Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Active Directory Standort Konzept

Frage Microsoft Windows Server

Mitglied: BPeter

BPeter (Level 1) - Jetzt verbinden

05.09.2013 um 08:31 Uhr, 3158 Aufrufe, 16 Kommentare

Hallo zusammen,
wir haben in unserer Firma eine gewachsene Struktur, die ich jetzt gerne ändern würde. Im Moment haben wir in jedem Standort (Anzahl 30) in Deutschland einen Domain Controller 2003, DNS, DHCP und einen Fileserver. Da ich jetzt auf w2k8R2 upgraden möchte, ist das mir zu teuer (Lizenzen) und zu viel administratorischer Aufwand. Meine Vorstellung ist jetzt, an den 5 größten Standorten einen DC, DNS, DHCP und einen Fileserver (bleibt bestehen) zu installieren. Alle anderen Standorte (Fileserver bleibt vor Ort) melden sich jetzt im Hauptstandort an und bekommen von dort DNS, DHCP,... Die Vorteile sind die Lizenz-Kosten, administratorischer Aufwand, AD-Replikationen, ...
Der Nachteil ist, wenn die VPN-Leitung weg bricht, können die User nicht mehr auf den Fileserver zu greifen. Die zentralen Applikationen funktionieren dann sowieso nicht mehr..
Hat von euch noch jemand eine andere Idee? Man sollte vorallem den administratorischen Aufwand und die einzelnen Standorte betrachten.

Im voraus Vielen Dank für eure Antworten.

Peter
Mitglied: Dobby
05.09.2013 um 09:36 Uhr
Hallo,

Die Vorteile sind die Lizenz-Kosten, administratorischer Aufwand, AD-Replikationen, ...
Was kostet eine Stunde, ein halber Tag und ein ganzer Tag Stillstand bei jeder Niederlassung wenn es einmal dazu kommt?

Dann kannst Du die Lizenzkosten dagegen rechnen und weißt ob sich Dein Vorhaben lohnt!

Windwos Server 2008 nimmst Du bestimmt auch nur weil sonst noch Hadwarekosten auf Dich zukommen, liege ich damit richtig?
Klar wir sind in einer "Krise" oder eventuell auch Eure Firma nicht bzw. Ihr seit nicht so stark frequentiert davon, aber rechne Dir das
was ich oben über den Stillstand geschrieben einmal aus und dann denke einmal daran das der Baggerfahrer das Kabel nicht mit
Absicht trifft, aber eben doch öfters als man denkt und dann ist es auch eigentlich egal ob man nur einen oder mehrere Internetzugänge
vor Ort hat, denn in der Regel gehen die alle über ein und das selbe Kabel.

Machen kann man ja vieles heute zu Tage aber man sollte das auch jedes mal vorher genau ausrechnen, nicht das man sonst schlechter
dasteht bzw. noch Geld drauflegt obwohl man ja eigentlich etwas sparen wollte.

Gruß
Dobby
Bitte warten ..
Mitglied: certifiedit.net
05.09.2013 um 09:56 Uhr
Da stellt sich mir die Frage: Der Fileserver soll unter 2003 weiterlaufen? Was bringt dann das umgestelle?
Bitte warten ..
Mitglied: BPeter
05.09.2013 um 09:56 Uhr
Hallo Dobby,
in erster Linie gehts es um den administrativen Aufwand, den wir haben. Wir sind 3-4 Admins und sind weltweit unterwegs mit 20 Domänen, x-Standorten usw. Die Lizenzkosten ist nicht das große Problem. Unserer Firma geht es ganz gut
Ich kann mich nicht erinnern, dass eine VPN-Leitung bei uns lange ausgefallen ist. Die zentralen Systeme wie SAP und Exchange nutzen unsere User sowieso am meisten, die fallen, bei egal welchem Konzept, dann aus. Der Fileserver ist das einzigste Problem, was mit dem neuen Konzept dann hinzukommen würde. Was ich als Alternative noch habe, ist an allen Standorten DNS und DHCP zu installieren. Dann könnten sich die User mit einer lokalen Kennung am Fileserver anmelden.
2008 mache ich deshalb, da mir 2012 noch nicht gefällt.

