Active Directory implementatie vraagje.

Als je het over AD domeinen hebt heb je inderdaad 3 DC's nodig. Wellicht is virtualisatie een optie voor je.

Virtualiseren is goed, maar ik raad je ten sterkste af om de AD enkel virtueel te draaien. Zet ergens een pc waar je Windows Server ( 200x ) op zet en maak deze mee domain controller... Beetje meer full-proof...

tc982 schreef op maandag 01 november 2010 @ 13:32:
Virtualiseren is goed, maar ik raad je ten sterkste af om de AD enkel virtueel te draaien. Zet ergens een pc waar je Windows Server ( 200x ) op zet en maak deze mee domain controller... Beetje meer full-proof...

waarom wat is er niet full proof aan een VM omgeving bang dat de hypervisor niet meer werkt en dat er niemand meer kan inloggen ...lekker zinvol als je wel kan authenticeren maar vervolgens exchange/sql/crm/%enterpriseapp% niet meer werkt omdat het virtueel draait

mgoed mischien zie ik het wel verkeerd, dan laat ik me graag corrigeren

Anoniem: 319890 schreef op maandag 01 november 2010 @ 13:47:
Gewoon 1 forest, met daarin bedrijfsnaam.local. Dit is dan op het hoofdkantoor, en dan het datacentrum een child domein, onder dit hoofddomein. Dat doet ook wat we willen. dc.bedrijfsnaam.local.

Ook nog een bepaalde reden om een child domein te maken?

tc982 schreef op maandag 01 november 2010 @ 13:32:
Zet ergens een pc waar je Windows Server ( 200x ) op zet en maak deze mee domain controller... Beetje meer full-proof...

Dat lijkt me juist meer afbreuk doen aan een stabiele omgeving! Zet dan op z'n minst een server in. Als performance geen issue is (omdat de server weinig te doen heeft) kun je gaan voor een instapserver. Maar een PC.....

Ik zou ook zeker niet zomaar Child Domains maken. Wat is de toegevoegde waarde of wat probeer je hiermee te bereiken? AD kan prima met verschillende Sites overweg.
Door van deze structuur gebruik te maken, maak je het alleen maar moeilijker voor jezelf. Extra servers te onderhouden, een lastigere AD structuur, meer servers (is één DC op hoofdniveau wel voldoende of moet je van alles meerdere DC's gaan laten draaien).
Wat in ieder geval niet kan is om twee AD domeinen te hosten op één DC.

Anoniem: 319890 schreef op maandag 01 november 2010 @ 14:20:
Ik heb het liefst zo eenvoudig mogelijk beheer tussen de twee domeinen. De developers zijn constant bezig met het aanpassen van onze IIS servers in de webfarm, er wordt cosntant data gekopieerd, dus lijkt het mij de eenvoudgiste manier, met het minst mogelijke beheer voor alle rechten.

Als dat de reden is, zou ik ze eerder local admin op die betreffende servers maken (wel netjes met groepen werken natuurlijk en niet individuele gebruikers lid maken!)

[ Voor 23% gewijzigd door mbaltus op 01-11-2010 15:49 ]

Anoniem: 319890 schreef op maandag 01 november 2010 @ 16:21:
Ik moet eerlijk zeggen dat ik dit soort dingen wel vaker heb met MS producten. Er zijn zoveel wegen naar Rome En geen enkele is de "beste" of "juiste". Dit met die domeinen kan je weer op 10tallen manieren oplossen. Het maakt je aan het twijfelen of je wel de juiste keuze maakt.

De juiste keuze is er misschien niet eens..... In ieder geval moet je op zoek naar de juiste keuze voor jouw situatie.

Wat ik me wel nog voor kan stellen is dat je een Forest maakt. Dan heb je twee AD-domeinen (met onderlinge trusts). Het voordeel is dat je een betere scheiding van rechten/security kunt inregelen. Als de servers in het Datacenter alleen apps, etc. van klanten gehost worden, lijkt me dat een cleanere aanpak. Verder heb je dan geen root-DC nodig.

mbaltus schreef op maandag 01 november 2010 @ 16:45:
[...]

