen und Passwort", sondern mit benutzername@domain und dem Kennwort authentifiziert wird. Wobei, halt. Das ist auch nicht wirklich richtig.
Jeder Benutzer erhalt eine SID. Diese setzt sich aus der Domain und der Benutzer-ID zusammen. Im AD findet man das im Attribut-Editor unter ObjectSID. Die Freigaben bzw. Zugriffsrechte werden anhand dieser SID identifiziert und erteilt oder eben verweigert.
Sprich: Nein, einfach BN / PW reichen nicht.
Gruß,
Florian
EDIT: Achja.. und vergiss die Vertrauensstellung beim SBS! Das geht nicht!
1
Hi nochmal,
nachdem Dir Florian das Denken nun komplett abgenommen hat, kannst Du eigentlich den Fred als gelöst markieren ...
LG, Thomas
nachdem Dir Florian das Denken nun komplett abgenommen hat, kannst Du eigentlich den Fred als gelöst markieren ...
LG, Thomas
2
Ich glaube wir reden hier aneinander vorbei und dein Sarkasmus hilft mir auch nicht weiter.
Ich kann doch einfach die gleichen Benutzernamen und Passwörter anlegen. Wenn ich nun z.B. auf ein Netzlaufwerk eines Rechners zugreifen will gebe ich beim mappen oder beim Zugriff über den Explorer eben diesen Benutzernamen und Passwort an. Der Rechner, an dem ich mich anmelde, checkt dann das AD zu dem dieser Rechner gehört, ob der Benutzer dort vorhanden ist und gewährt Zugriff.
Dass die Benutzerkonten nicht identisch sind und von der jeweiligen Domäne abhängen ist mir auch klar.
Meine Frage ist, ob die Vertrauensstellung noch andere Dinge regelt außer das Teilen von Benutzerkonten?
@110135
Danke. Dass SBS keine Vertrauensstellung bietet weiß ich selbst und habe ich in meinem ersten Post erwähnt. Der Sinn meiner Frage ist ja gerade der, herauszufinden, ob ich darauf verzichten kann, oder gezwungen bin eine normale Server Version + separatem Exchange zu kaufen.
Danke und Gruß
Ich kann doch einfach die gleichen Benutzernamen und Passwörter anlegen. Wenn ich nun z.B. auf ein Netzlaufwerk eines Rechners zugreifen will gebe ich beim mappen oder beim Zugriff über den Explorer eben diesen Benutzernamen und Passwort an. Der Rechner, an dem ich mich anmelde, checkt dann das AD zu dem dieser Rechner gehört, ob der Benutzer dort vorhanden ist und gewährt Zugriff.
Dass die Benutzerkonten nicht identisch sind und von der jeweiligen Domäne abhängen ist mir auch klar.
Meine Frage ist, ob die Vertrauensstellung noch andere Dinge regelt außer das Teilen von Benutzerkonten?
@110135
Danke. Dass SBS keine Vertrauensstellung bietet weiß ich selbst und habe ich in meinem ersten Post erwähnt. Der Sinn meiner Frage ist ja gerade der, herauszufinden, ob ich darauf verzichten kann, oder gezwungen bin eine normale Server Version + separatem Exchange zu kaufen.
Danke und Gruß
Moin.
Da aber nun ausgewählte Mitarbeiter auf beide Domänen zugreifen sollen können, frage ich mich, ob dazu zwingend eine Vertrauensstellung notwendig ist.
Du kannst Netzlaufwerke auch ohne Vertrauensstellung verbinden, sofern der für die Verbindung genutzte User das Recht hat, sich "an allen Computern" anzumelden - dieses Recht reicht nämlich über die Grenzen der eigenen Domäne hinweg.Wenn ich nun in beiden Domänen Benutzerkonten mit den selben Namen und Passwörtern einrichte, sollte es doch beim Dateizugriff (Netzlaufwerke etc.) keine Probleme geben oder?
Nein, das geht nicht, andere SID ind der ACL.1
@97872: Sorry, dass du das mit der Vertrauensstellung beim SBS ausgeschlossen hast, habe ich dezent überlesen.
