9
Grüne Wiese - Active Directory
Hallo zusammen. Nehmt euch ein wenig Zeit 
Wer keine hat, sollte
das eventuell später lesen.
Ich stehe vor der schönen Aufgabe, auf einer grünen Wiese ein
komplettes AD planen un designen zu können. Wir haben es im groben mit
folgenden Eckparametern zu tun, bevor ich im Anschluss meine Fragen
loswerde.
Hochverfügbarkeits RZ am Standort XXX, kein Geschäftsstandort.
Eine Firma, die aus einer Anzahl von n Standorten mit einer
Gesamtuseranzahl von etwa 220-240 besteht, der Einfachheit halber
gehen wir davon aus, dass an allen n Standorten die gleiche Anzahl
User arbeitet, ca. 20.
Alle Standorte haben eine 10 mbit synchrone Anbindung nach draussen.
Standort 1 soll einen oder mehrere Terminalserver beherbergen, über
den alle User mit einer lokalen ERP Software arbeiten sollen. Eine
Variante mit Citrix ist ebenfalls denkbar. Ich habe leider noch keine
Anzahl konkurrierender Sessions, aber da läuft momentan Citrix, also
gehen wir davon aus, dass die Bandbreite reicht.
Dort laufen auch 2 Datenbankserver, die per Band gebackupped werden.
Ich habe mich der Geschichte bisher folgendermassen genähert:
Eine Domäne firma.tld. An allen Standorten DC1S1 und DC2S1 (...DC1Sn,
DC2Sn), Segmentierung durch Subnetze. Bei der Verteilung der FSMO
Rollen halte ich mich an die Empfehlungen.
Ein Exchange 2007 oder 2010 Server (2 Server, einmal Edgetransport,
einmal Rest) im Rechenzentrum.
Bitte verwendet keine Zeit auf die Planung von DMZ, VPN und Security,
das machen unsere Netzwerker.
Frage 1:
Benötige ich wirklich eine so horrende Anzahl an Servern, um hier ein
möglichst unterbrechungsfreies Arbeiten zu ermöglichen? Anmeldeserver
vor Ort erscheint mir in jedem Fall sinnvoll oder wäre bei dieser
Userzahl und bei der breitbandigen Anbindung auch ein zentraler DC
(mit Backup natürlich) im RZ denkbar, der für alle Standorte der
Anmeldeserver ist?
Frage2:
Bei der von mir skizzierten Archtektur bleibt mir eine Ungewissheit,
was den Terminalserver am Standort 1 angeht. Wenn sich ein User aus
Standort 3 am TS anmeldet, wer authentifiziert den? Der DC am Standort
1 hat doch nur die lokalen User, oder wird das über den GC repliziert?
Sorry, wenn ich das wissen sollte, aber an der Stelle steh ich grad
bissel auf dem Schlauch.
Frage3:
Macht eine Aufteilung der Exchangefunktionalitäten bei 220 Usern auf 2
Server schon Sinn? Meine "gössten" Exchangeszenarien laufen mit rund
170 Usern auf einer einzigen Hardware mit replizierter Datenbank
eigentlich ohne Probleme. Das DB Replikat gibts aber bei 2010 nicht
mehr.
Frage 4:
Ich habe daran gedacht, aus Gründen der Übersicht für jeden Standort
ne eigene Exchange Datenbank zu nutzen. Macht das Sinn oder ist das
Overkill? Kam mir so vor, als würde ich damit die grösste Flexibilität
haben, falls das System erweitert wird oder aus Performancegründen
einzelne Standorte eigene Exchangeserver bekommen.
Ich möchte keinesfalls den Eindruck erwecken, als würde ich von euch
die Planung meiner Aufgabe erwarten, ich mache mir da schon jede Menge
Kopf drüber, ich bin nur leider bei uns momentan ne Onemanshow (nicht
mehr lange zum Glück) und bei einem Projekt dieser Grössenordnung wärs
mir schon wichtig, wenn ich irgendwo offensichtliche Designschwächen
habe, wenn da noch jemand draufschaut. Ihr wisst ja, 4 Augen sehen
mehr als 2
Vielen Dank für Eure Zeit!
Martin
Eine Firma, die aus einer Anzahl von n Standorten mit einer
Gesamtuseranzahl von etwa 220-240 besteht, der Einfachheit halber
gehen wir davon aus, dass an allen n Standorten die gleiche Anzahl
User arbeitet, ca. 20.
Alle Standorte haben eine 10 mbit synchrone Anbindung nach draussen.
Standort 1 soll einen oder mehrere Terminalserver beherbergen, über
den alle User mit einer lokalen ERP Software arbeiten sollen. Eine
Variante mit Citrix ist ebenfalls denkbar. Ich habe leider noch keine
Anzahl konkurrierender Sessions, aber da läuft momentan Citrix, also
gehen wir davon aus, dass die Bandbreite reicht.
