Read-Only Domain-Controller

UCS - Univention Corporate Server
#1

Ich wünsche einen guten Tag!

Für eine Installation und Integration einer Remote-Server Umgebung habe ich nun folgendes Szenarion und wollte fragen ob sich der Einsatz von UCS eignen würde:

Nachfolgend EDV - EDV-Organisation beauftragt vom Kunden
Nachfolgend Kunde - Jene Firma für die ich einen Lösungsvorschlag benötige

Eine EDV-Firma betreibt in einen externen Netzwerk einen Windows-AD, welcher alle Domain-Daten vom Kunden gespeichert hat. Dieser Externe AD-DC übernimmt die Verwaltung von allen möglichen externen Programmen (Exchange, Jira, Google-Auth…)
Beim Kunden selbst befindet sich ein Remote-App Server. Da zum großteil vom Standort auf die Daten zugegriffen werden und die Internetverbindung nicht all zu Stark ist, wurde entschieden den Remote-App Server vor Ort zu betreiben.

Über eine Firewall wurde über ein VPN eingestellt, dass der Master-AD-DC als DNS server im Internen Netzwerk operiert. Somit war es möglich eine aktive Verbindung zum AD für die PCs im Netzwerk herzustellen.
Ein Vorschlag auf einen generellen umstieg zu UCS wurde nicht zugestimmt. (Problematik - Nicht-EDVler ‘kümmern’ sich um das EDV-System und wollen sich um nichts kümmern und geben alles an eine Firma weiter. UCS wurde von der Firma eher als “Experiment” betrachtet)

Ich würde nun gern UCS Lokal in der Umgebung für die Remote-App-Server nutzen:

  • UCS soll sich über ein VPN von einen Windows-AD die User kopieren. Allerdings muss das OHNE Administrator-Zugang gehen und nur “Read-Only”
  • Ich kann, wenn es sein muss manuell weitere User zu UCS hinzufügen. Diese sollen aber (wegen Read-Only) nicht am Master-AD landen

Ich habe bereits einen Test erstellt - leider kann ich einer Windows-AD nur mit Admin-Passwort beitreten.
Windows dagegen konnte ohne Probleme mit einen Nicht-Admin beitreten.

Kennt dazu wer einen Weg? Bzw ist UCS für diese Aufgabe geeignet?

Besten Dank
Grüße

#2

Hallo,

zum Thema RODC gibt es einen knappen Hinweis in http://docs.software-univention.de/windows-4.2.html#samba:doc
Die Aussage [quote=“chackl, post:1, topic:5706”]
Windows dagegen konnte ohne Probleme mit einen Nicht-Admin beitreten.
[/quote]
bräuchte eine nähere Erläuterung. Ich verstehe nicht, wie man ohne administrative Berechtigung überhaupt einer Domäne beitreten kann.

Viele Grüße,
Dirk Ahrnke

#3

Hab nochmals beim zuständigen Techniker nachgefragt und der gab mir die Auskunft, dass ich an dem Zeitpunkt des Beitritts wohl Admin-Rechte in der Domain hatte, diese dann aber wieder ausgetragen wurden.
Ich werde mit den neuen IT-Unternehmen sprechen.

Wollte doch nochmals zum grundsätzlichen Vorgang fragen, wie ich mit UCS am besten vorgehen würde:

  • Windows AD Extern
  • Es wird ein Windows AD Intern eingerichtet (Read Only wurde mir versprochen), auf diesen will ich ein UCS “Verlinken”
  • Endresultat wäre schön, dass ich die User der Domain erhalte, und selbst User über die UCS Domain hinzufügen kann, da ich weiterhin selbst die Administration der Remote-App-Server übernehme.

Besten Dank Grüße

#4

Ich habe weiterhin Schwierigkeiten, das Ziel komplett zu verstehen. Irgendwie passt aus meiner Sicht “intern” und “extern” nicht mit dem Standort des RODC zusammen. Wenn schon ein Windows-basierter RODC vorhanden ist, wozu dann noch ein UCS? Und was ist das für eine Remote-App die gegen den RODC laufen soll?

#5

Sry für die spätere Rückmeldung.

Der Haupt-Windows-Server wird von einen anderen IT unternehmen verwaltet. Und die wollen keine Admin-Rechte vergeben.
Betreffend Nicht-Admin und Beitreten - Habe erfahren, dass mein user im alten System die Berechtigung dafür hatte. Im neuen bekomme ich diese nicht.

Mein Ziel ist eigentlich: Hole die eingetragenen User und Gruppe vom Haupt-Domain Server und lege diese in einer Univention-Domain an. Die frage ist ob das überhaupt geht?

Besten Dank
Grüße CHackl

#6

Ich würde schauen, wie weit man das Problem mit dem AD-Connector lösen kann.
Aus 9.3.3.1. Grundkonfiguration des UCS AD-Connectors (Hervorherbung von mir):

Im Feld Active Directory-Konto wird der Benutzer konfiguriert, der für den Zugriff auf das AD verwendet wird. Die Einstellung wird in der Univention Configuration Registry-Variable connector/ad/ldap/binddn gespeichert. Der Replikationsbenutzer muss im AD Mitglied der Gruppe Domänen-Admins sein. Synchronisiert der Connector nur lesend von AD zu UCS, kann auch ein Standardbenutzerkonto angegeben werden.

Viele Grüße,
Dirk Ahrnke

Mastodon