Active Directory Design - Serversoftware en clouddiensten

maandag 9 augustus 2004 16:03

Acties:

Verwijderd

Topicstarter

Hallo,

Allereerst verwacht ik niet een kant en klare dit is het beste oplossing, zou het liefste een beetje discussie zien over pro's en con's van een bepaald ontwerp.

We hebben een bedrijf met 750 medewerkers verspreid over 25 vestigingen door heel Nederland heen. En we gaan misschien migreren van Netware 6 naar Windows Server 2003.

We hebben hier al een boek over Windows 2003 met veel over Active Directory, dat heb ik paar maanden geleden doorgelezen, sinds vorige week weer actief met zoeken naar info.

Kwam toen een hele mooie site tegen, bitpipe.com. Echte aanrader. Soort verzamelsites met whitepapers, onderzoeken, etc over IT-onderwerpen. Daar nog een aantal documenten gevonden over migreren naar Windows Server 2003 en Active Directory.

Nu heb ik een berg doorgelezen, alleen dus geen ervaring met het ontwerpen van een Active Directory.

Onze organisatie in het kort: Verschillende disciplines (accountants, juristen, etc), verschillende vestigingen. Gecentraliseerd beheer. 700 medewerkers ongeveer...

Zelf leek mij het beste ontwerp een single domain. En geen tree's of forrest's zelfs. Kan geen enkele reden bedenken waarom dat dit nodig zou zijn.

Waarom dan wel een single domain? We hebben toch gecentraliseerd beheer. Geen aparte bv's of divisie's met andere namen o.i.d.

Eventueel nadeel is misschien dat er heel veel replicatieverkeer naar alle 25 vestigingen gaat?

Zoals al gezegd, wil ik graag horen, uit jullie ervaringen, wat de pro's en con's zijn bij verschillende active directory die jullie kennen, en of jullie het eens zijn met mijn keuze voor een single domain.

Links met stuff die ik wel handig vond om jezelf weg wijs te maken met Windows Server 2003 en Active Directory:

Erg handige artikelen en PDF'jes:
Group Policy - Why Management Matters in Your Enterprise http://www.bitpipe.com/detail/RES/1089741681_397.html

Five Key Lessons to Securing Your Active Directory http://www.bitpipe.com/detail/RES/1091470637_815.html

Group Policy Catalog http://www.netiq.com/f/form/form.asp?id=2420&origin=1Q05

Migrating to Windows Server 2003, Active Directory and Exchange 2003 http://www.bitpipe.com/detail/RES/1052321112_291.html

maandag 9 augustus 2004 16:27

Acties:

Verwijderd

Ik zou het gewoon simpel houden met 1 domein met daarin verschillende Organizational Units, voor alle afdelingen. Zet op elke OU een Group Policy en je kunt ermee doen wat je wilt. Mocht 1 medewerker verhuizen van afdeling, dan verplaats je hem gewoon naar een andere OU en klaar...

Keep it simple.

maandag 9 augustus 2004 16:30

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 09 augustus 2004 @ 16:27:
Ik zou het gewoon simpel houden met 1 domein met daarin verschillende Organizational Units, voor alle afdelingen. Zet op elke OU een Group Policy en je kunt ermee doen wat je wilt. Mocht 1 medewerker verhuizen van afdeling, dan verplaats je hem gewoon naar een andere OU en klaar...

Keep it simple.

En de replicatie naar 25 vestigingen dan?

maandag 9 augustus 2004 16:32

Acties:

The Rancor

Single domain is het meest aangewezen, en BDC's waar nodig, wel replicatie goed opzetten ivm verkeer, vervolgens ou's correct indelen dat is het simpelst te beheren

Nikon D50 18-55/55-200/50 1.8

maandag 9 augustus 2004 16:35

Acties:

Verwijderd

Topicstarter

The Rancor schreef op 09 augustus 2004 @ 16:32:
Single domain is het meest aangewezen, en BDC's waar nodig, wel replicatie goed opzetten ivm verkeer, vervolgens ou's correct indelen dat is het simpelst te beheren

BDC's bestonden toch niet meer?

maandag 9 augustus 2004 16:43

Acties:

The Rancor

inderdaad, ik bedoelde uiteraard een dc

Nikon D50 18-55/55-200/50 1.8

maandag 9 augustus 2004 16:46

Acties:

Verwijderd

Topicstarter

Ik weet dat de Global Catalog, Configuration en Schema naar elke DC gerepliceerd wordt.

