[ADS] nadelen van een child domain

Wat is in godsnaam een Sister domain?

Misschien de naam...

Als je onder je hoofdkantoor komt krijgt jij domijn de naam:
blabla.hoofdkantoor.root.nl(ofzo)

Als je onder de root komt krijg je de naam:

blabla.root.nl

Het grootste nadeel zou kunnen zijn dat je geen Eadmin bent.

dit is geen PNS dit is gewoon een hele slordige post. Ik heb het nu 3 keer doorgelezen en ik begrijp er nog geen hout van. Over wat voor domein heb je het. Een domein mbt hostname een windows domain ikke niet begrijpen en ik ben vast niet de enige

volgens mij heeft de topic starter een beetje last van het bekende bel/klepel wel gehoord niet weten te hangen syndroom

Het lijkt me verstandig dat jij eerst ff een boek door gaat lezen, bijv. les stof voor de 20-217 module van het MCSE.
Das een beetje de basis van Active Directory.

Maar je vraag is dus wat het voordeel/nadeel van een child domain is.

Dan vraag ik jou, waarom wil je een child domain maken, wat wil je bereiken?
Wat is je doel, visie?

Zowel TrailBlazer als arjo_kamp moeten zich eens in AD verdiepen en niet zo'n grote muil opentrekken over andermans kennis. eLeCtRaBeLg poogt hier een diskussie te voeren over het single tree model versus het multiple trees model.

In het geval van multiple trees heb je in ieder geval twee problemen gecreëerd: 1) al je clients moet je gaan configureren voor verschillende domain suffixes (hoe vindt clientpc.nl.company.com de server.be.company.com?) 2) je DNS zones repliceren niet middels AD; je zult zone transfers moeten toepassen.

Deze problemen zijn niet onoverkomelijk, maar je moet er wel vantevoren rekening mee houden.

[disclaimer]
Overigens garandeer ik niet dat dit de enige twee problemen zijn die je gaat tegenkomen.
[/disclaimer]

Op dinsdag 18 juni 2002 14:08 schreef eLeCtRaBeLg het volgende:

[..]

Ehhh laat de vraag maar zitten, ik weet het wel anders op te lossen.

Het word niet helemaal goed begrepen.

Ik bedoel het absuluut niet negatief.

Maar sister domains bestaan niet in AD
Child domains wel.
Microsoft raad in principe af child domain te maken, als het ook op te lossen is met OU's.

VOor de rest is AD super gaaf/stoer/perfect.
Maar alleen als je het zelf compleet snapt.
Als je de intensie van AD vanuit microsofts ogen niet begrijpt, dan zal je AD domain een prutteltje worden.

Op dinsdag 18 juni 2002 14:18 schreef Brahiewahiewa het volgende:
Zowel TrailBlazer als arjo_kamp moeten zich eens in AD verdiepen en niet zo'n grote muil opentrekken over andermans kennis. eLeCtRaBeLg poogt hier een diskussie te voeren over het single tree model versus het multiple trees model.

Het ging mij erom dat de eerste post al niet heel erg duidelijk is. Dat vind ik zeker voor PNS om daar te horen.
Mischien iets te grof gezegd daarvoor mijn excuses

Op dinsdag 18 juni 2002 14:08 schreef eLeCtRaBeLg het volgende:

[..]

Ehhh laat de vraag maar zitten, ik weet het wel anders op te lossen.

Het word niet helemaal goed begrepen.

[edit]
Hoofdkantoor zit in Belgie, dat binnenkort overgaat op Windows 2000

Wij, dochteronderneming, zitten in Nederland en moeten straks de netwerken aan elkaar koppelen.

We zijn met het hoofdkantoor tot de conclusie gekomen dat we een child domain worden onder het root domain.
Dus
root domain ---> HK Belgie
root domain ---> wij.

Nu willen wij hier weten wat de voordelen/nadelen zijn van het volgende scenario

root domain ---> HK Belgie --->wij

Zo iets duidelijker
Zoniet, laat dan maar zitten

ik snap nou wat je bedoelt, OF een tree met cild domains, of een forest met verschillende root domains

Normalite moet je ALS het mogelijk is alles binnen 1 root domain houden.

Er kunnen verschillende redenen zijn waarom je het wel/niet zou doen.

bijv. verschillende FQDN namen

bijv. bedrijf.nl en bedrijf.be
Of als beide bedrijven opzichzelf werken, en ook niks met elkaar te doen hebben.

Het ligt er allemaal aan hoe een bedrijf "organisatorisch" in elkaar steekt.

Op dinsdag 18 juni 2002 14:18 schreef Brahiewahiewa het volgende:
Zowel TrailBlazer als arjo_kamp moeten zich eens in AD verdiepen en niet zo'n grote muil opentrekken over andermans kennis. eLeCtRaBeLg poogt hier een diskussie te voeren over het single tree model versus het multiple trees model.

