none
AD in Forest konfigurieren RRS feed

  • Frage

  • Hallo,

    ich habe da mal eine oder zwei Verständnisfragen zum Domänen-Forest. Wir haben jetzt einen Server aufgesetzt:
    domain.com, konfiguriert als 2012 R2 Domäne mit einem 2008 R2 Forest.

    Jetzt haben wir einen weiteren 2012 R2 Server aufgesetzt und diesen in der Domäne eingehangen. Server:
    subdomain.domain.com

    Soweit so gut. Aber wenn ich jetzt in domain.com das AD aufrufe, dann sehe ich die Subdomains nicht. Kann man die da irgendwie einhängen, damit ich diese gleich verwalten kann ohne mich auf die Server aufzuschalten?

    Außerdem kann ich dann zwar das Login verwenden mit Name= 'domain\admin' aber wenn ich jetzt in subdomain.domain.com die AD aufrufe sind da keine User drin. Kann man die User von domain.com auf die subdomain.com weiterreplizieren?

    Und zum Schluß will ich natürlich die Gruppenrichtlinien nur einmal schreiben und nicht in jeder Subdomain eine Änderung per Hand machen. Bei ca. 10 Subdomains wird das schnell ganz unübersichtlich. Das würde aber auch bedeuten dass man die passenden OUs in der AD replizieren können müsste, oder?

    Oder sehe ich das ganze komplett falsch und ein Forest hilft kein bischen bei der Verwaltung?

    Mittwoch, 2. November 2016 15:22

Antworten

Alle Antworten

  • Am 02.11.2016 schrieb Marcel Gpunkt:
    Hi,

    Oder sehe ich das ganze komplett falsch und ein Forest hilft kein bischen bei der Verwaltung?

    BEi den "Fragen", würde ich auch diese Frage mit Ja beantworten. :) Ansonsten müßtest du mal beschreiben, was du erreichen willst, bspw. wozu man 11 Domänen benötigt.

    Bye
    Norbert


    Frank, I never thought I'd say this again. I'm getting the pig!
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Mittwoch, 2. November 2016 15:27
  • Wir haben ca. 10 Standorte die wir momentan betreuen (mit mehreren Kunden). Jeder Standort hat einen eigenen Server und könnte von der Gesamtstruktur getrennt werden, daher eine eigene Domäne, so dass diese eigenständig weiterlaufen kann, falls der Fall eintritt.

    Momentan laufen dort noch Arbeitsgruppen. Diese wollten wir aber jetzt nach und nach in einen Forest reinholen.


    Mittwoch, 2. November 2016 15:35
  • Am 02.11.2016 schrieb Marcel Gpunkt:

    Wir haben ca. 10 Standorte die wir momentan betreuen (mit mehreren Kunden). Jeder Standort hat einen eigenen Server und könnte von der Gesamtstruktur getrennt werden, daher eine eigene Domäne, so dass diese eigenständig weiterlaufen kann, falls der Fall eintritt.

    Wer ist wir und wie steht ihr zu diesen Standorten und den dortigen "Kunden?

    Im Zweifel empfiehlt sich bei solchen Design-Entscheidungen jemanden vor Ort zu Rate zu ziehen, der sich damit auskennt.

    Bye
    Norbert

    Mittwoch, 2. November 2016 15:49
  • Wir sind der technische Support. Ich bin eigentlich Programmierer und mein Kollege kennt sich mit Domänen nicht aus. Mehr Leute die sich damit auskennen gibt es nicht. Deshalb frage ich ja hier.

    Die Standorte teilen sich auf drei Kunden auf. Einer mit 1, einer mit 3 und einer mit 4 Standorten, plus unser Standort. Jetzt ist es schon häufiger vorgekommen, dass einer der Standorte von einem Kunden an den anderen verkauft wurde oder gänzlich aufgegeben oder neu aufgemacht wurde. Das kommt so einmal pro Jahr vor. Da will man natürlich nicht den kompletten Standort umbauen.

    Aber es wäre nett nicht die komplette Entscheidung und Struktur in Frage zu stellen und vielleicht etwas mehr auf meine Frage einzugehen. Wie verwende ich die AD in einem Forest am effektivsten? Ich möchte wenn möglich die kompletten Domänen aus der Headdomain heraus verwalten, sehe aber die Subdomains in meiner AD-Konsole ja gar nicht. Und kann ich Benutzer und Gruppenrichtlinien nach unten im Tree weitervererben?

    Donnerstag, 3. November 2016 07:52
  • Hi Marcel,

    grundsätzlich geht es um die Frage, warum Ihr überhaupt mehrere Domänen benötigt. Ist das eine Anforderung der Kunden oder eine Designentscheidung von Euch? Gerade in so einem Fall, wenn Standorte immer wieder dichtgemacht werden, ist es aus meiner Sicht einfacher, die Standorte in einer OU-Struktur abzubilden.

    Auch innerhalb einer einzigen Domäne kannst Du Ressourcen mittels klar definierter Berechtigungen sauber voneinander abgrenzen. Und Du hast das Verwaltungsproblem nicht, bzw. nicht so stark.


