Fileserver für mehrere AD's

Hallo,

ein Kunde von uns hat mehrere Windows Domänen für seine Kunden im Einsatz. Jeder Server läuft bei ihm im RZ.
Nun gibt es eine Websoftware, die zentralen Fileserver für die Ablage, in welchem die User mit ihrem Windows AD Login und Kennwort vom dazugehörigen AD Server zugreifen und Daten speichern können.

Dieser Fileserver soll ein UCS-Server werden, wenn er die Anforderung erfüllen kann.

Ich stelle mir das so vor:
Er gleicht die verschiedenen AD-Domänen ab, sodass sich die User dort anmelden können und speichert die Daten über verschiedene ID-Mapping-Bereiche ab, sodass immer klar ist, welchem User/Gruppe aus welcher Domäne die Datei gehört.

Können wir das mit UCS lösen?

LG,
Roland.

Moin,

jein. Es gibt momentan zwei große Probleme beim AD-Connector, die den Einsatz mit multiplen Windows-AD-Domänen erschweren:

[ol][li]Wird eine bidirektionale Synchronisation eingesetzt, so werden alle im UCS vorhandenen Accounts an alle AD-Server synchronisiert. Da auch jeder einzelne AD-Server in Richtung UCS synchronisiert wird, wird damit de facto erreicht, dass alle AD-Server die gleichen Benutzeraccounts enthalten. Das ist meistens nicht das, was man will. Evtl. kann man das verhindern, indem man jede Instanz des AD-Connectors so konfiguriert, dass sie einen eigenen LDAP-Teilbaum für Benutzer und Gruppen nutzt. Das habe ich allerdings noch nicht ausprobiert.[/li]
[li]Benutzeraccounts im UCS müssen einen global eindeutigen Loginnamen haben. Wenn also zwei verschiedene AD-Domänen User mit demselben Login beinhalten, so überschreiben die sich im UCS gegenseitig.[/li][/ol]

Mein Wissen hierzu stammt aus Tests von vor ca. 1,5 Jahren für einen Kunden. Natürlich ist es möglich, dass sich hier einiges getan hat. Sie sollten auf jeden Fall zuerst eine brauchbare Testumgebung mit mindestens zwei Windows-AD-Domänen aufbauen, die Sie guten Gewissens auch schrotten können.

Gruß,
mosu