Zusätzlicher Domänencontroller oder untergeordnete Domäne?

[Pycoos 10]

Sehr geehrte Forum-User!

 

Bin seit längerem Systemadministrator in einem Unternehmen tätig. Bisher hatten wir einen Windows 2003 Server der unsere Firma versorgt hat. Nun kommen zu unserer Firma 5 Standorte zum Hauptstandort dazu welche ebenso mit jeweils einem W2K3 Server ausgestatten werden sollen. Da ich Standortübergreifend relativ unerfahren bin, würde ich auch um euren Rat bieten.

 

Am Hauptstandort werde ich einen 2 Server (BDC) als Mitgliedsserver aufstellen um bei einem Ausfall noch arbeiten zu können.

 

Nun stellt sich die Frage wie ich die anderen 5 Server an den 5 Standorten konfigurieren soll. Soll ich diese ebenso als Mitgliedsserver "Zusätzlicher Domänencontroller für eine bestehende Domäne" oder doch lieber als "untergeordnete Domäne in einer bestehenden Domänenstruktur" erstellen?

 

Was sind die Vor- und Nachteile der beiden möglichen Varianten. AD sollte jedoch bei beiden Varianten repliziert werden, also an allen 5 Standorten gleich, oder doch nicht?

 

Hardwaremäßig sind alle Server gleich, DELL PowerEdge 1600SC.

 

Danke im Voraus für eure professionelle Meinung dazu.

 

MFG

Pycoos

[Bratpfannenwels 10]

Hallo Pycoos!

 

Das ist glaube ich für Uns sehr schlecht zu entscheiden, da wir sehr wenig über Dein Unternehmen wissen. Ich kann Dir 2 Dinge raten.

So wie sich das anhört, würde ich die anderen integrieren, alaso in eine bestehende Domänenumgebung hinzufügen. Da Du als übergeordneter ja auch weiter Deine Hand am Hauptstandort drauf haben musst(oder?).

 

Allerdings letztendlich usst Du entscheiden. Dazu rate ich Dir die Win2000 Sicherheitsrichtlinie(lese ich selber gerade) gibt es bestimmt auch schon in 03 Version. Gut zu verstehen und Du kommst auch den ersten 100 Seiten schnell zu einer Antwort.

 

Ausserdem wenn Du Deinen Job magst, absolute Pflichtlektüre ;)

MfG

[wedi 10]

Hi Bratpfannenwels,

 

 

Die Domain ist eine Sicherheitsgrenze; die Passwort-Securities werden auf Domain-Ebene erstellt; wenn Du da unterschiedliche Anforderungen hast, denke ich mal, dass Du eigene Domains benötigst.

 

Wenn es keine zwingenden Gründe für diese Sicherheitsgrenze gibt, dann würde ich mit Standorten in einer Domain arbeiten bzw. mir dies einfach mal durch den Kopf gehen lassen.

 

Vielleicht hilft Dir dies ein bischen als Ansatz, da nur Du Eure Anforderungen kennst.

 

 

 

Gruss Dieter

[kobalt 10]

Hallo Pycoos,

 

wie Bratpfannenwels schon sagte, bräuchten wir für einen fundierten Rat eigentlich wesentlich mehr Informationen.

 

Immer zu beachten sind folgende Punkte (ohne Anspruch auf Vollständigkeit :p ):

- Leitungsgeschwindigkeiten zwischen den Standorten

- Wer braucht Zugriff worauf?

- Ist ein einheitliches AD-Schema nutzbar oder bestehen unterschiedliche Anforderungen (dann bräuchtest Du sogar verschiedene Gesamtstrukturen)

- Wer macht die Verwaltung? Gibt es an jedem Standort IT-Personal?

 

Etwas Bauchschmerzen hätte ich bei der Anzahl der Server. Wenn in jedem Standort nur ein DC steht (der wohl auch noch alle anderen Aufgaben im Netz übernehmen soll?) stellt sich die Frage, was passiert wenn der ausfällt.

Wenn Du an jedem Standort eine Domäne machst, dann sind die Computer- und Benutzerkonten von jedem Standort auch nur auf diesem DC verfügbar. Fällt der aus, kann keiner mehr im Netz arbeiten bis er wieder läuft.

Wenn Du nur eine Domäne machst, können alle noch weiter arbeiten, weil in den anderen Standorten noch DCs zur Verfügung stehen. Das muss deine WAN-Leitung aber auch mitmachen.

 

Bitte wie gesagt nicht als Lösungsvorschlag auffassen, nur als Anregung!

