Neues Active Directory, Domain Forest und Domain Controller

[Scorp1337 10]

Hallo zusammen,

ich habe hier jetzt das erste Mal den Fall, dass ich ein gänzlich neues, komplexes System aufsetzen muss. Dabei sind mehrere Firmen/Domain-Namen involviert, es soll aber nur ein "System" dahinter stecken...

Meine Idee war jetzt, dass ich einen Forest, mit mehreren Domains (pro Firma) erstelle. Die Dienste wie Fileserver, Exchange und Terminalserver sollen dann von einer "extra" Domain innerhalb des Forest betrieben werden. Die Konstellation soll also so aussehen wie im Bild angegeben...sodass die User der Firmen-Domains die Server der intern-Domain nutzen können (so z.B. nur eine Exchange Lizenz).

Den ersten Domaincontroller mit DNS und der Domain intern.mustermann.de habe ich aufgesetzt, da fällt mir Problem auf (und da kommt auch schon meine Frage):
Brauche ich für jede Domain im Forest eigene Domaincontroller (normal ja 2)?

Gruß
Scorp

[NilsK 2.785]

Moin,

 

ja, natürlich braucht jede Domäne eigene Domänencontroller, und zwar redundant.

 

Normalerweise vermeidet man es, in solchen Fällen Multi-Domain-Forests zu bauen. Was ist bei dir der Grund dafür?

 

[Welches Domänenmodell ist das Beste für Active Directory? | faq-o-matic.net]
http://www.faq-o-matic.net/2007/06/09/welches-domaenenmodell-ist-das-beste-fuer-active-directory/

 

Gruß, Nils

[Scorp1337 10]

Normalerweise vermeidet man es, in solchen Fällen Multi-Domain-Forests zu bauen. Was ist bei dir der Grund dafür?

 

Welche Fälle meinst du denn jetzt damit?

 

Mein Grund wäre z.B. die Anmeldungen für die Benutzer "möglichst" verständlich zu haben (Firma-1\mm01 und Firma-2\mm01 für die gleiche Person, die in beiden tätig ist) und die Inhalte der Domains logisch trennen zu können.

 

Gruß

Scorp

[zahni 521]

Den Usern ist  es normalerweise  egal, wo sich anmelden. Ich würd Emir an Deiner  Stelle  Gedanken machen, warum die Domänen in einen Forest  sollen und  ob die  Anforderungen  nicht  auch anders lösen kann.

Zumal die Dienste in den Domänen sowieso auf gemeinsamen Servern laufen sollen (wenn ich das  richtig verstanden habe).

U.U Würde ich hier Gruppen vorziehen, die man in einem Multidomain-Modell so oder so auch braucht.

[NilsK 2.785]

Moin,

 

lies mal den verlinkten Artikel. Nur aus solchen optischen (und evtl. logischen) Gründen mehrere Domains zu bauen, ist Overkill. Du bist u.U. gerade dabei, einen großen Designfehler zu machen.

 

Gruß, Nils

[Scorp1337 10]

Artikel gelesen  :thumb1:

Den Usern ist es nicht egal, dass sie sich 5 Benutzer und 5 Passwörter merken müssen die alle sehr ähnlich, gar nur durchnummeriert sind. Aktuell gibt es hier 2 Domänen in eigenen Forests. Mit je einem Exchangeserver. Für den einen Exchangeserver hat manch ein User hier 3 bis 4 Accounts (pro Firma) und dann eben noch ein Account für den anderen Server. Die User sehen gar nicht durch... allerdings ist es auch historisch so gewachsen ( :suspect: ich kam erst hier rein und darf jetzt aufräumen/resetten).

 

Am liebsten wäre mir wohl die Flache Gesamtstruktur, allerdings zweifle ich daran ob der Aufwand sich lohnt.

[Dukel 436]

Wieso gibt es mehrere Firmen, die auf die selben Ressourcen zugreifen sollen?

Wie wäre es mit einer Domäne, die vom Namen mit keiner der Firmen zu tun hat (z.B. corpdir)?

Wie groß sind die Firmen?

[zahni 521]

Glaube  mir: Der Aufwand mit den vielen Domänen ist deutlich größer, als ein Gesamtkonzept zu erarbeiten, dass auf einer Domäne basiert.

Wenn Du ein Konzept hast, wird vieles einfacher und klarer. Dieses Konzept kannst DU dann allen Beteiligten vorlegen und entscheiden, ob es so passt.