Also wenn ich mich nicht irre, regelt die Vertrauensstellung die Authentifizierung der Konten zwischen den DCs.
Wenn ich dich jetzt richtig verstehe, möchtest du 2 ADs parallel pflegen.
Sprich: Max Meier wird in Dom1.local und in Dom2.local mit den gleichen Passwörtern eingerichtet - korrekt?
Max Meier meldet sich nun mit seinem Benutzernamen max.meier@dom1.local an seiner Workstation an. Nun öffnen er die Netzwerk-Freigabe und bekommt den Kennwort-Dialog auf einem Server aus Dom2. Hier tippt er ein: max.meier@dom2.local - gefolgt von seinem Kennwort.
Meinst du das so?
Wenn ja - das geht - ist zwar keine schöne Lösung, aber das geht. Es muss nur der Zusatz @dom.... dahinter.
Gruß,
Florian
Also wenn ich mich nicht irre, regelt die Vertrauensstellung die Authentifizierung der Konten zwischen den DCs.
Wenn ich dich jetzt richtig verstehe, möchtest du 2 ADs parallel pflegen.
Sprich: Max Meier wird in Dom1.local und in Dom2.local mit den gleichen Passwörtern eingerichtet - korrekt?
Max Meier meldet sich nun mit seinem Benutzernamen max.meier@dom1.local an seiner Workstation an. Nun öffnen er die Netzwerk-Freigabe und bekommt den Kennwort-Dialog auf einem Server aus Dom2. Hier tippt er ein: max.meier@dom2.local - gefolgt von seinem Kennwort.
Meinst du das so?
Wenn ja - das geht - ist zwar keine schöne Lösung, aber das geht. Es muss nur der Zusatz @dom.... dahinter.
Gruß,
Florian
@110135
Genau so meinte ich das.
Dass das unschön ist, ist mir klar
Das Problem ist nur, dass in der bestehenden Domäne schon lange ein SBS besteht. Das heißt diesen müssten wir dann auch upgraden und eine teurere Servervariante für den neuen Server kaufen um eine Vertrauensstellung zu ermöglichen. Eine Vertrauensstellung wäre also eine kostenspielige Angelegenheit und daher zu überlegen.
Ich denke auch, dass das so funktionieren sollte. Ich weiß eben nur nicht, was die Vertrauensstellung noch so für Dinge im Hintergrund regelt, die mir vielleicht später als echte Probleme zurückkehren. Das hatte ich erhofft hier zu erfahren.
Danke dir schonmal
Grüße
Genau so meinte ich das.
Dass das unschön ist, ist mir klar
Das Problem ist nur, dass in der bestehenden Domäne schon lange ein SBS besteht. Das heißt diesen müssten wir dann auch upgraden und eine teurere Servervariante für den neuen Server kaufen um eine Vertrauensstellung zu ermöglichen. Eine Vertrauensstellung wäre also eine kostenspielige Angelegenheit und daher zu überlegen.Ich denke auch, dass das so funktionieren sollte. Ich weiß eben nur nicht, was die Vertrauensstellung noch so für Dinge im Hintergrund regelt, die mir vielleicht später als echte Probleme zurückkehren. Das hatte ich erhofft hier zu erfahren.
Danke dir schonmal
Grüße
Hallo,
Gruß,
Peter
Zitat von @97872:
in der bestehenden Domäne schon lange ein SBS besteht.
Du willst also auf ein Kabel (gleiches IP Netz = gleiche Broadcastdomäne) 2 getrennte SBS fahren? Oder ist da noch ein Roueter zwischen den SBS'en?in der bestehenden Domäne schon lange ein SBS besteht.
Gruß,
Peter
Ist das ein Problem? Domänendienste auf dem neuen würden natürlich deaktiviert sein (DHCP etc.)
