Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Replikation AD, was, bzw. welche Objekte?

Frage Microsoft Windows Server

Mitglied: FISI-NMS

FISI-NMS (Level 1) - Jetzt verbinden

09.03.2011 um 11:30 Uhr, 6414 Aufrufe, 2 Kommentare

Eine Verständnisfrage, aufgrund einer kürzlich besuchten Schulung.

Hallo zusammen,

Seither bin ich immer von Folgendem ausgegangen:

Gesamtstruktur (Domäne/Forest) --> Forest.Gump
Subdomänen (Niederlassung) --> A.Forest.Gump, B.Forest.Gump, C.Forest.Gump

Wenn nun in einer der Subdomänen (Niederlassung) ein neues Objekt (Computer/Benutzer) erstelle, wird das dann auch auf den DC's der obersten Domäne repliziert?
Ich habe es bisher so verstanden, dass nur Schema-Daten und Konfigurationsdaten (Connection-Objects) auf Sub-Domänen repliziert werden. Außerdem beinhalten alle Global Catalog Server eine read-only Partition der Subdomänen. Ist das so korrekt?
Gruppenrichtlinien können nicht repliziert werden?

Wir werden bald unser gesamte Novell-Infrastruktur aufgeben und eine Neue unter MS gestalten lassen (Server 2008 R2). Beim Design werden wir gegenüber MS kritisch hinterfragen müssen, ob deren Konzepterstellung unseren Anforderungen entspricht (bzw. die des Kunden). Ein wichtiger Punkt wird die zentrale Administration sein. Wenn jede Subdomäne für sich selbst verwaltet werden muss (dezentrale Verwaltung), würden wir uns wahrscheinlich gegen ein solches Design entscheiden. Andererseits sehe ich auch Vorteile darin, z. B. Transparenz durch klare Strukturen.

Ich wäre dankbar, wenn mir das jemand eindeutig machen könnte, um mir ein richtiges Verständnis dazu zu vermitteln. Bin mir nicht sicher, ob ich das alles richtig verstanden habe.

Grüße
Mitglied: Yusuf-Dikmenoglu
09.03.2011 um 12:05 Uhr
Servus,

Wenn nun in einer der Subdomänen (Niederlassung) ein neues Objekt (Computer/Benutzer) erstelle, wird das dann auch auf den DC's der obersten Domäne repliziert?

nein, das Objekt wird nicht auf die DCs der Root-Domäne repliziert, sondern nur auf die globalen Kataloge der Root-Domäne.

Ich habe es bisher so verstanden, dass nur Schema-Daten und Konfigurationsdaten (Connection-Objects) auf Sub-Domänen repliziert werden.

Genau. Das AD-besteht aus mehreren Verzeichnispartitionen:

1.) Die Schemapartition = wird auf alle DCs innerhalb einer Gesamtstruktur repliziert, egal in welcher Domäne sie sich befinden.
2.) Die Konfigurationspartition = wird auf alle DCs innerhalb einer Gesamtstruktur repliziert, egal in welcher Domäne sie sich befinden.
3.) Die jeweilige Domänenpartition = wird auf alle DCs innerhalb der jeweiligen Domäne repliziert.
4.) Die Anwendungsverzeichnispartition ForestDNSZones (ab Windows Server 2003) = wird auf alle DCs innerhalb einer Gesamtstruktur repliziert, egal in welcher Domäne sie sich befinden.
5.) Die Anwendungsverzeichnispartition DomainDNSZones (ab Windows Server 2003) der jeweiligen Domäne = wird auf alle DCs innerhalb der jeweiligen Domäne repliziert).


[LDAP://Yusufs.Directory.Blog/ - Welche Verzeichnispartitionen befinden sich auf einem DC?]
http://blog.dikmenoglu.de/Welche+Verzeichnispartitionen+Befinden+Sich+A ...


Außerdem beinhalten alle Global Catalog Server eine read-only Partition der Subdomänen. Ist das so korrekt?

Genau. Der globale Katalog hält die Informationen einer Gesamtstruktur vor. Alle Objekte mit den Attributen die für eine Suche relevant sein könnten, aus allen Domänen innerhalb einer Gesamtstruktur, werden zum GC repliziert.
Wenn eine Gesamtstruktur aus mehreren Domänen existiert, werden automatisch bidirektionale transitive Vertrauensstellungen zwischen den Domänen erstellt.

