Suche Rat bei DNS designen

[Daniel Kugler 10]

Servus zusammen,

also ich bin seit einiger Zeit mein Hirn am strapazieren :D

 

Also ich bräuchte mal ein paar Ratschläge beim Designen eines Netzwerkes.

- Wir haben 3 Standorte die untereinander nicht die beste Verbindung haben.

- Es besteht keine Verbindung ins Internet.

 

Ist folgendes Beispiel möglich zu realisieren?

 

 

- Kann ich noch Exchangekonten in andere Standorte (Domänen) verschieben?

- Kann ich DNS so designen? (Habe mal was von Empty Root gehört)

 

Gruß Daniel

[LukasB 10]

Was du machen willst ist grundsätzlich möglich, erscheint mir aber nicht wirklich sinnvoll. Deswegen erst mal ein paar Gegenfragen:

 

a) Wieso nur 384kbps zwischen den Standorten? Wenn du hier eine einigermassen brauchbare Bandbreite (2-10mbit/s) hättest, könntest du dir den Exchange in den Aussenstellen sparen: Mit dem Cached Exchange Mode wär dann 100% normales arbeiten problemlos möglich - vereinfacht das Backup und die Handhabung.

 

b) Wieso eigene Domains in den Aussenstellen? AD kann sehr, sehr viel mit Delegierungen erreichen für Aussenstellen-Admins. Ein Single-Domain Modell ist wesentlich einfacher zu administrieren als drei seperate Domains, von Backup/Wartungs- und DC-Kosten noch garnicht geredet.

[NilsK 2.795]

Moin,

 

siehe auch:

faq-o-matic.net Welches Domänenmodell ist das Beste für Active Directory?

 

Gruß, Nils

[Daniel Kugler 10]

Servus Lukas

a)

also die geringe Geschwindigkeit kommt zustande da die Standorte über Satelitenkommunikation verbunden sind und mehr im Moment nicht möglich ist (kein eigener Satelit :-( ). Es werden eigenständige Netze und sie werden definitiv nicht ans Internet oder irgendwelche anderen Netze verbunden.

b)

die Hardware ist vorhanden, darum muß ich mir keine Sorgen machen. Personal ist auch genug da. Bekomme ich keine Probleme wenn sich die DCs untereinader in der Domäne replizieren? Kann zwar schon viel mit Standorten erreichen, dachte aber durch die Domänen habe ich noch bessere Kontrolle & Performance.

 

Guden Nils,

also genau auf der Seite habe ich das mit dem Empty Root gelesen, es war mir aber kein Begriff und ich weiß auch nicht wie ich das aufbauen soll.

 

Danke für eure Unterstüzung

 

Gruß Daniel

[LukasB 10]

also die geringe Geschwindigkeit kommt zustande da die Standorte über Satelitenkommunikation verbunden sind und mehr im Moment nicht möglich ist (kein eigener Satelit :-( ). Es werden eigenständige Netze und sie werden definitiv nicht ans Internet oder irgendwelche anderen Netze verbunden.

 

Der Exchange ist also nur für den internen Gebrauch gedacht?

 

Ich kann immer noch nicht so recht nachvollziehen das man nur 384kbit/s bekommen - ist das in der Arktis oder so? ;)

 

die Hardware ist vorhanden, darum muß ich mir keine Sorgen machen. Personal ist auch genug da. Bekomme ich keine Probleme wenn sich die DCs untereinader in der Domäne replizieren? Kann zwar schon viel mit Standorten erreichen, dachte aber durch die Domänen habe ich noch bessere Kontrolle & Performance.

 

Dein Active Directory mit ~150 Usern ist ja, grundsätzlich, relativ klein. Der Replikationstraffic wird sich also sehr in Grenzen halten. Auf die Performance wird das ganze keinen Einfluss haben, wenn du an jedem Ort einen lokalen DC hast.

 

Im Gegenteil: Mit mehreren Domains erhöhst du den administrativen Aufwand, und musst gewisse Dinge mehrfach pflegen, ohne das dir daraus ein Vorteil erwächst.

