Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugriff auf zwei Domänen...Vertrauensstellung notwendig?

Frage Microsoft Windows Server

Mitglied: 97872

97872 (Level 1)

02.07.2013 um 10:41 Uhr, 6298 Aufrufe, 16 Kommentare, 3 Danke

Hallo Zusammen,

wir bekommen in unserer Firma demnächst einen neuen Server. Dieser ist für eine von uns neu gegründete Firma gedacht um die Firmen Datentechnisch voneinander zu trennen und um bei einer späteren eventuellen räumlichen Trennung der Firmen den neuen Server einfach in das neue Firmengebäude mitnehmen zu können.

Der neue Server wird folglich auch eine eigene Domäne eingerichtet bekommen und fungiert als Domänencontroller. Als Betriebssystem für den neuen Server bietet sich wegen des integrierten Exchange Servers SBS 2011 an. Dieser bietet allerdings bekannterweise keine Möglichkeit zur Vertrauensstellung.

Da aber nun ausgewählte Mitarbeiter auf beide Domänen zugreifen sollen können, frage ich mich, ob dazu zwingend eine Vertrauensstellung notwendig ist. Wenn ich nun in beiden Domänen Benutzerkonten mit den selben Namen und Passwörtern einrichte, sollte es doch beim Dateizugriff (Netzlaufwerke etc.) keine Probleme geben oder?

Meine Frage ist nun, ist das ohne Probleme möglich? Gibt es noch Dinge hinter dem Vorhang, die die Vertrauensstellung regelt? Ist es bei einer späteren räumlichen Trennung der Server/Domänen besser eine Vertrauensstellung zu haben? Gibt es noch andere Faktoren zu bedenken?


Danke und Beste Grüße,
Bonk3rs
Mitglied: keine-ahnung
02.07.2013 um 11:27 Uhr
Zitat von 97872:
Wenn ich nun in beiden Domänen Benutzerkonten mit den selben Namen

Wie soll das gehen?????

LG, Thomas
Bitte warten ..
Mitglied: 97872
02.07.2013, aktualisiert um 11:33 Uhr
Wie soll das nicht gehen? Jeder Server bzw Domäne für sich hat eine AD wo ich Benutzer anlegen kann.

Grüße
Bitte warten ..
Mitglied: keine-ahnung
02.07.2013 um 11:55 Uhr
Zitat von 97872:
Wie soll das nicht gehen? Jeder Server bzw Domäne für sich hat eine AD wo ich Benutzer anlegen kann.
Echt? Wusste ich gar nicht ....

Ich habe noch die alte AD-Version, da heisst es Name@domäne1 und Name@Domäne2 ... ich muss mir dringend auch dieses Extra kaufen!

LG, Thomas
Bitte warten ..
Mitglied: 97872
02.07.2013 um 12:16 Uhr
Kann hierzu noch jemand was sagen? Vielleicht liege ich hier auch falsch, ich habe mit Vertrauensstellungen bis jetzt nie arbeiten müssen
Bitte warten ..
Mitglied: flow.ryan
02.07.2013, aktualisiert um 12:44 Uhr
Hallo,

nein - das wird so nicht gehen, da der Benutzer - wie Thomas schon sagte - nicht mit "Benutzernamen und Passwort", sondern mit benutzername@domain und dem Kennwort authentifiziert wird. Wobei, halt. Das ist auch nicht wirklich richtig.

Jeder Benutzer erhalt eine SID. Diese setzt sich aus der Domain und der Benutzer-ID zusammen. Im AD findet man das im Attribut-Editor unter ObjectSID. Die Freigaben bzw. Zugriffsrechte werden anhand dieser SID identifiziert und erteilt oder eben verweigert.

Sprich: Nein, einfach BN / PW reichen nicht.

Gruß,
Florian

EDIT: Achja.. und vergiss die Vertrauensstellung beim SBS! Das geht nicht!
Bitte warten ..
Mitglied: keine-ahnung
02.07.2013 um 13:04 Uhr
Hi nochmal,

nachdem Dir Florian das Denken nun komplett abgenommen hat, kannst Du eigentlich den Fred als gelöst markieren ...

LG, Thomas
Bitte warten ..
Mitglied: 97872
02.07.2013, aktualisiert um 13:56 Uhr
Ich glaube wir reden hier aneinander vorbei und dein Sarkasmus hilft mir auch nicht weiter.

Ich kann doch einfach die gleichen Benutzernamen und Passwörter anlegen. Wenn ich nun z.B. auf ein Netzlaufwerk eines Rechners zugreifen will gebe ich beim mappen oder beim Zugriff über den Explorer eben diesen Benutzernamen und Passwort an. Der Rechner, an dem ich mich anmelde, checkt dann das AD zu dem dieser Rechner gehört, ob der Benutzer dort vorhanden ist und gewährt Zugriff.

Dass die Benutzerkonten nicht identisch sind und von der jeweiligen Domäne abhängen ist mir auch klar.

Meine Frage ist, ob die Vertrauensstellung noch andere Dinge regelt außer das Teilen von Benutzerkonten?

