Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Einzel-Domain vs Multi-Domain-Forest

Mitglied: ozricXX

ozricXX (Level 1) - Jetzt verbinden

24.08.2017 um 09:58 Uhr, 1292 Aufrufe, 11 Kommentare, 3 Danke

Hallo Zusammen,

ich stehe vor folgender Situation:
Unternehmensgruppe besteht aus sechs Firmen mit unterschiedlichen Standorten und operativen Geschäftsführungen.
Aktuell hat jede Firma ein eigenes AD und ist komplett Standalone. Nun soll das Ganze zusammenwachsen (DFS-R, Exchange, usw.).
Ich sehe nun zwei sinnvolle Möglichkeiten:

- Eine große Domain mit Standorten
- Ein Forest, mehrere Domains

Der Forest bietet den Vorteil der klareren Trennung. Könnte eventuell von Vorteil sein, wenn mal eine Firma veräußerst wird?
Die Single-Domain bietet eine deutlich einfachere Administration, aber es ist definitiv alles in einem Topf.
Microsoft empfiehlt so schlank wie möglich zu arbeiten, daher präferiere ich die Single-Domain.
Gibt es Gründe für einen Forest? Übersehe ich eventuell etwas?

Viele Grüße
Jan
Mitglied: beidermachtvongreyscull
24.08.2017 um 10:00 Uhr
Ein Forest mehrere Domänen.

Vertrauensstellungen herstellen und gut ist.
Das ist zwar aufwendiger, aber besser so, als Subdomänen oder eine einzige, im Falle dass eine Firma veräußert wird.
Bitte warten ..
Mitglied: ozricXX
24.08.2017 um 10:29 Uhr
Hallo,
das wäre auch mein Wunsch gewesen.
Allerdings wohl nicht möglich, da wir eine zentrale Exchange-Umgebung benötigen (eine SMTP Domain für alle Firmen) und DFS-R nutzen wollen.
DFS-R ist nach meinem Wissen nur innerhalb einer Domain bzw. eines Forest möglich.
Ansonsten wären sechs unabhängige Domains mit Trust echt das Beste.

Viele Grüße
Jan
Bitte warten ..
Mitglied: Th0mKa
24.08.2017 um 13:38 Uhr
Zitat von beidermachtvongreyscull:

Das ist zwar aufwendiger, aber besser so, als Subdomänen oder eine einzige, im Falle dass eine Firma veräußert wird.

Warum sollte er sich mehr Arbeit machen nur weil ein Teil der Firma irgendwann mal vielleicht verkauft werden koennte? Zumal das ja dann das Problem des Kaeufers waere. Multi Domain sorgt fuer Probleme die man nicht haben muss, ich wuerde immer ein Single Domain Modell bevorzugen.

VG,

Thomas
Bitte warten ..
Mitglied: beidermachtvongreyscull
24.08.2017 um 14:40 Uhr
Zitat von Th0mKa:

Warum sollte er sich mehr Arbeit machen nur weil ein Teil der Firma irgendwann mal vielleicht verkauft werden koennte? Zumal das ja dann das Problem des Kaeufers waere. Multi Domain sorgt fuer Probleme die man nicht haben muss, ich wuerde immer ein Single Domain Modell bevorzugen.

VG,

Thomas

Ja, Du hast Recht. Ich tendiere nur dazu, im Abrissfall es so einfach wie möglich zu handhaben für beide Seiten.
Einfach Stecker ziehen (Trust lösen).

VG,
Andreas
Bitte warten ..
Mitglied: beidermachtvongreyscull
24.08.2017, aktualisiert um 14:45 Uhr
Zitat von ozricXX:

Hallo,
das wäre auch mein Wunsch gewesen.
Allerdings wohl nicht möglich, da wir eine zentrale Exchange-Umgebung benötigen (eine SMTP Domain für alle Firmen) und DFS-R nutzen wollen.
DFS-R ist nach meinem Wissen nur innerhalb einer Domain bzw. eines Forest möglich.
Ansonsten wären sechs unabhängige Domains mit Trust echt das Beste.

Ich wüßte nicht, warum das nicht gehen sollte.
Bei Trusts vertrauen sich ja nicht nur die Domänen und die Domänen den Nutzern, sondern auch die Domänen den anderen Computern als auch die Computer unterschiedlicher Domänen.

Dem EX ist es Wurscht, welche SMTP-Domäne er nach außen hostet.
Er muss nur wissen wen er gegen was authentifiziert und dass der Authentifizierungsdomäne von seiner Domäne vertraut wird und er somit dieser auch vertrauen kann.

VG,
Andreas

DNS ist hier auschlaggebend bei Trusts. Das muss absolut sauber sein sonst war es das.
Bitte warten ..
Mitglied: ozricXX
24.08.2017 um 16:09 Uhr
Hallo Andreas,

laut MS ist DFS-R leider trotzdem nicht machbar.

