invis-server

Ich habe mit der Entwicklung eines invis-Filial-Servers begonnen. Ziel ist es, wie der Name vermuten lässt, ein standardisiertes Setup zum Aufsetzen eines Servers für Filialen bzw. Außenstellen eines Unternehmens bzw. einer Organisation, zu realisieren.

Beim Server-Setup wird grundsätzlich davon ausgegangen, dass in der Unternehmenszentrale ein invis-Server in Betrieb ist. Der Server der Außenstelle soll als so genannter "Read only Domain Controller" der zentralen Domäne beitreten. Die Verbindung zwischen beiden Servers wird via VPN realisiert.

RODCs sind vollwertige Domain-Controller die keine Schreiboperationen zulassen. D.h. alle Änderungen am ActiveDirectory werden in der Zentrale vorgenommen und dann in die Außenstellen repliziert. (Siehe: https://de.wikipedia.org/wiki/Read_Only_Domain_Controller)

Erste Tests eines solchen Szenarios auf Basis eines Domänenbeitritts als einfacher Domain-Member-Server lassen diesen Ansatz als nicht zuverlässig erscheinen. In diesem Szenario kam es immer wieder vor, dass die Nutzer in der Filiale nicht mehr auf lokale Samba-Freigaben zugreifen konnten, wenn die VPN-Verbindung zur zentrale "länger" unterbrochen war. Wie lang "länger" ist, konnte ich nicht feststellen. Ich musste jedes Mal, wenn das Problem auftrat den Domänenbeitritt wiederholen und mich eine Weile mit dem lokalen SSSD herum prüglen, bis alles wieder lief. ...bis zum nächsten Ausfall. Also kein praktikabler Weg.

Ich würde mich hier sehr über Ideen und Vorschläge zum Thema freuen.

Stefan