Forums Neueste Beiträge
 

Vertrauensstellung vs. Gesamtstruktur

11/03/2008 - 17:16 von André Partecke | Report spam
Hallo NG

Folgendes Attentat wurde auf mich verübt:
Ein Kunde hat eine Active Directory Gesamtstruktur intern.firma.de mit der
einzigen Domàne intern.firma.de

Ab Mitte April kommt eine weitere Firma zum Kunden hinzu, getrennter
Namespace, eigenstàndig, aber letztlich politisch und organisatorisch doch
der Holding unterstellt. Ich soll nun folgendes vorbereiten:
Das Netzwerk wird wie geplant erstellt. Ich soll aber beachten, dass es
eventuell passieren wird, dass Zugriff untereinander möglich werden soll,
dass AD Kontakte in beiden Gesamtstrukturen verfügbar werden und alle
Exchange-User für das jeweils andere Netzwerk sichtbar wird. Eine Anmeldung
an Clients der jeweils fremden Domàne ist bisher nicht vorgesehen, aber wer
weiß...

Ich habe weiter unten ein Post von Yusuf gefunden:

- Der NetBIOS Name der Domànen
- Der Fully Qualified Domain Name (FQDN) der Domànen
- Der Security Identifier (SID) der Domàne



FQDN und SID sind eindeutig. Beim NetBIOS Namen bedeutet dies, dass die neue
Gesamtstruktur nicht intern.neuefirma.de heißen darf, da der NetBIOS Name in
diesem Fall INTERN gleich dem der bestehenden ist? Also muss ich mir hier
etwas anderes ausdenken?
Trifft das auch auf die NetBIOS Namen der Server und Clients zu? Oder trifft
das nur zu, wenn ich per Wins eine gesamtstrukturübergreifende Replikation
fahre?

Sind mit einer spàter folgenden Vertrauensstellung o.g. Ziele möglich, also
Berechtigungen auf Freigaben (ja), Zugriff auf AD Kontakte (bin mir nicht
sicher, tendiere aber zu ja), Zugriff auf Exchange-User der jeweils anderen
Gesamtstruktur über Adresslisten (hmm...??? Jede Gesamtstruktur hat eine
eigene Exchange Umgebung) und Anmeldung an fremden Clients (sollte doch
oder)?

Was genau ist der Unterschied zwischen zwei vertrauenden Gesamtstrukturen
und einer Gesamtstruktur mit 2 oder mehr Forest Root Domains?

Im ersten Schritt geht es erstmal darum, die Namen zukunftsorientiert
festzulegen... mehr nicht... es sei denn, man muss sich für eine
Gesamtstruktur entscheiden, dann wirds knapp. Was wàre eigentlich, wenn ein
Forest in einer Gesamtstruktur wegbricht? Wàre der zweite (oder jeder
weitere) irgendwie beeintràchtigt? Oder kann man den weggebrochenen Forest
sauber entfernen?

Puh... besten Dank erstmal im Voraus :)



Danke & Gruß
André
 

Lesen sie die antworten

#1 Nils Kaczenski [MVP]
11/03/2008 - 21:28 | Warnen spam
Moin,

André Partecke schrieb:
FQDN und SID sind eindeutig. Beim NetBIOS Namen bedeutet dies, dass die neue
Gesamtstruktur nicht intern.neuefirma.de heißen darf, da der NetBIOS Name in
diesem Fall INTERN gleich dem der bestehenden ist?



beim Setup/dcpromo kannst du dir den Namen frei ausdenken, der Assistent
macht nur einen Vorschlag.

Trifft das auch auf die NetBIOS Namen der Server und Clients zu?



Es ist ganz einfach: Jeder NetBIOS-Name muss eindeutig sein.

Sind mit einer spàter folgenden Vertrauensstellung o.g. Ziele möglich



Nicht ohne Weiteres. Wenn die Domànen nicht zum selben Forest gehören
und also auch nicht dieselbe Exchange-Org bilden, müsstest du die User
der einen Domàne (mindestens) als Kontakte in die andere importieren.
Kann man machen, ist aber nicht schön.

Die genannten Zugriffe an sich funktionieren so. Alles, was einen
gemeinsamen Global Catalog usw. voraussetzt, nicht.

Was genau ist der Unterschied zwischen zwei vertrauenden Gesamtstrukturen
und einer Gesamtstruktur mit 2 oder mehr Forest Root Domains?



Alle Domànen eines Forests haben einen gemeinsamen GC, ein gemeinsames
Schema und eine Reihe gemeinsamer Gruppen. Außerdem sind die Domànen
eines Forests nicht gegeneinander isoliert, d.h. einem Admin aus einer
beteiligten Domàne kann es gelingen, in andere Domànen desselben Forests
einzudringen (nicht trivial, aber möglich). Wenn du also eine echte
Sicherheitstrennung brauchst, musst du mit mehreren Forests arbeiten
(und eben mit externen Vertrauensstellungen).

Im ersten Schritt geht es erstmal darum, die Namen zukunftsorientiert
festzulegen



[faq-o-matic.net » Welcher Name ist der beste für eine AD-Domàne?]
http://www.faq-o-matic.net/2007/06/...d-domaene/

Was wàre eigentlich, wenn ein
Forest in einer Gesamtstruktur wegbricht?



Ein Forest /ist/ eine Gesamtstruktur. Das Szenario kann also nicht
eintreten. Du benötigst allgemein natürlich immer ein
wiederherstellbares Backup, d.h. aus jeder Domàne muss mindestens 1 DC
gesichert werden.

Allgemein auch:
[faq-o-matic.net » Welches Domànenmodell ist das Beste für Active
Directory?]
http://www.faq-o-matic.net/2007/06/...directory/


Schöne Grüße, Nils

Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/p....Kaczenski

Ähnliche fragen