Viele Grüße
Jan
Bitte warten ..
Mitglied: beidermachtvongreyscull
24.08.2017 um 16:34 Uhr
Zitat von ozricXX:

Hallo Andreas,

laut MS ist DFS-R leider trotzdem nicht machbar.

Viele Grüße
Jan

Echt?!

Hätte ich jetzt nicht gedacht.
Dann bitte ich Dich um Entschuldigung für diese Fehlinformation.
Bitte warten ..
Mitglied: emeriks
24.08.2017, aktualisiert um 17:09 Uhr
Hi,
na dann wollen wir mal Licht ins Dunkel bringen!

- Eine große Domain mit Standorten
- Ein Forest, mehrere Domains
In beiden Fällen musst (solltest) Du im AD Standort-Objekte anlegen.

Der Forest bietet den Vorteil der klareren Trennung. Könnte eventuell von Vorteil sein, wenn mal eine Firma veräußerst wird?
Du meinst nicht den Forest sondern das Modell der mehreren Domänen.
Wenn Du Dir die möglichst einfache Trennung als wahrscheinliche Option erhalten willst, dann solltest Du bei mehreren Forest bleiben. Man kann auch ganze Forest miteinander vertrauen!
Die Single-Domain bietet eine deutlich einfachere Administration, aber es ist definitiv alles in einem Topf.
Das kommt ganz auf Eure Gegebenheiten an. Wenn zu erwarten ist, dass an den anderen Standorten volle Adminrechte in der Domäne erforderlich oder gewünscht oder gefordert werden (Edit: Für Mitarbeiter der anderen Standorte), dann sind mehrere Domänen vorzuziehen, egal ob in einem Forest oder in mehreren. Bei einem Forest sollte die Verwaltng der Stammdomäne aber in der Hand der zentralen IT bleiben.

Exchange kann mit Domänen-Vertrauensstellungen auch Postfächer für mehrere Forest bereitstellen. Allerdings benötigt man dann für Konten der "fremden" Domänen jeweils ein zweites Konto im Forest mit dem Exchange, welchem das Postfach zugeordnet wird, auf welchem das "fremde" Konto Vollzugriff erhält und welches selbst deaktiviert ist.

Je nach Größe der Standorte wird man eh jeweils vor Ort min. einen DC benötigen. Entweder von der eigenen lokalen Domäne im eigenen Forest oder von der eigenen Domäne im zentralen Forest oder von der einen Domäne im zentraken Forest.

Zu DFS-R bei mehreren Forest:
Der Denkfehler liegt beim Server. Die Server, welche am DFS-R teilnehmen, müssen im selben Forest sein. Nicht die Anwender oder Clients. Es würde also auch reichen, am Standort einen Fileserver zu haben, welcher Member der zentralen Domäne ist. Durch die Vertrauenststellungen kann man auch den Konten der Standort-Domäne Zugriff auf die Daten dieses Fileservers erteilen. Ich empfehle aber, sich hier streng an A-G-DL-P zu halten!

E.
Bitte warten ..
Mitglied: ozricXX
24.08.2017 um 19:33 Uhr
Hallo emeriks,

vielen Dank für die detaillierte Ausführung!
Danke auch an alle anderen Helfer!

Grundsätzlich machen wir die Administration zentral.
An einzelnen Standorten müssen höchstens Keyuser andere Konten anlegen, da das ERP-System auf AD Konten zurückgreift.
So werden auf die Schnelle z.B. Zeitarbeiter angelegt (Zeiterfassung).
Das könnte man in einer Domain wahrscheinlich mit Hilfe von OUs und delegierten Admins regeln, oder?
Eine Trennung der Firmen ist eher unwahrscheinlich.

Welches Model würdest du bevorzugen?
Ich bin da etwas zwiegespalten zwischen komplett entkoppelte Domains und eine Domain für alles. Forest mit Subdomains fällt für mich aktuell raus.

Viele Grüße
Jan
Bitte warten ..
Mitglied: emeriks
LÖSUNG 24.08.2017, aktualisiert um 21:12 Uhr
Grundsätzlich machen wir die Administration zentral.
An einzelnen Standorten müssen höchstens Keyuser andere Konten anlegen, da das ERP-System auf AD Konten zurückgreift.
So werden auf die Schnelle z.B. Zeitarbeiter angelegt (Zeiterfassung).
Das könnte man in einer Domain wahrscheinlich mit Hilfe von OUs und delegierten Admins regeln, oder?
Eine Trennung der Firmen ist eher unwahrscheinlich.
Wenn Du das so klar absehen kannst, dann würde ich zum Ein-Domänen-Modell tendieren.
Allerdings muss man auch Aufwand-Nutzen abwägen und ggf. manchmal auch die Kirschen am Baum lassen.
Welches Model würdest du bevorzugen?
Ich würde wahrscheinlich zunächst nur Forest-Trusts einrichten. Bidirektional je Zentrale mit Standort. Nicht die Standorte untereinander. Sofern mehrere Exchange, dann würde ich auch diese erstmal miteinander "vertraut" machen, d.h. das der interne Mailverkehr nicht mehr über das Internet geht sondern gleich durch die Standleitung von Exchange zu Exchange. Nur einen der Exchange (Zentrale) würde ich nach extern senden lassen. Den Mail-Eingang aller Standorte auf die Zenzrale zusammenfassen.
Dann würde ich entweder den Forest der Zentrale als neuen Haupt-Forest festlegen oder einen vollkommen neuen Forest beginnen (und später auch den aktuellen der Zentrale dort hinein migrieren).
Dann würde ich erstmal die Administration zentralisieren. Also Administration in allen Domänen mit Admin-Konten aus der Zentrale. Und umgekehrt die Administration mit Konten der Standorte "abschalten", also Kennwörter ändern.
Danach erst würde ich mir Gedanken machen, wie, in welcher Reihenfolge, wann und ob überhaupt ich die Domänen konsolidiere.

