Replikation AD, was, bzw. welche Objekte?
Eine Verständnisfrage, aufgrund einer kürzlich besuchten Schulung.
Hallo zusammen,
Seither bin ich immer von Folgendem ausgegangen:
Gesamtstruktur (Domäne/Forest) --> Forest.Gump
Subdomänen (Niederlassung) --> A.Forest.Gump, B.Forest.Gump, C.Forest.Gump
Wenn nun in einer der Subdomänen (Niederlassung) ein neues Objekt (Computer/Benutzer) erstelle, wird das dann auch auf den DC's der obersten Domäne repliziert?
Ich habe es bisher so verstanden, dass nur Schema-Daten und Konfigurationsdaten (Connection-Objects) auf Sub-Domänen repliziert werden. Außerdem beinhalten alle Global Catalog Server eine read-only Partition der Subdomänen. Ist das so korrekt?
Gruppenrichtlinien können nicht repliziert werden?
Wir werden bald unser gesamte Novell-Infrastruktur aufgeben und eine Neue unter MS gestalten lassen (Server 2008 R2). Beim Design werden wir gegenüber MS kritisch hinterfragen müssen, ob deren Konzepterstellung unseren Anforderungen entspricht (bzw. die des Kunden). Ein wichtiger Punkt wird die zentrale Administration sein. Wenn jede Subdomäne für sich selbst verwaltet werden muss (dezentrale Verwaltung), würden wir uns wahrscheinlich gegen ein solches Design entscheiden. Andererseits sehe ich auch Vorteile darin, z. B. Transparenz durch klare Strukturen.
Ich wäre dankbar, wenn mir das jemand eindeutig machen könnte, um mir ein richtiges Verständnis dazu zu vermitteln. Bin mir nicht sicher, ob ich das alles richtig verstanden habe.
Grüße
Hallo zusammen,
Seither bin ich immer von Folgendem ausgegangen:
Gesamtstruktur (Domäne/Forest) --> Forest.Gump
Subdomänen (Niederlassung) --> A.Forest.Gump, B.Forest.Gump, C.Forest.Gump
Wenn nun in einer der Subdomänen (Niederlassung) ein neues Objekt (Computer/Benutzer) erstelle, wird das dann auch auf den DC's der obersten Domäne repliziert?
Ich habe es bisher so verstanden, dass nur Schema-Daten und Konfigurationsdaten (Connection-Objects) auf Sub-Domänen repliziert werden. Außerdem beinhalten alle Global Catalog Server eine read-only Partition der Subdomänen. Ist das so korrekt?
Gruppenrichtlinien können nicht repliziert werden?
Wir werden bald unser gesamte Novell-Infrastruktur aufgeben und eine Neue unter MS gestalten lassen (Server 2008 R2). Beim Design werden wir gegenüber MS kritisch hinterfragen müssen, ob deren Konzepterstellung unseren Anforderungen entspricht (bzw. die des Kunden). Ein wichtiger Punkt wird die zentrale Administration sein. Wenn jede Subdomäne für sich selbst verwaltet werden muss (dezentrale Verwaltung), würden wir uns wahrscheinlich gegen ein solches Design entscheiden. Andererseits sehe ich auch Vorteile darin, z. B. Transparenz durch klare Strukturen.
Ich wäre dankbar, wenn mir das jemand eindeutig machen könnte, um mir ein richtiges Verständnis dazu zu vermitteln. Bin mir nicht sicher, ob ich das alles richtig verstanden habe.
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 162297
Url: https://administrator.de/contentid/162297
Ausgedruckt am: 24.11.2024 um 19:11 Uhr
2 Kommentare
Neuester Kommentar
Servus,
nein, das Objekt wird nicht auf die DCs der Root-Domäne repliziert, sondern nur auf die globalen Kataloge der Root-Domäne.
Genau. Das AD-besteht aus mehreren Verzeichnispartitionen:
1.) Die Schemapartition = wird auf alle DCs innerhalb einer Gesamtstruktur repliziert, egal in welcher Domäne sie sich befinden.
2.) Die Konfigurationspartition = wird auf alle DCs innerhalb einer Gesamtstruktur repliziert, egal in welcher Domäne sie sich befinden.
3.) Die jeweilige Domänenpartition = wird auf alle DCs innerhalb der jeweiligen Domäne repliziert.
4.) Die Anwendungsverzeichnispartition ForestDNSZones (ab Windows Server 2003) = wird auf alle DCs innerhalb einer Gesamtstruktur repliziert, egal in welcher Domäne sie sich befinden.
5.) Die Anwendungsverzeichnispartition DomainDNSZones (ab Windows Server 2003) der jeweiligen Domäne = wird auf alle DCs innerhalb der jeweiligen Domäne repliziert).
[LDAP:Yusufs.Directory.Blog/ - Welche Verzeichnispartitionen befinden sich auf einem DC?]
http://blog.dikmenoglu.de/Welche+Verzeichnispartitionen+Befinden+Sich+A ...
