Active Directory - Leere Rootdomäne als Verwaltungsdomäne sinnvoll? Domänencontroller Subdomäne ohne lokalen DNS-Dienst?
Hallo Zusammen,
zwei Fragen zu Active Directory:
1.
Ausgangssituation:
Es besteht eine AD-Gesamtstruktur mit Rootdomäne (leer, so gut wie keine User- und Computerobjekte), die zur Verwaltung zu 2003 Zeiten erstellt wurde.
Frage:
Was sind die Vorteile einer leeren Rootdomäne (früher Replikation per WAN steuern?, granularere Steuerung der Sicherheit?, etc.) die ja früher von Microsoft als leere Verwaltungsdomäne so empfohlen wurde?
Was sind die einzelnen relevanten Punkte in der Konfiguration eines solchen Szenarios einer solchen leeren Verwaltungsdomäne?
2.
Ausgangssituation:
Es sind Domänencontroller von Subdomänen im Einsatz, die lokal keinen DNS-Dienst ausführen und somit den DNS-Dienst der Rootdomänen Domänencontroller mit nutzen.
Die DNS-Zone der Root- und somit auch der Subdomäne sind AD-Integriert.
Die Domänencontroller der Subdomäne befinden sich im gleichen LAN wie der DNS-Server der Rootdomäne, den sie nutzen.
Die Domänencontroller der Subdomäne an Außenstandorten führen hingegen einen lokalen DNS-Dienst aus, damit der DNS-Traffic nicht über die WAN-Strecke übertragen werden muss und es dadurch ggf. wegen hohen Latenzen zu Nebeneffekten kommt, so der Stand von früher (vor Jahren).
Frage:
Gibt es Nachteile durch eine solche Konfiguration, wenn Domänencontroller lokal keinen eigenen DNS-Dienst ausführen?
Außer, dass in dieser Konstellation was DNS-Ausfallsicherheit angeht lediglich zwei anstatt vier DNS-Server vorhanden sind, was jedoch z.B. den administrativen Aufwand etwas verschlankt, da nur 2 anstatt 4 DNS-Server vorhanden sind.
Danke für Eure Tipps/Hilfe!
Gruß
zwei Fragen zu Active Directory:
1.
Ausgangssituation:
Es besteht eine AD-Gesamtstruktur mit Rootdomäne (leer, so gut wie keine User- und Computerobjekte), die zur Verwaltung zu 2003 Zeiten erstellt wurde.
Frage:
Was sind die Vorteile einer leeren Rootdomäne (früher Replikation per WAN steuern?, granularere Steuerung der Sicherheit?, etc.) die ja früher von Microsoft als leere Verwaltungsdomäne so empfohlen wurde?
Was sind die einzelnen relevanten Punkte in der Konfiguration eines solchen Szenarios einer solchen leeren Verwaltungsdomäne?
2.
Ausgangssituation:
Es sind Domänencontroller von Subdomänen im Einsatz, die lokal keinen DNS-Dienst ausführen und somit den DNS-Dienst der Rootdomänen Domänencontroller mit nutzen.
Die DNS-Zone der Root- und somit auch der Subdomäne sind AD-Integriert.
Die Domänencontroller der Subdomäne befinden sich im gleichen LAN wie der DNS-Server der Rootdomäne, den sie nutzen.
Die Domänencontroller der Subdomäne an Außenstandorten führen hingegen einen lokalen DNS-Dienst aus, damit der DNS-Traffic nicht über die WAN-Strecke übertragen werden muss und es dadurch ggf. wegen hohen Latenzen zu Nebeneffekten kommt, so der Stand von früher (vor Jahren).
Frage:
Gibt es Nachteile durch eine solche Konfiguration, wenn Domänencontroller lokal keinen eigenen DNS-Dienst ausführen?
Außer, dass in dieser Konstellation was DNS-Ausfallsicherheit angeht lediglich zwei anstatt vier DNS-Server vorhanden sind, was jedoch z.B. den administrativen Aufwand etwas verschlankt, da nur 2 anstatt 4 DNS-Server vorhanden sind.
Danke für Eure Tipps/Hilfe!
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 504524
Url: https://administrator.de/contentid/504524
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
2 Kommentare
Neuester Kommentar
Hallo,
es gibt verschiedene Gründe, die für eine Empty Root Domain im Forest sprechen können.
Z.B. In unserem Unternehmen gibt es weltweit rund 50 Domänen Admins in den jeweiligen Strukturdomänen. Es sind jedoch nur 3 Personen (abgesehen vom vordefinierten "Administrator"-Konto) Enterprise-Admins in der Root-Domäne. Nur sie haben somit Verwaltungsrechte in der Stammdomäne (und automatisch in allen Strukturdomänen).
Exchange-Berechtigungsgruppen sind z.B. wegen strengen Betrieblichen Regelungen in der Stammdomäne aufgehoben, sodass nicht jeder Admin sich diese einfach selbst zuweisen kann. Die interne Zertifizierungsstelle ist als Server auch in der Root-Domäne.
Beim DNS-Server haben wir an jedem größeren Standort mind. 1 dünne Linux-VM laufen, die mit Bind9 die Zonen aller Domänen repliziert. Sie selbst sind jedoch in keiner Domäne. Selbst wenn alle DCs heruntergefahren wären, würde DNS noch problemlos laufen. Der DNS-Dienst ist jedoch trotzdem prinzipiell an jedem DC aktiviert, damit die Linux-VMs von dem site-technisch nähesten DC replizieren können.
Ob ihr also die Stammdomäne behalten wollt, hängt von euren (Sicherheits-)Anforderungen ab.
Beim DNS würde ich verschiedene Szenarien durchspielen, in denen ein Failover notwendig sein kann.
Gruß
Alex
P.S.: Die WAN-Replikation lässt sich ja auch unabhängig von der Domäne über AD Sites and Services steuern.
es gibt verschiedene Gründe, die für eine Empty Root Domain im Forest sprechen können.
Z.B. In unserem Unternehmen gibt es weltweit rund 50 Domänen Admins in den jeweiligen Strukturdomänen. Es sind jedoch nur 3 Personen (abgesehen vom vordefinierten "Administrator"-Konto) Enterprise-Admins in der Root-Domäne. Nur sie haben somit Verwaltungsrechte in der Stammdomäne (und automatisch in allen Strukturdomänen).
Exchange-Berechtigungsgruppen sind z.B. wegen strengen Betrieblichen Regelungen in der Stammdomäne aufgehoben, sodass nicht jeder Admin sich diese einfach selbst zuweisen kann. Die interne Zertifizierungsstelle ist als Server auch in der Root-Domäne.
Beim DNS-Server haben wir an jedem größeren Standort mind. 1 dünne Linux-VM laufen, die mit Bind9 die Zonen aller Domänen repliziert. Sie selbst sind jedoch in keiner Domäne. Selbst wenn alle DCs heruntergefahren wären, würde DNS noch problemlos laufen. Der DNS-Dienst ist jedoch trotzdem prinzipiell an jedem DC aktiviert, damit die Linux-VMs von dem site-technisch nähesten DC replizieren können.
Ob ihr also die Stammdomäne behalten wollt, hängt von euren (Sicherheits-)Anforderungen ab.
Beim DNS würde ich verschiedene Szenarien durchspielen, in denen ein Failover notwendig sein kann.
Gruß
Alex
P.S.: Die WAN-Replikation lässt sich ja auch unabhängig von der Domäne über AD Sites and Services steuern.