Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Vorteile Nachteile SubDomain vs Einzelne Domains

Frage Microsoft Windows Server

Mitglied: lenny4me

lenny4me (Level 2) - Jetzt verbinden

17.06.2010 um 20:56 Uhr, 14464 Aufrufe, 9 Kommentare

Hallo ich bin noch kein Experte auf dem Gebiet der AD/DNS Planung deshalb....

Wir betreiben aktuell 5 unabhängige Domains in unserer Firma... Diese sind via VPN untereinander verbunden. Die DNS Zonen sind in den anderen Domains als sekundäre Zonen eingerichtet. Alles funktioniert aber der Administrative Aufwand sollte verringert werden.

Da wir nun wieder eine Domain einrichten, habe ich mir überlegt diese in unsere "Hauptdomain" als zusätzliche Child/Sub Domain zu integrieren.
Wir haben keine leere Root Domain. Somit ist nur die Integration in eine Vorhandene Domain möglich. Diese ist im Produktivbetrieb User/PCs GPOs alles vorhanden ;)

Wir nehmen an Sie hört auf Firma.de
Ich habe testweise einen weiteren DC installiert und eine neue Domain in der Gesamtstruktur erstellt.
Diese hört nun auf den Namen: Ausenstelle1.Firma.de
Soweit alles klar.


Nun stellen sich mir aber gleich mehrere Fragen. Die SubDNS Zone erscheint nicht auf meinem Firma.de DNS ADServer. Muss ich diese einrichten? Dachte das passiert bei AD Integrierten Zonen automatisch? (DNS Server in der SUB Domain läuft natürlich...)
Ist es möglich User oder PCs einfach von der Hauptdomain in die SUB Domain zu verschieben und umgekehrt?
Wie sieht es mit den Berechtigungen aus? Habe schon raus bekommen das ich als Admin der Firma1 vollen Zugriff auf die Child Domain habe, und als Admin der SUB Domain nur in eben dieser schalten kann...
Gibt es da noch Dinge die ich beim konfigurieren beachten muss?

GPOs kann ich auch in meine SUB Domain linken habe ich gesehen :D


Was gibt es sonst noch was mir die Child Domain ermöglicht? Was muss ich unbedingt beachten? Was spricht gegen diese Konstellation?

Gibt es Probleme wenn mal der VPN Kanal ausfällt? Stichwort Kerberos Tickets?

Ich bin über jeden Tip, Howto oder Ratschlag dankbar. Wäre super wenn sich mir einer annimmt...


In diesem Sinne einen schönen Abend.
Mitglied: sk
17.06.2010 um 23:39 Uhr
Hallo lenny4me,

aus welchen Gründen siehst Du Dich überhaupt gezwungen, für die Außenstelle eine eigene (Sub-)Domain einzurichten? Warum nicht alles in eine Domain?

Gruß
sk
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
18.06.2010 um 00:23 Uhr
Servus,

also mit den bisherigen Informationen suchst du ganz klar, dass Ein-Domänen Modell!

Der Nachteil bei mehreren Domänen innerhalb einer Gesamtstruktur ist:

- Bei mehreren Domänen ist der adminstrative Aufwand (Updates, Virenscanner usw.) höher, da auch jede Domäne wegen der Ausfallsicherheit mindestens zwei DCs haben sollte.
- Dadurch entstehen höhere Hardware- sowie Lizenzkosten.
- Jeder DC sollte/muss vor Ort physikalisch geschützt sein.
- Jede Domäne muss gesichert werden (Backup).

Bei mehreren Domänen wären die Vorteile, wenn man z.B. unterschiedliche DNS-Namensräume haben möchte. Oder unterschiedliche Administratoren
sollen "nur" ihre eigene Domäne verwalten und nur dort der Admin sein. Wobei das letztendlich nur mit getrennten Gesamtstrukturen und nicht
mit mehreren Domänen innerhalb einer Gesamtstruktur zu regeln ist.

Mit mehreren Domänen kann man unterschiedliche Kennwortrichtlinien (bis einschließlich Windows Server 2003) anwenden. Ab Windows Server 2008
gibt es die "Password Settings Objects, kurz PSOs".

