Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Hilfe zu Active Directory Design

Frage Microsoft Windows Server

Mitglied: blind3d

blind3d (Level 1) - Jetzt verbinden

14.05.2013 um 10:20 Uhr, 2493 Aufrufe, 11 Kommentare

Hallo,

ich plane gerade ein Active-Directory-Design für ein Unternehmen mit mehreren geografischen Standorten (Sites), die jeweils über eine 2Mbit Standleitung mit der Hauptverwaltung verbunden sind, und bin mir mit eine paar Sachen nicht ganz sicher bzw. noch recht neu im Thema AD..

Geplant ist eine Single-Forest-Struktur (so wird es auf vielen Seiten empfohlen) mit einer Domäne und zwei Domänencontrollern (PDC/ADC) in der Hauptverwaltung. Pro Site soll es ebenfalls zwei DCs geben, jedoch weiß ich nicht welche Rolle sie bekommen sollen.
Habe gelesen, dass es bei zwei RODCs pro Site zu inkonsistenten Daten kommen kann, also fallen diese raus. Oder lässt sich das umgehen?
Kann ich mir auch den zweiten DC in den Sites sparen? Sprich: Der lokale DC ist ein RODC und der nächsthöhere DC ist der PDC in der Verwaltung (Einstellung per DHCP).
Wenn die WAN Leitung dann weg ist, könnte man sich dann immer noch lokal anmelden?
Ist der RODC down, würde die Anmeldung doch über's WAN zum PDC laufen, richtig?


Wenn der DC in der Site ein Brideheadserver ist, ist er dann nur für die Replikation zuständig oder kann man sich auch daran anmelden? Finde zu diesem Thema irgendwie nichts brauchbares.. Wenn ja, kann man vor Ort zwei Bridgeheadserver mit unterschiedlicher aufstellen?

Denkbar wäre auch folgendes Szenario, um die IT Administration aufzuteilen:

Eine Placeholder Domain mit zwei Subdomänen (Europa und Asien). Und dann wieder DCs als Sites in den Standorten.
Leider ist mir aber irgendwie nicht klar, was wann, wie, und wohin repliziert wird
Arbeiten die Subdomains dann autark? Sprich: Es werden keine Benutzer- und Computerobjekte, GPOs etc. reapliziert?
Könnte sich dann ein Mitarbeiter aus Europa an einem Standort in Asien anmelden? Wenn nein, was muss eingestellt werden damit das möglich ist?

Danke!

Gruß,

blind3d



Mitglied: Coreknabe
14.05.2013 um 11:17 Uhr
Moin,

googlen ist jetzt nicht soooo schwer:
http://technet.microsoft.com/en-us/library/bb727085.aspx

Gruß
Bitte warten ..
Mitglied: blind3d
14.05.2013 um 11:24 Uhr
Google bedienen kann ich auch, nur habe ich gerade keine Zeit mir das alles durchzulesen und anzueignen. Deswegen habe ich direkt diese Situation angefragt, weil mir das am Wichtigsten erscheint.
Bitte warten ..
Mitglied: Coreknabe
14.05.2013 um 11:28 Uhr
Und Du bist sicher, dass Du den richtigen Job gewählt hast? Na denn alles Gute!
Bitte warten ..
Mitglied: blind3d
14.05.2013 um 11:36 Uhr
Man hat mich direkt in ein Großprojekt geworfen und alles hätte am Besten gestern fertig sein sollen, da das Projekt schon lange auf Eis liegt. Jetzt muss ich improvisieren. Mir fehlt halt der technische Background in diesem Bereich, also versuche ich jetzt schnell was zu stricken, was trotzdem Hand und Fuß hat. Ou Design, GPOs ok, aber im Alleingang ein AD designen ist finde ich nicht ganz so einfach..
Musst ja nicht gleich patzig werden..
Bitte warten ..
Mitglied: knut4linux
14.05.2013, aktualisiert um 11:51 Uhr
Hi,

wie groß sind den die Außenstellen? Handelt es um 1000 oder 20? Bei geringer Anzahl von AD-Usern in den Außenstellen ist ein RODC schon recht Sinnvoll. Trotzdem empfehle ich dir wenigstens in der Zentrale einen zweiten DC zu haben, falsch der einzig Schreibfähige DC crasht. Wenn du da nicht ausreichend vorsorgst, wird es haarig -> AD neu aufsetzen.


