Active Directory: aantal domain controllers

Moet er alleen gevalideerd worden of moet de mail, bestanden, programma's etc ook toegankelijk zijn?

Ik zie het nut niet van de 2 resource domeinen? Waarom wil je meerdere domeinen maken, in principe is het bij domeinen less=more.

Het nut van de recource domeinen is dat dat je geen centrale admins hoeft te hebben. maar per locatie je admins in kan stellen. Hoewel het vrij makkelijk is om enterprise admin te worden. (elevation of priviledge)
Ik zal dus nagaan of je echt wel child domains wilt en inderdaad niet alleen root domain.
Ms beveelt dit volgens mij ook aan zo. Tenzij er echt een reden is ok het anders te doen, bijvoorbeeld security eisen.
Volgens mij heb je aan 3 dc's genoeg. op iedere locatie moet je minstens een global catalog server hebben. maar met twee global catalogs heb je meer fail back mogelijkheden. user authenticatie kan prima over een mb lijn plaats vinden. maar ik weet niet wat er verder over die lijn gaat? en hoe betrouwbaar deze lijn is. verder in het ook nog handig om te weten hoeveel clients je hebt en of dit allemaal Windows Xp/Vista is ivm logon caching (waardoor je ook kan inloggen als de global catalog nietbeschikbaar is.

[ Voor 19% gewijzigd door Fat Baba op 20-10-2007 11:34 ]

djluc schreef op zaterdag 20 oktober 2007 @ 11:20:
Ik zie het nut niet van de 2 resource domeinen? Waarom wil je meerdere domeinen maken, in principe is het bij domeinen less=more.

Inderdaad, de enige redenen die MS opgeeft om meerdere domeinen in te gaan zetten is omwege politieke redenen (bedrijfspolicy's etc) en om replicatieverkeer te kunnen regelen.

Resource en accountdomains stammen nog uit de NT4 tijd, toen je nog de beperking had dat de SAM database niet groter dan 40 MB mocht worden. Dit had tot gevolg dat er dus een beperking in het aantal objecten per domain was. Sinds AD is deze beperking praktisch niet meer van toepassing (tenzij het een hele grote onderneming is.

Ga gewoon voor één domein en één DC op elke lokatie. Maak deze vervolgens (aangezien er toch 4 mbit tussen ligt) beide Global Catalog.

Gaat het overigens om een compleet nieuwe omgeving, of moet je vanaf een bestaande (NT4) omgeving gaan migreren?.

Fat Baba schreef op zaterdag 20 oktober 2007 @ 11:28:
het nut van de recource domeinen is dat dat je geen centrale admins hoeft te hebben, maar per locatie je admins in kan stellen.

Maar da's ook prima met "delegation of control" te regelen. In mijn optiek is dat nog geen legitieme reden om voor elke lokatie maar een apart domein te bouwen. Trek deze redenatie maar eens door naar een organisatie met bv. 50 vestigingen en reken het aantal benodigde DC's vervolgens eens uit....

[ Voor 21% gewijzigd door Question Mark op 20-10-2007 11:36 ]

Question Mark schreef op zaterdag 20 oktober 2007 @ 11:34:
[...]
[...]om replicatieverkeer te kunnen regelen.[...]

Eens m.u.v. gequote puntje: Sites?

djluc schreef op zaterdag 20 oktober 2007 @ 11:40:
[...]
Eens m.u.v. gequote puntje: Sites?

Tussen sites wordt altijd nog gerepliceerd, ondanks dat er een interval in te stellen is.

Stel dat er twee lokaties zijn die helemaal niets met elkaar te maken hebben, dan kan het zonde van de bandbreedte zijn om deze lokatie toch hun AD-info te laten repliceren.

Ik weet het, 't is behoorlijk theoretisch en het zal in de praktijk nauwelijks voorkomen. Het is echter wel de theorie die in de whitepapers staat...

Waarom niet gewoon één domein met met twee sites maken en daar je replicatie schema op aanpassen ?
Je hebt maar twee domaincontrollers nodig die beide GC zijn, alle overige FSMO rollen houd je gewoon op de hoofdvestiging. Verder zou ik er voor kiezen om je AD domein niet de zelfde naam te geven als je internet domein maar er een fictieve tld extensie aan te koppelen(.tld / .ltd / .corp ... of zoiets), op die manier houd je die 2 ten alle tijden geschijden en zijn je interne resources nooit via het internet te benaderen.
Wat die admingroepen betreft: Delegation of control werkt perfect

wimmel_1 schreef op zaterdag 20 oktober 2007 @ 11:49:
Je hebt maar twee domaincontrollers nodig die beide GC zijn

Maak daar maar minimaal twee van.

Je houdt namelijk geen rekening met een mogelijke Exchangeomgeving (gal), redundancy, en andere factoren zoals de langzame site-to-site link.

Laten we wel wezen, er mist veel te veel info om een design plan te kunnen geven.
- aantal users
- aantal services (dus niet servers)
- HA eisen

en zo kan ik nog wel wat meer bedenken.

[ Voor 21% gewijzigd door alt-92 op 20-10-2007 12:19 ]

Fat Baba schreef op zaterdag 20 oktober 2007 @ 11:28:
Het nut van de recource domeinen is dat dat je geen centrale admins hoeft te hebben. maar per locatie je admins in kan stellen. Hoewel het vrij makkelijk is om enterprise admin te worden. (elevation of priviledge)

Dat kan niet zomaar in een subdomain. Alleen in het root domain kan je dat simpel regelen.

Ik ben eigenlijk wel een voorstander van de meerdere domains. Het probleem wat ik vaak zie met 1 groot domain is dat het op papier allemaal wel goed geregeld is kwa delegatie van rechten, maar dat het in praktijk toch niet goed geregeld is.
Bijv. omdat ze op de 2de lokatie ook verantwoordelijk zijn voor de domaincontroller aldaar en dat ze dus domain admin rechten nodig hebben omdat ze anders een virusscanner (oid) niet kunnen bedienen (wins is ook een leuke, aangezien dat geen ad object is, kan je dat ook niet delegeren). Je zit dan met de situatie dat er 2 domain admins zijn, die niet met elkaar praten (in 2 sites misschien nog geen probleem, maar met 50 sites absoluut wel).

Het kan wel goed gaan overigens, maar dan moet het zowel procedureel als technisch helemaal afgedekt zijn _vantevoren_.

Verder eens met hierboven, aantal gebruikers, applicaties etc zijn ook zeer van belang om te bepalen hoeveel dc's je nodig hebt.