Wie bereits mehrfach erwähnt, ist es nicht notwendig, dass ein Domänenmitglied im selben Namensraum steht, wie die Domäne. So ist es möglich, einen Clienten "`host.informatik. tu-chemnitz.de"' in eine Domäne "`ad.hrz.tu-chemnitz.de"' zu integrieren. Dazu muss nur die Kopplung zwischen der angeschlossenen Domäne und dem DNS-Suffix aufgehoben werden, was mittels des Löschens eines Hakens in den erweiterten Einstellungen des Computernamen-Tabulators in den Systemeigenschaften der Systemsteuerung möglich ist, wie Abbildung 6.8 zeigt.
Weiterhin sollte jedes Clientensystem im Campusnetz so konfiguriert
werden, dass es auf die zentralen DNS-Serverkomponenten zugreift.
Selbst bei der Entscheidung für den Betrieb von dezentralen
DNS-Servern für die einzelnen Subdomänen, wird das zentrale DNS-System
die sinnvolle Zuweisung zu den entsprechenden Servern sicherstellen.
Sind Clienten aber für den Zugriff auf beispielsweise einen
Subdomänen-DNS konfiguriert, verursacht dessen eventuelle
Fehlkonfiguration erhebliche Probleme für alle angeschlossenen Systeme.
Daher sei hier nochmal auf die Einrichtung der DNS-Weiterleitung
verwiesen.
Ein letzter aber wesentlicher Punkt der Konfiguration der Clientensysteme ist die Einrichtung der Authentifizierung gegen einen externen Kerberos-Server. Dazu stehen, wie in 5.6.2 erwähnt, zwei denkbare Wege zur Verfügung:
ist Bestandteil der Support Tools von Windows 2003 und Windows XP und wird nur bei dessen vollständigen Installation bereitgestellt. Die Syntax ist einfach und im Groben reicht der Aufruf
Die Alternative besteht aus der Einrichtung der notwendigen Einträge
für diese Anmeldedomain direkt in der Registry. Auch hierfür sind
mehrere Wege vorstellbar. So können die Einträge etwa
manuell mittels des -Werkzeugs angelegt werden oder diese
Arbeit einmalig erfolgen, dann die Änderungen exportiert und mittels
-File bereitgestellt werden, wodurch sie auf weiteren Clienten
einfach durch Aufruf des Files erzeugt werden können. Dieses reg-File
könnte seitens des URZ zentral bereitgestellt werden. Als weitere Form
der Einrichtung wäre eine Bereitstellung eines msi-Paketes mit dem
angesprochenen reg-File zentral durch das URZ vorstellbar. Somit
könnte die Konfiguration aller Clienten einer Domäne sogar durch eine
Gruppenrichtlinie erfolgen, in der dieses msi-Paket den Rechnern
zugewiesen würde. Sogar Anpassungen an eventuell auftretende
Veränderungen der Kerberos-Server-Landschaft wäre mittels eines neuen
Pakets und dessen Zuweisung mittels GPO einfach realisierbar.
Unabhängig von der Methode ist es notwendig die folgenden
Registry-Einträge zu erzeugen, um eine neue Anmeldedomain
hinzuzufügen:
Erzeugung eines neuen Schlüssels: