Einzel-Domain vs Multi-Domain-Forest
Hallo Zusammen,
ich stehe vor folgender Situation:
Unternehmensgruppe besteht aus sechs Firmen mit unterschiedlichen Standorten und operativen Geschäftsführungen.
Aktuell hat jede Firma ein eigenes AD und ist komplett Standalone. Nun soll das Ganze zusammenwachsen (DFS-R, Exchange, usw.).
Ich sehe nun zwei sinnvolle Möglichkeiten:
- Eine große Domain mit Standorten
- Ein Forest, mehrere Domains
Der Forest bietet den Vorteil der klareren Trennung. Könnte eventuell von Vorteil sein, wenn mal eine Firma veräußerst wird?
Die Single-Domain bietet eine deutlich einfachere Administration, aber es ist definitiv alles in einem Topf.
Microsoft empfiehlt so schlank wie möglich zu arbeiten, daher präferiere ich die Single-Domain.
Gibt es Gründe für einen Forest? Übersehe ich eventuell etwas?
Viele Grüße
Jan
ich stehe vor folgender Situation:
Unternehmensgruppe besteht aus sechs Firmen mit unterschiedlichen Standorten und operativen Geschäftsführungen.
Aktuell hat jede Firma ein eigenes AD und ist komplett Standalone. Nun soll das Ganze zusammenwachsen (DFS-R, Exchange, usw.).
Ich sehe nun zwei sinnvolle Möglichkeiten:
- Eine große Domain mit Standorten
- Ein Forest, mehrere Domains
Der Forest bietet den Vorteil der klareren Trennung. Könnte eventuell von Vorteil sein, wenn mal eine Firma veräußerst wird?
Die Single-Domain bietet eine deutlich einfachere Administration, aber es ist definitiv alles in einem Topf.
Microsoft empfiehlt so schlank wie möglich zu arbeiten, daher präferiere ich die Single-Domain.
Gibt es Gründe für einen Forest? Übersehe ich eventuell etwas?
Viele Grüße
Jan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 347191
Url: https://administrator.de/forum/einzel-domain-vs-multi-domain-forest-347191.html
Ausgedruckt am: 23.12.2024 um 04:12 Uhr
11 Kommentare
Neuester Kommentar
Zitat von @beidermachtvongreyscull:
Das ist zwar aufwendiger, aber besser so, als Subdomänen oder eine einzige, im Falle dass eine Firma veräußert wird.
Das ist zwar aufwendiger, aber besser so, als Subdomänen oder eine einzige, im Falle dass eine Firma veräußert wird.
Warum sollte er sich mehr Arbeit machen nur weil ein Teil der Firma irgendwann mal vielleicht verkauft werden koennte? Zumal das ja dann das Problem des Kaeufers waere. Multi Domain sorgt fuer Probleme die man nicht haben muss, ich wuerde immer ein Single Domain Modell bevorzugen.
VG,
Thomas
Zitat von @Th0mKa:
Warum sollte er sich mehr Arbeit machen nur weil ein Teil der Firma irgendwann mal vielleicht verkauft werden koennte? Zumal das ja dann das Problem des Kaeufers waere. Multi Domain sorgt fuer Probleme die man nicht haben muss, ich wuerde immer ein Single Domain Modell bevorzugen.
VG,
Thomas
Warum sollte er sich mehr Arbeit machen nur weil ein Teil der Firma irgendwann mal vielleicht verkauft werden koennte? Zumal das ja dann das Problem des Kaeufers waere. Multi Domain sorgt fuer Probleme die man nicht haben muss, ich wuerde immer ein Single Domain Modell bevorzugen.
VG,
Thomas
Ja, Du hast Recht. Ich tendiere nur dazu, im Abrissfall es so einfach wie möglich zu handhaben für beide Seiten.
Einfach Stecker ziehen (Trust lösen).
VG,
Andreas
Zitat von @ozricXX:
Hallo,
das wäre auch mein Wunsch gewesen.
Allerdings wohl nicht möglich, da wir eine zentrale Exchange-Umgebung benötigen (eine SMTP Domain für alle Firmen) und DFS-R nutzen wollen.
DFS-R ist nach meinem Wissen nur innerhalb einer Domain bzw. eines Forest möglich.
