marco-83
Goto Top

Einzel Domänen oder eine Domäne?

Ich hätte da mal eine kurze Frage, wie strukturiert ihr eure AD's in der heutigen Zeit, wo Bandbreite nicht mehr die größte Rolle spielt ?

Wir haben aktuell drei Standorte außerhalb vom Hauptsitz, die ich mit einem eigenen DC versehen habe, allerdings haben wir nur eine Domäne. Aus Gründen der einfacheren Administration haben wir uns damals dazu entschieden. Jeder der drei Standorte hat ca. 15-20 Mitarbeiter. Die gesamte Administration erfolgt vom Haupt Standort aus. Es sind also keine Sub Admins an den Standorten erforderlich.

Die Standorte sind untereinander alle geroutet mit div. eigenen Subnetzen.

Lohnt es sich heute noch für so kleine Standorte eigene Domains im Forest anzulegen?

Mal ein Beispiel, was mich zum Nachdenken angeregt hat:

Domain: meinedomain.local

Hauptsitz:

dc01.meinedomain.local (192.168.1.20)
dc02.meinedomain.local (192.168.1.21)
client1.meinedomain.local(192.168.3.50)

Standort1:
standort1-dc01.meinedomain.local(192.168.60.20)
client2.meinedomain.local(192.168.57.50)

Standort2:
standort2-dc01.meinedomain.local(192.168.66.20)
client3.meinedomain.local(192.168.64.50)

Standort3:
standort3-dc01.meinedomain.local(192.168.51.20)
client4.meinedomain.local(192.168.54.50)

So ca. sieht es hier aus, nur die IP Bereiche sind halt anders. Wir haben pro Standort mehrere Netze. (Clients, Server, Wlan-Clients, Management, Drucker, etc.) Alles schön getrennt, wie der pflichtbewusste Admin es so macht face-smile

Unter Active Directory Standorte und Dienste alle Subnetze den Standorten zugewiesen etc. damit sich auch brav jeder Client an seinem für ihn nächsten DC anmeldet usw. alles schön.

Nun geht man z.B. an Client1, startet ein nslookup auf "meinedomain.local" Dann kommen natürlich die IP's von allen 3 DC's heraus, klar.

Was passiert denn nun, wenn wir eines Tages DFS Freigaben einführen möchten und die Clients keinen Server gezielt per UNC Pfad ansprechen, sondern "\\meinedomain.local\share1" also den namespace. Soweit ich weiß, greift die Standort Zuweisung der Subnetze vom Active Directory hier nicht, oder? Heißt, ich müsste befürchten, es wird eine IP von einem Standort aufgelöst, wo es die Freigabe womöglich nicht gibt.

Muss by Design Client4 z.B. dc01 und dc02 am Haupt Standort mit allen definierten Active Directory TCP/UDP Ports erreichen? Aktuell filtern wir das stark. Client4 hat als DNS seinen lokalen Standort DC (192.168.51.20) und als Backup DNS einen DC vom Hauptsitz (dc01) die Firewall lässt auch nur DNS Anfragen durch, mehr aktuell nicht.

Content-ID: 600903

Url: https://administrator.de/contentid/600903

Ausgedruckt am: 25.11.2024 um 09:11 Uhr

certifiedit.net
certifiedit.net 01.09.2020 um 18:30:07 Uhr
Goto Top
Moin Marco,

lass das mit den .local. Wolltest sowieso mal durchklopfen - dann können wir das effektivste Design "am lebenden Objekt" ergründen.

Grüße!