neuland14
Goto Top

Active Directory Design Fragen?

Nach dem ich nun Jahre lang nichts mehr mit Active Directory zu tun hatte, hier ein paar Verständnisfragen!

Hier ein paar Verständnis Fragen:

1) Kann man eine im Internet Domäne z.B. www.musterfirma.de auch als AD full qualified domain name, oder gibt es dann Probleme bei z.B. Remotezugriffen auf die Firma oder Exchange?
Oder sollte man das ganze doch lieber über AD full qualified domain name firma.musterfirma.de und dann über den Prinziplename zusätzlich eintragen musterfirma.de

2) Wenn man eine Domäne mit einer Unterdomäne im AD hat langen dann zwei DC oder brauch man pro Domän zwei DC
Domänstruktur z.B. firma.muster.de und unterstruktur ort1.firma.muster.de

3) Wenn ein dc (nicht der erste) ausfällt, langt es aus den DC aus dem AD zu löschen?

4) Was kann alles im AD abgespeichert werden, welche Programme legen z.B. Konfigurationsdateien ab und für was ist alles das AD verantwortlich?


Danke für eure Hilfe!


!!!!!!!!!!!!!!!!!! Vielen Dank an alle die mir weiter geholfen haben !!!!!!!!!!!!!!!!!!!!!

Content-ID: 138170

Url: https://administrator.de/contentid/138170

Ausgedruckt am: 17.11.2024 um 17:11 Uhr

dog
dog 13.03.2010 um 20:55:58 Uhr
Goto Top
oder gibt es dann Probleme bei z.B. Remotezugriffen auf die Firma oder Exchange?

Ja, niemals nennt man eine Domain wie seine Website.
Korrekt sind ad.meinefirma.de oder corp.meinefirma.de

und unterstruktur ort1.firma.muster.de

Nur für einen neuen Standort braucht man noch keine neue Domäne.
Eigentlich braucht man die gar nicht mehr, aber wenn dann nur für Subunternehmen mit eigener Administration.

3) Wenn ein dc (nicht der erste) ausfällt, langt es aus den DC aus dem AD zu löschen?

Kommt auf die Rollen an, ob ein DC der Erste ist interessiert nicht.

4) Was kann alles im AD abgespeichert werden, welche Programme legen z.B. Konfigurationsdateien ab und für was ist alles das AD verantwortlich?

Alles mögliche. Außer AD selbst meistens nur Exchange und DNS. Alles was mit dem AD zu tun hat face-smile
godlie
godlie 13.03.2010 um 20:56:58 Uhr
Goto Top
Hallo,

ad 1) Eine gleiche Benennung führt zu Problemen. Namen ala musterfirma.local machen da mehr Sinn...

ad 2) 2 DCs erhöhen die Sicherheit falls sich mal einer verabschiedet kann der 2te ja für Ihn einspringen...

ad 3) bin ich jetzt überfragt

ad 4) Im AD sind meines Wissens nach keine Konfigurationen von Fremdprogrammen hinterlegt, die Verweilen mist
im Profil oder auf der Lokalen Festplatte.

Is mal so was mir auf die schnelle einfällt aber gibs sicher Leute die darüber mehr wissen face-smile

grüße

edit Hm ne Minute zu spät face-smile
Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 13.03.2010 um 21:03:15 Uhr
Goto Top
Salve,

Zitat von @neuland14:
1) Kann man eine im Internet Domäne z.B. www.musterfirma.de auch als AD full qualified domain name, oder gibt es dann
Probleme bei z.B. Remotezugriffen auf die Firma oder Exchange?
Oder sollte man das ganze doch lieber über AD full qualified domain name firma.musterfirma.de und dann über den
Prinziplename zusätzlich eintragen musterfirma.de

Für die Wahl des Domänen-Namens, gibt es mehrere Varianten:

1. Der Active Directory-Name lautet so wie die Internetdomain. Der Vorteil ist: Kurzer und einprägsamer Name.
Der Nachteil ist: Die externen Ressourcen (www, FTP etc.) können intern nicht aufgelöst werden.
Die Lösung ist: Im internen DNS müssen die externen Ressourcen die von intern erreichabr sein sollen mit der externen
IP-Adresse eintragen werden.

2. Der Active Directory-Name ist eine Subdomäne zum externen Internet-Auftritt.
Bedeutet, wenn der Inet-Auftritt "Contoso.com" lautet, so wäre der AD-Name "intra.contoso.com". Diese Variante, wäre auch meine empfohlene.

3. Der Active Directory-Name ist ein anderer als die Inet-Domain z.B. contoso.local usw. Sogar die Endung LOCAL kann zu Problemen führen, denn
damit könnten Probleme mit Apple-PCs auftreten. Auch wäre es denkbar, dass die Endung LOCAL offiziell wird (sowie info, biz usw.).

4. Oder der Webauftritt lautet contoso.de und die interne AD-Domäne lautet contoso.net.
Dabei sollten natürlich beide Domains beim ISP registriert werden.