@flow.ryan
Danke. Dass SBS keine Vertrauensstellung bietet weiß ich selbst und habe ich in meinem ersten Post erwähnt. Der Sinn meiner Frage ist ja gerade der, herauszufinden, ob ich darauf verzichten kann, oder gezwungen bin eine normale Server Version + separatem Exchange zu kaufen.

Danke und Gruß
Bitte warten ..
Mitglied: DerWoWusste
02.07.2013, aktualisiert um 14:10 Uhr
Moin.

Da aber nun ausgewählte Mitarbeiter auf beide Domänen zugreifen sollen können, frage ich mich, ob dazu zwingend eine Vertrauensstellung notwendig ist.
Du kannst Netzlaufwerke auch ohne Vertrauensstellung verbinden, sofern der für die Verbindung genutzte User das Recht hat, sich "an allen Computern" anzumelden - dieses Recht reicht nämlich über die Grenzen der eigenen Domäne hinweg.
Wenn ich nun in beiden Domänen Benutzerkonten mit den selben Namen und Passwörtern einrichte, sollte es doch beim Dateizugriff (Netzlaufwerke etc.) keine Probleme geben oder?
Nein, das geht nicht, andere SID ind der ACL.
Bitte warten ..
Mitglied: flow.ryan
02.07.2013, aktualisiert um 14:10 Uhr
@97872: Sorry, dass du das mit der Vertrauensstellung beim SBS ausgeschlossen hast, habe ich dezent überlesen.

Also wenn ich mich nicht irre, regelt die Vertrauensstellung die Authentifizierung der Konten zwischen den DCs.

Wenn ich dich jetzt richtig verstehe, möchtest du 2 ADs parallel pflegen.

Sprich: Max Meier wird in Dom1.local und in Dom2.local mit den gleichen Passwörtern eingerichtet - korrekt?

Max Meier meldet sich nun mit seinem Benutzernamen max.meier@dom1.local an seiner Workstation an. Nun öffnen er die Netzwerk-Freigabe und bekommt den Kennwort-Dialog auf einem Server aus Dom2. Hier tippt er ein: max.meier@dom2.local - gefolgt von seinem Kennwort.
Meinst du das so?

Wenn ja - das geht - ist zwar keine schöne Lösung, aber das geht. Es muss nur der Zusatz @dom.... dahinter.

Gruß,
Florian
Bitte warten ..
Mitglied: 97872
02.07.2013, aktualisiert um 14:23 Uhr
@flow.ryan

Genau so meinte ich das.

Dass das unschön ist, ist mir klar Das Problem ist nur, dass in der bestehenden Domäne schon lange ein SBS besteht. Das heißt diesen müssten wir dann auch upgraden und eine teurere Servervariante für den neuen Server kaufen um eine Vertrauensstellung zu ermöglichen. Eine Vertrauensstellung wäre also eine kostenspielige Angelegenheit und daher zu überlegen.

Ich denke auch, dass das so funktionieren sollte. Ich weiß eben nur nicht, was die Vertrauensstellung noch so für Dinge im Hintergrund regelt, die mir vielleicht später als echte Probleme zurückkehren. Das hatte ich erhofft hier zu erfahren.

Danke dir schonmal

Grüße
Bitte warten ..
Mitglied: Pjordorf
02.07.2013, aktualisiert um 15:45 Uhr
Hallo,

Zitat von 97872:
in der bestehenden Domäne schon lange ein SBS besteht.
Du willst also auf ein Kabel (gleiches IP Netz = gleiche Broadcastdomäne) 2 getrennte SBS fahren? Oder ist da noch ein Roueter zwischen den SBS'en?

Gruß,
Peter
Bitte warten ..
Mitglied: 97872
02.07.2013, aktualisiert um 16:57 Uhr
Ist das ein Problem? Domänendienste auf dem neuen würden natürlich deaktiviert sein (DHCP etc.)

Laut http://www.administrator.de/forum/2-sbs-server-in-einem-netzwerk-113500 ... sind zwei SBS kein Problem solange sie zwei unterschiedliche Domänen haben, was ja bei mir der Fall wäre
Bitte warten ..
Mitglied: Pjordorf
02.07.2013 um 19:15 Uhr
Hallo,

Zitat von 97872:
Ist das ein Problem?
Nicht zwingend, es kann aber ein eklatantes und bösartiges werden Schaust du hier http://www.administrator.de/forum/sbs-2003-f%c3%a4hrt-einfach-runter-sb ...

Domänendienste auf dem neuen würden natürlich deaktiviert sein
Das lässt ein SBS nicht zu. Ein SBS muss zwingend DC sein. Dazu sind aber grad die Domänendienste unerläßlich. (DHCP ist nicht zwingend für eine Domäme notwendig oder muss gar auf einen DC laufen - ist aber leichter wenn ein SBS DHCP stellt)

Den DHCP darf es in deinem IP Netz nur einmal geben, ausser du hast Übung darin mehr als ein DHCP in einem IP Netz einzurichten und am laufen zu halten (nicht ganz trivial). Dann hast du 2 DNS am laufen usw....

