Pretender 10 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 Hallo zusammen, unser Unternehmen bekommt in Form von 2 Tochtergesellschaften zuwachs. Nun soll dementsprechend die Struktur angepasst werden. Bisher existierte nur eine SBS Domain. Eine Vertrauensstellung zu neuen Domänen ist damit ja per Definition nicht möglich. Es gibt nun 2 Möglichkeiten: Entweder den SBS mit einem Transition Pack in einen normalen Server 2003 mit Exchange 2003 wandeln, oder aber den SBS abschaffen und gänzlich auf Exchange 2007 umsteigen. Weiterhin soll der Exchange Server nicht alleine durch die "Mutter" genutzt werden, sondern auch durch die beiden Töchter. Meine Vorstellung nach einem kurzen Brainstorming war in diesem Zusammenhang: Root Domäne wird die Domain root.local, in der werden die beiden Fileserver der "Unternehmensgruppe" und der Exchange stehen. In den Subdomänen A,B, C werden die Mutter (A),Tochter 1 (B) und Tochter 2 © liegen. In den Subdomänen liegen die Terminalserver und Applikationsserver der jeweiligen Unternehmen. Wäre Eurer Meinung ein derartiges Konstrukt möglich bzw. sinnvoll? Kosten für Lizenzen und Hardware bitte einfach außer acht lassen. Lasst euren Meinungen bitte einfach freien Lauf ;) Grüße, Pretender Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 Moin, Bisher existierte nur eine SBS Domain. Eine Vertrauensstellung zu neuen Domänen ist damit ja per Definition nicht möglich. exakto mundo. Root Domäne wird die Domain root.local, in der werden die beiden Fileserver der "Unternehmensgruppe" und der Exchange stehen. In den Subdomänen A,B, C werden die Mutter (A),Tochter 1 (B) und Tochter 2 © liegen. In den Subdomänen liegen die Terminalserver und Applikationsserver der jeweiligen Unternehmen. Das Konstrukt kann man machen. Aber was war der Grund für dieses Design? Über das Design einer Gesamtstruktur kann man viel diskutieren. Bei dem Design muss wie so oft - das Ziel - klar vor Augen sein. Was will man erreichen? Bei deinem vorgeschlagenen Design hättest du also am Ende vier Domänen in einer Gesamtstruktur. Eine Root-Domäne und weitere drei Sub-Domänen, vermutlich die auf gleicher Ebene sind. Wer administriert denn die Root- sowie Sub-Domänen? Ist es die gleiche IT-Abteilung oder haben die Sub-Domänen ihre eigenen EDV-Leute? Falls es die gleichen EDVler sind, die die Root- sowie Sub-Domänen administrieren, wäre ein Single-Domänen Forest für die Administration das einfachere Design. Ist hier eine hohe Sicherheit gefragt? Dann könnte man die Ressourcen in eine eigene Gesamtstruktur stecken, so das also zwei Gesamtstukrutren die mit einer Gesamtstrukturvertrauensstellung (von mir aus mit einer selektiven Authentifizierung) verbunden wären. Bei deinem Design steckst du die File-Server (neben dem Echange-Server) in die Root. Bei diesem Design trifft man in der Praxis oftmals den Fall, dass gerade die Root-Domäne leer ist, sich also dort ausser den beiden Root-DCs nichts befindet. Aber natürlich kann man dort die File-Server plazieren, damit alle Sub-Domänen darauf Zugriff haben. Ich schreibe mal ein paar Punkte auf, die mir in den Sinn kommen. Der Nachteil bei mehreren Domänen wären: - Bei mehreren Domänen ist der adminstrative Aufwand Updates,Virenscanner usw.) höher, da auch jede Domäne zwei DCs haben sollte. - Dadurch entstehen hohe Hardware- sowie Lizenzkosten. - Jeder DC sollte/muss vor Ort physikalisch geschützt sein. - Jede Domäne muss gesichert werden (Backup). Bei mehreren Domänen wären die Vorteile: - Wenn man z.B. unterschiedliche DNS-Namensräume haben möchte. - Oder unterschiedliche Administratoren sollen "nur" ihre eigene Domäne verwalten und nur dort der Admin sein. - Mit mehreren Domänen kann man unterschiedliche Kennwortrichtlinien anwenden (was mit Windows Server 2008 obsolet ist). Der Vorteil einer Domäne wäre z.B.: - Das man nur eine DNS-Zone/Domäne verwalten muss. - Mit einer Domäne hat man eine bessere Übersicht und leichtere Administration. Ich persönlich tendiere gerne zu dem Einen-Domänen-Modell (Single-Domain Forest), aber das kommt immer auf die Gegebenheiten darauf an. Evtl. solltet ihr euch dazu einen Dienstleister zur Seite holen, mit dem ihr zusammen die Randbedingungen absteckt. ... to be continued. