Jump to content

AD, 2 Standorte, Unterschiedliche Profile


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Moin,

 

Vermutlich habe ich die Lösung irgendwo übersehen, aber riskier trotzdem mal eine Frage.

 

Zwei Server 2012 Standard, einer Standort A, einer Standort B, verbunden durch VPN.

 

Eine Domäne.

 

In A arbeiten 10 User an Win8 Clients, in B 5 User an Win8 Clients.

 

Nun hatte ich gedacht ich kaufe 15 User-CALs und richte die in der Domäne ein. Oder müssen es 10 CALs an A und 5 CALs an B sein?

 

Jetzt die Fragen zu denen ich leider keine Lösung gefunden habe. Einige Anforderungen sind auch "speziell" und da verliere ich grad den Überblick...

 

(Berechtigungen mal außen vor gelassen)

 

- Wenn der Tunnel gestört ist (=keine Verbindung), kann dann jeder User sich an seinem Standort an "seinem" Server anmelden?

 

 

- Wenn der Tunnel ok ist kann dann jeder User sich am Server des anderen Standortes anmelden?

 

 

- Wenn beide Server eine Vertrauensstellung haben, erscheinen dann in der Loginmaske der Clients beide Server als Loginserver zur Auswahl?

Da auf den Servern unterschiedliche Datenbanken laufen sollen die User sich mal an A, mal an B anmelden können.

D.h. identische Userdaten an A und B, aber verschiedenen Profile an A und B. Geht das?

 

 

Die Server sollen also quasi unabhängig sein, nur die Clientauthentifizierung soll synchron sein.

 

Vielen Dank,

Mike

 

Link to comment

Eine Domäne.

 

- Wenn der Tunnel gestört ist (=keine Verbindung), kann dann jeder User sich an seinem Standort an "seinem" Server anmelden?

 

Wenn 'sein' Server ein DC (Domaincontroller) ist, dann ja. Dazu mußt Du natürlich auch im Active Directory einen passenden Standort mit Subnetz eingerichtet haben.

 

 

- Wenn der Tunnel ok ist kann dann jeder User sich am Server des anderen Standortes anmelden?

 

 

 

Ein Benutzer meldet sich nicht an einem Server oder am anderen an. Wenn er sich erfolgreich angemeldet hat, kann er auf die Ressourcen zugreifen, für die er im AD die passenden Rechte hat.

 

- Wenn beide Server eine Vertrauensstellung haben, erscheinen dann in der Loginmaske der Clients beide Server als Loginserver zur Auswahl?

 

Nein, Server erscheinen nicht in der Loginmaske. Wenn es eine Windows Domain ist, dann spielt das auch keine Rolle und die Server haben keine Vertrauensstellung zueinander.

 

Da auf den Servern unterschiedliche Datenbanken laufen sollen die User sich mal an A, mal an B anmelden können.

D.h. identische Userdaten an A und B, aber verschiedenen Profile an A und B.

 

Wenn das SQL-Server Datenbanken sind und die Windows-Authentifizierung aktiviert ist, dann können die Benutzer, wenn sie auf beiden SQL-Servern eingerichtet sind, an beiden SQL-Servern anmelden.

 

 

Die Server sollen also quasi unabhängig sein, nur die Clientauthentifizierung soll synchron sein.

 

 

 

Das funktioniert im Active Directory out-of-the-Box.

 

Ja, die Windows-Dömäne in Standort A soll heißen firma.de, in Standort B stadt.firma.de.

Oder stadt1.firma.de und stadt2.firma.de. Da bin ich noch unsicher. firma.de ist auch die registrierte Internet-Domain.

Im ersten Posting schreibst Du 'eine' Domain. Das ist auch sinnvoller als 2 Domains zu erstellen. Du brauchst für jede Domain zwei Domaincontroller, wenn es eine Domain ist, reichen 2 DC insgesamt.

Link to comment

Ok, ich glaube ich denke zu kompliziert. (Bisher Linux und einzel-DC )

 

Auf einem Physikalischen Server läuft ein Windows 2012. Als DC, Fileserver, SQL-Server

 

DC A == Server 2012 als DC, Fileserver, SQL-Server

 

DC B == Server 2012 als DC, Fileserver, SQL-Server

 

DC A <---VPN---> DC B

 

|-----------------------------|

Als ganzes Domain firma.de

 

 

In der Domain lege ich User1-A an. User1-A loggt sich ein und installiert SoftwareX die auf den SQL in A zugreift.