Gruß Peter
Bitte warten ..
Mitglied: BPeter
05.09.2013 um 09:59 Uhr
Ich will vorallem den Funktionslevel vom AD auf 2008R2 bringen, um die neuen Features zu nutzen. Neue Fileserver werden auch auf 2008 installiert.
Bitte warten ..
Mitglied: certifiedit.net
05.09.2013, aktualisiert um 10:17 Uhr
Dann macht es doch keinen Unterschied imho musst du jeden Benutzer sowieso lizenzieren und die AD Server sind auch auf 2008R2 (warte evtl auf 2012r2?) Die Administration kann lokal auf einem Server erfolgen und wird dann - wenn man es ordentlich nach Plan macht - auf die anderen Server repliziert - das ist ja Sinn und Zweck verteilter AD Strukturen.

Wenn jeder AD in jeder Dom einzeln steht glaub ich dir das mit dem Admin Aufwand - aber ehrlich, das ist auch Murks.
Bitte warten ..
Mitglied: sk
05.09.2013, aktualisiert um 10:27 Uhr
Hinsichtlich des administrativen Aufwandes stinkt der Fisch von der Anzahl der Domänen her. Aus welchen Gründen gibt es derer mehr als eine?
Ob man nun zwei oder hundert DCs in einer Domäne hat, macht administrativ nur einen geringen Unterschied.
Ob es eines eigenen Standortes (im Sinne von MS/AD) mit eigenem lokalem DC innerhalb einer Domäne bedarf, hängt u.a. davon ab, welche Bandbreiten zwischen den Lokationen zur Verfügung stehen und wie verlässtlich sie sind.

Gruß
sk
Bitte warten ..
Mitglied: BPeter
05.09.2013 um 10:32 Uhr
Es geht nur um die Domäne in Deutschland, da dort der Aufwand, den ich mit 30 Standorten habe, relativ groß ist. Beim Upgrade, tägliches Sichern von DHCP und kontrolle ob gesichert wurde, jedes Eventlog von DC durchschauen, ob alles ok, ...

Wenn ich euch richtig verstehe, würdet ihr in jedem Standort einen DC installieren, "nur" um am Fileserver arbeiten zu können.

Gruß Peter
Bitte warten ..
Mitglied: BPeter
05.09.2013 um 10:37 Uhr
Hallo sk,
wir haben eine Forest Domäne und 20 Subdomäne (für jedes Land). Ich finde den Aufwand nicht unerheblich, ob ich 30 DC's upgrade und kontrolliere oder 5. Das macht schon einen Unterschied. Die Bandbreiten der Standorte sind auch nicht mehr das Problem. Die Ausfälle sind auch äußert gerin.

Gruß
Peter
Bitte warten ..
Mitglied: certifiedit.net
05.09.2013 um 10:39 Uhr
Ja, wir würden
1 Domäne, nennen wir sie "Deutschland" einrichten. Dazu in jeder Außenstelle einen DC.

Die Logs kann man automatisiert auslesen. Backup kann man auch automatisieren und dann nur noch danach schauen, wenn a) das Backupprogramm Fehler meldet b) es gar nichts meldet (= Kein Erfolg).
Bitte warten ..
Mitglied: Dobby
05.09.2013 um 10:41 Uhr
Hallo nochmal,

Beim Upgrade, tägliches Sichern von DHCP und kontrolle ob gesichert wurde, jedes Eventlog von DC durchschauen, ob alles ok, ...
Die kann man auch durch einen Syslogserver abarbeiten lassen und/oder mit Scripten arbeiten die einen Report erstellen und nur das melden
was nicht in Ordnung war bzw. glatt gelaufen ist. und bei 30 Standorten macht sich so etwas schon bezahlt.