Ansonsten wären sechs unabhängige Domains mit Trust echt das Beste.
Hallo,
das wäre auch mein Wunsch gewesen.
Allerdings wohl nicht möglich, da wir eine zentrale Exchange-Umgebung benötigen (eine SMTP Domain für alle Firmen) und DFS-R nutzen wollen.
DFS-R ist nach meinem Wissen nur innerhalb einer Domain bzw. eines Forest möglich.
Ansonsten wären sechs unabhängige Domains mit Trust echt das Beste.
Ich wüßte nicht, warum das nicht gehen sollte.
Bei Trusts vertrauen sich ja nicht nur die Domänen und die Domänen den Nutzern, sondern auch die Domänen den anderen Computern als auch die Computer unterschiedlicher Domänen.
Dem EX ist es Wurscht, welche SMTP-Domäne er nach außen hostet.
Er muss nur wissen wen er gegen was authentifiziert und dass der Authentifizierungsdomäne von seiner Domäne vertraut wird und er somit dieser auch vertrauen kann.
VG,
Andreas
DNS ist hier auschlaggebend bei Trusts. Das muss absolut sauber sein sonst war es das.
Echt?!
Hätte ich jetzt nicht gedacht.
Dann bitte ich Dich um Entschuldigung für diese Fehlinformation.
Hi,
na dann wollen wir mal Licht ins Dunkel bringen!
Wenn Du Dir die möglichst einfache Trennung als wahrscheinliche Option erhalten willst, dann solltest Du bei mehreren Forest bleiben. Man kann auch ganze Forest miteinander vertrauen!
Exchange kann mit Domänen-Vertrauensstellungen auch Postfächer für mehrere Forest bereitstellen. Allerdings benötigt man dann für Konten der "fremden" Domänen jeweils ein zweites Konto im Forest mit dem Exchange, welchem das Postfach zugeordnet wird, auf welchem das "fremde" Konto Vollzugriff erhält und welches selbst deaktiviert ist.
Je nach Größe der Standorte wird man eh jeweils vor Ort min. einen DC benötigen. Entweder von der eigenen lokalen Domäne im eigenen Forest oder von der eigenen Domäne im zentralen Forest oder von der einen Domäne im zentraken Forest.
Zu DFS-R bei mehreren Forest:
Der Denkfehler liegt beim Server. Die Server, welche am DFS-R teilnehmen, müssen im selben Forest sein. Nicht die Anwender oder Clients. Es würde also auch reichen, am Standort einen Fileserver zu haben, welcher Member der zentralen Domäne ist. Durch die Vertrauenststellungen kann man auch den Konten der Standort-Domäne Zugriff auf die Daten dieses Fileservers erteilen. Ich empfehle aber, sich hier streng an A-G-DL-P zu halten!
E.
na dann wollen wir mal Licht ins Dunkel bringen!
- Eine große Domain mit Standorten
- Ein Forest, mehrere Domains
In beiden Fällen musst (solltest) Du im AD Standort-Objekte anlegen.- Ein Forest, mehrere Domains
Der Forest bietet den Vorteil der klareren Trennung. Könnte eventuell von Vorteil sein, wenn mal eine Firma veräußerst wird?
Du meinst nicht den Forest sondern das Modell der mehreren Domänen.Wenn Du Dir die möglichst einfache Trennung als wahrscheinliche Option erhalten willst, dann solltest Du bei mehreren Forest bleiben. Man kann auch ganze Forest miteinander vertrauen!
Die Single-Domain bietet eine deutlich einfachere Administration, aber es ist definitiv alles in einem Topf.
Das kommt ganz auf Eure Gegebenheiten an. Wenn zu erwarten ist, dass an den anderen Standorten volle Adminrechte in der Domäne erforderlich oder gewünscht oder gefordert werden (Edit: Für Mitarbeiter der anderen Standorte), dann sind mehrere Domänen vorzuziehen, egal ob in einem Forest oder in mehreren. Bei einem Forest sollte die Verwaltng der Stammdomäne aber in der Hand der zentralen IT bleiben.Exchange kann mit Domänen-Vertrauensstellungen auch Postfächer für mehrere Forest bereitstellen. Allerdings benötigt man dann für Konten der "fremden" Domänen jeweils ein zweites Konto im Forest mit dem Exchange, welchem das Postfach zugeordnet wird, auf welchem das "fremde" Konto Vollzugriff erhält und welches selbst deaktiviert ist.