5. Die TLD AA, ZZ und die Bereiche QM–QZ und XA–XZ.
http://de.wikipedia.org:80/wiki/ISO_3166

6. Einen abstrakten AD-Domänennamen, unabhängig vom Firmennamen. Das hat den Vorteil, wenn sich die Firma umbenennt, muss nicht sofort
die AD-Domäne wegen einem Namen unbenannt werden.


2) Wenn man eine Domäne mit einer Unterdomäne im AD hat langen dann zwei DC oder brauch man pro Domän zwei DC
Domänstruktur z.B. firma.muster.de und unterstruktur ort1.firma.muster.de

Jede Domäne benötigt mindestens einen DC. Idealerweise sollten aber in jeder Domäne zwei DCs zur Verfügung stehen,
wegen der Ausfallsicherheit. Dabei spielt es keine Rolle ob es sich um einen Single-Domain oder Multi-Domain Forest handelt.


3) Wenn ein dc (nicht der erste) ausfällt, langt es aus den DC aus dem AD zu löschen?

Ja, dann müssen die Metadaten des AD bereinigt werden.

[LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]
http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Wind ...


4) Was kann alles im AD abgespeichert werden, welche Programme legen z.B. Konfigurationsdateien ab und für was ist alles das
AD verantwortlich?

Das kommt darauf an, was du genau im AD speichern möchtest. Die Personalnumern und die Schuhgröße von den Mitarbeitern kannst du z.B. im AD speichern.
Das hängt aber nunmal von der Applikation ab, die man einsetzen möchte. Z.B. speichert Exchange jede Menge (Konfig.)Informationen im AD,
da Exchange sehr AD-lastig ist.


Viele Grüße
/ > Yusuf Dikmenoglu
Dani
Dani 13.03.2010 um 21:26:07 Uhr
Goto Top
Moin,

zu 1) Das kommt drauf an...wir haben z.B. konzern.de als FQDN genommen. Aber bei uns ist das komplette Netzwerk mit einem öffentlichen /8 IP-Netz ausgestattet. Somit ist es theoretisch möglich, dass jeder Rechner vom Internet aus erreichbar ist. Da macht es einigermaßen Sinn. In einer 0815 Unternehmen würde ich entweder zu lan.frima.de oder firma.local tendieren.

zu 2) Nein, benötigst du nicht. Wir haben z.B. für jedes Land und Tochterfirma einen Unterdomäne abgebildet. Da es in jedem Land entsprechende Admins gibt bzw. die entsprechende Mitarbeiterzahl hat.

zu 3) BITTE NIEMALS LÖSCHEN! Was verstehst du unter ausfällt? Wenn du einen DC nicht mehr benötigst stuft man diesen wieder zum Memberserver herunter und entfernt ihn dann über System aus der Domäne. Wir haben z.B. pro Land 2-4 Domänencontrollers.

zu 4) Wir haben eben die Standardfelder ausgefüllt (Name, Büro, Tele, Eihneit, Teamname, etc...). Eben die vorhandenen Felder ausgefüllt.


Grüße,
Dani
neuland14
neuland14 13.03.2010 um 23:49:28 Uhr
Goto Top
Hallo Yusuf,

danke für die ausführliche Antwort.

Noch habe ich Problme mit den DC'S oder was als Domäne verstanden wird (Beispiel: firma.muster.de und Unterstruktur ort1.firma.muster.de, ort2.firma.muster.de und ort3.firma.muster.de)
ist dies nun eine Domäne oder wird hier von vier Domänen gesprochen?
Also reichte es aus in der obersten Schicht firma.muster.de und z.B. in ort2.firma.muster.de einen DC zu haben oder müsste ich eigentlich 8 DC haben?

Was passiert wenn der erste DC (Defekt) ausfällt, können sich die User beim Replika also beim zweiten DC anmelden ohne unterbrechung oder muss dieser erst heraufgestuft werden?
Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 14.03.2010 um 00:19:07 Uhr
Goto Top
Zitat von @neuland14:
Noch habe ich Problme

Ich merke es gerade. Dann wollen wir mal Abhilfe schaffen.

mit den DC'S oder was als Domäne verstanden wird

DCs sind eine physikalische- und die Domäne eine logische Komponente des "Active Directory".

(Beispiel: firma.muster.de und Unterstruktur ort1.firma.muster.de, ort2.firma.muster.de und ort3.firma.muster.de)

Nach diesem Beispiel handelt es sich um --> eine Gesamtstruktur <-- mit mehreren Domänen.
Ich Fachjargon spricht man hier von einem Multi-Domain Forest. Es befinden sich mehr als eine Domäne innerhalb einer Gesamtstruktur.

ist dies nun eine Domäne oder wird hier von vier Domänen gesprochen?

Es handelt sich um --> eine Gesamtstruktur <-- die insgesamt vier Domänen beinhaltet.
Dabei wird die Domäne "firma.muster.de" als Root-Domäne bezeichnet, da man mit dieser die Gesamtstruktur erstellt.
Also wenn du den ersten Server zum DC hochstufst und somit deine erste Domäne erstellst, wird zum einen eine Gesamtstruktur
und zum anderen deine Root-Domäne erstellt.