De juiste keuze is er misschien niet eens..... In ieder geval moet je op zoek naar de juiste keuze voor jouw situatie.

Wat ik me wel nog voor kan stellen is dat je een Forest maakt. Dan heb je twee AD-domeinen (met onderlinge trusts). Het voordeel is dat je een betere scheiding van rechten/security kunt inregelen. Als de servers in het Datacenter alleen apps, etc. van klanten gehost worden, lijkt me dat een cleanere aanpak. Verder heb je dan geen root-DC nodig.

pff ik zou gewoon 1 Domain aanhouden (KISS principe) en dan die servers in een aparte OU (duh ) met een 'delegation of control' ingesteld om beheer te verdelen.

_{KISS=Keep It Simple Stupid}

my 2 cents

Enerzijds eens met de eenvoud, maar aangezien het om hosting voor klanten gaat kan ik me ook voorstellen dat je een fijnere controle over rechten wilt hebben. Zijn beheerders (domain admins) van je KA ook beheerders van je klantomgeving?

Powershell schreef op maandag 01 november 2010 @ 16:48:
[...]


pff ik zou gewoon 1 Domain aanhouden (KISS principe) en dan die servers in een aparte OU (duh ) met een 'delegation of control' ingesteld om beheer te verdelen.

_{KISS=Keep It Simple Stupid}

my 2 cents

Daar sluit ik me bij aan. Bovendien is het voor een skilled administrator een fluitje van een cent om zich beheerdersrechten toe te eigenen in het root-domein.

Maar al in je startpost had ik het idee dat je niet helemaal kunt overzien wat je aan het doen bent. is het een idee om eens een consultant over de vloer te halen om je visie tegen iemand met kennis aan te houden?

Powershell schreef op maandag 01 november 2010 @ 14:09:
[...]


waarom wat is er niet full proof aan een VM omgeving bang dat de hypervisor niet meer werkt en dat er niemand meer kan inloggen ...lekker zinvol als je wel kan authenticeren maar vervolgens exchange/sql/crm/%enterpriseapp% niet meer werkt omdat het virtueel draait

mgoed mischien zie ik het wel verkeerd, dan laat ik me graag corrigeren

Goed en wel, maar een DC is meestal ook DNS, en je zal niet de eerste zijn die niet meer kan aanmelden op hun System Center omdat hun DC die virtueel is, down ligt. Ik zal er altijd voor zorgen dat ik minstens een managment server heb die ik ook DC kan maken. Meestal een low cost server ( DL180 ). Je lacht er misschien mee, maar ik heb het toch al een paar keer zo gezien dat het fout ging bij andere. Mij gaan ze hier niet mee hebben.

[ Voor 29% gewijzigd door tc982 op 01-11-2010 18:09 ]

tc982 schreef op maandag 01 november 2010 @ 18:07:
[...]


Goed en wel, maar een DC is meestal ook DNS, en je zal niet de eerste zijn die niet meer kan aanmelden op hun System Center omdat hun DC die virtueel is, down ligt. Ik zal er altijd voor zorgen dat ik minstens een managment server heb die ik ook DC kan maken. Meestal een low cost server ( DL180 ). Je lacht er misschien mee, maar ik heb het toch al een paar keer zo gezien dat het fout ging bij andere. Mij gaan ze hier niet mee hebben.

Ja uhh, daarom heeft de TS toch op beide locaties een DC draaien met een site-to-site VPN...?

tc982 schreef op maandag 01 november 2010 @ 18:07:
[...]


Goed en wel, maar een DC is meestal ook DNS, en je zal niet de eerste zijn die niet meer kan aanmelden op hun System Center omdat hun DC die virtueel is, down ligt. Ik zal er altijd voor zorgen dat ik minstens een managment server heb die ik ook DC kan maken. Meestal een low cost server ( DL180 ). Je lacht er misschien mee, maar ik heb het toch al een paar keer zo gezien dat het fout ging bij andere. Mij gaan ze hier niet mee hebben.

Kom op zeg, dan log je toch gewoon in op de hypervisor zelf? Daar heb je geen Virtual Center of SCVMM voor nodig hoor.

Anoniem: 319890 schreef op maandag 01 november 2010 @ 14:20:
[...]