Habe gelesen, dass es bei zwei RODCs pro Site zu inkonsistenten Daten kommen kann

Was haben 2 RODC in einer Site für einen Sinn? Verursacht nur sinnlos traffic. Wenn ein RODC ausfällt, dann ist es eher die Hardware, der Rest wird von deinem DC erledigt.

Wenn die WAN Leitung dann weg ist, könnte man sich dann immer noch lokal anmelden?

lokal geht immer, aber wenn du fragen wolltest, ob sie sich an der Domäne trotzdem anmelden können, ja. Das ist der Sinn von RODC

Ist der RODC down, würde die Anmeldung doch über's WAN zum PDC laufen, richtig?

Wenn Verbindung zum "PDC" besteht, ja.


Was die Trennung deiner Standorte angeht, kannst du es über child-domain lösen (subzonen). Wenn du allerdings möchtest, dass Europa auf Ressourcen in Asien Zugriff haben muss oder umgekehrt, dann musst du auch noch Vertrauenstellungen einrichten.

Subzonen kämen für mich nur in Frage wenn jede Site komplett Autark sein soll und nur auf Ressourcen zugreifen dürfen, welche sich nur in ihrer Site befinden und es sich mindestens um 100 AD-User pro Site handelt. Dann würde ich aber auch für jede Site einen eigenen DC bauen. Aber das ist nur meine Meinung.

Wenn es nur wenige User sind die in den Standorten verteilt sind, dann kannst das auch genauso gut über OU's abbilden, was aus meiner Sicht etwas einfacher ist.


Am Ende ist es eine Geschmacksache, da jeder seine eigene Ordnung hat. AD Designen und Verwalten sollten aus meiner Sicht auch nur eine kleine Gruppe von Admins, weil einfach jeder eine Ordnung anders definiert. AD ist glaube ich unter Administratoren das Zickenthema nr.1

Sonst hilft die nur lesen, lesen, lesen und noch mal lesen.
Bitte warten ..
Mitglied: knut4linux
14.05.2013 um 11:54 Uhr
@Coreknabe: bleib doch bitte nett :D

Wie ich schon sagte: AD = Admins Zickenthema
Bitte warten ..
Mitglied: killtec
14.05.2013, aktualisiert um 11:59 Uhr
Hi,
wir haben das bei uns so gemacht, dass wir am Hauptstandort 2 DC's haben und an zwei weiteren Standortenjeweils einen DC haben. Das ganze ist dann mit OU's getrennt, da am Hauptstandort alle anderen Server stehen (Terminal, Print ...).
Über die OU's lässt sich das einfach übersichtlich gestalten ohne subdomains zu haben. Auch GPO's lassen sich schön auf die OU's anwenden.

#EDIT: Wir haben keinen RODC laufen.

Gruß
Bitte warten ..
Mitglied: goscho
14.05.2013 um 12:21 Uhr
Mahlzeit
Zitat von blind3d:
Man hat mich direkt in ein Großprojekt geworfen und alles hätte am Besten gestern fertig sein sollen, da das Projekt
schon lange auf Eis liegt. Jetzt muss ich improvisieren. Mir fehlt halt der technische Background in diesem Bereich,
Wie kann man denn ein Großprojekt stemmen, wenn man von dem, was man machen soll, nur wenig Ahnung hat?
Wäre es hier nicht besser, jemanden einzukaufen, der das kann, als es in einem Forum erklärt zu bekommen?
also versuche ich jetzt schnell was zu stricken, was trotzdem Hand und Fuß hat.
Das ist jetzt aber nicht dein Ernst, oder?
Sorry, aber für mich klingt das nach einer Projektarbeit bei einer Ausbildung.
Musst ja nicht gleich patzig werden..
Ich schätze der Coreknabe denkt hier ähnlich.

