Sziasztok!
Már áttúrtam az összes releváns Microsoft oldalt a témában, köztük ezeket:
https://social.technet.microsoft.com/wiki/contents/articles/34981.activ…
https://serverfault.com/questions/76715/windows-active-directory-naming…
Tegyük fel van egy domain nevem, legyen ez: CEGNEV.HU
A Microsoft ajánlásai, és a bevett szokások miatt szeretném ha a belső domain név ennek egy aldomain-je lenne. Ezt kb. így szoktam megoldani: AD domain név: iroda.cegdomain.hu ; NETBIOS név: IRODA. A felhasználók IRODA\loginnev formával lépnek be. Eddig oké. Jelen esetben az a csavar, hogy szabad-e olyat csinálni, hogy az aldomain megegyezik a domain névvel, azaz:
AD domain név = CEGNEV.CEGNEV.HU
Így nem lenne "disjoint namespace". A kérdésem: ez egy valid megoldás? Abban biztos vagyok hogy Samba AD esetén ilyet nem szabad csinálni, de nem vagyok teljesen biztos benne hogy tisztán Microsoft Active Directory esetén mi a helyzet. A tartalék megoldásom az lenne, hogy az AD domain név pl. AD.CEGNEV.HU lenne, de a létrehozáskor a NETBIOS neve CEGNEV lenne. A lényeg az lenne, hogy a felhasználók belépéskor a CEGNEV\loginnev (vagy majd a megfelelő UPN-el) tudjanak bejelentkezni. Annyi még, hogy ezt a domain-t szeretném Azure AD Sync-el felszinkronizálni az Azure-ba, hogy az Exchange Online postafiókokat és az Office licenceket hozzájuk rendelhessem.
Köszönöm előre is a nálam tájékozottabbak hozzászólását.
- 748 megtekintés
Hozzászólások
Röviden: Ne csináld.
Kicsit bővebben: A Windowsban vannak elcseszett dolgok. Egyik ilyen a Netbios, amitől még a mai napig nem szabadultunk meg. Mivel a Windows számtalan helyen használja a Netbios domain nevet, ezért könnyen előfordulhat, hogy a rendszer mélyén belezavarodik a nevekbe. Aztán lehet debugolni, support ticketet nyitni MS felé.
- A hozzászóláshoz be kell jelentkezni
Oké. A disjointed namespace is ennyire para (lásd a nyitó hozzászólásomban: "tartalék megoldás")?
Azaz: a domain lenne pl. ad.cegnev.hu , a NETBIOS neve ennek AD helyett CEGNEV lenne. A felhasználók alapértelmezett UPN-je ekkor ilyen lenne: usernev@ad.cegnev.hu , de felvenném UPN suffix-nek a cegnev.hu-t, így a login nevük így nézhetne ki:
- CEGNEV\usernev
- usernev@cegnev.hu
Ez így valid?
- A hozzászóláshoz be kell jelentkezni
Igen, a disjointed namespace is gond.
Lásd például: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/di…
Netbios név <!> AD domain név <!> DNS domain név
DNS suffix <!> UPN suffix
Ezeknek valamennyire szinkronban kell lenniük. Ha az UPN suffixot átírod cegnev.hu-ra, az nem tanácsos. Hiszen a cegnev.hu egy DNS domain névtér, nem pedig Windows AD névtér - még ha be is állíthatod UPN suffixként. Csak nehezíti az üzemeltetést, hibakeresést.
Pl: A usernev@cegnev.hu jelentheti egyfelől az AD usert, jelentheti a levelezési fiókot is. Feltéve, hogy nincs Exchange a képben.
Ha csak tesztelsz, akkor kipróbálhatod, hogy mi történik / nem történik ebben a felállásban.
Azt elárulod, hogy mi az alapprobléma, ami miatt a klasszikus megoldás (Microsoft ajánlás) nem működik?
- A hozzászóláshoz be kell jelentkezni
Igazából az egész el van cseszve már csak azért is, mert a Microsoft is össze-vissza használja az email és felhasználó név fogalmakat (oda is emailt ír sokszor, ahova felhasználó kell u@d formában).
- A hozzászóláshoz be kell jelentkezni
Pont ezért kell végiggondolni, hogy mit, hol és mire használunk. Akár a jövőben is.
Egy rossz UPN suffix, kicsit más DNS suffix, aztán jöhet a fejvakarás.
- A hozzászóláshoz be kell jelentkezni
A legjobb cél az, ha a @-os felhasználónév ugyanaz, mint az email. Viszont a cégnév.hu szerintem nem szerencsés tartománynévnek azon egyszerű okból kifolyólag, hogy a cégnév.hu A rekordok tartományvezérlőkre mutatnak. Ez szintén egy hatalmas tervezési probléma Microsoft részéről. Az szintén nem célszerű opció, ha nem érvényes TLD alatt van a tartomány (pl. .local). Innentől kezdve disjoint az egyedüli megoldás (@ utáni címen jó eséllyel lehet például weboldal).
