Gathering of Tweakers

Ik onderzoek op dit moment de volgende situatie:

Er zijn twee locaties, deze locaties hebben ieder een apart domein. Nu is er het verzoek dat mensen van locatie A hun bestanden ook op locatie B kunnen bereiken wanneer ze op locatie A aanwezig zijn.

Een trust
Een trust via een VPN verbinding is een redelijk goede optie, alleen is er dan nog het probleem dat als een gebruiker op domein B inlogt vanaf locatie A, hij alleen bij zijn bestanden op domein B kan, en niet die van domein A. is dit op te lossen op een (veilige) manier?

De twee domeinen samenvoegen tot één domein
Een andere optie is de twee domeinnamen hernoemen en samenvoegen tot één domein. Je krijgt dan de volgende situatie:
server-domein-a.dezelfdedomeinnaam.local en server-domein-b.dezelfdedomeinnaam.local. De vraag is alleen of dan de twee domeincontrollers wel elkaar direct herkennen (via de VPN) als domeincontrolllers uit hetzelfde domein. Ook is de vraag hoe gebruikers dan bij hun bestanden op beide domeincontrollers kunnen komen.

Ik hoop dat mijn verhaal enigzins duidelijk is. Ik heb me kapot lopen zoeken naar een oplossing voor mijn vragen, maar geen antwoorden kunnen vinden.

Wat denken jullie dat de handigste oplossing is? Een trust of samenvoegen van domeinen? En, is er een mogelijkheid om bestanden van een user op beiden locaties beschikbaar te maken? Bij voorbaat dank

Gemakkelijkste in deze situatie (bestaand) is een domein trust opbouwen. En natuurlijk kunnen A dan bij bestanden op B en vice versa, maar die rechten moet je dan wel eerst toekennen.

quote:

Quantor schreef op donderdag 15 mei 2008 @ 15:19:
Gemakkelijkste in deze situatie (bestaand) is een domein trust opbouwen. En natuurlijk kunnen A dan bij bestanden op B en vice versa, maar die rechten moet je dan wel eerst toekennen.

Of een Forest trust. (alleen als je de genoemde domeinen hebt)

Bedankt voor het snelle antwoord! Maar wat denk je dat de handigste oplossing is om te zorgen dat als user henk vanaf locatie a, op domein b op locatie b inlogt, hij ook bij zijn homedir op domein a kan? (en omgekeerd natuurlijk)

quote:

ws01 schreef op donderdag 15 mei 2008 @ 15:25:
Bedankt voor het snelle antwoord! Maar wat denk je dat de handigste oplossing is om te zorgen dat als user henk vanaf locatie a, op domein b op locatie b inlogt, hij ook bij zijn homedir op domein a kan? (en omgekeerd natuurlijk)

Dat heet trust

Dus in theorie: de homedir van de user moet alleen ntfs rechten toegekend krijgen voor de account waarmee op het andere domein wordt ingelogd? Het drivemappen kan gebeuren via het kixtart inlogscript. Maar dan moeten de gebruikersnamen op beide domeinen wel hetzelfde zijn, wil je via een script automatisch een drivemapping laten plaatsvinden naar de andere locatie, denk ik?

Ik denk dat het handig is als je je eens gaat inlezen op trusts en de type trusts (oneway, forest, etc.)

Move PNS > WSS

ff in jip en janneke taal:
je moet eerst op netwerk nivo de netwerken aan elkaar knopen, dit kan via een vpn tunnel
daarna maak je een vorm van trust (one way of two-way, moet je ff lezen hoe en wat)
wanneer user piet, op domein A van lokatie A aanwezig is op lokatie B, en hij inlogged op zijn laptop, zal de eerste authenticatie zijn op de DC van domein A via de vpn link. hij kan dus ook gewoon bij alles van locatie A vanwege je VPN link.
Wanneer hij shares wil bezoeken van lokatie B, kan hij dit ook prima doen, mits je op de servers van lokatie b de user domein-a\piet (of een universal group waar hij (indirect) lid van is) daar rechten op heeft. die moet je dus eerst toekennen.
user piet kan op die manier \\fileserverlok-a benaderen over de vpn zoals hij gewend is op lokatie a en hij kan \\fileserverlok-b benaderen omdat je daar rechten op gegeven hebt op de shares.
de trust zet je dus op zodat je users van de andere lokatie rechten kan geven op de ene lokatie, en vice versa.

ik hoop dat dit duidelijk genoeg is.

uiteraard is dit geen ideaal plaatje, het kan profesioneler, maar daar ben je duidelijk nog niet klaar voor

edit: je kan met kix gewoon standaard de drive mappings laten maken. Dit werkt dan zowel als piet op lokatie A zit of op lokatie B zit. Voor piet, die user is van lokatie A is, maak je zijn login script op een DC van domein A. in dat script verwerk je zowel de mappings van lokatie A als lokatie B.
als het een user van lokatie B betreft werkt dit dus precies andersom.
je moet hiervoor wel een 2-way trust hebben.

Razwer wijzigde dit bericht 16-05-2008 12:36 (15%)

Shares zijn geen probleem, da's inderdaad een kwestie van de (global/universal) groups op de resources zetten.

Met homedrives/profiles is het iets lastiger, die zijn gekoppeld aan de domain sid van de user in domain A en een domain B account kan daar dus niet zomaar bij.

quote:

alt-92 schreef op vrijdag 16 mei 2008 @ 20:23:
Met homedrives/profiles is het iets lastiger, die zijn gekoppeld aan de domain sid van de user in domain A en een domain B account kan daar dus niet zomaar bij.

Dat gaat prima als er gewoon een vpn tunnel ligt tussen de 2 lokaties. Afhankelijk van de pijp tussen de 2 lokaties is het fijner of minder fijn. roaming profiles zal uberhaupt minder fijn zijn gezien dat ontzettend veel data genereerd.
maar het is zeker niet lastig, zolang je vpn tunnel maar goed is.

Razwer wijzigde dit bericht 17-05-2008 12:39 (3%)

Over welke besturingssystemen cq. software gaat dit eigenlijk ws01? Dan kan ik de topictitel nog even wat duidelijker maken

Sorry voor mijn absentie, drukke tijd

Het gaat om w2k3 servers Bedankt overigens voor de uitleg, allemaal.

quote:

Razwer schreef op zaterdag 17 mei 2008 @ 12:39:
[...]

Dat gaat prima als er gewoon een vpn tunnel ligt tussen de 2 lokaties.

Vergeet je dan niet de owner token van de profile directory?