Da der Technet-Link vom Coreknaben für Windows 2000 Server ist, habe ich dir hier noch einen aktuelleren herausgesucht.
Bitte warten ..
Mitglied: Philipp711
14.05.2013, aktualisiert um 12:32 Uhr
Zitat von blind3d:
Geplant ist eine Single-Forest-Struktur (so wird es auf vielen Seiten empfohlen) mit einer Domäne und zwei
Domänencontrollern (PDC/ADC) in der Hauptverwaltung. Pro Site soll es ebenfalls zwei DCs geben, jedoch weiß ich nicht
welche Rolle sie bekommen sollen.

Wie groß sind die Außenstellen? Je nachdem würde ich zu vollständigen DCs mit Subdomains raten oder halt RODCs nehmen!

Habe gelesen, dass es bei zwei RODCs pro Site zu inkonsistenten Daten kommen kann, also fallen diese raus.

2 RODCs? Macht keinen Sinn - Jedenfalls machen für mich RODCs nur da Sinn, wo sie quasi auf dem Präsentierteller stehen und nicht wirklich viele (<50 User) zu versorgen haben.

Wenn die WAN Leitung dann weg ist, könnte man sich dann immer noch lokal anmelden?

Ja würde funktionieren

Ist der RODC down, würde die Anmeldung doch über's WAN zum PDC laufen, richtig?

Ja aber Zeitverzögert

Eine Placeholder Domain mit zwei Subdomänen (Europa und Asien). Und dann wieder DCs als Sites in den Standorten.
Leider ist mir aber irgendwie nicht klar, was wann, wie, und wohin repliziert wird
Arbeiten die Subdomains dann autark? Sprich: Es werden keine Benutzer- und Computerobjekte, GPOs etc. reapliziert?
Könnte sich dann ein Mitarbeiter aus Europa an einem Standort in Asien anmelden? Wenn nein, was muss eingestellt werden damit das möglich ist?

Die Subdomains replizieren soweit ich weiß nur Elemente in den Globalen Katalog. D.h. wenn du im Schema nicht alles in den Globalen Katalog replizieren lässt hält sich der ganze Spaß in Grenzen. Je nachdem wie du den DNS Konfigurierst wird dieser im kompletten Forest repliziert.

Zur Anmeldung: Wenn du von der untergeordneten in die übergeordnete Domain möchtest, sollte es einfach so funktionieren. Wenn du von Niederlassung1.firma.local zu Niederlassung2.firma.local willst müsstest du Vertrauenstellungen bilden (bin mir aber nicht 100% sicher).

Wichtig ist das du die Standorte und deren Subnetze ordentlich in der "Standorte und Netze"-MMC deklarierst!
Bitte warten ..
Mitglied: Coreknabe
14.05.2013 um 12:36 Uhr
Ho Brauner...

Meine Antwort sollte weder patzig noch unfreundlich klingen, das Posting wirkt hier nur wie Realsatire.

@goscho: Danke, so ganz allein bin ich mit meiner Meinung dann also doch nicht. Wenn ich keine Ahnung habe und dann auch noch erwähne, dass ich keine Zeit habe, für technischen Background zu sorgen, was soll denn bitte am Ende dabei rumkommen? Ein komplett vermurkstes AD-Design, für das der Kunde sich später sehr dankbar zeigen wird? Ist ja auch kein Problem, dass alles noch mal neu zu machen. Gesetzt den Fall, es hatte jemand die Zeit, sich Kenntnisse anzueignen, um das vernünftig umzusetzen. Ich fange ja auch nicht an, selbst an meinem Auto rumzuschrauben, wenn mir die nötigen Kenntnisse fehlen. Nur damit der Computer-Auto-Vergleich abgedeckt ist.

