Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 5156 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ist es Möglich mehrere DC's für SSO zu hinterlegen (Ausfallsicherheit)?

A-Team_01
Hallo,

wie schon beschrieben, suche ich eine Möglichkeit mehrere Domänen Controller für SSO zu hinterlegen um die ganze Geschichte ein wenig Ausfallsicher zu machen.
Wenn man SSO einrichtet (Benutzer --> Authentifizierung --> Single-Sign-On) sind ja Felder für "Domäne", "Server" sowie "Admin-Benutzername" und "Kennwort" ("und "Wiederholen") vorgegeben. Fülle ich alle  Felder aus (hinterlege also auch einen Domänen Controller) funktioniert das Single-Sign-On sauber und Status bei SSO ist, dass die Astaro einer Domäne beigetreten ist.

Laut Astaro-Doku lässt sich das jedoch umgehen (siehe Anhang), wenn man keinen Server bzw. das "Server:"-Feld frei lässt. Dann würde die Astaro einfach die Server nehmen die sie über DNS findet. Das funktioniert jedoch leider nicht. 
Wenn ich das Feld "Server:" freilasse, kann ich die Astaro nicht mehr in die Domäne nehmen.

Wo müssen die Server denn über DNS zu finden sein? Müssen vielleicht statische Einträge dafür nochmal auf der Astaro gemacht werden?
Das habe ich jedoch auch schon - ohne Erfolg - ausprobiert.

Hat da jemand eine Idee bzw. ist mein Vorhaben eigtl. so umsetzbar? 
Es ist ja ansich bei SSO schon sinnvoll eine Ausfallsicherheit zu haben und es bietet sich ja auch an wenn man mehrere DC's "besitzt"/verwendet.

Vielen Dank für Eure Hilfe!!!!!

MfG
Das A-Team


This thread was automatically locked due to age.
  • 0
    Hallo

    Bei uns funktioniert das ohne Servereintrag. Auf der Astaro ist eine DNS-Weiterleitung auf die internen DNS-Server/Domänencontroller eingerichtet, vielleicht hängt es ja daran.

    MfG
    Stefan
  • 0 in reply to Stefan73
    Moin,

    meinst du das was unter Netzwerkdienste --> DNS --> Weiterleitung eingetragen werden muss? Da sind bereits unsere internen DC's und DNS-Server eingetragen.

    MfG

    Das A-Team
  • 0 in reply to Stefan73
    Mist - dann muss der Wurm ja noch irgendwo anders drin sein.
  • 0
    (Sorry, I can't get my German-speaking brain to work.)

    A-Team, if you already have joined the Astaro to your domain, you cannot rejoin the domain until after you delete all traces of the Astaro from the AD.  As Stefan said, you could have joined with no server indicated, but I don't think it makes a difference now.  As a member of the domain, the Astaro will receive AD services from the self-replicating AD servers - Astaro will experience the same Ausfallsicherheit as the other member devices in the domain.

    Did I understand your question?

    MfG - Bob (Auf Deutsch weiterhin, bitte.)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Also wenn ich das richtige verstehe willst du damit sagen, dass ich die Astaro nicht aus der Domäne nehmen kann wenn das Computer Konto dort schon existiert oder die Astaro einmal in der Domäne war?!
    An sich sollte nach deiner Aussage die Astaro aber auch alle "Services" (also Dienste) von der AD bekommen wie andere User/Computerkonten auch (im Bezug auf Ausfallsicherheit) die auch in der Domäne sind.

    Fakt ist aber, dass der Domänen Controller der derzeit bei Single-Sign-On auf der Astaro hinterlegt ist in der letzten Zeit einmal down war und sich dann keine User mehr via SSO authentifizieren konnten bzw. kein User konnte ins Internet über die Astaro.
  • 0
    Ggf funktioniert eine Availibility Group an der Stelle.

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0 in reply to maygyver
    Moin,

    du meinst einen zusammenschluss aller Domänen Controller zu einer "Rechner-Gruppe", "DNS-Gruppe" oder ähnlichem? Wenn ja, dass habe ich schon probiert - es lassen sich keine Gruppe in das Server-Feld bei SSO "hineinziehen" bzw. einfügen.
  • 0 in reply to A-Team_01
    Moin

    Das geht definitiv ohne Servereintrag, man kann die Astaro auch jederzeit neu in die Domäne aufnehmen, im Zweifelsfall halt das alte Konto vorher löschen.

    MfG
    Stefan
  • 0 in reply to Stefan73
    Hm,

    mit V7 hat es funktioniert. Leider mit V8 nicht mehr.
    Hast du für deine interne AD Domäne das request routing eingestellt?

    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

Cookie Information Banner