Discussion:
Vorteile / Nachteile verschiedene Domainstrukturen AD
(zu alt für eine Antwort)
Habanera
2010-03-03 12:19:00 UTC
Permalink
Hallo Zusammen,

Zu folgendem Thema möchte ich mal euch um Rat fragen.

Wir planen eine Domänenmigration. Aktuell gibt es 2 getrennte
Gesamtstukturen, die über einen externen Trust verbunden sind.

Geplant ist eine Migration zu einer Gesamtstruktur.
Dabei sind 2 Szenarios denkbar:

Integration der Domain A aus Forrest A in die bestehende Domain B in
Forrest B
Integration der Domain A aus Forrest A in eine neue Domain C in Forrest B.

Was sind Pro/Contra der jeweiligen Lösungen? Auch im Hinblick auf GPOs,
Exchange, Unixattribute?

Besten Dank noch für ein paar Anhaltspunkte!

LG...

Björn
Yusuf Dikmenoglu [MVP]
2010-03-03 12:37:25 UTC
Permalink
Bonjour,

der Nachteil bei mehreren Domänen innerhalb einer Gesamtstruktur ist:

- Bei mehreren Domänen ist der adminstrative Aufwand (Updates,
Virenscanner usw.) höher, da auch jede Domäne wegen der
Ausfallsicherheit mindestens zwei DCs haben sollte.
- Dadurch entstehen höhere Hardware- sowie Lizenzkosten.
- Jeder DC sollte/muss vor Ort physikalisch geschützt sein.
- Jede Domäne muss gesichert werden (Backup).

Bei mehreren Domänen wären die Vorteile, wenn man z.B. unterschiedliche
DNS-Namensräume haben möchte. Oder unterschiedliche Administratoren
sollen "nur" ihre eigene Domäne verwalten und nur dort der Admin sein.
Wobei das letztendlich nur mit getrennten Gesamtstrukturen und nicht
mit mehreren Domänen innerhalb einer Gesamtstruktur zu regeln ist.

Mit mehreren Domänen kann man unterschiedliche Kennwortrichtlinien
(bis einschließlich Windows Server 2003) anwenden. Ab Windows Server 2008
gibt es die "Password Settings Objects, kurz PSOs".

Der Vorteil einer Domäne wäre z.B. das man nur eine DNS-Zone/Domäne verwalten
muss.
Mit einer Domäne hat man eine bessere Übersicht und leichtere Administration.
Weniger DCs sind notwendig und somit auch weniger Hardware- sowie
Lizenzkosten.

Ich persönlich tendiere gerne - wann immer möglich - zu dem
Ein-Domänen-Modell, aber das kommt immer auf die Gegebenheiten
des Kunden darauf an.

Evtl. solltet ihr euch dazu einen Dienstleister zur Seite holen.


Gruß, Yusuf

========================================
##### Microsoft MVP - Directory Services #####
Blog: http://blog.dikmenoglu.de
MVP-Profil: https://mvp.support.microsoft.com/profile/Yusuf
Twitter: http://twitter.com/YusufsDSBlog
========================================
Florian Frommherz [MVP]
2010-03-04 07:23:02 UTC
Permalink
Howdie!

Yusuf hat dir ja schon bestens die Pros und Cons erklärt, ich würde aber
noch gerne auf den Punkt...
Post by Habanera
Exchange, Unixattribute?
eingehen. Was meinst du mit "Unixattribute"? Gehts hier um eine
Schema-Änderung, die du vorgenommen hast? Services for Unix?
Schema-Änderungen gelten stets für den gesamten Forest. Wenn es ein
Problem ist, dass eine Schemaerweitung in allen
Domänen/Verwaltungsbereichen sichtbar ist, musst du mit getrennten
Domänen fahren.

Cheers,
Florian
Habanera
2010-03-05 09:52:11 UTC
Permalink
Post by Florian Frommherz [MVP]
Howdie!
Yusuf hat dir ja schon bestens die Pros und Cons erklärt, ich würde aber
noch gerne auf den Punkt...
Post by Habanera
Exchange, Unixattribute?
eingehen. Was meinst du mit "Unixattribute"? Gehts hier um eine
Schema-Änderung, die du vorgenommen hast? Services for Unix?
Schema-Änderungen gelten stets für den gesamten Forest. Wenn es ein
Problem ist, dass eine Schemaerweitung in allen
Domänen/Verwaltungsbereichen sichtbar ist, musst du mit getrennten
Domänen fahren.
Cheers,
Florian
Hallo, besten Dank für die Info.

Ja, es geht um Services for Unix, die ich nenn es mal "eingebaute"
Version von 2003 R2.
Ein weiterer Punkt wäre, die "Zieldomain/Forrest verwenden aktuell MS
Exchange 2003, wir hingegen Exchange 2007.

Wäre das ein Problem?

LG.. Björn

Loading...