3 Standorte - 3 Domänen - Konzept

Hallo

o.k.

Du investierst in ein neues Domänenkonzept, hast aber bei der Anbindung kein Geld übrig für eine professionelle Ausstattung??

Der Name der Server wird zumindest technisch nicht das Problem sein. Was Dir dabei das Genick brechen würde ist die gleichlautende AD-Domain. Also: NEIN.
(btw. benennt man inzwischen die AD-Domain entsprechend der externen Domain. Also z.B. ad.firma.de)

Was ich mich bei Deinem Konzept als erstes Frage: Du schreibst von "unsere drei Standorte" - wieso überhaupt willst Du für die beiden anderen Standorte eine eigene Domäne aufsetzen? Wenn es um die Administration geht - das alleine ist nicht der Grund, denn die lässt sich auch innerhalb einer Domäne für Teilbereiche delegieren.

Gruß

Moin,


Da würde ich mir überlegen, auf eine andere HW umzusteigen und das nicht mit den Fitten zu machen. Performance und vor allem die Möglichkeiten, die Firewall zu beeinflussen, sind dabei die Argumente.


OK


Das Suffix .local sollte man nicht mehr nehmen. Aber das nur nebenbei.


Ich sehe da noch kein Konzept.


Das tut sie auf jeden Fall. Ein Client wird sich immer gegen den lokalen DC authentifizieren und nicht gegen die "nur" per VPN erreichbaren. Dazu gleich mehr.


Nein. Das gibt nur Ärger. Letztlich hast du vier Möglichkeiten. Ich nenne sie mal nach meiner Meinung aufsteigender Reihenfolge:

1. Du baust drei unabhängige Gesamtstrukturen
Warum solltest Du das tun? Das wäre so ziemlich der größte Unsinn, den Du machen kannst.

2. Du baust eine Gesamtstruktur auf Basis der vorhandenen Domain mit zwei weiteren Domains
Vorteil: Du hast die vollständige Trennung der Benutzerverwaltung. Du hast volle Kontrolle über die Vertrauensstellungen.
Nachteil: Keinerlei Redundanz zwischen den Standorten. Wechselt ein User den Standort, muss er aus der einen Domain entfernt und in die andere eingefügt werden. Du musst alle Vertrauensstellungen selbst definieren. Und, das wäre für mich der größte Nachteil: Du hast keine zentrale Benutzer- und Geräteverwaltung.

3. Du baust unterhalb der bestehenden Domain Subdomains
Vorteil: Einheitliche Benutzer- und Geräteverwaltung. Implizite Vertrauensstellungen.
Nachteil: Immer noch keine Redundanz zwischen den Domains.

4. Alle in eine Domain mit drei DCs
Vorteil: Alles ist unter einer Domain verwaltbar. Das Wort "Vertrauensstellung" kannst du vergessen. Redundanz des ADs und aller damit zusammenhängenden Dienste.
Nachteil: Man muss beim Administrieren der Notfälle manchmal darauf achten, dass man es auf dem "richtigen" DC macht. Aber das wird schnell zur Routine.

Warum wäre das meine bevorzugte Lösung? Du machst leider keine Angaben über die Größe der Einheiten und der Firma insgesamt. Aber da Du von Fritten gesprochen hast, gehe ich mal von eher kleinen Einheiten mit max. 20 Arbeitsplätzen pro Filiale aus, so dass nichts für verschiedene Domains spricht. Stelle ich nun an jeden Standort einen DC auf, dann kann ich das so konfigurieren, dass die Clients als erstes versuchen, sich gegen den DC ihres Standorts zu authentifizieren. Klappt das mal nicht, weil der gerade down ist, dann nehmen sie einen anderen. Volle für den User vollständig transparente Redundanz.

Weiter kann ich, sollte in einer Filiale mal eingebrochen werden oder es brennt, jederzeit die User an einen anderen Standort setzen und er hat dann dort seine Arbeitsumgebung (roaming profiles, die redundant gespeichert werden, vorausgesetzt).

Ich kann über die Fileserver ein DFS aufbauen und so die Daten redundant speichern. Sofern sie nicht dauernd gebraucht werden, kann ich die Synchronisierung auf Zeiten verlegen, an denen wenig oder gar nicht gearbeitet wird. Braucht man sie aber gemeinsam an verschiedenen Standorten, dann ist das DFS die beste Lösung, da der Zugriff fast immer lokal erfolgt und damit schön schnell ist. Die User brauchen sich auch keine Dateien mehr per Mail oder sonstwie zuzuschicken. Sie greifen einfach auf den gemeinsamen Fileserver zu. Dass das in Wirklichkeit drei Server sind, die an drei Standorten stehen, merken sie nicht.

Das Beste an dem System ist aber die Redundanz und damit die Ausfallsicherheit. Sollte Dir mal ein Fileserver abrauchen oder eine längere Wartung brauchen, sind ja immer noch die beiden anderen da. Das wird dann zwar für die User am betroffenen Standort langsamer. Aber es geht.

Deshalb würde ich so vorgehen: Die beiden neuen DCs werden am alten Standort fertig eingerichtet. Einrichten via VPN zum alten Server ist nicht wirklich schön. Dann werden die beiden neuen DCs an ihren neuen Standort getragen, kriegen ihre endgültige IP und die Netze werden per VPN miteinander verbunden. Dann noch ein wenig DNS und Standorte konfigurieren und fertig.

Liebe Grüße

Erik

Moin,


Wieso? Auf einem Hyper-V-Server einen Server mit DC und einen als Fileserver ist doch vollkommen state of art. Was ist daran hackerfreundlich?

Liebe Grüße

Erik

Moin Erik,

3 DC's im HQ, Ja. Redundanz und Spaß an der Freud Aber in jedem Standort ein DC? Dafür wurden die RODC-Rollen entwickelt.

Gruß
C.C.

Moin,


Das ist so nicht richtig. RODCs wurden für Standorte entwickelt, an denen es keine Administratoren gibt, oder für Server, die leicht zugänglich sind. Daraus, dass die Benutzerverwaltung lokal erfolgen soll, schließe ich, dass das aber nicht der Fall ist. Ein RODC hat nämlich auch einen ganz gewaltigen Nachteil: Richte ich z. B. einen neuen User ein und habe nur einen RODC am Standort, dann kann ich den nur auf einem beschreibbaren DC anlegen. Jetzt steht der aber in der Zentrale. Ich muss also die Replikation abwarten, bis der User sich in der Filiale angemeldet hat. Vorher kennt der RODC den User nicht. Der ist aber der Standort-DC gegen den sich authentifiziert werden muss, wenn er erreichbar ist. Und jetzt bloß nicht die Replikation händisch starten. Dann wird nämlich das gesamte AD neu repliziert. Das macht via Internet nicht wirklich Spaß.

Habe ich vor Ort aber einen beschreibbaren DC, dann kann ich den User in dessen Kopie des AD anlegen und er kann sich sofort anmelden. Und solche Dinge, bei denen es nicht unwichtig ist, es auf dem richtigen DC zu machen, damit es sofort wirkt, kommen alle Nas' lang vor. Es hat also durchaus Vorteile, an jedem Standort einen beschreibbaren DC zu haben.

Aber ich gebe Dir insofern recht, als dass der TO vor hat, die Dinger hinter einer einfachen Fritte zu betreiben. Die gehören hinter eine anständige Firewall und in einen Raum mit abschließbarer Stahltür, die dann auch immer abgeschlossen ist.

Liebe Grüße

Erik

Ja und Nein
Es ist eine banale Designentscheidung.
Auch der Prozess, wie ein neuer User-Account ins und/oder aus dem AD kommt/geht.
Und wo steht, dass das der Administrator machen muss?
User-Accounts können auch die Pappnasen aus der Perso erstellen, Passwörter zurücksetzten, deaktivieren, etc.
"Machtteilung" Da fahren die total drauf ab

Ich gehe nicht davon aus, dass die Firma des TO's, 3 oder mehr Admin's beschäftigt. Somit ist ein Punkt von der Aufgabenliste ausgegliedert.

Und mit der Perso diskutiert keiner öfters über "IT-Probleme" oder Mault rum

Eher eine der Verhältnisse am Standort. Habe ich da einen Serverraum mit Stahltür und nur Admins haben den Schlüssel zu dieser Tür, dann stelle ich da einen DC hin. Steht das Teil bei der Sekretärin unterm Schreibtisch, dann wird es ein RODC. Ähm, nein, dann wird es gar kein DC.


Selbst wenn man das delegiert, bleibt das Problem dasselbe. Habe ich nur einen RODC vor Ort, dann kann ich auf dem DC, gegen den sich die User authentifiziert haben, nicht schreiben und muss bei Änderungen die Replikation abwarten.

Und soweit kommt das noch, dass die Perso User anlegt. Die liefert brav die Daten bei der IT ab, dann werden sie noch ein wenig massiert und per Skript ins AD gelutscht. Machtteilung? Pah! Machtkonzentration! Darauf fahren ITler total ab.

Liebe Grüße

Erik

Moin erikro,


Kompliment und Anerkennung, kann mich hier nur anschliessen. 👍👍👍

Beste Grüsse aus BaWü

Alex

P.S. Meine 🦊-Nase verspürt definitiv den Geruch eines sehr erfahrenen und wahrscheinlich älteren IT-🐇. 😜

@erikro
Wie schon angedeutet. Es gibt viele Begebenheiten die zu berücksichtigen und zu bedenken sind.

@thapate
Ja, ab hier bin ich Raus. Eine Arztpraxis ist kein Bolzplatz!! Und auch keine Kinderzimmer für die ersten Schritte.
Toi, Toi, Toi

Moin,


Danke für die Blumen.


Und dann Moin? Dascha seltsam.


Was? Älter? Pass bloß auf! 35 Jahre dabei und seit 30 Jahren hauptberuflich.

Liebe Grüße

Erik

Moin Eric,


sehr gerne.
Kompetente Kollegen sind mir immer sehr willkommen. 😀
Leider sind diese gefühlt eher am aussterben als am mehr werden. 😔



Des kommd ganz druff an. Moin isch hald oifach lässich, universell ond au absolud gschmeidich. 😉


Warum, ein IT Hase ist meiner bisherigen Erfahrung nach, im Vergleich zu den tierischen Ablegern alterstechnisch komplett anders zu bewerten. Während der Wald- und Wiesenhaase mit zunehmenden Alter zäher und träge wird, gilt dasselbe bei den IT-Hasen eher für die Jüngeren.

Sprich, je älter ein IT-Hase wird, umso geschmeidiger und schneller kann dieser im Normalfall auch durch die IT-Gegend flitzen. Ist bei den IT-Füchsen auch nicht anders. 😜



Bin bei Beidem genau 5 Jahre hinterher. 🙃

Beste Grüsse aus Murrhardt

Alex