Mittel meiner Wahl wäre ganz sicher ADMT unter Berücksichtigung der anstehenden Exchange Cross Forest Migration.

Stichwort: sidHistory ("SID-Verlauf")

ADMT hätte den Vorteil, dass Du keine neuen Konten haben würdest. Sogar die Passwörter der Konten würden sich nicht ändern. Der Anwender würde fast nichts merken vom Umzug des Kontos und des Computers. Eindeutige Computer- und Benutzer-Loginnamen mal vorausgesetzt.

Neue Konten + Postfächer anzulegen kann man zwar auch machen. Aber sowas machen "richtige" Admins nicht. Sowas produziert nur unnötige Arbeit. Es sei denn, Du/Ihr hast/habt nichts zu tun und müsst Euer Dasein rechtfertigen ...
Bitte warten ..
Mitglied: ozricXX
28.08.2017 um 17:53 Uhr
Danke für deine Hilfe!
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Multi Domain Zertifikat Exchange 2013
Frage von DelPieroExchange Server12 Kommentare

Hallo zusammen Ich will mir für meinen Exchange2013-Server ein Multi-Domain-SSL-Zertifikat zulegen. Da wir viele verschiedene Domains besitzen werden (momentan ...

Entwicklung
Domain einrichten
Frage von teslacoilEntwicklung4 Kommentare

Ich habe da mal eine kleine Frage an euch. Und zwar geht es darum, dass ich eine Domain erstellen ...

Internet Domänen
Domain certification
Frage von fisch56Internet Domänen10 Kommentare

Hallo, jemand möchte eine domain von mir vermitteln, benötigt aber für seinen Käufer ein Zertifikat. 1. Independent valuation of ...

Windows Server

Active Directory Domain Default User Profile (for Windows 8.1)

gelöst Frage von joe2017Windows Server4 Kommentare

Hallo zusammen, ich habe ein Problem mit meinem Domain Default User Profile. Bei der Anmeldung eines neuen Benutzers wird ...

Neue Wissensbeiträge
LAN, WAN, Wireless
OPNsense Captive Portal mit vordefnierten Voucher
Tipp von Crusher79 vor 59 MinutenLAN, WAN, Wireless

Hallo, Ziel war es vorhandene Klienten-Daten (Nummer im System) und Kennwörter anzulegen. Voucher werden durch externes Programm in Papierform ...

Administrator.de Feedback
Entwicklertagebuch: Die nächste Version
Information von admtech vor 20 StundenAdministrator.de Feedback5 Kommentare

Hallo Administrator User, vielleicht haben es einige User schon mitbekommen: Wir arbeiten aktuell an einer komplett neuen Version von ...

Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 4 TagenWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 4 TagenExchange Server4 Kommentare

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Heiß diskutierte Inhalte
Visual Studio
Prüfen, ob Programm schon disposed wurde
Frage von MarcoBornVisual Studio17 Kommentare

Hallo Forum, ich habe in VB.NET ein Programm geschrieben, welches Word startet und dort Daten ausliest. Obwohl ich die ...

Netzwerkgrundlagen
Zukunftsicheres Heimnetzwerk aufbauen
Frage von CRO-WarriorNetzwerkgrundlagen16 Kommentare

Hallo Leute. Ich bin dabei das Haus in Kroatien zu renovieren. Da hab ich jetzt die Möglichkeit alles so ...

DNS
DNS Probleme nach Umstellung auf IPv6
Frage von thunderbird304DNS16 Kommentare

Hi Leute! Folgende Problematik: Umstieg von Glasfaser auf Telekom Buisiness DSL. Durch die Umstellung ist die FritzBox nun Gateway. ...

Windows Server
Windows Domäne, SBS 2011, Anmeldung als Admin nicht mehr möglich
Frage von big-dummyWindows Server13 Kommentare

Hallo, vorab: ich habe nun leider keine Grundruhe mehr - die Folgen wären katastrophal. Was ist das Problem: Ich ...