Gathering of Tweakers

All rights reserved Sun, 07 Sep 2008 09:58:42 GMT Sun, 07 Sep 2008 09:58:42 GMT http://blogs.law.harvard.edu/tech/rss GoT - list_messages http://gathering.tweakers.net Gathering of Tweakers http://tweakimg.net/g/if/logo.gif nl-nl http://gathering.tweakers.net/rss/list_messages/1292543 [2003] Resources delen via VPN* - Windows Servers en Server-software - GoT gathering@tweakers.net (Administrator) ws01 http://gathering.tweakers.net/forum/list_message/30072987?data%5Bsource%5D=rss#30072987 dummy@example.com (ws01) donderdag 15 mei 2008 15:17 Ik onderzoek op dit moment de volgende situatie: Er zijn twee locaties, deze locaties hebben ieder een apart domein. Nu is er het verzoek dat mensen van locatie A hun bestanden ook op locatie B kunnen bereiken wanneer ze op locatie A aanwezig zijn. Een trust Een trust via een VPN verbinding is een redelijk goede optie, alleen is er dan nog het probleem dat als een gebruiker op domein B inlogt vanaf locatie A, hij alleen bij zijn bestanden op domein B kan, en niet die van domein A. is dit op te lossen op een (veilige) manier? De twee domeinen samenvoegen tot één domein Een andere optie is de twee domeinnamen hernoemen en samenvoegen tot één domein. Je krijgt dan de volgende situatie: server-domein-a.dezelfdedomeinnaam.local en server-domein-b.dezelfdedomeinnaam.local. De vraag is alleen of dan de twee domeincontrollers wel elkaar direct herkennen (via de VPN) als domeincontrolllers uit hetzelfde domein. Ook is de vraag hoe gebruikers dan bij hun bestanden op beide domeincontrollers kunnen komen. Ik hoop dat mijn verhaal enigzins duidelijk is. Ik heb me kapot lopen zoeken naar een oplossing voor mijn vragen, maar geen antwoorden kunnen vinden. Wat denken jullie dat de handigste oplossing is? Een trust of samenvoegen van domeinen? En, is er een mogelijkheid om bestanden van een user op beiden locaties beschikbaar te maken? Bij voorbaat dank Ik onderzoek op dit moment de volgende situatie:

Er zijn twee locaties, deze locaties hebben ieder een apart domein. Nu is er het verzoek dat mensen van locatie A hun bestanden ook op locatie B kunnen bereiken wanneer ze op locatie A aanwezig zijn.

Een trust
Een trust via een VPN verbinding is een redelijk goede optie, alleen is er dan nog het probleem dat als een gebruiker op domein B inlogt vanaf locatie A, hij alleen bij zijn bestanden op domein B kan, en niet die van domein A. is dit op te lossen op een (veilige) manier?

De twee domeinen samenvoegen tot één domein
Een andere optie is de twee domeinnamen hernoemen en samenvoegen tot één domein. Je krijgt dan de volgende situatie:
server-domein-a.dezelfdedomeinnaam.local en server-domein-b.dezelfdedomeinnaam.local. De vraag is alleen of dan de twee domeincontrollers wel elkaar direct herkennen (via de VPN) als domeincontrolllers uit hetzelfde domein. Ook is de vraag hoe gebruikers dan bij hun bestanden op beide domeincontrollers kunnen komen.

Ik hoop dat mijn verhaal enigzins duidelijk is. Ik heb me kapot lopen zoeken naar een oplossing voor mijn vragen, maar geen antwoorden kunnen vinden.

Wat denken jullie dat de handigste oplossing is? Een trust of samenvoegen van domeinen? En, is er een mogelijkheid om bestanden van een user op beiden locaties beschikbaar te maken? Bij voorbaat dank

