Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Grüne Wiese - Active Directory

Frage Microsoft Windows Server

Mitglied: maboh1

maboh1 (Level 1) - Jetzt verbinden

05.07.2010 um 11:34 Uhr, 2872 Aufrufe, 9 Kommentare

Hallo zusammen. Nehmt euch ein wenig Zeit Wer keine hat, sollte
das eventuell später lesen.

Ich stehe vor der schönen Aufgabe, auf einer grünen Wiese ein
komplettes AD planen un designen zu können. Wir haben es im groben mit
folgenden Eckparametern zu tun, bevor ich im Anschluss meine Fragen
loswerde.

Hochverfügbarkeits RZ am Standort XXX, kein Geschäftsstandort.
Eine Firma, die aus einer Anzahl von n Standorten mit einer
Gesamtuseranzahl von etwa 220-240 besteht, der Einfachheit halber
gehen wir davon aus, dass an allen n Standorten die gleiche Anzahl
User arbeitet, ca. 20.
Alle Standorte haben eine 10 mbit synchrone Anbindung nach draussen.
Standort 1 soll einen oder mehrere Terminalserver beherbergen, über
den alle User mit einer lokalen ERP Software arbeiten sollen. Eine
Variante mit Citrix ist ebenfalls denkbar. Ich habe leider noch keine
Anzahl konkurrierender Sessions, aber da läuft momentan Citrix, also
gehen wir davon aus, dass die Bandbreite reicht.
Dort laufen auch 2 Datenbankserver, die per Band gebackupped werden.

Ich habe mich der Geschichte bisher folgendermassen genähert:
Eine Domäne firma.tld. An allen Standorten DC1S1 und DC2S1 (...DC1Sn,
DC2Sn), Segmentierung durch Subnetze. Bei der Verteilung der FSMO
Rollen halte ich mich an die Empfehlungen.
Ein Exchange 2007 oder 2010 Server (2 Server, einmal Edgetransport,
einmal Rest) im Rechenzentrum.
Bitte verwendet keine Zeit auf die Planung von DMZ, VPN und Security,
das machen unsere Netzwerker.

Frage 1:
Benötige ich wirklich eine so horrende Anzahl an Servern, um hier ein
möglichst unterbrechungsfreies Arbeiten zu ermöglichen? Anmeldeserver
vor Ort erscheint mir in jedem Fall sinnvoll oder wäre bei dieser
Userzahl und bei der breitbandigen Anbindung auch ein zentraler DC
(mit Backup natürlich) im RZ denkbar, der für alle Standorte der
Anmeldeserver ist?

Frage2:
Bei der von mir skizzierten Archtektur bleibt mir eine Ungewissheit,
was den Terminalserver am Standort 1 angeht. Wenn sich ein User aus
Standort 3 am TS anmeldet, wer authentifiziert den? Der DC am Standort
1 hat doch nur die lokalen User, oder wird das über den GC repliziert?
Sorry, wenn ich das wissen sollte, aber an der Stelle steh ich grad
bissel auf dem Schlauch.

Frage3:
Macht eine Aufteilung der Exchangefunktionalitäten bei 220 Usern auf 2
Server schon Sinn? Meine "gössten" Exchangeszenarien laufen mit rund
170 Usern auf einer einzigen Hardware mit replizierter Datenbank
eigentlich ohne Probleme. Das DB Replikat gibts aber bei 2010 nicht
mehr.

Frage 4:
Ich habe daran gedacht, aus Gründen der Übersicht für jeden Standort
ne eigene Exchange Datenbank zu nutzen. Macht das Sinn oder ist das
Overkill? Kam mir so vor, als würde ich damit die grösste Flexibilität
haben, falls das System erweitert wird oder aus Performancegründen
einzelne Standorte eigene Exchangeserver bekommen.

