Expertenmeinung gefragt: Aufteilung der FSMO Rollen

[porschinho 10]

So, habe 2 Domaincontroller (2003 R2) in einem Eindomänenumfeld. Habe die FSMO Rollen wie folgt verteilt:

 

DC1: Schema Master, Domain Naming Master

 

DC2: PDC, RID, Infrastructure

 

DC1 hält zudem noch den Global Catalog.

 

Ist das so gängig? Was wäre bei einem Ausfall (Hardwarecrash) einer der DC`s? Wäre der Betrieb beeinträchtigt?

[Velius 10]

Ist eigentlich auch so Empfohlen bei den von dir verwendeten Anzahl an Controllern.;)

 

 

cheers

Velius

 

 

Ist das so gängig? Was wäre bei einem Ausfall (Hardwarecrash) einer der DC`s? Wäre der Betrieb beeinträchtigt?

 

Jein - das kann man fixen wenn's drauf an kommt.

[grizzly999 11]

Nein, in dem Fall ist das nicht gägnig. Warum hast du die Rollen separiert? Lase sie alle auf einem DC.

Die Rolle, die am ehesten weg müsste, wäre die PDC Emulators, aber nur in sehr grßen Domänen, ich würde mal sagen ca. 7.000-10.000 Clients aufwärts, weil der dann recht häufig angefragt wird.

 

Aber in durchschnittlichen ADs kannst du die Rollen zusammen lassen.

 

Ich suche dir mal eben noch einen Link raus .....

 

grizzly999

[Velius 10]

:confused:

 

@grizzly999

 

Worauf bezieht sich deine Aussage? Auf den Single-Domain Forest? Ich kenne auch einen Artikel: Domainnaming und Schema auf densleben, klar; RID, und PDCe auch auf dieselbe Maschine und Infrastruktur und GC immer trennen ausser wenn Single-Domain oder alle DCs = GCs....

 

 

Muss auch mal kucken gehen.:D

[grizzly999 11]

Here we go: FSMO placement and optimization on Active Directory domain controllers

 

 

grizzly999

[grizzly999 11]

:confused:

 

@grizzly999

 

Worauf bezieht sich deine Aussage? Auf den Single-Domain Forest?

Ja, vor allem. Aber auch in einem Multidomain Forest lase ich in der Forest Root Domain alle Rollen zusammen.

 

 

Ich kenne auch einen Artikel: Domainnaming und Schema auf densleben, klar; RID, und PDCe auch auf dieselbe Maschine und Infrastruktur und GC immer trennen ausser wenn Single-Domain oder alle DCs = GCs....

Ist ja hier der Fall.

 

 

Frage: Was soll es faktisch bringen, die Rollen zu separieren, außer zusätzlichen Aufwand, wenn es darum geht, wer hat denn jetzt grad welche Rolle?

 

Die Ausnahmen sind:

1.) PDC Emulator in sehr großen Domänen

2.) IM >=< GC im Multidomainmodell, wenn Domäne mind. im native mode und nicht alle DCs = GCs

3.) RID-Master in der Site, wo voraussichtlich die meisten Objekte erstellt werden, möglicherweise auch temporär.

 

Ansonsten gibt es keine richtigen Gründe für eine role separation.

 

 

grizzly999

[Velius 10]

Na ja, ich seh's so: Du sagst generell nein wo ich kein Grund für sehe. In einem Singel-Domain Forest ist die Chance für eine Fehlkonfiguration eh am geringsten, bzw. nahezu = 0 - man könnte sie auch alle auf den selben hauen, klar, aber das macht die Ursprungskonfig noch lange nicht falsch.

 

Ausser natürlich, da stimme ich voll und ganz zu: Die Domäne beinhaltet wirklich eine (sehr) grosse Zahl an Objekten. Dann hat der PDCe am meisten zu tun und dann macht's eventuell am meisten Sinn diesen dediziert auf einen anderen zu schieben. Wenn zum beispiel aussergöhnlich viele Objekte in kurzer Zeit hinzugefügt werden kann man das auch über den RID sagen...., usw.:wink2:

 

 

Einigen wir uns auf ein Unentschieden.;) :p

[grizzly999 11]

Na ja, ich seh's so: Du sagst generell nein wo ich kein Grund für sehe. In einem Singel-Domain Forest ist die Chance für eine Fehlkonfiguration eh am geringsten, bzw. nahezu = 0 - man könnte sie auch alle auf den selben hauen, klar

Ok, und warum dann moven? Macht Arbeit, und erschwert die Übersicht.

 

 

Ausser natürlich, da stimme ich voll und ganz zu: Die Domäne beinhaltet wirklich eine (sehr) grosse Zahl an Objekten. Dann hat der PDCe am meisten zu tun und dann macht's eventuell am meisten Sinn diesen dediziert auf einen anderen zu schieben. Wenn zum beispiel aussergöhnlich viele Objekte in kurzer Zeit hinzugefügt werden kann man das auch über den RID sagen...., usw.:wink2:

Genau meine Aussage ;)

[Daim 12]

Servus,

 

in den meisten Umgebungen ist es sinnvoll, alle FSMO-Rollen auf einem DC zu lassen.

Falls zu einem späteren Zeitpunkt der DC der die drei Domänen-Rollen trägt crashen sollte, denkt man evtl. nicht gleich daran diese auf einen anderen DC zu verschieben.

Die Empfehlung alle Rollen auf einem DC zu belassen, ist mehr eine organisatorische.

Man muss bei einem Crash bezüglich der Rollen, eben nur einen einzigen DC berücksichtigen.

 

In den meisten Umgebungen gibt es keinen Grund, die Rollen zu trennen.

Deshalb wäre es sinnvoll, sie auf derselben Maschine zu belassen. Dieses erleichtert auch die Dokumentation.

 

Die Trennung der Rollen macht - wie bereits hier erwähnt - in großen Umgebungen Sinn.

 

Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben

 

 

@porschinho

 

Du solltest aber auf beiden DCs, den globalen Katalog aktivieren.

[grizzly999 11]

Du solltest aber auf beiden DCs, den globalen Katalog aktivieren.

Yusuf meint aber sicher nur, wegen der Redundanz, nicht wegen FSMO-Rollen ;)

 

 

grizzly999

[gelöscht 0]

Ich würde zusätzlich DC2 zum GC machen um eine Lastverteilung zu erreichen, vor allem wenn es Exchange in diesem AD gibt.

 

Cherrs,

ASR

[Daim 12]

Yusuf meint aber sicher nur, wegen der Redundanz, nicht wegen FSMO-Rollen ;)

 

Selbstverständlich wegen der Redundanz!

Der globale Katalog ist bekanntlich keine FSMO-Rolle ;).

[gelöscht 0]

ok, hatte ich überlesen :cool: