Rootdomäne, mehrere Child Domänen, DNS... alles unter 2008
Hallo Admins,
heute habe ich wirklich mal einen schweren Brocken. Ich habe hier schon nach ähnlichen Beiträgen gesucht, bin aber leider nicht fündig geworden. Im Gegenteil sind die paar Beiträge mit einem ähnlichen Thema erst gar nicht beantwortet worden. Aber zum Thema.
Im neuen Firmennetz haben wir eine Rootdomäne mit Server 2008 aufgebaut. Dazu besteht auch schon die erste Child Domäne im Baum.
Nach einigen Problemen im Erstellungsassistent, manuellem Aufbau des DNS und wiederholten Probierens, hat es dann endlich geklappt. Die Rootdomäne ist außerdem der GC und es befinden sich auf diesem auch alle OUs, Benutzer und Gruppenrichtlinien.
Außerdem gibts noch zwei TerminalServer mit Mit Lastenausgleich in der Rootdomäne, aber ohne eigener Domäne (man kitzelt ja so viel wie möglich aus dem TerminalServer raus ). Außer einem Replikationsfehler (sind noch am Arbeiten), sieht alles ganz gut aus.
Nun folgendes Problem:
1. Ich möchte gern auf allen Child Domänen die gesamten Objekte der Rootdomäne (wichtig OU Struktur, Benutzer und Gruppenrichtlinie) ebenfalls nutzen. Die Delagation ist ja nicht das Problem, da diese im Domänenbaum automatisch erstellt wird. Ich brauche aber eine einfache Lösung, alle Benutzer mit ihren Eigenschaften auch in allen untergeordneten Domänen zur Verfügung zu haben. Wichtig sind dabei auch die Terminalzugriffskonfigurationen, die in den Gruppenrichtlinien festgelegt sind.
2. Die erstellten Install Pakete (msi) für die RemoteApp Terminalzugriffe sind ja gut über die GPO zu verteilen (übrigens eine gesunde Alternative als direkt die rdp Dateien zu nehmen, da der Anwender mit den dargestellten Icons wenig anfangen kann), aber bei Anwendung der RemoteApps würde ich gern auf die Abfrage der Authorisierung verzichten, da wir ein gesichertes und in sich geschlossenes Netz haben (nur ein Breitbandzugang Internet für alle Standorte). Es wird für die Anwender nervend, permanent bei Neuanmeldung und Nutzung der TerminalApps ihren Benutzername und Passwort einzugeben.
Ansonsten gibts so die üblichen aber behebbaren Fehler (hoch lebe MS).
Danke im voraus!!
Mirko
heute habe ich wirklich mal einen schweren Brocken. Ich habe hier schon nach ähnlichen Beiträgen gesucht, bin aber leider nicht fündig geworden. Im Gegenteil sind die paar Beiträge mit einem ähnlichen Thema erst gar nicht beantwortet worden. Aber zum Thema.
Im neuen Firmennetz haben wir eine Rootdomäne mit Server 2008 aufgebaut. Dazu besteht auch schon die erste Child Domäne im Baum.
Nach einigen Problemen im Erstellungsassistent, manuellem Aufbau des DNS und wiederholten Probierens, hat es dann endlich geklappt. Die Rootdomäne ist außerdem der GC und es befinden sich auf diesem auch alle OUs, Benutzer und Gruppenrichtlinien.
Außerdem gibts noch zwei TerminalServer mit Mit Lastenausgleich in der Rootdomäne, aber ohne eigener Domäne (man kitzelt ja so viel wie möglich aus dem TerminalServer raus ). Außer einem Replikationsfehler (sind noch am Arbeiten), sieht alles ganz gut aus.
Nun folgendes Problem:
1. Ich möchte gern auf allen Child Domänen die gesamten Objekte der Rootdomäne (wichtig OU Struktur, Benutzer und Gruppenrichtlinie) ebenfalls nutzen. Die Delagation ist ja nicht das Problem, da diese im Domänenbaum automatisch erstellt wird. Ich brauche aber eine einfache Lösung, alle Benutzer mit ihren Eigenschaften auch in allen untergeordneten Domänen zur Verfügung zu haben. Wichtig sind dabei auch die Terminalzugriffskonfigurationen, die in den Gruppenrichtlinien festgelegt sind.
