none
Trust vs. Site Connectivity RRS feed

  • Frage

  • Wertes Technet-Forum,

    Ich habe ein etwas kniffligeres Problem und werde aus der MS-Doku nicht ganz schlau.

    Folgende Situation:

    Firma A: Mehrere Standorte, eine Forest mit einer Domain ( firmaA.local )

    Firma B: Ident Firma A, ebenfalls mehrere Standorte, ein Forest mit einer Domain (FirmaB.local)

    Firma A und Firma B sollen einen Domaintrust eingehen.

    Nun kommt das große ABER:

    Es können Netzwerkseitig nur die Hauptstandorte miteinander reden, der Trust soll auch nur dort zur Verfügung stehen (selective Authentication).

    Es kommt z.b. der DC der Firma A in den USA nicht auf den DC der Firma B in China, wohl aber mit der Zentrale der Firma B - es sollen also alle Authentifizierungen über die zentrale durchgeführt werden.

    Ehrlich gesagt habe ich auf die schnelle keine Idee wie das zu lösen ist, vielleicht ist jemand hier in der selben Zwickmühle?


    • Bearbeitet VenoX_SCE Montag, 13. Mai 2019 13:15 genauere Beschreibung
    Montag, 13. Mai 2019 12:35

Antworten

Alle Antworten

  • Moin, wie alles im AD, was mit Netzwerk-Topologie zu tun hat, regelst Du das über Sites & Services. Es müssen halt die IP-Bereiche des Fremden Forests AD-Sites zugewiesen werden. Wenn beide Forests weit verzweigt sind, ist es mit etwas Arbeit verbunden, aber PowerShell erleichtert sie ja ganz erheblich...

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 13. Mai 2019 15:51
  • Danke für die Antwort - 

    d.h. in der Praxis:

    Ich lege die Sitenamen und Netze aus Domain A in Domain B an und umgekehrt, dann weise ich den Sites jeweils die zentralen DCs zu.

    Soweit, so gut.

    Wie sieht dass dann DNS seitig aus, wenn ich auf \\domain.local\netlogon zugreife zieht ja zuerst DNS, und dann kanns mir ja passieren dass er einen DC hernimmt den er nicht erreicht?

    herzliche Grüße

    Dienstag, 14. Mai 2019 11:39
  • Wie sieht dass dann DNS seitig aus, wenn ich auf \\domain.local\netlogon zugreife zieht ja zuerst DNS, und dann kanns mir ja passieren dass er einen DC hernimmt den er nicht erreicht?


    Nein, das ist ja DFS-N, und dieses ist site-aware. Auch im DNS sind die Sites ja schon bekannt.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 15. Mai 2019 07:22
  • Super, das hat mir geholfen zu verstehen. Ich werde mich in der Testumgebung umsehen und rückmelden.

    beste Grüße

    Mittwoch, 15. Mai 2019 17:48