Ich möchte keinesfalls den Eindruck erwecken, als würde ich von euch
die Planung meiner Aufgabe erwarten, ich mache mir da schon jede Menge
Kopf drüber, ich bin nur leider bei uns momentan ne Onemanshow (nicht
mehr lange zum Glück) und bei einem Projekt dieser Grössenordnung wärs
mir schon wichtig, wenn ich irgendwo offensichtliche Designschwächen
habe, wenn da noch jemand draufschaut. Ihr wisst ja, 4 Augen sehen
mehr als 2

Vielen Dank für Eure Zeit!

Martin
Mitglied: 45877
05.07.2010 um 11:41 Uhr
Hallo,

eine Frage, warum stehen die Terminalserver nicht im RZ?
200 User über 10Mbit ist nicht wirklich üppig.

Und für die Standorte Read Only DCs.
Bitte warten ..
Mitglied: maboh1
05.07.2010 um 11:44 Uhr
Der TS muss an den Standort, an dem die Datenbanken laufen, und das ist momentan S1.
Sollte angedacht werden, die im RZ unterzubringen (was in meinen Augen klar die beste
Variante wäre), dann kämen die auch ins RZ. Die ERP Software macht abartigen Traffic,
daher geht das nur am gleichen Standort.
Primary DC im RZ und Readonly DCs an den Standorten meinst du? Ja, sowas hatte ich
auch schonmal skizziert. Die Frage dabei ist, wie schnell kann ich reagieren, wenn einer der
DCs am Standort ausfällt, damit es für die nicht zu einem Ausfall der kompletten Anbindung
kommt.
Bitte warten ..
Mitglied: BigWim
05.07.2010 um 11:54 Uhr
Wenn die Server alle an einem Standort stehen und innerhalb des Segments "vernünftig" angebunden sind, sollte die Bandbreite kein Problem sein. Ich schreibs mal anders herum:

Wir versorgen 700 User mit 2MBit-Strecken und einem ThinClient. Die Server (DomänenController, Printserver, Terminalserver, Memberserver) stehen an einem Ort und "untereinander" mit GigaBit verbunden. Die Terminalserver übertragen also "nur" ein Bild. Wir haben auch einige Geschäftsstellen mit 20 Users. Das würde gehen, wenn Du sonst nichts hast

Wir betreiben eine W2K3-Domäne mit zwei DC, wegen der Ausfallsichert. Anmelde- und/oder Authentifizierungsstreß haben die nicht.

Die Planung ist aber auch abhängig, welche Backup- und/oder Ausfallstrategie Du verfolgen willst. Zu Exchange kann ich Dir nichts sagen, sind Notesanwender.

Markus
Bitte warten ..
Mitglied: maboh1
05.07.2010 um 12:12 Uhr
Vielen Dank für deine Zahlen, das stimmt mich schonmal hoffnungsvoll

Ums etwas genauer zu umreissen: die Standorte sind prinzipiell eigenständig und werden auch
eine grösstenteils eigenständige Infrastruktur haben. Sie verteilen sich über ganz Deutschland.
Die einzigen Berühruingspunkte wären der Terminalserver mit der ERP Software, sowie die
Anmeldedomain. Ich muss alle Standorte einzeln absichern, wobei es da hauptsächlich um
Connectivity geht und darum, dass die sich eigentlich immer anmelden können müssen, sowie
auf das ERP System zugreifen. Wir werden es kaum mit lokalen Benutzerdaten zu tun haben,
wenn, dann wird da lokal was gesichert.
Bitte warten ..
Mitglied: 45877
05.07.2010 um 12:20 Uhr
Zitat von BigWim:
Wir versorgen 700 User mit 2MBit-Strecken und einem ThinClient. Die Server (DomänenController, Printserver, Terminalserver,
Memberserver) stehen an einem Ort und "untereinander" mit GigaBit verbunden. Die Terminalserver übertragen also
"nur" ein Bild. Wir haben auch einige Geschäftsstellen mit 20 Users. Das würde gehen, wenn Du sonst nichts
hast

Aber euer Hauptstandort hat doch sicher keine 2MBit Anbindung?
Bitte warten ..
Mitglied: BigWim
05.07.2010 um 14:33 Uhr
Nein, ich habe jetzt nur von unseren Geschäftsstellen gesprochen.

