Subdomain auf bestehenden DC erstellen

[srkonus 10]

Hallo,

 

wir nutzen bei uns einen Forrest - fragt nicht warum, ist halt so. Da soll nun ein weiterer Tree dran, aber dafür soll keine weitere Maschine verwendet werden, sondern ein bestehender DC soll die Aufgabe übernehmen.

Wenn ich auf dem DC nun "dcpromo" aufrufe, habe ich aber nicht die Möglichkeit, eine weitere Domäne zu erstellen (vielleicht ein Layer 8 Problem). Wie mache ich das ganze?

 

Ich danke für die Antworten

 

mfg

 

srkonus

[NilsK 2.795]

Moin,

 

wir nutzen bei uns einen Forrest

 

warum?

 

fragt nicht warum, ist halt so.

 

Ach so. Okay.

 

Da soll nun ein weiterer Tree dran

 

Warum?

 

aber dafür soll keine weitere Maschine verwendet werden, sondern ein bestehender DC soll die Aufgabe übernehmen.

[...]

Wie mache ich das ganze?

 

Gar nicht. Das geht nicht.

 

Maximal könntest du einen virtuellen DC in VMware/Virtual Server/Hyper-V einrichten, wenn du Hardware sparen willst. Ob das sinnvoll ist, steht auf einem anderen Blatt.

 

Und:

 

faq-o-matic.net » Welches Domänenmodell ist das Beste für Active Directory?

 

Gruß, Nils

[Daim 12]

Servus,

 

wir nutzen bei uns einen Forrest - fragt nicht warum, ist halt so.

 

kann es sein, dass du da etwas verwechselst. ;)

Denn mit dem Erstellen der ersten Domäne einer neuen Gesamtstruktur, hast du bereits einen Forest.

 

 

Da soll nun ein weiterer Tree dran, aber dafür soll keine weitere Maschine verwendet werden, sondern ein bestehender DC soll die Aufgabe übernehmen.

 

Würde gehen, aber nicht so wie du es dir vorstellst.

 

 

Wenn ich auf dem DC nun "dcpromo" aufrufe, habe ich aber nicht die Möglichkeit, eine weitere Domäne zu erstellen (vielleicht ein Layer 8 Problem).

 

Verständlich das es nicht geht.

Du musst den DC zuerst mit DCPROMO Herunterstufen. Dann kannst du auf diesem DC mit DCPROMO eine neue Domänenstruktur (Tree) erstellen. Denn eine Domänenstruktur erstellt man i.d.R. nur, wenn die Einheit ihren eigenen Domänennamen bekommen soll. Es gibt aber nur einen einzigen globalen Katalog, über alle Domänenstrukturen hinweg.

[srkonus 10]

Hallo,

 

ich versuche mal, unsere Struktur etwas genauer zu beschreiben, da ich mich mit den Begriffen wohl vertan habe:

 

Wir haben eine Domäne bla.de, in der ist so gut wie nichts. Darunter gibt es eine Domäne test.bla.de, dort sind die meisten Server, alle Clients, Gruppen, User usw.

Nun soll ein Standort mit einer eigenen Domäne (also blubb.bla.de) hinzugefügt werden. Das soll ich machen, um die User dort für einige Applicationen bei uns bekannt zu machen.

Zuerst dachte ich, das ich einen DC aus test.bla.de nehmen kann, und dort die entschprechende Domäne einrichte. Das scheint ja nicht zu gehen, oder?

Extra Blech und Lizenz finde ich in dem Fall Schwachsinn, ich werde meinem Chef morgen vorschlagen, unter test.bla.de einen Ordner (OU) anzufertigen, um die Use dort abzulegen. Keine GPOs drauf, da nur die Userinfos benötigt werden.

Angeblich aber, dürfen aus gesetzlichen und steuerlichen Gründen keine der User bei uns in die Domäne - fragt nicht, verstanden habe ich es nicht.

Wüsstet Ihr nocht eine andere Möglichkeit?

 

mfg

 

srkonus

[Daim 12]

Wir haben eine Domäne bla.de, in der ist so gut wie nichts. Darunter gibt es eine Domäne test.bla.de, dort sind die meisten Server, alle Clients, Gruppen, User usw.

 

OK, deine leere Root-Domäne lautet also "bla.de" und die Sub-Domäne lautet "test.bla.de".

Hat das einen besonderen Grund, warum ihr dieses Domänenmodell gewählt habt oder ist eure Umgebung und die Sicherheitsanforderungen so groß?

 

Denn pauschal kann man das Ein-Domänenmodell empfehlen.

Es ist leichter zu administrieren und man hat eine bessere Übersicht.

 

 

Nun soll ein Standort mit einer eigenen Domäne (also blubb.bla.de) hinzugefügt werden.

