שתי שאלות על רשת win2003/2000

[ilusy]

שתי שאלות על רשת win2003/2000

שלום רב , ברשותכם יש לי שתי שאלות - 1. כאשר משתמש הנמצא בדומיין אחד מבצע Logon לדומיין אחר הנמצא ב-Forest האם השרת המטפל בבקשה זאת הינו ה-global catalog , או שמע גם dc רגיל יכול לטפל בבקשה זאת ? ( לפי מה שקראתי כל DC מכיר את הגדרות הקונפיגורציה של כל ה-forest configuration partion , אם כך האם Dc רגיל יכול לטפל בבקשה ? או שמע שוב רק ה-global catalog יכול לחבר משתמשים המבצעים Logon מדומיין אחד לדומיין אחר ? ) במידה ורק ה-global catalog יכול - אז השאלה היא למה dc המכיר את כל המבנה של ה-forest לא יכול לבצע זאת ? ומה קורה במצב שה-global לא זמין ? 2. שאלה היפוטתית - במידה ויש שני ארגונים שונים העובדים עם win2000 - לשני הארגוניים יש שני דומינים שונים שלא קשורים האחד לשני ( כלומר שני forests שונים - שכל אחד מכיל את הסכמה שלו וההגדרות שלו ). שתי שאלות בעניין - 1. האם אפשרי לחבר את שני הדומיינים הנ"ל שיהיו כביכול באותו ה-forest , ויחלקו את אותה סכמה ואותו global catalog ? 2. האם הדרך היחידה לחבר בין שני הדומיניים היא דרך domain and trusts - שם נגדיר את שמות הדומיינים + סיסמא משותפת, אבל יהיה מדובר בשני forest שונים ( שלא כוללים את אותה הסכמה ואותו global catalog )? תודה :")

 

[M o t e l]

טוב

כאשר אתה מבצע login לדומיין (שהוא trusted, כמובן) הדומיין קונטרולר המקומי מייצר עבורך ticket-granting ticket (TGT). עם זה התחנה פונה אל Key Distribution Center ומבקשת גישה למשאב כמו תיקייה משותפת. מכיוון שהמשאב לא נמצא בדומיין המקורי השרת מתשאל את ה-global catalog איפה נמצא המיקום של משאב X (איזה דומיין,למשל). אם קיים דבר כזה בעולם התחנה שלך תקבל את ההפנייה ותפנה ישירות ל-Key Distribution Center בדומיין האחר. אם אין global catalog אז אין גישה. בקשר לשאלה השנייה התשובה היא לא (רק ב-2003 יש trust בין forests). ונכון, הגדרה של trust בין דומיינים איננה מאחדת את הסכמה.

 

[ilusy]

תודה - הכוונה הייתה בביצוע Logon

תודה - הכוונה הייתה בביצוע Logon - היות וכל dc בכל ה-forest מתסנכרן ומקבל מידע של ה-configuration directory המכיל בתוכו את כל הדומיינים הנמצאים בכל ה-forest . אזי כל DC מכיר את כל ה-dc הנמצאים בכל ה-forest. כאשר משתמש מבצע logon לדומיין אחר - תחילה הוא מגיע ל-dc הנמצא בדומיין שלו (שכאמור כן מכיר את כל הדומיינים ב-forest ). מדוע אותו דומיין קונטרולר אשר מכיר את ה-dc המבוקש (אשר נמצא בדומיין אחר ), אינו יכול להפנות את המשתמש לאחד מאותם dc ? מדוע חייבת להיות התערבות על ה-global catalog בתהליך ה-logon, כאשר dc רגיל , כן מכיר את כל הדומיינים ב-forest ( ע"י סינכרון של ה- configuration partition ) תודה

 

[M o t e l]

ברמה של הדומיין, לא של ה-Forest

מחיצת ה-Configuration מכילה מידע על ה-Site וה-Services השונים, אבל השמות משוכפלים רק ברמת הדומיין. לכן, תיאורטית, כדי לבדק מה קורה בשאר ה-Forest היית צריך לבצע שאילתא ארוכה מאוד שתגזול הרבה זמן. למרבה המזל יש את ה-global catalog שמשמש כאינדקס עבור כל ה-forest.

 

[ilusy]

תודה .

 

[antidot]

תפקידי הGC

מהו למעשה GC ? ניתן לחשוב על GC כעל שירותי ספריה של כל הforest. מתפקידי הGC: 1. - לבצע resolution של UPN. לדוגמא: יש לי forest עם שני child domains: company.com child1.company.com child2.company.com לכל החשבונות בforest אני משתמש בupn suffix מהצורה: company.com ולכל משתמש (לא משנה באיזה דומיין) יש UPN מהצורה [email protected]. כאשר משתמש נכנס לרשת בעזרת UPN, רק הGC יודע לבצע מיפוי בין [email protected] (נהוג לקרוא לו explicit upn) לבין האובייקט עצמו [email protected] (די מתבקש: implicit upn שהוא שווה ערך ל Kerberos principal של החשבון ). אפילו אם Explicit UPN = Implicit UPN, יש צורך בGC שיבצע את המיפוי. בלי מעורבות של GC המשתמש פשוט לא יורשה להכנס לרשת. 2. טיפול בקבוצות אוניברסליות כאשר משתמש נכנס לרשת ומקבל את הTGT, לשדה של הKerberos ticket בשם PAC מתווספת רשימת SID-ים של קבוצות אליהן החשבון שייך. רק ה GC (!) יכול לאתר את הקבוצות האוניברסליות. דוגמא: קבוצה אוניברסלית ugTest קיימת בדומיין child1 משתמש [email protected] מבצע logon. על מנת לצרף את הSID של ugTest (שים לב שזה אובייקט לא מהדומיין של המשתמש) יש צורך לתשאל את GC הערה: ב2003 יש אפשרות לבצע universal group caching - ניתן להפעיל את האופציה על הDC-ים ואחרי שפעם אחת משתמש יכנס לרשת, הם יחזיקו עותק לוקלי של universal groups אליהן המשתמש שייך (העותק מרוענן כל כמה זמן). אתה שואל "מדוע חייבת להיות התערבות על ה-global catalog בתהליך ה-logon, כאשר dc רגיל , כן מכיר את כל הדומיינים ב-forest ". התשובה די פשוטה: הDC של child1 מכיר בעובדה שקיים child2. הוא בפירוש לא מכיר את האובייקטים הקיימים בchild2. configuration partition אינו מחזיק אובייקטים מobjectClass computer - המידע היחיד שקיים בconfiguration partition שאיכשהו יכול לתת מידע על DC-ים אלה הNTDS objects המייצגים אובייקטים של רפליקציה ולא את הDC-ים עצמם.

 

[shaharc7]

כל הכבוד על האינפורמציה הרבה ! ../images/Emo45.gif

זה בהחלט עוזר לחדד את הדברים