]]> http://gathering.tweakers.net/forum/list_message/30072987#30072987 Thu, 15 May 2008 13:17:37 GMT Quantor http://gathering.tweakers.net/forum/list_message/30073001?data%5Bsource%5D=rss#30073001 dummy@example.com (Quantor) donderdag 15 mei 2008 15:19 Gemakkelijkste in deze situatie (bestaand) is een domein trust opbouwen. En natuurlijk kunnen A dan bij bestanden op B en vice versa, maar die rechten moet je dan wel eerst toekennen. Gemakkelijkste in deze situatie (bestaand) is een domein trust opbouwen. En natuurlijk kunnen A dan bij bestanden op B en vice versa, maar die rechten moet je dan wel eerst toekennen.]]> http://gathering.tweakers.net/forum/list_message/30073001#30073001 Thu, 15 May 2008 13:19:23 GMT Silver7 http://gathering.tweakers.net/forum/list_message/30073044?data%5Bsource%5D=rss#30073044 dummy@example.com (Silver7) donderdag 15 mei 2008 15:24 quote:Quantor schreef op donderdag 15 mei 2008 @ 15:19: Gemakkelijkste in deze situatie (bestaand) is een domein trust opbouwen. En natuurlijk kunnen A dan bij bestanden op B en vice versa, maar die rechten moet je dan wel eerst toekennen.Of een Forest trust. (alleen als je de genoemde domeinen hebt)

quote:
Quantor schreef op donderdag 15 mei 2008 @ 15:19:
Gemakkelijkste in deze situatie (bestaand) is een domein trust opbouwen. En natuurlijk kunnen A dan bij bestanden op B en vice versa, maar die rechten moet je dan wel eerst toekennen.

Of een Forest trust. (alleen als je de genoemde domeinen hebt)]]> http://gathering.tweakers.net/forum/list_message/30073044#30073044 Thu, 15 May 2008 13:24:49 GMT ws01 http://gathering.tweakers.net/forum/list_message/30073050?data%5Bsource%5D=rss#30073050 dummy@example.com (ws01) donderdag 15 mei 2008 15:25 Bedankt voor het snelle antwoord! Maar wat denk je dat de handigste oplossing is om te zorgen dat als user henk vanaf locatie a, op domein b op locatie b inlogt, hij ook bij zijn homedir op domein a kan? (en omgekeerd natuurlijk) Bedankt voor het snelle antwoord! Maar wat denk je dat de handigste oplossing is om te zorgen dat als user henk vanaf locatie a, op domein b op locatie b inlogt, hij ook bij zijn homedir op domein a kan? (en omgekeerd natuurlijk)]]> http://gathering.tweakers.net/forum/list_message/30073050#30073050 Thu, 15 May 2008 13:25:04 GMT Silver7 http://gathering.tweakers.net/forum/list_message/30073065?data%5Bsource%5D=rss#30073065 dummy@example.com (Silver7) donderdag 15 mei 2008 15:26 quote:ws01 schreef op donderdag 15 mei 2008 @ 15:25: Bedankt voor het snelle antwoord! Maar wat denk je dat de handigste oplossing is om te zorgen dat als user henk vanaf locatie a, op domein b op locatie b inlogt, hij ook bij zijn homedir op domein a kan? (en omgekeerd natuurlijk)Dat heet trust

quote:
ws01 schreef op donderdag 15 mei 2008 @ 15:25:
Bedankt voor het snelle antwoord! Maar wat denk je dat de handigste oplossing is om te zorgen dat als user henk vanaf locatie a, op domein b op locatie b inlogt, hij ook bij zijn homedir op domein a kan? (en omgekeerd natuurlijk)

Dat heet trust

]]> http://gathering.tweakers.net/forum/list_message/30073065#30073065 Thu, 15 May 2008 13:26:33 GMT ws01 http://gathering.tweakers.net/forum/list_message/30073104?data%5Bsource%5D=rss#30073104 dummy@example.com (ws01) donderdag 15 mei 2008 15:30 Dus in theorie: de homedir van de user moet alleen ntfs rechten toegekend krijgen voor de account waarmee op het andere domein wordt ingelogd? Het drivemappen kan gebeuren via het kixtart inlogscript. Maar dan moeten de gebruikersnamen op beide domeinen wel hetzelfde zijn, wil je via een script automatisch een drivemapping laten plaatsvinden naar de andere locatie, denk ik? Dus in theorie: de homedir van de user moet alleen ntfs rechten toegekend krijgen voor de account waarmee op het andere domein wordt ingelogd? Het drivemappen kan gebeuren via het kixtart inlogscript. Maar dan moeten de gebruikersnamen op beide domeinen wel hetzelfde zijn, wil je via een script automatisch een drivemapping laten plaatsvinden naar de andere locatie, denk ik?]]> http://gathering.tweakers.net/forum/list_message/30073104#30073104 Thu, 15 May 2008 13:30:18 GMT Koffie http://gathering.tweakers.net/forum/list_message/30076915?data%5Bsource%5D=rss#30076915 dummy@example.com (Koffie) vrijdag 16 mei 2008 09:47 Ik denk dat het handig is als je je eens gaat inlezen op trusts en de type trusts (oneway, forest, etc.) Move PNS > WSS Ik denk dat het handig is als je je eens gaat inlezen op trusts en de type trusts (oneway, forest, etc.)

