7
Active Directory Forest oder Subdomain
Hallo,
aktueller Zustand:
- Root domain: firma1.local
- Subdmain: lab.firma1.local
Azure AD-Sync ist konfiguriert die user werden zu firma1.tld gesynct.
Da die AD-Umgebung sehr schlecht gewartet wurde, die IT komplett neu aufgebaut werden soll und die Firma sich umstrukturiert. Stellt sich uns die Frage was die beste Option ist.
Demnächst soll Holding (firma2) entstehen in der firma1 eine Tochterfirma sein soll.
Erste Möglichkeit:
- Root domain: ad.firma2.tld
- Subdomain: firma1.firma2.tld
- Subdomain firma1lab.firma2.tld
Zweite Möglichkeit:
- Rootdomain: ad.firma1.tld
- Subdomain: lab.firma1.tld
- Rootdomain: ad.firma2.tld
Und über einem forest trust sind die beiden Domains miteinander verknüpft.
Da firma2 eigentlich in Zukunft nicht mehr existieren soll ist jetzt die Frage ob sich der Aufwand mit dem Forest lohnt. Das wird aber bestimmt noch einige Jahre (3+) dauern, und firma2 (Muttergesellschaft) wird auch erst in 6 Monaten aktiv werden.
Was würdet ihr vorschlagen? Einfach einen Umzug der Domain inkl. lab Sub Domain durchführen und quasi alles wie aktuell laufen lassen. Nur mit frischer Domain und anschließend ein Forest errichten mit der firma2? Oder das Konzept mit den Sub Domains anstreben, kann es hierbei zu Problemen mit dem Azure AD-Sync geben, wenn die Domain welche gesynct wird nur eine Subdomain ist?
Vielen Dank
aktueller Zustand:
- Root domain: firma1.local
- Subdmain: lab.firma1.local
Azure AD-Sync ist konfiguriert die user werden zu firma1.tld gesynct.
Da die AD-Umgebung sehr schlecht gewartet wurde, die IT komplett neu aufgebaut werden soll und die Firma sich umstrukturiert. Stellt sich uns die Frage was die beste Option ist.
Demnächst soll Holding (firma2) entstehen in der firma1 eine Tochterfirma sein soll.
Erste Möglichkeit:
- Root domain: ad.firma2.tld
- Subdomain: firma1.firma2.tld
- Subdomain firma1lab.firma2.tld
Zweite Möglichkeit:
- Rootdomain: ad.firma1.tld
- Subdomain: lab.firma1.tld
- Rootdomain: ad.firma2.tld
Und über einem forest trust sind die beiden Domains miteinander verknüpft.
Da firma2 eigentlich in Zukunft nicht mehr existieren soll ist jetzt die Frage ob sich der Aufwand mit dem Forest lohnt. Das wird aber bestimmt noch einige Jahre (3+) dauern, und firma2 (Muttergesellschaft) wird auch erst in 6 Monaten aktiv werden.
Was würdet ihr vorschlagen? Einfach einen Umzug der Domain inkl. lab Sub Domain durchführen und quasi alles wie aktuell laufen lassen. Nur mit frischer Domain und anschließend ein Forest errichten mit der firma2? Oder das Konzept mit den Sub Domains anstreben, kann es hierbei zu Problemen mit dem Azure AD-Sync geben, wenn die Domain welche gesynct wird nur eine Subdomain ist?
Vielen Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1268074303
Url: https://administrator.de/contentid/1268074303
Printed on: April 26, 2024 at 12:04 o'clock
7 Comments
Latest comment
Hi,
stellt sich die Frage, ob du das allgemein umbauen willst oder musst.
Du kannst auch eine separate Domain machen und dann via ADMT alles in die neue Domain machen.
Gruß
stellt sich die Frage, ob du das allgemein umbauen willst oder musst.
Du kannst auch eine separate Domain machen und dann via ADMT alles in die neue Domain machen.
Gruß
Hallo,
danke für die Antwort. Wir möchten alles umbauen.
Du meinst das ich nur die rootdomain der Holding erstelle:
ad.firma2.tld
Und die User per ADMT von der alten Domain übertrage? Das wäre möglich aber dann wäre es nicht eindeutig das die User aus der Tochterfirma (firma1) arbeiten.
Ich gehe mal davon aus das ich auch einen UPN-Suffix dann erstellen müsste damit der Sync zu firma1 aus der firma2 root domain klappt.
danke für die Antwort. Wir möchten alles umbauen.
Du meinst das ich nur die rootdomain der Holding erstelle:
ad.firma2.tld
Und die User per ADMT von der alten Domain übertrage? Das wäre möglich aber dann wäre es nicht eindeutig das die User aus der Tochterfirma (firma1) arbeiten.
Ich gehe mal davon aus das ich auch einen UPN-Suffix dann erstellen müsste damit der Sync zu firma1 aus der firma2 root domain klappt.
Wenn du das so machen willst mit der Trennung, dann brauchst du auch mehrere DC's.
