AD op 2 lokaties met dezelfde naam Disaster recovery - Serversoftware en clouddiensten

donderdag 15 maart 2007 11:05

Acties:

Topicstarter

We willen een fileserver op een remote locatie neerzetten. De files met rechten willen we meeenemen dmv Replicatietooling via VPN, echter aan de andere kant zouden we hetzelfde domein willen.

Nu is dat doorgaans niet zo lastig. Je maakt 2 sites en gaan. Maar, we willen er een eigen domain controller neerzetten, waarbij alleen de gebruikers van het bestaande domein in komen en niet de computers, zodat we aan de andere kant computers kunnen plaatsen met dezelfde naam. Zodat ook de rechten gewoon benaderd kunnen worden. De SID's moeten dus hetzelfde zijn. Het liefst hebben we dan ook nog dat ze allemaal een standaard wachtwoord krijgen die ze na de 1e inlog moeten wijzigen. Er mag dus geen 2-weg replicatie plaatsvinden en ook nog eens beperkt.

Uiteindelijk is het dus de bedoeling dat in een extreem geval we alle andere servers die daar virtueel draaien gewoon kunnen werken zoals hier onder dezelfde naam in hetzelfde domein.

Als hier 3rd party software voor bestaat is het ook interessant.

Als er iemand een lichtje op kan laten schijnen zou dat welkom zijn

Hop,hop,hop!

donderdag 15 maart 2007 11:17

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Ik snap je verhaal niet goed.

Als ik het goed begrijp wil je gewoon een uitwijklokatie waar de userdata beschikbaar is.

Da's toch gewoon een kwestie van het plaatsen van een additionele domaincontroller, Global Catalog maken en middels DFS de data laten repliceren?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 15 maart 2007 11:21

Acties:

Verwijderd

Ik heb geen idee waarom je dat zou willen. Maar om slechts 1 kant op te gaan moet je 2 verschillende forests maken met een trust (forest trust of domain trust maakt niet zoveel uit in dit geval). Je zou dan de alle users in 1 domain kunnen hangen en de machines in het domain van de locatie.

Je kan dan natuurlijk niet dezelfde domain naam gebruiken. Of je nu de standaard ms of een of third party ldap ervoor gaat gebruiken, dat is simpelweg onmogelijk. (zelfde pcname + andere domainname is natuurlijk wel mogelijk).

donderdag 15 maart 2007 11:38

Acties:

basset

Topicstarter

Er komt bijvoorbeeld een mailserver virtueel te draaien en een licentieserver. Vooral de licentieserver werkt alleen onder 1 bepaalde naam en onder 1 ip adres (afhankelijk van de verschillende licenties die er beheerd worden)Aan de ene kant hebben we domein A (productie) en aan de andere kant hebben we ook domein A die exact hetzelfde is, met dezelfde user accounts, maar zonder de computer accounts. Die willen we gescheiden houden.

Maar we willen wel met de VPN data blijven repliceren naar de remote locatie. Als het repliceren van de AD niet kan, dan moeten we gewoon een manier zien te vinden om alleeen de users met bijbehorende rechten over zien te zetten. Of besluiten de rechten niet mee te repliceren, maar dan verliezen we weer een stukje data beveiliging.

Hop,hop,hop!

donderdag 15 maart 2007 11:40

Acties:

basset

Topicstarter

Question Mark schreef op donderdag 15 maart 2007 @ 11:17:
Ik snap je verhaal niet goed.

Als ik het goed begrijp wil je gewoon een uitwijklokatie waar de userdata beschikbaar is.

Da's toch gewoon een kwestie van het plaatsen van een additionele domaincontroller, Global Catalog maken en middels DFS de data laten repliceren?

Dat willen we juist niet omdat er dan ook computer accounts meegaan naar die kant. Ook DNS is in AD geintegreerd, waardoor mensen in het domein de domeincontroller op de andere locatie kunnen gtaan gebruiken, wat volgens mij de performance niet ten goede komt omdat het een relatief smalle VPN verbinding is. En dat de computers aan die zijde dus niet meer dezelfde naam kunnen hebben.

Het kan best zijn dat we het onnodig ingewikkeld maken hoor

Maar ik ben soms een beetje eigenwijs.

[ Voor 6% gewijzigd door basset op 15-03-2007 11:41 ]

Hop,hop,hop!

donderdag 15 maart 2007 11:43

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

basset schreef op donderdag 15 maart 2007 @ 11:38:
Maar we willen wel met de VPN data blijven repliceren naar de remote locatie. Als het repliceren van de AD niet kan, dan moeten we gewoon een manier zien te vinden om alleeen de users met bijbehorende rechten over zien te zetten. Of besluiten de rechten niet mee te repliceren, maar dan verliezen we weer een stukje data beveiliging.

