Jump to content

Active Directory zwischen 2 verschiedenen Domänen synchronisieren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Tag Miteinander

 

In userer Firma haben wir bis heute eine Stufe für die Software Implementierung. Die Produktionsebene. Nun wollten wir jedoch eine zweite Stufe einbauen, die Integrationsebene, wo wir testen können.

Es sind 2 verschiedene Domänen. Mit je einem Windows Server 2003 und einem eigenen AD.

Da aber bis heute die OU's, User und Gruppen nur in der Produktionsebene vorhanden sind und man sich in der Integrationsebene noch nicht anmelden kann, kommt hier nun meine Frage:

 

Gibt es eine Lösung, mit einem Tool oder einem VBScript die 2 verschiedenen AD's automatisch zu synchronisieren, dass immer wenn in einem AD eine Änderung vorgenommen wird, das andere AD diese Änderung übernimmt und sie sich so abgleichen?

 

Am besten wäre wenn man (bei diesem Tool) noch die Attribute der zu synchronisierenden Objekte angeben könnten.

 

Bis jetzt habe ich nur Tools gefunden, welche dies innerhalb einer Domäne machen können oder solche, bei denen man manuell die AD exportiert und bei der anderen AD wieder importiert.

 

Für eure Antworten danke ich jetzt schon

 

Mfg

Pascal

Link zu diesem Kommentar

Moin,

 

es gibt natürlich eine ganze Reihe an Werkzeugen, die sowas ermöglichen. Die Frage ist eher, was euch genau vorschwebt.

 

Welche Aktualität und welche Detailtiefe braucht ihr denn? Sofern dein Hinweis auf die Anmeldung bedeutet, dass auch die Kennwörter synchron sein sollen, beachte zweierlei:

 

Erstens benötigst du dann einen tiefen Eingriff in die Produktionsumgebung, denn Windows speichert nicht das Kennwort, sondern nur den Hash - sprich du müsstest die Kennwörter bei der Änderung abfangen und übertragen (und damit mal eben alle User zwingen, ein neues Kennwort zu setzen).

 

Zweitens wäre damit eure Testumgebung produktionskritisch und genauso abzusichern wie die Produktionsumgebung.

 

Gruß, Nils

Link zu diesem Kommentar

Besten Dank für die schnelle Antwort.

 

Ich kann es auch noch ein wenig vereinfachen, könnte aber auch noch konkreter werden.=)

 

Ganz einfach: Produktionsumgebung : AD1 in der Domäne ad1.ch

Testumgebung : AD2 in der Domäne ad2.ch

 

In der Produktionsumgebung sind die User, OU's und Gruppen bereits erstellt. Die müssen nun in die Testumgebung (Andere Domäne) synchronisiert werden. (wenn möglich mit einem Programm). Wenn dies geschehen ist sollte in Zukunft alle 30 Minuten eine solche synchronisation zwischen den 2 Domänen erfolgen.

 

Was konkret synchronisiert werrden muss:

 

ohne Modifikation zu synchronisieren:

für die User-Objekte :

- cn, company, department, description, displayName, givenNamen, homeDrive, info, mailNickname, name,

sAMAccountname, sn

 

für die Gruppen-Objekte :

- cn, description, name, sAMAccountName

 

Synchronisation mit Modifikationen (Anpassung an den abweichenden Domänennamen, Servernamen etc.):

für die User-Objekte :

- distinguishedName, homeDirectory, mail, memberOf, profilePath

 

für die Gruppen-Objekte :

- distinguishedName, member, memberOf

Link zu diesem Kommentar

Moin,

 

von wievielen Objekten sprechen wir denn?

 

Was du vorhast, bekommt man sicher mit einer skriptbasierten Lösung hin - sofern entsprechendes Know-how vorhanden ist. Du kannst dich natürlich auch nach einer kommerziellen Lösung für den Verzeichnisabgleich umsehen, aber da wird es schnell teuer und aufwändig, weil solche Lösungen meist viel mehr können als ihr braucht.