Wir haben z.B. auch mehrere Standorte mit jeweils unterschiedlichen Firmierungen. Laufen aber alle unter der kompletten Gruppe.
Es gibt also nur ein Forest bei uns.
Gruß
Wir haben z.B. auch mehrere Standorte mit jeweils unterschiedlichen Firmierungen. Laufen aber alle unter der kompletten Gruppe.
Es gibt also nur ein Forest bei uns.
Gruß
Ja das wäre in der neuen Umgebung kein Problem 3-4 VMs mehr zu haben.
Dein Vorschlag wäre natürlich am einfachsten umzusetzen, weißt du wie es dann mit dem Azure AD-Sync aussieht?
Da die Domain ja dann den Namen der Holding (firma2) und nichtmehr (firma1) hat. Muss ich dann einen neuen UPN-Suffix hinzufügen und die User welche ich umgezogen habe dann entsprechend dem Suffix von der firma1 geben, damit der Sync ins Azure-AD funktioniert?
Dein Vorschlag wäre natürlich am einfachsten umzusetzen, weißt du wie es dann mit dem Azure AD-Sync aussieht?
Da die Domain ja dann den Namen der Holding (firma2) und nichtmehr (firma1) hat. Muss ich dann einen neuen UPN-Suffix hinzufügen und die User welche ich umgezogen habe dann entsprechend dem Suffix von der firma1 geben, damit der Sync ins Azure-AD funktioniert?
Zitat von @notmyjob:
Ja das wäre in der neuen Umgebung kein Problem 3-4 VMs mehr zu haben.
Dein Vorschlag wäre natürlich am einfachsten umzusetzen, weißt du wie es dann mit dem Azure AD-Sync aussieht?
Da die Domain ja dann den Namen der Holding (firma2) und nichtmehr (firma1) hat. Muss ich dann einen neuen UPN-Suffix hinzufügen und die User welche ich umgezogen habe dann entsprechend dem Suffix von der firma1 geben, damit der Sync ins Azure-AD funktioniert?
Ja das wäre in der neuen Umgebung kein Problem 3-4 VMs mehr zu haben.
Dein Vorschlag wäre natürlich am einfachsten umzusetzen, weißt du wie es dann mit dem Azure AD-Sync aussieht?
Da die Domain ja dann den Namen der Holding (firma2) und nichtmehr (firma1) hat. Muss ich dann einen neuen UPN-Suffix hinzufügen und die User welche ich umgezogen habe dann entsprechend dem Suffix von der firma1 geben, damit der Sync ins Azure-AD funktioniert?
Das kann ich dir leider nicht beantworten, da ich mit Azure AD Sync noch nicht gearbeitet habe.
Gruß
Zitat von @killtec:
Das kann ich dir leider nicht beantworten, da ich mit Azure AD Sync noch nicht gearbeitet habe.
Gruß
Zitat von @notmyjob:
Ja das wäre in der neuen Umgebung kein Problem 3-4 VMs mehr zu haben.
Dein Vorschlag wäre natürlich am einfachsten umzusetzen, weißt du wie es dann mit dem Azure AD-Sync aussieht?
Da die Domain ja dann den Namen der Holding (firma2) und nichtmehr (firma1) hat. Muss ich dann einen neuen UPN-Suffix hinzufügen und die User welche ich umgezogen habe dann entsprechend dem Suffix von der firma1 geben, damit der Sync ins Azure-AD funktioniert?
Ja das wäre in der neuen Umgebung kein Problem 3-4 VMs mehr zu haben.
Dein Vorschlag wäre natürlich am einfachsten umzusetzen, weißt du wie es dann mit dem Azure AD-Sync aussieht?
Da die Domain ja dann den Namen der Holding (firma2) und nichtmehr (firma1) hat. Muss ich dann einen neuen UPN-Suffix hinzufügen und die User welche ich umgezogen habe dann entsprechend dem Suffix von der firma1 geben, damit der Sync ins Azure-AD funktioniert?
Das kann ich dir leider nicht beantworten, da ich mit Azure AD Sync noch nicht gearbeitet habe.
Gruß
Trotzdem vielen Dank für deinen Input.
Moin,
bevor ich mir da Gedanken um die technischen Vor- und Nachteile machen würde, würde ich erst einmal die rechtlichen Rahmenbedingungen abklären. Aus dem Bauch heraus: Wenn es wirklich zwei getrennte Firmen sind, vermute ich, dass sie aus rechtlichen Gründen auch zwei Domains in einem Forest brauchen. Aber das ist wirklich nur ein Bauchgefühl.
Liebe Grüße
Erik
bevor ich mir da Gedanken um die technischen Vor- und Nachteile machen würde, würde ich erst einmal die rechtlichen Rahmenbedingungen abklären. Aus dem Bauch heraus: Wenn es wirklich zwei getrennte Firmen sind, vermute ich, dass sie aus rechtlichen Gründen auch zwei Domains in einem Forest brauchen. Aber das ist wirklich nur ein Bauchgefühl.
Liebe Grüße
Erik