5
Active Directory planen
Hallo zusammen
Ich bin dabei, mich in die Thematik Active Directory einzuarbeiten, damit ich für unsere Firma ein Design erstellen kann und dieses dann auch umsetzen. Hierfür habe ich ein Testlab aufgebaut, in welchem ich meine ersten Gehversuche unternehme
In diesem Testlab will ich das Design provisorisch realisieren, ausprobieren und simulieren.
Standort1
18 Mitarbeiter
3 physikalische Proxmox Server mit 12 virtuellen Servern
4 automatisierungs PCs
IP: 192.168.1.0/24
Internet: ADSL 125Mbits/10Mbits
Standort2
1 - 6 Mitarbeiter(variiert sehr)
keine Server vorhanden
IP: 192.168.2.0/224
Internet: Glasfaser 60Mbits/60Mbits
Verbindung
Die beiden Standorte sind via IPSec über FortiGates verbunden.
In diese Umgebung will ich Active Directory einführen.
1) Ich werde diese beiden Standorte in eine Domäne zusammenfassen(example.net) und nicht in Subdomänen aufteilen(standort1.example.net & standort2.example.net). Oder seht ihr hier einen Nachteil?
2) Ziel ist es beim Standort1 zwei virtuelle Domänen Controller zu betreiben. Für Standort2 haben wir uns überlegt, eventuell ein Serverhosting zu machen und dort einen DC(vielleicht auch nur einen RODC) zu betreiben, weil für physikalische Server ist der Standort nicht so geeignet(kein Rack, kein abschliessbarer Raum, kein Notstrom, keine Kühlung, altes Gebäude) Wie würdet Ihr das mit dem zweiten Standort handhaben?
3) Ist es das richtige Vorgehen, für beide Standorte unter "Active Directory-Standorte und -Dienste" das Subnetz und den Standort zu erstellen? Oder würdet ihr dass sogar als einen Standort mit zwei Subnetzen deklarieren?
Freundliche Grüsse
Joel
Ich bin dabei, mich in die Thematik Active Directory einzuarbeiten, damit ich für unsere Firma ein Design erstellen kann und dieses dann auch umsetzen. Hierfür habe ich ein Testlab aufgebaut, in welchem ich meine ersten Gehversuche unternehme
In diesem Testlab will ich das Design provisorisch realisieren, ausprobieren und simulieren.
IST Situation
Standort118 Mitarbeiter
3 physikalische Proxmox Server mit 12 virtuellen Servern
4 automatisierungs PCs
IP: 192.168.1.0/24
Internet: ADSL 125Mbits/10Mbits
Standort21 - 6 Mitarbeiter(variiert sehr)
keine Server vorhanden
IP: 192.168.2.0/224
Internet: Glasfaser 60Mbits/60Mbits
VerbindungDie beiden Standorte sind via IPSec über FortiGates verbunden.
In diese Umgebung will ich Active Directory einführen.
Fragen:
1) Ich werde diese beiden Standorte in eine Domäne zusammenfassen(example.net) und nicht in Subdomänen aufteilen(standort1.example.net & standort2.example.net). Oder seht ihr hier einen Nachteil?2) Ziel ist es beim Standort1 zwei virtuelle Domänen Controller zu betreiben. Für Standort2 haben wir uns überlegt, eventuell ein Serverhosting zu machen und dort einen DC(vielleicht auch nur einen RODC) zu betreiben, weil für physikalische Server ist der Standort nicht so geeignet(kein Rack, kein abschliessbarer Raum, kein Notstrom, keine Kühlung, altes Gebäude) Wie würdet Ihr das mit dem zweiten Standort handhaben?
3) Ist es das richtige Vorgehen, für beide Standorte unter "Active Directory-Standorte und -Dienste" das Subnetz und den Standort zu erstellen? Oder würdet ihr dass sogar als einen Standort mit zwei Subnetzen deklarieren?
Freundliche Grüsse
Joel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 291954
Url: https://administrator.de/contentid/291954
Printed on: April 18, 2024 at 22:04 o'clock
5 Comments
Latest comment
1) Ich werde diese beiden Standorte in eine Domäne zusammenfassen(example.net) und nicht in Subdomänen aufteilen(standort1.example.net & standort2.example.net). Oder seht ihr hier einen Nachteil?
Diese Frage beantwortet sich für Dich selbst, wenn Du Dich mit dem Begriff der Domäne auseinandersetzt.2) Ziel ist es beim Standort1 zwei virtuelle Domänen Controller zu betreiben. Für Standort2 haben wir uns überlegt, eventuell ein Serverhosting zu machen und dort einen DC(vielleicht auch nur einen RODC) zu betreiben, weil für physikalische Server ist der Standort nicht so geeignet(kein Rack, kein abschliessbarer Raum, kein Notstrom, keine Kühlung, altes Gebäude) Wie würdet Ihr das mit dem zweiten Standort handhaben?
