toaoice
Goto Top

Active Directory Design - Neu

Hallo,

ich bin bei einem neuen AG und habe die Aufgabe AD und Exchange einzuführen.
Zur Sitation:

3 Standorte A/B/C
Standort A ist Zentrale und B/C sind mit MPLS bzw. Ethernetconnet angebunden
An allen Standorten existiert ein eigener Samba Primary DC


Nun soll am Hauptstandort A - Microsot AD und Exchange eingeführt werden.

Überlegung 1:

1.DC in Standort A - 2.DC an Standort B - 3. DC an Standort C und über AD Standorte und Dienste die entsprechenden Standorte einrichten.
Exchange bleibt an Standort A

Überlegung 2:
An jedem Standort einen eigenen primären DC und lediglich an Standort A die Vertrauensstellungen eingerichtet. D.h. Domäne A vertraut B und C und umgekehrt.
Exchange bleibt an A.

Überlegung 1 - geringere Kosten da ich nur einmal im Forest UCALS brauche - richtig?


Wie würdet ihr sowas abbilden???


Besten Dank vorab.

Content-ID: 360434

Url: https://administrator.de/forum/active-directory-design-neu-360434.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

emeriks
emeriks 09.01.2018 um 12:32:00 Uhr
Goto Top
Hi,
geringere Kosten da ich nur einmal im Forest UCALS brauche
CALS wofür?
CALS sind unabhängig vom Domänen-Design.

Variante 2 nur dann, wenn Du damit rechnen musst/willst, dass diese Standorte mal ausgelagert werden sollen (verkauft) oder deren komplette IT-Verwaltung an Dritte übergeben werden soll/kann.

Variante 2 bedeutet mehr Aufwand im Exchange, weil Du für die Postfächer für B und C doppelte Benutzerkonten in A führen musst.

E.
departure69
departure69 09.01.2018 aktualisiert um 12:41:07 Uhr
Goto Top
Hallo.

Überlegung 1 wäre dann eine Überlegung absolut wert, wenn sicher ist, daß die Anbindungen zu den Außenstellen zuverlässig und genügend performant sind. Und wenn sie das sind, würde ich den Außenstellen noch nicht einmal eigene DCs verpassen. Warum Site-To-Site mit eigenen DCs, wenn die Anbindung schnell genug ist? Dann genügen in den Außenstellen doch normale Memberserver, ggf. virtualisiert, (Fileserver, Printserver, Applikationsserver, halt das, was Du dort so brauchst) - ohne weitere DCs! Ich mache das genau so, und über unsere VPNs zu den Außenstellen gehen nur knapp 5 Mb/s symmetrisch, trotzdem funktioniert alles bestens, auch die Domänenanmeldung inklusive GPO-/GPP-Verarbeitung und Exchange (auch bei uns befindet sich der Exchange nur in der Hauptstelle)

Überlegung 2 würde ich ohne Not niemals machen, Vertrauensstellungen verkomplizieren das bißchen, was Du vorhast, völlig unnötig.

Bezüglich der Cals sind bei Überlegung 1 die Domäne und der Forest gleich, daher keine weiteren Überlegungen dazu nötig.

Ich weiß allerdings nicht, wie Du die bisherigen Samba-Domänen auf die neue AD-Domäne migriert kriegst, aber da gibt's sicherlich Anleitungen. Oder ein Systemhaus, das gegen gute Bezahlung hilft.

Allerdings klingt Euer Vorhaben so sehr nach "grüner Wiese" - vielleicht lohnt es sich, einen sauberen Schnitt mit einem parallelen, totalen Neuaufbau zu machen (sehr viel Arbeit, viele Abendstunden und vor allem Wochenenden, denn Du mußt ja trotzdem zwischendurch die Arbeitsfähigkeit sicherstellen, deswegen Parallelaufbau).


Viele Grüße

von

departure69
TOAOICE
TOAOICE 09.01.2018 aktualisiert um 13:17:37 Uhr
Goto Top
Hallo departure69,

die grüne Wiese käme mir gelegen und ja, du siehst es völlig richtig - parallelaufbau.

Meine Denke der einzelnen DC´s in die Standorte ist tatsächlich die Leitung die ich nicht überwachen kann. Es sind Standorte in UK und anderen EU Staaten.
Um auch bei Leitungsausfall ein anmelden zu ermöglichen, dachte ich an den 2.DC und den 3.DC jeweils an den Standorten.
Darüber hinaus arbeiten die hier mit Servergespeicherten Profilen und Loginscripts. Bei einem DC würde der Außenstandort jeweils das Script am Hauptstandort abfragen und die Leitung einbremsen. Oder sehe ich das falsch...

Danke fürs Feedback....
departure69
departure69 09.01.2018 aktualisiert um 13:43:09 Uhr
Goto Top
Es sind Standorte in UK und anderen EU Staaten.

O. K., dann sieht die Sache natürlich anders aus. Meine "Außenstellen" sind Luftlinie circa 1 km entfernt face-wink.

Darüber hinaus arbeiten die hier mit Servergespeicherten Profilen und Loginscripts

Dann latürnich mit jew. eigenem DC, keine Frage. Die paar Byte der Loginskripts wären auch nicht das Problem gewesen, aber die Profile über WAN? Um Gottes Willen nein, da hast Du natürlich recht.

Trotzdem bliebe es bei mir bei Deiner Überlegung 1, dann eben mit den DCs pro Außenstelle/Standort.

Wenn die WAN-Verbindungen ins Ausland gehen, würde ich mir allerdings schonmal vorsorglich Gedanken zum Thema Redundanz machen, falls noch nicht geschehen.

Hast Du administrative Vertrauensleute in den anderen Standorten? Immerhin muß ja auch dort mal jemand - und wenn's nur im Notfall ist - administrativ eingreifen können. Mich persönlich würde es ohnehin fürchterlich nervös machen, für IT-Standorte zuständig zu sein, die ich persönlich/körperlich nicht ohne Umstände erreichen kann (zu unseren fahr' ich binnen 3 Minuten mit dem Fahrrad).

Und: Wer (und wie) macht dort das Backup?

Bezüglich Exchange würde ich mir in Deinem Fall aufgrund der großen Entfernung in Verbindung mit der unsicheren WAN-Verbindung (unsicher bzgl. Ausfallsicherheit, bezüglich Datensicherheit sind das hoffentlich VPNs) auch mal Gedanken um das Thema Frontend-/Backend-Exchange machen, das seit Exchange 2013 wieder aktuell ist (gab's vor weit über 10 Jahren schonmal). Siehe hier: https://blogs.technet.microsoft.com/get-exchangehelp/2013/02/07/managing .... Oder die Außenstellen machen gleich OWA. Die aktuellen OWA-Oberflächen aus Exch. 2016 sind vom "echten" Outlook-Client kaum zu unterscheiden und lassen sich ganz genausogut bedienen.


Viele Grüße

von

departure69
TOAOICE
TOAOICE 09.01.2018 um 14:25:01 Uhr
Goto Top
Danke für die Ratschläge

Ja, an den Außenstellen sind jeweils Leute die ich notfalls einsetzen kann.
Beim Exchange habe ich auch schon an OWA gedacht.


Danke