Gruß
Dobby
Bitte warten ..
Mitglied: sk
05.09.2013 um 11:14 Uhr
Hallo Peter,
je eine Subdomain pro Land scheint mir auch ein wenig willkürlich designt zu sein, aber sei's drum. Scheinbar geht es hier ja um die Anzahl der DCs innerhalb der Subdomain für Deutschland.
Inwiefern hier jeweils auf einen lokalen DC verzichtet werden kann, kann man anhand der bisherigen Informationen aus der Ferne kaum seriös beurteilen. Dafür müsste man schon die Umgebung und die "Business-Anforderungen" im Detail genauer kennen und letztlich vermutlich Lokation für Lokation eine Entscheidung treffen. Ich bin schon der Meinung, dass man auf alles verzichten sollte, was nicht unbedingt erforderlich ist. Bedenke, dass es für den Zugriff auf einen lokalen Fileserver nicht unbedingt der Verfügbarkeit eines Anmeldeservers bedarf. Außerdem stellt sich - wie Du schon selber richtig angemerkt hast - die Sinnfrage, wenn elementar wichtige Applikationen ohnehin zentral bereitgestellt werden und bei deren Nichtverfügbarkeit der Rest bedeutungs-/funktionslos ist. Statt der Vorhaltung lokaler Ressorcen kann es da sinnvoller sein, in ausfallsichere Netzwerkstrukturen zu investieren (z.B. redundante VPN-Gateways mit multipler WAN-Anbindung über unterschiedliche Wege und Technologien). Auch über den Einsatz von Terminalservern sollte ggf. nachgedacht werden.
Im Übrigen stimme ich aber mit den anderen darin überein, dass eine höhere Zahl DCs nicht zwingend einen höheren täglichen/wiederkehrenden Administrationsaufwand bedeuten muss. Für das Upgrade auf 2008/2012 ist es natürlich schon ein Mehraufwand, aber im täglichen Betrieb nicht zwingend. Ich meine aus Deinen Ausführungen ebenfalls herauszuhören, dass es momentan ein Definzit an Automation und Monitoring gibt...

Gruß
Steffen
Bitte warten ..
Mitglied: BPeter
05.09.2013 um 12:44 Uhr
Hallo Steffen,
warum "willkürlich"? Jedes Land hat seine Domäne und übergeordnet ist die Root Domäne.
Unser Monitoring übernimmt Nagios. Je mehr Server desto mehr Aufwand und deswegen bin ich am Überlegen, ob es vielleicht ausreicht an einigen Standorten auf einen DC zu verzichten.Da wir meiner Meinung zu wenige Admins sind, ist das doch eine Überlegung wert. "Vielleicht sollte man einen Standort an die Wand fahren lassen, um mehr Personal zu bekommen." Ist aber nicht meine Meinung. Unsere Leitungen sind auch sehr stabil, natürlich sind wir abhängig vom Baggerfahrer, ...

OK, ich werde das noch intern diskutieren und eine Kostenabschäzung durchführen.

Gruß
Peter
Bitte warten ..
Mitglied: sk
05.09.2013, aktualisiert um 13:59 Uhr
Zitat von BPeter:
warum "willkürlich"? Jedes Land hat seine Domäne und übergeordnet ist die Root Domäne.

Weil (bislang) kein technischer Grund hierfür genannt wurde (wie z.B. unterschiedliche Passwort-Policies). Meist waren die Gründe vermeintlich organisatorische Anforderungen, die sich bei genauer Betrachtung in einem single-Domain-Modell zumindest auch - wenn nicht gar besser - hätten lösen lassen. Am Ende bleibt als entscheidungserheblich häufig nur ein diffuses Gefühl übrig, dass es so sinnvoll wäre.


Zitat von BPeter:
Unser Monitoring übernimmt Nagios. Je mehr Server desto mehr Aufwand und deswegen bin ich am
Überlegen, ob es vielleicht ausreicht an einigen Standorten auf einen DC zu verzichten.