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 Was ich aber auch für sehr wichtig halte, ist die Namenskonvention der Domänen. Denn was passiert, wenn die Firma übermorgen erneut firmiert oder verkauft wird? Soll dann nur wegen dem Namen die Struktur neu aufgebaut werden? Für die Wahl des Domänen-Namens, gibt es ebenfalls mehrere Varianten: 1. Der Active Directory-Name lautet so wie die Internetdomain. 2. Der Active Directory-Name ist eine Subdomäne zum externen Internet-Auftritt. Bedeutet, wenn der Inet-Auftritt "Contoso.com" lautet, so wäre der AD-Name "intra.contoso.com". 3. Der Active Directory-Name ist ein anderer als die Inet-Domain z.B. contoso.local usw. Sogar die Endung LOCAL kann zu Problemen führen, denn damit könnten Probleme mit Apple-PCs auftreten. Auch wäre es denkbar, dass die Endung LOCAL offiziell wird (sowie info, biz usw.). 4. Oder der Webauftritt lautet contoso.de und die interne AD-Domäne lautet contoso.net. Dabei sollten natürlich beide Domains beim ISP registriert werden. 5. Die TLD AA, ZZ und die Bereiche QM–QZ und XA–XZ. ISO 3166 – Wikipedia 6. Es wird ein abstrakter Name gewählt, der nicht unbedingt eins zu eins dem Firmennamen lautet. Darüber sollte m.E. nachgedacht werden. Wäre Eurer Meinung ein derartiges Konstrukt möglich bzw. sinnvoll? Möglich ist es, man muss die Anforderungen abwägen. Kosten für Lizenzen und Hardware bitte einfach außer acht lassen. Einwandfrei. So macht das am meisten spass. ;) Zitieren Link zu diesem Kommentar
Pretender 10 Geschrieben 23. April 2008 Autor Melden Teilen Geschrieben 23. April 2008 @Daim: Erst einmal danke für deine "knappen" ( ;) ) Ausführungen. Einwandfrei. So macht das am meisten spass. Das ich die Kosten außer acht lassen will, hat eher damit zu tun, dass ich gerne möglichst viele Aspekte betrachten möchte und nicht durch den "schnöden Mammon" in den Sichtweisen eingeengt werde. Wer administriert denn die Root- sowie Sub-Domänen? Ist es die gleiche IT-Abteilung oder haben die Sub-Domänen ihre eigenen EDV-Leute? Falls es die gleichen EDVler sind, die die Root- sowie Sub-Domänen administrieren, wäre ein Single-Domänen Forest für die Administration das einfachere Design. Administrator bin aktuell ich, in der Zukunft kommt ein weiterer MA hinzu. Ist hier eine hohe Sicherheit gefragt?Dann könnte man die Ressourcen in eine eigene Gesamtstruktur stecken, so das also zwei Gesamtstukrutren die mit einer Gesamtstrukturvertrauensstellung (von mir aus mit einer selektiven Authentifizierung) verbunden wären. Eine hohe Sicherheit sollte immer gewährleistet sein. Gerade im Bezug auf die Töchter - die sind in der Rechtsberatung tätig. Da aber 25%-50% der Mitarbeiter der Mutter ebenso bei den Töchtern arbeiten, sollen natürlich möglichst Arbeitsmittel wie der Exchange und der Fileserver global verfügbar sein. Die Zugriffe auf den Fileserver lassen sich ja je nach Zugehörigkeit einschränken. Das Konstrukt kann man machen. Aber was war der Grund für dieses Design?Über das Design einer Gesamtstruktur kann man viel diskutieren. Bei dem Design muss wie so oft - das Ziel - klar vor Augen sein. Was will man erreichen? Bei deinem vorgeschlagenen Design hättest du also am Ende vier Domänen in einer Gesamtstruktur. Eine Root-Domäne und weitere drei Sub-Domänen, vermutlich die auf gleicher Ebene sind. Folgendes soll erreicht werden: 1. User können sich nur in der Child-Domain A,B, C anmelden. Eine Anmeldung an der Root-Domain soll nicht erfolgen. 