Die anderen drei Domänen: "ort1.firma.muster.de, ort2.firma.muster.de und ort3.firma.muster.de" werden als Subdomänen bezeichnet.
Sie befinden sich alle auf der gleichen Ebene unterhalb der Root-Domäne.

Also reichte es aus in der obersten Schicht firma.muster.de und z.B. in ort2.firma.muster.de einen DC zu haben oder müsste
ich eigentlich 8 DC haben?

Nicht "Schicht", sondern wie wir jetzt gelernt haben: Root-Domäne. face-wink
Da sich idealerweise in jeder Domäne min. zwei DCs befinden sollten und es sich in deinem Beispiel um vier Domänen handelt,
wäre die ideale Anzahl /acht DCs/ zu haben.

Was passiert wenn der erste DC (Defekt) ausfällt, können sich die User beim Replika also beim zweiten DC anmelden ohne
unterbrechung oder muss dieser erst heraufgestuft werden?

Ja, genau das ist ja der Sinn und Vorteil eines Active Directory und einer Multi-Master Umgebung. Sobald sich zwei DCs in der Domäne befinden
und diese ordnungsgemäß konfiguriert sind und funktionieren, merken die Clients nichts von einem DC-Ausfall. Deshalb sollen ja
min. zwei DCs in der Domäne existieren. Aber elementar ist das DNS. Denn standardmäßig sollte auf JEDEM DC immer das DNS
mit installiert werden, wobei die Forward Lookup Zone AD-integriert gespeichert sein sollte. Auch der GC sollte in den allermeisten Umgebungen
standardmäßig auf jedem DC aktiviert werden.


Gruß, Yusuf
linkit
linkit 14.03.2010 um 10:27:27 Uhr
Goto Top
Also ganz kann ich den Antworten nicht folgen bezüglich der Frage nach dem Domainname. Es ist richtig, dass ein häufiges vorgehen ist, dass man die interne Domain anders nennt. Es gibt Szeanrien, in denen man das genau so macht und wo es auch sinnvoll ist.

Was definitiv falsch ist, ist die Aussage, dass externe Resourcen nicht mehr erreichbar sind und ein Vorschlag wie interner DNS auf extern halte ich für grob fahrlässig.

Zunächst mal ist entscheiden, wo die Domäne liegt. Domains wie .com etc kannst du auch komplett selbst verwalten. Bei .de Domains benötigst du den Statuen gemäß einen Provider. Einzige Möglichkeit der (fast) vollen Kontrolle ist ein HiddenDNS. Nicht zu verwechseln mit dem was der Provider in seiner Weboberfläche anbietet für die Verwaltung der DNS Einträge. Wenn man einen HiddenDNS betreibt oder eine Domain selbst verwaltet, also quasi als Provider für die Domain auftritt, dann muß man sich zum einen als viele Statuten halten, zum anderen muß man genau wissen was man macht und einen entsprechenden DNS Server berteibt man nicht unmittelbar in seinem direkten Netzwerk, da dies eine Schwachstelle wäre.

Den Teil, den du von der Domain verwalten kannst, ob per HiddenDNS, Selbstverwaltet oder über Provider ist für der Topleveldomain. Hier kannst du die Subdomains als auch die Host verwalten. Der ns Eintrag, Beispielsweise ns.meinefirma.de ist der sogenannte Nameserver. mx steht für Mail Exchange und www, naja, das kennst du ja. Therotisch könntest du auch abc hinschreiben und auf etwas verweisen, dann wäre das keine Subdomain, sondern auch ein Host. So könntest du für jeden Hosteintrag eine andere feste IP Adresse ansteuern.

Das sei aber alles nur vollständigkeitshalber erwähnt. Wenn Du dich tiefer einarbeiten willst empfehle ich Dir vorallem die englischsprachige Literatur und die RFC Dokumente. Auf Deutsch - wenn auch nicht ganz taufrisch ist dieses Werk zu empfehlen: http://www.amazon.de/DNS-Implementierung-Windows-Netzwerk-Konzept-Reali ...
Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 14.03.2010 um 10:57:42 Uhr
Goto Top
Zitat von @linkit:
Was definitiv falsch ist, ist die Aussage, dass externe Resourcen nicht mehr erreichbar sind und ein Vorschlag wie interner DNS
auf extern halte ich für grob fahrlässig.

Auf was bzw. auf welches Zitat beziehst du dich bei dieser Aussage?


Gruß, Yusuf Dikmenoglu
technix
technix 15.03.2010 um 11:40:36 Uhr
Goto Top
Hallo,

so weit ich das bei mir nachgeprüft habe :

hier ist im DNS ein Host-Eintrag mit www erstellt worden, in dem dann die IP der URL eingetragen ist.
Ohne diesen Host (A) Eintrag komme ich nicht auf die Homepage.

Solltest du mit der HP mal umziehen zu einen anderen Anbieter, muss auch nur noch im DNS die IP geändert werden.

Grüße