4
WIndows Domain Controller - Best practice - Wie viele DCs sind notwendig?
Guten Tag,
zur Zeit setzen wir eine Domäne mit Windows Servern 2003 ein, welche wir nun anheben möchten.
Wir haben 10 Außenstellen welche mit mindestens 10mbit/s mittels Ethernet Connect angebunden sind. Die meisten davon haben einen physikalischen Domain Controller.
Damals war es sinnvoll "so viele" DCs aufzustellen, da die Leitung damals meist auch nur 256kbit/s war. Gibt es ggf. eine Faustregel ob sich ein neuer Domain Controller lohnt?
Sprich so was wie: "Ab 100 Leuten immer ein DC." oder "wenn die Leitung 10mbit/s ist und dort 50 Leute sitzen, passt das schon und es muss keinen DC geben."
Vielen Dank für eure Hilfe.
Grüße
zur Zeit setzen wir eine Domäne mit Windows Servern 2003 ein, welche wir nun anheben möchten.
Wir haben 10 Außenstellen welche mit mindestens 10mbit/s mittels Ethernet Connect angebunden sind. Die meisten davon haben einen physikalischen Domain Controller.
Damals war es sinnvoll "so viele" DCs aufzustellen, da die Leitung damals meist auch nur 256kbit/s war. Gibt es ggf. eine Faustregel ob sich ein neuer Domain Controller lohnt?
Sprich so was wie: "Ab 100 Leuten immer ein DC." oder "wenn die Leitung 10mbit/s ist und dort 50 Leute sitzen, passt das schon und es muss keinen DC geben."
Vielen Dank für eure Hilfe.
Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 302265
Url: https://administrator.de/forum/windows-domain-controller-best-practice-wie-viele-dcs-sind-notwendig-302265.html
Ausgedruckt am: 11.01.2025 um 00:01 Uhr
4 Kommentare
Neuester Kommentar
Sers,
Kommt drauf an.
Sorry, konnte es mir nicht verkneifen.
Ok, mal im Ernst, was passiert in den Außenstellen? Gibt es überhaupt Dienste die eine Anmeldung benötigen? Sprich, gibt es dort z.B. nur Thin Clients die auf die VDI/RDS Farm im RZ zugreifen (Auth im RZ)? Oder gibt es dort reguläre Desktops? Gibt es an den Außenstellen Filer, oder andere Dienste die eine AD Auth verwenden, etwa einen Exchange?
Auch nicht unerheblich: Wie sicher ist der physikalische Zugang zum DC in der Außenstelle? Wenn die Personen dort direkten Zugang zu einem physikalischen DC haben, und dort trotzdem einer benötigt wird, dann würde ich einen RoDC aufsetzen. So kann von dort aus kein neuer Admin-Account eingeschleust werden.
Bei 50 aktiven Nutzern und AD relevanten Diensten die an diesem Standort authentifiziert werden würde ich auf jeden Fall einen (Ro)DC installieren.
Grüße,
Philip
Kommt drauf an.
Sorry, konnte es mir nicht verkneifen.
Ok, mal im Ernst, was passiert in den Außenstellen? Gibt es überhaupt Dienste die eine Anmeldung benötigen? Sprich, gibt es dort z.B. nur Thin Clients die auf die VDI/RDS Farm im RZ zugreifen (Auth im RZ)? Oder gibt es dort reguläre Desktops? Gibt es an den Außenstellen Filer, oder andere Dienste die eine AD Auth verwenden, etwa einen Exchange?
Auch nicht unerheblich: Wie sicher ist der physikalische Zugang zum DC in der Außenstelle? Wenn die Personen dort direkten Zugang zu einem physikalischen DC haben, und dort trotzdem einer benötigt wird, dann würde ich einen RoDC aufsetzen. So kann von dort aus kein neuer Admin-Account eingeschleust werden.
Bei 50 aktiven Nutzern und AD relevanten Diensten die an diesem Standort authentifiziert werden würde ich auf jeden Fall einen (Ro)DC installieren.
Grüße,
Philip
Mir ist keine Faustregel bekannt.
Wichtig ist mal zu schauen, in welche Richtungen wird synchronisiert.
Man kann das Konfigurieren ob jeder DC mit jeden DC synchronisiert oder nur mit xxx.
Findet man in "Active Directory Sites and Services"
Wir zB haben an jeden Standort 2 DCs. Wenn der mal ausfehlt oder ein Update den DC zerstört,
was auch immer passiert. Ist das schlecht. Dann würden alle GPOs, DNS Anfragen, Kontoprüfung
über einen anderen Standort geprüft. Weiß nicht ob bei euch noch weiteres über die Leitung kommt,
wie zB:
Backup Jobs, Fileserver Zugriffe, RemoteDesktop Sitzungen, Teamviewer Verbindungen (lokale),
Scripte, ....
Man betrachte auch die Kosten. Habt Ihr Datacenter Lizenzen und Hardware Ressourcen frei,
dann spricht nicht sehr viel gegen einen zweiten. Was würde es kosten wenn Ihr mal einen Tag
sehr träge arbeiten könntet, sind die Backup Jobs knapp bemessen, .....
Bevor ich es vergesse, auch die Latenz Zeiten sollte man beachten,
wenn die Standorte weit auseinander sind, kann so ein DC Ausfall,
eine Menge Zeitverzögerung Intern bedeuten, da DNS Anfragen sehr verzögert beantwortet werden.
