Domainien liittäminen

[Devili80]

Terve

Onko kenelläkään kokemusta Domainien liittämisestä yhteen ?
Tiedän että tuo vaatii Lan to Lan VPN-yhteyden ja Domain Forest trustin, jolla windows ympäristö liitetään yhteen. Mutta miten on tuon reitityksen laita ? Tarkoituksena olisi siis että toisen firman domain controller toimisi omanaan, sillä olisi oma ip (eri kuin firman jonne tuo tehdään).

Vaatiiko se oman VLANin ja muutoksia reitittimiin ja palomuuriin ?
Osaako kukaan sanoa, miten tuo kannattaisi tehdä ?

 

[vellu]

mikä on tarve? palvelut toimivat samoilla tunnuksilla domainien välillä?

 

[Devili80]

mikä on tarve? palvelut toimivat samoilla tunnuksilla domainien välillä?

Jep. Eli Molempien domainien palvelut toimivat samoilla tunnuksilla ja pystytää kummasta domainista tahansa määrittämään käyttöoikeuksia AD:n kautta.
Lähinnä tuo reititys mietityttää, eli pitäisikö toiselle domainille tehdä kytkimeen VLAN ja reititys tapahtuisi sitten yrityksen lähiverkon ja VLAN välillä.
Siloinhan nuo olisivat periaatteessa "samassa verkossa". Siihen sitten tekisi VPN-tunnelin toiselle puolelle suomea olevaan toimistoon.

Löydätkö tuosta mitään sudenkuoppia ?

 

[vellu]

jos palvelut on vain toisessa domainissa ja käyttäjiä molemmissa, niin myös yhdensuuntainen luottosuhde voi riittää. Esim. palvelinverkot voi toimipisteestä huolimatta kuulua samaan VLAN:iin kunhan kytkimet siitä tietävät. Eri VLAN:lla voidaan rajata liikennettä, mutta tässä taidetaan olla samassa verkkoalueessa?

 

[Devili80]

jos palvelut on vain toisessa domainissa ja käyttäjiä molemmissa, niin myös yhdensuuntainen luottosuhde voi riittää. Esim. palvelinverkot voi toimipisteestä huolimatta kuulua samaan VLAN:iin kunhan kytkimet siitä tietävät. Eri VLAN:lla voidaan rajata liikennettä, mutta tässä taidetaan olla samassa verkkoalueessa?

Kuvio on kokonaisuudessaan sellainen, että toista domainia käyttävä yritys haluaa oman AD:n samoihin tiloihin kuin yritys jossa itse työskentelen. He haluatvat samalla yhden palvelimen toimimaan omassa verkossaan. Vaatimuksena on myös se että yrityksen domain ja tämän toisen yrityksen domian voisivat luottamussuhteella keskustella keskenään, ja määritellä toinen toistensa käyttäjiä eri palveluihin AD:n avulla. Tästä johtuen mietin tuota VLAN-kuviota, että olisiko hyvä luoda oma VLAN-verkko tuolle liitettävälle yritykselle, sillä jos heille asenetaan AD, niin he käyttäisivät omaa dhcp,DNS jne palveluita.

 

[vellu]

Kyllä ne yleensä kannattaa erotella verkkotasollakin, jos toiselta yritykseltä löytyy ylläpitäjiä. Yhden organisaation malleissa nuo domainit yleensä vaan vähenee yhdistymisien myötä, kun ei niillä saavuteta merkittäviä hyötyjä tuotannossa vaan päinvastoin.

 

[Obi-Lan]

Jos käyttäjä joka on domain-a:ssa, kirjautuu koneelle joka on domain-b:ssä, kone hakee ensin käyttäjää domain-b:stä, joka referoi domain-a:han ja koneen pitää päästä juttelemaan suoraan domain-a domain controllerille, jotta voi validoida käyttäjän. Sama jos jos käyttäjä joka on domain-a:ssa haluaa päästä verkkojakoon joka on domain-b:ssä, koneen pitää käytännössä päästä juttelemaan molemmille domain controllereille jotta homma toimii.

Se mitä verkon pitää mahdollistaa on se, että domain controllereilla on toimiva verkkoyhteys toisiinsa sekä molempien verkkojen työasemilla on yhteys molempiin domain controllereihin. Jos domain-a on VLAN 10:ssä ja domain-b VLAN 20:ssä, pitää molempien VLANien gatewayllä olla reitti tiedossa toiseen VLANiin ja liikenne sallittuna.

Nykyään trustit ja alidomainit koetaan nykyään aika raskaiksi ja kömpelöiksi ratkaisuiksi eikä niitä käytetä ellei ole joku erityisen hyvä syy.

 

[Devili80]

Jos käyttäjä joka on domain-a:ssa, kirjautuu koneelle joka on domain-b:ssä, kone hakee ensin käyttäjää domain-b:stä, joka referoi domain-a:han ja koneen pitää päästä juttelemaan suoraan domain-a domain controllerille, jotta voi validoida käyttäjän. Sama jos jos käyttäjä joka on domain-a:ssa haluaa päästä verkkojakoon joka on domain-b:ssä, koneen pitää käytännössä päästä juttelemaan molemmille domain controllereille jotta homma toimii.

Se mitä verkon pitää mahdollistaa on se, että domain controllereilla on toimiva verkkoyhteys toisiinsa sekä molempien verkkojen työasemilla on yhteys molempiin domain controllereihin. Jos domain-a on VLAN 10:ssä ja domain-b VLAN 20:ssä, pitää molempien VLANien gatewayllä olla reitti tiedossa toiseen VLANiin ja liikenne sallittuna.

Nykyään trustit ja alidomainit koetaan nykyään aika raskaiksi ja kömpelöiksi ratkaisuiksi eikä niitä käytetä ellei ole joku erityisen hyvä syy.

Tässä tapauksessa kyseessä on tytäryhtiö, joka haluaa oman domainin ja palvelimen emoyhtiön verkkoon. Tytäryhtiö on yrityskaupan myötä tullut osaksi emoyhtiötä, joten heillä on oma it-infra. Tästä syytä tuo domainien välinen trust tuntuu helpoimmalta toteuttaa. En ole vielä itse Domain Controlleria asentanut, vaan lähinnä verkkoyhteyksiä. Päässyt tilanteeseen, josssa luotu VLAN pystyy kommunikoimaan emoyhtiön sisäverkossa, mutta yhteyttä ulkoverkkoon (internet) ei vielä ole.

Olen tässä koettanut päästä kärryille, miten Ciscon ASA5510 konffataan niin, että liikenne VLANista liikkuu internetiin ja takaisin. Minulla kun ei ole aikaisempaa kokemusta Ciscon muureista, fortigate ja juniper vähän tutumpia. Meinaisn GUI:lla tehdä, kun komentorivinäpertely on niin pikkutarkkaa puuhaa.

Ehdotuksia tai kokemuksia kenelläkään ?