Der Vorteil einer Domäne wäre z.B. das man nur eine DNS-Zone/Domäne verwalten muss.
Mit einer Domäne hat man eine bessere Übersicht und leichtere Administration.
Weniger DCs sind notwendig und somit auch weniger Hardware- sowie Lizenzkosten.

Ich persönlich tendiere gerne - wann immer möglich - zu dem Ein-Domänen-Modell, aber das kommt immer auf die Gegebenheiten
des Kunden darauf an.

Evtl. solltet ihr euch dazu einen Dienstleister zur Seite holen.


Was das DNS betrifft, da irrst du dich. Was interessiert es die Root-Domäne, welche DNS-Einträge in der Subdomäne existieren.
In der Root-Domäne sollt eine Delegierung zur Subdomäne existieren. Das muss es aber nicht. Man kann auch die Forward Lookup Zone in der Gesamtstruktur auf jeden DC replizieren.
Das ist ab Windows Server 2003 mit der Anwendungsverzeichnispartition "ForestDNSZones" möglich. Aber das würde hier jetzt zu weit gehen.

Auch das der Domänen-Admin der Root-Domäne "vollen Zugriff" auf die Subdomäne hat, stimmt ebenfalls nicht.


Viele Grüße

/ > Yusuf Dikmenoglu
Bitte warten ..
Mitglied: lenny4me
18.06.2010 um 07:23 Uhr
Hallo sk Hallo Yusuf,

Es handelt sich bei unserer Firmenstruktur um ein Mutterhaus das aber viele eigenständige Ausenstellen hat. Es wird großen Wert auf die Eigenständigkeit dieser Ausenstellen gelegt somit kommt leider eine Große Domain nicht in Frage (habe das schon diskutiert).
Die Frage wäre nur entweder:
1. mehrere Gesamtstrukturen mit jeweils einer Domain oder
2. Eine Hauptdomain mit Child Domains.

Aktuell ist hier der 1. Fall vorhanden. Ob das so geplant war oder historisch gewachsen ist erschließt sich mir nicht so recht...
Die Ausenstellen haben zwar IT Beauftragte aber davon lassen wir keinen an die Domain oder das AD. Wir administrieren alle Domains. Ich wollte eigentlich vermeiden, das wir GPOs x fach erstellen müssen oder diese erst ex- und wieder importieren. Das ist (finde ich) ein Aufwand den man(n) minnimieren sollte.


Grüße Lenny
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
LÖSUNG 18.06.2010, aktualisiert 30.09.2014
Wenn es sich am Ende um "eine Firma" handelt, solltest du "eine Gesamtstruktur" mit "mehreren Subdomänen" wählen.
Alles andere ergibt keinen Sinn und erleichtert keineswegs die Administration. Alleine das schon nicht das Ein-Domänen Modell gewählt werden darf,
ist schon ein Fehler.


Gruß, Yusuf
Bitte warten ..
Mitglied: lenny4me
18.06.2010 um 08:35 Uhr
Hallo Yusuf,

ich werde es nochmals ansprechen...
Werde mich dann nochmals zurück melden
Bitte warten ..
Mitglied: geTr0ffEn
30.09.2014 um 11:24 Uhr
Meldest du dich noch ???

Gruß
Bitte warten ..
Mitglied: lenny4me
30.09.2014 um 11:50 Uhr
Du fledderst ernsthaft einen 4 Jahre alten Thread?
Bitte warten ..
Mitglied: geTr0ffEn
30.09.2014 um 11:57 Uhr
Zitat von lenny4me:

Du fledderst ernsthaft einen 4 Jahre alten Thread?


Ja, warte seit 4 Jahren....
Bitte warten ..
Mitglied: lenny4me
30.09.2014 um 12:21 Uhr
Gut. Eine Domain alles migriert lief Sahne als ich das letzte mal in der Firma war. Nun neue Firma neues AD viel Spass und Mittlerweile auch AD Pro ;)
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
Windows SCCM vs Puppet + Chocolatey (6)

Frage von eglipeter zum Thema Windows Netzwerk ...

E-Mail
Mailinglisten mehrerer Domains

Frage von tobilektri zum Thema E-Mail ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...