Jump to content

Domänenstruktur


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich hab mal eine Frage an euch und würde gerne eure Meinungen hören.

 

Unser Unternehmen hat mehrere Firmen gekauft die eine eigene Domäne besitzen und die jetzt in unser Unternehmen eingegliedert werden sollen.

 

Wir besitzen selber eine W2k3 Domänen die die Gesamtstruktur darstellt aber deren Name für mein Vorhaben damals nicht so glücklich gewählt wurde(stadt.firma.de)

 

Meine Überlegung ist, diese Firmen als untergeordnete Domänen in unsere Gesamtstruktur einzubinden. Durch die Migration unserer Server in eine VMware Umgebung die demnächst ansteht hab ich mir überlegt das ganze

in einer Win08 Domäne umzusetzen:

 

- Meine Überlegung ist nun eine neue Domäne firma.de anzulegen die Computerkonten und Konten unseres Standorts enthält(Migration von unserer Win2k3 Domäne mittels ADMT)

 

- Die 3 anderen Firmen möchte ich als untergeor. Domänen einbinden, nach der Struktur z.b kassel.firma.de, hamburg.firma.de & Stuttgart.firma.de da diese Firmen auch eigene Admins haben die ihrer Domäne eigenständig administrieren können/sollen und ich ggf. von "oben" eingreifen kann.

 

Würdet ihr es anderst machen, und wenn ja wie(Vorschläge gerne willkommen)

Link zu diesem Kommentar

Salut,

 

Wir besitzen selber eine W2k3 Domänen die die Gesamtstruktur darstellt aber deren Name für mein Vorhaben damals nicht so glücklich gewählt wurde(stadt.firma.de)

 

der Domänenname ist aber nicht verkehrt. Er stellt zumindest genau meine favorisierte Variante, nämlich eine Subdomäne zum externen Internet-Auftritt dar.

 

 

Meine Überlegung ist, diese Firmen als untergeordnete Domänen in unsere Gesamtstruktur einzubinden.

 

Rechtfertigt denn die Größe der aufgekauften Unternehmen, dass diese in eine Sub-Domäne migrieert werden sollen? Denn für die leichtere Administration wäre ein Single-Domänen Forest zu bevorzugen. Falls ihr Berechtigungen delegieren wollt, könntet ihr das wesentlich besser über OUs regeln. Das ist leichter, flexibler und spart Lizenzen sowie Hardware für Server.

 

 

Der Nachteil bei mehreren Domänen wären:

 

- Bei mehreren Domänen ist der adminstrative Aufwand (Updates,Virenscanner usw.) höher,

da auch jede Domäne zwei DCs haben sollte.

- Dadurch entstehen hohe Hardware- sowie Lizenzkosten.

- Jeder DC sollte/muss vor Ort physikalisch geschützt sein.

- Jede Domäne muss gesichert werden (Backup).

 

 

Bei mehreren Domänen wären die Vorteile, wenn man z.B. unterschiedliche

DNS-Namensräume haben möchte. Oder unterschiedliche Administratoren

sollen "nur" ihre eigene Domäne verwalten und nur dort der Admin sein.

Mit mehreren Domänen kann man unterschiedliche Kennwortrichtlinien anwenden.

 

Der Vorteil einer Domäne wäre z.B. das man nur eine DNS-Zone/Domäne verwalten muss.

Mit einer Domäne hat man eine bessere Übersicht und leichtere Administration.

 

 

Durch die Migration unserer Server in eine VMware Umgebung die demnächst ansteht hab ich mir überlegt das ganze in einer Win08 Domäne umzusetzen:

 

Ich würde auch gleich Windows Server 2008 empfehlen.

 

 

- Meine Überlegung ist nun eine neue Domäne firma.de anzulegen die Computerkonten und Konten unseres Standorts enthält(Migration von unserer Win2k3 Domäne mittels ADMT)

 

Genau. Aber denke daran, DCs können mit keinem Tool migriert werden. Diese müssen aus der alten Domäne zuerst herunter- und in der neuen Domäne erneut Heraufgestuft werden.

