domänenübername von remotestandort - vorgehensweise?

[guybrush 19]

hallo,

 

bei uns in der firma wird demnächst ein strukturwechsel anstehen. d.h. alle europäischen zweigstellen werden per statischem vpn an unseren headquarter angeschlossen, und sollen auch hier verwaltet werden. bis jetzt hat jeder standort sein eigenes süppchen gekocht, das soll jetzt anders werden.

 

mein aktuellster "problemfall" wäre:

aussenstelle hat bereits eine domain + installiertem lotus notes/domino 6.5, pegasus opera 2 enterprise. dort sitzen ca. 20 user, die in unsere domain integriert werden sollen. notespostfächer sollen dann letztendlich auch übernommen werden (auf unseren lokalen exchange -> lokaler citrix &published application outlook).

unsere domänenstruktur schaut bisher unspektakulär so aus, dass wir im hq zentrale.unsere-domain.com haben.

 

meine idee wäre nun die folgende, dass ich einfach pro standort eine neue untergeordnete dns-domain (also im sinne von standortname.unsere-domain.com) erstelle, die zur bestehenden struktur hinzufüge und ich mir quasi so nach und nach einen grossen forest aufbaue.

 

da ich sowas bis jetzt nur in der theorie und in vmware geschichten getestet habe, wollt ich wissen:

- was sind die klassischen stolpersteine?

- auf was muss ich aufpassen?

- ist es sinnvoll, für jeden standort ein anderes subnetz zu verwenden (192.168.3.x, 192.168.4.x, ...) und gibt es da probleme?

- wie stelle ich es an, dass die vpn-leitung NUR für unternehmensrelevante dinge verwendet wird (replikation, citrix, usw) und die internetverbindung, die lokal besteht, zum surfen?

- wie konfiguriere ich den jeweils lokalen dns, dass er zwar zonentransfers untereinander macht, aber den jeweiligen providerdns zur namensauflösung verwendet?

 

sodala, dass wäre bis jetzt mal das einzige, was mir einfällt. zeitplan ist noch kein konkreter erstellt, ich habe also noch eine lange planungsphase vor mir, da ich das projekt in ca. einer woche durchstehen will. dann soll wirklich alles passen.

 

ich hoffe, ich kann wiedermal aus eurem erfahrungsschatz schöpfen

 

ich wünsch euch noch ein feines wochenende

 

mfg

hannes

[Shandurai 10]

hallo

 

warum für jeden standort eine eigene domäne? würde es nicht viel einfacher sein, die standorte mit in das bestehende design mit aufzunehmen, also die standorte mit ou's abzubilden? oder sind zwingend eigene (und völlig verscheidene) security policies für die unterschiedlichen standorte notwendig?

 

grüße, andre

[Christoph35 10]

Hi,

 

ich würde mir die Domain-Struktur und damit auch DNS Struktur nicht unnötig verkomplizieren.

 

Du solltest überlegen, pro Branch Office nur OUs einzurichten, und den Admins am Standort (sofern vorhanden), nur die Administration dieser OU zu überlassen. Wir haben das z.T. so umgesetzt.

 

Zusätzliche Domains sind nur in schwerwiegenden Fällen wirklich sinnvoll (z.B. gesonderte PW-Policy).

 

Zu den Sites:

ja, pro Standort eine Site macht durchaus Sinn. DNS kannst Du bei W2K3 so regeln, dass Du mit bedingter Weiterleitung arbeitest. Eure Domains können dann vom DC aufgelöst werden, für externe Adressen richtest Du einen Forwarder ein

 

Die Migration von Notes nach Exchange ist dann wieder ein gesondertes Problem. Kann ggf. über den Notes-Connector gelöst werden. Damit habe ich aber keine Erfahrung.

 

/edit: ok, zu langsam :D

 

Christoph

[Shandurai 10]

...aber dafür nicht so ausführlich ;)

 

Grüße

[guybrush 19]

danke für eure hinweise und tipps.

 

eine kleiner "designbug" ist, dass das hq eben unter zentrale.domain.com läuft, und mein chef ein perfektionist ist.

ist es möglich, die domain zentrale "runterzustufen" auf domain.com, sodass sich alle im gleichen namespace befinden, oder ist das ein zu herber eingriff ins active directory design?

