Eine oder mehrere Domänen?

Best Practice

Nur eine Domäne in einer einzelnen Gesamtstruktur!

Wenn Sie schon einmal eine Microsoft-Prüfung absolviert haben, so sind Sie bestimmt auch schon mit einer der zahlreichen und sehr realistischen Aufgaben konfrontiert gewesen, bei welchen es um Gesamtstrukturen mit 20 Domänen und 4‘000 Domänencontroller geht. Im Gegenzug wird jedoch zelebriert, dass ein Active Directory – also eine Domäne – Millionen von Objekten beherbergen kann. Somit müsste es doch eigentlich möglich sein, jegliche Infrastrukturen jeder Unternehmung in einem einzelnen Active Directory unterzubringen – oder?

Sind wir einmal etwas realistischer und gehen wir davon aus (was auch der Tatsache entspricht), dass eine Windows-Domäne gut und gerne eine Million Objekte beinhalten kann (d.h. Benutzer, Computer, Drucker, Gruppen, etc.).

Hinweis

Eine der grössten Firmen weltweit ist die Siemens mit ca. 400‘000 Mitarbeitern. Einmal abgesehen davon, dass nicht jeder Mitarbeiter von Siemens über ein Benutzer- und Computerkonto in der Domäne verfügt, würde auch in diesem Falle (technisch gesehen) eine Domäne reichen.

Alle Objekte lassen sich in Organisationseinheiten verschachteln, Standorte lassen sich mit den dazugehörigen Teilnetzen abbilden, Berechtigungen lassen sich delegieren und die Replikation lässt sich sehr detailliert steuern.

Es gibt eigentlich wirklich nur einen Grund, mehrere Domänen über einen längeren Zeitraum zu betreiben und dieser Grund lässt sich mit einem Wort zusammenfassen: Politik! Da ich mich als Informatiker nicht wirklich politisch engagiere, versuche ich jedem Kunden die Variante mit mehreren Domänen auszureden – meistens auch sehr erfolgreich. Wenn man bedenkt, wie viel grösser der Verwaltungsaufwand wird, wenn mehr als eine Domäne in einer Gesamtstruktur (einem Forest) existiert, so schmälert sich der Nutzen enorm:

  • mehrere DNS-Namensräume, die gepflegt und gegenseitig verbunden werden müssen
  • die Vertrauensstellungen müssen optimal geplant und zur Verfügung gestellt werden
  • die domänenübergreifende Berechtigungsstruktur muss gut durchdacht eingerichtet werden
  • die Anmeldenamen müssen vereinheitlicht werden, um ein möglichst einfaches System für die Anwender zu erreichen
  • die Gruppenrichtlinien müssen mehrfach erstellt und gepflegt werden
  • verschiedenste Gruppen müssen mehrfach erstellt und gepflegt werden
  • die gesamte Umgebung muss stets aktuell dokumentiert sein

Immer noch nicht davon überzeugt? Dann möchte ich gerne im nachfolgenden Abschnitt mit einem kleinen Fragen-Antwort-Spiel die letzten Zweifel aus der Welt schaffen:

Wir verfügen über Lokationen in mehreren Kontinenten und möchten deshalb pro Kontinent eine andere Domäne erstellen!

Falsch: Verschiedene Lokationen bedeuten verschiedene Standorte. Diese können unabhängig vom Domänen-Entwurf als Standorte in Active Directory abgebildet werden. Jedem Standort werden hierfür ein oder auch mehrere Teilnetze zugeordnet. Der Vorteil darin besteht in der Tatsache, dass der Anmelde-, sowie auch der Replikationsverkehr besser gesteuert werden kann. Bei jedem Anmeldevorgang eines Clients wird immer ein Domänencontroller desselben Standorts kontaktiert, sofern dieser zur Verfügung steht. Weiter replizieren sich zwei Domänencontroller innerhalb desselben Standorts häufiger, als zwei Domänencontroller, welche sich nicht am gleichen Standort befinden.