2. User haben Zugriff auf die Fileserver im Root und können gemeinsam den Exchange nutzen. 3. Kein Trust zwischen den Child-Domains. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 Hallo Pretender Du solltest dir mal den WSSRA (Windows Server System Reference Architecture) reinziehen. Da hat sich Microsoft schon intensive Gedanken gemacht, nach welchen Gesichtspunkten ein Forestdesign zu erstellen ist Windows Server System Reference Architecture sieh dir erstmal die Core services -> DirectoryServices -> Blueprints und Planning Guide an. Dann erkennst du auch, ob du Bedarf an externer Beratung hast oder selbst durchsteigst. Und auch für viele weitere Aspekte deiner IT findest du dort excellente Artikel cu blub Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 3. Kein Trust zwischen den Child-Domains. In einer Gesamtstruktur haben allerdings alle Domains untereinander einen impliziten Trust... Du müsstest dann schon mit verschiedenen Gesamtstrukturen arbeiten. Das hat dann aber wieder Auswirkungen auf eure Exchange Organisation. Christoph Zitieren Link zu diesem Kommentar
Pretender 10 Geschrieben 23. April 2008 Autor Melden Teilen Geschrieben 23. April 2008 @blub: Arbeite mich da schon parallel durch. Danke trotzdem für den Link! :) @Christoph35, Daim: Wenn ich das richtig sehe, dann benötige ich 4 Gesamtstrukturen. Gesamtstruktur A ist quasi der Ressourceforest, also eine dedizierte Exchange-Gesamtstruktur mit einer unidirektionalen ausgehenden Vertrauensstellung zu den Gesamtstrukturen B,C und D. Die Gesamtstrukturen B,C,D enthalten die eigentlichen Konten der User. Zu jedem User der eine Mailbox haben soll, muss dann in A ein verknüpftes Postfach zu den externen Konten erstellt werden. Die Administration ist natürlich deutlich aufwendiger als eine Einzeldomäne, dass ist mir klar geworden. Aber scheint mir persönlich der sauberste Weg, um zumindestens die Unternehmen, wenn auch Töchter, von einander abzugrenzen. Das Ziel einer gemeinsamen Kommunikation wäre damit erreicht. Bliebe natürlich die Frage nach dem Fileserver. Eigentlich sollte dank der unidirektionalen Vertrauensstellung doch da nichts gegen eine Nutzung in der Gesamtstruktur A sprechen, oder ? Vielen Dank an Euch alle schon einmal für Eure bisherigen Bemühungen. Grüße, Pretender Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 Wenn ich das richtig sehe, dann benötige ich 4 Gesamtstrukturen. ... Die Administration ist natürlich deutlich aufwendiger als eine Einzeldomäne, dass ist mir klar geworden. "Aufwändiger" ist leicht untertrieben. Zu zweit administriert ihr euch mit 4 Gesamtstrukturen "zu Tode" cu blub Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 Administrator bin aktuell ich, in der Zukunft kommt ein weiterer MA hinzu. Dann wäre ein Single-Domänen Forest für die Administration das einfachere Desgin. 3. Kein Trust zwischen den Child-Domains. Wie bereits erwähnt ist das so in einer Gesamtstruktur so nicht möglich, ohne das die Struktur "zerschrotet" wird. Denn standardmäßig werden innerhalb einer Gesamtstruktur transitive bidirektionale Vertrauensstellungen erstellt die du nicht ohne weiteres entfernen kannst. Du könntest lediglich mit ADSIEdit "mit Gewalt" den Trust aufheben, aber was passiert dann mit der AD-Replikation? Lange Rede kurzer Sinn.... vergiss es. Die Administration ist natürlich deutlich aufwendiger als eine Einzeldomäne, Und wie! Aber scheint mir persönlich der sauberste Weg, um zumindestens die Unternehmen, wenn auch Töchter, von einander abzugrenzen. Das Ziel einer