6
Neuer Standort Active Directory Subtree oder nur zusätzlicher ADC der bestehenden Domäne?
Hallo es geht um die folgendes
Vor -und Nachteile bei Aufbau eines neuen Standorts Domain Controller /AD zusätzlichen hinzufügen oder Subtree der bestehenden Domain erstellen?
Hallo zusammen,
unsere Firma hat zwei größere Standorte mit bislang noch jeweils eigener Windows Active Directory Domain --> Vertrauensstellung funktioniert soweit alles.
An Standort A soll die Domäne bestehen bleiben, die Domäne von Standort B soll aufgelöst werden und dem Standort A beitreten.
Wir sind uns dabei uneinig was sinnvoller ist: Standort B setzt zusätzlichen AD/DC im Stammverzeichnis auf (DC in example.com), oder Standort B setzt AD/DC als Subtree der Domäne A auf ( b.example.com).
Ich suche nach Vorteilen/Nachteilen für oben beschriebenes, habe aber bislang noch nicht wirklich aussagekräftiges gefunden.
Die Standorte sind mit VPN-Tunnel verbunden, 10MBit Standleitung, aussschließlich W2k3 Server als AD/DC im Einsatz.
Die IP-Bereiche sind unterschiedlich.
Bin für alle Anregungen, Ideen, Erfahrungsberichte dankbar...
greetz
loppo
Vor -und Nachteile bei Aufbau eines neuen Standorts Domain Controller /AD zusätzlichen hinzufügen oder Subtree der bestehenden Domain erstellen?
Hallo zusammen,
unsere Firma hat zwei größere Standorte mit bislang noch jeweils eigener Windows Active Directory Domain --> Vertrauensstellung funktioniert soweit alles.
An Standort A soll die Domäne bestehen bleiben, die Domäne von Standort B soll aufgelöst werden und dem Standort A beitreten.
Wir sind uns dabei uneinig was sinnvoller ist: Standort B setzt zusätzlichen AD/DC im Stammverzeichnis auf (DC in example.com), oder Standort B setzt AD/DC als Subtree der Domäne A auf ( b.example.com).
Ich suche nach Vorteilen/Nachteilen für oben beschriebenes, habe aber bislang noch nicht wirklich aussagekräftiges gefunden.
Die Standorte sind mit VPN-Tunnel verbunden, 10MBit Standleitung, aussschließlich W2k3 Server als AD/DC im Einsatz.
Die IP-Bereiche sind unterschiedlich.
Bin für alle Anregungen, Ideen, Erfahrungsberichte dankbar...
greetz
loppo
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 131129
Url: https://administrator.de/contentid/131129
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
6 Kommentare
Neuester Kommentar
Das hängt im wesentlichen von den übergeordneten Zielen ab. Was sagt denn die Geschäftsführung zu solchen Sachen wie Grenzen der Domänen (also wer darf wo was tun und sehen). Gibt es am anderen Standort eine eigene IT, die evtl bei dir keine oder weniger Rechte haben soll?
Wenn es irgendwie geht, würde ich für die Beibehaltung der einen gemeinsame Domäne und Gesamtstruktur plädieren. Es macht dir das Leben auf Dauer einfach leichter. Früher oder später kommen nämlich unweigerlich solche Dinge wie User X muss jetzt aber auch auf die Ressource Y in der anderen Domäne zugreifen können. Das ist zwar auch mit mehreren Domänen machbar aber halt etwas ... naja ... komplizierter.
Alles in allem müsst ihr mal die Anforderungen genau definieren (lassen). Dann schreibt ihr dahinter ob für die jeweilige Anforderung eine Domäne reicht oder ihr eine Subdomäne braucht. Dann durfte sehr schnell klar werden wie ihr es umsetzen müsst.