Warum nicht ein seperates Netz mit eigenem IP Netz und diese per Router sauber verbunden. Dann ein NAS wo beide ihrer Daten ablegen. Und diese Netze per VLAN auf den Switche(s) eingebunden oder halt getrennte Switche.

Vorteil, du musst jetzt schon eine andere IP verwwenden. Das kommt dir zugute wenn dieses SBS Netz mal den Standort wechselt (wie ja auch vorgesehen). Dann hast du kein Hudel mit DC (SBS) und IP Änderung. Ebenso kannst du auf beiden den DHCP verwenden. Ein späteres Verwalten des Netzes per VPN wird dadurch zum kinderspiel. Ein Blech mit 2 Netzwerkkarten und ein Linux, Monowall, pfSense, Sophos UTM oder was immer und dein Router muss nur noch konfiguriert werden. oder ein Hardware Router für 30 EUR aus dem baumarkt tuts auch. Ob die Benutzer aus getrennten Domänen nun per Router direkt oder über DSL reden macht nur etwas in der Geschwindigkeit aus. Brauchst später nur den SBS zum anderen Standort schaffen, Standort - Standort VPN Einrichten und alle können wieder genauso Arbeiten wie zuvor. Und deine Verwaltung des anderen Standort ändert sich ebenfalls nicht weiter, bis auf das VPN.

sind zwei SBS kein Problem solange
die niemals, und sei es aus Versehen, miteinander Flüstern und Mau Mau spielen. Einer verliert und fährt runter

Gruß,
Peter
Bitte warten ..
Mitglied: keine-ahnung
02.07.2013 um 19:28 Uhr
Wenn Bill gewollt hätte, dass man auf diese Weise Geld sparen kann, wäre das Forum hier nicht so frequentiert .

Goethe hätte dazu gesagt: SBS + SBS ist der Garant für Dauerstress - alaaf

LG, Thomas
Bitte warten ..
Mitglied: 97872
02.07.2013, aktualisiert um 19:38 Uhr
Zitat von Pjordorf:
> Domänendienste auf dem neuen würden natürlich deaktiviert sein
Das lässt ein SBS nicht zu. Ein SBS muss zwingend DC sein. Dazu sind aber grad die Domänendienste
unerläßlich. (DHCP ist nicht zwingend für eine Domäme notwendig oder muss gar auf einen DC laufen - ist
aber leichter wenn ein SBS DHCP stellt)

OK, noch mal zur Nachfrage, da du da nicht genau drauf eingegangen bist: Selbst wenn die beiden SBS DCs von unterschiedlichen Domänen sind, dürfen sie nicht im selben Netz sein?

(Mit Domänendiensten meinte ich natürlich nicht DC sondern die Rollen wie DHCP etc. damit sich hier nichts beißt)

Danke & Grüße
Bitte warten ..
Mitglied: Pjordorf
02.07.2013, aktualisiert um 20:59 Uhr
Hallo,

Zitat von 97872:
OK, noch mal zur Nachfrage, da du da nicht genau drauf eingegangen bist:
Doch bin ich.
Nicht zwingend, es kann aber ein eklatantes und bösartiges werden
bedeutet doch du kannst, aber du solltest nicht. Alternative mit weniger Kopfschmerzen und Schlaflosen Nächte habe ich dir ja mal eine aufgezeigt indem du die beiden Streithähne durch einen einfachen Router trennst und sogar Einrichtungsprobleme der Zukunft jetzt in der Gegenwart schon vermeidest. Sollten deine zwei SBS auf einem Draht in der selben IP Broadcastdomäne mal ein Schluckauf haben nach einem Update, Stromausfall oder sonstwas, zerhaust du dir beide Domänen.

Technisch geht es, aber ob es Sinnvoll ist?

(Mit Domänendiensten meinte ich natürlich nicht DC
Das meint aber jeder der sich ein wenig mit Domänen und AD auskennt

Und noch ein kleiner Hinweis zum SBS. Es gibt dort 5 goldene Grundregeln:
1. Nutze die Asisstenten
2. Nutze die Asisstenten
3. Nutze die Asisstenten
4. Nutze die Asisstenten
5. Nutze die Asisstenten
Danach kannst du sofern Fachwissen eines Server OS, IIS, AD, DNS, DHCP, Exchange, Sharepoint, RWW, OWA, OMA, Outlook Anywhere, EAS usw. selbst Hand anlegen und Einstellungen verändern Die Asisstenten überschreiben diese sowieso wieder (ungefragt)

Gruß,
Peter
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst W2k8 + W2k12 -Domänen Vertrauensstellung - Gruppen (3)

Frage von cordial zum Thema Windows Server ...

Windows Server
gelöst Domänen Vertrauensstellung auf weniger DCs einschränken (7)

Frage von Diablo84hls zum Thema Windows Server ...

Router & Routing
gelöst MikroTik hAP ac Winbox Zugriff deaktivieren (1)

Frage von horstvogel zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...