 

Unter NT4 war das ja alles noch anders, aber mit Active Directory ist das Single-Domain-Modell in den meisten Fällen das richtige.

 

Bei AD ist einer der einzigen Gründen für mehrere Domains bzw. mehrere Forests wenn du eine gewisse Administrative Aufteilung haben willst, z.B. das die Standorte ein eigenes AD Schema fahren können (dann brauchen sie einen eigenen Forest), oder die Aussenstellen-Admins Domain-Admins sein müssen (wofür es selten technische, aber vielfach politische Gründe gibt).

 

Die Gegenfrage ist also: Wieso glaubst du eigene Domains in den Aussenstellen zu brauchen?

 

Bisjetzt hast du zwei Punkte genannt: Replikation (was ich nicht für ein Problem halte bei einer Umgebung dieser Grösse) und Flexibilität (welche beim Single-Domain Modell meiner Meinung nach grösser ist).

 

also genau auf der Seite habe ich das mit dem Empty Root gelesen, es war mir aber kein Begriff und ich weiß auch nicht wie ich das aufbauen soll.

 

Du brauchst keine Empty Root für 150 User ;)

 

Die Idee dahinter ist grundsätzlich nicht schlecht, aber in kleinen Unternehmungen kostet es nur Ressourcen und bringt nichts, da ganz viele Rollen in Personalunion übernommen werden.

[NilsK 2.795]

Moin,

 

na, ist doch ganz einfach: Du brauchst mit ziemlicher Sicherheit keine Multidomänenstruktur, schon gar keine Empty Root Domain. Da die Replikation ausschließlich über AD-Sites läuft und nicht über Domänen, würden mehrere Domänen keinen Vorteil bringen, dafür aber viele Nachteile durch die unnötige Komplexität. (Das steht in meinem Artikel auch ausdrücklich drin.)

 

Zur Replikation zwischen Sites reichen 64 kbit/s aus. Wenn ihr auf Satellitenkommunikation angewiesen seid, könntet ihr euch mal Optimierungs-Appliances ansehen (vor allem riverbed), die bei Themen wie eingeschränkter Bandbreite oder Übertragungslatenz gerade für solchen Datenverkehr eine Menge verbessern können.

 

Schöne Grüße und fröhliche Weihnachten,

 

Nils

[Daniel Kugler 10]

Richtig Exchange wird nur für die Standorte untereinander verwendet.

 

Naja Arktik könnte eins der Ziele sein, Afrika ist aber eher wahrscheinlicher ;-)

Mehr will ich gar nicht da drauf eingehen. Sicherheitsempfindlichkeit usw.

 

Naja ich denke ich brauche die eigenen Domänen in jedem Standort um User von einer Domäne in die andere verschieben zu können ohne großen Aufwand.

Es soll nämlich möglich sein ca 30 User in den neuen Standort verschieben zu können, das ziemlich schnell samt ihrem Postfach und pers Daten.

 

Kann ich für die Standorte Admins bestimmen die die User für ihren Standort administrieren können?

 

Ich habe da ziemlich kritische Überprüfungen am Ende des Aufbaus, deshalb muß ich gut planen.

 

Gruß Daniel

[LukasB 10]

Naja ich denke ich brauche die eigenen Domänen in jedem Standort um User von einer Domäne in die andere verschieben zu können ohne großen Aufwand.

 

Wenn du nur eine Domain hast musst du die User garnicht verschieben? Sondern nur deren Postfach von einem Exchange zum anderen - und das ist halt einfach nur von deiner WAN-Bandbreite abhängig, das ist egal wie da dein Domänenmodell aussieht.

 

Es soll nämlich möglich sein ca 30 User in den neuen Standort verschieben zu können, das ziemlich schnell samt ihrem Postfach und pers Daten.

 

Mit 384kbit/s WAN? Vergiss das: Egal wie du dein AD designst, diesen Wunsch wirst du mit der vorhanden WAN-Infrastruktur nicht umsetzen können.

 

Kann ich für die Standorte Admins bestimmen die die User für ihren Standort administrieren können?

 

Selbstverständlich.