Wij hebben 700 medewerkers en 25 vestigingen. Nu zullen de meeste mensen dus zo goed als altijd op dezelfde vestiging werken. Kan je dan per OU o.i.d. bepalen wat er naar een bepaade DC op een vestiging gerepliceerd wordt? En als een gebruiker op een andere vestiging inlogt, kan hij dan wel binnen redelijk tijd bij zijn programma's en bestanden?

maandag 9 augustus 2004 16:48

Acties:

Verwijderd

Je kan kiezen voor single domain maar ook voor een leeg root domain met daaronder je domain met gebruikers enz. Dit heeft een aantal voordelen voor de toekomst (misschien heb je toch meer domains nodig, fusie) . Het aantal OU's moet je zo laag mogelijk houden.

Ik zou op vestigingen met meer dan 40 PC's een DC plaatsen. Dit voorkomt dat alle inlogverkeer over het WAN gaat.

Hieronder een voorbeeld van Policy.

Standaard User
Desktop
Laptop
High TCO PC (PC waar gebruikers meer rechten nodig hebben dan standaard desktop)

maandag 9 augustus 2004 16:52

Acties:

Verwijderd

Verwijderd schreef op 09 augustus 2004 @ 16:46:
Ik weet dat de Global Catalog, Configuration en Schema naar elke DC gerepliceerd wordt.

Wij hebben 700 medewerkers en 25 vestigingen. Nu zullen de meeste mensen dus zo goed als altijd op dezelfde vestiging werken. Kan je dan per OU o.i.d. bepalen wat er naar een bepaade DC op een vestiging gerepliceerd wordt? En als een gebruiker op een andere vestiging inlogt, kan hij dan wel binnen redelijk tijd bij zijn programma's en bestanden?

Wat voor gegevens wil je repliceren (data van file server) ?
Wil je programma's aanbieden via AD ?

maandag 9 augustus 2004 16:55

Acties:

Verwijderd

Hoe dik zijn de lijnen naar de verschillende vestigingen? Dit is mede bepalend voor een aantal keuzes die een rol spelen naast je ontwerp. Ik zou sowieso gaan voor een opzet met sites omdat je dan via GPO's leuke zaken kunt doen.

Software zou ik lokaal laten installeren om zo onnodig netwerkverkeer over je lijnen te verminderen.

[ Voor 71% gewijzigd door Verwijderd op 09-08-2004 17:01 ]

maandag 9 augustus 2004 16:55

Acties:

Verwijderd

1 domain met voor iedere vestiging een site

lekker makkelijk en je heb je replicatie verkeer onder controlle

maandag 9 augustus 2004 16:58

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 09 augustus 2004 @ 16:48:
Je kan kiezen voor single domain maar ook voor een leeg root domain met daaronder je domain met gebruikers enz. Dit heeft een aantal voordelen voor de toekomst (misschien heb je toch meer domains nodig, fusie) . Het aantal OU's moet je zo laag mogelijk houden.

Ik zou op vestigingen met meer dan 40 PC's een DC plaatsen. Dit voorkomt dat alle inlogverkeer over het WAN gaat.

Hieronder een voorbeeld van Policy.

Standaard User
Desktop
Laptop
High TCO PC (PC waar gebruikers meer rechten nodig hebben dan standaard desktop)

Dat root domain verhaal met niks er in werd alleen aangeraden (tijdens een presentatie van een MS partner) als je met meerdere forrest's gaat werken. MS zei zelf eerst dat dit ook veiliger was, maar heeft die statement inmiddels alweer ingetrokken.

Er moeten ook OU's komen zodat er delegatie van beheer gedaan kan worden toch? Makkelijk beheerstaken zoals herstellen van wachtwoorden kan door een ICT-coordinator op een vestiging dan gedaan worden. Of is het makkelijk om dit toch een door een gecentraliseerde helpdesk te laten doen en dat het voor delegatie van beheer in ieder geval niet nodig is om OU's per vestiging aan te maken?

maandag 9 augustus 2004 17:01

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 09 augustus 2004 @ 16:52:
[...]

Wat voor gegevens wil je repliceren (data van file server) ?
Wil je programma's aanbieden via AD ?

Het aanbieden van programma's en patches zijn we nog niet uit. ZenWorks ziet er wel heel mooi uit.

