16
Active Directory Standort Konzept
Hallo zusammen,
wir haben in unserer Firma eine gewachsene Struktur, die ich jetzt gerne ändern würde. Im Moment haben wir in jedem Standort (Anzahl 30) in Deutschland einen Domain Controller 2003, DNS, DHCP und einen Fileserver. Da ich jetzt auf w2k8R2 upgraden möchte, ist das mir zu teuer (Lizenzen) und zu viel administratorischer Aufwand. Meine Vorstellung ist jetzt, an den 5 größten Standorten einen DC, DNS, DHCP und einen Fileserver (bleibt bestehen) zu installieren. Alle anderen Standorte (Fileserver bleibt vor Ort) melden sich jetzt im Hauptstandort an und bekommen von dort DNS, DHCP,... Die Vorteile sind die Lizenz-Kosten, administratorischer Aufwand, AD-Replikationen, ...
Der Nachteil ist, wenn die VPN-Leitung weg bricht, können die User nicht mehr auf den Fileserver zu greifen. Die zentralen Applikationen funktionieren dann sowieso nicht mehr..
Hat von euch noch jemand eine andere Idee? Man sollte vorallem den administratorischen Aufwand und die einzelnen Standorte betrachten.
Im voraus Vielen Dank für eure Antworten.
Peter
wir haben in unserer Firma eine gewachsene Struktur, die ich jetzt gerne ändern würde. Im Moment haben wir in jedem Standort (Anzahl 30) in Deutschland einen Domain Controller 2003, DNS, DHCP und einen Fileserver. Da ich jetzt auf w2k8R2 upgraden möchte, ist das mir zu teuer (Lizenzen) und zu viel administratorischer Aufwand. Meine Vorstellung ist jetzt, an den 5 größten Standorten einen DC, DNS, DHCP und einen Fileserver (bleibt bestehen) zu installieren. Alle anderen Standorte (Fileserver bleibt vor Ort) melden sich jetzt im Hauptstandort an und bekommen von dort DNS, DHCP,... Die Vorteile sind die Lizenz-Kosten, administratorischer Aufwand, AD-Replikationen, ...
Der Nachteil ist, wenn die VPN-Leitung weg bricht, können die User nicht mehr auf den Fileserver zu greifen. Die zentralen Applikationen funktionieren dann sowieso nicht mehr..
Hat von euch noch jemand eine andere Idee? Man sollte vorallem den administratorischen Aufwand und die einzelnen Standorte betrachten.
Im voraus Vielen Dank für eure Antworten.
Peter
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 216174
Url: https://administrator.de/forum/active-directory-standort-konzept-216174.html
Ausgedruckt am: 06.04.2025 um 00:04 Uhr
16 Kommentare
Neuester Kommentar
Hallo,
Dann kannst Du die Lizenzkosten dagegen rechnen und weißt ob sich Dein Vorhaben lohnt!
Windwos Server 2008 nimmst Du bestimmt auch nur weil sonst noch Hadwarekosten auf Dich zukommen, liege ich damit richtig?
Klar wir sind in einer "Krise" oder eventuell auch Eure Firma nicht bzw. Ihr seit nicht so stark frequentiert davon, aber rechne Dir das
was ich oben über den Stillstand geschrieben einmal aus und dann denke einmal daran das der Baggerfahrer das Kabel nicht mit
Absicht trifft, aber eben doch öfters als man denkt und dann ist es auch eigentlich egal ob man nur einen oder mehrere Internetzugänge
vor Ort hat, denn in der Regel gehen die alle über ein und das selbe Kabel.
Machen kann man ja vieles heute zu Tage aber man sollte das auch jedes mal vorher genau ausrechnen, nicht das man sonst schlechter
dasteht bzw. noch Geld drauflegt obwohl man ja eigentlich etwas sparen wollte.
Gruß
Dobby
Die Vorteile sind die Lizenz-Kosten, administratorischer Aufwand, AD-Replikationen, ...
Was kostet eine Stunde, ein halber Tag und ein ganzer Tag Stillstand bei jeder Niederlassung wenn es einmal dazu kommt?Dann kannst Du die Lizenzkosten dagegen rechnen und weißt ob sich Dein Vorhaben lohnt!
Windwos Server 2008 nimmst Du bestimmt auch nur weil sonst noch Hadwarekosten auf Dich zukommen, liege ich damit richtig?
