Grüne Wiese - Active Directory
Hallo zusammen. Nehmt euch ein wenig Zeit Wer keine hat, sollte
das eventuell später lesen.
Ich stehe vor der schönen Aufgabe, auf einer grünen Wiese ein
komplettes AD planen un designen zu können. Wir haben es im groben mit
folgenden Eckparametern zu tun, bevor ich im Anschluss meine Fragen
loswerde.
Hochverfügbarkeits RZ am Standort XXX, kein Geschäftsstandort.
Eine Firma, die aus einer Anzahl von n Standorten mit einer
Gesamtuseranzahl von etwa 220-240 besteht, der Einfachheit halber
gehen wir davon aus, dass an allen n Standorten die gleiche Anzahl
User arbeitet, ca. 20.
Alle Standorte haben eine 10 mbit synchrone Anbindung nach draussen.
Standort 1 soll einen oder mehrere Terminalserver beherbergen, über
den alle User mit einer lokalen ERP Software arbeiten sollen. Eine
Variante mit Citrix ist ebenfalls denkbar. Ich habe leider noch keine
Anzahl konkurrierender Sessions, aber da läuft momentan Citrix, also
gehen wir davon aus, dass die Bandbreite reicht.
Dort laufen auch 2 Datenbankserver, die per Band gebackupped werden.
Ich habe mich der Geschichte bisher folgendermassen genähert:
Eine Domäne firma.tld. An allen Standorten DC1S1 und DC2S1 (...DC1Sn,
DC2Sn), Segmentierung durch Subnetze. Bei der Verteilung der FSMO
Rollen halte ich mich an die Empfehlungen.
Ein Exchange 2007 oder 2010 Server (2 Server, einmal Edgetransport,
einmal Rest) im Rechenzentrum.
Bitte verwendet keine Zeit auf die Planung von DMZ, VPN und Security,
das machen unsere Netzwerker.
Frage 1:
Benötige ich wirklich eine so horrende Anzahl an Servern, um hier ein
möglichst unterbrechungsfreies Arbeiten zu ermöglichen? Anmeldeserver
vor Ort erscheint mir in jedem Fall sinnvoll oder wäre bei dieser
Userzahl und bei der breitbandigen Anbindung auch ein zentraler DC
(mit Backup natürlich) im RZ denkbar, der für alle Standorte der
Anmeldeserver ist?
Frage2:
Bei der von mir skizzierten Archtektur bleibt mir eine Ungewissheit,
was den Terminalserver am Standort 1 angeht. Wenn sich ein User aus
Standort 3 am TS anmeldet, wer authentifiziert den? Der DC am Standort
1 hat doch nur die lokalen User, oder wird das über den GC repliziert?
Sorry, wenn ich das wissen sollte, aber an der Stelle steh ich grad
bissel auf dem Schlauch.
Frage3:
Macht eine Aufteilung der Exchangefunktionalitäten bei 220 Usern auf 2
Server schon Sinn? Meine "gössten" Exchangeszenarien laufen mit rund
170 Usern auf einer einzigen Hardware mit replizierter Datenbank
eigentlich ohne Probleme. Das DB Replikat gibts aber bei 2010 nicht
mehr.
Frage 4:
Ich habe daran gedacht, aus Gründen der Übersicht für jeden Standort
ne eigene Exchange Datenbank zu nutzen. Macht das Sinn oder ist das
Overkill? Kam mir so vor, als würde ich damit die grösste Flexibilität
haben, falls das System erweitert wird oder aus Performancegründen
einzelne Standorte eigene Exchangeserver bekommen.
Ich möchte keinesfalls den Eindruck erwecken, als würde ich von euch
die Planung meiner Aufgabe erwarten, ich mache mir da schon jede Menge
Kopf drüber, ich bin nur leider bei uns momentan ne Onemanshow (nicht
mehr lange zum Glück) und bei einem Projekt dieser Grössenordnung wärs
mir schon wichtig, wenn ich irgendwo offensichtliche Designschwächen
habe, wenn da noch jemand draufschaut. Ihr wisst ja, 4 Augen sehen
mehr als 2
Vielen Dank für Eure Zeit!
