5
Active Directory Design - Neu
Hallo,
ich bin bei einem neuen AG und habe die Aufgabe AD und Exchange einzuführen.
Zur Sitation:
3 Standorte A/B/C
Standort A ist Zentrale und B/C sind mit MPLS bzw. Ethernetconnet angebunden
An allen Standorten existiert ein eigener Samba Primary DC
Nun soll am Hauptstandort A - Microsot AD und Exchange eingeführt werden.
Überlegung 1:
1.DC in Standort A - 2.DC an Standort B - 3. DC an Standort C und über AD Standorte und Dienste die entsprechenden Standorte einrichten.
Exchange bleibt an Standort A
Überlegung 2:
An jedem Standort einen eigenen primären DC und lediglich an Standort A die Vertrauensstellungen eingerichtet. D.h. Domäne A vertraut B und C und umgekehrt.
Exchange bleibt an A.
Überlegung 1 - geringere Kosten da ich nur einmal im Forest UCALS brauche - richtig?
Wie würdet ihr sowas abbilden???
Besten Dank vorab.
ich bin bei einem neuen AG und habe die Aufgabe AD und Exchange einzuführen.
Zur Sitation:
3 Standorte A/B/C
Standort A ist Zentrale und B/C sind mit MPLS bzw. Ethernetconnet angebunden
An allen Standorten existiert ein eigener Samba Primary DC
Nun soll am Hauptstandort A - Microsot AD und Exchange eingeführt werden.
Überlegung 1:
1.DC in Standort A - 2.DC an Standort B - 3. DC an Standort C und über AD Standorte und Dienste die entsprechenden Standorte einrichten.
Exchange bleibt an Standort A
Überlegung 2:
An jedem Standort einen eigenen primären DC und lediglich an Standort A die Vertrauensstellungen eingerichtet. D.h. Domäne A vertraut B und C und umgekehrt.
Exchange bleibt an A.
Überlegung 1 - geringere Kosten da ich nur einmal im Forest UCALS brauche - richtig?
Wie würdet ihr sowas abbilden???
Besten Dank vorab.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 360434
Url: https://administrator.de/contentid/360434
Printed on: April 24, 2024 at 08:04 o'clock
5 Comments
Latest comment
Hi,
CALS sind unabhängig vom Domänen-Design.
Variante 2 nur dann, wenn Du damit rechnen musst/willst, dass diese Standorte mal ausgelagert werden sollen (verkauft) oder deren komplette IT-Verwaltung an Dritte übergeben werden soll/kann.
Variante 2 bedeutet mehr Aufwand im Exchange, weil Du für die Postfächer für B und C doppelte Benutzerkonten in A führen musst.
E.
geringere Kosten da ich nur einmal im Forest UCALS brauche
CALS wofür?CALS sind unabhängig vom Domänen-Design.
Variante 2 nur dann, wenn Du damit rechnen musst/willst, dass diese Standorte mal ausgelagert werden sollen (verkauft) oder deren komplette IT-Verwaltung an Dritte übergeben werden soll/kann.
Variante 2 bedeutet mehr Aufwand im Exchange, weil Du für die Postfächer für B und C doppelte Benutzerkonten in A führen musst.
E.
Hallo.
Überlegung 1 wäre dann eine Überlegung absolut wert, wenn sicher ist, daß die Anbindungen zu den Außenstellen zuverlässig und genügend performant sind. Und wenn sie das sind, würde ich den Außenstellen noch nicht einmal eigene DCs verpassen. Warum Site-To-Site mit eigenen DCs, wenn die Anbindung schnell genug ist? Dann genügen in den Außenstellen doch normale Memberserver, ggf. virtualisiert, (Fileserver, Printserver, Applikationsserver, halt das, was Du dort so brauchst) - ohne weitere DCs! Ich mache das genau so, und über unsere VPNs zu den Außenstellen gehen nur knapp 5 Mb/s symmetrisch, trotzdem funktioniert alles bestens, auch die Domänenanmeldung inklusive GPO-/GPP-Verarbeitung und Exchange (auch bei uns befindet sich der Exchange nur in der Hauptstelle)
Überlegung 2 würde ich ohne Not niemals machen, Vertrauensstellungen verkomplizieren das bißchen, was Du vorhast, völlig unnötig.
Bezüglich der Cals sind bei Überlegung 1 die Domäne und der Forest gleich, daher keine weiteren Überlegungen dazu nötig.
Ich weiß allerdings nicht, wie Du die bisherigen Samba-Domänen auf die neue AD-Domäne migriert kriegst, aber da gibt's sicherlich Anleitungen. Oder ein Systemhaus, das gegen gute Bezahlung hilft.
Allerdings klingt Euer Vorhaben so sehr nach "grüner Wiese" - vielleicht lohnt es sich, einen sauberen Schnitt mit einem parallelen, totalen Neuaufbau zu machen (sehr viel Arbeit, viele Abendstunden und vor allem Wochenenden, denn Du mußt ja trotzdem zwischendurch die Arbeitsfähigkeit sicherstellen, deswegen Parallelaufbau).
