RODC oder DC - was ist besser?

[robbery 10]

Hallo,

 

ich habe nun mittlerweile einige Beiträge gelesen bzgl. der neuen EInführung in Server2008 von RODC's. Allerdings kam ich auf noch keinen Entschluss, für welche Methode ich mich entscheide...

 

Also wir bauen in naher Zukunft eine neue Domänenstruktur auf, in der es einen Hauptsitz und 2 Standorte gibt (ein 24er und zwei 22er Netze).

 

Nun zu meiner Frage:

Was ist sinnvoller/besser in den beiden Standorten einzusetzen - einen RODC oder einen klassischen DC? Was meint ihr dazu?

 

Danke

Enrico

[LANIAC 10]

Hallo robbery,

 

die zwei wichtigsten Gründe für einen RODC sind meiner Meinung nach die beiden folgenden:

 

- Es sind nicht genügend gesicherte Räumlichkeiten vorhanden um einen DC vor unbefugtem Zugriff zu schützen

 

- Es sind keine lokalen Administratoren in den Aussenstellen vorhanden

 

Sollte als bei Eurer Umgebung beides gewährleistet sein, würde ich empfehlen einen DC anstelle eines RODC's zu platzieren. Sollte jedoch eine der beiden obigen Fälle nicht zutreffen, würde dies für einen RODC sprechen. Hoffe ein wenig geholfen zu haben.

 

Gruss

 

LANIAC

bearbeitet 10. Dezember 2010 von LANIAC

[NilsK 2.789]

Moin,

 

"full ack" - wobei auch die grundlegende Frage zu klären ist, ob die Standorte überhaupt lokale DCs brauchen.

 

Gruß, Nils

[dmetzger 10]

Und wenn die Anforderungen definiert sind, d.h. auch tatsächlich DCs an den Aussenstandorten erforderlich sind (z.B. langsame WAN-Verbindungen, lokale Instanzen einer Exchange-Organisation, zahlreiche Benutzer), dann noch folgender Gedanke:

 

Ein zusätzlicher schreibbarer DC an Stelle eines RODCs an mindestens einem Aussenstandort ist auch eine Sicherheit für den Fall, dass der Hauptstandort mit den sonst einzigen schreibbaren DCs abbrennt.

[Dukel 436]

Bei der lokalen Instanz einer Exchange Organisation ist es eh einfach. Exchange benötigt einen schreibenden DC.

[robbery 10]

die zwei wichtigsten Gründe für einen RODC sind meiner Meinung nach die beiden folgenden:

- Es nicht genügend gesicherte Räumlichkeiten vorhanden um einen DC vor unbefugtem Zugriff zu schützen

- Es sind keine lokalen Administratoren in den Aussenstellen vorhanden

Bei der Sicherheit der Räumlichkeiten sehe ich keine Probleme und mit den lokalen Admins gebe ich dir natürlich recht. Grundsätzlich habe ich allerdings auch genügend contras bzgl. RODC gelesen...

Und wenn die Anforderungen definiert sind, d.h. auch tatsächlich DCs an den Aussenstandorten erforderlich sind (z.B. langsame WAN-Verbindungen, lokale Instanzen einer Exchange-Organisation, zahlreiche Benutzer), dann noch folgender Gedanke:

 

Ein zusätzlicher schreibbarer DC an Stelle eines RODCs an mindestens einem Aussenstandort ist auch eine Sicherheit für den Fall, dass der Hauptstandort mit den sonst einzigen schreibbaren DCs abbrennt.

Derzeit sind die WAN-Verbindungen zu den Standorten noch nicht sonderlich schnell, aber dies wird sich ab April 2011 ändern. Exchange verwenden wir gar nicht, also ist das ausgeschlossen!? Von zahlreichen Nutzern kann auch nicht die Rede sein, es sind pro Standort etwa 10-15 Leute.

 

Was das Argument mit dem Abbrennen betrifft ist das prinzipiell richtig, allerdings haben wir im Hauptsitz einen Brandschutzschrank stehen. Somit sollte diese Technik stets vorhanden sein...

 

Also was meint ihr wäre für meine Zwecke "besser"?

[NilsK 2.789]

Moin,

 

deine Frage nach "besser" lässt sich so nicht beantworten. Das musst du schon selbst einschätzen.

 

Bei nur 10-15 Usern pro Standort würde ich allerdings schon eher von "gar kein DC" ausgehen, zumindest als Option mit einbeziehen.