Martin
das eventuell später lesen.
Ich stehe vor der schönen Aufgabe, auf einer grünen Wiese ein
komplettes AD planen un designen zu können. Wir haben es im groben mit
folgenden Eckparametern zu tun, bevor ich im Anschluss meine Fragen
loswerde.
Hochverfügbarkeits RZ am Standort XXX, kein Geschäftsstandort.
Eine Firma, die aus einer Anzahl von n Standorten mit einer
Gesamtuseranzahl von etwa 220-240 besteht, der Einfachheit halber
gehen wir davon aus, dass an allen n Standorten die gleiche Anzahl
User arbeitet, ca. 20.
Alle Standorte haben eine 10 mbit synchrone Anbindung nach draussen.
Standort 1 soll einen oder mehrere Terminalserver beherbergen, über
den alle User mit einer lokalen ERP Software arbeiten sollen. Eine
Variante mit Citrix ist ebenfalls denkbar. Ich habe leider noch keine
Anzahl konkurrierender Sessions, aber da läuft momentan Citrix, also
gehen wir davon aus, dass die Bandbreite reicht.
Dort laufen auch 2 Datenbankserver, die per Band gebackupped werden.
Ich habe mich der Geschichte bisher folgendermassen genähert:
Eine Domäne firma.tld. An allen Standorten DC1S1 und DC2S1 (...DC1Sn,
DC2Sn), Segmentierung durch Subnetze. Bei der Verteilung der FSMO
Rollen halte ich mich an die Empfehlungen.
Ein Exchange 2007 oder 2010 Server (2 Server, einmal Edgetransport,
einmal Rest) im Rechenzentrum.
Bitte verwendet keine Zeit auf die Planung von DMZ, VPN und Security,
das machen unsere Netzwerker.
Frage 1:
Benötige ich wirklich eine so horrende Anzahl an Servern, um hier ein
möglichst unterbrechungsfreies Arbeiten zu ermöglichen? Anmeldeserver
vor Ort erscheint mir in jedem Fall sinnvoll oder wäre bei dieser
Userzahl und bei der breitbandigen Anbindung auch ein zentraler DC
(mit Backup natürlich) im RZ denkbar, der für alle Standorte der
Anmeldeserver ist?
Frage2:
Bei der von mir skizzierten Archtektur bleibt mir eine Ungewissheit,
was den Terminalserver am Standort 1 angeht. Wenn sich ein User aus
Standort 3 am TS anmeldet, wer authentifiziert den? Der DC am Standort
1 hat doch nur die lokalen User, oder wird das über den GC repliziert?
Sorry, wenn ich das wissen sollte, aber an der Stelle steh ich grad
bissel auf dem Schlauch.
Frage3:
Macht eine Aufteilung der Exchangefunktionalitäten bei 220 Usern auf 2
Server schon Sinn? Meine "gössten" Exchangeszenarien laufen mit rund
170 Usern auf einer einzigen Hardware mit replizierter Datenbank
eigentlich ohne Probleme. Das DB Replikat gibts aber bei 2010 nicht
mehr.
Frage 4:
Ich habe daran gedacht, aus Gründen der Übersicht für jeden Standort
ne eigene Exchange Datenbank zu nutzen. Macht das Sinn oder ist das
Overkill? Kam mir so vor, als würde ich damit die grösste Flexibilität
haben, falls das System erweitert wird oder aus Performancegründen
einzelne Standorte eigene Exchangeserver bekommen.
