Thread Rating:
  • 0 Vote(s) - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Frage zu Domain anbindung die nicht dauerhaft erreichbar ist
#1
Hallo,

ich habe mal eine Frage zur Domain Anbindung.
Folgendes Szenario läuft aktuell bei uns recht gut. ( Ich hoffe ich hole nicht zu weit aus)

Unsere Eigene Domain ist per Serviceuser in ASG verdrahtet (Einstellungen - Umgebung - Domänen). Ergo können Problemlos User importiert werden die über die AD Zugriff auf ASG haben.
Bei den Verbindungen haben wir grob gesagt mehrere Kunden Domains. Die Computer Objekte werden über einen Active Directoy Sync je Kunde reingeholt.
Da die Kundendomains alle einen Trust haben ist es bisher ohne Probleme möglich von einem Management Server aus mittels einem einzelnen Serviceuser (der Lese Rechte in jeder Domain hat) 
die Informationen stündlich zu aktualisieren.

Nun möchten wir aber eine Domain hinzufügen die A. Keinen Trust hat und B. Nur bestimmte Mitarbeiter können über eine Firewall Freigabe auf die Maschinen zugreifen.

Die Frage die ich gerne vorher stellen würde wären:

1. Wenn ich den Serviceuser hinzufüge und z.B. über keine Firewall frei Schaltung verfüge lädt sich die Benutzer Verwaltung nen Wolf wenn die Domain Controller nicht erreichbar sind.
Ist es überhaupt notwendig den Server User in ASG für diese Domain zu hinterlegen oder würde für das reine Syncen der Computer Objekte über Aufgabenplanung ausreichen ?
Weil ich gerade gedanklich nicht mitkomme wie sonst der User schreibrechte innerhalb von ASG hat ganz zu schweigen von schreibrechten auf die SQL Datenbank dahinter.

2. Wenn 1. zu Problemen führt. Wäre es dann rein theoretisch machbar in der Zieldomain ein Stand Alone ASG laufen zu lassen was regelmäßige CSV Exporte erstellt die ich auf meiner Seite aus wieder Importiere ?
Oder wäre das keine Gute Idee ?

Sorry wenn das Rooky fragen seien sollten. Da ich das ganze Thema hier nur so aus dem Stehgreif am rennen halte habe ich immer ein wenig angst irgendwas zu zerschießen. 
Es arbeiten hier verdammt viele fast ausschließlich über ASG um alle Kunden zu erreichen.

edit: Frage 3: die mir gerade kommt. Da ich aktuell aufgrund der Vielzahl einfach alles in einem Rutsch Sync. Gibt es irgendwelche Probleme, wenn in der Langen Liste der zu Syncen Verzeichnisse das nicht erreichbare mit synce ? Überschreibt sich irgendwas, wenn ich das tue ? Weil soweit ich weis gibt es doch kein "exclude ID" oder ? Ich würde ungern für eine Einzelne Domain jetzt die aufgaben Planung umbauen und alle IDs einzeln Syncen. Das wäre bei Mehreren Dutzen Kunden einiges an Arbeit und nachkontrolle.
Nevermind die Frage hat sich mir selbst geklärt.

gruß Nachtschatten
Reply
#2
zu 1. So richtig verstehen tue ich es nicht - welcher User wie und wo hinzugefügt werden müsste?!? Untrusted Domains können in den Einstellungen hinterlegt werden - aber klar, wenn diese dann nicht erreichbar sind, kommt es zu entsprechenden Meldungen

zu 2. die Idee könnte in dem Szenario von Vorteil sein, es gäbe wahrscheinlich am wenigsten Einfluss auf bestehende User und Import/Export könnten automatisiert werden...

zu 3. ExcludeIds sind ab Version 2021 verfügbar!
Regards/Gruss
Oliver
Reply
#3
Also zu 1. nochmal neu und geordnet.
Unter "Einstellungen - Umgebung - Domänen" kann man die Domains eintragen korrekt. Hier ist auch klar das eine entsprechende Timeout Meldung kommt.

Worum es mir eigentlich ging ist folgendes:
Wenn ich in der Aufgabenplanung eine Aufgabe baue mit dem Befehl -> "C:\Program Files (x86)\ASG-Remote Desktop 2019\ASGRD.exe" [...] /syncaction:AD /syncid:all
Dann wird doch beim abrufen der Informationen der User genutzt der in diesem Moment die Aufgabe ausführt. Korrekt ?
Oder würde hier der User genutzt werden der unter "Einstellungen - Umgebung - Domänen" hinterlegt ist ?

Je nach Situation wäre es dann für mich interessant den User der Untrusted Domain aus dem Menü "Einstellungen - Umgebung - Domänen" rauszuwerfen. (Man bekommt nicht mehr ständig den Timeout und User aus der Domain arbeiten ehh nicht über ASG)
Und würde alles weitere einfach über eine weitere Aufgabe in der Aufgabenplanung regeln wo ich dann einen Passenden User inkl. passender Firewall Freischaltung angebe.

Ich hoffe es ist jetzt klarer worauf meine Frage abzielte.

Gruß Nachtschatten
Reply
#4
Also beim AD-Sync kann ja ein Benutzer angegeben werden, der für den LDAP-Zugriff verwendet wird - das hat also nichts mit dem User zu tun, der sich anmeldet oder mit dem das Programm gestartet wird - die Untrusted Domains sind vor allem für den "Browse-Dialog" - damit man überhaupt Zugriff auf die entsprechende Domain hat, das sie angezeigt wird...
Beim AD-Sync sollte das aber auch unabhängig funktionieren - man kann die OU ja auch komplett als Freitext eintragen, dafür müsste auch keine untrustedDomain eingetragen sein - einfach mal einen Test-Folder anlegen und probieren, es sollte funktionieren!
Regards/Gruss
Oliver
Reply




Users browsing this thread: 1 Guest(s)