In het geval van multiple trees heb je in ieder geval twee problemen gecreëerd: 1) al je clients moet je gaan configureren voor verschillende domain suffixes (hoe vindt clientpc.nl.company.com de server.be.company.com?) 2) je DNS zones repliceren niet middels AD; je zult zone transfers moeten toepassen.

Deze problemen zijn niet onoverkomelijk, maar je moet er wel vantevoren rekening mee houden.

[disclaimer]
Overigens garandeer ik niet dat dit de enige twee problemen zijn die je gaat tegenkomen.
[/disclaimer]

ik blaas niet hoog van de toren, en trailblazer ook niet, we praatten alleen op verschillende frequenties, nou snappen we elkaar wel! En ik heb me WEL in AD verdiept, jij ook?

Move Koffie -> Predator

Even op basis van jouw [ code ] achtige opzet, even een redo met de juiste benamingen:

Een sister domain (hoe grappig ook) bestaat echt niet. Er is geen noemenswaardig nadeel van een child domain of een grandchild domain, alleen als je kiest voor een grandchild domain, dan wordt je domain namespace wel erg lang (grandchild.child.root.tld). Het advies van Microsoft (wat jij IMO ook zou moeten volgen) is je AD zo plat mogelijk houden dus ik zo het volgende doen:

Op dinsdag 18 juni 2002 15:53 schreef eLeCtRaBeLg het volgende:

[..]

Ik bedoelde het ook niet negatief jou kant op
OK sister domain, is een term die de Belgen gebruikt hebben.
Ik heb hem gebruikt als uitleg, maar dat kwam niethelemaal over

Waarom eigen domain?
Omdat wij zo min mogelijk afhankelijk willen zijn van het Hoofdkantoor.

Wij willen namelijk onze eigen "Domain User Security Policy's kunnen implementeren.

Volledige controle hebben over alle objecten in het domain, aangezien wij ook nog weer kleine bedrijfjes onder ons hebben, die eventueel als OU zouden kunnen fungeren.

Als we een domain worden binnen onze ADS, zou dat het replicatie verkeer tussen Belgie en Nederland sterk terugdringen.

Daar hoef je geen eigen root domein voor te hebben.

Ik had idd een root domain gemaakt.

Daaronder 2 child domains belgie en nederland

en de nederlandse bedrijven als OU's onder het Nederlandse child domain gehangen.

Je kunt policies vrijwel op elke niveau aanbrengen, zowel op root domain/child domain/ou/evt. child OU's

Je moet er rekening mee houden, dat voor elk domein wat je maakt min. 2 DC's nodig hebt.

Je zou ook alles in 1 domain kunnen gooien, en per land een OU maken, en vervolgens van de filialen per land een CHILD ou kunnen maken.

er kan zoveel!!

Gaan ze eindelijk over op Win2k Dennis? Doe de groeten aan Carlos

Op dinsdag 18 juni 2002 14:18 schreef arjo_kamp het volgende:

[..]

VOor de rest is AD super gaaf/stoer/perfect.

Weet je wat er gebeurt als een Windows 2000 server een corrupte DNS entry (Active Directory Integrated) lekker repliceert naar zo'n kleine 200 andere servers in een AD ?

Kunnen we sinds vorige week over meepraten. Je wilt niet weten wie we daar allemaal niet bijgehaald hebben om de problemen op te lossen. Vanaf dat moment zijn er ineens een stel minder enthousiast over AD.

Op woensdag 19 juni 2002 15:00 schreef EdwinW het volgende:

[..]

Weet je wat er gebeurt als een Windows 2000 server een corrupte DNS entry (Active Directory Integrated) lekker repliceert naar zo'n kleine 200 andere servers in een AD ?

Kunnen we sinds vorige week over meepraten. Je wilt niet weten wie we daar allemaal niet bijgehaald hebben om de problemen op te lossen. Vanaf dat moment zijn er ineens een stel minder enthousiast over AD.

ff nadenken, wat kun je daar aan doen.

Uhm, backup terug draaien van de system state.

booten in de directory backup verhaal (naampjes kloppen waarschijnlijk niet allemaal), en vervolgens zeggen dat dit de nieuwe standaard moet zijn die gerepliceert moet worden naar andere DC's

Maar tis idd kloten, maar zo heeft elk server OS wel eens wat.

Ik had bij Win2k AD eindelijk het id dat die mensen van Microsoft eigenlijk een keer ergens over na hebben gedacht!

Op woensdag 19 juni 2002 16:13 schreef arjo_kamp het volgende:

[..]
ff nadenken, wat kun je daar aan doen.