 

Muss tatsächlich alle 30 Minuten abgeglichen werden? Das erscheint mir nun sehr hoch gegriffen. Sonst könnte man auch über einen regelmäßigen vollständigen Neuaufbau nachdenken (z.B. einmal in der Nacht) und sich die (relativ aufwändige) Synchronisation sparen. Dann bekäme man das wahrscheinlich sogar mit csvde/ldifde per Batch hin.

 

Gruß, Nils

Link zu diesem Kommentar

In der Testphase sind es nur ungefähr 100 Objekte.

 

Schlussendlich aber sind es um die 1000 Objekte.

 

Aber wenn es eine einfach Lösung für wenige Objekte gäbe, die man später ausbauen könnte wäre das auch kein Problem.

 

Leider fehlt mir das Know-How um dies mit einem Script zu Lösen. Deshalb die Frage nach einem Program.

 

Hättest du dafür irgendwelche Script Beispiele?

 

Lg

 

Pascal

Link zu diesem Kommentar
Moin,

 

Was du vorhast, bekommt man sicher mit einer skriptbasierten Lösung hin -

 

 

bin ich mal nicht so sicher. Da kommen oft weitere Wünsche, wie GPOs und GPO-Filter synchronisieren, Delegationen und ACLs auf OUs übernehmen etc. . Da wirds mit dem Skripten auf jeden Fall aufwändig!. Wenn's tasächlich nur um User und Gruppen und nur um einfache Properties geht, kann man es sicher per Skript machen.

 

@piikei: habt ihr denn vor der Produktionsumgebung auch eine Testumgebung, oder nur "nachgelagert"

 

cu

blub

Link zu diesem Kommentar

Moin,

 

bin ich mal nicht so sicher. Da kommen oft weitere Wünsche, wie GPOs und GPO-Filter synchronisieren, Delegationen und ACLs auf OUs übernehmen etc. . Da wirds mit dem Skripten auf jeden Fall aufwändig!. Wenn's tasächlich nur um User und Gruppen und nur um einfache Properties geht, kann man es sicher per Skript machen.

 

darum frog ich ja auch nach den Anforderungen.

 

@piiikei: Nein, ich habe keine fertigen Skripte. Der wesentliche Punkt ist, dass du die Anforderungen genau und trennscharf definierst, sonst bringt das hier alles nix.

 

Wie gesagt: Wenn es nur um das geht, was du ansprichst, und die Abbildung Produktion->Test nur einmal täglich erfolgen soll, kriegst du das per Batch und csvde/ldifde hin. 1000 User und die Objekte drumrum sind kein Problem, das dürfte in wenigen Minuten importiert sein (ich habe bei einem Kunden >16.000 Objekte, die sind in wenigen Minuten ins Testlab gepumpt).

 

Gruß, Nils

Link zu diesem Kommentar

Die Anforderungen (Wie mein Auftrag genau definiert wurde):

 

Unsere AG hat mehrere Stufen für die System- und Software-Implementierung. Zum einen die Stufe Produktion und zum anderen die Stufe Integration. Heute sind die beiden Umgebungen in der AD nicht synchronisiert. Das führt zu diversen Problemen und unterschiedlichen Testresultaten. Dieser Missstand soll mit dem hier beschriebenen Synchronisationsverfahren behoben werden.

 

Beide Zonen verfügen über eine eigenständige und voneinander getrennte Active Directory-Umgebung. Die Applikationsverantwortlichen, Test- und Keyuser sollen in der Lage sein sich mit ihren Benutzeraccounts und Passwörtern aus der Produktionsumgebung auch auf der Integrationsumgebung einzuloggen, um produktionsnahe Tests durchführen zu können.

 

Damit Tests produktionsnah durchgeführt werden können, müssen die relevanten Benutzerdaten und Parameter aus der Produktions- in die Integrationsumgebung synchronisiert werden.