Engem érdekelne, hogy disjoint névtérrel valakinek volt-e már szívása.
- A hozzászóláshoz be kell jelentkezni
Úgy tudom jópár éve már az a mikroszoftos mondás, h. egyezzen az AD névtér a DNS (publikus) névtérrel. A .local helyett pl. interneten is érvényes domain nevet használni.
Hálistennek ez pont szembement azzal, amit előtte 10 évig javasoltak és millió helyen meg így is implementálták.
- A hozzászóláshoz be kell jelentkezni
Sehol nem írtam, hogy .local-t kellene használni, pont azt írtam, hogy nem célszerű. (bár nem tagadom, régen sajnos én is csináltam ilyet)
Konkrétan például vSphere alatt is agymenésnek tartom a vsphere.local-t, vsphere.cegnev.hu-t szoktunk megadni.
- A hozzászóláshoz be kell jelentkezni
Sziasztok! Köszönöm a válaszokat.
Persze, semmi titok: a felhasználók felé szeretnék egyszerűsíteni. Képzeld el hogy van egy brand név, legyen ez a "cegnev". Van egy regisztrált domain neve, a "cegnev.hu". Itt a cegnev.hu és a www.cegnev.hu egy publikus, független webszerverre mutatnak, ezen fut a weboldaluk. Ettől független lenne a belső hálózat.
A feladat: létrehozni egy active directory domain-t a cég egyik telephelyén, és ezt összekapcsolni Azure AD Sync-el Azure-al, mert Exchange Online-t szeretnénk használni, és 365 Business előfizetéseket.
A probléma: ha pl. a domain nevünk "ad.cegnev.hu" lesz, akkor a felhasználók user neve alapértelmezetten ez lenne: "user@ad.cegnev.hu" , továbbá a "klasszikus" login neve ez: "AD\user". Ez a gond. Ezt nem fogják érteni. Oké, első lépésben szépen felveszem a felső szintű domain nevüket mint UPN suffix (az Online Exchange alatt is, bár az Azuire AD Sync lehet össze is szinkronizálja majd), így a felhasználó már be tud lépni a "user@cegnev.hu" formával. Ez a cél. Aztán ugyanezzel be tud lépni a webes Outlook felületre, mindenhova. Ez eddig oké. De mi lesz a "klasszikus" login névvel? Amikor a tartományt létrehozom, felajánlja hogy az AD domain NETBIOS neve eltérjen a DNS nevének első elemétől, azaz lehetne pl. CEGNEV, így a klasszikus belépés a gépekre működhetne így: CEGNEV\user. Ha jól értem ez így már disjointed namespace, vagy ez még nem? A DNS suffix így maradna "ad.cegnev.hu", és a DNS-t is természetesen az AD-ba integrált DNS szerver vinné. Igazából ez a része érdekelne nagyon, hogy 1: szabad-e ezt az AD rövid nevet (NetBIOS nevet) lecserélni olyanra ami része a felette lévő tartománynak, és 2: ez így disjointed namespace, vagy nem? Az 1-es kérdés amiatt birizgálja a fantáziám, mert abban biztos vagyok hogy pl. a Samba AD nem enged ilyet, oka biztos van...
Összességében: technikailag meg kellene felelni az ajánlásoknak, de a felhasználóknak is. Nekik elég macera beadni azt, hogy "AD\user" névvel lépj be. Nem érti mi az az "AD". Ha az a "CEGNEV", akkor már érti.
- A hozzászóláshoz be kell jelentkezni
Lásd alább, hogy miként használjuk több helyen, talán ~5 éve. Samba-t nem használunk, arról nem tudok nyilatkozni.
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/di…
A disjoint namespace occurs when one or more domain member computers have a primary Domain Name Service (DNS) suffix that does not match the DNS name of the Active Directory domain of which the computers are members.
Webszerver: hiába független, valószínűleg azért belülről is el akarják majd érni a weboldalukat (a www előtag kezd kevésbé divatos lenni, így cegnev.hu cím lehet az elsődleges, az oldalak sokszor erre a formára irányítják a látogatót), ha a cegnev.hu rekordok a tartományvezérlőre mutatnak, akkor nem fogják látni. Persze lehet mindenféle NAT-okat csinálni, de szerintem ez gusztustalan irány.
- A hozzászóláshoz be kell jelentkezni
Szia!
A disjoint namespace occurs when one or more domain member computers have a primary Domain Name Service (DNS) suffix that does not match the DNS name of the Active Directory domain of which the computers are members.
Ilyen szerintem nálam jelen esetben nem lesz. Mindenki az "ad.cegnev.hu" alatt lenne. Annyi, hogy felvenném a "cegnev.hu"-t mint UPN suffix, és amikor a felhasználót felveszem, ezt rendelem hozzá.
Így, a "cegnev.hu" zóna nem is szerepel a helyi DNS-ben, az megy tovább az alapértelmezett DNS forwarder-ekre, így a weboldalakat www-vel és anélkül is el fogják érni a hálózatból. Stimmel, ugye?