Dort laufen auch 2 Datenbankserver, die per Band gebackupped werden.
Ich habe mich der Geschichte bisher folgendermassen genähert:
Eine Domäne firma.tld. An allen Standorten DC1S1 und DC2S1 (...DC1Sn,
DC2Sn), Segmentierung durch Subnetze. Bei der Verteilung der FSMO
Rollen halte ich mich an die Empfehlungen.
Ein Exchange 2007 oder 2010 Server (2 Server, einmal Edgetransport,
einmal Rest) im Rechenzentrum.
Bitte verwendet keine Zeit auf die Planung von DMZ, VPN und Security,
das machen unsere Netzwerker.
Frage 1:
Benötige ich wirklich eine so horrende Anzahl an Servern, um hier ein
möglichst unterbrechungsfreies Arbeiten zu ermöglichen? Anmeldeserver
vor Ort erscheint mir in jedem Fall sinnvoll oder wäre bei dieser
Userzahl und bei der breitbandigen Anbindung auch ein zentraler DC
(mit Backup natürlich) im RZ denkbar, der für alle Standorte der
Anmeldeserver ist?
Frage2:
Bei der von mir skizzierten Archtektur bleibt mir eine Ungewissheit,
was den Terminalserver am Standort 1 angeht. Wenn sich ein User aus
Standort 3 am TS anmeldet, wer authentifiziert den? Der DC am Standort
1 hat doch nur die lokalen User, oder wird das über den GC repliziert?
Sorry, wenn ich das wissen sollte, aber an der Stelle steh ich grad
bissel auf dem Schlauch.
Frage3:
Macht eine Aufteilung der Exchangefunktionalitäten bei 220 Usern auf 2
Server schon Sinn? Meine "gössten" Exchangeszenarien laufen mit rund
170 Usern auf einer einzigen Hardware mit replizierter Datenbank
eigentlich ohne Probleme. Das DB Replikat gibts aber bei 2010 nicht
mehr.
Frage 4:
Ich habe daran gedacht, aus Gründen der Übersicht für jeden Standort
ne eigene Exchange Datenbank zu nutzen. Macht das Sinn oder ist das
Overkill? Kam mir so vor, als würde ich damit die grösste Flexibilität
haben, falls das System erweitert wird oder aus Performancegründen
einzelne Standorte eigene Exchangeserver bekommen.
Ich möchte keinesfalls den Eindruck erwecken, als würde ich von euch
die Planung meiner Aufgabe erwarten, ich mache mir da schon jede Menge
Kopf drüber, ich bin nur leider bei uns momentan ne Onemanshow (nicht
mehr lange zum Glück) und bei einem Projekt dieser Grössenordnung wärs
mir schon wichtig, wenn ich irgendwo offensichtliche Designschwächen
habe, wenn da noch jemand draufschaut. Ihr wisst ja, 4 Augen sehen
mehr als 2
Vielen Dank für Eure Zeit!
Martin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 146223
Url: https://administrator.de/contentid/146223
Printed on: April 26, 2024 at 22:04 o'clock
9 Comments
Latest comment
Hallo,
eine Frage, warum stehen die Terminalserver nicht im RZ?
200 User über 10Mbit ist nicht wirklich üppig.
Und für die Standorte Read Only DCs.
eine Frage, warum stehen die Terminalserver nicht im RZ?
200 User über 10Mbit ist nicht wirklich üppig.
Und für die Standorte Read Only DCs.
Der TS muss an den Standort, an dem die Datenbanken laufen, und das ist momentan S1.
Sollte angedacht werden, die im RZ unterzubringen (was in meinen Augen klar die beste
Variante wäre), dann kämen die auch ins RZ. Die ERP Software macht abartigen Traffic,
daher geht das nur am gleichen Standort.
Primary DC im RZ und Readonly DCs an den Standorten meinst du? Ja, sowas hatte ich
auch schonmal skizziert. Die Frage dabei ist, wie schnell kann ich reagieren, wenn einer der
DCs am Standort ausfällt, damit es für die nicht zu einem Ausfall der kompletten Anbindung
kommt.
Sollte angedacht werden, die im RZ unterzubringen (was in meinen Augen klar die beste
Variante wäre), dann kämen die auch ins RZ. Die ERP Software macht abartigen Traffic,
daher geht das nur am gleichen Standort.
Primary DC im RZ und Readonly DCs an den Standorten meinst du? Ja, sowas hatte ich
auch schonmal skizziert. Die Frage dabei ist, wie schnell kann ich reagieren, wenn einer der
DCs am Standort ausfällt, damit es für die nicht zu einem Ausfall der kompletten Anbindung
kommt.
