Zwei oder eine Domäne?

[BiERWiESEL 10]

Hallo,

 

ich brauche mal euren Rat. Wir haben zwei Standorte die mit einer 1Mbit Leitung verbunden sind. Bisher ist es so das wir zwei Domänen haben die mit einer Vertrauenstellung mit einander sprechen.

 

DOM.Standort1

DOM.Standort2

 

die Gesamtstruktur heißt jetzt DOM.Standort1. Was sehr verwirrend rüberkommt.

 

da das ganze DNS verkorkst ist, wollen wir nun auf Windows 2008 umsteigen. Also komplett neu aufsetzen. Nun stellt sich die Frage ob man wieder zwei Domänen macht oder nur eine.

 

Wir hatten es uns so gedacht das wir eine Domäne machen mit zwei DC´s ( einer an jedem Standort ) Ach ja an jedem Standort ist ein anderer DHCP Bereich. Würde dann mit dem Snapin "Standorte und ..." den jeweiligen DC zum Subnetz zu ordnen.

 

Soweit so gut. Jetzt zu einer Verstädnisfrage:

 

Er repliziert ja dann DHCP,DNS und die AD. Wie verhalten sich denn die Profile ? Wenn ich jetzt im Standort1(in dem subnetz) ein Profil erstelle dann speichert er es auch dort. Aber was passiert wenn ich dann mit dem gleichen Account mich im Standort2(anderes subnetz) anmelde ? zieht er erst das komplette Profil über die 1Mbit Leitung ? oder repliziert er die Profil/home verzeichnisse auch in der ganzen Domäne ? und der jeweilige DC der dem Standort zugeordnet ist wird sich dann um die Anmeldung kümmern.

 

Oder lieg ich da voll falsch und sollte wieder einen DC in einer neuen DOM aufsetzen und dem 2. DC beim aufsetzen sagen, dass er in eine bestehende Gesamtstruktur eine neue Domäne erstellen soll ? So das ich wieder am ende zwei Domänen in einer Gesamtstruktur habe?

 

Wäre es dann irgendwie möglich das so aufzubauen das am ende die Struktur so aussieht? -> Gesamtstruktur = DOM , DOM1 = DOM.Standort1 , DOM2 = DOM.Standort2

Am besten wäre die Lösung die ich oben angesprochen hatte, die mit der einen DOM nur.

 

danke für eure hilfe und Ideen

[NorbertFe 1.826]

Das ganze Thema paßt ehe in das AD Forum. ;) Vielleicht verschiebts mal ein Admins.

 

Grundsätzlich solltest du dir die Frage stellen, was kannst du mit zwei Domänen erreichen, was du mit einer allein über beide Standorte nicht hinbekommst? Wenn dabei etwas rauskommt, das du wirklich nicht entbehren kannst/willst, mußt du zwei Domänen verwenden. ;)

 

Bye

Norbert

[LukasB 10]

DHCP? Replikation? Wo hast du das gelesen?

 

Grundsätzlich: Profile werden dort abgelegt, wo sie gemäss Konfiguration hinsollen. Wenn du diese also auf einen der beiden DCs legst, die Slow Link Detection nicht anspringt, dann wird sie über die WAN-Leitung gezogen.

 

Du kannst das verhindern indem du die Slow Link Detection aggressiver machst, oder die Profile replizierst (z.B. mittels DFS-R), womit du dir aber nochmal eine ganze Menge Probleme einhandeln kannst.

 

Zur Domainanzahl: Was ist dein Argument für mehr als eine Domain? Ich hab in deinem Posting keines gefunden - also reicht eine Domain ;)

[Daim 12]

Salve,

 

Bisher ist es so das wir zwei Domänen haben die mit einer Vertrauenstellung mit einander sprechen.

 

DOM.Standort1

DOM.Standort2

 

von der Domänenbenennung wird es nicht ganz klar. Handelt es sich um eine oder zwei Gesamtstrukturen?

 

die Gesamtstruktur heißt jetzt DOM.Standort1. Was sehr verwirrend rüberkommt.

 

Wenn "DOM.Standort1" die Root-Domäne ist, kann "DOM.Standort2" keine Subdomäne sein. Ist es eine "eigene" Domänenstruktur, also ein eigener Tree?

 

da das ganze DNS verkorkst ist, wollen wir nun auf Windows 2008 umsteigen.

 

Weil das DNS "verkorkst" ist aktualisiert ihr auf Windows Server 2008? Und was macht Ihr wenn DHCP nicht funktioniert? Alles "abreißen" und neu aufbauen? Wäre es nicht sinnvoller erstmal die DNS-Probleme zu beheben. Denn für alle weiteren Schritte, sei es eine Domänenaktualisierung oder eine Migration ist das DNS wichtig.

 

Also komplett neu aufsetzen. Nun stellt sich die Frage ob man wieder zwei Domänen macht oder nur eine.