    Liebe Grüße

    Ben

    ____________________________

    MCSA Office 365

    MCSA SQL Server 2014

    MCITP Windows 7

    MCSA Windows 8/10

    MCSE Server Infrastructure

    ____________________________

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort. Danke! :-).

    Donnerstag, 3. November 2016 08:13
  • Am 03.11.2016 schrieb Ben-neB:
    Hi,

    Ist das eine Anforderung der Kunden oder eine Designentscheidung von Euch? Gerade in so einem Fall, wenn Standorte immer wieder dichtgemacht werden, ist es aus meiner Sicht einfacher, die Standorte in einer OU-Struktur abzubilden.

    So etwas läßt sich aber nicht im Forum sinnvoll maßschneidern. Da muß man dann eben mal jemanden rankommen lassen, meiner Meinung nach.

    Trotzdem viel Erfolg für den TO.

    Bye
    Norbert


    Dilbert's words of wisdom #10:
    I don't have an attitude problem. You have a perception problem.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Donnerstag, 3. November 2016 10:10
  • Also bringt ein Forest nicht mehr mit sich als ein automatischer Trust zwischen Root und Subdomain?

    Da müssen doch noch andere Vorteile drin sein...
    Ok, man könnte vielleicht die Filialen der Kunden die mehrere Standorte haben zusammenfassen, würde aber trotzdem zu einem Konstrukt von 3 Subdomains unter einem Root führen, nur dass dann die dritte Ebene wegfallen würde. Die Kunden können wir untereinander nicht zusammenschieben in eine Domäne, auch wenn es sicherlich das bequemste wäre.

    Donnerstag, 3. November 2016 10:17
  • Am 03.11.2016 schrieb Marcel Gpunkt:

    Also bringt ein Forest nicht mehr mit sich als ein automatischer Trust zwischen Root und Subdomain?

    Doch. Ein gemeinsames Schema bspw.

    Da müssen doch noch andere Vorteile drin sein...

    Ok, man könnte vielleicht die Filialen der Kunden die mehrere Standorte haben zusammenfassen, würde aber trotzdem zu einem Konstrukt von 3 Subdomains unter einem Root führen, nur dass dann die dritte Ebene wegfallen würde. Die Kunden können wir untereinander nicht zusammenschieben in eine Domäne, auch wenn es sicherlich das bequemste wäre.

    Welchen Vorteil versprichst du dir davon? Gibts überhaupt Anforderungen? Erst dann kann man über Lösungen sprechen. ;)
     Bye
    Norbert


    Dilbert's words of wisdom #34:
    When you don't know what to do, walk fast and look worried.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Donnerstag, 3. November 2016 10:44
  • Anforderung unserer Rechtsabteilung:

    Alle Kunden müssen komplett getrennt behandelt werden. Keine gemeinsame Domäne.

    Wunsch von mir als Admin:

    Möglichst leichte Verwaltung aller PCs im gesamten Netzwerk. Also wenn möglich mit nur einem Adminaccount alles administrieren können. Einstellungen steuern über GPOs (was auch bisher hervorragend klappt wo wir schon einzelne Domänen haben, nur dass wir da eben getrennte einzelne Domänen stehen haben und z.B. bei jeder Änderung einer GPO jede einzelne Domäne ebenfalls mit dieser Änderung betanken müssen). Gemeinsames DNS, so dass ich alle PCs anhand des Namens auflösen kann. Etc.


    Donnerstag, 3. November 2016 11:07
  • Am 03.11.2016 schrieb Marcel Gpunkt:
    Hi,

    Alle Kunden müssen komplett getrennt behandelt werden. Keine gemeinsame Domäne.

    Nur so als Tipp: Der Forest ist die Security Boundary im AD.
    Kannst ja mal danach suchen.
     > Wunsch von mir als Admin:


    Möglichst leichte Verwaltung aller PCs im gesamten Netzwerk. Also wenn möglich mit nur einem Adminaccount alles administrieren können.

    Aus Sicherheitsgründen keine besonders gute Idee.

    Bye
    Norbert

    Donnerstag, 3. November 2016 11:12
  • Ja, da hast Du Recht - es ging mir bei dem Punkt auch nur darum, dass man sich Dinge nicht unnötig verkomplizieren muss, wenn es nicht gefordert ist oder aus irgendwelchen Gründen sein MUSS. ;-)

    Liebe Grüße

    Ben

    ____________________________

    MCSA Office 365

    MCSA SQL Server 2014

    MCITP Windows 7

    MCSA Windows 8/10

    MCSE Server Infrastructure

    ____________________________

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort. Danke! :-).

    Donnerstag, 3. November 2016 11:35
  • Ok, ja, wäre wohl wichtig wenn wir wirklich pro Firma wenigstens einen Admin hätten. Haben wir aber nicht. Wir haben nur 2 Admins in der Root-Domain-Firma und die haben auf alles und jeden bei allen PCs in allen Unternehmen eh Zugriff. Security Boundary ist daher etwas... uninteressant.

