» »

vzpostavitev active directorya

vzpostavitev active directorya

borut10 ::

Pozdravljeni,

imam vprašanje glede vzpostavitve active directorya v podjetju?

Trenutno imamo domeno in server, na katerem so že druge stvari, pa me zanima kaj druga še potrebujemo, da bi to vzpostavili?
Cilj je, da se lahko nadzoruje uporabnike in se jim dodaja/odvzema pravice.

Lp, Borut

Poldi112 ::

Znanje?

Server predvidevam da podpira virtualizacijo? Ker je precej nehigijenično poleg domain controllerja furati še ostale nepovezane zadeve.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Zgodovina sprememb…

  • spremenil: Poldi112 ()

borut10 ::

Poldi112 je izjavil:

Znanje?

Server predvidevam da podpira virtualizacijo? Ker je precej nehigijenično poleg domain controllerja furati še ostale nepovezane zadeve.



zato se za začetek obračam na ta forum.

server podpira virtualizacijo. Trenutno imamo 3 virtualke gor.
Torej, če prav razumem, je boljše, da se domena naredi na novi virtualki?

videc ::

Poišči na netu ali pa povej, koliko plačaš.
Če že imaš domeno, potem že imaš AD.

Poldi112 ::

Verjetno je z domeno mislil, da jo je kupil pri registrarju.

Drugače pa ja, DC definitivno v svojo virtualko.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Tody ::

borut10 ::

hvala vsem za odgovore :)

McMallar ::

Priporocal bi dvoje:
1. da imas dva DC-ja zaradi redundance - naprimer patching, tezava z HW, itd.
2. da je en DC fizicen saj na njem v 99.999% primerov tece tudi DNS. Host ima lahko tezave z dostopom do dolocenih servisov na mrezi, ce DNS ne dela.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

smetko ::

Vsekakor upoštevaj nasvet @McMallar.
Strežnik za AD je lahko tudi kakšen starejši računalnik, saj ni potrebno po zelo veliki moči zanj.
Če boš delal AD v virtualki, potem pazi, da boš imel izključeno sinhronizacijo časa med Gostom in virtualnim strežnikom, saj ti to lahko v bodoče povzdoči veliko težav.
pred postavitvijo AD razmisli, če ne boš rabil tudi Active Directory Certificate Services.
No comment

SeMiNeSanja ::

Ker ni čisto jasno, kaj je mišljeno s tistim "imamo domeno in server", morda tudi nebi bilo slabo poudariti, da sama "internetna domena" (tista, ki jo registriraš in uporabljaš za mail, www,....) nima nujno kakšno vezo z AD domeno.

Nasprotno - mnogi svojo AD domeno poimenujejo z drugim imenom, najčešče je to skovanka javne (registrirane) domene in dodatka ".local". Npr. če je registrirana javna domena "JanezNovak.si", se potem za AD domeno uporabi "JanezNovak.Local". Ni ravno všečna priponka, lahko pa kasneje preprečuje kakšne težavice, ker omogoča nezmotljivo ločevanje med IP naslovi v javnem in zasebnem delu omrežja.

Seveda pa se lahko AD domena imenuje tudi popolnoma drugače od imena registrirane domene ali podjetja.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Poldi112 ::

Načeloma daš za AD domeno poddomeno svoje domene.
Domena .local se odsvetuje (iirc so težave s certifikati, pa azure).
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Zgodovina sprememb…

  • spremenil: Poldi112 ()

SeMiNeSanja ::

Poldi112 je izjavil:

Načeloma daš za AD domeno poddomeno svoje domene.
Domena .local se odsvetuje (iirc so težave s certifikati, pa azure).

Nazadnje (res že nekaj časa tega), ko sem preverjal, je MS še priporočal to .local godljo. Meni nikoli ni bila všeč in sem od nekdaj v nasprotju z priporočilom uporabljal lokacija.domena.si varianto.

Ampak vidim, da je tudi MS očitno srečala pamet in so pričeli odsvetovati uporabo .local. Cela zmešnjava....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zimonem ::

local je bila predvsem SBS varjanta, kjer je cela reč laufala v eni "hiši".

McMallar ::

.local se ne priporoca ze nekaj casa. Baje, da se sedaj priporoca .internal
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

SeMiNeSanja ::

McMallar je izjavil:

.local se ne priporoca ze nekaj casa. Baje, da se sedaj priporoca .internal

Si zmišljujejo kot mali otroci.... :|

Hec pa je, da imaš domene, ki so se skozi leta postavile s takim ali drugačnim 'priporočilom', pa se to kasneje ni nikoli več upal nihče popraviti na nova 'priporočila', ker enostavno nihče ne ve, kaj vse na mreži bi v tem primeru prenehalo delovati...
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

McMallar ::

Kje pa - domene ne gres preimenovat. Teoreticno naj bi se jo dalo ampak se MS tega ne priporoca. Forest pa kar pozabi - edina varianta je vzpostavitev novega in migracija, kar pa pocne samo nekdo, ki ima veliko prevec casa...
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

SeMiNeSanja ::

McMallar je izjavil:

Kje pa - domene ne gres preimenovat. Teoreticno naj bi se jo dalo ampak se MS tega ne priporoca. Forest pa kar pozabi - edina varianta je vzpostavitev novega in migracija, kar pa pocne samo nekdo, ki ima veliko prevec casa...

