none
Startprobleme: Domäne, Subdomäne, dns RRS feed

  • Frage

  • Hi,

    Ich möchte ein AD aufsetzen mit dc-a fürs büro und dc-b fürs Rechenzentrum.

    Die DC's sollen in der domäne firma.com sein und jeweils intern.firma.com und extern.firma.com verwalten zwecks redundanz, falls doch mal einer abkratzt.

    Nun soll zb. lediglich von Mitarbeitern auf das Firmenwiki zugegriffen werden können, also wiki.firma.com


    Nun zu meinem Problem:

    Wenn ich dc-a aufsetze, und eine neue Gesamtstruktur erstelle und diese "firma.com" nenne hab ich den DC zwar im gewünschten Netz finde aber keine Möglichkeit diesem die Domäne intern.firma.com zuzuweisen und umgekehrt.

    Letztlich soll die Gesamtstruktur etwa so aussehen

    AD
    *firma.com
    **intern.firma.com
    **extern.firma.com

    Kann man dass so mit 2 DC's realisieren?


    Verzeiht mir die schwammige Ausdrucksweise, ich bin grad noch etwas unbeholfen :D

    Montag, 21. Dezember 2009 13:00

Antworten

  • > 2DC's zwecks redundanz ist das ziel, dass bedeutet ich habe auch 2 Domänen. (?)

    Nein, zwei DCs PRO Domäne wegen der Ausfallsicherheit. Du möchtest drei AD-Domänen erstellen (davon gehe ich zumindest aus),
    also solltest du idealerweise sechs DCs installieren. Pro Domäne zwei DCs.


    > kurzfristig habe ich mir gedacht, trägst du mal die Firewall als zweiten DNS-Server ein und kann somit vom auflösen.
    > dass sieht mir allerdings nicht nach einer elleganten Lösung aus.

    Das ist ohnehin die falsche Vorgehensweise. Du trägst im DNS-Server das du auf dem DC installiert hast eine Weiterleitung entweder auf den Router oder auf die DNS-Server deines ISPs ein. Die Firewall in den TCP/IP-Einstellungen des DCs solltest du entfernen. Den würde der DC ohnehin nur Fragen, wenn der bevorzugte DNS-Server nicht erreichbar wäre.


    > Wie sag ich der Domäne dass sie die Anfragen die sie nicht betreffen normal auflösen soll?

    Weiterleitung im DNS lautet das Stichwort!


    > Ich war der Auffassung  man können 2 DC's aufsetzen diese firma.com zuweisen und die beiden Domänen intern/extern.firma.com erstellen.
    > diese Synchronisieren damit ich einen Baum hab

    Moment mal. Über was reden wir hier? Reden wir über Active Directory-Domänen oder rein über DNS-Zonen?


    Gruß, Yusuf

    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - MVP Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Dienstag, 22. Dezember 2009 09:15
    Moderator

Alle Antworten

  • Servus,

    nein, das was du möchtest kann man so nicht durchführen.
    Mit einem Server den du zum Domänencontroller (DC) stufst, erstellst du eine neue Domäne und somit eine Gesamtstruktur (z.B. "intra.firma.de").
    Ein DC kann nur eine DC "einer" Domäne sein. Er kann nicht andere Domänen "verwalten". So etwas ist nicht möglich.

    Jede Domäne benötigt seinen eigenen DC.

    Möchtest du also diese drei Domänen erstellen:

    Root-Domäne: firma.com
    Subdomäne: intern.firma.com
    Subdomäne: extern.firma.com

    benötigst du mindestens drei DCs. Wobei ohnehin jede Domäne wegen der Ausfallsicherheit min. zwei DCs haben sollte.
    Die Frage ist aber eher, ob du wirklich drei Domänen benötigst. Die Tendenz ist eher, einen Single-Domain Forest zu erstellen.

