fschaller 10 Geschrieben 19. Mai 2008 Melden Teilen Geschrieben 19. Mai 2008 EDIT: Bitte entschuldigt vielmals, habe den Sticky Post mit MS Backoffice erst gerade bemerkt *schäm*! Könnte ein Admin den Post moven? Herzlichen Dank. Hallo zusammen! Ich stehe vor folgender Herausforderung: Wir betreiben seit einiger Zeit eine IT-Infrastruktur mit AD, Exchange Server, SQL Server, Terminal Services (inkl. Citrix) etc. Nun hat sich die Situation ergeben, dass zwei weitere Firmen unsere Infrastruktur verwenden möchten (wir sind mittlerweile SPLA-Partner). Dazu möchte ich diese neu aufbauen. Nun habe ich die Möglichkeit eine Domänenstruktur oder Gesamtstruktur zu verwenden. Ziel ist es eigentlich, dass die "Kunden Terminal Services" in ihrem "eigenen" Sub-Netz laufen (selbe Switches, etc. aber über VLAN). Auch sollen gewisse "interne" Server für die Kunden nicht erreichbar sein (das werde ich aber netzwerktechnisch lösen). Idealerweise würden wir dann aber zum Beispiel den Exchange Server, Antivirus- und/oder Backuplösung wieder konsolidiert/zentral verwenden (geht das gut über Gesamtstrukturen?)... Natürlich erwarte ich keine Anleitungen, es geht mir in erster Linie um Eure Meinungen und Erfahrungen, welchen architektonischen Ansatz ich nehmen sollte. Vielleicht reicht ja auch schon eine Domäne mit verschiedenen OUs aus (ich möchte die Benutzer aber gerne auf eine Hosting Domäne splitten). Vielen Dank für Euren Input! Grüsse Frederik Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 20. Mai 2008 Melden Teilen Geschrieben 20. Mai 2008 ob du eine domain in OUs unterteilst oder einen forest in mehrere domains liegt an verschiedenen kriterien...der wichtigste punkt ist wsl die administration. gibt es ein admin team zentral liegt es nahe alles in eine domain zu werfen. aber um nicht ein missverständnis zu verursachen auch innerhalb einer domain kann man administrative aufgaben an andere deligieren... ein zweiter punkt sind die passwort policies die auch pro domain ziehn (außer ihr betreibt das AD schon auf lauter windows server 2k8 DCs)... ein dritter punkt sind die standorte (im AD sites genannt). oft ergibt sich die notwenidgkeit einer eigenständigen domain daran, dass sites schlecht oder fast gar nicht angebunden sind... wenn ich mir deinen post durchlese denk ich mir allerdings ob das der richtige weg ist... die anderen firmen wollen eure AD-struktur "mitnutzen" ? was heißt das? ein zusammenschluss in eine domain oder in einen forest hat auf jeden fall viel mit vertrauen zu tun... man muss sich das immer 10 mal überlegen wen man in seine domäne reinlässt... sicher kannst du per rechte und filter das ganze wieder absichern, aber einen fuß haben diese partner immer in der tür zu deinem AD...das muss dir bewusst sein. Zitieren Link zu diesem Kommentar
fschaller 10 Geschrieben 20. Mai 2008 Autor Melden Teilen Geschrieben 20. Mai 2008 vmorbit, vielen Dank für Deine Antwort! Ich habe sehr ähnliche Bedenken, wie Du! Der Punkt ist folgender: Wir sind Systemintegrator einer ERP-Lösung. Nun haben wir einige Kunden, die der Meinung sind, dass es keinen Unterschied macht, ob wir die Lösung bei Ihnen vor Ort pflegen, oder sie gerade mit der ganzen Umgebung zu uns kommen und dann via Terminal Services arbeiten (die entsprechenden Organisationen sind heute schon sehr dezentral und arbeiten per VPN und Terminal Services). Ich möchte im Firmen AD nur "unsere/meine" Benutzer und keine Benutzer von "fremden" Firmen. Natürlich möchte ich aber die Antivirus-, Backup- und im besten Fall Exchange-Server Infrastruktur für alle gleichsam bereitstellen (natürlich könnte ich das auch pro Kunde tun; eine Konsolidierung macht in meinen Augen aber absolut sinn). Von Tag zu Tag schanke ich zwischen den Lösungen, komplett eigene Domains zu haben oder Gesamtstrukturen zu verwenden. Eine Domänenstruktur habe ich mir nur in Bezug auf den Exchange Server überlegt... vielleicht ist dies dann ein bisschen einfacher. Die Kunden könnten (Domänen-)Admins haben, im Moment wird das ganze aber durch uns administriert - aber wie immer, Begehrlichkeiten kommen später immer und ich möchte dann eigentlich gerüstet sein ;). Mag nicht jemand für mich entscheiden :cool:? Herzliche Grüsse Frederik Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 20. Mai 2008 Melden Teilen Geschrieben 20. Mai 2008 Hallo Zusammen Grundsätzlich ob Du eine Gesamtstruktur machst oder eine Domain pro Kunde bleibt in sich dasselbe. Es ist ein weit verbreiteter Irrtum, dass eine Childdomain praktisch für Problemlösungen dieser Art sind.- Eine Childdomain wird (selbst von MS) nur noch empfohlen, um den Replikationstraffic zu steuern, sonst wird dies mehrheitlich unnötig kompliziert. (50 000 User in einer Domain sind kein Showstopper). Eine Childdomain und der Root haben einen two way trust und es ist sehr einfach sich illegal Enterprise Adminrechten als Domainadmin zu verschaffen. Alternativen sind auch ADFS Trusts (Federation Trusts). Aus dem Serviceprodivdergedanken, würde ich meinen Kunden auch niemals Domain Adminrechte geben, da Sie Dir sonst jede Änderung in der Topologie vornehmen können (und sie den Provider aussperren können). Ich würde für eine solche AD Planung eine Person Deines Vertrauens beiziehen, um eine ganzheitliche AD Planung vorzunehmen, denn da gibt es echt viel einzubeziehen.- Ein bisschen Exchange, ein bisschen Domain, ein bisschen DNS und alles nach ITIL.- Bitte nicht ärgern, aber da muss konzeptionell einiges synchronisiert werden. Gruss Matthias Zitieren Link zu diesem Kommentar
fschaller 10 Geschrieben 20. Mai 2008 Autor Melden Teilen Geschrieben 20. Mai 2008 Nun musste ich ein wenig Schmunzeln... normalerweise gehts mir bei unseren Kunden so: man möchte so schnell dies und das und die Lösung ist ja sicherlich einfach ;)... So komme ich mir nun mit dieser Frage vor :(. Trotzdem vielen Dank für die Hilfe. Ich weiss, dass alle Lösungsansätze technisch funktionieren würden - was ich gehofft habe ist, dass jemand aus Erfahrung das Stichwort für die eierlegende Wollmilchsau in den Thread geworfen hätte :cool:. Ich grüsse Euch herzlich! Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 20. Mai 2008 Melden Teilen Geschrieben 20. Mai 2008 Noch ein Nachtrag (Quelle Microsoft intern), da ich erst jetzt sah, dass wir von 2K8 reden: Für Windows 2008 AD gibt es noch keine Best practice, da sich diese erst bilden muss. Frühestens in 12-18 Monaten gibt es dazu dieses Attribut. Muss es eine best practice Umgebung werden, würde ich nach wie vor auf 2K3 setzen. Man erinnere sich: Microsoft Supported, Microsoft recommended, Microsoft best practice Gruss Matthias Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.