2. Die erstellten Install Pakete (msi) für die RemoteApp Terminalzugriffe sind ja gut über die GPO zu verteilen (übrigens eine gesunde Alternative als direkt die rdp Dateien zu nehmen, da der Anwender mit den dargestellten Icons wenig anfangen kann), aber bei Anwendung der RemoteApps würde ich gern auf die Abfrage der Authorisierung verzichten, da wir ein gesichertes und in sich geschlossenes Netz haben (nur ein Breitbandzugang Internet für alle Standorte). Es wird für die Anwender nervend, permanent bei Neuanmeldung und Nutzung der TerminalApps ihren Benutzername und Passwort einzugeben.
Ansonsten gibts so die üblichen aber behebbaren Fehler (hoch lebe MS).
Danke im voraus!!
Mirko
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 92665
Url: https://administrator.de/forum/rootdomaene-mehrere-child-domaenen-dns-alles-unter-2008-92665.html
Ausgedruckt am: 23.12.2024 um 18:12 Uhr
8 Kommentare
Neuester Kommentar
Hi,
zu 1:
Die Objekte sind einmal im AD drin - in der Root-Domain. Die Objekte können aber innerhalb des Forrest nicht doppelt angelegt werden. Das macht auch keinen Sinn, weil sie sind ja schon da.
Warum willst Du das aber - sag doch bitte mal dazu ein paar Worte. Welche Idee steckt dahinter?
zu 2:
Hm - ist nur ein Schuss ins Blaue: schau dir mal die Kommandozeilenoptionen des Programms mstsc an - da kann man bestimmt irgendwie Benutzernamen und Kennwort hinterlegen... Wenn nicht, dann wenigstens den Benutzernamen und dann vielleicht das Kennwort beim ersten Mal Zugriff speichern oder sowas ...
Obwohl es nervt, würde ich Dir aber dringend davon abraten - machst Du erst einmal eine Ausnahme möchten die User gleich die ganze Hand und Passworte abschaffen ....
Grüße
zu 1:
Die Objekte sind einmal im AD drin - in der Root-Domain. Die Objekte können aber innerhalb des Forrest nicht doppelt angelegt werden. Das macht auch keinen Sinn, weil sie sind ja schon da.
Warum willst Du das aber - sag doch bitte mal dazu ein paar Worte. Welche Idee steckt dahinter?
zu 2:
Hm - ist nur ein Schuss ins Blaue: schau dir mal die Kommandozeilenoptionen des Programms mstsc an - da kann man bestimmt irgendwie Benutzernamen und Kennwort hinterlegen... Wenn nicht, dann wenigstens den Benutzernamen und dann vielleicht das Kennwort beim ersten Mal Zugriff speichern oder sowas ...
Obwohl es nervt, würde ich Dir aber dringend davon abraten - machst Du erst einmal eine Ausnahme möchten die User gleich die ganze Hand und Passworte abschaffen ....
Grüße
Hi,
das verstehe ich nicht - gut, es mag ja unterschiedliche Standorte geben, doch gibt es da auch Domänencontroller? Wenn ich das jetzt verstanden hab, dann wohl nicht??? Oder durchaus schon welche, aber nur Backupcontroller????
Eine DNS-Subdomain hat auf die Anmeldevorgänge als solches erstmal keinen Einfluss - Du müßtest Dich in den Standorten anmelden können an der Root-Domain, sofern eine Verbindung zum PDC-Emulator da ist.
Anders ist es, wenn es eigenständige DC's gibt in den Standorten, die auch innerhalb der AD-Struktur als DC's arbeiten - dann hast Du aber wiederum einen Forrest ... Die AD-Struktur ist sozusagen ein Schema, was in gewisser Weise oberhalb des Schemas der DNS-Verwaltung liegt und arbeitet ....
Ich bin gerade verwirrt ...
Grüße
das verstehe ich nicht - gut, es mag ja unterschiedliche Standorte geben, doch gibt es da auch Domänencontroller? Wenn ich das jetzt verstanden hab, dann wohl nicht??? Oder durchaus schon welche, aber nur Backupcontroller????