Move PNS > WSS]]> http://gathering.tweakers.net/forum/list_message/30076915#30076915 Fri, 16 May 2008 07:47:30 GMT Razwer http://gathering.tweakers.net/forum/list_message/30078034?data%5Bsource%5D=rss#30078034 dummy@example.com (Razwer) vrijdag 16 mei 2008 12:32 ff in jip en janneke taal: je moet eerst op netwerk nivo de netwerken aan elkaar knopen, dit kan via een vpn tunnel daarna maak je een vorm van trust (one way of two-way, moet je ff lezen hoe en wat) wanneer user piet, op domein A van lokatie A aanwezig is op lokatie B, en hij inlogged op zijn laptop, zal de eerste authenticatie zijn op de DC van domein A via de vpn link. hij kan dus ook gewoon bij alles van locatie A vanwege je VPN link. Wanneer hij shares wil bezoeken van lokatie B, kan hij dit ook prima doen, mits je op de servers van lokatie b de user domein-a\piet (of een universal group waar hij (indirect) lid van is) daar rechten op heeft. die moet je dus eerst toekennen. user piet kan op die manier \\fileserverlok-a benaderen over de vpn zoals hij gewend is op lokatie a en hij kan \\fileserverlok-b benaderen omdat je daar rechten op gegeven hebt op de shares. de trust zet je dus op zodat je users van de andere lokatie rechten kan geven op de ene lokatie, en vice versa. ik hoop dat dit duidelijk genoeg is. uiteraard is dit geen ideaal plaatje, het kan profesioneler, maar daar ben je duidelijk nog niet klaar voor edit: je kan met kix gewoon standaard de drive mappings laten maken. Dit werkt dan zowel als piet op lokatie A zit of op lokatie B zit. Voor piet, die user is van lokatie A is, maak je zijn login script op een DC van domein A. in dat script verwerk je zowel de mappings van lokatie A als lokatie B. als het een user van lokatie B betreft werkt dit dus precies andersom. je moet hiervoor wel een 2-way trust hebben. ff in jip en janneke taal:
je moet eerst op netwerk nivo de netwerken aan elkaar knopen, dit kan via een vpn tunnel
daarna maak je een vorm van trust (one way of two-way, moet je ff lezen hoe en wat)
wanneer user piet, op domein A van lokatie A aanwezig is op lokatie B, en hij inlogged op zijn laptop, zal de eerste authenticatie zijn op de DC van domein A via de vpn link. hij kan dus ook gewoon bij alles van locatie A vanwege je VPN link.
Wanneer hij shares wil bezoeken van lokatie B, kan hij dit ook prima doen, mits je op de servers van lokatie b de user domein-a\piet (of een universal group waar hij (indirect) lid van is) daar rechten op heeft. die moet je dus eerst toekennen.
user piet kan op die manier \\fileserverlok-a benaderen over de vpn zoals hij gewend is op lokatie a en hij kan \\fileserverlok-b benaderen omdat je daar rechten op gegeven hebt op de shares.
de trust zet je dus op zodat je users van de andere lokatie rechten kan geven op de ene lokatie, en vice versa.

ik hoop dat dit duidelijk genoeg is.

uiteraard is dit geen ideaal plaatje, het kan profesioneler, maar daar ben je duidelijk nog niet klaar voor

edit: je kan met kix gewoon standaard de drive mappings laten maken. Dit werkt dan zowel als piet op lokatie A zit of op lokatie B zit. Voor piet, die user is van lokatie A is, maak je zijn login script op een DC van domein A. in dat script verwerk je zowel de mappings van lokatie A als lokatie B.
als het een user van lokatie B betreft werkt dit dus precies andersom.
je moet hiervoor wel een 2-way trust hebben.]]> http://gathering.tweakers.net/forum/list_message/30078034#30078034 Fri, 16 May 2008 10:32:50 GMT alt-92 http://gathering.tweakers.net/forum/list_message/30081025?data%5Bsource%5D=rss#30081025 dummy@example.com (alt-92) vrijdag 16 mei 2008 20:23 Shares zijn geen probleem, da's inderdaad een kwestie van de (global/universal) groups op de resources zetten. Met homedrives/profiles is het iets lastiger, die zijn gekoppeld aan de domain sid van de user in domain A en een domain B account kan daar dus niet zomaar bij. Shares zijn geen probleem, da's inderdaad een kwestie van de (global/universal) groups op de resources zetten.

