Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Active Directory - Leere Rootdomäne als Verwaltungsdomäne sinnvoll? Domänencontroller Subdomäne ohne lokalen DNS-Dienst?

Mitglied: Excaliburx

Excaliburx (Level 2) - Jetzt verbinden

13.10.2019, aktualisiert 12:22 Uhr, 321 Aufrufe, 2 Kommentare

Hallo Zusammen,

zwei Fragen zu Active Directory:
1.
Ausgangssituation:
Es besteht eine AD-Gesamtstruktur mit Rootdomäne (leer, so gut wie keine User- und Computerobjekte), die zur Verwaltung zu 2003 Zeiten erstellt wurde.

Frage:
Was sind die Vorteile einer leeren Rootdomäne (früher Replikation per WAN steuern?, granularere Steuerung der Sicherheit?, etc.) die ja früher von Microsoft als leere Verwaltungsdomäne so empfohlen wurde?
Was sind die einzelnen relevanten Punkte in der Konfiguration eines solchen Szenarios einer solchen leeren Verwaltungsdomäne?


2.
Ausgangssituation:
Es sind Domänencontroller von Subdomänen im Einsatz, die lokal keinen DNS-Dienst ausführen und somit den DNS-Dienst der Rootdomänen Domänencontroller mit nutzen.
Die DNS-Zone der Root- und somit auch der Subdomäne sind AD-Integriert.
Die Domänencontroller der Subdomäne befinden sich im gleichen LAN wie der DNS-Server der Rootdomäne, den sie nutzen.
Die Domänencontroller der Subdomäne an Außenstandorten führen hingegen einen lokalen DNS-Dienst aus, damit der DNS-Traffic nicht über die WAN-Strecke übertragen werden muss und es dadurch ggf. wegen hohen Latenzen zu Nebeneffekten kommt, so der Stand von früher (vor Jahren).

Frage:
Gibt es Nachteile durch eine solche Konfiguration, wenn Domänencontroller lokal keinen eigenen DNS-Dienst ausführen?
Außer, dass in dieser Konstellation was DNS-Ausfallsicherheit angeht lediglich zwei anstatt vier DNS-Server vorhanden sind, was jedoch z.B. den administrativen Aufwand etwas verschlankt, da nur 2 anstatt 4 DNS-Server vorhanden sind.

Danke für Eure Tipps/Hilfe!

Gruß
Mitglied: Ad39min
13.10.2019, aktualisiert um 14:28 Uhr
Hallo,

es gibt verschiedene Gründe, die für eine Empty Root Domain im Forest sprechen können.

Z.B. In unserem Unternehmen gibt es weltweit rund 50 Domänen Admins in den jeweiligen Strukturdomänen. Es sind jedoch nur 3 Personen (abgesehen vom vordefinierten "Administrator"-Konto) Enterprise-Admins in der Root-Domäne. Nur sie haben somit Verwaltungsrechte in der Stammdomäne (und automatisch in allen Strukturdomänen).
Exchange-Berechtigungsgruppen sind z.B. wegen strengen Betrieblichen Regelungen in der Stammdomäne aufgehoben, sodass nicht jeder Admin sich diese einfach selbst zuweisen kann. Die interne Zertifizierungsstelle ist als Server auch in der Root-Domäne.

Beim DNS-Server haben wir an jedem größeren Standort mind. 1 dünne Linux-VM laufen, die mit Bind9 die Zonen aller Domänen repliziert. Sie selbst sind jedoch in keiner Domäne. Selbst wenn alle DCs heruntergefahren wären, würde DNS noch problemlos laufen. Der DNS-Dienst ist jedoch trotzdem prinzipiell an jedem DC aktiviert, damit die Linux-VMs von dem site-technisch nähesten DC replizieren können.



Ob ihr also die Stammdomäne behalten wollt, hängt von euren (Sicherheits-)Anforderungen ab.
Beim DNS würde ich verschiedene Szenarien durchspielen, in denen ein Failover notwendig sein kann.

Gruß

Alex

P.S.: Die WAN-Replikation lässt sich ja auch unabhängig von der Domäne über AD Sites and Services steuern.
Bitte warten ..
Mitglied: certifiedit.net
13.10.2019 um 17:59 Uhr
Hier wurde schon ein Großteil genannt. Bei der Betrachtung ist also vor allem euer rechte und Netzschema von Relevanz. Für eine kleine Firma (hier Mal ca 100user, ein Standort) ist dies natürlich eher unsinnig. Was habt ihr denn vorzuweisen?
Bitte warten ..
Ähnliche Inhalte
Windows Server

Active Directory sinnvoll für kleine Firma

Frage von WolfPeanoWindows Server15 Kommentare

Hallo zusammen, lohnt sich die Arbeit auf einem WinServ 2012 R2 Essential ein AD für 6 Clients einzurichten, die ...

Windows Server

Dieser active directory domänencontroller schein der letzte dns

Frage von homermgWindows Server3 Kommentare

Hallo Leute, ich habe Server 2008 Domäne mit vielen DC's 2008er laufen nun will ich einen der DC mit ...

Windows Server

Der DNS-Server hat einen kritischen Active-Directory-Fehler ermittelt. 4015

Frage von manchmalfunktioniertsWindows Server7 Kommentare

Hallo zusammen, Der Eventlog sagt mir folgendes: habe 2 Domaincontroller (Windows server 2012R2) im Einsatz, beide machen auch DHCP ...

Windows Server

Active Directory Probleme DC sieht sich nicht selbst als DC DNS Fehler?

gelöst Frage von Cisco7971Windows Server15 Kommentare

Moin zusammen, Angefangen hat die Suche damit, dass der Anmeldedienst immer angehalten wird, bei einem Neustart des DC. nach ...

Neue Wissensbeiträge
Humor (lol)
Das IoT wird schlimmer
Erfahrungsbericht von Henere vor 1 TagHumor (lol)7 Kommentare

Nun auch schon über den WSUS:

Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 1 TagSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 2 TagenWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Grafik

Gute Spiele aus der Ubuntu Repository: SuperTuxKart

Information von NetzwerkDude vor 2 TagenGrafik2 Kommentare

Fall jemand die Firmenpolicy hat das man Linux Software nur aus dem default Repository installieren kann: Ich habe festgestellt ...

Heiß diskutierte Inhalte
Ubuntu
Ubuntu-Putty hilfe
gelöst Frage von Nickolas.GroheUbuntu53 Kommentare

Hallo Wie ändere ich einen ssh Port auf Linux Ubuntu? LG Nickolas

Windows 7
Festplatte in einen anderen PC umziehen lassen
Frage von Ghost108Windows 729 Kommentare

Hallo zusammen, ich bekomme die nächsten Tage einen neuen PC (komplett andere Hardware als in meinem jetzigen) Was für ...

LAN, WAN, Wireless
10G Netzwerk konfigurieren für maximalen Datendurchsatz
Frage von hukimanLAN, WAN, Wireless29 Kommentare

Guten Morgen, in unserem Betrieb wurde das Netzwerk auf 10G (Kupfer) umgerüstet. Grund dafür sind große Laserscandaten die sehr ...

Firewall
Sophos UTM 9.6 Lets Encrypt Fehler
gelöst Frage von Pageman262Firewall13 Kommentare

Hallo liebe Profis, ich versuche auf einer Sophos UTM Let´s Encrypt zu aktivieren. Ich bekomme dabei diesen Fehler: 2019:11:13-11:15:20 ...