Kot rečeno - ne veš, kaj vse ti bo crknilo....in koliko nočnih mor ti bo povzročilo tako 'popravljanje' (ne glede na to, kako se ga lotiš).
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

PrimoZ_ ::

SeMiNeSanja je izjavil:

Poldi112 je izjavil:

Načeloma daš za AD domeno poddomeno svoje domene.
Domena .local se odsvetuje (iirc so težave s certifikati, pa azure).

Nazadnje (res že nekaj časa tega), ko sem preverjal, je MS še priporočal to .local godljo. Meni nikoli ni bila všeč in sem od nekdaj v nasprotju z priporočilom uporabljal lokacija.domena.si varianto.

Ampak vidim, da je tudi MS očitno srečala pamet in so pričeli odsvetovati uporabo .local. Cela zmešnjava....

Leta 2009, ko sem delal certifikacijo za server 2008, je bila .local že odsvetovana. Tako, da si kakih ducat let zadaj :)


McMallar je izjavil:

.local se ne priporoca ze nekaj casa. Baje, da se sedaj priporoca .internal

NE.

SeMiNeSanja je izjavil:

McMallar je izjavil:

.local se ne priporoca ze nekaj casa. Baje, da se sedaj priporoca .internal

Si zmišljujejo kot mali otroci.... :|

Hec pa je, da imaš domene, ki so se skozi leta postavile s takim ali drugačnim 'priporočilom', pa se to kasneje ni nikoli več upal nihče popraviti na nova 'priporočila', ker enostavno nihče ne ve, kaj vse na mreži bi v tem primeru prenehalo delovati...

Davno nekoč so bili primeri z .local, pa še to ne vem če je sploh bilo priporočilo ampak je bil samo slab primer v dokumentaciji, ki so ga vsi pograbili brez razmisleka.
Edino za kar vem, da je bilo zares svetovano je, da se za AD uporabi pod domena obstoječe internetne domene.


McMallar je izjavil:

Kje pa - domene ne gres preimenovat. Teoreticno naj bi se jo dalo ampak se MS tega ne priporoca. Forest pa kar pozabi - edina varianta je vzpostavitev novega in migracija, kar pa pocne samo nekdo, ki ima veliko prevec casa...

Been there, done that.
Večkrat.
Lahko je problem s kakim glupim naštrikanim SW-jem, sicer pa tudi Exchange preživi vso operacijo.

Pač razlika med inžinirjem, ki se je kaklil v praksi in raznimi teoretiki, ki so prebrali tutorial in nekaj slišali ...

HotBurek ::

Evo, je debata o AD že na višjem nivoju. FYI jst sem iz obdobja 2000/2003...

Veš kaj ne vem. Zakaj je že bil odsvetovan .local?


Morem pa reč glede tistega o preimenovanju domene. V teoriji prebral in naštudiral, v praksi pa nikoli izvedel. MS TAM in AD svetovalci (takrat je bil M.Ladava) so to odsvetovali in nismo tega šli delat.

Mogoče koliko je cifra server/desktop, kjer se je preimenovanje naredilo?
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

Zimonem ::

Local je bil uporabljan za single instance lan postavitev. In v takem primeru deluje povsem normalno. Ampak ker se danes se dopolnjuje z "Azure" storitvami, servisi na ms in ponavadi tudi niso vsi oddelki na enem kraju se danes uporablja pač preprosto DNS zapise in od tam naprej kaže na poddomene. Sbs so pa itak skenslali. U bistvu to niti ni ad problem ampak dns.

Zgodovina sprememb…

  • spremenilo: Zimonem ()

SeMiNeSanja ::

Na wikipediji je v .local članku zelo lepo razloženo, kako so si pri MS zmišljevali kot mali otroci.
Zapovrhu so tudi navedeni MS technote-i, ki priporočajo eno ali drugo varianto.

Problem so stari tehnični dokumenti s starimi 'priporočili', ki so še vedno dostopni in se niso revidirali oz. označili kot 'obsolete'. Tako nekdo, ki išče z google tudi danes zlahka naleti na zastarelo priporočilo.

Sicer pa se tudi jaz spomnim nekega urbanega mita o tem, da se je ta .local prikradel skozi prikaz nekega primera, kar se je pograbilo kot kvazi priporočilo, čeprav se je v resnici šlo zgolj za primer uporabe.

