Hallo,
unsere Organisation hat bereits einen AD (W2k12) und ein funktionierendes DNS System. Kann ich (zum testen) eine parallele AD Struktur mit UCS aufbauen, die unabhängig vom bestehenden AD funktioniert? Das bestehende DNS soll nicht verändert werden. Wie sähe dann eine valide Domain aus? Kann ich alle außer die für den AD benötigten den SRV Records forwarden (die Clients verwenden dann UCS als DNS Server)? Dann wäre der UCS AD DNS nicht mehr “authoritative”…
Gruß,
Marvin
Moin,
Univention bietet mehrere Modelle und Möglichkeiten an, wie UCS und Windows-AD zusammenarbeiten können. In kurzen Sätzen zusammengefasst:
[ol][li]AD-Takeover. Hier wird der UCS-Server nach Installation in die Windows-AD-Domäne gejoint. Anschließend werden alle BenutzerInnen, Gruppen und Computeraccounts mit Hilfe des Univention AD-Connectors einmalig übernommen. Darauffolgend werden die Windows-AD-Server heruntergefahren und der UCS-AD-Server zum DC hochgestuft. Damit sind die Windows-AD-Server draußen, dieselbe Domäne bleibt aber bestehen, wird nun von UCS betrieben.
[/li]
[li]UCS als Mitgliedsserver im AD. Hier kommt der Univention AD-Connector zur ständigen Synchronisation zum Einsatz. UCS joint die Windows-AD-Domäne als Server und synchronisiert über den AD-Connector die BenutzerInnen, Gruppen und Computeraccounts. Beide Systeme arbeiten gleichzeitig, in derselben AD-Domäne, wodurch ein Betrieb von Linux-Anwendungen ermöglicht/erleichtert wird. Das UCS-System arbeitet dabei aber als reiner AD-Memberserver, nicht als AD-DC.
[/li]
[li]UCS baut eine eigene AD-Domäne auf. Hier wird UCS mit einem anderen Domänennamen aufgesetzt, als die existierende Windows-AD-Domäne nutzt. Beide Domänen arbeiten parallel und vollkommen unabhängig voneinander.[/li][/ol]
Univention unterstützt nicht den gleichzeitigen Betrieb von Windows-AD-DCs und Univention-AD-DCs in derselben Domäne.
Es hängt also letztlich davon ab, was Ihr Ziel ist. Soll Univention langfristig anstelle der Windows-DCs übernehmen? Dann wäre vermutlich eine Kombination aus 2 und 1 hilfreich; erst mal als Memberserver betreiben und UCS kennenlernen, anschließend neu aufsetzen/einen zweiten Server aufsetzen und das Takeover durchführen.
Gruß,
mosu
Vielen Dank für die Antwort!
[quote]
Univention unterstützt nicht den gleichzeitigen Betrieb von Windows-AD-DCs und Univention-AD-DCs in derselben Domäne.[/quote]
Das hatte ich schon befürchtet. Ist natürlich kein UCS Problem, sondern dass AD einfach alles an sich reißt. Möglich wäre vielleicht dass das UCS AD nur einen Teil des Domänenbaums (für eine kleinere Arbeitsgruppe) übernimmt: Windows AD: example.com; a.example.com; b.example.com, UCS: ucs.example.com. Dies entspräche mehr dem Typ 3, jedoch mit gemeinsamer TLD. Ist das auch “verboten”?
Vielen Dank!
Marvin
Hey,
UCS kann auch eine Vertrauensstellung mit einem (Windows-)AD eingehen, weil Samba 4 das schlicht noch nicht komplett kann.
Wenn Sie im Windows-AD einen Teilbaum einfach komplett nicht nutzen, so können Sie diesen Teilbaum sicherlich in UCS abbilden, aber ich rate davon aus Gründen der Klarheit ab. Irgendwann gibt’s einen Admin, der das vergisst und im Windows-AD den Teilbaum doch befüllt… Bin mir nicht mal sicher, ob Sie sich nicht lustige DNS-Probleme einhandeln.
Nehmen Sie lieber Domänen, die kein gemeinsames Suffix haben (z.B. yourdomain.de im Windows-AD, yourdomain.ucs im UCS).
Gruß,
mosu