[2003] Repliceren van de AD's van 2 domein!? - Serversoftware en clouddiensten

dinsdag 5 juni 2007 13:10

Acties:

Topicstarter

Wat ik ook doe.. echt doen wat ik wil dat het doet. Dat doet het niet

Wat ik wil is 2 domeinen. Of beter gezegd, wat ik moet gaan doen. Op het ene domein moeten de personeelsleden aanmelden, op het tweede domein moeten de leerlingen aanmelden. Alleen moeten de leerlingen en docenten gerepliceerd worden over de 2 AD’s. We hebben verschillende webservers op het personeelsdomein draaien. En de leerlingen moeten daar ook op in kunnen loggen, met hun username en ww. Leerlingen krijgen alleen geen rechten om op het personeelsdomein in te kunnen loggen, maar natuurlijk wel om op die webservers in te kunnen loggen. Tussen de 2 domeinen wil ik een server zetten met RRas erop. Biede domein krijgen hun eigen DHCP in verschillende ranges. Beide domeincontrollers moeten elkaar kunnen zien via RRAS.

Maar welke constructie ik ook neem, OU’s worden niet gerepliceerd.

Geprobeerd

Personeelsdomien is altijd het hoofd

Leerlingdomein
Toegevoegd als childdomain > Niks
Toegevoegd als Tree > Niks
Toegevoegd als eigen forest met trust naar pers…domein (2 way trust)> niks

Repliceren in sites and services goed ingesteld subnets toegevoegd van beide domeinen

Zover ik weet gezonde relatives tussen de domeinen. Behalve de replicatie van de users, groepen, ou’s in de AD.

Nesten van een global groep uit leerlingendomein in domain local Group in personeeldomein zet geen zode(n) aan de dijk.

uitzoeken wat nu de beste keuze is, en hoe het moet... kweet het niet goed meer.

dinsdag 5 juni 2007 13:39

Acties:

alt-92

ye olde farte

Repliceren is wat anders dan een trust, ben je daar niet mee in de war?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 5 juni 2007 13:45

Acties:

bekertje

Topicstarter

Ben er niet mee in de war. Maar dan nog... Ook al zou ik er mee in de war zijn. Verandert het niks aan de situatie dat ik het niet voor elkaar krijg. Die trust is voor de data etc. en heb geen trust nodig voor repliceren. Und jetzt

dinsdag 5 juni 2007 14:21

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

bekertje schreef op dinsdag 05 juni 2007 @ 13:45:
Die trust is voor de data etc. en heb geen trust nodig voor repliceren. Und jetzt

Een trust is ook voor authenticatie... Dat betekent dat mbv een trust users uit DomainA toegang kunnen krijgen tot resources uit DomainB.

Waarom en wat wil je precies gaan repliceren? Zolang het verschillende domeinen zijn, zul je nooit OU's kunnen gaan repliceren.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

dinsdag 5 juni 2007 14:30

Acties:

Verwijderd

bekertje schreef op dinsdag 05 juni 2007 @ 13:45:
Ben er niet mee in de war. Maar dan nog... Ook al zou ik er mee in de war zijn. Verandert het niks aan de situatie dat ik het niet voor elkaar krijg. Die trust is voor de data etc. en heb geen trust nodig voor repliceren. Und jetzt

Ou's die gerepliceerd worden tussen domains is absolute onzin. Jij stelt het volgende:

personeel.school.com bevat bv bepaalde OU's. In leerlingen.school.com zijn die OU's niet zichtbaar.
Ook al zou het leerlingen domain leerlingen.personeel.school.com heten wat sowieso een vreemde constructie zou zijn dan zijn ze nog niet zichtbaar.
OU,s zijn bedoelt voor het delegeren van adminbevoegdheden binnen een domain en het samenpakken van objecten voor het toepassen van policies.
Als gebruikers uit het leerlingendomain toegang moeten hebben tot resources in het personeelsdomain bereik je dat inderdaad door het gebruik van Global Groups.
Een admin in het personeelsdomain kan de bewuste globalgroup aan de domainlocal toevoegen die toegang heeft tot de resource.

Je verhaal ansich doet mij vermoeden dat je absoluut geen kaas gegeten hebt van AD. Er is wel sprake van replicatie tussen domains hoor maar dat is dan niet wat jij denkt.

Hint: AGDLP

Al heb ik het vermoeden dat dit draadje wel eens een complete cursus AD kan gaan worden.

Nog FF. Je hebt het toch niet over Sites?