Drugače pa... če veš zakaj si dal tako ali drugačno ime, itak ni pomembno, kaj si je nekdo izmislil kot priporočljivo...
Se mi pa zdi, da marsikdo meni da je 'strokovnjak' zgolj zato, ker se je naučil 'mikrosoftat' po zadnji varianti 'priporočila'. Če ne ve zakaj je katera varianta bolj ali manj 'uporabna' (ne mešati z 'priporočena'!), potem niti ni tako hud 'strokovnjak', kot skuša drugim sugerirati. Jaz priznam, da nisem Microsoft 'strokovnjak', da ne stresem rešitve za vse MS probleme iz rokava - jih pa nadvse uspešno rešujem z pomočjo Googla.
Vidim pa pri strankah, kaj so jim Microsoft 'strokovnjaki' in 'inženirji' skonfigurirali. In tu pa se srečuje kar precej .local domenskih imen. My bad, če potem mislim, da je to še vedno priporočljivo.
Kot sem rekel, na lastnem omrežju sem se požvižgal na kvazi priporočila - itak izvira še iz časov, ko se je uporabljalo NetBios imena oz. se je TCP/IP šele pričel uvajati s pomočjo 3rdparty protokolskih skladov. Tako sem za domensko ime že od začetka uporabljal logiko domena.si, ki sem jo kasneje nadgradil v lokacija.domena.si, ko smo se pričeli igračkati z VPN povezavami.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zimonem ::

Iz čistega A, ki je bil bolj ali manj zaprte narave, se je stvar prelevila na hibrid AD zmešan z cloud storitvami. Načeloma se da tudi mapirat zadeve ampak... Veš namensko spisann sw se pa tudi ne popravlja na dnevni bazi.

HotBurek ::

Domena .local ni ovira za postavitev AD infrastrutkure, ki je prisotna na več lokacijah.

Torej, zakaj danes za postavitev on-site (lahko je tudi multi-site) AD domene ne bi uporabil .local?

Oz. če bi jo, kaj bi s tem izgubil v primerjavi z nekim, ki bi imel zadevo postavljeno na .com/.si domeni?
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

Zgodovina sprememb…

  • spremenilo: HotBurek ()

SeMiNeSanja ::

HotBurek je izjavil:

Domena .local ni ovira za postavitev AD infrastrutkure, ki je prisotna na več lokacijah.

Torej, zakaj danes za postavitev on-site (lahko je tudi multi-site) AD domene ne bi uporabil .local?

Oz. če bi jo, kaj bi s tem izgubil v primerjavi z nekim, ki bi imel zadevo postavljeno na .com/.si domeni?

Glavni razlog zakaj nebi uporabljal .local je v certifikatih.

Če greš kupiti domenski cert za vsako lokacijo s svojim .local, bo bistveno dražje, kot če kupiš en sam domenski cert, ki pokriva vse dodatne poddomene tipa lokacija.domena.si.
Poleg tega si tako tudi poenostaviš administracijo.

Če pa imaš samo eno lokacijo in uporabljaš self-signed certe znotraj omrežja, pa je itak vse en šmoren.

Vse ostalo pa je, kot je že nekdo zgoraj omenil stvar upravljanja DNS-a.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

HotBurek ::

To ne razumem, kje je ta relacija med TLDjem .local in certifikati?

Najprej, certifikati niso nujni za delovanje AD-ja.

Nadalje, če se AD postavlja na več lokacijah, a za eno podjetje, se uporabi zgolj ena domena. Ne več njih. Sinhronizacija med domenami se (lahko) uredi s konfiguracijo AD site-ov.

Če pa imaš samo eno lokacijo in uporabljaš self-signed certe znotraj omrežja, pa je itak vse en šmoren.

Lahko to malo bolj razložiš. Namreč ravno tako, kot si opisal, se postavlja d-best sisteme; AD integriran CA, čigar root CA je offline in self-signed.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

Zgodovina sprememb…

  • spremenilo: HotBurek ()

Zimonem ::

Local pripona se sedaj prodaja.

Ca nucaš za povezavo, v office 365 in ostale ms storitve. Dokler je zadeva lokalna se da vse mapirat potem se pa ne splača več, ker je preveč zmede.

HotBurek ::

Ok, to je potem (lahko) problem.

Npr. če bi izbral firma.TLD, kjer se TLD (še) ne da registrirat.

Ali se ne da naredit VPN tunel med on-site in azurjem, in imaš vse v privat (10, 172, 192) omrežju?

S tem da stvari (storitve, sajti), ki ji želiš imet public, pač postaviš na public DNS imena.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

Zgodovina sprememb…

  • spremenilo: HotBurek ()

Zimonem ::

Ja to se da, sam je "mutenje". Tebe avto povoz tisti, ki za tabo pride se pa po buči praska. Pol je pa še in-house sw , ki LDAP uporablja ali ne. Ali pa na pol.

McMallar ::

PrimoZ_ je izjavil:

SeMiNeSanja je izjavil:

Poldi112 je izjavil:

Načeloma daš za AD domeno poddomeno svoje domene.
Domena .local se odsvetuje (iirc so težave s certifikati, pa azure).

Nazadnje (res že nekaj časa tega), ko sem preverjal, je MS še priporočal to .local godljo. Meni nikoli ni bila všeč in sem od nekdaj v nasprotju z priporočilom uporabljal lokacija.domena.si varianto.