- A hozzászóláshoz be kell jelentkezni
Nekünk nincs problémánk ad.cegnev.hu felállással, Azure AD is működik. UPN úgy van beállítva, hogy user@cegnev.hu, működi, ahogy írod.
Tény, hogy itt-ott kell ezt-azt állítgatni, de sokkal kevésbé rossz, mint mikor a cegnev.hu-n nem lehet webszervert futtatni, akár belsőleg értelmezhetetlen.
Még nem futottunk bele problémába, több cégnél is használjuk, bár tény, hogy nem feltétlenül bonyolult környezetek.
- A hozzászóláshoz be kell jelentkezni
Szia! Oké, értem, de mi a helyzet az AD domain rövid nevével? Azt meghagytátok alapértelmezetten, lecseréltétek másra? A felhasználók milyen formájú login névvel lépnek be a gépükre?
- A hozzászóláshoz be kell jelentkezni
A tartomány ad.cegnev.hu. A Netbios név CEGNEV.
GipszJ felhasználó alkalmazástól függően GipszJ@cegnev.hu-t vagy cegnev\GipszJ-t. Email címe tipikusan gipsz.jakab@cegnev.hu. Valószínűleg jobb lenne gipsz.jakab felhasználónévnek, de most már megszokták, tudják, hogy a Microsoftos bejelentkezésbe GipszJ@-ot kell írni.
Ez helyi AD + Azure AD Sync, M365 levelezéssel működik. Van, ahol olyan csavar is van, hogy email címek @marketingnev.hu formátumúak, ehhez a proxyAddress attribútumot kell beállítani.
Emlékeim szerint hirtelen alapvetően 3 dologra kell figyelni:
- felhasználónál be legyen állítva AD-ban, hogy @cegnev.hu legyen
- gépeket nem ad.cegnev.hu, hanem cegnev.hu alá vesszük fel
- ahol kell, ott proxyAddresses beállítás
Még nem szaladtunk bele problémába.
- A hozzászóláshoz be kell jelentkezni
Ezt tervezem én is. Így:
Domain DNS név: ad.cegnev.hu
Domain NetBIOS név: CEGNEV
Primary DNS suffix: ad.cegnev.hu
Felhasználónevek: vezeteknev.keresztnev
Beállított UPN suffix: cegnev.hu
UPN így: vezeteknev.keresztnev@cegnev.hu
gépeket nem ad.cegnev.hu, hanem cegnev.hu alá vesszük fel
Ezt a részét nem értem. Ha a tartomány az ad.cegnev.hu, akkor hogyan veszed fel a cegnev.hu alá?
- A hozzászóláshoz be kell jelentkezni
A számítógép elnevezésnél fel lehet hozni egy ablakot, ahol be tudod jelölni, hogy mi a DNS tartomány és hogy eltér az AD-tól. Ez a disjoint namespace. Nekem szimpatikusabb a notebook001.cegnev.hu, mint a notebook001.ad.cegnev.hu, mivel a gép neve inkább a DNS rendszerhez tartozik, mint az AD-hoz, ami logikailag is másik névtér, csak mellékesen a DNS-ben is szerepel, hogy a tartományvezérlőket fel lehessen oldani. De ezen biztos hosszan lehet filozofálni.
- A hozzászóláshoz be kell jelentkezni
Először is hadd köszönjem meg, hogy segítesz ezt a felállást tisztába tenni nekem.
Számomra nem probléma az, ha a gépek DNS suffix-e az "ad.cegnev.hu" lesz. Sőt, az én szememnek még szebb is így. Nem vagyunk egyformák. :) Ha ezt alapértelmezetten hagyom akkor nem lesz disjointed namespace, annak összes hátrányától megszabadulok. Kérdés innentől igazából három maradt, csak egyértelműsíteni:
- Nem lesz abból gond, ha a tartomány létrehozásakor a NetBIOS név CEGNEV lesz akkor, ha a tartomány teljes domain neve "ad.cegnev.hu" lesz? Azaz nem hagyom az alapértelmezett "AD"-n, hanem "CEGNEV"-re módosítom?
- Ha hozzáadom az UPN suffix-ek közé a "cegnev.hu"-t, és az egyes felhasználók létrehozásánál is ezt választom ki, akkor az a felhasználó be tud lépni a "user@cegnev.hu" formával, és a "CEGNEV\user" formával is a gépére?
- Működni fog az Azure AD Sync és az Exchange Online a "user@cegnev.hu" felhasználónevekkel?
Ha ez a három teljesül, akkor részemről megkaptam a válaszokat.
Hálásan köszönöm a segítséget!
- A hozzászóláshoz be kell jelentkezni
1: így használjuk, működik, nem lesz gond (Samba kapcsán nem tudok nyilatkozni)
2: igen
3: igen
- A hozzászóláshoz be kell jelentkezni
Köszönöm szépen!
(A Samba nem lényeg, nem keverem ide. Csak onnan rémlett egy ilyen limitáció.)
- A hozzászóláshoz be kell jelentkezni