Klar wir sind in einer "Krise" oder eventuell auch Eure Firma nicht bzw. Ihr seit nicht so stark frequentiert davon, aber rechne Dir das
was ich oben über den Stillstand geschrieben einmal aus und dann denke einmal daran das der Baggerfahrer das Kabel nicht mit
Absicht trifft, aber eben doch öfters als man denkt und dann ist es auch eigentlich egal ob man nur einen oder mehrere Internetzugänge
vor Ort hat, denn in der Regel gehen die alle über ein und das selbe Kabel.
Machen kann man ja vieles heute zu Tage aber man sollte das auch jedes mal vorher genau ausrechnen, nicht das man sonst schlechter
dasteht bzw. noch Geld drauflegt obwohl man ja eigentlich etwas sparen wollte.
Gruß
Dobby
Da stellt sich mir die Frage: Der Fileserver soll unter 2003 weiterlaufen? Was bringt dann das umgestelle?
Hallo Dobby,
in erster Linie gehts es um den administrativen Aufwand, den wir haben. Wir sind 3-4 Admins und sind weltweit unterwegs mit 20 Domänen, x-Standorten usw. Die Lizenzkosten ist nicht das große Problem. Unserer Firma geht es ganz gut
Ich kann mich nicht erinnern, dass eine VPN-Leitung bei uns lange ausgefallen ist. Die zentralen Systeme wie SAP und Exchange nutzen unsere User sowieso am meisten, die fallen, bei egal welchem Konzept, dann aus. Der Fileserver ist das einzigste Problem, was mit dem neuen Konzept dann hinzukommen würde. Was ich als Alternative noch habe, ist an allen Standorten DNS und DHCP zu installieren. Dann könnten sich die User mit einer lokalen Kennung am Fileserver anmelden.
2008 mache ich deshalb, da mir 2012 noch nicht gefällt.
Gruß Peter
in erster Linie gehts es um den administrativen Aufwand, den wir haben. Wir sind 3-4 Admins und sind weltweit unterwegs mit 20 Domänen, x-Standorten usw. Die Lizenzkosten ist nicht das große Problem. Unserer Firma geht es ganz gut
Ich kann mich nicht erinnern, dass eine VPN-Leitung bei uns lange ausgefallen ist. Die zentralen Systeme wie SAP und Exchange nutzen unsere User sowieso am meisten, die fallen, bei egal welchem Konzept, dann aus. Der Fileserver ist das einzigste Problem, was mit dem neuen Konzept dann hinzukommen würde. Was ich als Alternative noch habe, ist an allen Standorten DNS und DHCP zu installieren. Dann könnten sich die User mit einer lokalen Kennung am Fileserver anmelden.
2008 mache ich deshalb, da mir 2012 noch nicht gefällt.
Gruß Peter
Ich will vorallem den Funktionslevel vom AD auf 2008R2 bringen, um die neuen Features zu nutzen. Neue Fileserver werden auch auf 2008 installiert.
Dann macht es doch keinen Unterschied imho musst du jeden Benutzer sowieso lizenzieren und die AD Server sind auch auf 2008R2 (warte evtl auf 2012r2?) Die Administration kann lokal auf einem Server erfolgen und wird dann - wenn man es ordentlich nach Plan macht - auf die anderen Server repliziert - das ist ja Sinn und Zweck verteilter AD Strukturen.
Wenn jeder AD in jeder Dom einzeln steht glaub ich dir das mit dem Admin Aufwand - aber ehrlich, das ist auch Murks.
Wenn jeder AD in jeder Dom einzeln steht glaub ich dir das mit dem Admin Aufwand - aber ehrlich, das ist auch Murks.
Hinsichtlich des administrativen Aufwandes stinkt der Fisch von der Anzahl der Domänen her. Aus welchen Gründen gibt es derer mehr als eine?
Ob man nun zwei oder hundert DCs in einer Domäne hat, macht administrativ nur einen geringen Unterschied.
Ob es eines eigenen Standortes (im Sinne von MS/AD) mit eigenem lokalem DC innerhalb einer Domäne bedarf, hängt u.a. davon ab, welche Bandbreiten zwischen den Lokationen zur Verfügung stehen und wie verlässtlich sie sind.
Gruß
sk
Ob man nun zwei oder hundert DCs in einer Domäne hat, macht administrativ nur einen geringen Unterschied.