 

Alles neu aufsetzen? Welche Größe hat denn die Umgebung? Du möchtest wohl eine Migration in eine neue Domäne bzw. Gesamtstruktur durchführen.

 

Wir hatten es uns so gedacht das wir eine Domäne machen mit zwei DC´s ( einer an jedem Standort )

 

Zwei DCs ist die Mindestanzahl an DCs die eine Domäne haben sollte. Aber ein DC sollte nur dann vor Ort aufgestellt werden, wenn dieser physikalisch sicher steht. Ansonsten könnte man ab Windows 2008 RODCs einsetzen. Der RODC ist genau für dieses Szenario kreiert worden.

 

Ach ja an jedem Standort ist ein anderer DHCP Bereich. Würde dann mit dem Snapin "Standorte und ..." den jeweiligen DC zum Subnetz zu ordnen.

 

Das ist gut und muss auch zwingend so sein, dass jeder AD-Standort sein eigenes Subnetz hat. Natürlich nur, wenn man mit mehreren AD-Standorten arbeiten möchte.

 

Er repliziert ja dann DHCP,DNS und die AD.

 

Nein, DHCP wird nicht repliziert. Es wird in erster Linie das AD repliziert und wenn die Forward Lookup Zone im AD gespeichert wurde, was empfehlenswert ist, dann wird auch standardmäßig das DNS repliziert.

 

und der jeweilige DC der dem Standort zugeordnet ist wird sich dann um die Anmeldung kümmern.

 

Diese Antwort hatte ich heute hier schon einmal geschrieben. Daher ein "Copy&Paste" an dieser Stelle.

 

Bei der Authentisierung eines Clients, ist das DNS und das Desgin im Snap-In "Active Directory-Standorte und -Dienste" entscheidend. Falls AD-Standorte eingerichtet sind, darf das erstellen der jeweiligen Subnetze und das verknüpfen an den entsprechenden AD-Standort nicht vergessen werden. Natürlich müssen dann noch die DC-Icons an ihre AD-Standorte, in der MMC

"Active Directory-Standorte und -Dienste" verschoben werden.

 

Die Vorgehensweise wie ein Client "seinen" DC an "seinem" AD-Standort findet, wird im folgenden Artikel erläutert:

 

LDAP://Yusufs.Directory.Blog/ - Domänencontroller am Standort

 

 

... to be continued

[Daim 12]

Oder lieg ich da voll falsch und sollte wieder einen DC in einer neuen DOM aufsetzen und dem 2. DC beim aufsetzen sagen, dass er in eine bestehende Gesamtstruktur eine neue Domäne erstellen soll ? So das ich wieder am ende zwei Domänen in einer Gesamtstruktur habe?

 

Wenn es keinen trifftigen Grund für mehrere Domänen in der Gesamtstruktur gibt, ist es stets empfehlenswert ein Single-Domain Forest zu wählen.

Denn der Nachteil bei mehreren Domänen wäre:

 

- Bei mehreren Domänen ist der adminstrative Aufwand Updates,Virenscanner usw.) höher, da auch jede Domäne zwei DCs haben sollte.

- Dadurch entstehen höhere Hardware- sowie Lizenzkosten.

- Jeder DC sollte/muss vor Ort physikalisch geschützt sein.

- Jede Domäne muss gesichert werden (Backup).

 

 

Die Vorteile bei mehreren Domänen wären, wenn man z.B. unterschiedliche DNS-Namensräume haben möchte. Oder unterschiedliche Administratoren

sollen "nur" ihre eigene Domäne verwalten und nur dort der Admin sein.

 

Der Vorteil einer Domäne wäre z.B. das man nur eine DNS-Zone/Domäne verwalten muss. Mit einer Domäne hat man eine bessere Übersicht und leichtere Administration. Ich persönlich tendiere gerne zu dem Ein-Domänen-Modell, aber das kommt immer auf die Gegebenheiten darauf an. Evtl. solltet ihr euch dazu einen Dienstleister zur Seite holen.

 

 

Am besten wäre die Lösung die ich oben angesprochen hatte, die mit der einen DOM nur.

 

Bei deinen bisherigen Informationen macht es kaum Sinn, eine zweite Domäne zu erstellen. Mit den bisherigen Infos reicht eine Domäne aus!

[BiERWiESEL 10]

Erstmal super vielen dank für eure gute hilfe. Ich tendiere auch eher zu der einen domän variante, aber ich mach mir halt noch sorgen wegen der 1Mbit Leitung und der Profile/home verzeichnisse, die ja irgendwie syncron sein müssen.

 

Ach ja wir wollen deshalb neu aufsetzen weil das Netz jetzt ca. 5 Jahre alt ist und einige leute schon dran rum gefuscht haben. ;)

[Stephan Betken 43]

Wenn du mehrere Domänen hast, dann hast du doch auch keine synchronisierten Profile und Home-Verzeichnisse. Warum also sollten die bei nur einer Domäne synchron sein müssen?

Warum eigentlich überhaupt servergespeicherte Profile?