Genau. Der globale Katalog hält die Informationen einer Gesamtstruktur vor. Alle Objekte mit den Attributen die für eine Suche relevant sein könnten, aus allen Domänen innerhalb einer Gesamtstruktur, werden zum GC repliziert.
Wenn eine Gesamtstruktur aus mehreren Domänen existiert, werden automatisch bidirektionale transitive Vertrauensstellungen zwischen den Domänen erstellt.
Wird der GC auf einem DC aktiviert, werden die Informationen (genauer, die Domänenpartition) der anderen Domänen, auf den DC repliziert. Dabei findet die GC-Replikation
mit einer niedrigeren Priorität als die standardmäßige AD-Replikation statt. Bis die Replikation des GC abgeschlossen wurde, hängt hauptsächlich von der Umgebung, Replikationstopologie, Bandbreite und die Anzahl
an Objekten ab.
Erst wenn die GC-Replikation abgeschlossen wurde, gibt sich der GC als solcher im AD bekannt. Du kannst z.B. eine Abfrage mit LDP auf dem DC durchführen und kontrollieren, ob der Eintrag "isGlobalCatalogReady" auf TRUE gesetzt ist.
Oder du überprüfst das Verzeichnisdienstprotokoll und suchst nach der EventID 1119. Auch dann ist der GC bereit. Danach gibt sich der DC im AD als GC bekannt.
Siehe auch:
[LDAP:Yusufs.Directory.Blog/ - Globaler Katalog (Global Catalog - GC)]
http://blog.dikmenoglu.de/Globaler+Katalog+Global+Catalog+GC.aspx
GPOs werden nur innerhalb der Domäne repliziert.
Die Tendenz auch bei weltweiten AD-Umgebungen geht ohnehin zum "Single-Domain Forest". Also weltweit nur eine Domäne.
Ob und wenn ja wie viele Domänen erstellt werden sollen, kommt auf die Anforderung an. Ich bin hier gerade bei einem Kunden der weltweit 20.000 User hat und dieser migriert von allen Länder-Domänen in eine weltweite Domäne.
Der Nachteil bei mehreren Domänen innerhalb einer Gesamtstruktur ist:
- Bei mehreren Domänen ist der adminstrative Aufwand (Updates, Virenscanner usw.) höher, da auch jede Domäne wegen der Ausfallsicherheit mindestens zwei DCs haben sollte.
- Dadurch entstehen höhere Hardware- sowie Lizenzkosten.
- Jeder DC sollte/muss vor Ort physikalisch geschützt sein.
- Jede Domäne muss gesichert werden (Backup).
Bei mehreren Domänen wären die Vorteile, wenn man z.B. unterschiedliche DNS-Namensräume haben möchte. Oder unterschiedliche Administratoren sollen "nur" ihre eigene Domäne verwalten und nur dort der Admin sein.
Wobei das letztendlich nur mit getrennten Gesamtstrukturen und nicht mit mehreren Domänen innerhalb einer Gesamtstruktur zu regeln ist.
Mit mehreren Domänen kann man unterschiedliche Kennwortrichtlinien (bis einschließlich Windows Server 2003) anwenden. Ab Windows Server 2008 gibt es die "Password Settings Objects, kurz PSOs".
Der Vorteil einer Domäne wäre z.B. das man nur eine DNS-Zone/Domäne verwalten muss. Mit einer Domäne hat man eine bessere Übersicht und leichtere Administration. Weniger DCs sind notwendig und somit auch weniger Hardware- sowie Lizenzkosten.
Ich persönlich tendiere - wann immer möglich - zu dem Ein-Domänen-Modell, aber das kommt immer auf die Gegebenheiten und Anforderungen des Kunden darauf an.
Jetzt klarer?
Viele Grüße
/ > Yusuf Dikmenoglu
Wenn nun in einer der Subdomänen (Niederlassung) ein neues Objekt (Computer/Benutzer) erstelle, wird das dann auch auf den DC's der obersten Domäne repliziert?
nein, das Objekt wird nicht auf die DCs der Root-Domäne repliziert, sondern nur auf die globalen Kataloge der Root-Domäne.
Ich habe es bisher so verstanden, dass nur Schema-Daten und Konfigurationsdaten (Connection-Objects) auf Sub-Domänen repliziert werden.
Genau. Das AD-besteht aus mehreren Verzeichnispartitionen:
1.) Die Schemapartition = wird auf alle DCs innerhalb einer Gesamtstruktur repliziert, egal in welcher Domäne sie sich befinden.
2.) Die Konfigurationspartition = wird auf alle DCs innerhalb einer Gesamtstruktur repliziert, egal in welcher Domäne sie sich befinden.
3.) Die jeweilige Domänenpartition = wird auf alle DCs innerhalb der jeweiligen Domäne repliziert.