Du willst nicht wirklich pro Domäne 2 DC's betreiben.

 

Im AD gibt es übrigens noch so was wie OUs...

 

[Scorp1337 10]

Ein Chef, viele Firmen :)
Deswegen übrigens auch das Mustermann.de - Mustermann ist kein Firmenname, sondern der Nachname meines Chefs.


Bei den Firmen variiert die MA Zahl zwischen 5 und 30. Gesamtanzahl aller MA aber nicht mehr als 50-100 Personen.

[NilsK 2.785]

Moin,

 

die Probleme, von denen du berichtest, entstehen aus einem unpassenden Design. Das wirst du nicht lösen mit einem Design, das sehr wahrscheinlich auch nicht passt. Und Multi-Domain passt eigentlich so gut wie nie.

 

Offenkundig ist das "richtige" Design in der Umgebung auch nicht "mal eben" zu entwerfen. Hier wäre es also sinnvoll, sich mal in Ruhe mit jemandem zusammenzusetzen, der sich mit AD-Designs auskennt, und dann die Entscheider des Unternehmens hinzuzuholen. Sonst wird man Technik und organisatorische Anforderungen erfahrungsgemäß nicht in Abstimmung bringen können.

 

Gruß, Nils

[Dunkelmann 96]

Moin,

 

neben Designfragen, Hardware- und Overheadkosten würde ich auch mal einen Blick auf die Lizenzierung werfen.

Bei mehreren Firmen kann da auch das ein oder andere zu beachten sein, selbst wenn alle Firmen 'zufällig' den selben Inhaber oder GF haben.

[daabm 1.184]

...die "großen" gehen gerade dazu über, mehrere getrennte Kunden in einem gemeinsamen AD zu verheiraten - siehe u.a. Azure. Ich gebe meinen Vorrednern uneingeschränkt recht - mach es Dir einfach, eine Domäne reicht :)

[Scorp1337 10]

Ja ich bin inzwischen selbst auch überzeugt. Vielen Dank an Alle soweit!
 

Ansonsten mein Plan:

• Gruppen/OUs für die Rechteverteilung und Zuordnungen
• 1 oder 2 Fileserver mit DFS mit unterschiedlichen Partitionen pro Firma (ggf. Projekt)
• Vorerst nur 1 Terminal-Rechner
• Exchange mit Aufteilung der Firmen pro Datenbank
• für die Sicherung der Mails will ich wieder das System von bisher nehmen: MailStore; Dabei kann man bei der Sicherung angeben in welche Datenbank gesichert wird

Soweit so gut. Firewall wird eine gekaufte/lizensierte Hardware-Appliance inkl. Virenscanner.

Und jetzt der Knackpunkt: das Ganze soll alles unter VMware laufen. Kommentare oder Einwände?

Gruß
Scorp

bearbeitet 28. Januar 2015 von Scorp1337

[NorbertFe 1.799]

Mailstore ist doch ein archivsystem und keine Sicherung, oder hab ich das falsch im Kopf?

[Dunkelmann 96]

Ja ich bin inzwischen selbst auch überzeugt. Vielen Dank an Alle soweit!

 

Ansonsten mein Plan:

• Gruppen/OUs für die Rechteverteilung und Zuordnungen
• 1 oder 2 Fileserver mit DFS mit unterschiedlichen Partitionen pro Firma (ggf. Projekt)
• Vorerst nur 1 Terminal-Rechner
• Exchange mit Aufteilung der Firmen pro Datenbank
• für die Sicherung der Mails will ich wieder das System von bisher nehmen: MailStore; Dabei kann man bei der Sicherung angeben in welche Datenbank gesichert wird

Soweit so gut. Firewall wird eine gekaufte/lizensierte Hardware-Appliance inkl. Virenscanner.

Und jetzt der Knackpunkt: das Ganze soll alles unter VMware laufen. Kommentare oder Einwände?

 

Gruß

Scorp

Welchen Mehrwert (= Nutzen für das Business) erhoffst Du Dir von

• verschiedenen Partitionen auf dem File Server je Firma?
• der Aufteilung des Exchange und Backup nach Firmen?

Bevor Du Dich für konkrete Lösungen (Hardware, Hypervisor, Software, Konfiguration) entscheidest, solltest Du zunächst die konkreten Anforderungen sammeln und ein kleines Lastenheft erstellen.