9
Vorteile Nachteile SubDomain vs Einzelne Domains
Hallo ich bin noch kein Experte auf dem Gebiet der AD/DNS Planung deshalb....
Wir betreiben aktuell 5 unabhängige Domains in unserer Firma... Diese sind via VPN untereinander verbunden. Die DNS Zonen sind in den anderen Domains als sekundäre Zonen eingerichtet. Alles funktioniert aber der Administrative Aufwand sollte verringert werden.
Da wir nun wieder eine Domain einrichten, habe ich mir überlegt diese in unsere "Hauptdomain" als zusätzliche Child/Sub Domain zu integrieren.
Wir haben keine leere Root Domain. Somit ist nur die Integration in eine Vorhandene Domain möglich. Diese ist im Produktivbetrieb User/PCs GPOs alles vorhanden ;)
Wir nehmen an Sie hört auf Firma.de
Ich habe testweise einen weiteren DC installiert und eine neue Domain in der Gesamtstruktur erstellt.
Diese hört nun auf den Namen: Ausenstelle1.Firma.de
Soweit alles klar.
Nun stellen sich mir aber gleich mehrere Fragen. Die SubDNS Zone erscheint nicht auf meinem Firma.de DNS ADServer. Muss ich diese einrichten? Dachte das passiert bei AD Integrierten Zonen automatisch? (DNS Server in der SUB Domain läuft natürlich...)
Ist es möglich User oder PCs einfach von der Hauptdomain in die SUB Domain zu verschieben und umgekehrt?
Wie sieht es mit den Berechtigungen aus? Habe schon raus bekommen das ich als Admin der Firma1 vollen Zugriff auf die Child Domain habe, und als Admin der SUB Domain nur in eben dieser schalten kann...
Gibt es da noch Dinge die ich beim konfigurieren beachten muss?
GPOs kann ich auch in meine SUB Domain linken habe ich gesehen :D
Was gibt es sonst noch was mir die Child Domain ermöglicht? Was muss ich unbedingt beachten? Was spricht gegen diese Konstellation?
Gibt es Probleme wenn mal der VPN Kanal ausfällt? Stichwort Kerberos Tickets?
Ich bin über jeden Tip, Howto oder Ratschlag dankbar. Wäre super wenn sich mir einer annimmt...
In diesem Sinne einen schönen Abend.
Wir betreiben aktuell 5 unabhängige Domains in unserer Firma... Diese sind via VPN untereinander verbunden. Die DNS Zonen sind in den anderen Domains als sekundäre Zonen eingerichtet. Alles funktioniert aber der Administrative Aufwand sollte verringert werden.
Da wir nun wieder eine Domain einrichten, habe ich mir überlegt diese in unsere "Hauptdomain" als zusätzliche Child/Sub Domain zu integrieren.
Wir haben keine leere Root Domain. Somit ist nur die Integration in eine Vorhandene Domain möglich. Diese ist im Produktivbetrieb User/PCs GPOs alles vorhanden ;)
Wir nehmen an Sie hört auf Firma.de
Ich habe testweise einen weiteren DC installiert und eine neue Domain in der Gesamtstruktur erstellt.
Diese hört nun auf den Namen: Ausenstelle1.Firma.de
Soweit alles klar.
Nun stellen sich mir aber gleich mehrere Fragen. Die SubDNS Zone erscheint nicht auf meinem Firma.de DNS ADServer. Muss ich diese einrichten? Dachte das passiert bei AD Integrierten Zonen automatisch? (DNS Server in der SUB Domain läuft natürlich...)
Ist es möglich User oder PCs einfach von der Hauptdomain in die SUB Domain zu verschieben und umgekehrt?
Wie sieht es mit den Berechtigungen aus? Habe schon raus bekommen das ich als Admin der Firma1 vollen Zugriff auf die Child Domain habe, und als Admin der SUB Domain nur in eben dieser schalten kann...
Gibt es da noch Dinge die ich beim konfigurieren beachten muss?
GPOs kann ich auch in meine SUB Domain linken habe ich gesehen :D
Was gibt es sonst noch was mir die Child Domain ermöglicht? Was muss ich unbedingt beachten? Was spricht gegen diese Konstellation?
Gibt es Probleme wenn mal der VPN Kanal ausfällt? Stichwort Kerberos Tickets?
Ich bin über jeden Tip, Howto oder Ratschlag dankbar. Wäre super wenn sich mir einer annimmt...