Laut 2 SBS Server in einem Netzwerk sind zwei SBS kein Problem solange sie zwei unterschiedliche Domänen haben, was ja bei mir der Fall wäre
Laut 2 SBS Server in einem Netzwerk sind zwei SBS kein Problem solange sie zwei unterschiedliche Domänen haben, was ja bei mir der Fall wäre
Hallo,
Schaust du hier SBS 2003 fährt einfach runter - SBCore-Meldung 1001
(DHCP ist nicht zwingend für eine Domäme notwendig oder muss gar auf einen DC laufen - ist aber leichter wenn ein SBS DHCP stellt)
Den DHCP darf es in deinem IP Netz nur einmal geben, ausser du hast Übung darin mehr als ein DHCP in einem IP Netz einzurichten und am laufen zu halten (nicht ganz trivial). Dann hast du 2 DNS am laufen usw....
Warum nicht ein seperates Netz mit eigenem IP Netz und diese per Router sauber verbunden. Dann ein NAS wo beide ihrer Daten ablegen. Und diese Netze per VLAN auf den Switche(s) eingebunden oder halt getrennte Switche.
Vorteil, du musst jetzt schon eine andere IP verwwenden. Das kommt dir zugute wenn dieses SBS Netz mal den Standort wechselt (wie ja auch vorgesehen). Dann hast du kein Hudel mit DC (SBS) und IP Änderung. Ebenso kannst du auf beiden den DHCP verwenden. Ein späteres Verwalten des Netzes per VPN wird dadurch zum kinderspiel. Ein Blech mit 2 Netzwerkkarten und ein Linux, Monowall, pfSense, Sophos UTM oder was immer und dein Router muss nur noch konfiguriert werden. oder ein Hardware Router für 30 EUR aus dem baumarkt tuts auch. Ob die Benutzer aus getrennten Domänen nun per Router direkt oder über DSL reden macht nur etwas in der Geschwindigkeit aus. Brauchst später nur den SBS zum anderen Standort schaffen, Standort - Standort VPN Einrichten und alle können wieder genauso Arbeiten wie zuvor. Und deine Verwaltung des anderen Standort ändert sich ebenfalls nicht weiter, bis auf das VPN.
Gruß,
Peter
Zitat von @97872:
Ist das ein Problem?
Nicht zwingend, es kann aber ein eklatantes und bösartiges werdenIst das ein Problem?
Schaust du hier SBS 2003 fährt einfach runter - SBCore-Meldung 1001Domänendienste auf dem neuen würden natürlich deaktiviert sein
Das lässt ein SBS nicht zu. Ein SBS muss zwingend DC sein. Dazu sind aber grad die Domänendienste unerläßlich. (DHCP ist nicht zwingend für eine Domäme notwendig oder muss gar auf einen DC laufen - ist aber leichter wenn ein SBS DHCP stellt)Den DHCP darf es in deinem IP Netz nur einmal geben, ausser du hast Übung darin mehr als ein DHCP in einem IP Netz einzurichten und am laufen zu halten (nicht ganz trivial). Dann hast du 2 DNS am laufen usw....
Warum nicht ein seperates Netz mit eigenem IP Netz und diese per Router sauber verbunden. Dann ein NAS wo beide ihrer Daten ablegen. Und diese Netze per VLAN auf den Switche(s) eingebunden oder halt getrennte Switche.
Vorteil, du musst jetzt schon eine andere IP verwwenden. Das kommt dir zugute wenn dieses SBS Netz mal den Standort wechselt (wie ja auch vorgesehen). Dann hast du kein Hudel mit DC (SBS) und IP Änderung. Ebenso kannst du auf beiden den DHCP verwenden. Ein späteres Verwalten des Netzes per VPN wird dadurch zum kinderspiel. Ein Blech mit 2 Netzwerkkarten und ein Linux, Monowall, pfSense, Sophos UTM oder was immer und dein Router muss nur noch konfiguriert werden. oder ein Hardware Router für 30 EUR aus dem baumarkt tuts auch. Ob die Benutzer aus getrennten Domänen nun per Router direkt oder über DSL reden macht nur etwas in der Geschwindigkeit aus. Brauchst später nur den SBS zum anderen Standort schaffen, Standort - Standort VPN Einrichten und alle können wieder genauso Arbeiten wie zuvor. Und deine Verwaltung des anderen Standort ändert sich ebenfalls nicht weiter, bis auf das VPN.
sind zwei SBS kein Problem solange
die niemals, und sei es aus Versehen, miteinander Flüstern und Mau Mau spielen. Einer verliert und fährt runterGruß,
Peter
2
Wenn Bill gewollt hätte, dass man auf diese Weise Geld sparen kann, wäre das Forum hier nicht so frequentiert .