Met homedrives/profiles is het iets lastiger, die zijn gekoppeld aan de domain sid van de user in domain A en een domain B account kan daar dus niet zomaar bij.]]> http://gathering.tweakers.net/forum/list_message/30081025#30081025 Fri, 16 May 2008 18:23:30 GMT Razwer http://gathering.tweakers.net/forum/list_message/30083150?data%5Bsource%5D=rss#30083150 dummy@example.com (Razwer) zaterdag 17 mei 2008 12:39 quote:alt-92 schreef op vrijdag 16 mei 2008 @ 20:23: Met homedrives/profiles is het iets lastiger, die zijn gekoppeld aan de domain sid van de user in domain A en een domain B account kan daar dus niet zomaar bij.Dat gaat prima als er gewoon een vpn tunnel ligt tussen de 2 lokaties. Afhankelijk van de pijp tussen de 2 lokaties is het fijner of minder fijn. roaming profiles zal uberhaupt minder fijn zijn gezien dat ontzettend veel data genereerd. maar het is zeker niet lastig, zolang je vpn tunnel maar goed is.

quote:
alt-92 schreef op vrijdag 16 mei 2008 @ 20:23:
Met homedrives/profiles is het iets lastiger, die zijn gekoppeld aan de domain sid van de user in domain A en een domain B account kan daar dus niet zomaar bij.

Dat gaat prima als er gewoon een vpn tunnel ligt tussen de 2 lokaties. Afhankelijk van de pijp tussen de 2 lokaties is het fijner of minder fijn. roaming profiles zal uberhaupt minder fijn zijn gezien dat ontzettend veel data genereerd.
maar het is zeker niet lastig, zolang je vpn tunnel maar goed is.]]> http://gathering.tweakers.net/forum/list_message/30083150#30083150 Sat, 17 May 2008 10:39:05 GMT sanfranjake http://gathering.tweakers.net/forum/list_message/30083164?data%5Bsource%5D=rss#30083164 dummy@example.com (sanfranjake) zaterdag 17 mei 2008 12:42 Over welke besturingssystemen cq. software gaat dit eigenlijk ws01? Dan kan ik de topictitel nog even wat duidelijker maken Over welke besturingssystemen cq. software gaat dit eigenlijk ws01? Dan kan ik de topictitel nog even wat duidelijker maken

]]> http://gathering.tweakers.net/forum/list_message/30083164#30083164 Sat, 17 May 2008 10:42:17 GMT ws01 http://gathering.tweakers.net/forum/list_message/30114710?data%5Bsource%5D=rss#30114710 dummy@example.com (ws01) donderdag 22 mei 2008 21:15 Sorry voor mijn absentie, drukke tijd Het gaat om w2k3 servers Bedankt overigens voor de uitleg, allemaal. Sorry voor mijn absentie, drukke tijd

Het gaat om w2k3 servers

Bedankt overigens voor de uitleg, allemaal.]]> http://gathering.tweakers.net/forum/list_message/30114710#30114710 Thu, 22 May 2008 19:15:15 GMT alt-92 http://gathering.tweakers.net/forum/list_message/30119160?data%5Bsource%5D=rss#30119160 dummy@example.com (alt-92) vrijdag 23 mei 2008 16:23 quote:Razwer schreef op zaterdag 17 mei 2008 @ 12:39: [...] Dat gaat prima als er gewoon een vpn tunnel ligt tussen de 2 lokaties.Vergeet je dan niet de owner token van de profile directory?

quote:
Razwer schreef op zaterdag 17 mei 2008 @ 12:39:
[...]

Dat gaat prima als er gewoon een vpn tunnel ligt tussen de 2 lokaties.

Vergeet je dan niet de owner token van de profile directory?]]> http://gathering.tweakers.net/forum/list_message/30119160#30119160 Fri, 23 May 2008 14:23:54 GMT