none
Client-Authentifizierung in Außenstelle ohne DC RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo

    wir haben ein Windows2003-AD und zahlreiche XP-Clients. In einer speziellen Außenstelle (Anbindung 2Mbit-Leitung) haben wir 2 (StandAlone)Windows2003-ApplikationsServer und mehrere XP-Clients, in der wir jedoch den Server aus Sicherheitsgründen möglichst nicht zum DC machen möchten. 

    Frage daher: Gibt es für Windows2003-Server einen speziellen (AD)Dienst o.ä., der während einer Netzwerkstörung zur Zentrale - und damit zu den DC's - temp. dennoch eine "normale" Authentifizierung der Clients ermöglicht?

    Grüße

    Arnim

     

    Donnerstag, 10. Juni 2010 10:00
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hi Arnim
    "ITKnecht" <=?utf-8?B?SVRLbmVjaHQ=?=> schrieb im Newsbeitrag news:bbd19e1f-a67c-4286-8d6f-4f9730a334b3...

    Hallo

    wir haben ein Windows2003-AD und zahlreiche XP-Clients. In einer speziellen Außenstelle (Anbindung 2Mbit-Leitung) haben wir 2 (StandAlone)Windows2003-ApplikationsServer und mehrere XP-Clients, in der wir jedoch den Server aus Sicherheitsgründen möglichst nicht zum DC machen möchten. 

    Frage daher: Gibt es für Windows2003-Server einen speziellen (AD)Dienst o.ä., der während einer Netzwerkstörung zur Zentrale - und damit zu den DC's - temp. dennoch eine "normale" Authentifizierung der Clients ermöglicht?

    Grüße

    Arnim

    Zur Authentifizierung braucht man das AD - da führt kein Weg herum! Habt Ihr euch schonmal darüber gedanken gemacht eure DCs auf Windows 2008 zu ziehen? Dann könnten ihr mit "read only dcs" arbeiten und bräuchtet euch um die sicherheit nicht mehr so viele gedanken machen:

    http://technet.microsoft.com/en-us/library/dd734758%28WS.10%29.aspx

    Viele Grüße

    Christian  

    Donnerstag, 10. Juni 2010 11:26
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hi Arnim
    "ITKnecht" <=?utf-8?B?SVRLbmVjaHQ=?=> schrieb im Newsbeitrag news:bbd19e1f-a67c-4286-8d6f-4f9730a334b3...

    Hallo

    wir haben ein Windows2003-AD und zahlreiche XP-Clients. In einer speziellen Außenstelle (Anbindung 2Mbit-Leitung) haben wir 2 (StandAlone)Windows2003-ApplikationsServer und mehrere XP-Clients, in der wir jedoch den Server aus Sicherheitsgründen möglichst nicht zum DC machen möchten. 

    Frage daher: Gibt es für Windows2003-Server einen speziellen (AD)Dienst o.ä., der während einer Netzwerkstörung zur Zentrale - und damit zu den DC's - temp. dennoch eine "normale" Authentifizierung der Clients ermöglicht?

    Grüße

    Arnim

    Zur Authentifizierung braucht man das AD - da führt kein Weg herum! Habt Ihr euch schonmal darüber gedanken gemacht eure DCs auf Windows 2008 zu ziehen? Dann könnten ihr mit "read only dcs" arbeiten und bräuchtet euch um die sicherheit nicht mehr so viele gedanken machen:

    http://technet.microsoft.com/en-us/library/dd734758%28WS.10%29.aspx

    Viele Grüße

    Christian  

    Donnerstag, 10. Juni 2010 11:26
    |
  • Question
    Anmelden
    1
    Anmelden

    Hi,

    Am 10.06.2010 12:00, schrieb ITKnecht:

    Frage daher: Gibt es für Windows2003-Server einen speziellen
    (AD)Dienst o.ä., der während einer Netzwerkstörung zur Zentrale - und
    damit zu den DC's - temp. dennoch eine "normale" Authentifizierung
    der Clients ermöglicht?

    Ja. Nennt sich Active Directory und wird von einem DC bereitgestellt ;-)

    USer die sich schon mal angemeldet haben können sich ohne Probleme
    anmelden, da sie wie auch die Notebooks Cached Credentials verwenden.

    Neue Anmeldungen sind nicht möglich.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    Discuss :    www.freelists.org/list/gpupdate

    Donnerstag, 10. Juni 2010 12:02
    |
  • Question
    Anmelden
    1
    Anmelden
    Howdie!
     