Ich möchte keinesfalls den Eindruck erwecken, als würde ich von euch
die Planung meiner Aufgabe erwarten, ich mache mir da schon jede Menge
Kopf drüber, ich bin nur leider bei uns momentan ne Onemanshow (nicht
mehr lange zum Glück) und bei einem Projekt dieser Grössenordnung wärs
mir schon wichtig, wenn ich irgendwo offensichtliche Designschwächen
habe, wenn da noch jemand draufschaut. Ihr wisst ja, 4 Augen sehen
mehr als 2
Vielen Dank für Eure Zeit!
Martin
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 146223
Url: https://administrator.de/contentid/146223
Ausgedruckt am: 19.11.2024 um 23:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
eine Frage, warum stehen die Terminalserver nicht im RZ?
200 User über 10Mbit ist nicht wirklich üppig.
Und für die Standorte Read Only DCs.
eine Frage, warum stehen die Terminalserver nicht im RZ?
200 User über 10Mbit ist nicht wirklich üppig.
Und für die Standorte Read Only DCs.
Wenn die Server alle an einem Standort stehen und innerhalb des Segments "vernünftig" angebunden sind, sollte die Bandbreite kein Problem sein. Ich schreibs mal anders herum:
Wir versorgen 700 User mit 2MBit-Strecken und einem ThinClient. Die Server (DomänenController, Printserver, Terminalserver, Memberserver) stehen an einem Ort und "untereinander" mit GigaBit verbunden. Die Terminalserver übertragen also "nur" ein Bild. Wir haben auch einige Geschäftsstellen mit 20 Users. Das würde gehen, wenn Du sonst nichts hast
Wir betreiben eine W2K3-Domäne mit zwei DC, wegen der Ausfallsichert. Anmelde- und/oder Authentifizierungsstreß haben die nicht.
Die Planung ist aber auch abhängig, welche Backup- und/oder Ausfallstrategie Du verfolgen willst. Zu Exchange kann ich Dir nichts sagen, sind Notesanwender.
Markus
Wir versorgen 700 User mit 2MBit-Strecken und einem ThinClient. Die Server (DomänenController, Printserver, Terminalserver, Memberserver) stehen an einem Ort und "untereinander" mit GigaBit verbunden. Die Terminalserver übertragen also "nur" ein Bild. Wir haben auch einige Geschäftsstellen mit 20 Users. Das würde gehen, wenn Du sonst nichts hast
Wir betreiben eine W2K3-Domäne mit zwei DC, wegen der Ausfallsichert. Anmelde- und/oder Authentifizierungsstreß haben die nicht.
Die Planung ist aber auch abhängig, welche Backup- und/oder Ausfallstrategie Du verfolgen willst. Zu Exchange kann ich Dir nichts sagen, sind Notesanwender.
Markus
Zitat von @BigWim:
Wir versorgen 700 User mit 2MBit-Strecken und einem ThinClient. Die Server (DomänenController, Printserver, Terminalserver,
Memberserver) stehen an einem Ort und "untereinander" mit GigaBit verbunden. Die Terminalserver übertragen also
"nur" ein Bild. Wir haben auch einige Geschäftsstellen mit 20 Users. Das würde gehen, wenn Du sonst nichts
hast
Wir versorgen 700 User mit 2MBit-Strecken und einem ThinClient. Die Server (DomänenController, Printserver, Terminalserver,
Memberserver) stehen an einem Ort und "untereinander" mit GigaBit verbunden. Die Terminalserver übertragen also
"nur" ein Bild. Wir haben auch einige Geschäftsstellen mit 20 Users. Das würde gehen, wenn Du sonst nichts
hast
Aber euer Hauptstandort hat doch sicher keine 2MBit Anbindung?
Nein, ich habe jetzt nur von unseren Geschäftsstellen gesprochen.
Unser Hauptstandort mit den restlichen 700 User ist aufgrund der Nähe zu unserem RZ auch "etwas" besser (100 MBit) angebunden.
Wir mußten zwecks "Revitalisierung" eines Gebäudes umziehen und sind jetzt mit 10MBit angebunden. Ca 200 User. Naja, geht auch, aber schön ist anders.