Ampak vidim, da je tudi MS očitno srečala pamet in so pričeli odsvetovati uporabo .local. Cela zmešnjava....

Leta 2009, ko sem delal certifikacijo za server 2008, je bila .local že odsvetovana. Tako, da si kakih ducat let zadaj :)


McMallar je izjavil:

.local se ne priporoca ze nekaj casa. Baje, da se sedaj priporoca .internal

NE.

SeMiNeSanja je izjavil:

McMallar je izjavil:

.local se ne priporoca ze nekaj casa. Baje, da se sedaj priporoca .internal

Si zmišljujejo kot mali otroci.... :|

Hec pa je, da imaš domene, ki so se skozi leta postavile s takim ali drugačnim 'priporočilom', pa se to kasneje ni nikoli več upal nihče popraviti na nova 'priporočila', ker enostavno nihče ne ve, kaj vse na mreži bi v tem primeru prenehalo delovati...

Davno nekoč so bili primeri z .local, pa še to ne vem če je sploh bilo priporočilo ampak je bil samo slab primer v dokumentaciji, ki so ga vsi pograbili brez razmisleka.
Edino za kar vem, da je bilo zares svetovano je, da se za AD uporabi pod domena obstoječe internetne domene.


McMallar je izjavil:

Kje pa - domene ne gres preimenovat. Teoreticno naj bi se jo dalo ampak se MS tega ne priporoca. Forest pa kar pozabi - edina varianta je vzpostavitev novega in migracija, kar pa pocne samo nekdo, ki ima veliko prevec casa...

Been there, done that.
Večkrat.
Lahko je problem s kakim glupim naštrikanim SW-jem, sicer pa tudi Exchange preživi vso operacijo.

Pač razlika med inžinirjem, ki se je kaklil v praksi in raznimi teoretiki, ki so prebrali tutorial in nekaj slišali ...


Kot sem rekel, domeno lahko preimenujes ampak je bilo s strani MS odsvetovano. Teorija je ena, ko pa prides v produkcijo si pa sam napisal. MS produkti naceloma njihove podprte procedure se kar dobro prenesejo ampak nobeno podjetje ni 100% MS.

Ce si pa kdaj preimenoval forest bi pa rad slisal kaj si naredil da ti je uspelo. Kar se pa teoretika tice, svoje case sta bila AD in SCCM moj kruh in mleko.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

SeMiNeSanja ::

McMallar je izjavil:

Kar se pa teoretika tice, svoje case sta bila AD in SCCM moj kruh in mleko.

Tukaj se pogovarjamo o tematiki na način, da vsak doda kar o tematiki ve.
TI pa si se odločil, da boš tematiko izkoristil, da bi se bahal?

Drugače pa tak hud stručko, ki ne zna preimenovati foresta? Ob tem, da ti Google vrže ven 4.5M zadetkov za iskalni pojem "How to rename AD fores"?

Jaz bi 2x pomislil, če sem res tako hud stručko, da si lahko privoščim druge sogovornike poniževalno imenovati "teoretike" - ne glede na to, ali znaš ali ne znaš preimenovati foresta, ne glede na to, ali sogovornik to zna ali ne zna izvesti ob pomoči Googlanja za navodili.

Če hočeš deliti svoje znanje, si dobrodošel. Če se ti pa gre za samopromocijo in pljuvanje po sogovornikih, pa raje zadrži svoje silno znanje za sebe. Tako hudo ga spet ne potrebujemo, ker smo se naučili uporabljati Googl!

In NIKOLI ne pozabi, da si tudi TI teoretik za prav VSAK poseg, katerega še nikoli nisi v praksi izvedel!

Sploh pa v taki temi, kot je ta, ko nekaj napišeš in že gledaš nazaj po napisanem, da mogoče butasto zveni, pa da pod nekim drugim aspektom sploh ne drži tako, kot si zapisal in bi moral vse skupaj drugače formulirati.... se potem preseravati in izigravati neke večvrednostne komplekse..... Kako s tem na koncu koristiš tistemu, ki je zastavil prvotno vprašanje?
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

HotBurek ::

SeMiNeSanja, smešiš se. AD ni tvoje področje. O tematiki imaš, tako iz teoretičnega kot praktičnega pogleda, manj izkušenj, kot bahač McMallar.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

SeMiNeSanja ::

HotBurek je izjavil:

SeMiNeSanja, smešiš se. AD ni tvoje področje. O tematiki imaš, tako iz teoretičnega kot praktičnega pogleda, manj izkušenj, kot bahač McMallar.

Ali sem kdajkoli trdil, da sem kakšen AD strokovnjak? Ko bom, potem reci, da se smešim!

Gre se mi predvsem za ton v katerem se pogovarja nekdo s sogovorniki. Tudi če bi imel tri doktorate iz določene tematike, mu to ne daje pravice, da sogovornike obravnava z viška ali celo da jih obklada z ponižujočimi izrazi.

Pravzaprav obratno: ponavadi tisti, ki IMA tri doktorate niti slučajno ne ponižuje svojih sogovornikov, da bi sebe promoviral! To počno prevsem tisti, ki blefirajo svoje znanje.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zimonem ::

Nehite se kregat.