 

 

- Die 3 anderen Firmen möchte ich als untergeor. Domänen einbinden, nach der Struktur z.b kassel.firma.de, hamburg.firma.de & Stuttgart.firma.de da diese Firmen auch eigene Admins haben die ihrer Domäne eigenständig administrieren können/sollen und ich ggf. von "oben" eingreifen kann.

 

Ich weiß, es ist oftmals ein politisches Problem. Aber was die Administration betrifft, könntest du das gezielter durch die Objektdelegierung erreichen, bei einem Einzeldomänen-Modell. Daher würde ich, wenn es sich nicht um allzu große Umgebungen handelt, auf das Ein-Domänen Modell plädieren.

 

Als Tipp: Wenn in den Aussenstandorten der DC physikalisch nicht sicher steht, solltest du vor Ort RODCs einsetzen.

Link zu diesem Kommentar

Also Kassel hat 180 Clients, Stuttgart 70 & Hamburg 67, wir am Hauptsatz haben knapp 320 Clients.

 

Alle 3 Unternehmen haben ihre eigene vorhanden Serverintrastruktur und sind technisch gut gerüstet , sowie räumlich.

 

Ich hatte ja 3 Möglichkeiten in Betracht gezogen:

 

1. Entweder bleiben die Domänen eigenständig und das ganze über Vertrauenstellungen abwickeln.

 

2. Gesamtstruktur mit untergeor. Domains

 

3. Eine Domain mit zusätzlichen DCs an den jeweiligen Standorten

 

Jeder der Firmen hat mindestens 2 DC´s + versch. andere Server und vorhandene Backupstrategien, da mach ich mir keine Sorgen.

 

Das ist wieder die Qual der Wahl, Punkt 1 kommt aber für mich am wenigstens in Frage da man bei Vertrauenstellungen wieder das Problem der Gruppenverschachtelung hat(für mich aufwenig).

 

Bleibt noch Punkt 2 oder 3, bleibt vielleicht noch zu erwähnen das alle Firman über 10Mbit Interconnect Leitungen an unseren Standort angebunden werden.

 

Für meinen Teil ist das ganze Neuland und eine tolle Herausforderung.

 

Das Virenschutzproblem stellt sich für mich nicht da wir Symantec System Management im Einsatz haben und auch die Verteilung kein Problem darstellen würde, Updates könnte man z.b von unseren WSUS mit dere WSUS synchen, aber da bin ich vielleicht etwas zu blauäugig :-)

Link zu diesem Kommentar

Vorzuziehen, wie von Daim schon angesprochen, wäre Variante 3.

Hast du denn die auch schon angesprochenen politischen Probleme beim Design deiner Struktur?

Baust du die neue Struktur alleine auf oder sind in dieses Prozess auch die Admins der anderen Gesellschaften involviert?

 

Für meinen Teil ist das ganze Neuland und eine tolle Herausforderung.

Und genau das ist die Stelle, wo man mit sehr viel Vorsicht an so ein Projekt herangehen sollte und vielleicht sogar ein wenig Budget in externe Unterstützung investieren sollte / könnte.

Link zu diesem Kommentar

Ich würde ganz klar bei ca. 640 Clients auf das Ein-Domänen Modell migrieren.

Dann bräuchtest du in den Standorten nicht zwei, sondern je einen DC aufstellen. Das spart Hardware- sowie Lizenzkosten. Die DCs können dann natürlich noch weitere Aufgaben wahrnehmen.

 

Das Problem bei diesem Vorhaben ist dabei eben der Faktor "Mensch". Denn es müssen nicht alle IT-Mitarbeiter Domänen-Admins sein. Du kannst Berechtigungen im AD exakt delegieren. Somit beschneidet man die ITler von Ihren gewohnten Rechten. Aber SIE wurden schließlich von euch übernommen. ;)

 

In den Aussenstandorten würde ich jeweils einen RODC aufstellen, der zusätzlich noch weitere Aufgaben übernehmen kann. In der Zentrale würde ich dann zwei beschreibbare Windows Server 2008 DCs aufstellen.