4.) Die Anwendungsverzeichnispartition ForestDNSZones (ab Windows Server 2003) = wird auf alle DCs innerhalb einer Gesamtstruktur repliziert, egal in welcher Domäne sie sich befinden.
5.) Die Anwendungsverzeichnispartition DomainDNSZones (ab Windows Server 2003) der jeweiligen Domäne = wird auf alle DCs innerhalb der jeweiligen Domäne repliziert).
[LDAP:Yusufs.Directory.Blog/ - Welche Verzeichnispartitionen befinden sich auf einem DC?]
http://blog.dikmenoglu.de/Welche+Verzeichnispartitionen+Befinden+Sich+A ...
Außerdem beinhalten alle Global Catalog Server eine read-only Partition der Subdomänen. Ist das so korrekt?
Genau. Der globale Katalog hält die Informationen einer Gesamtstruktur vor. Alle Objekte mit den Attributen die für eine Suche relevant sein könnten, aus allen Domänen innerhalb einer Gesamtstruktur, werden zum GC repliziert.
Wenn eine Gesamtstruktur aus mehreren Domänen existiert, werden automatisch bidirektionale transitive Vertrauensstellungen zwischen den Domänen erstellt.
Wird der GC auf einem DC aktiviert, werden die Informationen (genauer, die Domänenpartition) der anderen Domänen, auf den DC repliziert. Dabei findet die GC-Replikation
mit einer niedrigeren Priorität als die standardmäßige AD-Replikation statt. Bis die Replikation des GC abgeschlossen wurde, hängt hauptsächlich von der Umgebung, Replikationstopologie, Bandbreite und die Anzahl
an Objekten ab.
Erst wenn die GC-Replikation abgeschlossen wurde, gibt sich der GC als solcher im AD bekannt. Du kannst z.B. eine Abfrage mit LDP auf dem DC durchführen und kontrollieren, ob der Eintrag "isGlobalCatalogReady" auf TRUE gesetzt ist.
Oder du überprüfst das Verzeichnisdienstprotokoll und suchst nach der EventID 1119. Auch dann ist der GC bereit. Danach gibt sich der DC im AD als GC bekannt.
Siehe auch:
[LDAP:Yusufs.Directory.Blog/ - Globaler Katalog (Global Catalog - GC)]
http://blog.dikmenoglu.de/Globaler+Katalog+Global+Catalog+GC.aspx
Gruppenrichtlinien können nicht repliziert werden?
GPOs werden nur innerhalb der Domäne repliziert.
Wenn jede Subdomäne für sich selbst verwaltet werden muss (dezentrale Verwaltung), würden wir uns wahrscheinlich gegen ein solches Design entscheiden.
Die Tendenz auch bei weltweiten AD-Umgebungen geht ohnehin zum "Single-Domain Forest". Also weltweit nur eine Domäne.
Ob und wenn ja wie viele Domänen erstellt werden sollen, kommt auf die Anforderung an. Ich bin hier gerade bei einem Kunden der weltweit 20.000 User hat und dieser migriert von allen Länder-Domänen in eine weltweite Domäne.
Der Nachteil bei mehreren Domänen innerhalb einer Gesamtstruktur ist:
- Bei mehreren Domänen ist der adminstrative Aufwand (Updates, Virenscanner usw.) höher, da auch jede Domäne wegen der Ausfallsicherheit mindestens zwei DCs haben sollte.
- Dadurch entstehen höhere Hardware- sowie Lizenzkosten.
- Jeder DC sollte/muss vor Ort physikalisch geschützt sein.
- Jede Domäne muss gesichert werden (Backup).
Bei mehreren Domänen wären die Vorteile, wenn man z.B. unterschiedliche DNS-Namensräume haben möchte. Oder unterschiedliche Administratoren sollen "nur" ihre eigene Domäne verwalten und nur dort der Admin sein.
Wobei das letztendlich nur mit getrennten Gesamtstrukturen und nicht mit mehreren Domänen innerhalb einer Gesamtstruktur zu regeln ist.
Mit mehreren Domänen kann man unterschiedliche Kennwortrichtlinien (bis einschließlich Windows Server 2003) anwenden. Ab Windows Server 2008 gibt es die "Password Settings Objects, kurz PSOs".
Der Vorteil einer Domäne wäre z.B. das man nur eine DNS-Zone/Domäne verwalten muss. Mit einer Domäne hat man eine bessere Übersicht und leichtere Administration. Weniger DCs sind notwendig und somit auch weniger Hardware- sowie Lizenzkosten.
Ich persönlich tendiere - wann immer möglich - zu dem Ein-Domänen-Modell, aber das kommt immer auf die Gegebenheiten und Anforderungen des Kunden darauf an.
Bin mir nicht sicher, ob ich das alles richtig verstanden habe.
Jetzt klarer?
Viele Grüße
/ > Yusuf Dikmenoglu