vorhandene AD domain als subdomain an einer neu zu erstellenden hauptdomain anhängen

[audax 0]

Hallo Community,

 

eins vorweg. Mein letzter Post hier liegt schon Jahre zurück, dass ich sogar ein neues Login generieren musste.

Ich habe Schwierigkeiten, den richtigen Suchbegriff in Google oder in diesem Forum zu generieren :-)

 

Also:

ich habe eine AD Domäne Stadt1.Firmenname.de. Hier drin sind zwei OUs, die dann wiederum Stadt1 und Stadt2 heißen. Darüber hinaus kommen in den nächsten Monaten noch mindestens 2 weitere geographische Standorte Land2 und Land3 hinzu.

Ich möchte folgendes erreichen:

 

1. Die Haupt Domäne soll nun nur noch Firmenname.local oder .intern heißen.

2. Die jetzt vorhandene Stadt1.Firmenname.de soll dann als Subdomäne von Firmenname.local eingehängt werden

3. Die beiden neuen geogr. Standorte sollen je als weitere Subdomäne an Firmenname.local angehängt werden

4. Die Subdomäne Stadt1.Firmenname.local soll auf allen anderen Subdomänen Rechte erhalten. Umgekehrt nur nach Bedarf.

5. Die Admins der anderen Sub-Domänen dürfen nur in deren eigener Domäne herumdoktern. Ausnahme - Stadt1.Firmenname.local

 

 

Frage: Ist das so, wie ich es mir vorstelle, eine vernünftige Lösung in Bezug auf administrativem Komfort und Sicherheit? Kann ich denn speziell Punkt 2 überhaupt realisieren? Land1 ist im Übrigen China, da ist das Vertrauen erst noch herzustellen. Deshalb halt das gesteigerte Sicherheitsbedenken.

 

 

Vielen Dank an Euch für einen angenehmen 5 Punkte Plan ;-)

 

Gruß

 

Audax

[NorbertFe 2.016]

Mit den paar Infos kann man nur mit: kommt darauf an. Antworten. Was genau willst du denn erreichen? Grundsätzlich kann man natürlich eine domänenstruktur erweitern und umgestalten. Allerdings sollte man dazu sehr genau die Anforderungen definieren und erst dann anfangen.

[NilsK 2.921]

Moin,

 

ein paar Dinge kann man generell schon sagen - wobei Norberts Antwort völlig zutrifft: Ohne Diskussion der Anforderungen kann man sowas nicht ernsthaft beurteilen. Und das ist kein geeignetes Thema für ein Forum.

 

Grundsätzlich rät man heute (= seit zehn Jahren oder mehr) davon ab, überhaupt mit Multi-Domänen-Strukturen zu arbeiten - es sei denn, es gibt handfeste Gründe dafür.

 

[Welches Domänenmodell ist das Beste für Active Directory? | faq-o-matic.net]
http://www.faq-o-matic.net/2007/06/09/welches-domaenenmodell-ist-das-beste-fuer-active-directory/

 

Die vorhandene Domäne kannst du nicht nachträglich unter eine andere Domäne hängen. Das erfordert eine vollständige Migration aller Objekte in eine neue Domänenstruktur.

 

Was den Rest betrifft: Siehe Norbert ...

 

Gruß, Nils

[audax 0]

Ok. Klingt auf jedenfall so, wie ich es befürchtet habe. Ich hätte am liebsten auch nur eine Domäne mit OUs und fertig.

Ich werde die Tage mal versuchen, die Anforderungen zu Papier zu bringen und mich dann hier wieder melden.

 

Danke Euch beiden und auch danke für den Link

 

 

Gruß

[zahni 550]

Und nicht vergessen: Pro Sub-Domäne braucht man mindestens einen DC bzw. 2 wegen der  Ausfallsicherheit.

[lefg 276]

 

Ok. Klingt auf jedenfall so, wie ich es befürchtet habe.

 

Hab keine Angst. :)

 

Wie die Kollegen schon schrieben, man lasse die Finger weg von Subdomains! Sowas fällt einem später auf die Füsse.

[Doso 77]

Ich möchte noch anmerken das Domänen mit .local oder .intern eine schlechte Idee sind.

[zahni 550]

Warum? 

Microsoft ist sich da wohl nicht ganz einig:

 

https://en.wikipedia.org/wiki/.local

 

mDNS scheint jetzt auch in Windows 10 implementiert zu sein...

 

Ich grösseren, MAC-Freien, Netzen, dürfte das eher kein Problem sein. Zumindest bei uns nicht.

[DocData 85]

Der Trend ist seit Jahren auf Split-DNS oder Subdomains, wie z.B. ad.firmenname.de zu setzen.

[lefg 276]

Der Trend ist seit Jahren auf Split-DNS oder Subdomains, wie z.B. ad.firmenname.de zu setzen.

 

Wo ist dieser Trend beobachtbar?

[NorbertFe 2.016]

In vielen vielen Kundenumgebungen in denen sich viele der hier schreibenden User rumtreiben.

[NilsK 2.921]

Moin,

 

die Diskussion ist ebenfalls schon Jahre alt, ebenso wie der Trend. Da gibt's doch auch was bei Ratiopharm ...

 

[Wie nenne ich mein Active Directory? | faq-o-matic.net]
https://www.faq-o-matic.net/2013/06/24/wie-nenne-ich-mein-active-directory/

 

[Welcher Name ist der beste für eine AD-Domäne? | faq-o-matic.net]
https://www.faq-o-matic.net/2007/06/08/welcher-name-ist-der-beste-fuer-eine-ad-domaene/

 

Gruß, Nils

[audax 0]

Wow,

ne Menge Output. Danke erst einmal dafür an alle.

 

Ich persönlich würde auch am liebsten das AD mit PUNKTFIRMA enden lassen wollen. Wer braucht schon .de .local. intern .etc?

 

Ich bin aber "neu hier" :-) und hab deshlab leider noch nicht ALLE Infos erhalten.

Nur soviel weiß ich schon:

 

- wir haben einen Standort in DE mit etwas über 500 Benutzern, eigener EDV Abteilung (wo ich auch drin bin) und Lotus Domino als Mailsystem.

- Dann haben wir einen Standort in einem asiatischen Land (100 Benutzer) - noch kein AD und noch kein internes Mailsystem (ich ziehe dort auch Domino vor) - die EDV dort besteht aus einem lokalen Admin (kann deutsch)

- ein Standort (ist auf einer Insel), die haben Exchange - ich nehme an, dass die dann auch AD haben. Kenne ich aber gar nicht, hab ich auch gar keine Verbindung hin. Die EDV besteht dort aus einem ext. Dienstleister (den ich nicht kenne)

- EIn Standort mit 50 Benutzer (auch Baguettes gibt es hier) hat ?? - tja ich hab keine Ahnung ob die AD haben und welches Emailsystem

 und dann gibt es noch ein paar kleinere Standorte.

.

An allen Standorten ist eine Site-to-Site VPN Verbindung zu uns hergestellt.

 

Meine mir selbst gestellte Aufgabe ist, (weil mir die Infrastruktur hier so überhaupt kein sicheres und kontrollierbares Gefühl gibt), eine AD - Infrastruktur zu entwerfen, die zukunftssicher (also Flexibel) ist, Bestmögliche Kontrolle und granulare Delegierung von Aufgaben im AD liefert, und eine einfache aber dennoch sehr sichere Steuerung von Zugriffsrechten auf Freigaben. Das Ganze soll auch über VPN untereinander funktionieren.

 

Ich vermute, dass die Inselaner keine Lust haben werden, Ihr Outlook gegen einen Notesclient auszutauschen, demnach wäre auch zu überlegen, ob die AD Erweiterung von Exchange auf Alle oder nur auf das AD derer ausgedehnt wird.

Die Asiaten sollten evtl. nicht auf Freigaben zugreifen. Hier wäre evtl. eine Brücke über ein sicheres Datenaustauschtool (z.B. SSP Europe, Brainloop etc.) denkbar.

[NilsK 2.921]

Moin,

 

OK, leistbar. Aber nicht ad hoc. Und nicht ohne auf der organisatorischen Ebene die Anforderungen zu klären. Und auch nicht, ohne mit den anderen Einheiten zu sprechen.

 

Wenn du keine Erfahrung mit sowas hast - sowohl technisch als auch organisatorisch -, empfehle ich dringend, einen kundigen Berater einzubinden.

 

Gruß, Nils

[audax 0]

Und wie so oft ist der erste Schritt die Unterstützung aus der GF holen :-)

 

Danke an alle.