In diesem Sinne einen schönen Abend.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 145099
Url: https://administrator.de/contentid/145099
Ausgedruckt am: 24.11.2024 um 06:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo lenny4me,
aus welchen Gründen siehst Du Dich überhaupt gezwungen, für die Außenstelle eine eigene (Sub-)Domain einzurichten? Warum nicht alles in eine Domain?
Gruß
sk
aus welchen Gründen siehst Du Dich überhaupt gezwungen, für die Außenstelle eine eigene (Sub-)Domain einzurichten? Warum nicht alles in eine Domain?
Gruß
sk
Servus,
also mit den bisherigen Informationen suchst du ganz klar, dass Ein-Domänen Modell!
Der Nachteil bei mehreren Domänen innerhalb einer Gesamtstruktur ist:
- Bei mehreren Domänen ist der adminstrative Aufwand (Updates, Virenscanner usw.) höher, da auch jede Domäne wegen der Ausfallsicherheit mindestens zwei DCs haben sollte.
- Dadurch entstehen höhere Hardware- sowie Lizenzkosten.
- Jeder DC sollte/muss vor Ort physikalisch geschützt sein.
- Jede Domäne muss gesichert werden (Backup).
Bei mehreren Domänen wären die Vorteile, wenn man z.B. unterschiedliche DNS-Namensräume haben möchte. Oder unterschiedliche Administratoren
sollen "nur" ihre eigene Domäne verwalten und nur dort der Admin sein. Wobei das letztendlich nur mit getrennten Gesamtstrukturen und nicht
mit mehreren Domänen innerhalb einer Gesamtstruktur zu regeln ist.
Mit mehreren Domänen kann man unterschiedliche Kennwortrichtlinien (bis einschließlich Windows Server 2003) anwenden. Ab Windows Server 2008
gibt es die "Password Settings Objects, kurz PSOs".
Der Vorteil einer Domäne wäre z.B. das man nur eine DNS-Zone/Domäne verwalten muss.
Mit einer Domäne hat man eine bessere Übersicht und leichtere Administration.
Weniger DCs sind notwendig und somit auch weniger Hardware- sowie Lizenzkosten.
Ich persönlich tendiere gerne - wann immer möglich - zu dem Ein-Domänen-Modell, aber das kommt immer auf die Gegebenheiten
des Kunden darauf an.
Evtl. solltet ihr euch dazu einen Dienstleister zur Seite holen.
Was das DNS betrifft, da irrst du dich. Was interessiert es die Root-Domäne, welche DNS-Einträge in der Subdomäne existieren.
In der Root-Domäne sollt eine Delegierung zur Subdomäne existieren. Das muss es aber nicht. Man kann auch die Forward Lookup Zone in der Gesamtstruktur auf jeden DC replizieren.
Das ist ab Windows Server 2003 mit der Anwendungsverzeichnispartition "ForestDNSZones" möglich. Aber das würde hier jetzt zu weit gehen.
Auch das der Domänen-Admin der Root-Domäne "vollen Zugriff" auf die Subdomäne hat, stimmt ebenfalls nicht.
Viele Grüße
/ > Yusuf Dikmenoglu
also mit den bisherigen Informationen suchst du ganz klar, dass Ein-Domänen Modell!
Der Nachteil bei mehreren Domänen innerhalb einer Gesamtstruktur ist:
- Bei mehreren Domänen ist der adminstrative Aufwand (Updates, Virenscanner usw.) höher, da auch jede Domäne wegen der Ausfallsicherheit mindestens zwei DCs haben sollte.
- Dadurch entstehen höhere Hardware- sowie Lizenzkosten.
- Jeder DC sollte/muss vor Ort physikalisch geschützt sein.
- Jede Domäne muss gesichert werden (Backup).
Bei mehreren Domänen wären die Vorteile, wenn man z.B. unterschiedliche DNS-Namensräume haben möchte. Oder unterschiedliche Administratoren
sollen "nur" ihre eigene Domäne verwalten und nur dort der Admin sein. Wobei das letztendlich nur mit getrennten Gesamtstrukturen und nicht
mit mehreren Domänen innerhalb einer Gesamtstruktur zu regeln ist.
Mit mehreren Domänen kann man unterschiedliche Kennwortrichtlinien (bis einschließlich Windows Server 2003) anwenden. Ab Windows Server 2008
gibt es die "Password Settings Objects, kurz PSOs".