Wird der GC auf einem DC aktiviert, werden die Informationen (genauer, die Domänenpartition) der anderen Domänen, auf den DC repliziert. Dabei findet die GC-Replikation
mit einer niedrigeren Priorität als die standardmäßige AD-Replikation statt. Bis die Replikation des GC abgeschlossen wurde, hängt hauptsächlich von der Umgebung, Replikationstopologie, Bandbreite und die Anzahl
an Objekten ab.

Erst wenn die GC-Replikation abgeschlossen wurde, gibt sich der GC als solcher im AD bekannt. Du kannst z.B. eine Abfrage mit LDP auf dem DC durchführen und kontrollieren, ob der Eintrag "isGlobalCatalogReady" auf TRUE gesetzt ist.

Oder du überprüfst das Verzeichnisdienstprotokoll und suchst nach der EventID 1119. Auch dann ist der GC bereit. Danach gibt sich der DC im AD als GC bekannt.

Siehe auch:

[LDAP://Yusufs.Directory.Blog/ - Globaler Katalog (Global Catalog - GC)]
http://blog.dikmenoglu.de/Globaler+Katalog+Global+Catalog+GC.aspx


Gruppenrichtlinien können nicht repliziert werden?

GPOs werden nur innerhalb der Domäne repliziert.


Wenn jede Subdomäne für sich selbst verwaltet werden muss (dezentrale Verwaltung), würden wir uns wahrscheinlich gegen ein solches Design entscheiden.

Die Tendenz auch bei weltweiten AD-Umgebungen geht ohnehin zum "Single-Domain Forest". Also weltweit nur eine Domäne.
Ob und wenn ja wie viele Domänen erstellt werden sollen, kommt auf die Anforderung an. Ich bin hier gerade bei einem Kunden der weltweit 20.000 User hat und dieser migriert von allen Länder-Domänen in eine weltweite Domäne.

Der Nachteil bei mehreren Domänen innerhalb einer Gesamtstruktur ist:

- Bei mehreren Domänen ist der adminstrative Aufwand (Updates, Virenscanner usw.) höher, da auch jede Domäne wegen der Ausfallsicherheit mindestens zwei DCs haben sollte.
- Dadurch entstehen höhere Hardware- sowie Lizenzkosten.
- Jeder DC sollte/muss vor Ort physikalisch geschützt sein.
- Jede Domäne muss gesichert werden (Backup).

Bei mehreren Domänen wären die Vorteile, wenn man z.B. unterschiedliche DNS-Namensräume haben möchte. Oder unterschiedliche Administratoren sollen "nur" ihre eigene Domäne verwalten und nur dort der Admin sein.
Wobei das letztendlich nur mit getrennten Gesamtstrukturen und nicht mit mehreren Domänen innerhalb einer Gesamtstruktur zu regeln ist.

Mit mehreren Domänen kann man unterschiedliche Kennwortrichtlinien (bis einschließlich Windows Server 2003) anwenden. Ab Windows Server 2008 gibt es die "Password Settings Objects, kurz PSOs".

Der Vorteil einer Domäne wäre z.B. das man nur eine DNS-Zone/Domäne verwalten muss. Mit einer Domäne hat man eine bessere Übersicht und leichtere Administration. Weniger DCs sind notwendig und somit auch weniger Hardware- sowie Lizenzkosten.

Ich persönlich tendiere - wann immer möglich - zu dem Ein-Domänen-Modell, aber das kommt immer auf die Gegebenheiten und Anforderungen des Kunden darauf an.


Bin mir nicht sicher, ob ich das alles richtig verstanden habe.

Jetzt klarer?


Viele Grüße

/ > Yusuf Dikmenoglu
Bitte warten ..
Mitglied: FISI-NMS
09.03.2011 um 13:20 Uhr
Hallo Yusuf,

anscheinend habe ich in Deinem Blog einiges übersehen, fand ich so oder so schon sehr gut und ausführlich beschrieben...

Deine Antworten haben es nun wirklich eindeutig gemacht, auch für mich

Vielen, vielen Dank, jetzt ist alles klar.

Dennis
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Userverwaltung
PS Skript AD Objekte auslesen (1)

Frage von m.reeger zum Thema Windows Userverwaltung ...

Windows Server
AD Replikation zwischen untergeordneten Domäne zwingend? (1)

Frage von Gien-app zum Thema Windows Server ...

Hyper-V
Erfahrungswerte zur Stabilität von Hyper-V Replikation (5)

Frage von DerWoWusste zum Thema Hyper-V ...

Windows Server
AD DC Failover zeitintensiv und DHCP repliziert nicht (5)

Frage von JiggyLee zum Thema Windows Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...