Discussione:
autenticazione client
(troppo vecchio per rispondere)
fc
2005-10-11 07:24:02 UTC
Permalink
salve a tutti.
Ho un problema di questo tipo:

2 server in ad i client mi fanno l'autenticazione o su un domain controller
o sull'altro.

Questo non mi va bene, vorrei che si loggassero solo al gc.

Ritengo sia una cosa possibile.

PS i server montano win2000 server sp4

grazie per la collaborazione
Edoardo Benussi [MVP]
2005-10-11 08:04:03 UTC
Permalink
Post by fc
salve a tutti.
2 server in ad i client mi fanno l'autenticazione o su un domain
controller o sull'altro.
Questo non mi va bene, vorrei che si loggassero solo al gc.
Ritengo sia una cosa possibile.
no. il dc che autentica il client
è random.
ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Stefano Fio
2005-10-11 08:14:57 UTC
Permalink
Post by fc
salve a tutti.
2 server in ad i client mi fanno l'autenticazione o su un domain
controller o sull'altro.
Questo non mi va bene, vorrei che si loggassero solo al gc.
Ritengo sia una cosa possibile.
PS i server montano win2000 server sp4
grazie per la collaborazione
Se per "loggassero" intendi il riferimento ad un KDC, come ti ha detto Edo,
di default è "random" in quanto i valori di priority del record SRV relativo
al KERBEROS sono identici ( 0 ) ...indi se vuoi sbilanciare verso uno o
l'altro ti basta aumentare questo parametro ad uno dei record SRV _kerberos.

Ciao.
--
Stefano FIO
MCSE Security Windows Server NT/2K/2K3
MCT - CWNA - CCNA - CCDA
***@securityarchitect.it
www.securityarchitect.it
------------------------------------------------------------------
-This posting is provided "AS IS" with no warranties,
and confers no rights
- Le informazioni fornite in questo messaggio sono fornite
senza vincolo di garanzia e senza responsabilità alcuna
------------------------------------------------------------------
fc
2005-10-11 20:06:02 UTC
Permalink
Grazie per il suggerimento, ma il valore di kerberos lo gestisco tramite le
policy di protezione del controller di dominio?

Grazie
Post by Stefano Fio
Post by fc
salve a tutti.
2 server in ad i client mi fanno l'autenticazione o su un domain
controller o sull'altro.
Questo non mi va bene, vorrei che si loggassero solo al gc.
Ritengo sia una cosa possibile.
PS i server montano win2000 server sp4
grazie per la collaborazione
Se per "loggassero" intendi il riferimento ad un KDC, come ti ha detto Edo,
di default è "random" in quanto i valori di priority del record SRV relativo
al KERBEROS sono identici ( 0 ) ...indi se vuoi sbilanciare verso uno o
l'altro ti basta aumentare questo parametro ad uno dei record SRV _kerberos.
Ciao.
--
Stefano FIO
MCSE Security Windows Server NT/2K/2K3
MCT - CWNA - CCNA - CCDA
www.securityarchitect.it
------------------------------------------------------------------
-This posting is provided "AS IS" with no warranties,
and confers no rights
- Le informazioni fornite in questo messaggio sono fornite
senza vincolo di garanzia e senza responsabilità alcuna
------------------------------------------------------------------
Michele Betelli
2005-10-11 20:18:38 UTC
Permalink
Hello fc,
Post by fc
Grazie per il suggerimento, ma il valore di kerberos lo gestisco
tramite le policy di protezione del controller di dominio?
no, Stefano parlava dei record dns, è li che devi modificare il valore della
priorità
altro metodo è quello di dividere la struttura in subnet, in ogni subnet
ci sarà un dc
quando il client cercherà il dc per fare l'autenticazione, il dns gli risponderà
come primo dc disponibile quello della sua subnet
Post by fc
Grazie
Ciao.
--
Mitch - ***@gmail.com
WindowServer.it: la community italiana dei Sistemisti Windows
Vi aspettiamo Sabato 22 Ottobre allo SMAU di Milano
www.windowserver.it
www.microsoft.com/italy/smau/default.mspx
Stefano Fio
2005-10-12 07:39:10 UTC
Permalink
Post by Michele Betelli
Hello fc,
Post by fc
Grazie per il suggerimento, ma il valore di kerberos lo gestisco
tramite le policy di protezione del controller di dominio?
no, Stefano parlava dei record dns, è li che devi modificare il
valore della priorità
Esattamente.
Post by Michele Betelli
altro metodo è quello di dividere la struttura in subnet, in ogni subnet
ci sarà un dc
quando il client cercherà il dc per fare l'autenticazione, il dns gli
risponderà come primo dc disponibile quello della sua subnet
Questo significa mettere su due SITE... che sicuramente risponde alla
domanda, ma non è consigliabile ai fini pratici in una situazione semplice
come quella descritta, pensa ad esempio alle repliche.
Post by Michele Betelli
Post by fc
Grazie
Ciao.
Ciao Mitch :-)
--
Stefano FIO
MCSE Security Windows Server NT/2K/2K3
MCT - CWNA - CCNA - CCDA
***@securityarchitect.it
www.securityarchitect.it
------------------------------------------------------------------
-This posting is provided "AS IS" with no warranties,
and confers no rights
- Le informazioni fornite in questo messaggio sono fornite
senza vincolo di garanzia e senza responsabilità alcuna
------------------------------------------------------------------
Michele Betelli
2005-10-12 15:26:43 UTC
Permalink
Hello Stefano,
Post by Stefano Fio
Post by Michele Betelli
altro metodo è quello di dividere la struttura in subnet, in ogni subnet
ci sarà un dc
quando il client cercherà il dc per fare l'autenticazione, il dns gli
risponderà come primo dc disponibile quello della sua subnet
Questo significa mettere su due SITE... che sicuramente risponde alla
domanda, ma non è consigliabile ai fini pratici in una situazione
semplice come quella descritta, pensa ad esempio alle repliche.
certo, il mio commento era solo per completare le possibili implementazioni
per arrivare al risultato richiesto
avere delle subnet distinte con i relativi site è più indicato per sedi remote
Post by Stefano Fio
Ciao Mitch :-)
Ciao Ste ;-)
--
Mitch - ***@gmail.com
WindowServer.it: la community italiana dei Sistemisti Windows
Vi aspettiamo Sabato 22 Ottobre allo SMAU di Milano
www.windowserver.it
www.microsoft.com/italy/smau/default.msp

Continua a leggere su narkive:
Loading...