ozricxx
Goto Top

Einzel-Domain vs Multi-Domain-Forest

Hallo Zusammen,

ich stehe vor folgender Situation:
Unternehmensgruppe besteht aus sechs Firmen mit unterschiedlichen Standorten und operativen Geschäftsführungen.
Aktuell hat jede Firma ein eigenes AD und ist komplett Standalone. Nun soll das Ganze zusammenwachsen (DFS-R, Exchange, usw.).
Ich sehe nun zwei sinnvolle Möglichkeiten:

- Eine große Domain mit Standorten
- Ein Forest, mehrere Domains

Der Forest bietet den Vorteil der klareren Trennung. Könnte eventuell von Vorteil sein, wenn mal eine Firma veräußerst wird?
Die Single-Domain bietet eine deutlich einfachere Administration, aber es ist definitiv alles in einem Topf.
Microsoft empfiehlt so schlank wie möglich zu arbeiten, daher präferiere ich die Single-Domain.
Gibt es Gründe für einen Forest? Übersehe ich eventuell etwas?

Viele Grüße
Jan

Content-ID: 347191

Url: https://administrator.de/forum/einzel-domain-vs-multi-domain-forest-347191.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

beidermachtvongreyscull
beidermachtvongreyscull 24.08.2017 um 10:00:41 Uhr
Goto Top
Ein Forest mehrere Domänen.

Vertrauensstellungen herstellen und gut ist.
Das ist zwar aufwendiger, aber besser so, als Subdomänen oder eine einzige, im Falle dass eine Firma veräußert wird.
ozricXX
ozricXX 24.08.2017 um 10:29:44 Uhr
Goto Top
Hallo,
das wäre auch mein Wunsch gewesen.
Allerdings wohl nicht möglich, da wir eine zentrale Exchange-Umgebung benötigen (eine SMTP Domain für alle Firmen) und DFS-R nutzen wollen.
DFS-R ist nach meinem Wissen nur innerhalb einer Domain bzw. eines Forest möglich.
Ansonsten wären sechs unabhängige Domains mit Trust echt das Beste.

Viele Grüße
Jan
Th0mKa
Th0mKa 24.08.2017 um 13:38:26 Uhr
Goto Top
Zitat von @beidermachtvongreyscull:

Das ist zwar aufwendiger, aber besser so, als Subdomänen oder eine einzige, im Falle dass eine Firma veräußert wird.

Warum sollte er sich mehr Arbeit machen nur weil ein Teil der Firma irgendwann mal vielleicht verkauft werden koennte? Zumal das ja dann das Problem des Kaeufers waere. Multi Domain sorgt fuer Probleme die man nicht haben muss, ich wuerde immer ein Single Domain Modell bevorzugen.

VG,

Thomas
beidermachtvongreyscull
beidermachtvongreyscull 24.08.2017 um 14:40:57 Uhr
Goto Top
Zitat von @Th0mKa:

Warum sollte er sich mehr Arbeit machen nur weil ein Teil der Firma irgendwann mal vielleicht verkauft werden koennte? Zumal das ja dann das Problem des Kaeufers waere. Multi Domain sorgt fuer Probleme die man nicht haben muss, ich wuerde immer ein Single Domain Modell bevorzugen.

VG,

Thomas

Ja, Du hast Recht. Ich tendiere nur dazu, im Abrissfall es so einfach wie möglich zu handhaben für beide Seiten.
Einfach Stecker ziehen (Trust lösen).

VG,
Andreas
beidermachtvongreyscull
beidermachtvongreyscull 24.08.2017 aktualisiert um 14:45:16 Uhr
Goto Top
Zitat von @ozricXX:

Hallo,
das wäre auch mein Wunsch gewesen.
Allerdings wohl nicht möglich, da wir eine zentrale Exchange-Umgebung benötigen (eine SMTP Domain für alle Firmen) und DFS-R nutzen wollen.
DFS-R ist nach meinem Wissen nur innerhalb einer Domain bzw. eines Forest möglich.
Ansonsten wären sechs unabhängige Domains mit Trust echt das Beste.