Wenn die Server alle an einem Standort stehen und innerhalb des Segments "vernünftig" angebunden sind, sollte die Bandbreite kein Problem sein. Ich schreibs mal anders herum:
Wir versorgen 700 User mit 2MBit-Strecken und einem ThinClient. Die Server (DomänenController, Printserver, Terminalserver, Memberserver) stehen an einem Ort und "untereinander" mit GigaBit verbunden. Die Terminalserver übertragen also "nur" ein Bild. Wir haben auch einige Geschäftsstellen mit 20 Users. Das würde gehen, wenn Du sonst nichts hast
Wir betreiben eine W2K3-Domäne mit zwei DC, wegen der Ausfallsichert. Anmelde- und/oder Authentifizierungsstreß haben die nicht.
Die Planung ist aber auch abhängig, welche Backup- und/oder Ausfallstrategie Du verfolgen willst. Zu Exchange kann ich Dir nichts sagen, sind Notesanwender.
Markus
Wir versorgen 700 User mit 2MBit-Strecken und einem ThinClient. Die Server (DomänenController, Printserver, Terminalserver, Memberserver) stehen an einem Ort und "untereinander" mit GigaBit verbunden. Die Terminalserver übertragen also "nur" ein Bild. Wir haben auch einige Geschäftsstellen mit 20 Users. Das würde gehen, wenn Du sonst nichts hast
Wir betreiben eine W2K3-Domäne mit zwei DC, wegen der Ausfallsichert. Anmelde- und/oder Authentifizierungsstreß haben die nicht.
Die Planung ist aber auch abhängig, welche Backup- und/oder Ausfallstrategie Du verfolgen willst. Zu Exchange kann ich Dir nichts sagen, sind Notesanwender.
Markus
Vielen Dank für deine Zahlen, das stimmt mich schonmal hoffnungsvoll
Ums etwas genauer zu umreissen: die Standorte sind prinzipiell eigenständig und werden auch
eine grösstenteils eigenständige Infrastruktur haben. Sie verteilen sich über ganz Deutschland.
Die einzigen Berühruingspunkte wären der Terminalserver mit der ERP Software, sowie die
Anmeldedomain. Ich muss alle Standorte einzeln absichern, wobei es da hauptsächlich um
Connectivity geht und darum, dass die sich eigentlich immer anmelden können müssen, sowie
auf das ERP System zugreifen. Wir werden es kaum mit lokalen Benutzerdaten zu tun haben,
wenn, dann wird da lokal was gesichert.
Ums etwas genauer zu umreissen: die Standorte sind prinzipiell eigenständig und werden auch
eine grösstenteils eigenständige Infrastruktur haben. Sie verteilen sich über ganz Deutschland.
Die einzigen Berühruingspunkte wären der Terminalserver mit der ERP Software, sowie die
Anmeldedomain. Ich muss alle Standorte einzeln absichern, wobei es da hauptsächlich um
Connectivity geht und darum, dass die sich eigentlich immer anmelden können müssen, sowie
auf das ERP System zugreifen. Wir werden es kaum mit lokalen Benutzerdaten zu tun haben,
wenn, dann wird da lokal was gesichert.
Zitat von @BigWim:
Wir versorgen 700 User mit 2MBit-Strecken und einem ThinClient. Die Server (DomänenController, Printserver, Terminalserver,
Memberserver) stehen an einem Ort und "untereinander" mit GigaBit verbunden. Die Terminalserver übertragen also
"nur" ein Bild. Wir haben auch einige Geschäftsstellen mit 20 Users. Das würde gehen, wenn Du sonst nichts
hast
Wir versorgen 700 User mit 2MBit-Strecken und einem ThinClient. Die Server (DomänenController, Printserver, Terminalserver,
Memberserver) stehen an einem Ort und "untereinander" mit GigaBit verbunden. Die Terminalserver übertragen also
"nur" ein Bild. Wir haben auch einige Geschäftsstellen mit 20 Users. Das würde gehen, wenn Du sonst nichts
hast
Aber euer Hauptstandort hat doch sicher keine 2MBit Anbindung?
Nein, ich habe jetzt nur von unseren Geschäftsstellen gesprochen.
Unser Hauptstandort mit den restlichen 700 User ist aufgrund der Nähe zu unserem RZ auch "etwas" besser (100 MBit) angebunden.
Wir mußten zwecks "Revitalisierung" eines Gebäudes umziehen und sind jetzt mit 10MBit angebunden. Ca 200 User. Naja, geht auch, aber schön ist anders.
Markus
Unser Hauptstandort mit den restlichen 700 User ist aufgrund der Nähe zu unserem RZ auch "etwas" besser (100 MBit) angebunden.