Je nach Größe der Standorte wird man eh jeweils vor Ort min. einen DC benötigen. Entweder von der eigenen lokalen Domäne im eigenen Forest oder von der eigenen Domäne im zentralen Forest oder von der einen Domäne im zentraken Forest.
Zu DFS-R bei mehreren Forest:
Der Denkfehler liegt beim Server. Die Server, welche am DFS-R teilnehmen, müssen im selben Forest sein. Nicht die Anwender oder Clients. Es würde also auch reichen, am Standort einen Fileserver zu haben, welcher Member der zentralen Domäne ist. Durch die Vertrauenststellungen kann man auch den Konten der Standort-Domäne Zugriff auf die Daten dieses Fileservers erteilen. Ich empfehle aber, sich hier streng an A-G-DL-P zu halten!
E.
Grundsätzlich machen wir die Administration zentral.
An einzelnen Standorten müssen höchstens Keyuser andere Konten anlegen, da das ERP-System auf AD Konten zurückgreift.
So werden auf die Schnelle z.B. Zeitarbeiter angelegt (Zeiterfassung).
Das könnte man in einer Domain wahrscheinlich mit Hilfe von OUs und delegierten Admins regeln, oder?
Eine Trennung der Firmen ist eher unwahrscheinlich.
Wenn Du das so klar absehen kannst, dann würde ich zum Ein-Domänen-Modell tendieren.An einzelnen Standorten müssen höchstens Keyuser andere Konten anlegen, da das ERP-System auf AD Konten zurückgreift.
So werden auf die Schnelle z.B. Zeitarbeiter angelegt (Zeiterfassung).
Das könnte man in einer Domain wahrscheinlich mit Hilfe von OUs und delegierten Admins regeln, oder?
Eine Trennung der Firmen ist eher unwahrscheinlich.
Allerdings muss man auch Aufwand-Nutzen abwägen und ggf. manchmal auch die Kirschen am Baum lassen.
Welches Model würdest du bevorzugen?
Ich würde wahrscheinlich zunächst nur Forest-Trusts einrichten. Bidirektional je Zentrale mit Standort. Nicht die Standorte untereinander. Sofern mehrere Exchange, dann würde ich auch diese erstmal miteinander "vertraut" machen, d.h. das der interne Mailverkehr nicht mehr über das Internet geht sondern gleich durch die Standleitung von Exchange zu Exchange. Nur einen der Exchange (Zentrale) würde ich nach extern senden lassen. Den Mail-Eingang aller Standorte auf die Zenzrale zusammenfassen.Dann würde ich entweder den Forest der Zentrale als neuen Haupt-Forest festlegen oder einen vollkommen neuen Forest beginnen (und später auch den aktuellen der Zentrale dort hinein migrieren).
Dann würde ich erstmal die Administration zentralisieren. Also Administration in allen Domänen mit Admin-Konten aus der Zentrale. Und umgekehrt die Administration mit Konten der Standorte "abschalten", also Kennwörter ändern.
Danach erst würde ich mir Gedanken machen, wie, in welcher Reihenfolge, wann und ob überhaupt ich die Domänen konsolidiere.
Mittel meiner Wahl wäre ganz sicher ADMT unter Berücksichtigung der anstehenden Exchange Cross Forest Migration.
Stichwort: sidHistory ("SID-Verlauf")
ADMT hätte den Vorteil, dass Du keine neuen Konten haben würdest. Sogar die Passwörter der Konten würden sich nicht ändern. Der Anwender würde fast nichts merken vom Umzug des Kontos und des Computers. Eindeutige Computer- und Benutzer-Loginnamen mal vorausgesetzt.
Neue Konten + Postfächer anzulegen kann man zwar auch machen. Aber sowas machen "richtige" Admins nicht. Sowas produziert nur unnötige Arbeit. Es sei denn, Du/Ihr hast/habt nichts zu tun und müsst Euer Dasein rechtfertigen ...