Vorteile Nachteile SubDomain vs Einzelne Domains
Hallo ich bin noch kein Experte auf dem Gebiet der AD/DNS Planung deshalb....
Wir betreiben aktuell 5 unabhängige Domains in unserer Firma... Diese sind via VPN untereinander verbunden. Die DNS Zonen sind in den anderen Domains als sekundäre Zonen eingerichtet. Alles funktioniert aber der Administrative Aufwand sollte verringert werden.
Da wir nun wieder eine Domain einrichten, habe ich mir überlegt diese in unsere "Hauptdomain" als zusätzliche Child/Sub Domain zu integrieren.
Wir haben keine leere Root Domain. Somit ist nur die Integration in eine Vorhandene Domain möglich. Diese ist im Produktivbetrieb User/PCs GPOs alles vorhanden ;)
Wir nehmen an Sie hört auf Firma.de
Ich habe testweise einen weiteren DC installiert und eine neue Domain in der Gesamtstruktur erstellt.
Diese hört nun auf den Namen: Ausenstelle1.Firma.de
Soweit alles klar.
Nun stellen sich mir aber gleich mehrere Fragen. Die SubDNS Zone erscheint nicht auf meinem Firma.de DNS ADServer. Muss ich diese einrichten? Dachte das passiert bei AD Integrierten Zonen automatisch? (DNS Server in der SUB Domain läuft natürlich...)
Ist es möglich User oder PCs einfach von der Hauptdomain in die SUB Domain zu verschieben und umgekehrt?
Wie sieht es mit den Berechtigungen aus? Habe schon raus bekommen das ich als Admin der Firma1 vollen Zugriff auf die Child Domain habe, und als Admin der SUB Domain nur in eben dieser schalten kann...
Gibt es da noch Dinge die ich beim konfigurieren beachten muss?
GPOs kann ich auch in meine SUB Domain linken habe ich gesehen :D
Was gibt es sonst noch was mir die Child Domain ermöglicht? Was muss ich unbedingt beachten? Was spricht gegen diese Konstellation?
Gibt es Probleme wenn mal der VPN Kanal ausfällt? Stichwort Kerberos Tickets?
Ich bin über jeden Tip, Howto oder Ratschlag dankbar. Wäre super wenn sich mir einer annimmt...
In diesem Sinne einen schönen Abend.
Wir betreiben aktuell 5 unabhängige Domains in unserer Firma... Diese sind via VPN untereinander verbunden. Die DNS Zonen sind in den anderen Domains als sekundäre Zonen eingerichtet. Alles funktioniert aber der Administrative Aufwand sollte verringert werden.
Da wir nun wieder eine Domain einrichten, habe ich mir überlegt diese in unsere "Hauptdomain" als zusätzliche Child/Sub Domain zu integrieren.
Wir haben keine leere Root Domain. Somit ist nur die Integration in eine Vorhandene Domain möglich. Diese ist im Produktivbetrieb User/PCs GPOs alles vorhanden ;)
Wir nehmen an Sie hört auf Firma.de
Ich habe testweise einen weiteren DC installiert und eine neue Domain in der Gesamtstruktur erstellt.
Diese hört nun auf den Namen: Ausenstelle1.Firma.de
Soweit alles klar.
Nun stellen sich mir aber gleich mehrere Fragen. Die SubDNS Zone erscheint nicht auf meinem Firma.de DNS ADServer. Muss ich diese einrichten? Dachte das passiert bei AD Integrierten Zonen automatisch? (DNS Server in der SUB Domain läuft natürlich...)
Ist es möglich User oder PCs einfach von der Hauptdomain in die SUB Domain zu verschieben und umgekehrt?
Wie sieht es mit den Berechtigungen aus? Habe schon raus bekommen das ich als Admin der Firma1 vollen Zugriff auf die Child Domain habe, und als Admin der SUB Domain nur in eben dieser schalten kann...
Gibt es da noch Dinge die ich beim konfigurieren beachten muss?
GPOs kann ich auch in meine SUB Domain linken habe ich gesehen :D
Was gibt es sonst noch was mir die Child Domain ermöglicht? Was muss ich unbedingt beachten? Was spricht gegen diese Konstellation?
Gibt es Probleme wenn mal der VPN Kanal ausfällt? Stichwort Kerberos Tickets?
Ich bin über jeden Tip, Howto oder Ratschlag dankbar. Wäre super wenn sich mir einer annimmt...
In diesem Sinne einen schönen Abend.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 145099
Url: https://administrator.de/forum/vorteile-nachteile-subdomain-vs-einzelne-domains-145099.html
Ausgedruckt am: 25.12.2024 um 12:12 Uhr
9 Kommentare
Neuester Kommentar
Servus,
also mit den bisherigen Informationen suchst du ganz klar, dass Ein-Domänen Modell!