 

Die Aufgabe besteht in der Konzeptionierung und technischen Umsetzung einer Lösung mit Inhalt, die Benutzeraccounts und Gruppen automatisiert aus dem produktiven AD in das produktionsnahe AD in der Integration synchronisieren zu können.

 

Hierbei sind folgende Attribute obligatorisch und ohne Modifikation zu synchronisieren:

für die User-Objekte :

- cn, company, department, description, displayName, givenNamen, homeDrive, info, mailNickname, name,

sAMAccountname, sn

 

für die Gruppen-Objekte :

- cn, description, name, sAMAccountName

 

Synchronisation mit Modifikationen (Anpassung an den abweichenden Domänennamen, Servernamen etc.):

für die User-Objekte :

- distinguishedName, homeDirectory, mail, memberOf, profilePath

 

für die Gruppen-Objekte :

- distinguishedName, member, memberOf

Link zu diesem Kommentar

Ich verstehe nicht ganz wieso es für den Test von GPOs bzw. Softwaredeployment eine eigene Domain braucht. Vielleicht liegt das daran das ich ein bisschen sehr aus der KMU-Ecke komme, und sowas immer über Test-OUs mit Testbenutzern gelöst habe, die mit dem Rest des Systemes nichts zutun hatten.

 

So habt ihr das ganze auch effektiv in der Umgebung getestet, in der ihr das ganze nachher einsetzen wollt.

Link zu diesem Kommentar

Moin,

 

Die Applikationsverantwortlichen, Test- und Keyuser sollen in der Lage sein sich mit ihren Benutzeraccounts und Passwörtern aus der Produktionsumgebung auch auf der Integrationsumgebung einzuloggen, um produktionsnahe Tests durchführen zu können.

 

genau da hakt es. Du wirst die Kennwörter nur mit hohem Aufwand in beiden Umgebungen gleich halten können, und es erfordert gravierende Änderungen in der Quellumgebung.

 

Weiterhin ist dabei zu berüsksichtigen, dass die Test-Objekte natürlich nicht dieselben Berechtigungen haben wie die Quell-Objekte. So richtig produktionsnah wird der Test also nicht sein.

 

Daher ist der Auftrag noch einmal genau zu prüfen und die Anforderungen neu zu spezifizieren. So, wie es da steht, braucht ihr eine "Karte des Reichs im Maßstab 1:1", und das ist ein Ding der Unmöglichkeit.

 

Ihr könntet natürlich einen Klon der Umgebung erzeugen, aber abgesehen von den immensen organisatorischen Problemen, die das erzeugt, wäre das auch in höchstem Maße sicherheitskritisch.

 

Gruß, Nils

Link zu diesem Kommentar

Moin,

 

und sowas immer über Test-OUs mit Testbenutzern gelöst habe, die mit dem Rest des Systemes nichts zutun hatten.

 

So habt ihr das ganze auch effektiv in der Umgebung getestet, in der ihr das ganze nachher einsetzen wollt.

 

ähem. Zitat eines Microsoft-Support-Engineers:

 

Es gibt keine Kunden ohne Testumgebung.

Es gibt aber viele Kunden ohne Produktionsumgebung.

 

Tests in einer Produktionsumgebung sollte man tunlichst vermeiden.

 

Gruß, Nils

Link zu diesem Kommentar

Ich war nun 4 Tage lang in den Ferien. Besten Dank für die Antworten.

 

Ich könnte meine Frage auch vereinfachen. Ich muss vorübergehend nichts mit der Produktionsumgebung machen, sondern einfach eine eigene Testumgebung aufbauen.

 

Das heisst: Ich habe nun 2 Server aufgesetzt (win2k3), mit 2 verschiedenen Active Directorys, die in 2 verschiednen Domänen sind.

 

In der einen AD sind nun Bereits einige User, OU's und Gruppen angelegt.

Die zweite AD ist noch nicht befüllt.

 

Nun wieder zu der Frage: Kann ich jetzt die User, OU's und Gruppen in die andere AD synchronisieren? ( Mal abgesehen von der bisherigen Produktionsumgebung usw.)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...