    Denn der Nachteil bei mehreren Domänen ist:

    - Bei mehreren Domänen ist der adminstrative Aufwand (Updates,Virenscanner usw.) höher, da auch jede Domäne zwei DCs haben sollte.
    - Dadurch entstehen höhere Hardware- sowie Lizenzkosten.
    - Jeder DC sollte/muss vor Ort physikalisch geschützt sein.
    - Jede Domäne muss gesichert werden (Backup).

    Bei mehreren Domänen wären die Vorteile, wenn man z.B. unterschiedliche DNS-Namensräume haben möchte. Oder unterschiedliche Administratoren
    sollen "nur" ihre eigene Domäne verwalten. Mit mehreren Domänen kann man unterschiedliche Kennwortrichtlinien anwenden (bis einschließlich Windows Server 2003, ab Windows Server 2008 gibt es die Password Settings Objects, kurz PSO).

    Der Vorteil einer Domäne wäre z.B. das man nur eine DNS-Zone/Domäne verwalten muss.
    Mit einer Domäne hat man eine bessere Übersicht und leichtere Administration.

    Ich persönlich tendiere gerne zu dem Ein-Domänen-Modell, aber das kommt natürlich immer auf die Gegebenheiten darauf an.
    Evtl. solltet ihr euch dazu einen Dienstleister zur Seite holen.


    Auch bei der Wahl des Domänennamen sollte man Vorsicht walten lassen.

    Für die Wahl des Domänen-Namens, gibt es mehrere Varianten:

    1. Der Active Directory-Name lautet so wie die Internetdomain.

    2. Der Active Directory-Name ist eine Subdomäne zum externen Internet-Auftritt.
    Bedeutet, wenn der Inet-Auftritt "Contoso.com" lautet, so wäre der AD-Name
    "intra.contoso.com". Diese Variante, wäre auch meine empfohlene.

    3. Der Active Directory-Name ist ein anderer als die Inet-Domain z.B. contoso.local usw.
    Sogar die Endung LOCAL könnte in Zukunft zu Problemen führen.
    Denn es wäre denkbar, dass die Endung LOCAL offiziell wird (sowie info, biz usw.).

    4. Oder der Webauftritt lautet contoso.de und die interne AD-Domäne lautet contoso.net.
    Dabei sollten natürlich beide Domains beim ISP registriert werden.

    5. Die TLD AA, ZZ und die Bereiche QM–QZ und XA–XZ.
    http://de.wikipedia.org:80/wiki/ISO_3166

    6. Einen abstrakten AD-Domänennamen, unabhängig vom Firmennamen.
    Das hat den Vorteil, wenn sich die Firma umbenennt, muss nicht sofort die AD-Domäne wegen einem Namen unbenannt werden.


    Lange Rede kurzer Sinn: Nein, dein Vorhaben ist mit 2 DCs nicht zu realisieren.


    Gruß, Yusuf


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - MVP Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Montag, 21. Dezember 2009 16:23
    Moderator
  • Danke für die ausführliche Antwort.

    die Fragen mag auch an der Uhrzeit liegen jedoch stelle ich sie trotzdem mal:

    2DC's zwecks redundanz ist das ziel, dass bedeutet ich habe auch 2 Domänen. (?)

    Mal davon abgesehen, wenn ich nun eine domäne erstelle mit dem namen

    intern.firma.com

    (die Anfragen von Xendesktop etc. nicht weiterleitet aber sonst normal nach firma.com auflöst)

    geb ich dieser Domäne die IP vom dc01.intern.firma.com somit löst dc01.intern.firma.com auf die IP von eben diesem auf.
    Nun komme ich aber nocht nicht nach draussen.
    kurzfristig habe ich mir gedacht, trägst du mal die Firewall als zweiten DNS-Server ein und kann somit vom auflösen. dass sieht mir allerdings nicht nach einer elleganten Lösung aus.

    Wie sag ich der Domäne dass sie die Anfragen die sie nicht betreffen normal auflösen soll?