 

Gruß, Nils

[Dukel 436]

Was für Contras hast du denn gelesen?

[robbery 10]

- Fehleranfälligkeit und wohl keine Fehlertoleranz durch Abhängigkeit von normalen DC

- Unterschiede bei der Handhabung im Vergleich zu DC's --> Einarbeitungsaufwand

- wenn Passwörter nicht übertragen werden, kann bei Leitungsstörung o.ä. keine Anmeldung mehr erfolgen

 

Nur habe ich leider nicht die Zeit, einen RODC komplett zu testen - deswegen ja hier meine Bitte um Rat?!?

[NilsK 2.789]

Moin,

 

also, zusammengefasst: Du kennst dich mit RODCs nicht aus, du wirst dich in absehbarer Zeit nicht damit auskennen, du siehst keinen Grund dafür, du kennst Argumente dagegen und die Argumente dafür treffen bei dir nicht zu.

 

Was bliebe dann noch übrig? Und was soll überhaupt diese Diskussion, in der wir dir schon gesagt haben, dass wir keine endgültige Empfehlung aussprechen können?

 

Gruß, Nils

[Daim 12]

Hola,

 

Bei nur 10-15 Usern pro Standort

 

... das können sogar weitaus mehr User pro Standort sein. Das kommt dann auf den "Anspruch" an.

 

würde ich allerdings schon eher von "gar kein DC" ausgehen, zumindest als Option mit einbeziehen.

 

Handelt es sich tatsächlich um 10-15 User, ist es schon keine Option mehr, sondern, es ist die Empfehlung wenn es keinen trifftigen Grund gibt, keinen *DC vor Ort hinzustellen.

[Leuchtkondom 17]

sorry wenn ich mich grade hier einmische, aber wir möchten jetzt auch einige Standorte Domänenmäßig miteinander vernetzen. Ab wieviel Usern nehmt ihr denn einen eigenen DC für einen Standort. Was macht ihr mit den Daten? Mappt ihr dann Laufwerke auf die Zentrale direkt via VPN? Sowas dauert dann doch alles ewig, und die Zugriffe ... oder täusche ich mich?!?!?!

[Daim 12]

Ab wieviel Usern nehmt ihr denn einen eigenen DC für einen Standort.

 

Wie soll man anders darauf Antworten als: Das kommt darauf an. ;)

Ich bin z.B. gerade bei einem Kunden unterwegs, wo an einem Standort mit 50 Usern kein DC vor Ort existiert. Und an weiteren 20 Standorten existieren zwischen 10-20 Usern, wo ebenfalls kein DC vor Ort existiert. Zur Verfügung steht ein MPLS-VPN vom rosaroten Panther mit entsprechenden SLAs.

 

Was macht ihr mit den Daten? Mappt ihr dann Laufwerke auf die Zentrale direkt via VPN?

 

Auch hier: Das kommt darauf an. Aber oft existiert ein Fileserver vor Ort.

 

Sowas dauert dann doch alles ewig, und die Zugriffe ... oder täusche ich mich?!?!?!

 

Klar, dass würde dauern.

[NilsK 2.789]

Moin,

 

Ab wieviel Usern nehmt ihr denn einen eigenen DC für einen Standort.

 

:confused: du hast den Rest des Threads nicht besonders aufmerksam gelesen, oder? Hier ging es doch die ganze Zeit darum, dass es auf solche Fragen keine pauschale Antwort geben kann.

 

Sowas dauert dann doch alles ewig, und die Zugriffe ... oder täusche ich mich?!?!?!

 

Das hängt ganz davon ab, was und wie an den entfernten Standorten gearbeitet wird. Und selbst wenn es da einen lokalen Dateiserver usw. gibt, muss es noch lange keinen DC geben.

 

Ich werfe nur mal das Stichwort "Terminalserver" ein - in vielen Szenarien kann man dadurch komplett auf Server am Standort verzichten und im Effekt bleiben sogar sämtliche Daten in der Zentrale. Passt nicht überall, aber erstaunlich oft.

 

Gruß, Nils

[Leuchtkondom 17]

Terminalserver? Ja schon klar, der existiert auch in der Zentrale, aber wie du bereits selber festgestellt hast:

 

Passt nicht überall, aber erstaunlich oft.

 

 

Und selbst wenn es da einen lokalen Dateiserver usw. gibt, muss es noch lange keinen DC geben.

Das ist mir auch klar, jedoch ging es mir darum auch gar nicht!