Viele Grüße
von
departure69
Überlegung 1 wäre dann eine Überlegung absolut wert, wenn sicher ist, daß die Anbindungen zu den Außenstellen zuverlässig und genügend performant sind. Und wenn sie das sind, würde ich den Außenstellen noch nicht einmal eigene DCs verpassen. Warum Site-To-Site mit eigenen DCs, wenn die Anbindung schnell genug ist? Dann genügen in den Außenstellen doch normale Memberserver, ggf. virtualisiert, (Fileserver, Printserver, Applikationsserver, halt das, was Du dort so brauchst) - ohne weitere DCs! Ich mache das genau so, und über unsere VPNs zu den Außenstellen gehen nur knapp 5 Mb/s symmetrisch, trotzdem funktioniert alles bestens, auch die Domänenanmeldung inklusive GPO-/GPP-Verarbeitung und Exchange (auch bei uns befindet sich der Exchange nur in der Hauptstelle)
Überlegung 2 würde ich ohne Not niemals machen, Vertrauensstellungen verkomplizieren das bißchen, was Du vorhast, völlig unnötig.
Bezüglich der Cals sind bei Überlegung 1 die Domäne und der Forest gleich, daher keine weiteren Überlegungen dazu nötig.
Ich weiß allerdings nicht, wie Du die bisherigen Samba-Domänen auf die neue AD-Domäne migriert kriegst, aber da gibt's sicherlich Anleitungen. Oder ein Systemhaus, das gegen gute Bezahlung hilft.
Allerdings klingt Euer Vorhaben so sehr nach "grüner Wiese" - vielleicht lohnt es sich, einen sauberen Schnitt mit einem parallelen, totalen Neuaufbau zu machen (sehr viel Arbeit, viele Abendstunden und vor allem Wochenenden, denn Du mußt ja trotzdem zwischendurch die Arbeitsfähigkeit sicherstellen, deswegen Parallelaufbau).
Viele Grüße
von
departure69
Hallo departure69,
die grüne Wiese käme mir gelegen und ja, du siehst es völlig richtig - parallelaufbau.
Meine Denke der einzelnen DC´s in die Standorte ist tatsächlich die Leitung die ich nicht überwachen kann. Es sind Standorte in UK und anderen EU Staaten.
Um auch bei Leitungsausfall ein anmelden zu ermöglichen, dachte ich an den 2.DC und den 3.DC jeweils an den Standorten.
Darüber hinaus arbeiten die hier mit Servergespeicherten Profilen und Loginscripts. Bei einem DC würde der Außenstandort jeweils das Script am Hauptstandort abfragen und die Leitung einbremsen. Oder sehe ich das falsch...
Danke fürs Feedback....
die grüne Wiese käme mir gelegen und ja, du siehst es völlig richtig - parallelaufbau.
Meine Denke der einzelnen DC´s in die Standorte ist tatsächlich die Leitung die ich nicht überwachen kann. Es sind Standorte in UK und anderen EU Staaten.
Um auch bei Leitungsausfall ein anmelden zu ermöglichen, dachte ich an den 2.DC und den 3.DC jeweils an den Standorten.
Darüber hinaus arbeiten die hier mit Servergespeicherten Profilen und Loginscripts. Bei einem DC würde der Außenstandort jeweils das Script am Hauptstandort abfragen und die Leitung einbremsen. Oder sehe ich das falsch...
Danke fürs Feedback....
Es sind Standorte in UK und anderen EU Staaten.
O. K., dann sieht die Sache natürlich anders aus. Meine "Außenstellen" sind Luftlinie circa 1 km entfernt
.Darüber hinaus arbeiten die hier mit Servergespeicherten Profilen und Loginscripts
Dann latürnich mit jew. eigenem DC, keine Frage. Die paar Byte der Loginskripts wären auch nicht das Problem gewesen, aber die Profile über WAN? Um Gottes Willen nein, da hast Du natürlich recht.
Trotzdem bliebe es bei mir bei Deiner Überlegung 1, dann eben mit den DCs pro Außenstelle/Standort.
Wenn die WAN-Verbindungen ins Ausland gehen, würde ich mir allerdings schonmal vorsorglich Gedanken zum Thema Redundanz machen, falls noch nicht geschehen.
Hast Du administrative Vertrauensleute in den anderen Standorten? Immerhin muß ja auch dort mal jemand - und wenn's nur im Notfall ist - administrativ eingreifen können. Mich persönlich würde es ohnehin fürchterlich nervös machen, für IT-Standorte zuständig zu sein, die ich persönlich/körperlich nicht ohne Umstände erreichen kann (zu unseren fahr' ich binnen 3 Minuten mit dem Fahrrad).
Und: Wer (und wie) macht dort das Backup?
Bezüglich Exchange würde ich mir in Deinem Fall aufgrund der großen Entfernung in Verbindung mit der unsicheren WAN-Verbindung (unsicher bzgl. Ausfallsicherheit, bezüglich Datensicherheit sind das hoffentlich VPNs) auch mal Gedanken um das Thema Frontend-/Backend-Exchange machen, das seit Exchange 2013 wieder aktuell ist (gab's vor weit über 10 Jahren schonmal). Siehe hier: https://blogs.technet.microsoft.com/get-exchangehelp/2013/02/07/managing .... Oder die Außenstellen machen gleich OWA. Die aktuellen OWA-Oberflächen aus Exch. 2016 sind vom "echten" Outlook-Client kaum zu unterscheiden und lassen sich ganz genausogut bedienen.
Viele Grüße
von
departure69
Danke für die Ratschläge
Ja, an den Außenstellen sind jeweils Leute die ich notfalls einsetzen kann.
Beim Exchange habe ich auch schon an OWA gedacht.
Danke
Ja, an den Außenstellen sind jeweils Leute die ich notfalls einsetzen kann.
Beim Exchange habe ich auch schon an OWA gedacht.
Danke