SeMiNeSanja ::

Zimonem je izjavil:

Nehite se kregat.

Saj se ne - zgolj apeliram na spoštljiv odnos do sogovornikov.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zimonem ::

Ne boš hujš kot una harpija, al kVA je že. Mcmallar rad pomaga okrog ad pa tudi videl ga je že. Primož pa najbrž tud.

Zgodovina sprememb…

  • spremenilo: Zimonem ()

SeMiNeSanja ::

Zimonem je izjavil:

Ne boš hujš kot una harpija, al kVA je že. Mcmallar rad pomaga okrog ad pa tudi videl ga je že. Primož pa najbrž tud.

Saj prav... če kdo kaj narobe interpretira, butasto zapiše ali celo če je kaj narobe razumel, sta dobrodošla, da ga popravita. Se vsi lahko kaj naučimo tudi iz 'popravkov zmot'.

Samo se to da tudi na spoštljiv način.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

McMallar ::

SeMiNeSanja je izjavil:

McMallar je izjavil:

Kar se pa teoretika tice, svoje case sta bila AD in SCCM moj kruh in mleko.

Tukaj se pogovarjamo o tematiki na način, da vsak doda kar o tematiki ve.
TI pa si se odločil, da boš tematiko izkoristil, da bi se bahal?

Drugače pa tak hud stručko, ki ne zna preimenovati foresta? Ob tem, da ti Google vrže ven 4.5M zadetkov za iskalni pojem "How to rename AD fores"?

Jaz bi 2x pomislil, če sem res tako hud stručko, da si lahko privoščim druge sogovornike poniževalno imenovati "teoretike" - ne glede na to, ali znaš ali ne znaš preimenovati foresta, ne glede na to, ali sogovornik to zna ali ne zna izvesti ob pomoči Googlanja za navodili.

Če hočeš deliti svoje znanje, si dobrodošel. Če se ti pa gre za samopromocijo in pljuvanje po sogovornikih, pa raje zadrži svoje silno znanje za sebe. Tako hudo ga spet ne potrebujemo, ker smo se naučili uporabljati Googl!

In NIKOLI ne pozabi, da si tudi TI teoretik za prav VSAK poseg, katerega še nikoli nisi v praksi izvedel!

Sploh pa v taki temi, kot je ta, ko nekaj napišeš in že gledaš nazaj po napisanem, da mogoče butasto zveni, pa da pod nekim drugim aspektom sploh ne drži tako, kot si zapisal in bi moral vse skupaj drugače formulirati.... se potem preseravati in izigravati neke večvrednostne komplekse..... Kako s tem na koncu koristiš tistemu, ki je zastavil prvotno vprašanje?


Odgovarjal sem PrinoZ_ ne tebi. Potrdil sem, da domeno lahko preimenujes in da je odsvetovano s strani MS, foresta pa da ne mores. Pojdi odpirat zadetke na Google in najdi, koliko je bilo uspesnih preimenovanj. Ko sem prvic dobil vprasanje, ali lahko preimenujemo forest, sem se za uraden odgovor obrnil na MS in zatrdili so mi, da to ni podprto. Tu je sledilo moje vprasanje - ce je komu ze to uspelo izvesti, me zanima kako, saj bi se rad kaj naucil.

Je bil pa PrimoZ_ tisti, ki nas/me je prvi oznacil za teoretika. Moj odgovor je letel na to, da imam kaksno referenco na tem podrocju.

Berem S-T kar redno, tako da vem, da nisi ravno prava oseba, ki bi mi pridigala o hvaljenju. Vidim, da ves precej, skromen pa tudi ravno nisi...
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

SeMiNeSanja ::

Mene ni prav nič sram priznati, da nisem vseveden, da sem se marsikaj naučil, ko sem gledal drugim čez ramo, tuhtal kaj/kako so nekaj naredili, googlal in preizkušal reševati kakšen problem na 1000 in 1 način...

Toda če nekaj nisem, potem zagotovo nisem a)programer in b)Windows ali kakršenkoli drugi OS-Guru
Znam pa z operacijskimi sistemi toliko barantati, da ga (skoraj) ni problema, katerega nebi mogel rešiti ob pomoči Googla.

Če na nekem področju nisem vseveden, se rade volje pustim podučiti, da sem v zmoti, pa da se da stvari naresti tudi drugače, bolj pravilno, enostavnjeje,....

Toda ne prenesem pa, če nekdo nekomu skuša nabijati manjvrednostne komplekse.

