Active Directory.pdf - Gattner

Entwerfen der Domänenstruktur 175
Wichtig Die verfügbare Bandbreite zwischen Unternehmensstandorten ist möglicherweise das wichtigste
Kriterium für die Erstellung zusätzlicher Domänen in Unternehmen mit mehr als 10.000 Benutzern
und mit sehr begrenzter Bandbreite in WAN-Verknüpfungen zwischen Unternehmensstandorten. Da in
einer einzelnen Domäne alle Änderungen in AD DS auf alle Domänencontroller repliziert werden, kann
der AD DS-Replikationsdatenverkehr die gesamte verfügbare Bandbreite beanspruchen. Durch Erstellen
separater Domänen auf beiden Seiten einer langsamen WAN-Verknüpfung können Sie die für die Replikation
genutzte Netzwerkbandbreite erheblich reduzieren. Eine detaillierte Analyse der für die Replikation
erforderliche Bandbreite finden Sie unter „Determining Your Active Directory Design and Deployment
Strategy“ unter http://technet2.microsoft.com/windowsserver/en/library/ff92f142-66ea-498b-ad0fa379c411eb6e1033.mspx?mfr=true.
Dieser Leitfaden basiert auf dem Einsatz von Windows Server 2003-
Gesamtstrukturen. Viele der Grundsätze gelten auch für Windows Server 2008. Sie sollten außerdem im
TechCenter für Windows Server 2008 nach einer aktualisierten Version dieses Leitfadens suchen.
• Erstellen von Domänen basierend auf Geschäftseinheiten Einige Unternehmen erstellen zusätzliche
Domänen basierend auf Geschäftseinheiten. Dieser Entwurf ist die bevorzugte Option, wenn die
Geschäftseinheiten relativ eigenständig arbeiten oder wenn eine Geschäftsanforderung vorliegt,
dass für jede Geschäftseinheit ein separater Namespace verwaltet werden soll. Die Erstellung von
Domänen für Geschäftseinheiten ist relativ üblich in Unternehmen, die mehrere Fusionen und
Übernahmen erlebt haben.
• Erstellen von Konto- und Ressourcendomänen Einige Unternehmen erstellen zusätzliche Domänen,
um Konto- und Ressourcendomänen zu trennen. Dies ermöglicht Domänenadministratoren in
der Ressourcendomäne, sämtliche Aspekte der Ressourcenverwaltung vollständig zu kontrollieren,
ohne auf die Kontenverwaltung zuzugreifen. Die Trennung von Kontodomänen und Ressourcendomänen
war üblich in Unternehmen, die Windows NT 4.0 eingesetzt haben, und einige dieser
Unternehmen haben gerade die Windows NT-Domänen auf Active Directory migriert. Weil Sie in
AD DS den Administratorzugriff auf OU-Ebene delegieren können und weil AD DS Millionen
von Objekten enthalten können, ist es unter Windows Server 2008 AD DS wesentlich unwahrscheinlicher,
dass Konto- und Ressourcendomänen eingesetzt werden müssen.
Domänenstrukturen und -vertrauensstellungen
Wenn Sie der Gesamtstruktur weitere Domänen hinzufügen, kann dies entweder in einer Konfiguration
mit einer einzigen Struktur oder in einer Konfiguration mit mehreren Strukturen geschehen.
Wenn Sie alle Domänen in einer einzigen Struktur hinzufügen, besitzen alle Domänen einen zusammenhängenden
Namespace. (Sie fallen also unter den Namespace der Stammdomäne.) Dies ist häufig
der beste Entwurf für ein zentrales Unternehmen, in dem alle Geschäftseinheiten unter einem Namen
bekannt sind. Wenn das Unternehmen jedoch verschiedene Geschäftseinheiten mit unterschiedlichen
Identitäten besitzt, gibt es wahrscheinlich erheblichen Widerstand gegen die Verwendung des Namespaces
einer anderen Geschäftseinheit. In diesem Fall fügen Sie Domänen in verschiedenen Strukturen
hinzu und erstellen auf diese Weise mehrere Namespaces.
Standardkonfiguration von Vertrauensstellungen
Aus funktioneller Sicht gibt es fast keinen Unterschied zwischen einer einzigen und mehreren Strukturen.
In beiden Fällen nutzen alle Domänen eine transitive Vertrauensstellung mit allen übrigen
Domänen und teilen sich außerdem den globalen Katalog und den Container Konfiguration. Der Faktor,
der mehrere Strukturen komplizierter werden lässt, ist der Entwurf des DNS-Namespaces und die
Konfiguration der DNS-Server.