none
Domini Trust e SSo RRS feed

  • Domanda

  • Buon giorno

    Non mi è ben chiara una cosa e non ho trovato risposte soddisfacenti.

    la situazione è un classico: azienda con una sede centrale e una sede periferica, due domini distinti, Server 2012R2.

    la sede centrale ha in AD tutti gli utenti dell'azienda; si decide di trustare la sede periferica in modo che i suoi utenti si autentichino nel dominio periferico tramite l'AD centrale. Fin qui non ci sono problemi.

    Un guasto tecnico interrompe fisicamente i collegamenti tra le due sedi: cosa succede?

    - gli utenti della sede periferica non riescono più ad accedere a nulla (mi pare francamente impossibile, però...)

    - gli utenti accedono ancora alle risorse locali.

    Io mi aspetterei che in qualche modo (con qualche meccanismo di caching) gli utenti della sede periferica possano comunque a loggarsi e a lavorare e che solo eventuali nuovi utenti, mancando fisicamente il trust, non potranno ovviamente farlo.

    Se esiste, come viene implementato questo meccanismo? Links, docs, books al riguardo?

    martedì 13 gennaio 2015 14:08

Risposte

  • Ciao, il trust permette l'accesso alle risorse remote ma non influisce sull'accesso delle risorse locali al quale l'utente esegue il login. Non è chiaro quando scrivi "Io mi aspetterei..." se per "lavorare" intendi sulle risorse locali o remote (che essendo off-line non sarebbero raggiungibili).

    Dai una lettura alla seguente documentazione http://technet.microsoft.com/it-it/library/cc731404.aspx

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    martedì 13 gennaio 2015 14:36
    Moderatore

  • Se il dominio B non è stato ancora implementato forse la soluzione migliore potrebbe essere quella di aggiungere un site al dominio esistente. In questo modo avresti risorse condivise e replicate. Ovviamente se la soluzione si può implementare a livello di società, non certo informatico.



    visto che gli utenti del dominio B sono un sottoinsieme di quelli del dominio A ritengo preferibile che ci siano due domini distinti A e B e che venga creata una relazione di trust unidirezionale solo tra B e A ma non viceversa.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    • Contrassegnato come risposta Maria Atanassova mercoledì 28 gennaio 2015 09:21
    mercoledì 21 gennaio 2015 09:59
    Moderatore

Tutte le risposte

  • Ciao, il trust permette l'accesso alle risorse remote ma non influisce sull'accesso delle risorse locali al quale l'utente esegue il login. Non è chiaro quando scrivi "Io mi aspetterei..." se per "lavorare" intendi sulle risorse locali o remote (che essendo off-line non sarebbero raggiungibili).

    Dai una lettura alla seguente documentazione http://technet.microsoft.com/it-it/library/cc731404.aspx

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    martedì 13 gennaio 2015 14:36
    Moderatore
  • Come già detto da NinoRCTN il trust permette solo di garantire l'accesso alle risorse di un dominio differente. Quindi quando una delle due sedi sarà offline non potranno ovviamente autenticarsi gli utenti presenti nel dominio in trust e non sarà possibile inoltre accedere alle sue risorse in quanto non è presente alcun meccanismo di replica, tuttavia tutte le funzionalità del dominio locale saranno mantenute. Se il tuo scopo è quello di garantire un failover nel caso di interruzione del collegamento ti consiglio di unificare direttamente il dominio (ovviamente se compatibile con la struttura aziendale) e di implementare un DFS con replica. Magari se la sede remota non ha un ambiente controllato puoi anche pensare di distribuire un solo controller di dominio in sola lettura.



    martedì 13 gennaio 2015 17:51
    Moderatore
  • Hmmm, grazie a tutti per le risposte ma probabilmente non mi sono spiegato bene, cerco di schematizzare:

    Piattaforma 2012R2

    - Esiste un dominio A con qualche migliaio di utenti

    - Nasce l'esigenza di creare in un'altra sede un secondo dominio B al quale deve accedere un sottoinsieme degli utenti del dominio A (svariate centinaia); se ho capito bene ci sono essenzialmente due modi per farlo:

    1- Lasciare due domini separati e indipendenti ridefinendo in B l'intero sottoinsieme di utenti che vi devono accedere già definiti in A, -sconsigliatissimo-

    2 - Stabilire un trust tra i domini in modo tale che gli utenti che lavorano in B vi si autenticano tramite A: in B *non* vengono tendenzialmente definiti manualmente utenti locali. Sembra funzionare ma...

    La soluzione 2 sarebbe ideale, non fosse per l'affidabilità: se il collegamento fisico tra A e B cade, il dominio B a quanto ho capito diventa totalmente inaccessibile (se non per eventuali utenti definiti localmente in B). Se le cose stanno così 2 non è una soluzione proponibile; mi chiedo se esiste un qualche modo per implementare un sistema di caching in B in modo da garantire comunque un accesso agli utenti già "conosciuti", o una soluzione diversa che comunque riesca a sfruttare la struttura AD di A per loggarsi in B in modo affidabile.

    Spero d'essere stato più chiaro

    Grazie

    P.



    mercoledì 21 gennaio 2015 09:37
  • Forse c'è qualche cosa da chiarire nel paragrafo "La soluzione 2 sarebbe ideale, non fosse per l'affidabilità: se il collegamento fisico tra A e B cade, il dominio B a quanto ho capito diventa totalmente inaccessibile (se non per eventuali utenti definiti localmente in B). Se le cose stanno così 2 non è una soluzione proponibile; mi chiedo se esiste un qualche modo per implementare un sistema di caching in B in modo da garantire comunque un accesso agli utenti già "conosciuti", o una soluzione diversa che comunque riesca a sfruttare la struttura AD di A per loggarsi in B in modo affidabile.".

    - Gli utenti del dominio A, che ha una relazione di trust con il dominio B, potranno accedere alle risorse di B solo se esiste una connessione tra A e B (in parole povere se funziona internet)

    - Gli utenti del dominio B, essendo locali potranno sempre accedere al proprio dominio in quanto locali. Stessa cosa dicasi per gli utenti del dominio A nel rispettivo dominio.

    Se il dominio B non è stato ancora implementato forse la soluzione migliore potrebbe essere quella di aggiungere un site al dominio esistente. In questo modo avresti risorse condivise e replicate. Ovviamente se la soluzione si può implementare a livello di società, non certo informatico.

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.


    mercoledì 21 gennaio 2015 09:46
    Moderatore

  • Se il dominio B non è stato ancora implementato forse la soluzione migliore potrebbe essere quella di aggiungere un site al dominio esistente. In questo modo avresti risorse condivise e replicate. Ovviamente se la soluzione si può implementare a livello di società, non certo informatico.



    visto che gli utenti del dominio B sono un sottoinsieme di quelli del dominio A ritengo preferibile che ci siano due domini distinti A e B e che venga creata una relazione di trust unidirezionale solo tra B e A ma non viceversa.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    • Contrassegnato come risposta Maria Atanassova mercoledì 28 gennaio 2015 09:21
    mercoledì 21 gennaio 2015 09:59
    Moderatore
  • Ciao Pizpot_Gargravarr,

    Ad oggi il tuo quesito nel Forum di  Windows Server è ancora aperto per noi.

    Se i consigli ricevuti ti sono stati utili, ricorda di evidenziare la soluzione cliccando su "Segna come Risposta". Se invece hai trovato un'altra soluzione nel frattempo, ti saremmo grati di condividerla anche qui, a beneficio degli altri utenti che seguono il thread.

    Grazie


    • Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è e non comporta alcuna responsabilità da parte dell’azienda.

    lunedì 26 gennaio 2015 09:29