Unser Hauptstandort mit den restlichen 700 User ist aufgrund der Nähe zu unserem RZ auch "etwas" besser (100 MBit) angebunden.

Wir mußten zwecks "Revitalisierung" eines Gebäudes umziehen und sind jetzt mit 10MBit angebunden. Ca 200 User. Naja, geht auch, aber schön ist anders.

Markus
Bitte warten ..
Mitglied: BigWim
05.07.2010 um 14:38 Uhr
Zitat von maboh1:
Vielen Dank für deine Zahlen, das stimmt mich schonmal hoffnungsvoll
Dachte ich mir

Ums etwas genauer zu umreissen: die Standorte sind prinzipiell eigenständig und werden auch
eine grösstenteils eigenständige Infrastruktur haben. Sie verteilen sich über ganz Deutschland.
Die einzigen Berühruingspunkte wären der Terminalserver mit der ERP Software, sowie die
Anmeldedomain. Ich muss alle Standorte einzeln absichern, wobei es da hauptsächlich um
Connectivity geht und darum, dass die sich eigentlich immer anmelden können müssen, sowie
auf das ERP System zugreifen. Wir werden es kaum mit lokalen Benutzerdaten zu tun haben,
wenn, dann wird da lokal was gesichert.


Wenn Du eine neue Domäne aufbauen kannst, dann auf jeden Fall W2K8. Durfte vor kurzem mal ein paar Sachen darüber hören. Die RODC, die 45877 erwähnt, haben ja noch weitere Vorteile, wie ich gehört, aber in der Praxis noch nicht gesehen habe.

Z. B. kannst Du die jeweiligen User auf den RODC hinterlegen, die an diesem Standort arbeiten. Dann werden auch nur diese Daten repliziert. Wird uns als Sicherheitsfeature verkauft, dass wenn mal einer dieser RODC weggetragen werden, sind nicht gleich alle Informationen Deiner Domäne in fremde Hände.

Auch das Replizierverhalten kann feiner und schmaler gesteuert werden also in einer W2K3-Domäne. Ist aber nur Theorie für mich, aufgrund der Luxusausstattung hier mußten wir uns damit nicht wirklich auseinander setzen.

Markus



Edit: Schreibfehler korrigiert
Bitte warten ..
Mitglied: maboh1
06.07.2010 um 18:27 Uhr
Falls ihr Interesse an Connectivity habt, drop mir ne PM. Wir sind kein ganz Kleiner in dem Bereich

Ich brauche noch Antworten zu der Exchange Geschichte, eventuell muss ich aber mit meinen Fragen
in das Exchange Forum gehen, weil die Jungs hier nciht mitlesen...

Ahjo, hat jemand Erfahrung im Win 2k8 Server Bereich mit Zero Clients?
Halte das nach einer heute erfolgten Ortsbesichtigung durchaus für eine Variante.
Thin bzw Zero Clients hätten da einige Vorteile....
Bitte warten ..
Mitglied: BigWim
07.07.2010 um 12:52 Uhr
Zitat von maboh1:
Falls ihr Interesse an Connectivity habt, drop mir ne PM. Wir sind kein ganz Kleiner in dem Bereich
Danke für das Angebot, aber ein Ende ist ja in Sicht. Insofern lautet das Motto: Alles muß laufen, darf aber nix kosten ....

Markus
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst Active Directory CA öffentlich vertrauenswürdig machen, geht das? (2)

Frage von DeathangelCH zum Thema Windows Server ...

Windows Server
gelöst Active Directory File Extension - Associated Program (11)

Frage von adm2015 zum Thema Windows Server ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Windows Server
Active Directory sinnvoll für kleine Firma (15)

Frage von WolfPeano zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...