none
Aufbau eines Forest und Vertrauensstellungen RRS feed

  • Allgemeine Diskussion

  • Hallo,

    wir bauen gerade eine Menge von Arbeitsgruppen, welche zusammen in VPN-Netzen miteinander verknüpft sind in Domänen um. Dabei fangen wir mit den Untersten Ebenen an (ist logistisch anders nicht möglich). Wir haben die erste Arbeitsgruppe gegen eine Domäne ausgetauscht und alles verlief bisher recht fehlerfrei. Jetzt bauen wir gerade die Zweite dazu.

    Jetzt stellt sich mir folgende Frage: "Wenn wir diese Domäne aufgesetzt haben, können wir ja eine Vertrauensstellung zwischen den beiden Domänen erzeugen. Wenn aber später die übergeordneten Domänen dazukommen. Müssen wir die Vertrauensstellungen wieder löschen bevor wir beide Domänen einhängen und durch den Tree/Forest verknüpfen oder können wir diese dann ganz simpel bestehen lassen ohne Probleme?"

    Jemand nen Gedanken dazu für mich?

    Dienstag, 12. Januar 2016 10:26

Alle Antworten

  • Hi,
     
    Am 12.01.2016 um 11:26 schrieb Marcel Gpunkt:
    > [...] Wenn aber später die übergeordneten Domänen dazukommen.
     
    Es gibt in deinem AD Layout keine "Übergeordneten"
    Du baust soeben jede Domäne als eigenständigen Forest auf. Sie stehen
    alle auf derselben hirarchischen Ebene.
     
    Das Layout lässt sich nachträglich nicht mehr ändern. Wenn du eine
    Hirarchie mit gemeinsam genutzen Daten und Ressourcen haben möchtest,
    dann muss zuerst muss die ROOT (höchste Ebene) erstellt werden, danach
    kommen die anderen.
     
    Lässt du es so, wie es ist, dann sind es alles komplett eigentständige
    Domänen, die sich keinerlei Daten teilen, sondern sich u.U nur vertrauen.
     
    Der Vorteil eines GesamtKonstrukts sind gemeinsam genutzte Daten, zB
    Zertifikatsdienste/Vorlagen für alle bereitstellen oder
    Gruppenrichtlinien für Standorte, oder Exchange oder oder oder
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Dienstag, 12. Januar 2016 10:44
  • Ich habe die Domäne schon als Subdomain angelegt, nur dass der DC halt noch keinen Kontakt zur Headdomain hatte (existiert ja noch nicht). Namen entsprechend verteilt, etc. (Subdomain.Tree.Forest.DE) und bei der Installation der Rolle gesagt, er wäre Teil einer Gesamtstruktur. Es kam zwar die Meldung dass er die anderen DCs nicht sehen kann, sonst funktioniert aber alles. DHCP und DNS, etc. ist sowieso auf jedem gesondert installiert und müssen halt nur richtig repliziert werden, sofern vorhanden.

    Oder habe ich da jetzt etwas grundlegendes falsch verstanden?

    Dienstag, 12. Januar 2016 12:07
  • Am 12.01.2016 schrieb Marcel Gpunkt:
    Moin,

    Ich habe die Domäne schon als Subdomain angelegt, nur dass der DC halt noch keinen Kontakt zur Headdomain hatte (existiert ja noch nicht).

    Ja genau. Du hast einen alleinstehenden Forest im selben Namespace als Subdomain angelegt. Das hat genau nichts mit einem Forest zu tun, denn hinterher hast du jede Menge Forests, die du maximal mittels external Trust (oder Foresttrusts) verbinden könntest.

    Oder habe ich da jetzt etwas grundlegendes falsch verstanden?

    Davon würde ich ganz stark ausgehen.

    Bye
    Norbert


    Dilbert's words of wisdom #32:
    If it wasn't for the last minute, nothing would get done.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Dienstag, 12. Januar 2016 13:04
  • Hi,
     
    Am 12.01.2016 um 13:07 schrieb Marcel Gpunkt:
    > Ich habe die Domäne schon als Subdomain angelegt, nur dass der DC
    > halt noch keinen Kontakt zur Headdomain hatte[...] und bei der
    > Installation der Rolle gesagt, er wäre Teil einer Gesamtstruktur.
     
    Nein, es sind immer noch Root Domains, die einen "Subdomain DNS Namen"
    haben.
    Ich wusste nicht mal, daß man trotz des fehlers weiter installieren
    kann, aber das, was du wahrscheinlich willst, wird damit nicht gehen.
     
    Sie werden sich hinterher keine gemeinsamen ConfigPartition teilen.
    Natürlich können die Systeme hinterher miteinander kommunizieren, aber
    du hast keine gemeinsamen Daten Basis mit demselben Enterprise Admin,
    mit denselben Zertifikattemplates etc.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Dienstag, 12. Januar 2016 13:13
  • Am 12.01.2016 schrieb Mark Heitbrink [MVP]:
    Hi,

    Sie werden sich hinterher keine gemeinsamen ConfigPartition teilen.
    Natürlich können die Systeme hinterher miteinander kommunizieren, aber
    du hast keine gemeinsamen Daten Basis mit demselben Enterprise Admin,
    mit denselben Zertifikattemplates etc.

    und kein gemeinsames Schema. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #04:
    There are very few personal problems that cannot be solved by a suitable application of high explosives.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Dienstag, 12. Januar 2016 13:18
  • Hallo Marcel Gpunkt,

    sind Sie inzwischen weitergekommen?  

    Wenn Sie eine Lösung gefunden haben, bitte teilen Sie sie der Community mit, sodass auch andere Benutzer als der Fragesteller davon profitieren können. Wenn diese Tipps Ihnen geholfen haben, markieren Sie bitte die entsprechenden Beiträge, die zur Lösung geführt haben, als Antworten.  

    Bitte beachten Sie, dass ich wegen keiner weiteren Aktivitäten das Thema als Diskussion verschieben werde.

    Gruß

    Michaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Freitag, 29. Januar 2016 10:56
    Moderator