Ob es eines eigenen Standortes (im Sinne von MS/AD) mit eigenem lokalem DC innerhalb einer Domäne bedarf, hängt u.a. davon ab, welche Bandbreiten zwischen den Lokationen zur Verfügung stehen und wie verlässtlich sie sind.
Gruß
sk
Es geht nur um die Domäne in Deutschland, da dort der Aufwand, den ich mit 30 Standorten habe, relativ groß ist. Beim Upgrade, tägliches Sichern von DHCP und kontrolle ob gesichert wurde, jedes Eventlog von DC durchschauen, ob alles ok, ...
Wenn ich euch richtig verstehe, würdet ihr in jedem Standort einen DC installieren, "nur" um am Fileserver arbeiten zu können.
Gruß Peter
Wenn ich euch richtig verstehe, würdet ihr in jedem Standort einen DC installieren, "nur" um am Fileserver arbeiten zu können.
Gruß Peter
Hallo sk,
wir haben eine Forest Domäne und 20 Subdomäne (für jedes Land). Ich finde den Aufwand nicht unerheblich, ob ich 30 DC's upgrade und kontrolliere oder 5. Das macht schon einen Unterschied. Die Bandbreiten der Standorte sind auch nicht mehr das Problem. Die Ausfälle sind auch äußert gerin.
Gruß
Peter
wir haben eine Forest Domäne und 20 Subdomäne (für jedes Land). Ich finde den Aufwand nicht unerheblich, ob ich 30 DC's upgrade und kontrolliere oder 5. Das macht schon einen Unterschied. Die Bandbreiten der Standorte sind auch nicht mehr das Problem. Die Ausfälle sind auch äußert gerin.
Gruß
Peter
Ja, wir würden
1 Domäne, nennen wir sie "Deutschland" einrichten. Dazu in jeder Außenstelle einen DC.
Die Logs kann man automatisiert auslesen. Backup kann man auch automatisieren und dann nur noch danach schauen, wenn a) das Backupprogramm Fehler meldet b) es gar nichts meldet (= Kein Erfolg).
1 Domäne, nennen wir sie "Deutschland" einrichten. Dazu in jeder Außenstelle einen DC.
Die Logs kann man automatisiert auslesen. Backup kann man auch automatisieren und dann nur noch danach schauen, wenn a) das Backupprogramm Fehler meldet b) es gar nichts meldet (= Kein Erfolg).
Hallo nochmal,
was nicht in Ordnung war bzw. glatt gelaufen ist. und bei 30 Standorten macht sich so etwas schon bezahlt.
Gruß
Dobby
Beim Upgrade, tägliches Sichern von DHCP und kontrolle ob gesichert wurde, jedes Eventlog von DC durchschauen, ob alles ok, ...
Die kann man auch durch einen Syslogserver abarbeiten lassen und/oder mit Scripten arbeiten die einen Report erstellen und nur das meldenwas nicht in Ordnung war bzw. glatt gelaufen ist. und bei 30 Standorten macht sich so etwas schon bezahlt.
Gruß
Dobby
Hallo Peter,
je eine Subdomain pro Land scheint mir auch ein wenig willkürlich designt zu sein, aber sei's drum. Scheinbar geht es hier ja um die Anzahl der DCs innerhalb der Subdomain für Deutschland.
Inwiefern hier jeweils auf einen lokalen DC verzichtet werden kann, kann man anhand der bisherigen Informationen aus der Ferne kaum seriös beurteilen. Dafür müsste man schon die Umgebung und die "Business-Anforderungen" im Detail genauer kennen und letztlich vermutlich Lokation für Lokation eine Entscheidung treffen. Ich bin schon der Meinung, dass man auf alles verzichten sollte, was nicht unbedingt erforderlich ist. Bedenke, dass es für den Zugriff auf einen lokalen Fileserver nicht unbedingt der Verfügbarkeit eines Anmeldeservers bedarf. Außerdem stellt sich - wie Du schon selber richtig angemerkt hast - die Sinnfrage, wenn elementar wichtige Applikationen ohnehin zentral bereitgestellt werden und bei deren Nichtverfügbarkeit der Rest bedeutungs-/funktionslos ist. Statt der Vorhaltung lokaler Ressorcen kann es da sinnvoller sein, in ausfallsichere Netzwerkstrukturen zu investieren (z.B. redundante VPN-Gateways mit multipler WAN-Anbindung über unterschiedliche Wege und Technologien). Auch über den Einsatz von Terminalservern sollte ggf. nachgedacht werden.