Wir mußten zwecks "Revitalisierung" eines Gebäudes umziehen und sind jetzt mit 10MBit angebunden. Ca 200 User. Naja, geht auch, aber schön ist anders.
Markus
Dachte ich mir
Wenn Du eine neue Domäne aufbauen kannst, dann auf jeden Fall W2K8. Durfte vor kurzem mal ein paar Sachen darüber hören. Die RODC, die @45877 erwähnt, haben ja noch weitere Vorteile, wie ich gehört, aber in der Praxis noch nicht gesehen habe.
Z. B. kannst Du die jeweiligen User auf den RODC hinterlegen, die an diesem Standort arbeiten. Dann werden auch nur diese Daten repliziert. Wird uns als Sicherheitsfeature verkauft, dass wenn mal einer dieser RODC weggetragen werden, sind nicht gleich alle Informationen Deiner Domäne in fremde Hände.
Auch das Replizierverhalten kann feiner und schmaler gesteuert werden also in einer W2K3-Domäne. Ist aber nur Theorie für mich, aufgrund der Luxusausstattung hier mußten wir uns damit nicht wirklich auseinander setzen.
Markus
Edit: Schreibfehler korrigiert
Ums etwas genauer zu umreissen: die Standorte sind prinzipiell eigenständig und werden auch
eine grösstenteils eigenständige Infrastruktur haben. Sie verteilen sich über ganz Deutschland.
Die einzigen Berühruingspunkte wären der Terminalserver mit der ERP Software, sowie die
Anmeldedomain. Ich muss alle Standorte einzeln absichern, wobei es da hauptsächlich um
Connectivity geht und darum, dass die sich eigentlich immer anmelden können müssen, sowie
auf das ERP System zugreifen. Wir werden es kaum mit lokalen Benutzerdaten zu tun haben,
wenn, dann wird da lokal was gesichert.
eine grösstenteils eigenständige Infrastruktur haben. Sie verteilen sich über ganz Deutschland.
Die einzigen Berühruingspunkte wären der Terminalserver mit der ERP Software, sowie die
Anmeldedomain. Ich muss alle Standorte einzeln absichern, wobei es da hauptsächlich um
Connectivity geht und darum, dass die sich eigentlich immer anmelden können müssen, sowie
auf das ERP System zugreifen. Wir werden es kaum mit lokalen Benutzerdaten zu tun haben,
wenn, dann wird da lokal was gesichert.
Wenn Du eine neue Domäne aufbauen kannst, dann auf jeden Fall W2K8. Durfte vor kurzem mal ein paar Sachen darüber hören. Die RODC, die @45877 erwähnt, haben ja noch weitere Vorteile, wie ich gehört, aber in der Praxis noch nicht gesehen habe.
Z. B. kannst Du die jeweiligen User auf den RODC hinterlegen, die an diesem Standort arbeiten. Dann werden auch nur diese Daten repliziert. Wird uns als Sicherheitsfeature verkauft, dass wenn mal einer dieser RODC weggetragen werden, sind nicht gleich alle Informationen Deiner Domäne in fremde Hände.
Auch das Replizierverhalten kann feiner und schmaler gesteuert werden also in einer W2K3-Domäne. Ist aber nur Theorie für mich, aufgrund der Luxusausstattung hier mußten wir uns damit nicht wirklich auseinander setzen.
Markus
Edit: Schreibfehler korrigiert
Falls ihr Interesse an Connectivity habt, drop mir ne PM. Wir sind kein ganz Kleiner in dem Bereich
Ich brauche noch Antworten zu der Exchange Geschichte, eventuell muss ich aber mit meinen Fragen
in das Exchange Forum gehen, weil die Jungs hier nciht mitlesen...
Ahjo, hat jemand Erfahrung im Win 2k8 Server Bereich mit Zero Clients?
Halte das nach einer heute erfolgten Ortsbesichtigung durchaus für eine Variante.
Thin bzw Zero Clients hätten da einige Vorteile....
Ich brauche noch Antworten zu der Exchange Geschichte, eventuell muss ich aber mit meinen Fragen
in das Exchange Forum gehen, weil die Jungs hier nciht mitlesen...
Ahjo, hat jemand Erfahrung im Win 2k8 Server Bereich mit Zero Clients?
Halte das nach einer heute erfolgten Ortsbesichtigung durchaus für eine Variante.
Thin bzw Zero Clients hätten da einige Vorteile....
Zitat von @maboh1:
Falls ihr Interesse an Connectivity habt, drop mir ne PM. Wir sind kein ganz Kleiner in dem Bereich
Danke für das Angebot, aber ein Ende ist ja in Sicht. Insofern lautet das Motto: Alles muß laufen, darf aber nix kosten ....Falls ihr Interesse an Connectivity habt, drop mir ne PM. Wir sind kein ganz Kleiner in dem Bereich
Markus