gemeinsamen Kommunikation wäre damit erreicht. Das kann man machen. Vom Design her, hast du dann ein hohes Maß an Sicherheit. Die Administration erhöht sich dabei erheblich. Denn wenn sich ein Benutzer "irgendwie" höhere Rechte verschaffen sollte, ist lediglich - wenn - dann nur die EINE Gesamtstruktur "in Gefahr" und nicht alle weiteren. Bliebe natürlich die Frage nach dem Fileserver. Eigentlich sollte dank der unidirektionalen Vertrauensstellung doch da nichts gegen eine Nutzung in der Gesamtstruktur A sprechen, oder ? Nein, nichts. Das funktioniert auch. Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 Mich würde mal interessieren, welche Gründe bei euch dafür sprechen, die Domains so von einander zu isolieren. Vor allem vor dem Hintergrund, dass der Fileserver ja doch gemeinsam verwendet werden soll :confused: :suspect: Christoph Zitieren Link zu diesem Kommentar
Pretender 10 Geschrieben 23. April 2008 Autor Melden Teilen Geschrieben 23. April 2008 Das Problem sind eigentlich nur die MA die nicht nur für eine der Gesellschaften sondern für mehrere arbeiten. Die hätten bei einer gänzlichen Trennung mehrere Kalender und E-Mail Accounts zu pflegen, das würde die Produktivität nicht gerade steigern. Daher auch der zentralisierte Exchange-Server in einer dedizierten Gesamtstruktur. Mir schwebte es halt zur Eindämmung der ohnehin schon hohen Anzahl an Serverlizenzen und des administrativen Aufwandes vor, lieber in der Ressourcen/Exchange-Gesamtstruktur einen bzw. 2 Fileserver vorzuhalten (Nutzung von DFS) als für jede der Gesamtstrukturen einen eigenen Fileserver bereit zu halten. Wäre ohne Verwendung von DFS ein Verhältnis von 1:3 Lizenzen und bei Verwendung von DFS 2:6 Lizenzen. Die Freigaben des Fileserver sollten sich doch relativ sicher gestalten lassen, oder? – Alternativ könnte man natürlich auch den SBS 2003 für die Muttergesellschaft belassen. Die Töchter bekommen eigenständige Domänen. Die MA nutzen den Exchange der Mutter über Outlook mit RPC over HTTPS und müssen sich immer mit Kennwort authentifizieren. Administration bleibt bis auf die Exchange-Gesamtstruktur aus der bisherigen Planung weitestgehend auf dem gleichen Level. Dafür benötigt nun jede Tochter einen eigenen Fileserver. Dafür kann im Gegenzug allerdings auf das Transitionpack beim SBS oder eine Migration nach Exchange 2007 verzichtet werden. Ganz rund ist diese Lösung nicht. Noch Meinungen dazu? Grüße, Pretender Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 Mir schwebte es halt zur Eindämmung der ohnehin schon hohen Anzahl an Serverlizenzen und des administrativen Aufwandes vor, lieber in der Ressourcen/Exchange-Gesamtstruktur einen bzw. 2 Fileserver vorzuhalten (Nutzung von DFS) als für jede der Gesamtstrukturen einen eigenen Fileserver bereit zu halten. Warum wählst du dann nicht als Desgin den Single-Domänen Forest? Denn jede Domäne sollte idealerweise auch zwei DCs betreiben. Bildest du aus jedem Unternehmen eine eigene Gesamtstruktur, bräuchtest du idealerweise bei vier Strukturen, acht DCs. Da wäre mir ein Single-Domänen Forest sehr viel lieber. Ich betone, um ein (Fein-) Konzept zu erstellen müsste man sich die ganze Angelegenheit vor Ort anschauen. Daher wäre ein externer Dienstleister evtl. zu rate zu ziehen. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 23. April 2008 Melden Teilen Geschrieben 23. April 2008 noch ein Tipp: zieh dir nicht den Schuh an, die Projektleitung, den Dokumentator und den technischen Spezialisten und die Qualitätssicherung gleichzeitig in einer Person zu spielen. Schätz mal ab, wieviel Manntage du bis zum Projektende erbringen kannst und wieviele Manntage jede einzelne Rolle erfordert cu blub Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.