Jaz sem 'doma' na področju požarnih pregrad. Tam imaš šele zmešnjavo 'pristopov' in 'razumevanj' tematike, saj ima vsak proizvajalec nekakšen svoj 'fanklub', ki si ne bo nikoli pustil dopovedati, da ni vse tako, kot mu to prodaja marketing njegovega priljubljenega proizvajalca.
Poleg fanklubov pa imaš potem še različne recimo temu 'poklicne deformacije' oseb, ki se ukvarjajo z nabavo in/ali upravljanjem požarnih pregrad. (Pre)pogosto požarne pregrade upravljajo 'splošni mrežologi', ki jim je v zibelko položena (ali s palico privzgojena) miselnost, da mora vse 'delati'. Poleg mrežologov, požarne pregrade upravljajo še sistemski admini, kateri imajo spet povsem drug zorni kot, kakor da bi upravljali nek Linux ali drug OS. Najhuje pa je, če požarno pregrado upravlja programer, ki ima spet povsem drugo miselnost od predhodno naštetih skupin. Potem pa imaš še 'home userje'...

No, zdaj pa poskusi, kot nekdo, ki se desetletja ukvarja predvsem z požarnimi pregradami, koga od teh zgoraj naštetih naučiti kaj novega - če vsi v požarni pregradi vidijo zgolj nekakšno 'nujno zlo'. Poskusi jih premakniti z mrtve točke, da si pogledajo še kaj drugega kot to, kar trenutno uporabljajo. Poskusi jim dopovedati, da marketing njihovega priljubljenega proizvajalca prodaja presneto debele buče (ravno področje požarnih pregrad je eno najbolj 'zastrupljenih' z marketingom).
To ti je skoraj tako, kot da bi zagrizenemu rednecku skušal dopovedati, da Trump morda ni najboljša opcija zanj, ko pa se ga vsakodnevno zasipava z goro fake news-ov, kaj vse hudega se mu bo zgodilo, če ne bo glasoval za Trumpa.

Skratka, presneto drugačna tematika, kakor če se pogovarjaš o upravljanju MS ekosistema.

Kljub temu rade volje komu kaj pojasnim s tega področja. Je pa teško, če naletiš na osebo, katera ti skuša svoje zmotno stališče tupiti kot edino zveličavno resnico. Ali boš postal 'neskromen' in mu poskusil razložiti, da vendarle nima prav (kar pogosto nočejo slišati), ali pa daš stvar na ignore.

Če bi se šlo za pogovor na 4 oči - zasebno debato, bi marsikdaj že po nekaj vrsticah dal tako osebo na ignore. Če se ne želi naučiti česa novega, malo razširiti obzorje, zakaj bi zanj tratil čas....
Toda ker so to javne diskusije, ki jih berejo osebe, katere se pa želijo tudi kaj naučiti (se pa ne želijo izpostavljati), pa vendarle ne moreš pustiti, da nekdo razlaga neka stališča, katera niso 'priporočljiva'. To ti je približno tako, kot če bi skušal ljudjem dopovedati, da naj v gužvi nosijo maske, potem pa ti vpade nek Korona-skeptik in prične trositi teorije zarote, trdi da je vse okoli Korone čista laž, pa da maske nosijo samo glupe ovce. Ali boš tiho in ignoriral? Ali boš kontral v upanju, da boš bolj prepričljiv kakor tisti skeptik?

Pod črto - bodimo spoštljivi do tistih, ki so pripravljeni deliti svoje znanje.
Toda tudi oni naj bodo spoštljivi do tistih, ki tega znanja nimajo. Morda pa ga imajo na drugem področju, kjer smo mi bosi in nam bodo lahko tam pomagali.

Drugo pa so razni troli. Tukaj pa bi lahko moderatorji malo bolje opravljali svoje delo. Žal se ti raje ukvarjajo s 'političnimi' vprašanji in zaklepajo cele teme, namesto da bi odstranjevali tiste, ki v posamezne teme vnašajo zdraho.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zgodovina sprememb…

PrimoZ_ ::

HotBurek je izjavil:

Evo, je debata o AD že na višjem nivoju. FYI jst sem iz obdobja 2000/2003...

Veš kaj ne vem. Zakaj je že bil odsvetovan .local?


Morem pa reč glede tistega o preimenovanju domene. V teoriji prebral in naštudiral, v praksi pa nikoli izvedel. MS TAM in AD svetovalci (takrat je bil M.Ladava) so to odsvetovali in nismo tega šli delat.

Mogoče koliko je cifra server/desktop, kjer se je preimenovanje naredilo?


Manjše zadeve, pod 50 serverjev vse VM-ji in pod 100 PC-jev.
V praksi je res najbolje postavit nov forest, in postopoma prestavit vse tja, začasno imaš lahk še fores trust dokler ne ukineš starega. Sploh ker ponavadi ima stvar že X let zgodovine in slabega upravljanja za sabo.



HotBurek je izjavil:

Domena .local ni ovira za postavitev AD infrastrutkure, ki je prisotna na več lokacijah.

Torej, zakaj danes za postavitev on-site (lahko je tudi multi-site) AD domene ne bi uporabil .local?

Oz. če bi jo, kaj bi s tem izgubil v primerjavi z nekim, ki bi imel zadevo postavljeno na .com/.si domeni?