 

Gruss kobalt

[sch4k 10]

Unter der Vorraussetzung das du eine gute Anbindung hast der anderen standorte würde ich dir empfehlen alle in eine domain zu legen als zusätzliche domain controller und auf jeden von ihnen einen gc , aber wie gesagt kommt auf die anbindung drauf an !

Und für jeden standort dann eine eigene OU erstellen.

Wieviele mitarbeiter sind denn pro standort ?

Wie hoch ist der netztraffic / user ?

 

Zum Thema Sicherheitsrichtlinien... würd ich mich an deiner stelle echt mal schlau machen, denn sowas kann der bin die hose gehen, weiss ich aus eigener erfahrung.

Vorallem wenn du unterschiedliche Policys erstellt hast in den standorten und sie dann alle unter einen hut zu bringen....

[Pycoos 10]

Danke zunächst für das rasche Feedback. Bin richtig überwältigt von der Anzahl der Antworten :D

 

Noch ein paar Infos zur Struktur:

An 4 Standorten sind je 10 Mitarbeiter tätig (xDSL Anbindung)

An 1 Standort sind 4 Mitarbeiter tätig (DSL Anbindung)

 

Wir sind eine EDV-Abteilung mit 2 Mitarbeitern, welche ihren Sitz am Hauptstandort hat, also auch der Wunsch das Ganze von dort aus zu administrieren.

 

Zum Netzwerktraffic: In der Zentrale sind wie gesagt 2 Server die alle Standorte mit Exchange-Groupflow und Mail Funktionen und Firmendatenbank (SQL Server 2000) versorgen sollen. Die beiden Server sind also ident bis auf die Tatsache das einer eben der PDC ist und der andere der Mitgliedsserver ist.

 

Ich möchte eine Netzwerkstruktur haben wo sich jeder Mitarbeiter an jedem Standort anmelden kann (dies ist aber äußerst selten der Fall, daher ist es nicht notwendig, dass das Profil und die Userdaten auf jedem Server vorhanden sind, sprich die xDSL Leitung hält das sicherlich aus). Sicherheitsspezifisch möchte ich ein AD, wo ich über OrganizationUnits die Mitarbeiter pro Standort einteile umso über Gruppenrichtlinien die notwendigen Einstellungen vorzunehmen. Was eventuell auch relevant ist, ist die Tatsache das wir ein Firmenintranet (ASP, ASP.NET) haben welches über die WindowsAuthentifizierung den User authentifiziert. Die Frage ist ob das mit der Authentifizierung auch so klappt wenn ich Subdomänen vewende.

 

Danke im Voraus für euer weiteres Feedback.

 

Mit freundlichen Grüßen

Pycoos

[zuschauer 10]

Hi !

@kobalt: Da stimm ich mit Dir in allen Punkten überein ! :wink2:

 

@Pycoos: Ein Subdomain-Konzept dürfte bei Deiner Konstellation mehr Aufwand als Vorteile bringen. Vorteile eines SubDomain-Konzeptes dazu fallen mir da, ehrlich gesagt, auch momentan nicht ein.

 

Zu Deinen Fragen: Mit den xDSL und DSL-Geschichten (=ADSL ?) bist Du automatisch abhängig von externen Providern, auf deren Zuverlässigkeit Du keinen direkten Einfluß hast.

 

Wenn Du eine relativ flache Struktur aufbaust, was bei der Anzahl der User kein Problem sein sollte, ist die Authorisierung auch kein Problem, wenn die WAN-Strecke mal 24-48 Stunden wegfällt, da in jedem Standort ein DC vorhanden ist.

 

Von einem Forrest würde ich bei Deiner Konstellation auf jeden Fall abraten.

[ChristianHemker 10]

Hallo,

 

wenn ich mal ein Buch empfehlen darf, das dir bei der Planung bestimmt helfen wird:

http://www.edv-buchversand.de/edv-buch/catalog.nsf/vaw3ProductsByKey/MS-419

[Velius 10]

Die von MS Empfohlene Variante ist ja ein Forest mir einer leeren Root- Domain, und der eigentlichen Domain (Sub-Domain), und das aus Sicherheitsgründen.

 

Subdomänen machen im Allgemeinen bei unterschiedlichen Passwortrichtlinien sinn, denn diese gelten für eine ganze Domäne einmal, und werden auch durch "keine Vererbung" nicht unterbrochen.

 

 

Ich würde in deinem Fall das ganz durch zusätzliche Sites managen. Damit kann auch die Replikation bandbreitenmäsig in einem angemessen Rahmen gehalten werden.

 

 

Greetz

Velius