Lg
Wichtig ist mal zu schauen, in welche Richtungen wird synchronisiert.
Man kann das Konfigurieren ob jeder DC mit jeden DC synchronisiert oder nur mit xxx.
Findet man in "Active Directory Sites and Services"
Wir zB haben an jeden Standort 2 DCs. Wenn der mal ausfehlt oder ein Update den DC zerstört,
was auch immer passiert. Ist das schlecht. Dann würden alle GPOs, DNS Anfragen, Kontoprüfung
über einen anderen Standort geprüft. Weiß nicht ob bei euch noch weiteres über die Leitung kommt,
wie zB:
Backup Jobs, Fileserver Zugriffe, RemoteDesktop Sitzungen, Teamviewer Verbindungen (lokale),
Scripte, ....
Man betrachte auch die Kosten. Habt Ihr Datacenter Lizenzen und Hardware Ressourcen frei,
dann spricht nicht sehr viel gegen einen zweiten. Was würde es kosten wenn Ihr mal einen Tag
sehr träge arbeiten könntet, sind die Backup Jobs knapp bemessen, .....
Bevor ich es vergesse, auch die Latenz Zeiten sollte man beachten,
wenn die Standorte weit auseinander sind, kann so ein DC Ausfall,
eine Menge Zeitverzögerung Intern bedeuten, da DNS Anfragen sehr verzögert beantwortet werden.
Lg
Hallo,
es kommt immer darauf an was am Standort gemacht wird und wieviele dort arbeiten und was gebraucht wird.
Ein richtig konfiguriertes AD (mit Standorten) sorgt schon mal dafür, das alle Anmeldungen immer über den DC am Standort ausgeführt werden und nicht von irgendeinem.
Wenn das Geld es zuläßt, überall ein DC
(Server 2012R2 als HyperV und dann DC und ein Fileserver als je eine VM)
Aber generell müssen erstmal die genauen Anforderungen bekannt sein, evtl macht eine VDI Strucktur oder Terminalserverlösung mehr sin.
Gruß
Chonta
es kommt immer darauf an was am Standort gemacht wird und wieviele dort arbeiten und was gebraucht wird.
Ein richtig konfiguriertes AD (mit Standorten) sorgt schon mal dafür, das alle Anmeldungen immer über den DC am Standort ausgeführt werden und nicht von irgendeinem.
Wenn das Geld es zuläßt, überall ein DC
(Server 2012R2 als HyperV und dann DC und ein Fileserver als je eine VM)Aber generell müssen erstmal die genauen Anforderungen bekannt sein, evtl macht eine VDI Strucktur oder Terminalserverlösung mehr sin.
Gruß
Chonta
Guten Tag,
psannz, du hast schon recht. Wer keine Informationen gibt, braucht keine zu erwarten.
Dementsprechend folgender Sachverhalt:
- auf den DCs lief nur zusätzlich eine Netzlaufwerkfreigabe und ein Printserver, dies Netzlaufwerke würden eh zum DC am Hauptstandort umziehen, es verbleibt demnach nur der Printserver, da hatten wir uns aber gedacht; wenn keine Leitung da ist, was sollen die Mitarbeiter drucken bzw. gibt es dann größere Probleme als nur nicht drucken zu können
- wir haben nur Fat Clients, das Benutzerprofil wird auf dem PC angelegt und der Nutzer kann sich auch ohne DC anmelden
- der Exchange Server liegt nur redundant am Hauptstandort vor
- alle DCs synchronisieren sich mit dem "Haupt-DC" am Hauptstandort
- 1500 Mitarbeiter, ca. 10 Außenstellen
- mindestens 10mbit/s, manchmal auch 50mbit/s, Hauptstandort hat 100mbit/s alles Ethernet Connect
Dahingehend gehen ja dann die Fragen:
- welche Dienste sollte man denn dann auf den DCs auf den Außenstellen laufen lassen?
- kann man sagen ab 50mbit/s benötigt man keinen mehr, wenn es unter 100 Mitarbeitern sind?
Danke für eure Hilfe!
psannz, du hast schon recht. Wer keine Informationen gibt, braucht keine zu erwarten.
Dementsprechend folgender Sachverhalt:
- auf den DCs lief nur zusätzlich eine Netzlaufwerkfreigabe und ein Printserver, dies Netzlaufwerke würden eh zum DC am Hauptstandort umziehen, es verbleibt demnach nur der Printserver, da hatten wir uns aber gedacht; wenn keine Leitung da ist, was sollen die Mitarbeiter drucken bzw. gibt es dann größere Probleme als nur nicht drucken zu können
- wir haben nur Fat Clients, das Benutzerprofil wird auf dem PC angelegt und der Nutzer kann sich auch ohne DC anmelden
- der Exchange Server liegt nur redundant am Hauptstandort vor
- alle DCs synchronisieren sich mit dem "Haupt-DC" am Hauptstandort
- 1500 Mitarbeiter, ca. 10 Außenstellen
- mindestens 10mbit/s, manchmal auch 50mbit/s, Hauptstandort hat 100mbit/s alles Ethernet Connect
Dahingehend gehen ja dann die Fragen:
- welche Dienste sollte man denn dann auf den DCs auf den Außenstellen laufen lassen?
- kann man sagen ab 50mbit/s benötigt man keinen mehr, wenn es unter 100 Mitarbeitern sind?
Danke für eure Hilfe!