 

Das geht mittels Delegierungen, guckst du z.B. hier:

Yusufs Directory Blog - Der Objektdelegierungsassistent

 

Ich habe da ziemlich kritische Überprüfungen am Ende des Aufbaus, deshalb muß ich gut planen.

 

Wäre es evtl. sinnvoll da einen Dienstleister bzw. Consultant mit einzubeziehen der auf diesem Gebiet bereits Erfahrung hat? Dieser könnte auch die anscheinend notwendigen NDAs unterzeichnen, damit du Ihn mit den gesamten Fakten der Situation informieren kannst, und euch dann passende Lösungsvorschläge anbieten.

[Daniel Kugler 10]

Also externe Firmen werden 100%ig nicht zugelassen.

Ich könnte da schon ein wenig Wissen gebrauchen von jemandem der in dem Bereich viel arbeitet. Naja ich sehe das mal so, es ist eine Heruasforderung für mich und meine Jungs aber wir sind hoch motiviert ;-)

 

Also fasse ich das ganze mal ein wenig zusammen.

- Es ist sinnvoller eine Single Domäne zu nutzen mit 3 Sites.

Grund:

+ Leichter zu administrieren,

- Es ist möglich bestimmte User in einen anderen Standort zu verschieben,

indem ich nur seinen Exchange Account auf einen anderen Exchange verschiebe.

- Ich kann Standort Admins anlegen und die können die jeweiligen User für ihren

Standort mit dem alltäglichen Wahnsinn versorgen. (Passwort zurücksetzen etc.)

 

Also ist der Aufbau so sinnvoller:

 

Könnt ihr mir noch ein paar Tips geben was den Aufbau angeht.

Bin wie ein wilder zwar am lesen und lernen und probiere in Virtuellen Maschinen herum, aber auf Tips sollte man nie verzichten ;-)

[lefg 276]

Hallo,

Es ist möglich bestimmte User in einen anderen Standort zu verschieben, indem ich nur seinen Exchange Account auf einen anderen Exchange verschiebe.

Wozu mehrere Exchange?

[Daim 12]

Hola,

 

Naja ich sehe das mal so, es ist eine Heruasforderung für mich und meine Jungs aber wir sind hoch motiviert ;-)

 

das ist eine gesunde Einstellung, denn wie heißt es so schön: Man/n wächst mit seinen Aufgaben. Jedoch sollte man auch seine Grenzen kennen. ;)

 

- Es ist sinnvoller eine Single Domäne zu nutzen mit 3 Sites.

 

In deinem Fall, auf alle Fälle.

 

Grund:

+ Leichter zu administrieren,

 

Absolut.

 

 

indem ich nur seinen Exchange Account auf einen anderen Exchange verschiebe.

 

Du benötigst in den Aussenstellen nicht zwingend einen Exchange-Server. Du könntest lediglich in der Zentrale Exchange-Server betreiben. Dafür ist doch der Cached-Mode gedacht. Aber das kommt auf das Mailverhalten der Aussenstellen an.

 

 

- Ich kann Standort Admins anlegen und die können die jeweiligen User für ihren

Standort mit dem alltäglichen Wahnsinn versorgen. (Passwort zurücksetzen etc.)

 

Ja, du kannst Aufgaben im Active Directory an die entsprechenden Leute delegieren. Das ist ja gerade das schöne am Active Directory. Man kann nun im Gegensatz zu Windows NT, eine hierarchische Organisationsstruktur erstellen und die Objekte innerhalb einer Domäne, in mehrere Organisationseinheiten (OUs) organisieren. Die Verwaltung der einzelnen OUs können dann wiederum auf einer aufgabenbasierten Ebene, an die entsprechenden Personen delegiert werden.

 

Den entsprechenden Link dazu, hast du bereits von LukasB erhalten.

 

Also ist der Aufbau so sinnvoller:

 

Genau.

 

 

Könnt ihr mir noch ein paar Tips geben was den Aufbau angeht.