Natuurlijk moet er op elke vestiging welke een fileserver komen. Anders worden de lijnen te veel belast. Een gebruiker zal sporadisch op een andere vestiging inloggen, dus dan zouden zijn bestanden die hij wilt raadplegen wel over de lijnen kunnen gaan.

En als er een aantal gebruikers veel van vestiging wisselen dan lijkt het me dat je zijn bestanden naar elke vestiging kan repliceren? Iets met roaming profiles (moet dit nog zelf uitzoeken hoor, maar 1 step at a time)

maandag 9 augustus 2004 17:02

Acties:

Tags NL

Harmful or Harmless?

Je zou eigenlijk een Designing Active Directory cursus moeten doen van Microsoft, daarin leer je met wat voor keuzes je wat voor soort oplossing moet gaan kiezen. Zowieso leuk om te doen want je kunt een goede discussie aan met de leraar en de rest van de klas

https://powershellisfun.com

maandag 9 augustus 2004 17:03

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 09 augustus 2004 @ 16:55:
Hoe dik zijn de lijnen naar de verschillende vestigingen? Dit is mede bepalend voor een aantal keuzes die een rol spelen naast je ontwerp. Ik zou sowieso gaan voor een opzet met sites omdat je dan via GPO's leuke zaken kunt doen.

Software zou ik lokaal laten installeren om zo onnodig netwerkverkeer over je lijnen te verminderen.

1mbit voor vestigingen tot 30 medewerkers en 2 mbit voor vestigingen met meer dan 30 medewerkers.. paar vestigingen hebben nog 256 omdat er daar niks anders voor handen is.

maandag 9 augustus 2004 17:05

Acties:

Verwijderd

Topicstarter

-={Fred_Perry}=- schreef op 09 augustus 2004 @ 17:02:
Je zou eigenlijk een Designing Active Directory cursus moeten doen van Microsoft, daarin leer je met wat voor keuzes je wat voor soort oplossing moet gaan kiezen. Zowieso leuk om te doen want je kunt een goede discussie aan met de leraar en de rest van de klas

Heb al eens een Active Directory hands-on cursus van twee dagen gehad..... kwam design ook aan bod...

Hoef er geen expert in te worden dat ik dadelijk advertenties kan plaatsen van zal ik uw AD ontwerpen

maar wil weten waar ik het over heb en goede gesprekspartner zijn mochten we migreren en een externe partij erbij betrekken..

maandag 9 augustus 2004 17:08

Acties:

Verwijderd

een single domain is prima zolang je maar sites maakt! op die manier kan je replicatie verkeer schedulen, mocht dat nodig zijn.

ik zou op elke locatie minimaal 1 dc zetten en op een hoofdlocatie iig 2. op de hoofdlocatie alle fsmo rollen laten en de global catalog. op andere grotere locaties ook de global catalog activeren. Universal Group Membership caching aanzetten op de andere/kleinere locaties (eigenlijk bepalen wat het minste netwerkverkeer genereert; maar aangezien je dat nog niet weet...)

OU's helpen totaal niet met replicatie verkeer e.d. maar maakt het beheer enzovoorts een stuk makkelijker.

[ Voor 32% gewijzigd door Verwijderd op 09-08-2004 17:10 ]

maandag 9 augustus 2004 17:09

Acties:

BlaTieBla

Vloeken En Raak Schieten

-={Fred_Perry}=- schreef op 09 augustus 2004 @ 17:02:
Je zou eigenlijk een Designing Active Directory cursus moeten doen van Microsoft, daarin leer je met wat voor keuzes je wat voor soort oplossing moet gaan kiezen. Zowieso leuk om te doen want je kunt een goede discussie aan met de leraar en de rest van de klas

Ik heb die cursus in de tijd van windows 2000 gedaan (tesamen met alle andere design cursussen). Die werkte echt vreselijk verhelderend. Er worden een aantal scenarios behandeld en er was bij ons ruimte om onderling ook redelijk te discuseren over de voor en tegens van bepaalde (real-life) ontwerpen.
Let wel, voor ieder ontwerp valt wel wat te zeggen. Het is ook niet zo dat een 'klein' bedrijf per definitie een single domain structuur heeft.

leica - zeiss - fuji - apple | PSN = Sh4m1n0

maandag 9 augustus 2004 17:16

Acties:

krflyer

@ The Jerk: dit is inderdaad de vraag die gesteld moet worden: bandbreedte en daarop gebaseerde site model.

