Lörres

edit: Das mein Fachwissen bezüglich Forests/GC noch ausbaubar ist, ist durchaus wahr, weshalb ich mich dazu durchgerungen habe nach "professioneller Hilfe" in einem "MCSE"-Board zu suchen. Sowohl in der 30k Umgebung (openldap), als auch in der neuen Firma, verwenden wir Simple Bind über TLS. Die Frage ist nun, gibt es noch jemanden der ähnliches schon einmal gegen den GC gemacht hat? Gibt es Gründe die dagegen sprechen? Denn technisch ist es möglich, allerdings habe ich wie gesagt in seltenen Fällen mit langen Antwortzeiten zu kämpfen. Die habe ich allerdings auch schon bei einfachen Ldapsearches.

Eine kurze recherche im Internet wird dir aufzeigen, dass es möglich ist, sich über Ldap zu authentifizieren (sogar das es eine grundlegende Funktionalität von Ldap ist). In meiner letzten Firma haben wir 30k user gegen ldap authentifiziert. Wenn du das geschriebene nicht verstehst, keine konkreten Lösungsvorschläge hast, oder nichts konstruktives beitragen willst, musst du nicht auf dieses Thema antworten. Das du niemanden kennst, der sich gegen einen gc authentifiziert, muss auch nicht bedeuten das es niemanden gibt der das evtl tut. Ich jedenfalls kann deine beiden aussagen durch einen gegenbeweis widerlegen... Grüße lörres

Hallo zusammen, ich bin neu hier, habe jedoch gleich ein nicht ganz triviales Anliegen. Ich habe in unserer Firma eine Forest Struktur mit zwei Standorten aufgebaut, da wir in einem Standort eine andere DNS Struktur haben, befinden sich nun zwei Domänen in diesem Forest. Die Benutzer liegen dabei in einer Office-Domäne, sollen jedoch im anderen Standort zur Authentifizerung von Windows-Servern, Webapplikationen und Linux-Servern genutzt werden können. Für die Windows-Server ist das ohne größere Schwierigkeiten über die Vertrauensstellungen des Forests möglich. Die Authentifizierung über Kerberos war für Team-Mitglieder und Vorgesetzte nicht gerne gesehen, da es das Konfiguratinsmanagement bei uns verkomplizieren würde. Für die Linux-Server und Webapplikationen habe ich angedacht die Authentifizierung gegen den globalen Katalog laufen zu lassen, da dieser Katalog, meiner Meinung nach, nix anderes als ein LDAP-Server mit ausgewählten Attributen aller Domänen ist. In meiner Testumgebung hat die Konstellation gut funktioniert. In der aktuellen Pilotphase in der Produktionsumgebung habe ich jetzt allerdings das Problem, dass LDAP-Binds in manchen Fällen sehr lange brauchen. Ich habe den Traffic mal mitgesnifft und gesehen, dass zwischen LDAP bind requests und LDAP bind responses manchmal bis zu 40 Sekunden liegen. Hat von euch jemand schon einmal Erfahrungen mit dieser Thematik gesammelt? Persönlich halte ich es für ein Problem des Globalen Kataloges.. Ich habe zum Vergleich mal einfache ldapsearches gegen 389 und gegen 3268 ausgeführt und gesehen das die binds bisher nur bei 3268 (globaler Katalog) lange gedauert haben. Ist der Globale Katalog evtl für LDAP-Authentifizierungen ungeeignet und wenn ja, wisst ihr warum? Kennt ihr evtl andere Lösungsansätze für mein Problem.. Ich denke hier sind wahre Experten gefragt ;-) Viele Grüße Lörres