|
Windows 2000 / 2003 Migrations-Projekt
Phase 2: Design der Aktive Directory Struktur
Bis zum Beginn dieser Phase sollten alle Beteiligten mit den Active
Directory Grundlagen vertraut sein.
Die oberste Regel jeder AD Topologie lautet: "Keep IT Simple". Daraus
folgt, dass eine einzige AD Domain in einem Tree in einem Forest erst einmal das
optimale Design darstellt. Viele Fälle, in denen bei Windows NT eigene Domains
notwendig waren, lassen sie im AD durch OUs abbilden, die hierarchisch angeordnet
und für die Verantwortlichkeiten delegiert werden können.
Da der Ansatz mit mehreren Forests unbedingt vermieden werden soll, stehen folgende
Alternativen zur Entscheidung:
2.1 Alternative 1: Domain Modell
Dieses Modell benutzt eine einzige Domain für das komplette Unternehmen und
wird typischerweise kombiniert mit einer OU Struktur, die sich an den geografischen
Verhältnissen orientiert.
Vorteile:
- Zentrale Administration der Sicherheitsrichtlinien (Policies).
- Die OU Struktur ermöglicht dezentrale Administration.
- Extrem flexibles Model für Reorganisation, Firmenzukauf, etc.
- Einfachstes Verschieben von Objekten (User) innerhalb der Strukturen.
- Global Catalog Servers können eingespart werden, da jeder DC alle
Objekte repliziert bekommt.
- Einfachstes DNS Design: ein Name.
Nachteile:
- Kein Gefühl für "Verantwortung" vorhanden.
- Nur ein Satz von Password-Richtlinien (Account Policies) möglich.
- Bei großen Domains entsprechend hohe Hardware Anforderungen an DCs.
- Ineffektive Verwendung der WAN Leitungen, da jedes Objekt und jede Objekt-Änderung
an jeden DC übermittelt werden muss.
2.2 Alternative 2: Tree Modell
Dieses Modell erzeugt aus allen Domains einen einzigen Tree mit fortlaufendem
Namensraum. Die Wurzel Domain (die ja nicht gelöscht werden kann) fungiert
als Platzhalter für die Wurzel des Trees und für unternehmensweite Ressourcen.
Jeder Standort bzw. Unternehmensbereich wird durch eine sogenannte "First-Level
Domain" repräsentiert.
Vorteile:
- Der Namensraum repräsentiert die Struktur des Unternehmens.
- Benutzer und Administratoren finden eine gewohnte Umgebung.
- Unternehmensbereiche haben komplette Verfügungsgewalt über ihre Domains.
- Dezentrale Administration auf der Domain Ebene für GPOs, Passwort Policies etc.
- Alle DCs besitzen ein komplettes Replica nur von einem Teil der Objekte
des Forests, so dass die Hardware-Anforderungen an die DCs geringer sind,
die WAN Leitungen weniger belastet werden und LOGONs schneller ablaufen.
Nachteile:
- Reorganisationen benötigen einen immensen Aufwand.
- Benutzer- und Ressource-Verschiebungen zwischen Unternehmensbereichen sind nicht ganz einfach.
- Obwohl verbessert gegenüber dem "Domain Modell" ist das
Tree Modell auch nicht optimiert in Richtung WAN Benutzung; hierzu Bedarf
es der Definition von Sites (Standorten).
- Falls Domains an mehreren Standorten verfügbar sein müssen,
erfordert dies die lokale Installation von zusätzlichen DCs dieser
Domains.
2.3 Alternative 3: Forest Modell
Eine weitere Variante des Tree Modells ist das Forest Modell. Praktisch alle
Vor- und Nachteile des Tree Modells gelten auch für das Forest Modell. Der
wesentliche Unterschied ist, das bei diesem Modell der Namensraum nicht fortlaufend
ist - und nicht sein kann. Die erste Domain im Forest arbeitet auch hier als Wurzel
Domain.
Vorteile:
- Unternehmensbereiche können ihren bisher schon verwendeten Namensraum
weiterbenutzen und trotzdem in einem gemeinsamen Forest integriert sein.
Nachteile:
- Tiefere LDAP Abfragen müssen an einen GC Server gerichtet werden
und nicht an einen DC, ansonsten würde z.B. eine Abfrage nach einer
Ressource in AU.LOCAL, die an einen DC in KA.LOCAL gerichtet wird kein Ergebnis
finden.
2.4 Entscheidung
Die Mustermann AG entschied sich für das Tree Modell,
und dies aus folgenden Gründen:
[ … ]
|
Prospekt (PDF)
Screenshots
Webinterface
Download
Versionsübersicht
Technische Hilfe
Shop
Kontakt
English
LOGINventory