Repliceren van data en AD kan prima middels de eerder genoemde oplossing.

Het is me echter een raadsel waarom je kiest voor voor twee domeinen en een scheiding van users en computers.

Het lijkt erop dat je HA middels een uitwijklokatie aan wilt bieden. Heb je al eens gekeken naar de mogelijkheden van een stretched cluster?

basset schreef op donderdag 15 maart 2007 @ 11:40:
[...]Dat willen we juist niet omdat er dan ook computer accounts meegaan naar die kant. Ook DNS is in AD geintegreerd, waardoor mensen in het domein de domeincontroller op de andere locatie kunnen gtaan gebruiken, wat volgens mij de performance niet ten goede komt omdat het een relatief smalle VPN verbinding is.

Clients zijn site-aware, die kiezen dus gewoon de DC in hun eigen site voor validatie.

[ Voor 24% gewijzigd door Question Mark op 15-03-2007 11:45 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 15 maart 2007 14:46

Acties:

Verwijderd

waardoor mensen in het domein de domeincontroller op de andere locatie kunnen gtaan gebruiken, wat volgens mij de performance niet ten goede komt omdat het een relatief smalle VPN verbinding is. En dat de computers aan die zijde dus niet meer dezelfde naam kunnen hebben.

Hiervoor maak je juist sites aan. Dat de mensen op site1 niet gaan connecten naar site2. Echter als je dc in site 1 down is, heb je nog wel site 2. Dan maar wat mindere performance dan niet werken...

vrijdag 16 maart 2007 08:25

Acties:

basset

Topicstarter

Verwijderd schreef op donderdag 15 maart 2007 @ 14:46:
[...]

Hiervoor maak je juist sites aan. Dat de mensen op site1 niet gaan connecten naar site2. Echter als je dc in site 1 down is, heb je nog wel site 2. Dan maar wat mindere performance dan niet werken...

Maar dan hebben we dus het probleem dat we de computers niet dezelgde naam kunnen geven aan beide zijden.

Dus het enige dat we eigenlijk kunnen doen is een backup van de systemstate maken en deze terugzetten op een DC daar, welke we gescheiden moeten houden.

Hop,hop,hop!

vrijdag 16 maart 2007 08:34

Acties:

jvdmeer

basset schreef op donderdag 15 maart 2007 @ 11:05:
... en niet de computers, zodat we aan de andere kant computers kunnen plaatsen met dezelfde naam.

Waarom ????

basset schreef op donderdag 15 maart 2007 @ 11:05:
... Zodat ook de rechten gewoon benaderd kunnen worden.

Hoe bedoel je dit?

Is wat jij wil niet bereikbaar middels site's en DFS?

[ Voor 57% gewijzigd door jvdmeer op 16-03-2007 08:36 ]

vrijdag 16 maart 2007 08:37

Acties:

Qwerty-273

Meukposter

***** ***

basset schreef op donderdag 15 maart 2007 @ 11:38:
Er komt bijvoorbeeld een mailserver virtueel te draaien en een licentieserver. Vooral de licentieserver werkt alleen onder 1 bepaalde naam en onder 1 ip adres (afhankelijk van de verschillende licenties die er beheerd worden).

Volgens mij lijkt het me handiger om de licentieserver eventueel aan te passen/request uitzetten voor aanpassing en implementeren in een AD-omgeving met 2 (of meerdere) sites, dan om te gaan knoeien en allerlei wegen proberen te verzinnen om 1 licentieserver te gebruiken en twee AD's die eigenlijk wel hetzelfde moeten zijn maar toch ook weer niet.

Erzsébet Bathory | Strajk Kobiet | You can lose hope in leaders, but never lose hope in the future.

vrijdag 16 maart 2007 08:42

Acties:

Abom

Ik kan je afraden je eerste idee in productie te mikken, sowieso niet verstandig om zo te lopen hacken met je AD voor iets als een licenseserver. Ik heb vaker gezien dat een kopie van een domain in een POC gebouwd wordt en dat de POC een keer een link met het productie netwerk krijgt...it aint pretty...

Is het geen optie om die license-server als standalone te draaien (niet als memberserver van het domain dus)? Dan maakt dezelfde machinenaam niet zoveel uit en twee dezelfde IP adressen kun je toch niet gelijktijdig op hetzelfde netwerk gebruiken...

donderdag 22 maart 2007 08:24

Acties:

basset

Topicstarter

De licentieserver is maar een klein stukje van het "probleem"

Doordat er gerepliceerd wordt van bijvoorbeeld de fileserver naar de remote locatie, waar we ook de rechten willen meenemen, moet je aan de andere kant de data weer kunnen benaderen als gebruiker.