Manuel
Wenn es irgendwie geht, würde ich für die Beibehaltung der einen gemeinsame Domäne und Gesamtstruktur plädieren. Es macht dir das Leben auf Dauer einfach leichter. Früher oder später kommen nämlich unweigerlich solche Dinge wie User X muss jetzt aber auch auf die Ressource Y in der anderen Domäne zugreifen können. Das ist zwar auch mit mehreren Domänen machbar aber halt etwas ... naja ... komplizierter.
Alles in allem müsst ihr mal die Anforderungen genau definieren (lassen). Dann schreibt ihr dahinter ob für die jeweilige Anforderung eine Domäne reicht oder ihr eine Subdomäne braucht. Dann durfte sehr schnell klar werden wie ihr es umsetzen müsst.
Manuel
Servus,
Der Nachteil bei mehreren Domänen wären:
- Bei mehreren Domänen ist der adminstrative Aufwand (Updates,Virenscanner usw.) höher, da auch jede Domäne zwei DCs haben sollte.
- Dadurch entstehen höhere Hardware- sowie Lizenzkosten.
- Jeder DC sollte/muss vor Ort physikalisch geschützt sein.
- Jede Domäne muss gesichert werden (Backup).
Bei mehreren Domänen wären die Vorteile, wenn man z.B. unterschiedliche DNS-Namensräume haben möchte.
Oder unterschiedliche Administratoren sollen "nur" ihre eigene Domäne verwalten und nur dort der Admin sein.
Mit mehreren Domänen kann man bis einschließlich "Windows Server 2003" unterschiedliche Kennwortrichtlinien anwenden.
Ab "Windows Server 2008" gibt es die "Password Settings Objects" (kurz PSO).
Der Vorteil einer Domäne wäre z.B. das man nur eine DNS-Zone/Domäne verwalten muss.
Mit einer Domäne hat man eine bessere Übersicht und leichtere Administration.
Ich persönlich tendiere gerne zu dem Ein-Domänen-Modell, aber das kommt immer auf die Gegebenheiten darauf an.
Evtl. solltet ihr euch dazu einen Dienstleister zur Seite holen.
Abgesehen davon, eine administrative Trennung mit mehreren Domänen --> innerhalb <-- einer Gesamtstruktur kann man nicht erreichen.
Das geht nur, wenn man mit einzelnen separaten Gesamtstrukturen arbeitet.
Viele Grüße
Yusuf Dikmenoglu
Der Nachteil bei mehreren Domänen wären:
- Bei mehreren Domänen ist der adminstrative Aufwand (Updates,Virenscanner usw.) höher, da auch jede Domäne zwei DCs haben sollte.
- Dadurch entstehen höhere Hardware- sowie Lizenzkosten.
- Jeder DC sollte/muss vor Ort physikalisch geschützt sein.
- Jede Domäne muss gesichert werden (Backup).
Bei mehreren Domänen wären die Vorteile, wenn man z.B. unterschiedliche DNS-Namensräume haben möchte.
Oder unterschiedliche Administratoren sollen "nur" ihre eigene Domäne verwalten und nur dort der Admin sein.
Mit mehreren Domänen kann man bis einschließlich "Windows Server 2003" unterschiedliche Kennwortrichtlinien anwenden.
Ab "Windows Server 2008" gibt es die "Password Settings Objects" (kurz PSO).
Der Vorteil einer Domäne wäre z.B. das man nur eine DNS-Zone/Domäne verwalten muss.
Mit einer Domäne hat man eine bessere Übersicht und leichtere Administration.
Ich persönlich tendiere gerne zu dem Ein-Domänen-Modell, aber das kommt immer auf die Gegebenheiten darauf an.
Evtl. solltet ihr euch dazu einen Dienstleister zur Seite holen.
Abgesehen davon, eine administrative Trennung mit mehreren Domänen --> innerhalb <-- einer Gesamtstruktur kann man nicht erreichen.
Das geht nur, wenn man mit einzelnen separaten Gesamtstrukturen arbeitet.