Wir verfügen über zwei Administrations-Teams, welche jeweils nur über deren Bereich die volle Kontrolle erhalten sollen!

Falsch: In diesem Falle kann die Berechtigung für die jeweiligen Administrations-Teams einfach an die entsprechenden Organisationseinheiten delegiert werden. Unter Windows 2000 Server bis zu Windows Server 2008 kann sehr detailliert definiert werden, wer auf welche Inhalte und Dienste einen Zugriff erhält.

Wir müssen mehrere Kennwort-Richtlinien durchsetzen und haben deshalb mehrere Domänen in Betrieb!

Teilweise Falsch: Bekanntlich gibt es nur eine Gruppenrichtlinie, welche bei den Kennwort- und Kontorichtlinien durchschlagend ist: Die „Default-Domain-Policy“. Falls andere Gruppenrichtlinien mit diesen Einstellungen erstellt und auf eine Organisationseinheit verknüpft werden, so beziehen sich diese nur auf die lokalen Einstellungen eines Clients und somit auf die lokale Anmeldung am System. Es ist jedoch in keiner Umgebung wünschenswert, dass ich irgendein Benutzer lokal am System authentifiziert.

Tipp

Diese Regel gilt auch unter Windows Server 2008 – Aber: Unter Windows Server 2008 ist es auch möglich, sogenannte Password Setting Objects (PSO) zu erstellen, welche sich auf einzelne Benutzer oder Gruppen auswirken können. Diese PSOs sind nicht gerade sehr benutzerfreundlich zu konfigurieren – können jedoch diesen Umstand beheben und es demnach ermöglichen, in einer einzelnen Domäne über mehrere verschiedene Kennwort- und Kontorichtlinien zu verfügen.

Um unter Windows Server 2008 jedoch PSOs erstellen zu können, müssen alle Domänencontroller der Domäne mit dieser Windows-Version betrieben werden. Somit kann die Domänen-Funktionsebene auf „Windows Server 2008“ angehoben werden, welche dann diese Funktion freischaltet.

Wir haben gerade eine andere Firma aufgekauft und lassen diese deshalb als separate Domäne weiterlaufen!

Teilweise Richtig: In dieser Situation kann man von keinem Informatik-Team der Welt erwarten, dass die beiden Gesamtstrukturen sofort ineinander integriert werden. Dies benötigt Zeit für eine sorgfältige Planung der Umsetzung und hat oft sehr viele Begleitaspekte (wie Berechtigungsstruktur, Arbeitsabläufe, Dienste und Applikationen). Dennoch ist diese Situation keine Dauerlösung, da die Firma ja als Einheit auftreten möchte (das war wohl auch der Grund für den Aufkauf). Längerfristig sollten diese Gesamtstrukturen also miteinander kombiniert werden, was keine allzu einfache Aufgabe ist.

Dem Management geht es oft nur um einen einheitlichen Auftritt gegenüber den Kunden, Lieferanten und Partnern. Dies lässt sich oft nur über eine einheitliche E-Mailadresse lösen, ohne gleich die ganzen Gesamtstrukturen zusammen zu legen. Ferner lässt sich der Datenaustausch auch über Vertrauensstellungen zwischen den Domänen erreichen, was grundsätzlich den ersten technischen Schritt darstellt.

Hinweis

Ein Projekt zur Integration beider Gesamtstrukturen ist in den Augen des Managements deshalb oft nur ein unnötiger Kostenpunkt – v.a. weil Microsoft seit Windows Server 2003 die neue Funktion der „Forest-Trusts“ (Gesamtstruktur-Vertrauensstellungen) anbietet, bei welchem sich nur noch die Stamm-Domänen beider Gesamtstrukturen vertrauen müssen, um beide Gesamtstrukturen komplett miteinander zu verbinden.

VN:F [1.9.22_1171]
Rating: 10.0/10 (5 votes cast)
VN:F [1.9.22_1171]
Rating: +7 (from 7 votes)
Eine oder mehrere Domänen?, 10.0 out of 10 based on 5 ratings

Schreib einen Kommentar