Ik heb het liefst zo eenvoudig mogelijk beheer tussen de twee domeinen.

Dan hou je het juist bij één domain en gebruik je sites.

Of je moet met alle geweld een security boundary willen creeren met twee domains, maar dan nog zul je ergens je forest + root op moeten hosten.

Toevallig hier laatst ook in verdiept, hierbij wat interessant leesvoer. Wij draaien 1 forrest met daarin 1 domein, met hierin diverse sites voor routering en ou's voor delegatie. Onze opzet lijkt ook hetzelfde, kantooromgeving en een datacenter met daarin een hoop webservers en andere diensten.

Wat betreft virtuele domein controllers, prima te doen. Wij draaien zowel op kantoor als in het datacenter alle DC's virtueel. Het enige wat potentieel een probleem zou kunnen opleveren is dat virtuele klok tikken minder accuraat zijn en AD nogal tijds afhankelijk is. Zie dit artikel van VMware, hier ook wat andere opmerkingen van Microsoft. Het is mij iig altijd aangegeven als reden om DC's niet virtueel te draaien. Echter heb ik er zelf op meerdere lokaties / omgevingen nooit problemen mee ondervonden.

Betreft de redundantie van je virtuele DC's, dat is een kwestie van goed plannen, redundant netwerk, storage, hosts, en een regel in je VM omgeving dat de DC's niet op dezelfde host mogen staan moet genoeg zijn.

[ Voor 15% gewijzigd door wasted247 op 01-11-2010 21:49 ]

wasted247 schreef op maandag 01 november 2010 @ 20:03:
Wat betreft virtuele domein controllers, prima te doen. Wij draaien zowel op kantoor als in het datacenter alle DC's virtueel. Het enige wat potentieel een probleem zou kunnen opleveren is dat virtuele klok tikken minder accuraat zijn en AD nogal tijds afhankelijk is. Zie dit artikel van VMware, hier ook wat opmerkingen van Microsoft. Ik heb er echter nooit wat van gemerkt, maar het is mij iig altijd aangegeven als reden om DC's niet virtueel te draaien.

Best practice is om gevirtualiseede domain controllers ofwel vaker te laten synchroniseren met de PDC Emulator ofwel te synchroniseren tegen iets anders (hypervisor host of een ntp server). Ik zie niet in waarom je domain controllers niet zou virtualiseren terwijl je het issue met tijd makkelijk op kunt lossen.

Jazzy schreef op maandag 01 november 2010 @ 20:12:
Ik zie niet in waarom je domain controllers niet zou virtualiseren terwijl je het issue met tijd makkelijk op kunt lossen.

That's my point, in mijn ervaring kun je domain controllers prima virtualiseren.

Jazzy schreef op maandag 01 november 2010 @ 20:24:
Sorry, ik had je laatste zin niet goed begrepen.

Np, het stond er ook een beetje scheef. There, i fixed it

[ Voor 30% gewijzigd door wasted247 op 01-11-2010 21:49 ]

Sorry, ik had je laatste zin niet goed begrepen.

tc982 schreef op maandag 01 november 2010 @ 18:07:
[...]


Goed en wel, maar een DC is meestal ook DNS, en je zal niet de eerste zijn die niet meer kan aanmelden op hun System Center omdat hun DC die virtueel is, down ligt. Ik zal er altijd voor zorgen dat ik minstens een managment server heb die ik ook DC kan maken. Meestal een low cost server ( DL180 ). Je lacht er misschien mee, maar ik heb het toch al een paar keer zo gezien dat het fout ging bij andere. Mij gaan ze hier niet mee hebben.

HAHAHAHA sorry kon het niet laten om hier niet op te reageren. Wat voor prutsers ga je mee om dat die spullen op zn gat liggen?

voor de rest, i'm with ALT92, Powershell, Jazzy en wasted... niets aan toe te voegen. single domain, lekker virtualiseren.