Markus
Unser Hauptstandort mit den restlichen 700 User ist aufgrund der Nähe zu unserem RZ auch "etwas" besser (100 MBit) angebunden.
Wir mußten zwecks "Revitalisierung" eines Gebäudes umziehen und sind jetzt mit 10MBit angebunden. Ca 200 User. Naja, geht auch, aber schön ist anders.
Markus
Dachte ich mir
Wenn Du eine neue Domäne aufbauen kannst, dann auf jeden Fall W2K8. Durfte vor kurzem mal ein paar Sachen darüber hören. Die RODC, die @45877 erwähnt, haben ja noch weitere Vorteile, wie ich gehört, aber in der Praxis noch nicht gesehen habe.
Z. B. kannst Du die jeweiligen User auf den RODC hinterlegen, die an diesem Standort arbeiten. Dann werden auch nur diese Daten repliziert. Wird uns als Sicherheitsfeature verkauft, dass wenn mal einer dieser RODC weggetragen werden, sind nicht gleich alle Informationen Deiner Domäne in fremde Hände.
Auch das Replizierverhalten kann feiner und schmaler gesteuert werden also in einer W2K3-Domäne. Ist aber nur Theorie für mich, aufgrund der Luxusausstattung hier mußten wir uns damit nicht wirklich auseinander setzen.
Markus
Edit: Schreibfehler korrigiert
Ums etwas genauer zu umreissen: die Standorte sind prinzipiell eigenständig und werden auch
eine grösstenteils eigenständige Infrastruktur haben. Sie verteilen sich über ganz Deutschland.
Die einzigen Berühruingspunkte wären der Terminalserver mit der ERP Software, sowie die
Anmeldedomain. Ich muss alle Standorte einzeln absichern, wobei es da hauptsächlich um
Connectivity geht und darum, dass die sich eigentlich immer anmelden können müssen, sowie
auf das ERP System zugreifen. Wir werden es kaum mit lokalen Benutzerdaten zu tun haben,
wenn, dann wird da lokal was gesichert.
eine grösstenteils eigenständige Infrastruktur haben. Sie verteilen sich über ganz Deutschland.
Die einzigen Berühruingspunkte wären der Terminalserver mit der ERP Software, sowie die
Anmeldedomain. Ich muss alle Standorte einzeln absichern, wobei es da hauptsächlich um
Connectivity geht und darum, dass die sich eigentlich immer anmelden können müssen, sowie
auf das ERP System zugreifen. Wir werden es kaum mit lokalen Benutzerdaten zu tun haben,
wenn, dann wird da lokal was gesichert.
Wenn Du eine neue Domäne aufbauen kannst, dann auf jeden Fall W2K8. Durfte vor kurzem mal ein paar Sachen darüber hören. Die RODC, die @45877 erwähnt, haben ja noch weitere Vorteile, wie ich gehört, aber in der Praxis noch nicht gesehen habe.
Z. B. kannst Du die jeweiligen User auf den RODC hinterlegen, die an diesem Standort arbeiten. Dann werden auch nur diese Daten repliziert. Wird uns als Sicherheitsfeature verkauft, dass wenn mal einer dieser RODC weggetragen werden, sind nicht gleich alle Informationen Deiner Domäne in fremde Hände.
Auch das Replizierverhalten kann feiner und schmaler gesteuert werden also in einer W2K3-Domäne. Ist aber nur Theorie für mich, aufgrund der Luxusausstattung hier mußten wir uns damit nicht wirklich auseinander setzen.
Markus
Edit: Schreibfehler korrigiert
Zitat von @maboh1:
Falls ihr Interesse an Connectivity habt, drop mir ne PM. Wir sind kein ganz Kleiner in dem Bereich
Danke für das Angebot, aber ein Ende ist ja in Sicht. Insofern lautet das Motto: Alles muß laufen, darf aber nix kosten ....Falls ihr Interesse an Connectivity habt, drop mir ne PM. Wir sind kein ganz Kleiner in dem Bereich
Markus