Eine DNS-Subdomain hat auf die Anmeldevorgänge als solches erstmal keinen Einfluss - Du müßtest Dich in den Standorten anmelden können an der Root-Domain, sofern eine Verbindung zum PDC-Emulator da ist.
Anders ist es, wenn es eigenständige DC's gibt in den Standorten, die auch innerhalb der AD-Struktur als DC's arbeiten - dann hast Du aber wiederum einen Forrest ... Die AD-Struktur ist sozusagen ein Schema, was in gewisser Weise oberhalb des Schemas der DNS-Verwaltung liegt und arbeitet ....
Ich bin gerade verwirrt ...
Grüße
Ahhh - doch ein Forrest ...
Lass mich das mal zusammenfassen:
Es gibt eine Root-Domain, die unternehmen.local heisst und da sind auch die ganzen Nutzer drin. Dann gibt es für die Standorte Unterdomains, die im Forrest enthalten sind, also standort1.unternehmen.local und standort2.unternehmen.local usw. Die Nutzer sollen sich bei standort1.unternehmen.local an und bei standort2.unternehmen.local anmelden, die Konten selbst sind in unternehmen.local enthalten.
Soweit verstanden?
Die Problematik mit dem Traffik kannst Du fast nicht umgehen, solange die Konten on unternehmen.local drin sind kannst Du zwar etwas tricksen, doch es bleibt dabei - der Traffic zur Root-Domain läuft auf. Das kannst Du erstmal nur so umgehen, dass die Konten in den Subdomains angelegt werden, doch das ist gefährlich, da nur ein DC im Standort existiert.
Was kannst Du aber tun? Der Windows Server 2003 R2 hat die Eigenschaft, dass er einen Replikationsdienst besitzt, der Differenzen überträgt. Das kannst Du ausnutzen, in dem Du auf dem Hauptserver einen Ordner einrichtest und dort die Programme reintust. Dann replizierst Du den Kram einfach auf die Standortserver und das dauert zwar etwas länger, nimmt aber nicht soviel Bandbreite in Anspruch.
Bei den Nutzern selbst installierst Du nicht per GPO, sondern per Batch und mit Hilfe der Umgebungsvariable %LOGONSERVER% kannst Du dann steuern, von welchem Server er die Pakete holt.
Plan B wäre, die Sache mit den Unterdomains aufzugeben und nur mit einer Domain zu arbeiten - mit der Root-Domain. Jeder Fileserver im Standort wird dann zum DC der Root-Domain erklärt, Du hast zwar mit der Replikation etwas mehr zu tun, insgesamt sinkt aber der Verwaltungsaufwand und Traffik. Die User können sich dann am DC im Standort anmelden und im NETLOGON liegen die Dateien - bandbreitenschonend mit W2K3 R2 übertragen.
Plan C ist, auf den Standortservern einfach MS Virtual Server zu installieren und in eine solche BOX einen DC der Root-Domain reinzutun. Damit sparst Du Hardware und kannst das im laufenden Betrieb rekonfigurieren. Damit ist DC der Standortdomain am Standort und ein DC der Root-Domain und bei richtigen Standorteinstellungen sollte sich das mit dem Traffik auch in Grenzen halten. Hinzu kommt eine gewissen Ausfallsicherheit in den Standorten, da bei Leitungsausfall ein DC der Root-Domain im Standort existiert ...
Plan D könnte ich mir so vorstellen, dass Du den DC der Root-Domain ausbaust und ein MS Virtual Server installierst, in dem Du jeweils einen DC für jeden Standort installierst. Damit kannst Du Konten in den Standortservern installieren und nutzen, hast aber eine Kopie der Nutzerdatenbank in der Zentrale.
Grüße
Lass mich das mal zusammenfassen:
Es gibt eine Root-Domain, die unternehmen.local heisst und da sind auch die ganzen Nutzer drin. Dann gibt es für die Standorte Unterdomains, die im Forrest enthalten sind, also standort1.unternehmen.local und standort2.unternehmen.local usw. Die Nutzer sollen sich bei standort1.unternehmen.local an und bei standort2.unternehmen.local anmelden, die Konten selbst sind in unternehmen.local enthalten.