Als je DC's niet wilt virtualiseren, omdat je hoofdreden zou zijn dat een DC altijd alive moet zijn, dan heb je zelf geen vertrouwen in je gevirtualiseerde omgeving. Touche als je geen redudancy onderhoudt of geen HA tot je beschikking hebt, maar dan nog. Een gevirtualiseerde server is sneller op te brengen dan een fysieke.
Echt als je bang bent voor down time van hypervisors, vertrouw je je eigen omgeving ook niet. Dan schoort het niet aan de hypervisors maar aan de inrichting of mensenlijke factor.

AD vergt wel meer kennis dan dat je nu laat blijken. In workgroups ben je aardig contained, maar met een AD....

Anoniem: 319890 schreef op woensdag 03 november 2010 @ 11:07:
Bedankt voor alle tips.

Ik ga er mee aan de slag, enh et eens op papier uitwerken, met 1 domein gescheiden door 2 sites.

Even checken, maar wat is volgens jou precies de reden om twee sites aan te maken?

Zodat replicatieverkeer niet over de lijn gaat dus. Prima, geslaagd.

Reden dat ik het vroeg ik dat ik niet zeker wist of het kwartje is gevallen. Je zegt verbvolgens namelijk:

De Microsoft manier zou met child domeinen werken in deze situatie, zeker de boeken over Windows server 2008, en AD gaan uit van die structuur. Vandaar dat ik daar mee kwam als eerste.

Er is niet zoiets als 'de Microsoft manier'. Je moet eerst je requirements helder hebben en dan een passende oplossing kiezen. Microsoft zal nooit een child domain adviseren als je slechts replicatieverkeer wilt verminderen tussen sites.

Anoniem: 319890 schreef op woensdag 03 november 2010 @ 11:28:
Zitten we hier op een examen of zo ?

Je moet het anders zien. Door tegen vragen te stellen hopen we dat jezelf tot meer inzicht komt zonder dat 'wij' jou een antwoord voorkauwen.

Hierdoor ontwikkel je zelf je kennis en kan je dus uiteindelijk tot een goed besluit komen.

En hoe gaat het plaatje er uit zien? Wellicht dat we daar nog haken en ogen kunnen aanwijzen, for free.

nog een leuke trouwens, default bij het opzetten van een nieuwe site staat inter-site replication (voor zover ik kan gokken, was weer tijd geleden) op anderhalf uur ofzo. Dit kun je (en zou ik ook doen) op 15 mins zetten. Waarom het default zo hoog staat weet en snap ik niet, 15 mins is in de meeste gevallen meest ideaal (ja taaltechnisch fout, i know).

Mocht je in de toekomst gaan groeien, en meerdere DC's neer knallen, is het aan te raden om hub (bridgehead) dc's te configureren. In principe gebeurd replication van domain controllers ook niet verder dan 3 hops (als in over 3 DC's, vergeet tcp/ip hops). Dit geldt voor zowel intra-site (dus max 3x8 secs) als inter-site (3x<var> waarbij <var> jouw replicatie waarde is die je zelf gezet hebt.

Deze info is nu misschien niet zo 123 van belang voor jou, maar met beheer is les 1 altijd voorbereid zijn op groei.

en nog wat leuke links voor je:
http://technet.microsoft....rary/cc755994(WS.10).aspx
http://technet.microsoft.com/en-us/library/bb742457.aspx

Razwer schreef op woensdag 03 november 2010 @ 19:06:
nog een leuke trouwens, default bij het opzetten van een nieuwe site staat inter-site replication (voor zover ik kan gokken, was weer tijd geleden) op anderhalf uur ofzo. Dit kun je (en zou ik ook doen) op 15 mins zetten. Waarom het default zo hoog staat weet en snap ik niet, 15 mins is in de meeste gevallen meest ideaal (ja taaltechnisch fout, i know).

alt-92 schreef op woensdag 03 november 2010 @ 20:31:
[...]

offtopic:
Omdat men nog steeds rekening houdt met het feit dat lang niet overal OC-96² pijpen liggen met trazillionbit bandbreedte maar soms nog lekker een 128bits lijntje over Timboektoe moet gebruiken naar Verweggelegenistan

lol dat is best wel onzin. mijn vorige werkgever, 30.000 werknemers (meer zelfs nu geloof ik, ze zijn weer eens op overname pad geweest) en dus een flinke AD, knikkeren gewoon een dc neer op een site met 2mbit sdsl, replication op 15 mins. Exchange ook nog eens remote, lijn trekt het op zijn dooie gemakkie. Soms zelfs sites met 512kbit. werkt prima met 15 mins setting
Aan de ene kant SMTP replication er uit slopen, en aan de andere kant rekening houden met trage lijnen, is een logica die ik niet snel vat.