Uhm, backup terug draaien van de system state.

booten in de directory backup verhaal (naampjes kloppen waarschijnlijk niet allemaal), en vervolgens zeggen dat dit de nieuwe standaard moet zijn die gerepliceert moet worden naar andere DC's

Backup terugzetten van de System state .... Tja, twee weken geleden als eerste gedaan, maar al snel bleek dat de replicatie van de Sysvol-directory compleet in de soep ging (daar begon het eigenlijk mee). Vervolgens op alle (kleine 200) servers de replicatie uitgezet en vervolgens getracht de zaak goed op de rail te zetten. Nadat de lucht geklaard leek te zijn, lag de hele DNS plat doordat gegevens niet gerepliceerd werden. Sterker nog, verkeerde informatie werd gerepliceerd. Kortom: grote inlog-problemen, servers die elkaar niet meer konden vinden, replicatie was nul-komma-niks, Exchange 2000 die geen mail kon routeren, landelijke backups die enkele dagen niet meer werkten en vooral ..... heel veel boze ( ) gezichten.

Op woensdag 19 juni 2002 19:02 schreef EdwinW het volgende:

[..]

Backup terugzetten van de System state .... Tja, twee weken geleden als eerste gedaan, maar al snel bleek dat de replicatie van de Sysvol-directory compleet in de soep ging (daar begon het eigenlijk mee). Vervolgens op alle (kleine 200) servers de replicatie uitgezet en vervolgens getracht de zaak goed op de rail te zetten. Nadat de lucht geklaard leek te zijn, lag de hele DNS plat doordat gegevens niet gerepliceerd werden. Sterker nog, verkeerde informatie werd gerepliceerd. Kortom: grote inlog-problemen, servers die elkaar niet meer konden vinden, replicatie was nul-komma-niks, Exchange 2000 die geen mail kon routeren, landelijke backups die enkele dagen niet meer werkten en vooral ..... heel veel boze ( ) gezichten.

er is in windows 2000 bij elke DC ergens een waardie, die zich elke keer ophoogt als er wat verandert is, is die waarde het hoogst, dan zal deze zich repliceren naar de rest van het domain.

Als je nog 1 goeie DC had, en die waarde de lucht had ingeschopt, zal het dan nog niet goed zijn gegaan?

[disclaimer]
de hierboven genoemde tekst is gebaseert op theoretische verhalen, en kunnen dus compleet niet met de werkelijkheid overeenkomen
[/dislaimer]

Op donderdag 20 juni 2002 16:03 schreef arjo_kamp het volgende:
[..]
er is in windows 2000 bij elke DC ergens een waardie, die zich elke keer ophoogt als er wat verandert is, is die waarde het hoogst, dan zal deze zich repliceren naar de rest van het domain.

Als je nog 1 goeie DC had, en die waarde de lucht had ingeschopt, zal het dan nog niet goed zijn gegaan?
[..]

Je bedoelt een soort van authoritive back-fill door een USN omhoog te schoppen. Weinig kans van slagen omdat die USN's de volgnummers van de changes zijn; je moet dus een server hebben waarbij die bewuste corruptie bestaat en gerepareerd is, zodat het repareren van die corruptie wordt gerepliceerd.

Overigens zou ik van EdwinW juist wèl willen weten wie ze er allemaal bij hebben gehaald om het probleem op te lossen en ook wie het probleem uiteindelijk heeft opgelost; dan hoef ik die anderen er niet bij te halen als ik ooit nog eens zo'n probleem tegenkom. Bovendien zou'k ook willen weten hoe je in Bill's naam aan een corrupte DNS entry komt; zeker weten dat niet een of andere admin 't met z'n dikke vingers stuk heeft gemaakt? DNS entries raken niet zomaar corrupt.

Nog wat experts van een groot IT-bedrijf (we zijn momenteel heftig bezig met een grote migratie) er bij gehaald.

Hoe het is ontstaan, is onbekend. Het is wel idioot dat er spontaan "iets" met de Dynamic Update is gebeurd, waardoor gewoon alle server door het hele land er flinke last van kregen. De uiteindelijk oplossing was door de DNS cache te wissen, dhcp servers de laten hertstarten, netlogon te herstarten en alle servers zichzelf uit de DNS te laten flushen (ipconfig /flushdns & registerdns) en zichzelf daarna opnieuw registreren. In Technet staan de nodige tips om eea uit te proberen.

Je kan het beste gewoon werken met 1 domein en 2 sites.

Op zondag 30 juni 2002 11:53 schreef VipTweak het volgende:
Je kan het beste gewoon werken met 1 domein en 2 sites.

idd, ALTIJD zo min mogelijk domeinen.

replicatie etc. valt perfect te beheersen met Sites.