Benötige ich untergeordnete Domänen in AD?

Benötige ich untergeordnete Domänen in AD?

Ich habe eine Organisation mit Hauptsitz (ca. 150 Benutzer) in einer Stadt und 16 Zweigstellen (Gymnasien, jeweils 300–400 Benutzer) in jeweils einer anderen Stadt.

Was ich tun muss, ist, eine oder mehrere Domänen in AD für das Unternehmensnetzwerk zu erstellen.

Mir wurde Folgendes vorgeschlagen:

  • Erstellen Sie für jede Schule eine Organisationseinheit und delegieren Sie die Verwaltungskontrolle an den lokalen Administrator.
  • Erstellen Sie für jede Schule eine Site und steuern Sie die Replikationen (z. B. replizieren Sie sie nachts).
  • verfügen Sie über 1 funktionierenden DC und 1 Duplikat (Backup-DC) für Redundanz an jedem Standort (Schule)

Meine Frage ist

  • Muss ich für jeden Standort eine untergeordnete Domäne wie city1.school.org, city2.school.org usw. erstellen? Und welchen Nutzen hätte das?

Mir wurde gesagt, dass es mehr Kopfzerbrechen bereiten würde und dass es mehr von der logischen als von der physischen Organisationsstruktur abhängt. Ich würde jedoch gerne die Vor- und Nachteile davon hören und wissen, in welchen Fällen es besser geeignet ist.

Antwort1

Nein, mit ziemlicher Sicherheit nicht. Wenn Sie nicht politisch unter Druck stehen, einen Administrator effektiv auf alles zugreifen zu lassen, dann bleiben Sie bei einer Domäne. Es gibt Argumente hinsichtlich der Verwendung desselben DNS-Namespace, was für ein multinationales Unternehmen mit mehreren Marken vielleicht nicht geeignet ist, aber es klingt, als wäre das für Sie kein Problem. Auch das ist alles Blödsinn. In Bezug auf die Skalierbarkeit ist AD jetzt sehr gut skalierbar. Auch die Replikation kann recht gut gesteuert werden. Seit Windows 2000 Server hat sich einiges getan.

Umgekehrt lässt sich sagen, dass mehrere Domänen den Betriebsaufwand erhöhen (durch die alltägliche Benutzer-/Gruppenverwaltung, Auditierung, Sicherung von AD-Backups, Nachweis der Wiederherstellung usw.), aber auch zu möglichen Konfigurationsinkonsistenzen zwischen den Domänen führen.

Einzelne Domäne... der Weg nach vorn.

Lassen Sie sich in Bezug auf die Platzierung der Rechenzentren nicht zu sehr von Microsofts Modell mit zwei Rechenzentren pro Standort mitreißen. Sehen Sie sich Ihre WAN-Verbindungen und insbesondere die Triangulation in Standorte an. Wenn Sie redundante Verbindungen haben und die MTBF dieser Verbindungen hoch ist, sollten Sie nicht unnötig viel Aufwand betreiben. Ich weiß nicht, wie groß/autonom Ihre Schulen sind. Wenn die Latenz Ihrer Verbindungen jedoch hoch ist, sind Rechenzentren vor Ort möglicherweise erforderlich. Dieses ganze Argument hängt vom Servicelevel ab, das Ihnen Ihr WAN bietet. Sie können bei Bedarf jederzeit zusätzliche Rechenzentren hinzufügen. Sie zu entfernen ist nicht ganz so einfach (Erfahrung vs. Theorie).

Vergessen Sie auch nicht die Read Only Domain Controller (RODCs), die auf dem Server-Core wunderbar funktionieren. Das ist für Sie vielleicht nicht relevant, da Ihre Schulen anscheinend ziemlich autonom sind, aber wenn Sie beispielsweise eine kleinere Schule hätten, die ihre Benutzerverwaltung nicht selbst durchführen könnte, wäre ein RODC fantastisch.

Kurz gesagt: Bringen Sie Ihre Bolotics in den Griff und lassen Sie anschließend eine WAN-Umfrage durchführen.

Antwort2

Generell sollten Sie immer versuchen, eine möglichst flache Domänenstruktur zu haben, vorzugsweise eine einzelne Domäne. Die Aufteilung in Domänen sollte klare geschäftliche Gründe haben, da es nur wenige technische Gründe gibt, ein Active Directory-System auf diese Weise zu „strukturieren“. Mehrere Domänen erzeugen Komplexität, die bei auftretenden Problemen entmutigend sein kann. Domänen haben Vertrauensstellungen, die brechen können, und das führt zu Chaos bei so ziemlich allem.

Einige der Entscheidungskriterien können politisch motiviert sein. Es kann Entitäten geben, die Kontrolle über eine Sicherheitsgrenze benötigen. Eine Möglichkeit, dies zu tun, besteht darin, ihnen eine eigene Domäne zuzuweisen. Ein Beispiel wäre die US-Regierung, wo es nicht ungewöhnlich ist, dass ein Ministerium seine eigene Gesamtstruktur hat und die zuständigen Behörden ihre eigene Domäne. Abgesehen von der Politik ist die technische Begründung dafür nicht immer überzeugend. Vor Windows 2008 erforderten einige Dinge wie Kennwortrichtlinien möglicherweise eine eigene Domäne. Ein technischer Grund kann sein, dass eine andere Domäne eine funktionale Domänenebene von Active Directory verwenden möchte, die derzeit nicht verfügbar ist, wenn sie in einer einzigen Domäne konsolidiert wären.

Manche Leute sind der Meinung, dass bestimmte Arten von Geschäftseinheiten Kandidaten für separate Domänen sind, wie etwa hundertprozentige Tochtergesellschaften, bei denen die Strategie darin besteht, sie letztendlich in ein separates Unternehmen auszugliedern. Oder wenn regulatorische Anforderungen eine Trennung der Belange vorschreiben, etwa wenn es eine Geschäftseinheit gibt, die strengen regulatorischen oder finanziellen Kontrollen unterliegt, oder wenn eine Geschäftseinheit eine gemeinnützige Stiftung ist.

verwandte Informationen