Im Übrigen stimme ich aber mit den anderen darin überein, dass eine höhere Zahl DCs nicht zwingend einen höheren täglichen/wiederkehrenden Administrationsaufwand bedeuten muss. Für das Upgrade auf 2008/2012 ist es natürlich schon ein Mehraufwand, aber im täglichen Betrieb nicht zwingend. Ich meine aus Deinen Ausführungen ebenfalls herauszuhören, dass es momentan ein Definzit an Automation und Monitoring gibt...
Gruß
Steffen
je eine Subdomain pro Land scheint mir auch ein wenig willkürlich designt zu sein, aber sei's drum. Scheinbar geht es hier ja um die Anzahl der DCs innerhalb der Subdomain für Deutschland.
Inwiefern hier jeweils auf einen lokalen DC verzichtet werden kann, kann man anhand der bisherigen Informationen aus der Ferne kaum seriös beurteilen. Dafür müsste man schon die Umgebung und die "Business-Anforderungen" im Detail genauer kennen und letztlich vermutlich Lokation für Lokation eine Entscheidung treffen. Ich bin schon der Meinung, dass man auf alles verzichten sollte, was nicht unbedingt erforderlich ist. Bedenke, dass es für den Zugriff auf einen lokalen Fileserver nicht unbedingt der Verfügbarkeit eines Anmeldeservers bedarf. Außerdem stellt sich - wie Du schon selber richtig angemerkt hast - die Sinnfrage, wenn elementar wichtige Applikationen ohnehin zentral bereitgestellt werden und bei deren Nichtverfügbarkeit der Rest bedeutungs-/funktionslos ist. Statt der Vorhaltung lokaler Ressorcen kann es da sinnvoller sein, in ausfallsichere Netzwerkstrukturen zu investieren (z.B. redundante VPN-Gateways mit multipler WAN-Anbindung über unterschiedliche Wege und Technologien). Auch über den Einsatz von Terminalservern sollte ggf. nachgedacht werden.
Im Übrigen stimme ich aber mit den anderen darin überein, dass eine höhere Zahl DCs nicht zwingend einen höheren täglichen/wiederkehrenden Administrationsaufwand bedeuten muss. Für das Upgrade auf 2008/2012 ist es natürlich schon ein Mehraufwand, aber im täglichen Betrieb nicht zwingend. Ich meine aus Deinen Ausführungen ebenfalls herauszuhören, dass es momentan ein Definzit an Automation und Monitoring gibt...
Gruß
Steffen
Hallo Steffen,
warum "willkürlich"? Jedes Land hat seine Domäne und übergeordnet ist die Root Domäne.
Unser Monitoring übernimmt Nagios. Je mehr Server desto mehr Aufwand und deswegen bin ich am Überlegen, ob es vielleicht ausreicht an einigen Standorten auf einen DC zu verzichten.Da wir meiner Meinung zu wenige Admins sind, ist das doch eine Überlegung wert. "Vielleicht sollte man einen Standort an die Wand fahren lassen, um mehr Personal zu bekommen." Ist aber nicht meine Meinung. Unsere Leitungen sind auch sehr stabil, natürlich sind wir abhängig vom Baggerfahrer, ...
OK, ich werde das noch intern diskutieren und eine Kostenabschäzung durchführen.
Gruß
Peter
warum "willkürlich"? Jedes Land hat seine Domäne und übergeordnet ist die Root Domäne.
Unser Monitoring übernimmt Nagios. Je mehr Server desto mehr Aufwand und deswegen bin ich am Überlegen, ob es vielleicht ausreicht an einigen Standorten auf einen DC zu verzichten.Da wir meiner Meinung zu wenige Admins sind, ist das doch eine Überlegung wert. "Vielleicht sollte man einen Standort an die Wand fahren lassen, um mehr Personal zu bekommen." Ist aber nicht meine Meinung. Unsere Leitungen sind auch sehr stabil, natürlich sind wir abhängig vom Baggerfahrer, ...
OK, ich werde das noch intern diskutieren und eine Kostenabschäzung durchführen.
Gruß
Peter
Zitat von @BPeter:
warum "willkürlich"? Jedes Land hat seine Domäne und übergeordnet ist die Root Domäne.
warum "willkürlich"? Jedes Land hat seine Domäne und übergeordnet ist die Root Domäne.
