W2k3 Server - AD Sync. zwischen lokaler Domäne und Webserver-Domäne

[Ruff-G 10]

Hallo,

also problem ist folgendes:

wir haben wie schon im titel beschrieben einen lokalen win2003 server mit der domäne firma.intern

die lokalen AD user einträge sollen mit dem AD vom webserver synchronisiert werden.

Was genau ist dafür nötig?

soweit wir wissen müssen sich von der FQDN her beide im selben forest befinden sprich beide müssen die selbe top level domäne besitzen.

das problem ist halt das es die firma.intern domäne global ja gar nicht gibt....

und der webserver eine .org domäne als FQDN hat.

die frage ist jetzt wenn wir auf dem webserver ein AD installieren mit ebenfalls einer .intern domäne, gibt es dann nicht die möglichkeit mit einem speziellen host oder dns eintrag dieses problem zu lösen so das sie sich erkennen?

beide server, lokal wie auch der webserver haben eine feste internet ip adresse!

 

wäre jemand auch bereit über icq oder skype ein wenig hilfestellung zu geben. wir wären echt super dankbar und würden uns revangieren. :)

 

mfg

Ruff-G

[ChristianHemker 10]

soweit wir wissen müssen sich von der FQDN her beide im selben forest befinden sprich beide müssen die selbe top level domäne besitzen.

 

Das hat mit der Top Level Domain gar nichts zu tun. Die können auch in einem Forrest sein und völlig verschieden heißen: domain.de und hase.local können auch in einem Forrest sein.

Was genau soll denn zwischen den Domänen repliziert werden? Benutzer etc. werden nämlich auch nicht zwischen Domains in einem Forrest repliziert. Dafür hat man ja 2 Domains!

[Ruff-G 10]

es geht einfach darum das wenn lokal ein benutzer angelegt wird

soll er automatisch auch mit aktuellem password etc beim webserver AD eingetragen werden.

der grund dafür ist das wir gerne einen ms exchange 2003 lokal und im web laufen lassen würden so das sich die user lokal über ihr konto per outlook in ihren kalender/mailkonto einloggen können. sie sollten aber auch zusätzlich die möglichkeit besitzen sich beispielsweise von zuhause aus mit ihrem usernamen+persönlichem password per outlook webinterface direkt am webserver einloggen zu können um zb eventuelle terminänderungen oder neue mails zu sehen.

um das ganze zu bewerkstelligen muss aufjedenfall schon mal die userkonten vom localen server auf den webserver repliziert werden und das möglichst in einem gewissen intervall so das nach password änderung seitens des users auch beim webinterface nutzbar ist.

 

als zweiter schritt wäre es dann es hin zu bekommen das die mails die auf dem webserver liegen gleich sind wie lokal.

sprich wenn eine ungelesene mail lokal abgerufen wird und als gelesen zählt sollte sie auch auf dem webserver als gelesen zählen und andersrum.

diese synchronisierung müsste natürlich nicht in echtzeit geschehen da das viel zu traffic lastig währe aber ein intervall von ein paar min währe schon super.

[ChristianHemker 10]

der grund dafür ist das wir gerne einen ms exchange 2003 lokal

Exchange ab 2000 setzt immer eine Active Directory Domäne voraus.

[Ruff-G 10]

aus diesem grunde haben wir auch gefragt wie man sowas synchronisiert :wink2:

insgesamt haben wir uns schon an 3 boards angemeldet aber nirgends konnten sie uns helfen. zusammen haben wir auch mal ihre internet seite besucht und es scheint so als hätten sie das know how uns in diesem problemchen weiter zu helfen.

[zahni 582]

Wie wäre es mit einer Vertrauenstellung zwischen beiden Domänen ?

 

-Zahni

[Ruff-G 10]

wo muss ich den eintrag machen damit die andere domäne bei vertrauenseinstellung aufgelistet wird.

ist eine reverselookup zone zwingend notwendig für solch eine prozedur?

[ChristianHemker 10]

Reverse Lookup ist nicht zwingend notwendig.

Bei Domänen müssen untereinander aber eine vollständige DNS Namensauflösung haben. Am einfachsten mit DNS Weiterleitungen zu bewerkstelligen.

Dann mit der Konsole "Active Directory Domänen und Vertrauensverstellungen" jeweils eine eingehende und eine ausgehende Vertrauensstellung einrichten, wenn der Zugriff in beide Richtungen erfolgen soll.

Wenn man mit Exchange nur E-Mails übermitteln möchte, sind keine Vertrauensstellungen notwendig.

Man hat einfach zwei Domänen, jeweils mit einem oder mehreren Exchange Servern. Wenn man dann in beiden DNS Domänen einen passenden MX Record angelegt hat, sollten beide Exchange Server sich gegenseitig E-Mails schicken können, Namensauflösung vorausgesetzt.

[Ruff-G 10]

wenn ich das richtig verstehe setzt das aber voraus das ich auch lokal einen global registrierten domänen eintrag brauche, oder?

[ChristianHemker 10]

Was meinst du mit einem "global registrierten domänen eintrag"?

[Ruff-G 10]

das verständnis problem was die ganze zeit bei uns besteht ist das wir zum einem LAN domänen haben die frei wählbar sind und zum anderen domänen die global auf allen dns servern registriert sind. beispielsweise firma.de ist jetzt auf den webserver registriert und auflösbar. die lokale internet anbindung hat auf ihre ip aber keine domäne registriert.

die frage ist ob ich zb einen hosteintrag oder ähnliches machen muss damit der webserver die ip adresse der lokalen domäne kennt oder auf sie verweist.

[Ruff-G 10]

Das hat mit der Top Level Domain gar nichts zu tun. Die können auch in einem Forrest sein und völlig verschieden heißen: domain.de und hase.local können auch in einem Forrest sein.

Domains!

 

was müsste ich beispielsweise tun um diese beiden in einen forest zu bekommen so das beide domänen sich sehen können?

 

edit:

vielleicht gab es einige verständnissprobleme, denn wir meinten nicht die domainsynchronisation sondern die domainreplikation :)

 

ist es erforderlich für die replikation, dass bei der AD-Installation man einer untergeordneten Domänenstruktur beitreten muss oder kann man man jeweils neue Gesamtstruktur wählen?