[ Voor 8% gewijzigd door Verwijderd op 05-06-2007 14:41 ]

dinsdag 5 juni 2007 14:39

Acties:

sanfranjake

Computers can do that?

Watvoor opstelling heb je nu precies dan?
Het allereerste domein in het forest en een childdomein of een nieuw rootdomein in het zelfde forest?
Of heb je een tweede forest?
Liggen beide subnetten in dezelfde site?
Kunnen de servers elkaar ook via dns resolven? En zijn de dnszones voor beide domeinen goed aangemaakt?
Krijg je foutmeldingen?
Synchronisatie is iets anders dan replicatie. De twee servers in hetzelfde domein zouden informatie repliceren. Met server 2008 komen er ook nog read-only domaincontrollers bij die selectief informatie (kunnen) repliceren/cachen. Maar wat jij wil is een OU tussen twee verschillende domeinen repliceren en dat gaat niet. Misschien kan je met MIIS of het featurepack wat kunnen bereiken in die richting: http://www.microsoft.com/technet/miis/evaluate/overview.mspx
Geef eens iets meer informatie, zoals het er nu staat is het nogal wazig/onduidelijk.

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

dinsdag 5 juni 2007 16:13

Acties:

bekertje

Topicstarter

Ik heb nu een domein personeel.nl en een domein leerlingen.nl
Ik heb 2 sites gemaakt.
DNS werkt prima, zover ik weet.
Ik krijg geen foutmeldingen.
Het is niet zo dat er fouten zijn die alles verpesten (denk ik:p)
maar ik wil graag de situtatie zo houden en dat users van het netwerk leerlingen.nl ook in het netwerk van personeel.nl komen zodat zij op de webserver kunnen inloggen(deze maakt namelijk gebruik van de AD van personeel.nl) en aangezien, zoals hierboven word beweerd, dat repliceren van OU's en dergelijke niet werk, wil ik het zo hebben dat ik niet alle gebruikers 2 keer moet invoeren en de wachtwoorden zouden hetzelfde moeten, ook nog eens.
Het gaat om en nabij 2000 gebruikers.

is hier iets voor?
Ik moet toch wat als repliceren/synchroniseren niet werkt;)

Ik heb wel iets van LDAP script gelezen, zit ik dan op de goede weg? want daar heb ik dus geen kaas van gegeten.

gegroet

dinsdag 5 juni 2007 16:18

Acties:

alt-92

ye olde farte

Ik denk dat je een flinke designfout hebt gemaakt toen je hieraan begon eerlijk gezegd, ongetwijfeld omdat je de stof niet machtig genoeg bent (je eigen woorden).

Een domain is namelijk altijd een security boundary, die je met een trust elkaar kan laten vertrouwen, maar niet zonder meer onderling AD objecten kan laten uitwisselen.

Maar ja, nu je eenmaal met de gebakken peren zit moet je roeien met de riemen die je hebt, oftewel pompen of verzuipen.

Vergeet het repliceren, en richt je op de wederzijdse authenticatie door middel van je trusts en de inrichting van je security.
Als je dat eenmaal op orde hebt kan je eens kijken of ADAM je nog opties biedt.

[ Voor 23% gewijzigd door alt-92 op 05-06-2007 16:21 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 5 juni 2007 16:52

Acties:

Verwijderd

bekertje schreef op dinsdag 05 juni 2007 @ 16:13:
Ik heb nu een domein personeel.nl en een domein leerlingen.nl
Ik heb 2 sites gemaakt.
DNS werkt prima, zover ik weet.
Ik krijg geen foutmeldingen.
Het is niet zo dat er fouten zijn die alles verpesten (denk ik:p)
maar ik wil graag de situtatie zo houden en dat users van het netwerk leerlingen.nl ook in het netwerk van personeel.nl komen zodat zij op de webserver kunnen inloggen(deze maakt namelijk gebruik van de AD van personeel.nl) en aangezien, zoals hierboven word beweerd, dat repliceren van OU's en dergelijke niet werk, wil ik het zo hebben dat ik niet alle gebruikers 2 keer moet invoeren en de wachtwoorden zouden hetzelfde moeten, ook nog eens.
Het gaat om en nabij 2000 gebruikers.

is hier iets voor?
Ik moet toch wat als repliceren/synchroniseren niet werkt;)

Ik heb wel iets van LDAP script gelezen, zit ik dan op de goede weg? want daar heb ik dus geen kaas van gegeten.

gegroet

Is mijn aaname correct dat jij het beheer in handen hebt van een netwerk waar alleen al 2000 studenten gebruik van moeten maken?