[ Voor 8% gewijzigd door Razwer op 03-11-2010 20:45 ]

alt-92 schreef op woensdag 03 november 2010 @ 20:31:
[...]

offtopic:
Omdat men nog steeds rekening houdt met het feit dat lang niet overal OC-96² pijpen liggen met trazillionbit bandbreedte maar soms nog lekker een 128bits lijntje over Timboektoe moet gebruiken naar Verweggelegenistan

Dat, en het feit dat dit een waarde is die vanaf Windows 2000 al default op ingesteld staat. Windows 2000 had echter voor replicatie wel wat meer bandbreedte nodig dan de huidige Windows versies.

Anoniem: 319890 schreef op donderdag 04 november 2010 @ 13:11:
Voor nu ziet het plaatje er als volg uit.

[afbeelding]

De site to site vpn gaat ook gewoon over Internet, maar ik teken het even zo, om duidelijk te maken dat dat een dedicated DSL verbinding is met de andere kant.

Toch vraag ik me nog wel wat dingen af.

Is het niet "beter" om de twee kanten toch niet op te splitsen in verschillende domeinen ? Het is en blijft een webfarm, die natuurlijk veel gevoeliger is voor invloeden van buitenaf. Als het dan lukt om daar in te breken, zitten ze gelijk op ons hele netwerk. als we de domeinen opsplitsen kunnen we het wat beter scheiden lijkt me ?

Iig, nogmaals bedankt allemaal voor de posts.

Je kan dat doen idd maar dan zou ik een 2e dc (gc) neerzetten voor dat domein in je datacentre omdat je je fileserver daar niet in dat domein wilt hebben, tenzij die fileserver puur de webservers serveert uiteraard.
De filosofie achter multiple domains is voor in principe autonome sites die min of meer hun eigen beheer willen doen. (bijvoorbeeld PCI) security kan een andere zijn, maar dan is een totaal apart domein eerder een plan ipv een trust (door danwel een subdomain).
Verder is een flat domain structure altijd je uitgangspunt tenzij je echt een zwaarwegende reden hebt om dat niet te doen.

vergeet ook niet dat je als je wilt gaan subdomainen en bijv site1.bedrijf.local en site2.bedrijf.local wilt doen het slim is om het met toplevel structuur te doen. Dit kost je minimaal 2 (mits je fault tollerance wilt) domain controllers extra. bedrijf.local-->2x DC, site1.bedrijf.local-->2x DC, site2.bedrijf.local-->2xDC.
je kan het ook met 1 domain controller doen per domain maar dat zou ik persoonlijk te risky vinden.

Razwer schreef op woensdag 03 november 2010 @ 20:45:
lol dat is best wel onzin.[....]

Aan de ene kant SMTP replication er uit slopen, en aan de andere kant rekening houden met trage lijnen, is een logica die ik niet snel vat.

Bleek dat zo goed als niemand SMTP repl ooit echt gebruikt, dus waarom dan zo'n feature voor NT6 helemaal from scratch overdoen?
Want een Core DC kan wel, maar SMTP zit niet in Core.

alt-92 schreef op vrijdag 05 november 2010 @ 20:11:
[...]

Bleek dat zo goed als niemand SMTP repl ooit echt gebruikt, dus waarom dan zo'n feature voor NT6 helemaal from scratch overdoen?
Want een Core DC kan wel, maar SMTP zit niet in Core.

uiteraard, smtp replication is ook bagger gelimiteerd, het is gewoon uit de tijd. De beredenering van Question Mark kan ik me meer in vinden en dat vertaal ik dan naar luiheid aan de kant van MS om dat aspect van replication niet aangepast te hebben aan huidige tijden.

Ej, dan kunnen de certified prutsers tenminste nog laten zien dat ze dat papiertje waard zijn toch?