 

In der Domain lege ich User1-B an. User1-B loggt sich ein und installiert SoftwareY die auf den SQL in B zugreift.

 

Das User1 zwei Profile hat ist unwichtig.

 

User1 muss, je nach login, mal die eine, mal die andere Software benutzen können.

 

Das ganze gilt für User1 bis User15.

 

Ich habe grad etwas über den RODC gefunden. Da an Standort B quasi keine IT ist, könnte dort statt eines DC ein RODC laufen? Sonst ändert sich ja nichts.

Link to comment

Auf einem Physikalischen Server läuft ein Windows 2012. Als DC, Fileserver, SQL-Server

 

DC A == Server 2012 als DC, Fileserver, SQL-Server

 

DC B == Server 2012 als DC, Fileserver, SQL-Server

 

DC A <---VPN---> DC B

 

|-----------------------------|

Als ganzes Domain firma.de

OK.

 

 

In der Domain lege ich User1-A an. User1-A loggt sich ein und installiert SoftwareX die auf den SQL in A zugreift.

 

In der Domain lege ich User1-B an. User1-B loggt sich ein und installiert SoftwareY die auf den SQL in B zugreift.

 

Das User1 zwei Profile hat ist unwichtig.

 

Das sind zwei Benutzer.

 

 

User1 muss, je nach login, mal die eine, mal die andere Software benutzen können.

 

 

 

Er kann sie dort nutze, wo sie installiert ist.

 

Das ganze gilt für User1 bis User15.

 

Notfalls mußt Du das in Software A oder Software B passend einstellen, dass nur auf A oder B zugegriffen werden kann/darf.

 

Ich habe grad etwas über den RODC gefunden. Da an Standort B quasi keine IT ist, könnte dort statt eines DC ein RODC laufen? Sonst ändert sich ja nichts.

 

Ein RODC ist ein DC. Was genau willst Du mit einem RODC erreichen? Wie lauten die Anforderungen?

Link to comment

Das sind zwei Benutzer.

 

Ja, ich drück mich da wirklich b***d aus. Ich meint es ist egal das ein Benutzer je nach Anwendung sich mit 2 verschiedenen Logins anmeldet damit er zwei verschiedene Profile hat.

 

Jeder Standort muss zwingend ohne VPN arbeiten können. Hier auf dem Land ist ein Tag Ausfall durchaus nicht ungewöhnlich.

 

 

Ein RODC ist ein DC. Was genau willst Du mit einem RODC erreichen? Wie lauten die Anforderungen?

 

 

An Standort A wird die Verwaltung gemacht. User, DNS, etc. An Standort B muss der Server nur mit den AC Daten arbeiten.

 

Wikipedia: "Der RODC ist konzipiert, um in Einheiten mit niedriger Sicherheitsstufe (z. B. Zweigstellen, kleine Außenbüros) eingesetzt zu werden. Durch das Rollenmodell und den verringerten Administrationsaufwand gegenüber einem vollwertigen Domain Controller muss deshalb kein oder wenig IT-Know-how vor Ort gebunden werden"

 

Das klingt so als wäre es evtl. sinnvoll das an Standort B zu machen. Ich habe von RODC aber erst heute etwas gelesen...

Link to comment

Ja, ich drück mich da wirklich b***d aus. Ich meint es ist egal das ein Benutzer je nach Anwendung sich mit 2 verschiedenen Logins anmeldet damit er zwei verschiedene Profile hat.

Wenn Du mit lokalen Profile arbeitest, hast Du an jedem Rechner an dem sich Benutzer A anmeldet ein anderes Profil.

 

 

Jeder Standort muss zwingend ohne VPN arbeiten können. Hier auf dem Land ist ein Tag Ausfall durchaus nicht ungewöhnlich.

 

OK.

 

 An Standort A wird die Verwaltung gemacht. User, DNS, etc. An Standort B muss der Server nur mit den AC Daten arbeiten.

 

Wikipedia: "Der RODC ist konzipiert, um in Einheiten mit niedriger Sicherheitsstufe (z. B. Zweigstellen, kleine Außenbüros) eingesetzt zu werden. Durch das Rollenmodell und den verringerten Administrationsaufwand gegenüber einem vollwertigen Domain Controller muss deshalb kein oder wenig IT-Know-how vor Ort gebunden werden"

 

Das klingt so als wäre es evtl. sinnvoll das an Standort B zu machen. Ich habe von RODC aber erst heute etwas gelesen...

 

Jepp, das ist vermutlich schon das richtige für dich, erstell dir eine ordentlich Testumgebung auf und teste es ausführlich.

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...