Glavni minus je, če želiš uporabljati Azure AD, torej da lokalni AD sinhroniziraš z Azure AD-jem.
Sam .local nima sicer nobene omejitve, da ne bi moral imet več lokacij, konec koncev AD pozna koncept siteov, kjer lepo poveš kaka je fizična topologija (mapiranje domain kontrolerjev z ustreznimi omrežji).
Aja pa še nekaj... MAC ne mara .local domen :)



SeMiNeSanja je izjavil:


Glavni razlog zakaj nebi uporabljal .local je v certifikatih.

Če greš kupiti domenski cert za vsako lokacijo s svojim .local, bo bistveno dražje, kot če kupiš en sam domenski cert, ki pokriva vse dodatne poddomene tipa lokacija.domena.si.
Poleg tega si tako tudi poenostaviš administracijo.

Če pa imaš samo eno lokacijo in uporabljaš self-signed certe znotraj omrežja, pa je itak vse en šmoren.

Vse ostalo pa je, kot je že nekdo zgoraj omenil stvar upravljanja DNS-a.


Certifikata za .local domeno sploh ne moreš kupit.
Znotraj AD okolja imaš itak svoj PKI in uporabljaš AD autoenroll. Ne vidim smisla da bi kupoval javne certe za interno AD infrastrukturo in ostale interne servise. Pa tudi nobene zahteve ni, da več lokacij zahteva več domen, to je bolj kot ne totalna neumnost. Mogoče če si multinacionalka, da imaš forest z ločenimi domenami za kontinente.
Uglavnem cel tale sestavek je bikov kakec...



McMallar je izjavil:


Kot sem rekel, domeno lahko preimenujes ampak je bilo s strani MS odsvetovano. Teorija je ena, ko pa prides v produkcijo si pa sam napisal. MS produkti naceloma njihove podprte procedure se kar dobro prenesejo ampak nobeno podjetje ni 100% MS.

Ce si pa kdaj preimenoval forest bi pa rad slisal kaj si naredil da ti je uspelo. Kar se pa teoretika tice, svoje case sta bila AD in SCCM moj kruh in mleko.

MS ima dokumentiran postopek in je uradno podprt. So ga pa inženerji in tudi mi odsvetovali, ker je ponavadi sam AD forest pri stranki, ki bi to radi delali v totalnem razsulu.
Tisto glede teoretikov pa ni letelo nate, zato je bila vrstica presledka. Mišljeno je bilo bolj na splošno na ljudi ki doma poinštalirajo windowse na PC in potem pogledajo še 2 tutoriala pa so "eksperti".

SeMiNeSanja ::

PrimoZ_ je izjavil:


Certifikata za .local domeno sploh ne moreš kupit.
Znotraj AD okolja imaš itak svoj PKI in uporabljaš AD autoenroll. Ne vidim smisla da bi kupoval javne certe za interno AD infrastrukturo in ostale interne servise. Pa tudi nobene zahteve ni, da več lokacij zahteva več domen, to je bolj kot ne totalna neumnost. Mogoče če si multinacionalka, da imaš forest z ločenimi domenami za kontinente.
Uglavnem cel tale sestavek je bikov kakec...

Pa saj sem rekel.... napišeš, postaš, pogledaš nazaj...pa se ti zdi sestavek bedasto formuliran...

Načeloma vse drži, kar si napisal. Sploh v malih domenah, ne vem, zakaj bi čačkal v tisti PKI, ker se že tako 'skriva' pred tabo in se ga dejansko zaveš šele potem, ko se z zadevo malo bolj ukvarjaš. Stavim da 80% adminov malih omrežij (recimo do 50 računalnikov) sploh ne ve nič o PKI, ki ga poganja na strežniku.

Druga stvar, kjer se pa nismo razumeli, se tiče 'uradnega' wildcard certifikata za domeno podjetja. Če imaš kupljen certifikat za *.domena.si, ga seveda lahko apliciraš tudi na *.interno.domena.si ali kakorkoli že poimenuješ svoje interne resurse.
Ne vem kako je s to prakso pri nas, a ko berem kakšne komentarje na Spiceworks, imam občutek, da si ljudje te 'uradne' certifikate lepo namestijo (tudi) na domeno in si tam potem izdajajo intermediate certifikate na lastni PKI.
Seveda pa ne izključujem možnosti, da sem kaj narobe razumel, ali pa da me je občutek varal in to počno le redki.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Evolve ::

Če imaš kupljen certifikat za *.domena.si, ga seveda lahko apliciraš tudi na *.interno.domena.si ali kakorkoli že poimenuješ svoje interne resurse.


praviš da si stručko ti? :)):))

SeMiNeSanja ::

Evolve je izjavil:

Če imaš kupljen certifikat za *.domena.si, ga seveda lahko apliciraš tudi na *.interno.domena.si ali kakorkoli že poimenuješ svoje interne resurse.


praviš da si stručko ti? :)):))

Nisem.

Ti si?

Potem pa izvoli pojasniti, kaj je v zgornji vrstici narobe, ne pa da se kurčiš, da imaš daljšiga, pokazal pa ga nebi!
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

HotBurek ::

Prvo vprašanje, ki se postavi je, ali si TI to dejansko potestiral? Ali pa gre za buče, zelje in kostanj.