Ich wüßte nicht, warum das nicht gehen sollte.
Bei Trusts vertrauen sich ja nicht nur die Domänen und die Domänen den Nutzern, sondern auch die Domänen den anderen Computern als auch die Computer unterschiedlicher Domänen.

Dem EX ist es Wurscht, welche SMTP-Domäne er nach außen hostet.
Er muss nur wissen wen er gegen was authentifiziert und dass der Authentifizierungsdomäne von seiner Domäne vertraut wird und er somit dieser auch vertrauen kann.

VG,
Andreas

DNS ist hier auschlaggebend bei Trusts. Das muss absolut sauber sein sonst war es das.
ozricXX
ozricXX 24.08.2017 um 16:09:43 Uhr
Goto Top
Hallo Andreas,

laut MS ist DFS-R leider trotzdem nicht machbar.

Viele Grüße
Jan
beidermachtvongreyscull
beidermachtvongreyscull 24.08.2017 um 16:34:12 Uhr
Goto Top
Zitat von @ozricXX:

Hallo Andreas,

laut MS ist DFS-R leider trotzdem nicht machbar.

Viele Grüße
Jan

Echt?!

Hätte ich jetzt nicht gedacht.
Dann bitte ich Dich um Entschuldigung für diese Fehlinformation.
emeriks
emeriks 24.08.2017 aktualisiert um 17:09:35 Uhr
Goto Top
Hi,
na dann wollen wir mal Licht ins Dunkel bringen! face-wink

- Eine große Domain mit Standorten
- Ein Forest, mehrere Domains
In beiden Fällen musst (solltest) Du im AD Standort-Objekte anlegen.

Der Forest bietet den Vorteil der klareren Trennung. Könnte eventuell von Vorteil sein, wenn mal eine Firma veräußerst wird?
Du meinst nicht den Forest sondern das Modell der mehreren Domänen.
Wenn Du Dir die möglichst einfache Trennung als wahrscheinliche Option erhalten willst, dann solltest Du bei mehreren Forest bleiben. Man kann auch ganze Forest miteinander vertrauen!
Die Single-Domain bietet eine deutlich einfachere Administration, aber es ist definitiv alles in einem Topf.
Das kommt ganz auf Eure Gegebenheiten an. Wenn zu erwarten ist, dass an den anderen Standorten volle Adminrechte in der Domäne erforderlich oder gewünscht oder gefordert werden (Edit: Für Mitarbeiter der anderen Standorte), dann sind mehrere Domänen vorzuziehen, egal ob in einem Forest oder in mehreren. Bei einem Forest sollte die Verwaltng der Stammdomäne aber in der Hand der zentralen IT bleiben.

Exchange kann mit Domänen-Vertrauensstellungen auch Postfächer für mehrere Forest bereitstellen. Allerdings benötigt man dann für Konten der "fremden" Domänen jeweils ein zweites Konto im Forest mit dem Exchange, welchem das Postfach zugeordnet wird, auf welchem das "fremde" Konto Vollzugriff erhält und welches selbst deaktiviert ist.

Je nach Größe der Standorte wird man eh jeweils vor Ort min. einen DC benötigen. Entweder von der eigenen lokalen Domäne im eigenen Forest oder von der eigenen Domäne im zentralen Forest oder von der einen Domäne im zentraken Forest.

Zu DFS-R bei mehreren Forest:
Der Denkfehler liegt beim Server. Die Server, welche am DFS-R teilnehmen, müssen im selben Forest sein. Nicht die Anwender oder Clients. Es würde also auch reichen, am Standort einen Fileserver zu haben, welcher Member der zentralen Domäne ist. Durch die Vertrauenststellungen kann man auch den Konten der Standort-Domäne Zugriff auf die Daten dieses Fileservers erteilen. Ich empfehle aber, sich hier streng an A-G-DL-P zu halten!