Viele Grüße
Yusuf Dikmenoglu
Danke erstmal für die Antworten,
die Standorte müssen unbeschränkt auf verschiedene Server in unterschiedlichen Standorten zugreifen können, von daher ist ein ein- Domänen-Modell wahrscheinlich das sinnvollere auch die Userverwaltung ist so wohl einfacher, da weniger administrativer Aufwand entsteht. Momentan wird das noch mit einer Vertrauenstellung zwischen den beiden bestehenden Domänen gelöst.
Können unterschiedliche IP-Adressräume, also die bisher bestehenden, weiter genutzt werden oder ergeben sich daraus neue oder andere Probleme (DNS)?
Ein weiteres mögliches Problem sind die Anmeldeskripte: kann ich bei einer Domäne an unterschiedlichen Standorten unterschiedliche Anmeldeskripte laufen lassen?
Fragen über Fragen
&
Danke für die Antworten...
Gruss
Florian
die Standorte müssen unbeschränkt auf verschiedene Server in unterschiedlichen Standorten zugreifen können, von daher ist ein ein- Domänen-Modell wahrscheinlich das sinnvollere auch die Userverwaltung ist so wohl einfacher, da weniger administrativer Aufwand entsteht. Momentan wird das noch mit einer Vertrauenstellung zwischen den beiden bestehenden Domänen gelöst.
Können unterschiedliche IP-Adressräume, also die bisher bestehenden, weiter genutzt werden oder ergeben sich daraus neue oder andere Probleme (DNS)?
Ein weiteres mögliches Problem sind die Anmeldeskripte: kann ich bei einer Domäne an unterschiedlichen Standorten unterschiedliche Anmeldeskripte laufen lassen?
Fragen über Fragen
&
Danke für die Antworten...
Gruss
Florian
Die unterschiedlichen Subnets sind eine Aufgabe für das Routing. Das scheint aber ja schon zu funktionieren, sonst würde eure Vertrauensstellung ja auch nicht hinhauen. Grundsätzlich kann man alles auch in ein Subnet hängen. Ich persönlich bin da aber kein Fan von. Im Zusammenhang mit AD-Standorten ist Subneting sogar sinnvoll, da man für einzelne Subnets unterschiedliche Vorgaben machen kann, was AD-Replikation angeht.
Die Anmeldescripte sind bei der ganzen Sache das geringste Problem, weil die wenn es sein muss (und dir Spaß macht) jedem User ein eigenes Script verpassen kannst. Das ist unkritisch.
Manuel
Die Anmeldescripte sind bei der ganzen Sache das geringste Problem, weil die wenn es sein muss (und dir Spaß macht) jedem User ein eigenes Script verpassen kannst. Das ist unkritisch.
Manuel
hi,
in meinem arbeitsumfeld ist beides realisiert. die grenze zur echten sub wurde nur aufgrund der betriebsrechtlichen situation gefällt (mutterkonzern/tochter), nicht aus technischer sicht.
in der grossen mutterdomäne sind die kontinente, bzw. länder und standorte als OUs abgebildet. via GPs wird dort natürlich auch das standort-/abteilungseigene skript usw ausgeführt.
grüße
in meinem arbeitsumfeld ist beides realisiert. die grenze zur echten sub wurde nur aufgrund der betriebsrechtlichen situation gefällt (mutterkonzern/tochter), nicht aus technischer sicht.
in der grossen mutterdomäne sind die kontinente, bzw. länder und standorte als OUs abgebildet. via GPs wird dort natürlich auch das standort-/abteilungseigene skript usw ausgeführt.
grüße
Danke nochmal für den Input!
Wir haben uns jetzt auch dafür entschieden keinen Subtree zu eröffenen, weil das auch wieder nur einen zusätzlichen amdinistrativen Aufwand bedeutet...
mal schauen wie die Migration so läuft
greetz
Wir haben uns jetzt auch dafür entschieden keinen Subtree zu eröffenen, weil das auch wieder nur einen zusätzlichen amdinistrativen Aufwand bedeutet...
mal schauen wie die Migration so läuft
greetz