    Am 10.06.2010 12:00, schrieb ITKnecht:
    > Frage daher: Gibt es für Windows2003-Server einen speziellen (AD)Dienst
    > o.ä., der während einer Netzwerkstörung zur Zentrale - und damit zu den
    > DC's - temp. dennoch eine "normale" Authentifizierung der Clients
    > ermöglicht?
     
    Um einen zusätlichen DC wirst du dann nicht herum kommen. Wie Mark schon
    schrieb, gibt es zwischengespeicherte Anmeldungen auf den Rechnern,
    sodass ein Anmelden am _lokalen_ Rechner möglich ist - damit lassen sich
    die Applikationsserver nicht nutzen.
     
    Von daher würde mir überlegen, einen zusätzlichen DC oder besser: RODC
    (Read-Only Domain Controller) in den Standort zu stellen.
     
    Cheers,
    Florian
     
    Microsoft MVP - Group Policy (http://www.frickelsoft.net/blog)
    Samstag, 12. Juni 2010 13:16
    |
  • Question
    Anmelden
    1
    Anmelden

    Aloha,

    > ...oder besser: RODC (Read-Only Domain Controller) in den Standort zu stellen.
    das wäre in der Tat die bessere Vorgehensweise. Zu Mal die Wahl ohnehin zum RODC fallen sollte, wenn der DC vor Ort nicht "sicher" steht!
    Aber dazu muss zuerst die Domäne auf Windows Server 2008 oder Windows Server 2008 R2 aktualisiert werden und mindestens ein 2008/2008 R2 RWDC muss in der Domäne existieren.
    [LDAP://Yusufs.Directory.Blog/ - Read-Only Domain Controller (RODC)]
    http://blog.dikmenoglu.de/ReadOnly+Domain+Controller+RODC.aspx
    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Samstag, 12. Juni 2010 22:31
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Aloha,

    Aber dazu muss zuerst die Domäne auf Windows Server 2008 oder Windows Server 2008 R2 aktualisiert werden und mindestens ein 2008/2008 R2 RWDC muss in der Domäne existieren.
    [LDAP://Yusufs.Directory.Blog/ - Read-Only Domain Controller (RODC)]
    http://blog.dikmenoglu.de/ReadOnly+Domain+Controller+RODC.aspx


    2003er Funktionsebene für Domäne und Gesamtstruktur reicht.

    Viele Grüße

    Frank

    -- Frank Röder MVP Directory Services blog.iteach-online.de --
    Montag, 14. Juni 2010 10:57
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi Frank,
     

    Aloha,

    Aber dazu muss zuerst die Domäne auf Windows Server 2008 oder Windows Server 2008 R2 aktualisiert werden und mindestens ein 2008/2008 R2 RWDC muss in der Domäne existieren.
    [LDAP://Yusufs.Directory.Blog/ - Read-Only Domain Controller (RODC)]
    http://blog.dikmenoglu.de/ReadOnly+Domain+Controller+RODC.aspx


    2003er Funktionsebene für Domäne und Gesamtstruktur reicht.

    ...aber 2008 ist besser, da sicherer ;-) http://technet.microsoft.com/de-de/library/cc753223%28WS.10%29.aspx

    Viele Grüße
    Christian

    Montag, 14. Juni 2010 11:26
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Christian,

    darum ging es mit nicht. Es ging mir nur um die Tatsache, dass ich einen RODC auch in einer 2003er Funktionsebene betreiben kann solange ich mindestens einen 2008 beschreibbaren DC habe.

    Grüße

    Frank

    -- Frank Röder MVP Directory Services blog.iteach-online.de --
    Montag, 14. Juni 2010 12:02
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    > 2003er Funktionsebene für Domäne und Gesamtstruktur reicht.

    na na Herr Kollege, bitte genau lesen. ;-Þ
    Damit ein RODC eingesetzt werden kann, muss mindestens *ein* Windows Server 2008/2008 R2 RWDC existieren.
    Da der OP eine "Windows Server 2003" Domäne hat, muss also zuerst die Domäne auf "Windows Server 2008/2008 R2" aktualisiert werden,
    damit der erste Windows Server 2008/2008 R2 DC zur Domäne hinzugefügt werden kann.

    Da steht nirgends das der --> Domänen- oder Gesamtstrukturfunktionsmodus <-- auf "Windows Server 2008" (oder höher) sein muss. ;-)

    Die Details sind ja in meinem Link aufgeführt.

    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Montag, 14. Juni 2010 12:52
    |
    Moderator