Weil (bislang) kein technischer Grund hierfür genannt wurde (wie z.B. unterschiedliche Passwort-Policies). Meist waren die Gründe vermeintlich organisatorische Anforderungen, die sich bei genauer Betrachtung in einem single-Domain-Modell zumindest auch - wenn nicht gar besser - hätten lösen lassen. Am Ende bleibt als entscheidungserheblich häufig nur ein diffuses Gefühl übrig, dass es so sinnvoll wäre.
Zitat von @BPeter:
Unser Monitoring übernimmt Nagios. Je mehr Server desto mehr Aufwand und deswegen bin ich am
Überlegen, ob es vielleicht ausreicht an einigen Standorten auf einen DC zu verzichten.
Unser Monitoring übernimmt Nagios. Je mehr Server desto mehr Aufwand und deswegen bin ich am
Überlegen, ob es vielleicht ausreicht an einigen Standorten auf einen DC zu verzichten.
Wie gesagt: Ich empfehle ebenfalls, alles auf den Prüfstand zu stellen und die Struktur so schlank wie möglich zu halten. Es ist nur schwerlich möglich, mit den vorliegenden Infos eine belastbare Empfehlung zu geben.
Ob 3-4 Admins dafür zu wenig sind, hängt davon ab, welche Arbeiten inhaltlich konkret zu bewältigen sind und wie sie die Arbeit organisieren. Sofern es wirklich nur um die reine Server- und AD-Administration geht, sind 3-4 Admins sicherlich nicht unterdimensioniert, sondern auch im Hinblick auf gegenseitige Vertretungserfordernisse eher genau richtig.
Zitat von @BPeter:
"Vielleicht sollte man einen Standort an die Wand fahren lassen, um mehr Personal zu bekommen."
"Vielleicht sollte man einen Standort an die Wand fahren lassen, um mehr Personal zu bekommen."
Vorsicht vor dem Ruf nach mehr Personal! Aus eigener leidvoller Erfahrung kann ich Dir sagen, dass es dann auch das richtige Personal sein muss (hinsichtlich Qualifikation, Erfahrung, Motivation und charakterlicher sowie kognitiver Eignung). Von einfachen mechanischen Verrichtungen, welche parallel stattfinden können, abgesehen, schaffen vier Personen ohnehin niemals doppelt so viel, wie zwei. Allein schon, weil damit auch der Koordinierungsaufwand steigt. Das zusätzliche Personal muss unbedingt eigene Verantwortlichkeiten und Zuständigkeiten haben, sonst verbleibt die Arbeit bei denen, die sie bisher auch erledigten - im Gegenteil: es kommt bei diesen noch mehr drauf, weil ja mehr Personal vorhanden...
Abgesehen davon kann es durchaus hilfreich sein, wenn Mitarbeiter und Chefetage gelegentlich merken, dass die IT-Administration etwas erkennbar Sinnvolles tut. Zu geräuschlos darf es nicht unbedingt laufen...
Gruß
Steffen
bzgl. des Personals bin ich deiner Meinung. Viele Köche verderben den Brei. Da wir auch für SAN, Exchange, Firewalls, Server, AD, Berechtigungen, ... zu ständig sind, wäre ich um einen Reduzierung der Dienste schon froh.
Da wir teilweise an anderen Domänen Admins haben, in das Konstrukt schon ok. Hat sich auch schon gut 10 Jahre bewährt, ohne Ausfall.
Vielen Dank für deine Ausführung
Peter
Da wir teilweise an anderen Domänen Admins haben, in das Konstrukt schon ok. Hat sich auch schon gut 10 Jahre bewährt, ohne Ausfall.
Vielen Dank für deine Ausführung
Peter
Da wir teilweise an anderen Domänen Admins haben, in das Konstrukt schon ok. Hat sich auch schon gut 10 Jahre bewährt, ohne Ausfall.
Jetzt sag ich Dir mal etwas, also wenn etwas 10 Jahre ohne Komplikationen und Probleme läuft,es der Firma gut geht, dann um Himmels Willen ändere das auch nicht!!!
Manchmal denkt man zuerst man würde Zeit und Geld sparen, aber hinterher merkt man dann das man Zeit und
Geld und Nerven und was weiß ich noch nicht alles drauflegt! Spar Dir die Erfahrung und mach es so wie bis jetzt.
Gruß
Dobby
...sagten die Menschen zum Erfinder des Rades...