Der Vorteil einer Domäne wäre z.B. das man nur eine DNS-Zone/Domäne verwalten muss.
Mit einer Domäne hat man eine bessere Übersicht und leichtere Administration.
Weniger DCs sind notwendig und somit auch weniger Hardware- sowie Lizenzkosten.
Ich persönlich tendiere gerne - wann immer möglich - zu dem Ein-Domänen-Modell, aber das kommt immer auf die Gegebenheiten
des Kunden darauf an.
Evtl. solltet ihr euch dazu einen Dienstleister zur Seite holen.
Was das DNS betrifft, da irrst du dich. Was interessiert es die Root-Domäne, welche DNS-Einträge in der Subdomäne existieren.
In der Root-Domäne sollt eine Delegierung zur Subdomäne existieren. Das muss es aber nicht. Man kann auch die Forward Lookup Zone in der Gesamtstruktur auf jeden DC replizieren.
Das ist ab Windows Server 2003 mit der Anwendungsverzeichnispartition "ForestDNSZones" möglich. Aber das würde hier jetzt zu weit gehen.
Auch das der Domänen-Admin der Root-Domäne "vollen Zugriff" auf die Subdomäne hat, stimmt ebenfalls nicht.
Viele Grüße
/ > Yusuf Dikmenoglu
Hallo sk Hallo Yusuf,
Es handelt sich bei unserer Firmenstruktur um ein Mutterhaus das aber viele eigenständige Ausenstellen hat. Es wird großen Wert auf die Eigenständigkeit dieser Ausenstellen gelegt somit kommt leider eine Große Domain nicht in Frage (habe das schon diskutiert).
Die Frage wäre nur entweder:
1. mehrere Gesamtstrukturen mit jeweils einer Domain oder
2. Eine Hauptdomain mit Child Domains.
Aktuell ist hier der 1. Fall vorhanden. Ob das so geplant war oder historisch gewachsen ist erschließt sich mir nicht so recht...
Die Ausenstellen haben zwar IT Beauftragte aber davon lassen wir keinen an die Domain oder das AD. Wir administrieren alle Domains. Ich wollte eigentlich vermeiden, das wir GPOs x fach erstellen müssen oder diese erst ex- und wieder importieren. Das ist (finde ich) ein Aufwand den man(n) minnimieren sollte.
Grüße Lenny
Es handelt sich bei unserer Firmenstruktur um ein Mutterhaus das aber viele eigenständige Ausenstellen hat. Es wird großen Wert auf die Eigenständigkeit dieser Ausenstellen gelegt somit kommt leider eine Große Domain nicht in Frage (habe das schon diskutiert).
Die Frage wäre nur entweder:
1. mehrere Gesamtstrukturen mit jeweils einer Domain oder
2. Eine Hauptdomain mit Child Domains.
Aktuell ist hier der 1. Fall vorhanden. Ob das so geplant war oder historisch gewachsen ist erschließt sich mir nicht so recht...
Die Ausenstellen haben zwar IT Beauftragte aber davon lassen wir keinen an die Domain oder das AD. Wir administrieren alle Domains. Ich wollte eigentlich vermeiden, das wir GPOs x fach erstellen müssen oder diese erst ex- und wieder importieren. Das ist (finde ich) ein Aufwand den man(n) minnimieren sollte.
Grüße Lenny
Wenn es sich am Ende um "eine Firma" handelt, solltest du "eine Gesamtstruktur" mit "mehreren Subdomänen" wählen.
Alles andere ergibt keinen Sinn und erleichtert keineswegs die Administration. Alleine das schon nicht das Ein-Domänen Modell gewählt werden darf,
ist schon ein Fehler.
Gruß, Yusuf
Alles andere ergibt keinen Sinn und erleichtert keineswegs die Administration. Alleine das schon nicht das Ein-Domänen Modell gewählt werden darf,
ist schon ein Fehler.
Gruß, Yusuf
Hallo Yusuf,
ich werde es nochmals ansprechen...
Werde mich dann nochmals zurück melden
ich werde es nochmals ansprechen...
Werde mich dann nochmals zurück melden
Meldest du dich noch ???
Gruß
Gruß
Du fledderst ernsthaft einen 4 Jahre alten Thread?
Gut. Eine Domain alles migriert lief Sahne als ich das letzte mal in der Firma war. Nun neue Firma neues AD viel Spass und Mittlerweile auch AD Pro ;)