 

wenn ich alle user uns sites unter domain.com laufen habe, wäre die vorgehensweise mit ou´s sicherlich eine attraktive lösung.

falls sich das allerdings nicht bewerkstelligen lässt, würde ich gern die standorte mit eigenen "subdomains" ausstatten, einfach nur wegen der optischen schönheit wegen (cheffe ;) )

 

lg

hannes

[Christoph257 10]

Hallo,

 

ich gehe mal davon aus, dass es domain.com noch nicht als AD-Domäne gibt, sondern nur zentrale.domain.com

 

Dann würde es sich um eine Domänenumbenennung handeln.

Habe ich vor kurzem hinter mir. Nicht einfach, aber machbar.

 

Grüße

 

Christoph

[Shandurai 10]

...oder alle anderen standorte unter eine eigene sub-domain zusammenfassen, also neben zentrale.domain.com auch standorte.domain.com und dann die standorte mit ou's abbilden.

dann könntest du auch besser den zugriff zum hq einschränken, hast aber nur eine zusätzliche domain zu verwalten statt eine pro standort...

[Christoph257 10]

... zumal man ja pro Domäne auch mindestens einen DC braucht. Ich weiß ja nicht wie groß die Standorte sind aber für 20 User einen DC verballern ist ja auch witzlos... ;)

 

Wie baut ihr denn eure VPNs auf... Ggfs kannst du hier ja auch mit entsprechender Technik den Zugriff auf die Ressourcen einschränken, damit nicht alles offen ist wie ein Scheunentor...

 

Christoph

[Shandurai 10]

@christoph

... zumal man ja pro Domäne auch mindestens einen DC braucht. Ich weiß ja nicht wie groß die Standorte sind aber für 20 User einen DC verballern ist ja auch witzlos...

...und einen zweiten wenn es etwas ausfallsicher sein soll... oder?

[Christoph257 10]

löl... kommt mir sehr bekannt vor - natürlich einen zweiten dazu ;-)

[guybrush 19]

hallo,

 

danke für eure tipps. ich hatte gerstern mit einem mir befreundeten consultant ein laaaanges gespräch, und ich hab mich dann auch für die variante mit den ou´s entschieden.

 

d.h. die unternehmensstruktur wird dann einfach mit ou´s abgebildet, jeder standort bekommt einen dc (und vlt. noch, wenns geht, einen 2. bez. redundanz) und die verwaltung wird dann einfach an jemanden in den jeweiligen sites delegiert.

 

vielen dank für die denkanstösse,

 

wünsche euch noch ein schönes wochenende

 

mfg

hannes

[Christoph35 10]

Hi,

 

Bei uns kommen wir in den Niederlassungen mit je einem DC hin, in der Zentrale haben wir 2 DCs aufgestellt. In einer 2. Domain haben wir 3 DCs im Hauptsitz und je 1 in den Niederlassungen.

 

Falls dann wirklich mal der DC in der Niederlassung ausfällt, steht immer noch mindestens einer am Hauptsitz zur Verfügung, um Anmeldungen entgegenzunehmen.

 

2 DCs pro Standort sind aber auf jeden Fall nice to have. Wenn es das Budget hergibt, kann/sollte man das auch machen.

 

Christoph

[guybrush 19]

mir gehts da weniger um die authentifizierung, sondern um die datenspeicherung.

es sind in jeder niederlassung eine handvoll grafiker angestellt, die kundendesigns erstellen, photos bearbeiten usw...

da kommt schon so einiges zusammen, wir haben im hq bei der täglichen sicherung ca. 300gb an daten, und ich hab da schon alle redundanzen ausgegrenzt.

 

als 2. dc werd ich einfach eine "normale" gurke hinstellen, und in der nacht einfach die datenstände kopieren. dann hat man auf jeden fall, wenns einen ausfall gibt, noch die daten von gestern zur hand und ist nicht komplett aufgeschmissen...

 

bei <20 usern is dem dc eh ordentlich fad, da muss es nicht zwingend ein quad opteron 4gb server sein ;-)