Als je geen gebruikers hebt, dan kun je nog zulke mooie rechten aan de andere kant hebben, maar dan kan niemand ze meer gebruiken.

Om het even heel simpel te houden.
Fileserver op originele locatie (met rechten op files/folders) wordt gerepliceerd met Fileserver op remote locatie, welke niet in het domein komt te staan van de originele locatie.

Als de originele locatie onder water loopt of instort, dan moet men op de remote locatie kunnen inloggen en gewoon bij de files kunnen komen waar zij rechten toe hebben.

Dus als ik nu de gebruikers ook kan laten inloggen op de remote locatie op een domein controller, dan mag het een ander domein zijn. Maar het zou dus prettig zijn als die gebruikers al aan de andere kant staan. En ik weet niet of bij een trust, de accounts van het ene domein(Origineel) opgeslagen worden in het andere domein(Remote) en zonder een werkend domein(Origineel) in kunnen loggen op het andere domein (Remote)

En het lijkt allemaal zo simpel. Zal het ook wel zijn, als je het eenmaal weet

Hop,hop,hop!

donderdag 22 maart 2007 08:39

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

En al je hierboven genoemde problemen zijn dus op te lossen door er één domein van te maken en de data middels DFS beschikbaar te stellen. De users kunnen dan door beide DC's gevalideert worden (en hiermee creëer je dus redundancy voor zowel data als je useraccount-data).

Wat is je reden om dan nog steeds meerdere domeinen op te willen zetten?

Het enige probleem wat je echt overhoud is het redundant krijgen van je licenseserver. Leg voor dit probleem gewoon de vraag eens voor aan de leverancier van deze software hoe deze redundant te krijgen is.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 22 maart 2007 10:09

Acties:

alt-92

ye olde farte

basset schreef op donderdag 22 maart 2007 @ 08:24:
Doordat er gerepliceerd wordt van bijvoorbeeld de fileserver naar de remote locatie, waar we ook de rechten willen meenemen, moet je aan de andere kant de data weer kunnen benaderen als gebruiker.

Als je geen gebruikers hebt, dan kun je nog zulke mooie rechten aan de andere kant hebben, maar dan kan niemand ze meer gebruiken.

Daarom is een extra GC DC van je domain op je uitwijk zo handig.

Om het even heel simpel te houden.
Fileserver op originele locatie (met rechten op files/folders) wordt gerepliceerd met Fileserver op remote locatie, welke niet in het domein komt te staan van de originele locatie.

Waarom een ander domain? Maakt het alleen maar nodeloos ingewikkelder.

Als de originele locatie onder water loopt of instort, dan moet men op de remote locatie kunnen inloggen en gewoon bij de files kunnen komen waar zij rechten toe hebben.

Dus als ik nu de gebruikers ook kan laten inloggen op de remote locatie op een domein controller, dan mag het een ander domein zijn. Maar het zou dus prettig zijn als die gebruikers al aan de andere kant staan. En ik weet niet of bij een trust, de accounts van het ene domein(Origineel) opgeslagen worden in het andere domein(Remote) en zonder een werkend domein(Origineel) in kunnen loggen op het andere domein (Remote)

Nee, want een trust is niet hetzelfde.
Die accounts moeten nog steeds geauthenticeerd worden door een domain-eigen DC.

Oh, fsck. Die is net onder water gelopen.
Nou ja. Jammer dan

En het lijkt allemaal zo simpel. Zal het ook wel zijn, als je het eenmaal weet

Dat is het ook, alleen jij denkt veel te ingewikkeld

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 22 maart 2007 11:53

Acties:

Asteroid9

General Failure

Ik kan me alleen maar aansluiten bij de voorgaande reacties.
Speciaal voor dit soort situaties is het domain/forest model van de Active Directory bedacht.

Wat je moet doen is inderdaad een extra DC + Global Catalog op de remote locatie neerzetten en je sites goed indelen zodat de clients netjes door de lokale DC geauthenticeerd worden.
Zo lang je momenteel geen Windows 2003 SBS gebruikt maar een 'normale' versie kan dit in principe met vrij geringe extra investeringen.

Ik ken je bedrijfsomvang en je achtergrond niet, maar laat je eens goed voorlichten of lees je in de materie in om het goed zelf op te kunnen pakken.
Een MS boek wat voorbereid op 70-294 beschrijft dit wel vrij goed, kijk daar anders eens naar: http://www.microsoft.com/learning/exams/70-294.mspx

- = Simpele oplossingen zijn vaak vermomd als schier onoplosbare problemen.... = -

Pagina: 1

Reageer