Benutzerimport mit mehreren Domänencontrollern und AD Domänen

[hrx]

Hallo in die Runde!

Wir setzen NSP seit mehreren Jahren für unsere Kunden in verschiedenen, teilweise komplexeren AD Umgebungen ein. Die Unternehmensbenutzer holen wir dabei meistens über intervall-gesteuerte Importe "rein".

Nun haben wir eine etwas speziellere Konstellation; diese arbeitet mit mehreren Active Directory Domänen, dadurch auch mit verschiedenen Domänencontrollern. Aus allen diesen Domänen importiert ein einzelnes NSP Deployment die relevanten Nutzer.

Wir können aufgrund der Topologie der AD's in der Serverauswahl des jeweiligen Benutzerimportes nur die dritte Option "Nutze einen bestimmten Domänen-Controller" verwenden. Hier kann wiederum einen Wert angegeben werden. Wir möchten jedoch gerne erreichen, dass alle zuständigen Domänencontroller der jeweiligen Domain für die Synchronisation herangezogen werden können.

Den Weg, einfach nur den FQDN der Domäne (also z.b. ad.firma.local) als Servername einzutragen, ist hier nicht gangbar, da die DCs per LDAP/S angesprochen werden und in ihren Zertifikaten diesen Namen nicht führen, die Validierung des Zertifikates würde dann scheitern.


Hättet Ihr Lösungsansätze für das o.g. Szenario ?


Vielen Dank!

 

[869288141]

Hallo @hrx,

Wir möchten jedoch gerne erreichen, dass alle zuständigen Domänencontroller der jeweiligen Domain für die Synchronisation herangezogen werden können.

was spricht gegen die Verwendung des Global Catalog?

Den Weg, einfach nur den FQDN der Domäne (also z.b. ad.firma.local) als Servername einzutragen, ist hier nicht gangbar, da die DCs per LDAP/S angesprochen werden und in ihren Zertifikaten diesen Namen nicht führen, die Validierung des Zertifikates würde dann scheitern.

Alternativ kommen für mich zwei Ansätze in Frage:

• Einrichtung eines Services hinter einem Load Balancer, über den die Domain Controller angesprochen werden.
• Implementierung eines OpenLDAP-Proxys, der als Vermittler fungiert und zusätzlich die Möglichkeit bietet, ein Caching zu konfigurieren.

Gruß,
Daniel

 

[StefanCink]

Die Idee mit dem GC hatte ich auch, könnte mir aber vorstellen, dass es daran scheitert, dass die Intranet Rolle kein Domain-Mitglied des entsprechenden Forrests ist. Das ist Grundvoraussetzung dafür.
Gruß Stefan

 

[869288141]

Hallo Stefan,
der Forest spielt eigentlich keine Rolle. Du kannst in einem Forest mehrere Domains habe. Jede Domain hat ihre Domain Controllers. Und in der Regel hast du auf mindestens einem DCs der jeweiligen Global Catalog installiert. Somit stehen die Daten übergreifend in jeder Domain zur Verfügung. Unabhängig davon in welcher Domain der Server der Intranetrolle Mitglied ist.


Gruß,
Daniel

 

[StefanCink]

Soweit so klar. Mein Punkt ist die verpflichtende Mitgliedschaft des Servers mit der Intranet Rolle in einer Domain des Forrests. Den GC können wir nur in diesem Fall herausfinden und ansprechen. Wenn der Server mit der IR nicht domain-joined ist, können wir das AD nicht per GC abfragen und damit immer nur die Daten einer Domain.
Gruß Stefan

 

[869288141]

Hallo Stefan,

Wenn der Server mit der IR nicht domain-joined ist, können wir das AD nicht per GC abfragen und damit immer nur die Daten einer Domain.

Prüft die Intranet-Rolle also gezielt, ob das Ziel ein DC oder ein GC ist? Standardmäßig kann man sich ja mit den Zugangsdaten (AD Konto) über LDAP/S problemlos an beiden anmelden.


Gruß,
Daniel

 

[StefanCink]

Hallo Daniel,
wenn die Intranet Rolle, bzw. der Server auf dem sie läuft, nicht Domain-Joined ist, wird die Option "Global Catalog" bei der Einrichtung des Userimports nicht angeboten.
Gruß Stefan