Wenn Da vor Ort kein physikalischer Server bereitgestellt werden kann, welchen Sinn macht dann ein "Serverhosting", bzw. was ist das für Dich überhaupt? Meinst Du damit, einen Computer im Internet oder einem lokalen Rechenzentrum anzumieten oder eine VM bei Euch in der Zentrale dafür bereitzustellen? Für alle drei Fälle gilt: Macht keinen Sinn, es sei denn Du willst tatsächlich eine extra (Sub-)Domäne für diesen Standort einrichten.3) Ist es das richtige Vorgehen, für beide Standorte unter "Active Directory-Standorte und -Dienste" das Subnetz und den Standort zu erstellen? Oder würdet ihr dass sogar als einen Standort mit zwei Subnetzen deklarieren?
Na sicher macht das Sinn. Wenn am Standort ein eigener DC vorhanden ist, so können ihn die Clients nur über im AD abgebildete Standort als bevorzugten DC lokalisieren. Wenn kein DC vor Ort sein soll, dann nützen AD-Standorte immer noch für die Zuteilung von standortbezogenen GPO.E.
Hallo,
Was ist Serverhosting deiner Vorstellung nach? Bitte erläutern.
Muss nicht immer ein 19 Zoll 42 HE Rack sein mit 1200 * 1200 mm
Ein Gebäude ist alleine schon ein Abschließbarer Raum, oder ist das ein Kuh Unterschlupf im Freien?
Notstrom gibt es als Schuhkarton. Oftmals reichen die schon.
Kühlung? Was für eine Mördermaschine willst du denn dort haben wo ein eingebauter Lüfter nicht reicht? Wetten das die Mitarbeiter eher die grätsche machen.... Schon mal geschaut wie so manch ein Server in Simbabwe gekühlt wird? (Gar nicht).
Ob alt oder neues Gebäude - was hat das mit ein Server zu tun.
Gruß,
Peter
Was ist Serverhosting deiner Vorstellung nach? Bitte erläutern.
weil für physikalische Server ist der Standort nicht so geeignet(kein Rack, kein abschliessbarer Raum, kein Notstrom, keine Kühlung, altes Gebäude)
Was hat deine gesamte Aufzählung damit zu tun ob ein Server dort betrieben wird oder nicht?Muss nicht immer ein 19 Zoll 42 HE Rack sein mit 1200 * 1200 mm
Ein Gebäude ist alleine schon ein Abschließbarer Raum, oder ist das ein Kuh Unterschlupf im Freien?
Notstrom gibt es als Schuhkarton. Oftmals reichen die schon.
Kühlung? Was für eine Mördermaschine willst du denn dort haben wo ein eingebauter Lüfter nicht reicht? Wetten das die Mitarbeiter eher die grätsche machen.... Schon mal geschaut wie so manch ein Server in Simbabwe gekühlt wird? (Gar nicht).
Ob alt oder neues Gebäude - was hat das mit ein Server zu tun.
würdet Ihr das mit dem zweiten Standort handhaben?
Was willst du machen können....Gruß,
Peter
Hallo zusammen
Zuerst einmal vielen Dank für eure Antworten.
@emeriks
Bin mich damit am auseinandersetzen, aber ganz so klar ist es mir nicht. Eigentlich habe ich zu Beginn gedacht, für jeden Standort eine eigene Subdomäne, jedoch bin ich dann auch über Vorschläge gestolpert, wo einem nahegelegt wird, wenn möglich, alles über eine Domäne zu machen:
https://community.spiceworks.com/topic/354191-best-way-to-implement-acti ...
Und unsere Mitarbeiter pendeln oft zwischen den beiden Standorten hin und her, was laut dem Link von oben auch ein Argument für nur eine Domänen ist.
Was ich mit Serverhosting meine:
Man mietet bei einem Hoster eine VM, welche einem zur Verfügung gestellt wird. Man hat also eine VM, welche selbst verwaltet und konfiguriert werden kann. Zum Beispiel so etwas wie hier: https://www.hosteurope.ch/server/virtual-server/ oder Root Server Hosting wie dieses: https://www.hosteurope.ch/server/root-server/root/.
@Pjordorf
Bezüglich meiner Aufzählung. Was du sagst, stimmt natürlich.
