TechNet - Experternas arena Frågespalt: Windows Server 2008 Hur gör vi för att enklare hantera webbåtkomst mellan olika organisationer? Hej Joachim! Det företag jag arbetar på har precis köpt ett annat företag. Det företaget har redan en fungerande infrastruktur, och vi tänker inte ändra något i deras miljö om vi inte behöver. Vi står nu inför en process där de andra ska komma åt vårt extra- och intranät, men vi vill helst slippa skapa närmare 2000 konton i vår miljö. Det är tidskrävande och vi får avsätta en person på halvtid för att underhålla lösenord och dylikt. Finns det ett enklare sätt att synkronisera detta, till exempel med cvsde eller ldifde som jag läst om? Med vänliga hälsningar Carl-Gustav Joachim Nässlander Joachim Nässlander arbetar som Solution Architect på Dell. Han har medverkat i Microsofts Technology Adoption Program för både Windows Server 2008, Hyper-V och Windows Server 2008 R2. Han är även MVP inom Cluster och bloggar på nullsession.com. Du som är IT-proffs kan skicka dina frågor om Windows Server 2008 och Windows Server 2008 R2 till fraganu@microsoft.com och få din fråga besvarad av Joachim här i frågespalten. Vi kan tyvärr inte garantera att alla frågor hinner besvaras. Svar: Hej Carl-Gustav! Problemet du beskriver är relativt vanligt förekommande. Vill ni inte slå ihop de två miljöerna eller skapa förtroenden mellan domänerna blir problemet av en mer manuell natur, då användarkonton och dylikt måste underhållas från er sida. Som jag ser det finns det två lösningar på problemet. Det första alternativet är att använda Active Directory Lightweight Directory Services (AD LDS) och autentisera användarna mot detta. Det innebär att du måste synkronisera bägge domänerna mot katalogtjänsten. Det är inte jättekrångligt, men innebär dock att grupptillhörigeter och dylikt, tillsammans med rättigheter, måste omkonfigureras i ert extra-/intranät. Det andra alternativet är Active Directory Federation Services (AD FS). Den lösningen innebär att du i respektive domän sätter upp en AD FS-server, där din domän blir en så kallad resurs-partner medan det företag ni köpt blir en konto-partner. För att detta ska fungera så smidigt som möjligt bör din applikation vara ”claims-aware”. Då kan din applikation ta emot information från konto-partnern i ett så kallat claim. Detta fungerar med flera content management-system, till exempel Sharepoint Portal Server. Tillgång till AD FS kräver antingen Windows Server 2003 R2 eller Windows Server 2008. Om du väljer Windows Server 2008 Enterprise kan du även bygga din AD FS-lösning redundant via Network Load Balancing. Om du i dagsläget har en blandad miljö kan du även hitta produkter från andra tillverkare än Microsoft, till exempel Oracle Identity Federation och ett öppet källkodsprojekt som heter Shibboleth. Mer information om AD FS (på engelska) Med vänliga hälsningar, Joachim Nässlander Solution Specialist Qbranch AB De åsikter och idéer som uttrycks i texten är skribentens egna, och delas inte nödvändigtvis av Microsoft AB eller dess representanter.