Je hebt het nu over 2 domains die niet in elkaars naamruimte vallen(Forest) dus zul je een trust moeten aanmaken. Je kunt dan kiezen uit een external trust of een forest trust.
In deze kwestie lijkt me een external trust in de richting van het leerlingendomain voldoende.

Waarom heb je sites aangemaakt? Weet je waar sites voor bedoeld zijn?

[ Voor 12% gewijzigd door Verwijderd op 05-06-2007 17:04 ]

dinsdag 5 juni 2007 17:16

Acties:

Verwijderd

alt-92 schreef op dinsdag 05 juni 2007 @ 16:18:
Ik denk dat je een flinke designfout hebt gemaakt toen je hieraan begon eerlijk gezegd, ongetwijfeld omdat je de stof niet machtig genoeg bent (je eigen woorden).

Een domain is namelijk altijd een security boundary, die je met een trust elkaar kan laten vertrouwen, maar niet zonder meer onderling AD objecten kan laten uitwisselen.

Maar ja, nu je eenmaal met de gebakken peren zit moet je roeien met de riemen die je hebt, oftewel pompen of verzuipen.

Vergeet het repliceren, en richt je op de wederzijdse authenticatie door middel van je trusts en de inrichting van je security.
Als je dat eenmaal op orde hebt kan je eens kijken of ADAM je nog opties biedt.

Objecten uitwisselen?? Niet zonder meer? Het is gewoonweg onmogelijk en dat is ook logisch.
Designfout? Als ik dit verhaal lees is er geen sprake van design whatsoever maar meer van Adhoc geknutsel.

Uit deze post lees ik een totaal onbegrip over zaken als domain, domaintree, forest, OU's, Sites, trusts en hoe het een en ander zich verhoudt tot de logische infrastructuur en de fysieke.

Ik heb maar een advies en dat is: RTFM

dinsdag 5 juni 2007 17:26

Acties:

alt-92

ye olde farte

Verwijderd schreef op dinsdag 05 juni 2007 @ 17:16:
[...]

Objecten uitwisselen?? Niet zonder meer? Het is gewoonweg onmogelijk en dat is ook logisch.

ldifde anyone?

Maar voor de rest ben ik het wel met je eens hoor

Zeg alleen nooit nooit

[ Voor 14% gewijzigd door alt-92 op 05-06-2007 17:27 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 5 juni 2007 17:41

Acties:

Verwijderd

alt-92 schreef op dinsdag 05 juni 2007 @ 17:26:
[...]

ldifde anyone?

Maar voor de rest ben ik het wel met je eens hoor Zeg alleen nooit nooit

Ok dan. Daarin heb je gelijk. Maar heeft meer te maken met eenmalige acties die met herstructurering of consolidatie te maken hebben lijkt me? Dit doe ik ff uit blote hoofd. Ben zelf ook niet zo'n superexpert hoor.

[ Voor 5% gewijzigd door Verwijderd op 06-06-2007 08:10 ]

woensdag 6 juni 2007 14:12

Acties:

bekertje

Topicstarter

Ik loop op vrijwillige basis hier op deze instelling rond. Naja, vrijwillig... Als stagaire.

Nu weten ze waarschijnlijk niet wat ze me moeten laten doen. Vandaar dat ik deze opdracht gekregen heb. Denk ik. Ik moet gewoon het 1 en ander uitzoeken. Ik heb daarom verschillende dingen geprobeerd, maar het wil allemaal niet lukken. Onder andere omdat ik er niet genoeg kaas van heb gegeten.
Er is me gewoon een situatie voorgelegd, zoals hierboven beschreven. En ik moet met een 'goed' idee komen.

Maar wat voor manier lijkt jullie dan het beste? Ik vraag niet om het hele verhaal, maar meer om me een eind in de goeie richting hebben.

woensdag 6 juni 2007 14:18

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

bekertje schreef op woensdag 06 juni 2007 @ 14:12:
Maar wat voor manier lijkt jullie dan het beste? Ik vraag niet om het hele verhaal, maar meer om me een eind in de goeie richting hebben.

Question Mark schreef op dinsdag 05 juni 2007 @ 14:21:
[...]
Een trust is ook voor authenticatie... Dat betekent dat mbv een trust users uit DomainA toegang kunnen krijgen tot resources uit DomainB.

Een trust aanmaken dus.

http://www.microsoft.com/...deploy/dgbe_sec_ztsn.mspx

[ Voor 8% gewijzigd door Question Mark op 06-06-2007 14:19 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 6 juni 2007 14:22

Acties:

Coach4All

I'm a Coach 4 All

bekertje schreef op woensdag 06 juni 2007 @ 14:12:
Ik vraag niet om het hele verhaal, maar meer om me een eind in de goeie richting hebben.

Dat doen ze toch al?

--- Systeembeheerdersdag --- Voedselintolerantie ---

woensdag 6 juni 2007 14:35

Acties:

bekertje

Topicstarter

Coach4All schreef op woensdag 06 juni 2007 @ 14:22:
[...]

Dat doen ze toch al?

Neej, niet helemaal. Wat ik bedoel te vragen is... Welke manier jullie kiezen als jullie in de zelfde situatie zouden zitten. Wat is de beste oplossing voor dit geheel. Ik dacht dat ik wel een goeie vinding had, maar blijkt dus niet zo te zijn.

woensdag 6 juni 2007 14:47

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Wat jij wil is dat leerlingen, aangemeld op het leerlingendomein, zonder extra validatie toegang krijgen tot een webserver in het docentendomein.

Er is al een paar keer gemeld in dit topic dat dit middels een trust te regelen is.

Lees de link nu even door die ik in mijn eerdere post aangeef. Daar staat precies in hoe-en-wat een trust is, en welke verschillende vormen van een trust er zijn.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 6 juni 2007 15:07

Acties:

Verwijderd

bekertje schreef op woensdag 06 juni 2007 @ 14:35:
[...]

Neej, niet helemaal. Wat ik bedoel te vragen is... Welke manier jullie kiezen als jullie in de zelfde situatie zouden zitten. Wat is de beste oplossing voor dit geheel. Ik dacht dat ik wel een goeie vinding had, maar blijkt dus niet zo te zijn.

Voor €200.-- per uur wil ik het ook wel komen doen. Ben toch werkeloos.

Alle aanwijzingen die je maar kunt krijgen in deze vindt je in de voorgaande posts.
En als ik in jouw situatie zou zitten zou ik zeggen: "Waar hebben jullie het in godsnaam over?? Huur daar iemand voor in!"

woensdag 6 juni 2007 15:09

Acties:

alt-92

ye olde farte

bekertje schreef op woensdag 06 juni 2007 @ 14:35:
Neej, niet helemaal.

Jij bent een lekkere

We zitten al sinds stap één aan te geven waar je wél naar moet kijken.
Misschien zijn subtiele hints niet genoeg?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 6 juni 2007 15:17

Acties:

Verwijderd

alt-92 schreef op woensdag 06 juni 2007 @ 15:09:
[...]

Jij bent een lekkere We zitten al sinds stap één aan te geven waar je wél naar moet kijken.
Misschien zijn subtiele hints niet genoeg?

Ik heb wat speurwerk voor je gedaan (kosteloos). En heb naar vele uren zoeken een cursusje voor je gevonden die je maar eens moet doornemen.

http://www.microsoft.com/.../windows2003/default.mspx

Ben je wel ff mee bezig heb ik me laten vertellen.

donderdag 7 juni 2007 09:04

Acties:

Dafjedavid

Verwijderd schreef op woensdag 06 juni 2007 @ 15:17:
[...]

Ik heb wat speurwerk voor je gedaan (kosteloos). En heb naar vele uren zoeken een cursusje voor je gevonden die je maar eens moet doornemen.

http://www.microsoft.com/.../windows2003/default.mspx

Ben je wel ff mee bezig heb ik me laten vertellen.

lol

Als ik het moest doen zoals hierboven beschreven is inderdaad forest trust de enige logische oplossing. Dat kan zelfs een one-way trust zijn, als de docenten tenminste niet in het leerlingen domein hoeven te werken.

Voor de inrichting van de diverse groepen gebruik maken van AGDLP.

Who Needs Windows...

donderdag 7 juni 2007 09:10

Acties:

Verwijderd

Dafjedavid schreef op donderdag 07 juni 2007 @ 09:04:
[...]

lol

Als ik het moest doen zoals hierboven beschreven is inderdaad forest trust de enige logische oplossing. Dat kan zelfs een one-way trust zijn, als de docenten tenminste niet in het leerlingen domein hoeven te werken.

Voor de inrichting van de diverse groepen gebruik maken van AGDLP.

External trust dus in de richting van het leerlingendomain. En volgens mij kun je dan ook nog kiezen voor 'selective authentication' maar ben daar niet zeker van want mijn virtuele imperium ligt al 2 weken bij leverancier.

In ADUC in het personeels domain kun je dan de op webserver(s) 'allowed to authenticate' voor de leerlingen instellen op de securitytab.

Pagina: 1

Reageer