Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Neuer Standort Active Directory Subtree oder nur zusätzlicher ADC der bestehenden Domäne?

Frage Microsoft Windows Server

Mitglied: loppo247

loppo247 (Level 1) - Jetzt verbinden

07.12.2009 um 15:14 Uhr, 7221 Aufrufe, 6 Kommentare

Hallo es geht um die folgendes
Vor -und Nachteile bei Aufbau eines neuen Standorts Domain Controller /AD zusätzlichen hinzufügen oder Subtree der bestehenden Domain erstellen?

Hallo zusammen,

unsere Firma hat zwei größere Standorte mit bislang noch jeweils eigener Windows Active Directory Domain --> Vertrauensstellung funktioniert soweit alles.

An Standort A soll die Domäne bestehen bleiben, die Domäne von Standort B soll aufgelöst werden und dem Standort A beitreten.
Wir sind uns dabei uneinig was sinnvoller ist: Standort B setzt zusätzlichen AD/DC im Stammverzeichnis auf (DC in example.com), oder Standort B setzt AD/DC als Subtree der Domäne A auf ( b.example.com).

Ich suche nach Vorteilen/Nachteilen für oben beschriebenes, habe aber bislang noch nicht wirklich aussagekräftiges gefunden.

Die Standorte sind mit VPN-Tunnel verbunden, 10MBit Standleitung, aussschließlich W2k3 Server als AD/DC im Einsatz.
Die IP-Bereiche sind unterschiedlich.

Bin für alle Anregungen, Ideen, Erfahrungsberichte dankbar...

greetz
loppo
Mitglied: manuel-r
07.12.2009 um 15:29 Uhr
Das hängt im wesentlichen von den übergeordneten Zielen ab. Was sagt denn die Geschäftsführung zu solchen Sachen wie Grenzen der Domänen (also wer darf wo was tun und sehen). Gibt es am anderen Standort eine eigene IT, die evtl bei dir keine oder weniger Rechte haben soll?
Wenn es irgendwie geht, würde ich für die Beibehaltung der einen gemeinsame Domäne und Gesamtstruktur plädieren. Es macht dir das Leben auf Dauer einfach leichter. Früher oder später kommen nämlich unweigerlich solche Dinge wie User X muss jetzt aber auch auf die Ressource Y in der anderen Domäne zugreifen können. Das ist zwar auch mit mehreren Domänen machbar aber halt etwas ... naja ... komplizierter.
Alles in allem müsst ihr mal die Anforderungen genau definieren (lassen). Dann schreibt ihr dahinter ob für die jeweilige Anforderung eine Domäne reicht oder ihr eine Subdomäne braucht. Dann durfte sehr schnell klar werden wie ihr es umsetzen müsst.

Manuel
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
07.12.2009 um 23:34 Uhr
Servus,

Der Nachteil bei mehreren Domänen wären:

- Bei mehreren Domänen ist der adminstrative Aufwand (Updates,Virenscanner usw.) höher, da auch jede Domäne zwei DCs haben sollte.
- Dadurch entstehen höhere Hardware- sowie Lizenzkosten.
- Jeder DC sollte/muss vor Ort physikalisch geschützt sein.
- Jede Domäne muss gesichert werden (Backup).

Bei mehreren Domänen wären die Vorteile, wenn man z.B. unterschiedliche DNS-Namensräume haben möchte.
Oder unterschiedliche Administratoren sollen "nur" ihre eigene Domäne verwalten und nur dort der Admin sein.
Mit mehreren Domänen kann man bis einschließlich "Windows Server 2003" unterschiedliche Kennwortrichtlinien anwenden.
Ab "Windows Server 2008" gibt es die "Password Settings Objects" (kurz PSO).


Der Vorteil einer Domäne wäre z.B. das man nur eine DNS-Zone/Domäne verwalten muss.
Mit einer Domäne hat man eine bessere Übersicht und leichtere Administration.

Ich persönlich tendiere gerne zu dem Ein-Domänen-Modell, aber das kommt immer auf die Gegebenheiten darauf an.
Evtl. solltet ihr euch dazu einen Dienstleister zur Seite holen.

Abgesehen davon, eine administrative Trennung mit mehreren Domänen --> innerhalb <-- einer Gesamtstruktur kann man nicht erreichen.
Das geht nur, wenn man mit einzelnen separaten Gesamtstrukturen arbeitet.


Viele Grüße
Yusuf Dikmenoglu
Bitte warten ..
Mitglied: loppo247
08.12.2009 um 13:39 Uhr
Danke erstmal für die Antworten,

die Standorte müssen unbeschränkt auf verschiedene Server in unterschiedlichen Standorten zugreifen können, von daher ist ein ein- Domänen-Modell wahrscheinlich das sinnvollere auch die Userverwaltung ist so wohl einfacher, da weniger administrativer Aufwand entsteht. Momentan wird das noch mit einer Vertrauenstellung zwischen den beiden bestehenden Domänen gelöst.
Können unterschiedliche IP-Adressräume, also die bisher bestehenden, weiter genutzt werden oder ergeben sich daraus neue oder andere Probleme (DNS)?
Ein weiteres mögliches Problem sind die Anmeldeskripte: kann ich bei einer Domäne an unterschiedlichen Standorten unterschiedliche Anmeldeskripte laufen lassen?

Fragen über Fragen
&
Danke für die Antworten...

Gruss
Florian
Bitte warten ..
Mitglied: manuel-r
08.12.2009 um 13:53 Uhr
Die unterschiedlichen Subnets sind eine Aufgabe für das Routing. Das scheint aber ja schon zu funktionieren, sonst würde eure Vertrauensstellung ja auch nicht hinhauen. Grundsätzlich kann man alles auch in ein Subnet hängen. Ich persönlich bin da aber kein Fan von. Im Zusammenhang mit AD-Standorten ist Subneting sogar sinnvoll, da man für einzelne Subnets unterschiedliche Vorgaben machen kann, was AD-Replikation angeht.
Die Anmeldescripte sind bei der ganzen Sache das geringste Problem, weil die wenn es sein muss (und dir Spaß macht) jedem User ein eigenes Script verpassen kannst. Das ist unkritisch.

Manuel
Bitte warten ..
Mitglied: runcmd
08.12.2009 um 15:35 Uhr
hi,

in meinem arbeitsumfeld ist beides realisiert. die grenze zur echten sub wurde nur aufgrund der betriebsrechtlichen situation gefällt (mutterkonzern/tochter), nicht aus technischer sicht.

in der grossen mutterdomäne sind die kontinente, bzw. länder und standorte als OUs abgebildet. via GPs wird dort natürlich auch das standort-/abteilungseigene skript usw ausgeführt.

grüße
Bitte warten ..
Mitglied: loppo247
16.12.2009 um 15:17 Uhr
Danke nochmal für den Input!
Wir haben uns jetzt auch dafür entschieden keinen Subtree zu eröffenen, weil das auch wieder nur einen zusätzlichen amdinistrativen Aufwand bedeutet...

mal schauen wie die Migration so läuft

greetz
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Server
gelöst Active Directory File Extension - Associated Program (11)

Frage von adm2015 zum Thema Windows Server ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Windows Server
Active Directory sinnvoll für kleine Firma (15)

Frage von WolfPeano zum Thema Windows Server ...

Windows Server
gelöst Verschlüsselungsmethode Active-Directory Domänen Usern (4)

Frage von User79 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...