 

OK, es soll also neben der Sub-Domäne "test.bla.de" eine weitere Sub-Domäne "blubb.bla.de" erstellt werden. Auch hier die Frage, ist das Notwendig?

 

 

Das soll ich machen, um die User dort für einige Applicationen bei uns bekannt zu machen.

 

Rechtfertigt aber immer noch nicht das Erstellen einer weiteren Sub-Domäne.

 

 

Zuerst dachte ich, das ich einen DC aus test.bla.de nehmen kann, und dort die entschprechende Domäne einrichte. Das scheint ja nicht zu gehen, oder?

 

Ein DC aus der Domäne "test.bla.de" ist einzig und allein ein DC aus dieser Domäne. Möchtest du mit einem DC von "test.bla.de" die neue Sub-Domäne "blubb.bla.de" Erstellen, so musst du wie in meiner vorherigen Atwort bereits erwähnt, den DC aus der "alten" Domäne zuerst Herunterstufen. Anschließend erstellst du auf mit diesem Server die neue Sub-Domäne "blubb.bla.de".

 

 

Extra Blech und Lizenz finde ich in dem Fall Schwachsinn, ich werde meinem Chef morgen vorschlagen, unter test.bla.de einen Ordner (OU) anzufertigen, um die Use dort abzulegen. Keine GPOs drauf, da nur die Userinfos benötigt werden.

 

Wieviele Benutzer existieren denn in der Domäne "test.bla.de" und wieviele Benutzer sollen denn in der Domäne "blubb.bla.de" hinzugefügt werden?

Umso weniger Domäne existieren, desto leichter gestaltet sich die Administration.

 

 

Angeblich aber, dürfen aus gesetzlichen und steuerlichen Gründen keine der User bei uns in die Domäne - fragt nicht, verstanden habe ich es nicht.

 

???

Auch die Benutzer der neuen Sub-Domäne "blubb.bla.de" können z.B. den globalen Katalog, der schließlich alle Objekte der Gesamtstruktur enthält, nach Informationen durchsuchen.

 

 

Wüsstet Ihr nocht eine andere Möglichkeit?

 

Ich habe bisher Zweifel, ob ihr mit diesem Domänenmodell das richtige Design habt.

Wenn die Sub-Domäne "blubb.bla.de" erstellt werden soll, muss eben vorher auf einer Maschine zuerst die Domäne kreiiert werden. Erst dann können die Benutzer- sowie Computerkonten mit ADMT in die neue Domäne migriert werden.

[srkonus 10]

Danke für Deine Antwort. Ich habe dieses Konstrukt aus Domänen vorgefunden, auf meinem Mist ist es nicht gewachsen.

Das koriose ist, das die User (ca. 20) sich an diesem DC gar nicht anmelden, die haben Ihrer eigenen! Es gibt zwar eine VPN Leitung, aber deren Server wird definitiv immer als erstes antworten. Die haben gar keinen Zugriff auf das, was ich machen soll. Rein theoretisch wäre es doch machbar, die andere Domäne (die ja da ist), meinem DC einfach bekannt zu geben, damit dürften unsere Applikationen doch auch auf die Userdaten zugreifen können, oder?

Die Subdomäne wird nicht zum anmelden benötigt, sondern nur für Infos, die Applikationen bei uns brauchen.

[Daim 12]

Ich habe dieses Konstrukt aus Domänen vorgefunden, auf meinem Mist ist es nicht gewachsen.

 

OK, aber trotzdem könnte man doch versuchen die Situation zu verbessern und das Ein-Domänenmodell anstreben.

 

 

Das koriose ist, das die User (ca. 20) sich an diesem DC gar nicht anmelden, die haben Ihrer eigenen! Es gibt zwar eine VPN Leitung, aber deren Server wird definitiv immer als erstes antworten. Die haben gar keinen Zugriff auf das, was ich machen soll.

 

Wer ist denn "an diesem DC"? Sprich, aus welcher Domäne?

Ein DC der Domäne "test.bla.de" authentifiziert auch nur die Benutzer aus der Domäne "test.blu.de". Er authentifiziert keine Benutzer aus der Domäne "blu.de" oder "blubb.blu.de".

 

 

Rein theoretisch wäre es doch machbar, die andere Domäne (die ja da ist), meinem DC einfach bekannt zu geben, damit dürften unsere Applikationen doch auch auf die Userdaten zugreifen können, oder?

 

Wenn ich nur ansatzweise verstehen würde, was du hiermit meinst...

Erläutere das ganze doch nochmals, anhand deiner Beispiel-Domänen.

 

 

Die Subdomäne wird nicht zum anmelden benötigt, sondern nur für Infos, die Applikationen bei uns brauchen.

 

Welche Sub-Domäne denn?

Nichts destotrotz, immer weiter festigt sich meine Meinung das ein Single-Domänen Forest für euch das ideale wäre.