Jst sem ven iz tega že 10+ let, torej ne vem. In tudi potestiral nisem.

Hitri, 5 minutni pregled interneta pravi, da to, kar si napisal ne drži.

Se pravi, cert izdan za *.b.a NI valid za *.c.b.a oz. d.c.b.a

There is 40% chance you failed! 8-O

Še iskalni termin: wildcard certificate subdomain depth
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

Zgodovina sprememb…

  • spremenilo: HotBurek ()

SeMiNeSanja ::

HotBurek je izjavil:

Prvo vprašanje, ki se postavi je, ali si TI to dejansko potestiral? Ali pa gre za buče, zelje in kostanj.

Jst sem ven iz tega že 10+ let, torej ne vem. In tudi potestiral nisem.

Hitri, 5 minutni pregled interneta pravi, da to, kar si napisal ne drži.

Se pravi, cert izdan za *.b.a NI valid za *.c.b.a oz. d.c.b.a

There is 40% chance you failed! 8-O

Še iskalni termin: wildcard certificate subdomain depth

Sem pogledal in imaš prav in nimaš povsem prav, oz. najbrž oba (jaz zagotovo) premalo veva o certifikatnih forah in fintah, ker je ta močvara za nekoga, ki ni 'noter' v teh zadevah, bistveno globlja, kot si na prvi pogled mislil.

Kot sem uspel razumeti, so nekoč spletni brskalniki celo direktno podpirali wildcard certifikate za poddomene. Kasneje pa da se je spremenil RFC, posledično pa so sčasoma tudi brskalniki izgubili podporo za to opcijo, tako da podpirajo le še *.domena.si, ne pa več *.*.domena.si. Izgovarjajo se kvazi na večjo 'varnost', drugi pa menijo, da se gre zgolj za željo po večjem zaslužku izdajateljev certifikatov.

Danes pravijo, da se za to vzame multi-domain cert, s katerim lahko 'blagosloviš' tudi do 100 (pod)domen (še tu so verjetno razlike med posameznimi izdajatelji).
Imaš pa tudi ideje, da namesto pikice med domeno in poddomeno uporabiš "-" in tako ustvariš poljubne *-poddomena.domena.si variacije. Vizualno nekako ni najbolj všečno...

Kdor pa ima veliko denarja (nikjer zasledil koliko je dejansko 'veliko'), si lahko kupi intermediate certifikat, s katerim lahko podpisuješ oz. sam izdajaš certifikate. Potem tu obstajajo še 'dedicated intermediate certifikati', ki ti omogočajo nekakšno omejeno izdajanje certifikatov (predvidevam da le za svojo domeno?). Seveda tudi za to opcijo ni javno objavljene cene...

Drugače pa ti za lastno rabo nihče ne brani, da uporabiš lastno PKI. Če imaš Windows server, tako že imaš vse kar potrebuješ, samo uporabiti še moraš....če znaš.... (tu se pa potem običajno zatakne).

Škoda, ker ni nikogar pri roki, ki je dejansko 'noter' v teh rečeh, pa da bi lahko podrobno pojasnil kaj gre in kaj ne gre, kaj so miti in kaj so nesporazumi.

Če namreč pomislimo na samo zamisel o 'chain of trust' (oz. kako ga 'oglašujejo'), potem bi bilo idealno tako, da bi si lahko vsakdo kupil intermediate certifikat za SVOJO domeno, ga uvozil v svojo PKI in potem samostojno izdajal certifikate za lastno domeno in poddomene. Toda očitno bi to pomenilo preveliko izgubo prihodka za izdajatelje?
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zimonem ::

Danes pravijo, da se za to vzame multi-domain cert, s katerim lahko 'blagosloviš' tudi do 100 (pod)domen (še tu so verjetno razlike med posameznimi izdajatelji).
Imaš pa tudi ideje, da namesto pikice med domeno in poddomeno uporabiš "-" in tako ustvariš poljubne *-poddomena.domena.si variacije. Vizualno nekako ni najbolj všečno...


Eh to pač plačaš. Sicer se greš pa zaprto varianto ad.
Saj as ni kaj dosti več kot DNS LDAP in wmi v osnovi. Ko se začneš pogovarjati navzven pa poskrbiš za higienske standarde. Sploh če moraš še podpisovati in žigosati dokumente. Lokalno je pa hitr dobr.
Gozdove pa sovražim.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

E-pošta in drugo gostovanje

Oddelek: Izdelava spletišč
193685 (3264) Jerry000
»

Lastni poštni strežnik(kako ne biti označen kot spam)

Oddelek: Omrežja in internet
213347 (2907) BlackPanx
»

Izdelava forumov

Oddelek: Izdelava spletišč
112044 (1783) algo
»

Zamenjava ISP-ja (strani: 1 2 )

Oddelek: Izdelava spletišč
505462 (4639) NeMeTko
»

.si domena in redirect na Google apps (App Engine)

Oddelek: Omrežja in internet
102336 (1946) nkprimorje

Več podobnih tem