Für den veralteten Link entschuldige ich mich in vollem Umfang!
Bitte warten ..
Mitglied: blind3d
14.05.2013, aktualisiert um 13:40 Uhr
Das Problem ist, das die GF sich das ganze äußerst einfach vorstellt und sich der enormen Komplexität und den Möglichkeiten von AD nicht bewusst ist. Von dem ganzen Ratten###, der bei der Migration von Novell zu AD noch dran hängt mal ganz abgesehen..
Eigentlich habe ich gesagt, ich kann beim Design etwas unterstützen, da ich immer in einer AD Umgebung gearbeitet habe und auch mitbekommen habe wie man aufgestellt ist. Habe mich dabei aber auf OUs, GPOs beschränkt, da ich bisher nicht an DCs rumgefummelt habe.
Jetzt darf ich die ganze Basis darunter aber auch noch machen und da fehlt halt das Know-How. Bin schon die ganzen Tage am googlen wie ich die Idee, die ich habe, am Besten umsetzen kann.
Und das ist halt das o.g. "Gerüst". Soll für den Admin halt einfach sein und auch parktisch für den User. Von daher tendiere ich zur Single-Forest - Single-Domain Struktur mit DCs als Sites an den Standorten. Insgesamt sprechen wir hier von nur ~1500 Usern. Wenn benötigt, kann ich dann immerhin noch leicht erweitern.

Es gibt hier nämlich schon ein Konzept im Test, das ich nicht entworfen habe und das sieht vor jeden Standort als eigenen Forest zu haben, was ich für etwas übertrieben halte, da der Punkt Sicherheit aufgrund der geringen Zahl an Admins und nicht abzusichernden Business Units erstmal kein Thema ist. Dann ist man ja nur noch am anpassen.
Von daher musste ich mir auf die Schnelle was überlegen, um das zu kippen Ich muss schließlich hinterher damit arbeiten

Werde auch vorschlagen, dass man sich externe Hilfe holt. Das Projekt würd' ich höchstens mit 10 Jahren Erfahrung anpacken, da das Thema so komplex ist und später die Basis des Netzes bildet. Da sollte man nicht sparen..

@Coreknabe
Die Situation ist halt kritisch wie ich finde. Das bereits bestehende Konzept halte ich ich für übertrieben dimensioniert. Und um da schnell einwirken zu können bevor es in die komplett falsche Richtung läuft, habe ich mir halt was eigenes überlegt auf Basis meines minimalen Know-Hows. Und das Ergebnis finde ich irgendwie besser..
Bevor nun aber das Multi-Forest Konzept live geht, will ich irgendwas vorzeigen können, das für uns mehr Sinn macht.
Begeistert bin ich davon auch nicht. Würde am liebsten erstmal n paar Schulungen besorgen, um sicher sagen zu können: so und nicht anders.. aber habe leider gerade keine andere Wahl :/

Ach ja und danke natürlich an die anderen für die Infos )
Bitte warten ..
Ähnliche Inhalte
Windows Server
Active Directory Vertrauensstellung
Frage von ukulele-7Windows Server11 Kommentare

Ich muss sagen das ist meine erste Vertrauensstellung. Ich habe sie in unserer alten AD ads.domain.local Windows 2003 und ...

Windows Server
Mit Tastenkürzel im Active Directory navigieren?
gelöst Frage von Fish01Windows Server3 Kommentare

Hallo! Folgender Fall als Beispiel: Habe in einer OU ca. 100 User und möchte zB: bei jedem User kontrollieren, ...

Windows Server
Active Directory - Umlaute ersetzen
gelöst Frage von duschgasWindows Server5 Kommentare

Hallo liebe Community, Ich besitze ein AD, das historisch gewachsen ist. Unter anderem enthält es Umlaute wie Ä Ü ...

Windows Server
Erfahrungsberichte mit Azure Active Directory
Frage von SiliciumWindows Server4 Kommentare

Hallo Zusammen, wir ueberlegen, unsere Windows Domaene in die Cloud zu schieben. Ich habe da einige Bedenken, ausserdem habe ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 107 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
Frage von HelloWorldBatch & Shell18 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

Windows Server
Ping auf einen bestimmten Server nicht möglich
gelöst Frage von a.thierWindows Server7 Kommentare

Hallo, ich habe folgendes Problem. srv-dc1: Ping srv-nav > geht Ping srv-exchange > geht nicht srv-exchange: Ping srv-dc1 > ...

Windows 10
Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App
Tipp von kgbornWindows 107 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...