Mit dem abschliessbaren Raum ist ein seperates Server"zimmer/raum" gemeint, weil die Räumlichkeiten von einer externen Firma gereinigt wird.
Und weil es ein altes Haus ist, kann es im Sommer sehr heiss werden, da wir im obersten Stockwerk sind. Wir haben bei unserem Hauptstandort ein paar Probleme mit der Wärmeentwicklung gehabt, deshalb bin ich hier sehr vorsichtig.
In erster Linie geht es aber einfach darum, ob die Anschaffung von Hardware überhaupt nötig ist, oder ob man es auslagern(Serverhosting, virtual Server, Root Server), oder gerade ganz weg lassen kann?
Vielen Dank und Gruss
Joel
Zuerst einmal vielen Dank für eure Antworten.
@emeriks
1) Ich werde diese beiden Standorte in eine Domäne zusammenfassen(example.net) und nicht in Subdomänen aufteilen(standort1.example.net & standort2.example.net). Oder seht ihr hier einen Nachteil?
Diese Frage beantwortet sich für Dich selbst, wenn Du Dich mit dem Begriff der Domäne auseinandersetzt.https://community.spiceworks.com/topic/354191-best-way-to-implement-acti ...
Und unsere Mitarbeiter pendeln oft zwischen den beiden Standorten hin und her, was laut dem Link von oben auch ein Argument für nur eine Domänen ist.
Was ich mit Serverhosting meine:
Man mietet bei einem Hoster eine VM, welche einem zur Verfügung gestellt wird. Man hat also eine VM, welche selbst verwaltet und konfiguriert werden kann. Zum Beispiel so etwas wie hier: https://www.hosteurope.ch/server/virtual-server/ oder Root Server Hosting wie dieses: https://www.hosteurope.ch/server/root-server/root/.
@Pjordorf
Bezüglich meiner Aufzählung. Was du sagst, stimmt natürlich.
Mit dem abschliessbaren Raum ist ein seperates Server"zimmer/raum" gemeint, weil die Räumlichkeiten von einer externen Firma gereinigt wird.
Und weil es ein altes Haus ist, kann es im Sommer sehr heiss werden, da wir im obersten Stockwerk sind. Wir haben bei unserem Hauptstandort ein paar Probleme mit der Wärmeentwicklung gehabt, deshalb bin ich hier sehr vorsichtig.
In erster Linie geht es aber einfach darum, ob die Anschaffung von Hardware überhaupt nötig ist, oder ob man es auslagern(Serverhosting, virtual Server, Root Server), oder gerade ganz weg lassen kann?
Was willst du machen können....
Mein Ziel ist es einfach, das Active Directory optimal aufzusetzen. Ich bin auch zwei Bücher über AD am durcharbeiten, aber das mit den Standorten und Subdomänen für die Aussenstelle verunsichert mich.Vielen Dank und Gruss
Joel
Die Domäne kann man auch hier wie im eigentlichen Wortsinn als "Verwaltungsbereich" übersetzen. Wenn Du also für einen anderen Standort einen eigenen, getrennten Verwaltungsbereich benötigst, bei welchem es z.B. erforderlich ist, dass jemand Domänen-Admin ist (warum auch immer das notwendig sein sollte), Du aber nicht willst, dass dieser Jemand auch in der Zentrale Admin ist, dann wäre das z.B. ein Grund für eine Subdomäne.
Oder Du willst dort nur einen Server haben (logisch, nicht physisch) - warum auch immer - und dieser soll DC sein und darauf muss dann eine Anwendung drauf. Und zur Verwaltung dieser muss jemand lokaler Admin sein. Damit wäre er BuiltIn-Admin in der Domäne. Ein Grund für eine Subdomäne. (Dieses Design wäre zwar grauenvoll, aber darum geht es gerade nicht.)
Wenn Du VM's pro Benutzer mieten willst, dann sollte Du bei diesem Hoster auch einen DC betreiben. Eigene Domäne oder nicht, egal.
Wenn diese VM aber der DC für den Standort sein soll, dann ist das Nonsens. Weil der DC für diesen Standort dann auch nur über WAN verfügbar wäre, was keinen Untesrchied zu den ebenfalls ur über WAN verfügbaren DC Eurer Zentrale macht.
Für nur 6 Mitarbeiter (und auch 6 PC?) brauch man aber nicht wirklich einen DC vor Ort. Dafür kann man DC, DNS, (WINS,) und auch DHCP komplett über die Leitung bereitstellen.
Fileserver- und Datenbank-Zugriff u.ä. vom PC aus sind da viel interessanter weil kritischer.
