none
Active Directory - replikace

    Dotaz

  • Potřebuji replikovat z jednoho AD do druhého pouze některé organizační jednotky a některé skupiny uživatelů. Doposud jsem se setkával pouze s replikací celé domény, takže nevím zda je to vůbec možné. Pokud ano, tak jak?

    Díky za každý námět!
    Salty and chilled, but always coded!
    středa 2. září 2009 11:14

Odpovědi

  • Takže nakonec jsme zvolili řešení "interní" AD a "externí" AD, kde budeme pomocí IIFP synchronizovat pouze zvolené skupiny a jejich uživatele.

    Díky za pomoc!
    Salty and chilled, but always coded!
    • Označen jako odpověď SaltFish čtvrtek 3. září 2009 11:30
    čtvrtek 3. září 2009 11:29

Všechny reakce

  • co presne je jedno a druhe AD? myslis domenove radice (napr. radic na pobocce)?

    MP
    středa 2. září 2009 11:45
    Vlastník
  • Situace je taková, že ve firme pouzivaji AD. Teď si implementují novou aplikaci, která bude přístupná "zvenku" přes web server. Tato nová aplikace bude také využívat AD pro ověřování přístupů a práv. Pro tyto účely ale chtějí samostatný LDAP server. Protože do aplikace budou mít přístup i uživatelé "zevnitř" firmy, byla idea, že by se ve stávajícím AD vytvořila skupina uživatelů s přístupem k aplikaci a tato skupina se replikovala do nového AD.
    Salty and chilled, but always coded!
    středa 2. září 2009 12:05
  • LDAP server je mysleno standarni LDAP ktery je soucasti domenovych radicu nebo se jedna o LDAP server 3. strany? Proc ma byt samostatny? Nestacila by (napr.) na aplikacnim serveru ktery by tedy logicky musel byt radicem domeny read-only replika AD?

    Zkus popsat ceho chces dosahnout a pripadne proc je nutne pouzit ten ci onen postup.

    MP
    středa 2. září 2009 12:13
    Vlastník
  • Ve hře je v podstatě jakákoliv varianta LDAP serveru.
    Architektura je taková, že aplikační server bude přistupovat k samostatnému LDAP serveru a ověřovat uživatele "zvenčí" i "zevnitř". Nechtěli jsme na tomto serveru držet data všech uživatelů ze stávajícího AD, protože do nové aplikace bude mít přístup pouze jejich zlomek, ale právě zajistit synchronizaci pouze členů konkrétní skupiny z AD. Jednou z uvažovaných možností bylo využít OpenLDAP a pro synchronizaci produkt SimpleSync nebo ADSynch Light. Ale ještě se zamýšlíme právě nad použitím dalšího AD.

    VH
    Salty and chilled, but always coded!
    středa 2. září 2009 13:02
  • Opravdu bude k overovani pouzit LDAP a ne (beznejsi) Kerberos?

    MP
    středa 2. září 2009 13:42
    Vlastník
  • Takže nakonec jsme zvolili řešení "interní" AD a "externí" AD, kde budeme pomocí IIFP synchronizovat pouze zvolené skupiny a jejich uživatele.

    Díky za pomoc!
    Salty and chilled, but always coded!
    • Označen jako odpověď SaltFish čtvrtek 3. září 2009 11:30
    čtvrtek 3. září 2009 11:29