Wie gesagt: Ich empfehle ebenfalls, alles auf den Prüfstand zu stellen und die Struktur so schlank wie möglich zu halten. Es ist nur schwerlich möglich, mit den vorliegenden Infos eine belastbare Empfehlung zu geben.


Zitat von BPeter:
Da wir meiner Meinung zu wenige Admins sind, ist das doch eine Überlegung wert.

Ob 3-4 Admins dafür zu wenig sind, hängt davon ab, welche Arbeiten inhaltlich konkret zu bewältigen sind und wie sie die Arbeit organisieren. Sofern es wirklich nur um die reine Server- und AD-Administration geht, sind 3-4 Admins sicherlich nicht unterdimensioniert, sondern auch im Hinblick auf gegenseitige Vertretungserfordernisse eher genau richtig.


Zitat von BPeter:
"Vielleicht sollte man einen Standort an die Wand fahren lassen, um mehr Personal zu bekommen."

Vorsicht vor dem Ruf nach mehr Personal! Aus eigener leidvoller Erfahrung kann ich Dir sagen, dass es dann auch das richtige Personal sein muss (hinsichtlich Qualifikation, Erfahrung, Motivation und charakterlicher sowie kognitiver Eignung). Von einfachen mechanischen Verrichtungen, welche parallel stattfinden können, abgesehen, schaffen vier Personen ohnehin niemals doppelt so viel, wie zwei. Allein schon, weil damit auch der Koordinierungsaufwand steigt. Das zusätzliche Personal muss unbedingt eigene Verantwortlichkeiten und Zuständigkeiten haben, sonst verbleibt die Arbeit bei denen, die sie bisher auch erledigten - im Gegenteil: es kommt bei diesen noch mehr drauf, weil ja mehr Personal vorhanden...

Abgesehen davon kann es durchaus hilfreich sein, wenn Mitarbeiter und Chefetage gelegentlich merken, dass die IT-Administration etwas erkennbar Sinnvolles tut. Zu geräuschlos darf es nicht unbedingt laufen...


Gruß
Steffen
Bitte warten ..
Mitglied: BPeter
05.09.2013 um 14:43 Uhr
bzgl. des Personals bin ich deiner Meinung. Viele Köche verderben den Brei. Da wir auch für SAN, Exchange, Firewalls, Server, AD, Berechtigungen, ... zu ständig sind, wäre ich um einen Reduzierung der Dienste schon froh.
Da wir teilweise an anderen Domänen Admins haben, in das Konstrukt schon ok. Hat sich auch schon gut 10 Jahre bewährt, ohne Ausfall.

Vielen Dank für deine Ausführung
Peter
Bitte warten ..
Mitglied: Dobby
05.09.2013 um 18:09 Uhr
Da wir teilweise an anderen Domänen Admins haben, in das Konstrukt schon ok. Hat sich auch schon gut 10 Jahre bewährt, ohne Ausfall.
Jetzt sag ich Dir mal etwas, also wenn etwas 10 Jahre ohne Komplikationen und Probleme läuft,
es der Firma gut geht, dann um Himmels Willen ändere das auch nicht!!!

Manchmal denkt man zuerst man würde Zeit und Geld sparen, aber hinterher merkt man dann das man Zeit und
Geld und Nerven und was weiß ich noch nicht alles drauflegt! Spar Dir die Erfahrung und mach es so wie bis jetzt.


Gruß
Dobby
Bitte warten ..
Mitglied: sk
05.09.2013 um 18:52 Uhr
...sagten die Menschen zum Erfinder des Rades...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst Active Directory CA öffentlich vertrauenswürdig machen, geht das? (2)

Frage von DeathangelCH zum Thema Windows Server ...

Windows Server
gelöst Active Directory File Extension - Associated Program (11)

Frage von adm2015 zum Thema Windows Server ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Windows Server
Active Directory sinnvoll für kleine Firma (15)

Frage von WolfPeano zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...