Oder Du willst dort nur einen Server haben (logisch, nicht physisch) - warum auch immer - und dieser soll DC sein und darauf muss dann eine Anwendung drauf. Und zur Verwaltung dieser muss jemand lokaler Admin sein. Damit wäre er BuiltIn-Admin in der Domäne. Ein Grund für eine Subdomäne. (Dieses Design wäre zwar grauenvoll, aber darum geht es gerade nicht.)
Wenn Du VM's pro Benutzer mieten willst, dann sollte Du bei diesem Hoster auch einen DC betreiben. Eigene Domäne oder nicht, egal.
Wenn diese VM aber der DC für den Standort sein soll, dann ist das Nonsens. Weil der DC für diesen Standort dann auch nur über WAN verfügbar wäre, was keinen Untesrchied zu den ebenfalls ur über WAN verfügbaren DC Eurer Zentrale macht.
Für nur 6 Mitarbeiter (und auch 6 PC?) brauch man aber nicht wirklich einen DC vor Ort. Dafür kann man DC, DNS, (WINS,) und auch DHCP komplett über die Leitung bereitstellen.
Fileserver- und Datenbank-Zugriff u.ä. vom PC aus sind da viel interessanter weil kritischer.
1
N'Abend.
Ich empfehle, bei einer Domain zu bleiben, sofern nicht irgendwelche Sicherheitsanforderungen eine gezielte Trennung zwischen den Standorten nötig macht (wobei man auch das über eine Domain darstellen könnte). Bei der geringen Anzahl der User wäre aber mehr als eine Domain imho administrativer Overkill.
Wenn du an Standort 2 viel File-/Datenbankzugriffe hast, wäre ein physischer Server natürlich empfehlenswert. Generell würde ich, um saubere Anmeldungen zu gewährleisten, einen DC an jedem Standort empfehlen, ist aber kein Muss; du kannst ohne DC an Standort 2 beginnen und wenn es zu häufig Probleme gibt (mit der Leitung etc.), nachträglich noch nen DC dorthin stellen. AD Sites and Services wären dann entsprechend anzupassen.
Was den Betrieb an Standort 2 betrifft:
- es gibt klimatisierte Racks, wenn man sie denn wirklich braucht
- Server können durchaus auch Tower-Geräte sein, mit abschliessbarer Front und per Kensington-Lock an die Heizung gekettet usw.
- Dito für USV, auch die gibt's als Standgeräte
Einen Root-Server irgendwo im RZ zu nehmen macht imho gar keinen Sinn in diesem Szenario, der steht ja dann auch nicht "lokal"; da du ne brauchbare IPSEC-Vernetzung hast, lieber Server an Standort 1 "sammeln". Da haste die Kisten direkt im Zugriff und machst dich nicht abhängig von Externen/Dritten (Leitung kann ausfallen, im RZ kann ein Problem auftreten usw; die Möglichkeiten für Probleme jedweder sind mannigfaltig).
Cheers,
jsysde
Ich empfehle, bei einer Domain zu bleiben, sofern nicht irgendwelche Sicherheitsanforderungen eine gezielte Trennung zwischen den Standorten nötig macht (wobei man auch das über eine Domain darstellen könnte). Bei der geringen Anzahl der User wäre aber mehr als eine Domain imho administrativer Overkill.
Wenn du an Standort 2 viel File-/Datenbankzugriffe hast, wäre ein physischer Server natürlich empfehlenswert. Generell würde ich, um saubere Anmeldungen zu gewährleisten, einen DC an jedem Standort empfehlen, ist aber kein Muss; du kannst ohne DC an Standort 2 beginnen und wenn es zu häufig Probleme gibt (mit der Leitung etc.), nachträglich noch nen DC dorthin stellen. AD Sites and Services wären dann entsprechend anzupassen.
Was den Betrieb an Standort 2 betrifft:
- es gibt klimatisierte Racks, wenn man sie denn wirklich braucht
- Server können durchaus auch Tower-Geräte sein, mit abschliessbarer Front und per Kensington-Lock an die Heizung gekettet usw.
- Dito für USV, auch die gibt's als Standgeräte
Einen Root-Server irgendwo im RZ zu nehmen macht imho gar keinen Sinn in diesem Szenario, der steht ja dann auch nicht "lokal"; da du ne brauchbare IPSEC-Vernetzung hast, lieber Server an Standort 1 "sammeln". Da haste die Kisten direkt im Zugriff und machst dich nicht abhängig von Externen/Dritten (Leitung kann ausfallen, im RZ kann ein Problem auftreten usw; die Möglichkeiten für Probleme jedweder sind mannigfaltig).
Cheers,
jsysde
1