 

Yusufs Directory Blog - Read-Only Domain Controller (RODC)

http://blog.dikmenoglu.de/PermaLink,guid,9ccc45e9-65f7-4ad5-977c-b8003248679a.aspx

 

Siehe auch:

Yusufs Directory Blog - Objektdelegierungen einrichten

 

 

Für meinen Teil ist das ganze Neuland und eine tolle Herausforderung.

 

Das ist eine tolle, aber auch anspruchsvolle Herausforderung.

Du solltest dir dabei über externe Hilfe Gedanken machen.

Link zu diesem Kommentar

Also ich bin seit der NT4.0 Welt dabei, Erfahrung bezg. der Thematik habe ich wohl genug, das einzige was für mich neu ist sind Gesamtstrukturen mit untergeo. Domains.

 

Zeitdruck habe ich zum Glück nicht, da gibt mir die GL frei Hand und das ganze wird erst im Frühjahr 2009 umgesetzt da bei uns erst die Konsolidierung der Server in eine VMware Umgebung ansteht, erst wenn das abgeschlossen ist kann ich überhaupt an eine Windows 2008 Domäne denken, voher stehen nämlich noch kleine Projekte wie Update von Domino 7 auf 8 an :cry:

 

Ich werde das wohl wie folgt machen:

 

2 DC in VMware Umgebung, 1 DC der auch als GlobalC als phys. Server, alles 2008) als Ein-Domänen-Modell, anschließend Migration der User & Computer aus unserer Win2k3 Domain in die Window 2008 Domain( wobei ich mich Frage, werden anschließend auf den Clients neue Profile erstellt oder bleiben die alten erhalten(werd ich wohl in VMware Testumgebung durchspielen müssen).

 

Danach Schritt für Schritt alle andere Firmen migrieren, jeweils an den Standortorten 2 DC, wobei einer als global Katalog laufen sollte?

 

Anschließend in Urlaub gehen und vielleicht Gärtner werden :D

 

Danke für eure Antworten !

Link zu diesem Kommentar
...voher stehen nämlich noch kleine Projekte wie Update von Domino 7 auf 8 an :cry:

 

Na das geht doch mit links. ;)

 

 

2 DC in VMware Umgebung,

 

DCs in VMs kann man machen, wobei ich ein Freund davon bin, die Infrastrukturdienste direkt auf physikalischen Maschinen laufen zu lassen.

Aber das ist eher eine Glaubensfrage.

 

Achte aber dabei für die Zukunft auf das Handling mit VM-DCs. Lies dir dazu die folgenden Artikel/Whitepaper durch:

 

Considerations when hosting Active Directory domain controller in virtual hosting environments

Download details: Using Domain Controller Virtual Machines

 

 

1 DC der auch als GlobalC als phys. Server, alles 2008)

 

Du könntest auch auf allen DCs den globalen Katalog aktivieren.

Schaden tut es nicht und die Leitung gibt es ohnehin her.

 

 

( wobei ich mich Frage, werden anschließend auf den Clients neue Profile erstellt oder bleiben die alten erhalten(werd ich wohl in VMware Testumgebung durchspielen müssen).

 

Du solltest das zwar ohnehin vorher testen, aber bzgl. der Profile kann ich dich beruhigen. Das ist doch gerade das schöne an ADMT. Die Profile bleiben alle samt erhalten. Der Benutzer merkt quasi nichts davon.

 

Siehe:

Yusufs Directory Blog - Benutzermigration mit ADMT v3: How-To

Yusufs Directory Blog - ADMT Version 3.1

 

 

Danach Schritt für Schritt alle andere Firmen migrieren, jeweils an den Standortorten 2 DC, wobei einer als global Katalog laufen sollte?

 

Wie gesagt, in den Aussenstandorten würde ich je einen RODCs platzieren.

Nur in der Zentrale sollten zwei beschreibbare 2008er DC vorhanden sein.

Den globalen Katalog kannst du ruhig auf allen DCs aktivieren.

 

 

Anschließend in Urlaub gehen und vielleicht Gärtner werden :D

 

Ich würde eher Auswandern. :D

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...