Der Nachteil bei mehreren Domänen innerhalb einer Gesamtstruktur ist:
- Bei mehreren Domänen ist der adminstrative Aufwand (Updates, Virenscanner usw.) höher, da auch jede Domäne wegen der Ausfallsicherheit mindestens zwei DCs haben sollte.
- Dadurch entstehen höhere Hardware- sowie Lizenzkosten.
- Jeder DC sollte/muss vor Ort physikalisch geschützt sein.
- Jede Domäne muss gesichert werden (Backup).
Bei mehreren Domänen wären die Vorteile, wenn man z.B. unterschiedliche DNS-Namensräume haben möchte. Oder unterschiedliche Administratoren
sollen "nur" ihre eigene Domäne verwalten und nur dort der Admin sein. Wobei das letztendlich nur mit getrennten Gesamtstrukturen und nicht
mit mehreren Domänen innerhalb einer Gesamtstruktur zu regeln ist.
Mit mehreren Domänen kann man unterschiedliche Kennwortrichtlinien (bis einschließlich Windows Server 2003) anwenden. Ab Windows Server 2008
gibt es die "Password Settings Objects, kurz PSOs".
Der Vorteil einer Domäne wäre z.B. das man nur eine DNS-Zone/Domäne verwalten muss.
Mit einer Domäne hat man eine bessere Übersicht und leichtere Administration.
Weniger DCs sind notwendig und somit auch weniger Hardware- sowie Lizenzkosten.
Ich persönlich tendiere gerne - wann immer möglich - zu dem Ein-Domänen-Modell, aber das kommt immer auf die Gegebenheiten
des Kunden darauf an.
Evtl. solltet ihr euch dazu einen Dienstleister zur Seite holen.
Was das DNS betrifft, da irrst du dich. Was interessiert es die Root-Domäne, welche DNS-Einträge in der Subdomäne existieren.
In der Root-Domäne sollt eine Delegierung zur Subdomäne existieren. Das muss es aber nicht. Man kann auch die Forward Lookup Zone in der Gesamtstruktur auf jeden DC replizieren.
Das ist ab Windows Server 2003 mit der Anwendungsverzeichnispartition "ForestDNSZones" möglich. Aber das würde hier jetzt zu weit gehen.
Auch das der Domänen-Admin der Root-Domäne "vollen Zugriff" auf die Subdomäne hat, stimmt ebenfalls nicht.
Viele Grüße
/ > Yusuf Dikmenoglu
also mit den bisherigen Informationen suchst du ganz klar, dass Ein-Domänen Modell!
Der Nachteil bei mehreren Domänen innerhalb einer Gesamtstruktur ist:
- Bei mehreren Domänen ist der adminstrative Aufwand (Updates, Virenscanner usw.) höher, da auch jede Domäne wegen der Ausfallsicherheit mindestens zwei DCs haben sollte.
- Dadurch entstehen höhere Hardware- sowie Lizenzkosten.
- Jeder DC sollte/muss vor Ort physikalisch geschützt sein.
- Jede Domäne muss gesichert werden (Backup).
Bei mehreren Domänen wären die Vorteile, wenn man z.B. unterschiedliche DNS-Namensräume haben möchte. Oder unterschiedliche Administratoren
sollen "nur" ihre eigene Domäne verwalten und nur dort der Admin sein. Wobei das letztendlich nur mit getrennten Gesamtstrukturen und nicht
mit mehreren Domänen innerhalb einer Gesamtstruktur zu regeln ist.
Mit mehreren Domänen kann man unterschiedliche Kennwortrichtlinien (bis einschließlich Windows Server 2003) anwenden. Ab Windows Server 2008
gibt es die "Password Settings Objects, kurz PSOs".
Der Vorteil einer Domäne wäre z.B. das man nur eine DNS-Zone/Domäne verwalten muss.
Mit einer Domäne hat man eine bessere Übersicht und leichtere Administration.
Weniger DCs sind notwendig und somit auch weniger Hardware- sowie Lizenzkosten.
Ich persönlich tendiere gerne - wann immer möglich - zu dem Ein-Domänen-Modell, aber das kommt immer auf die Gegebenheiten
des Kunden darauf an.
Evtl. solltet ihr euch dazu einen Dienstleister zur Seite holen.
Was das DNS betrifft, da irrst du dich. Was interessiert es die Root-Domäne, welche DNS-Einträge in der Subdomäne existieren.
In der Root-Domäne sollt eine Delegierung zur Subdomäne existieren. Das muss es aber nicht. Man kann auch die Forward Lookup Zone in der Gesamtstruktur auf jeden DC replizieren.
Das ist ab Windows Server 2003 mit der Anwendungsverzeichnispartition "ForestDNSZones" möglich. Aber das würde hier jetzt zu weit gehen.
Auch das der Domänen-Admin der Root-Domäne "vollen Zugriff" auf die Subdomäne hat, stimmt ebenfalls nicht.
Viele Grüße
/ > Yusuf Dikmenoglu