Soweit verstanden?
Die Problematik mit dem Traffik kannst Du fast nicht umgehen, solange die Konten on unternehmen.local drin sind kannst Du zwar etwas tricksen, doch es bleibt dabei - der Traffic zur Root-Domain läuft auf. Das kannst Du erstmal nur so umgehen, dass die Konten in den Subdomains angelegt werden, doch das ist gefährlich, da nur ein DC im Standort existiert.
Was kannst Du aber tun? Der Windows Server 2003 R2 hat die Eigenschaft, dass er einen Replikationsdienst besitzt, der Differenzen überträgt. Das kannst Du ausnutzen, in dem Du auf dem Hauptserver einen Ordner einrichtest und dort die Programme reintust. Dann replizierst Du den Kram einfach auf die Standortserver und das dauert zwar etwas länger, nimmt aber nicht soviel Bandbreite in Anspruch.
Bei den Nutzern selbst installierst Du nicht per GPO, sondern per Batch und mit Hilfe der Umgebungsvariable %LOGONSERVER% kannst Du dann steuern, von welchem Server er die Pakete holt.
Plan B wäre, die Sache mit den Unterdomains aufzugeben und nur mit einer Domain zu arbeiten - mit der Root-Domain. Jeder Fileserver im Standort wird dann zum DC der Root-Domain erklärt, Du hast zwar mit der Replikation etwas mehr zu tun, insgesamt sinkt aber der Verwaltungsaufwand und Traffik. Die User können sich dann am DC im Standort anmelden und im NETLOGON liegen die Dateien - bandbreitenschonend mit W2K3 R2 übertragen.
Plan C ist, auf den Standortservern einfach MS Virtual Server zu installieren und in eine solche BOX einen DC der Root-Domain reinzutun. Damit sparst Du Hardware und kannst das im laufenden Betrieb rekonfigurieren. Damit ist DC der Standortdomain am Standort und ein DC der Root-Domain und bei richtigen Standorteinstellungen sollte sich das mit dem Traffik auch in Grenzen halten. Hinzu kommt eine gewissen Ausfallsicherheit in den Standorten, da bei Leitungsausfall ein DC der Root-Domain im Standort existiert ...
Plan D könnte ich mir so vorstellen, dass Du den DC der Root-Domain ausbaust und ein MS Virtual Server installierst, in dem Du jeweils einen DC für jeden Standort installierst. Damit kannst Du Konten in den Standortservern installieren und nutzen, hast aber eine Kopie der Nutzerdatenbank in der Zentrale.
Grüße
Jupp - das ist eine Schnapsidee, ich weiss.
Vorteil dieser Variante ist, dass es funktioniert und das bei mir im Produktiveinsatz seit 1 1/2 Jahren. Natürlich sollte man nicht einen DC virtualisieren, dessen Wirt in der entsprechend virtualisierten Domäne ist - das macht keinen Sinn.
Wenn Dir MS Virtual Server nix ist, wie wäre es mit einem Debian und VMWareserver drauf - funktioniert und die VMWareserversoftware gibt es gratis. Im Gegensatz zur Windows-Version, bei der man angemeldet sein muss, arbeitet die Unixvariante als echter VMWaredienst.
Mit dieser Variante der Virtualisierung kannst Du hohe Kosten erstmal vermeiden - das war mein Gedankengang dahinter - clever ist nicht, das stimmt wohl ...
Grüße
Vorteil dieser Variante ist, dass es funktioniert und das bei mir im Produktiveinsatz seit 1 1/2 Jahren. Natürlich sollte man nicht einen DC virtualisieren, dessen Wirt in der entsprechend virtualisierten Domäne ist - das macht keinen Sinn.
Wenn Dir MS Virtual Server nix ist, wie wäre es mit einem Debian und VMWareserver drauf - funktioniert und die VMWareserversoftware gibt es gratis. Im Gegensatz zur Windows-Version, bei der man angemeldet sein muss, arbeitet die Unixvariante als echter VMWaredienst.
Mit dieser Variante der Virtualisierung kannst Du hohe Kosten erstmal vermeiden - das war mein Gedankengang dahinter - clever ist nicht, das stimmt wohl ...
Grüße