Bin wie ein wilder zwar am lesen und lernen und probiere in Virtuellen Maschinen herum, aber auf Tips sollte man nie verzichten ;-)

 

Also zuerst muss natürlich auf IP-Ebene alles korrekt konfiguriert sein. Das Routing zu den Aussenstellen muss funktionieren. Du könntest dann die DCs für die Aussenstellen dann in der Zentrale installieren, mit dem IP-Adressbereich der Zentrale und änderst anschließend nach dem verschieben, die IP des DCs.

 

Yusufs Directory Blog - Einen zusätzlichen DC in die Domäne hinzufügen

Yusufs Directory Blog - Einen Domnencontroller an einen anderen Standort verschieben

 

Oder du installierst die DCs direkt in den Aussenstellen, mit der IFM-Funktion. Aber das ist erst ab Windows Server 2003 möglich.

 

Yusufs Directory Blog - Domänencontroller-Installation von einer Sicherung

 

Im Snap-In "Active Directory-Standorte und -Dienste" erstellst du für jeden physikalischen Standort jeweils einen AD-Standort samt AD-Subnetz. Danach verschiebst du die DC-Icons an ihren entsprechenden AD-Standort. Beachte dazu unbedingt den o.g. Link "Einen Domänencontroller an einen anderen Standort verschieben".

 

Wenn die Aussenstellen untereinander keine Verbindung haben, also eine klassische Hub-and-Spoke Topologie existiert, könntest du noch die Überbrückung in "Standorte und Dienste" deaktivieren. Dann hält sich die AD-Replikationen an deine Standortverknüpfungen.

[Daniel Kugler 10]

@LefG

Weil ich nur so eine geringe Verbindung zur Verfügung habe und jede Minute einen ar*** voll Geld kostet und dadurch so wenig Traffic wie möglich erzeugen muß.

 

@Daim

Super cool,

danke für die Antworten. Ich werde das ganze jetzt die Tage mal in Virtuellen Maschinen daheim durchspielen und nachm Urlaub dann die Server so aufsetzen.

 

Danke an alle für die Hilfe.

Kann mir jemand dazu ein Buch empfehlen?

In welchem Exam des MCSE w2k3 wird das den so behandelt?

Ich will selbst als mehr dazu lernen und noch meine Leute weiter schulen.

 

Zur Replikation zwischen Sites reichen 64 kbit/s aus. Wenn ihr auf Satellitenkommunikation angewiesen seid, könntet ihr euch mal Optimierungs-Appliances ansehen (vor allem riverbed), die bei Themen wie eingeschränkter Bandbreite oder Übertragungslatenz gerade für solchen Datenverkehr eine Menge verbessern können.

 

Hat jemand hiermit schon Erfahrungen gesammelt?

 

Gruß Daniel

[NilsK 2.795]

Moin,

 

ohne jetzt unken zu wollen: Wenn die Sicherheitsbedenken in eurem Unternehmen wirklich so ausgeprägt sind, würde ich mich auf jeden Fall durch externes Know-how absichern wollen. So schnell ein AD aufgesetzt ist, so viel kann man gerade in Hinsicht auf Stabilität und Sicherheit verkehrt machen.

 

Gruß, Nils

[Daniel Kugler 10]

Hier ich habe nochmal zu dem Single Domaine Modell neh Frage:

- Wie verteile ich den am besten die Rollen?

 

Also auf jeden lokalen DC dachte ich den globalen Katalog. Aber wie

wie siehts mit den FSMO Rollen aus. Kann da jemand was empfehlen,

manche darf ich ja nur einmal in der Struktur verwenden, andere sind

eventuell sinnvoll in jedem Standort zu haben.

Wie gesagt die Replizierungen sollen so gering wie möglich ausfallen.

 

Gruß Daniel

[NilsK 2.795]

Moin,

 

die Rollen haben mit der Replikation praktisch nichts zu tun. Allgemein wird empfohlen, alle fünf Rollen auf dem ersten installierten DC zu belassen, auf dem sie nach dem Setup ja auch schon sind.

 

faq-o-matic.net Wie verwalte ich die speziellen Domänencontroller-Rollen?

 

Es sollten in der Tat sämtliche DCs auch die GC-Funktion haben.

 

faq-o-matic.net Globaler Katalog vs. Infrastruktur-Master

 

Gruß, Nils