@Philip: als je lijnen dik genoeg zijn, kan je zelfs Terminal server overwegen.

Backups, bestanden over en weer: dat probleem ben je dan kwijt. Anders: wie maakt backups op je 25 sites?

Dan nog een vraag: als je Netware 6 voor Windows 2003 inruilt, welke email oplossing gebruik je nu en in de toekomst? Als je Exchange 2003 overweegt, zou ik alle DC's GC maken. Replicatie zou ik me geen zorgen over maken. Je hebt maar 750 users en 25 sites, tenzij je met een loonbedrijf oid zit, hoeveel mutaties verwacht je helemaal? Geen enkel punt, zeker niet als je je netwerk in NL inkoopt. Je kan dat allemaal netjes afregelen.

Enkele domain: een reden om een root domain erboven te hangen, kan een aparte password regime zijn. Systeembeheerders in het root domain hangen, en die een striktere password regime afdwingen. Maar

Exchange kan je overigens ook overwegen om mensen in groepen te laten werken, en de bestanden in Public Folders te stoppen. Maar ik neem aan dat dat ook in Groupwise zit. Shares via je netwerk zou ik niet doen. Administratieve ramp. In Exchange Public Folders kan je ten minste e.e.a. regelen, zoals eigenaar, wie een conflict oplost enz.

maandag 9 augustus 2004 17:18

Acties:

Verwijderd

Verwijderd schreef op 09 augustus 2004 @ 16:46:
Ik weet dat de Global Catalog, Configuration en Schema naar elke DC gerepliceerd wordt.

ummm waarom denk je dat je een vinkje hebt met bijv. gc?

Wij hebben 700 medewerkers en 25 vestigingen. Nu zullen de meeste mensen dus zo goed als altijd op dezelfde vestiging werken. Kan je dan per OU o.i.d. bepalen wat er naar een bepaade DC op een vestiging gerepliceerd wordt? En als een gebruiker op een andere vestiging inlogt, kan hij dan wel binnen redelijk tijd bij zijn programma's en bestanden?

bij zijn programma's en bestanden komen heeft natuurlijk niks te maken met ad of ou's, maar met je netwerk. inloggen is geen probleem op een andere site, maar als die zijn 1gb profile over een isdn lijntje moet ophalen van zijn normale locatie dan kan die wel ff gaan koffiedrinken...

maandag 9 augustus 2004 17:21

Acties:

Verwijderd

Verwijderd schreef op 09 augustus 2004 @ 17:08:
een single domain is prima zolang je maar sites maakt! op die manier kan je replicatie verkeer schedulen, mocht dat nodig zijn.

ik zou op elke locatie minimaal 1 dc zetten en op een hoofdlocatie iig 2. op de hoofdlocatie alle fsmo rollen laten en de global catalog. op andere grotere locaties ook de global catalog activeren. Universal Group Membership caching aanzetten op de andere/kleinere locaties (eigenlijk bepalen wat het minste netwerkverkeer genereert; maar aangezien je dat nog niet weet...)

OU's helpen totaal niet met replicatie verkeer e.d. maar maakt het beheer enzovoorts een stuk makkelijker.

Helemaal mee eens. Dat je meerdere sites moet aanmaken was ik nog vergeten erbij te zeggen in mijn post.

maandag 9 augustus 2004 17:56

Acties:

Abom

Verwijderd schreef op 09 augustus 2004 @ 17:21:
[...]

Helemaal mee eens. Dat je meerdere sites moet aanmaken was ik nog vergeten erbij te zeggen in mijn post.

Ik ben het met iis5_rulez eens. Een DC/site op elke lokatie, met uitzondering van lokaties waar één of twee PC's staan (die hebben wij een aantal). En uiteraard 2 DC's op de hoofdvestiging.

Wij hebben 7 vestigingen. Op de hoofdvestiging, waar 94% van de medewerkers werken, staan 2 DC's. Bij de vestiging in Krefeld, waar 3% van de medewerkers werken, staat 1 DC. Verder is er nog een vestiging in Brussel, waar men nu nog Apples gebruikt, wil ik ook meenemen in de nieuwe architectuur. Hier werkt iets meer dan 1% en ook hier zou ik een DC willen plaatsen.

Op de overige vestigingen staan maximaal 2 PC's en dus geen DC.