Goethe hätte dazu gesagt: SBS + SBS ist der Garant für Dauerstress - alaaf
LG, Thomas
.Goethe hätte dazu gesagt: SBS + SBS ist der Garant für Dauerstress - alaaf
LG, Thomas
Zitat von @Pjordorf:
> Domänendienste auf dem neuen würden natürlich deaktiviert sein
Das lässt ein SBS nicht zu. Ein SBS muss zwingend DC sein. Dazu sind aber grad die Domänendienste
unerläßlich. (DHCP ist nicht zwingend für eine Domäme notwendig oder muss gar auf einen DC laufen - ist
aber leichter wenn ein SBS DHCP stellt)
> Domänendienste auf dem neuen würden natürlich deaktiviert sein
Das lässt ein SBS nicht zu. Ein SBS muss zwingend DC sein. Dazu sind aber grad die Domänendienste
unerläßlich.
(DHCP ist nicht zwingend für eine Domäme notwendig oder muss gar auf einen DC laufen - istaber leichter wenn ein SBS DHCP stellt
)OK, noch mal zur Nachfrage, da du da nicht genau drauf eingegangen bist: Selbst wenn die beiden SBS DCs von unterschiedlichen Domänen sind, dürfen sie nicht im selben Netz sein?
(Mit Domänendiensten meinte ich natürlich nicht DC sondern die Rollen wie DHCP etc. damit sich hier nichts beißt)
Danke & Grüße
Hallo,
bedeutet doch du kannst, aber du solltest nicht. Alternative mit weniger Kopfschmerzen und Schlaflosen Nächte habe ich dir ja mal eine aufgezeigt indem du die beiden Streithähne durch einen einfachen Router trennst und sogar Einrichtungsprobleme der Zukunft jetzt in der Gegenwart schon vermeidest. Sollten deine zwei SBS auf einem Draht in der selben IP Broadcastdomäne mal ein Schluckauf haben nach einem Update, Stromausfall oder sonstwas, zerhaust du dir beide Domänen.
Technisch geht es, aber ob es Sinnvoll ist?
Und noch ein kleiner Hinweis zum SBS. Es gibt dort 5 goldene Grundregeln:
1. Nutze die Asisstenten
2. Nutze die Asisstenten
3. Nutze die Asisstenten
4. Nutze die Asisstenten
5. Nutze die Asisstenten
Danach kannst du sofern Fachwissen eines Server OS, IIS, AD, DNS, DHCP, Exchange, Sharepoint, RWW, OWA, OMA, Outlook Anywhere, EAS usw. selbst Hand anlegen und Einstellungen verändern Die Asisstenten überschreiben diese sowieso wieder (ungefragt)
Gruß,
Peter
Zitat von @97872:
OK, noch mal zur Nachfrage, da du da nicht genau drauf eingegangen bist:
Doch bin ich.OK, noch mal zur Nachfrage, da du da nicht genau drauf eingegangen bist:
Nicht zwingend, es kann aber ein eklatantes und bösartiges werden
Technisch geht es, aber ob es Sinnvoll ist?
(Mit Domänendiensten meinte ich natürlich nicht DC
Das meint aber jeder der sich ein wenig mit Domänen und AD auskenntUnd noch ein kleiner Hinweis zum SBS. Es gibt dort 5 goldene Grundregeln:
1. Nutze die Asisstenten
2. Nutze die Asisstenten
3. Nutze die Asisstenten
4. Nutze die Asisstenten
5. Nutze die Asisstenten
Danach kannst du sofern Fachwissen eines Server OS, IIS, AD, DNS, DHCP, Exchange, Sharepoint, RWW, OWA, OMA, Outlook Anywhere, EAS usw. selbst Hand anlegen und Einstellungen verändern
Die Asisstenten überschreiben diese sowieso wieder (ungefragt)Gruß,
Peter