    Ich war der Auffassung  man können 2 DC's aufsetzen diese firma.com zuweisen und die beiden Domänen intern/extern.firma.com erstellen. diese Synchronisieren damit ich einen Baum hab

    firma.com
    *intern.firma.com
    *extern.firma.com

    Ich hoffe ich stelle nun die gleiche Frage erneut, allerdings Habe ich immernoch Probleme dies umzusetzen.
    Dienstag, 22. Dezember 2009 00:53
  • > 2DC's zwecks redundanz ist das ziel, dass bedeutet ich habe auch 2 Domänen. (?)

    Nein, zwei DCs PRO Domäne wegen der Ausfallsicherheit. Du möchtest drei AD-Domänen erstellen (davon gehe ich zumindest aus),
    also solltest du idealerweise sechs DCs installieren. Pro Domäne zwei DCs.


    > kurzfristig habe ich mir gedacht, trägst du mal die Firewall als zweiten DNS-Server ein und kann somit vom auflösen.
    > dass sieht mir allerdings nicht nach einer elleganten Lösung aus.

    Das ist ohnehin die falsche Vorgehensweise. Du trägst im DNS-Server das du auf dem DC installiert hast eine Weiterleitung entweder auf den Router oder auf die DNS-Server deines ISPs ein. Die Firewall in den TCP/IP-Einstellungen des DCs solltest du entfernen. Den würde der DC ohnehin nur Fragen, wenn der bevorzugte DNS-Server nicht erreichbar wäre.


    > Wie sag ich der Domäne dass sie die Anfragen die sie nicht betreffen normal auflösen soll?

    Weiterleitung im DNS lautet das Stichwort!


    > Ich war der Auffassung  man können 2 DC's aufsetzen diese firma.com zuweisen und die beiden Domänen intern/extern.firma.com erstellen.
    > diese Synchronisieren damit ich einen Baum hab

    Moment mal. Über was reden wir hier? Reden wir über Active Directory-Domänen oder rein über DNS-Zonen?


    Gruß, Yusuf

    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - MVP Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Dienstag, 22. Dezember 2009 09:15
    Moderator
  • Wir reden über Active Directory Domänen, wenn ich allerdings die Rechte/Nutzerverwaltung etc. nicht auf 2DC's/Domänen miteinander synchronisieren kann, brauch ich nen ganz anderen Ansatz.
    Dienstag, 22. Dezember 2009 09:38
  • > Wir reden über Active Directory Domänen

    Dann bin ich ja beruhigt (oder auch nicht). Somit gelten meine bisherigen Antworten.

    > wenn ich allerdings die Rechte/Nutzerverwaltung etc. nicht auf 2DC's/Domänen miteinander synchronisieren kann,
    > brauch ich nen ganz anderen Ansatz.

    Erzähl doch mal detaillierter was dein Problem bzw. dein Ziel ist. Wir diskutieren die ganze Zeit über das Problem deiner Lösung, anstatt die Lösung für dein Vorhaben zu suchen.


    Gruß, Yusuf
    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - MVP Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Dienstag, 22. Dezember 2009 10:00
    Moderator
  • Wir möchten hier eine redundante Struktur schaffen.

    XenDesktop einrichten und die Mitarbeiter-Arbeitsplätze damit versorgen, diesen Zugriff auf das Firmeninterne Wiki und den Fileserver gewähren (intern).

    Ausserdem sollen auch die Server unserer Housingkunden mit Zugriff auf ihren Server hinzugefügt werden (extern).

    Ich habe nun den dc01.intern.firma.com aufgesetzt und mit der Weiterleitung löst dieser auch auf.

    Damit ist ein Problemchen schonmal aus der Welt geschafft, vielen Dank :D.


    Nun ist die Frage, empfiehlt es sich sowohl Die Nutzer und Server des Rechenzentrums als auch die Interne Struktur über eine Domäne laufen zu lassen?

    Dienstag, 22. Dezember 2009 11:16