E.
ozricXX
ozricXX 24.08.2017 um 19:33:13 Uhr
Goto Top
Hallo emeriks,

vielen Dank für die detaillierte Ausführung!
Danke auch an alle anderen Helfer!

Grundsätzlich machen wir die Administration zentral.
An einzelnen Standorten müssen höchstens Keyuser andere Konten anlegen, da das ERP-System auf AD Konten zurückgreift.
So werden auf die Schnelle z.B. Zeitarbeiter angelegt (Zeiterfassung).
Das könnte man in einer Domain wahrscheinlich mit Hilfe von OUs und delegierten Admins regeln, oder?
Eine Trennung der Firmen ist eher unwahrscheinlich.

Welches Model würdest du bevorzugen?
Ich bin da etwas zwiegespalten zwischen komplett entkoppelte Domains und eine Domain für alles. Forest mit Subdomains fällt für mich aktuell raus.

Viele Grüße
Jan
emeriks
Lösung emeriks 24.08.2017 aktualisiert um 21:12:36 Uhr
Goto Top
Grundsätzlich machen wir die Administration zentral.
An einzelnen Standorten müssen höchstens Keyuser andere Konten anlegen, da das ERP-System auf AD Konten zurückgreift.
So werden auf die Schnelle z.B. Zeitarbeiter angelegt (Zeiterfassung).
Das könnte man in einer Domain wahrscheinlich mit Hilfe von OUs und delegierten Admins regeln, oder?
Eine Trennung der Firmen ist eher unwahrscheinlich.
Wenn Du das so klar absehen kannst, dann würde ich zum Ein-Domänen-Modell tendieren.
Allerdings muss man auch Aufwand-Nutzen abwägen und ggf. manchmal auch die Kirschen am Baum lassen.
Welches Model würdest du bevorzugen?
Ich würde wahrscheinlich zunächst nur Forest-Trusts einrichten. Bidirektional je Zentrale mit Standort. Nicht die Standorte untereinander. Sofern mehrere Exchange, dann würde ich auch diese erstmal miteinander "vertraut" machen, d.h. das der interne Mailverkehr nicht mehr über das Internet geht sondern gleich durch die Standleitung von Exchange zu Exchange. Nur einen der Exchange (Zentrale) würde ich nach extern senden lassen. Den Mail-Eingang aller Standorte auf die Zenzrale zusammenfassen.
Dann würde ich entweder den Forest der Zentrale als neuen Haupt-Forest festlegen oder einen vollkommen neuen Forest beginnen (und später auch den aktuellen der Zentrale dort hinein migrieren).
Dann würde ich erstmal die Administration zentralisieren. Also Administration in allen Domänen mit Admin-Konten aus der Zentrale. Und umgekehrt die Administration mit Konten der Standorte "abschalten", also Kennwörter ändern.
Danach erst würde ich mir Gedanken machen, wie, in welcher Reihenfolge, wann und ob überhaupt ich die Domänen konsolidiere.

Mittel meiner Wahl wäre ganz sicher ADMT unter Berücksichtigung der anstehenden Exchange Cross Forest Migration.

Stichwort: sidHistory ("SID-Verlauf")

ADMT hätte den Vorteil, dass Du keine neuen Konten haben würdest. Sogar die Passwörter der Konten würden sich nicht ändern. Der Anwender würde fast nichts merken vom Umzug des Kontos und des Computers. Eindeutige Computer- und Benutzer-Loginnamen mal vorausgesetzt.

Neue Konten + Postfächer anzulegen kann man zwar auch machen. Aber sowas machen "richtige" Admins nicht. face-wink Sowas produziert nur unnötige Arbeit. Es sei denn, Du/Ihr hast/habt nichts zu tun und müsst Euer Dasein rechtfertigen ... face-wink
ozricXX
ozricXX 28.08.2017 um 17:53:22 Uhr
Goto Top
Danke für deine Hilfe!