    Aber dennoch wurden meine Fragen immer noch nicht beantwortet.

    Geht das nicht? Kann man sich in der AD-Konsole der Rootdomain nicht alles ADs anzeigen lassen? Kann man keine GPOs oder Benutzer vererben in die Subdomains?

    Donnerstag, 3. November 2016 12:16
  • Hi,

    mW sollte das schon gehen, die entsprechenden Berechtigungen vorausgesetzt.
    Bei GPOs gilt aber die Faustregel, dass Domänen die Sicherheitsgrenze darstellen, d.h. Du kannst keine Gruppenrichtlinien in der Root erstellen, die dann global für alle Domänen gelten. Du kannst Dir aber in der Root quasi "Muster-GPOs" bauen, die Du dann in die Subdomains kopierst. Du musst sie aber auf jeden Fall danach separat pflegen.


    Liebe Grüße

    Ben

    ____________________________

    MCSA Office 365

    MCSA SQL Server 2014

    MCITP Windows 7

    MCSA Windows 8/10

    MCSE Server Infrastructure

    ____________________________

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort. Danke! :-).

    Donnerstag, 3. November 2016 13:31
  • Mit kopieren meinst du bestimmt exportieren und dann überall einzeln importieren...

    Das würde wiederum heissen, dass es sinnvoller wäre zumindest die Kunden mit mehreren Standorten in einzelne Domänen zu verpacken. Dann muss ich nur rausfinden wie ich die Server dort an den "PDC" angleiche und dort "BDC"'s erstelle. Das ist soweit ich gehört habe eine obsolete Technik. Nur was passiert wenn das Internet ausfällt? Dann brauche ich ja immer noch BDC's...

    Ok, aber wie "importiere" ich mir die Subdomains in die AD-Konsole der Rootdomain? Ich habe keine Optionen dafür gefunden.

    Donnerstag, 3. November 2016 14:06
  • Ja, genau.

    PDC/BDC stammt aus NT-Zeiten, das gibt es nicht mehr.  Alle Domänencontroller sind gleichberechtigt, wobei bestimmte Rollen innerhalb des Active Directory von einzelnen Servern übernommen werden. Es gibt aber in dem Sinne keinen "Haupt"-Domänencontroller mehr.

    Unabhängig davon ist es Best Practice, pro Domäne mindestens 2 Domänencontroller bereitzustellen, da eine DC-Wiederherstellung zwar möglich, aber mit Vorsicht zu genießen ist.
    Was meinst Du mit "wenn das Internet ausfällt"?

    Ich denke nicht, dass Du mehrere Domänen innerhalb einer Konsole anzeigen lassen kannst - Du wirst wohl hin- und herschalten müssen. Es gibt ja beispielsweise in ADUC nur die Option "Domäne ändern", aber nicht "...hinzufügen".


    Liebe Grüße

    Ben

    ____________________________

    MCSA Office 365

    MCSA SQL Server 2014

    MCITP Windows 7

    MCSA Windows 8/10

    MCSE Server Infrastructure

    ____________________________

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort. Danke! :-).

    Donnerstag, 3. November 2016 15:17
  • Am 03.11.2016 schrieb Ben-neB:
    Hi,

    darstellen, d.h. Du kannst keine Gruppenrichtlinien in der Root erstellen, die dann global für alle Domänen gelten. Du kannst Dir aber in der Root quasi "Muster-GPOs" bauen, die Du dann in die Subdomains kopierst. Du musst sie aber auf jeden Fall danach separat pflegen.

    Was ist mit Standort-GPOs?

    Bye
    Norbert


    Dilbert's words of wisdom #34:
    When you don't know what to do, walk fast and look worried.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Donnerstag, 3. November 2016 15:42
  • > darstellen, d.h. Du kannst keine Gruppenrichtlinien in der Root
    > erstellen, die dann global für alle Domänen gelten.
     
    Innerhalb eines Forest ist das gar kein Problem :) Macht's aber auch
    nicht übersichtlicher...
     
    Donnerstag, 3. November 2016 17:36
  • Ich denke nicht, dass Du mehrere Domänen innerhalb einer Konsole anzeigen lassen kannst - Du wirst wohl hin- und herschalten müssen. Es gibt ja beispielsweise in ADUC nur die Option "Domäne ändern", aber nicht "...hinzufügen".


    Da bastelt man sich einfach eine mmc-Konsole mit mehreren dsa.msc-Instanzen mit jeweils unterschiedlichem Fokus.

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (in German) -> http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    • Als Antwort markiert Marcel Gpunkt Freitag, 4. November 2016 09:35
    Donnerstag, 3. November 2016 19:56
  • Danke. Genau das habe ich gesucht. Ist zwar nicht perfekt, aber man kann hier per Drag'n'Drop die GPOs kopieren von einer Domäne zur Anderen und in einer MMC auch mehrere Domänen gleichzeitig anzeigen. Kannte das sogar schon. Hab das nur vor 4 Jahren oder so das letzte Mal benutzt und daher ganz vergessen. Ein großes Dankeschön! :)
    Freitag, 4. November 2016 09:37