De vestiging in Krefeld is een aparte site, Brussel zal dat ook worden.

[ Voor 3% gewijzigd door Abom op 09-08-2004 17:56 ]

maandag 9 augustus 2004 18:28

Acties:

Verwijderd

Verwijderd schreef op 09 augustus 2004 @ 16:58:
[...]

Dat root domain verhaal met niks er in werd alleen aangeraden (tijdens een presentatie van een MS partner) als je met meerdere forrest's gaat werken. MS zei zelf eerst dat dit ook veiliger was, maar heeft die statement inmiddels alweer ingetrokken.

Er moeten ook OU's komen zodat er delegatie van beheer gedaan kan worden toch? Makkelijk beheerstaken zoals herstellen van wachtwoorden kan door een ICT-coordinator op een vestiging dan gedaan worden. Of is het makkelijk om dit toch een door een gecentraliseerde helpdesk te laten doen en dat het voor delegatie van beheer in ieder geval niet nodig is om OU's per vestiging aan te maken?

Het antwoord op root domain: Als je zeker weet dat je in de toekomst geen wijziging hoeft te doen in je domain (naam wijzigen voor een fusie) of gebruik van meerdere domains dan is 1 domain genoeg.

Het antwoord op OU's: ALs je het centraal laat doen is het niet nodig om verschillende OU's te maken voor beheertaken.

Wat ook een voordeel is van een gecentralisserde helpdesk is dat alle gebruikers precies weten waar ze heen moeten bellen/mailen voor problemen. Ook krijg je beter overzicht van de calls. Ik ben gewend als je een ICT-coordinator aansteld dat je vaak niet alles te horen krijgt van de problemen tot het echt fout gaat.

maandag 9 augustus 2004 18:34

Acties:

Verwijderd

Verwijderd schreef op 09 augustus 2004 @ 17:01:
[...]

Het aanbieden van programma's en patches zijn we nog niet uit. ZenWorks ziet er wel heel mooi uit.

Natuurlijk moet er op elke vestiging welke een fileserver komen. Anders worden de lijnen te veel belast. Een gebruiker zal sporadisch op een andere vestiging inloggen, dus dan zouden zijn bestanden die hij wilt raadplegen wel over de lijnen kunnen gaan.

En als er een aantal gebruikers veel van vestiging wisselen dan lijkt het me dat je zijn bestanden naar elke vestiging kan repliceren? Iets met roaming profiles (moet dit nog zelf uitzoeken hoor, maar 1 step at a time)

Antwoord op Zenworks: Wij hebben net een traject gehad voor het selecteren van een Beheerstool. We hebben ook gekeken naar zenworks. Dit zag er wel goed uit (wel complex). Tot we te horen kregen dat bijna alles wel op Windows draaide maar voor 1 functie toch een Novell server nodig hadden.

We hebben uit eindelijk gekozen voor Altiris en Powerfuse. Altiris voor het distribueren van applicaties en inventariseren hardware/Software. Powerfuse gebruiken we voor het beheren van de desktop omgeving (Afschermen van niet geautoriseerde applicaties, toewijzen van printers, registry instellingen enz.)

maandag 9 augustus 2004 19:00

Acties:

Abom

Verwijderd schreef op 09 augustus 2004 @ 18:34:
[...]

Antwoord op Zenworks: Wij hebben net een traject gehad voor het selecteren van een Beheerstool. We hebben ook gekeken naar zenworks. Dit zag er wel goed uit (wel complex). Tot we te horen kregen dat bijna alles wel op Windows draaide maar voor 1 functie toch een Novell server nodig hadden.

We hebben uit eindelijk gekozen voor Altiris en Powerfuse. Altiris voor het distribueren van applicaties en inventariseren hardware/Software. Powerfuse gebruiken we voor het beheren van de desktop omgeving (Afschermen van niet geautoriseerde applicaties, toewijzen van printers, registry instellingen enz.)

Een andere optie om applicaties aan te bieden is Softricity (eventueel met PowerFuse), het is heel erg goed om application deployment te centraliseren. Maar ik denk dat dit niet veel met het onderwerp te maken heeft, misschien iets voor een tweede discussie.

maandag 9 augustus 2004 19:04

Acties:

Abom

Verwijderd schreef op 09 augustus 2004 @ 18:28:
[...]

Het antwoord op root domain: Als je zeker weet dat je in de toekomst geen wijziging hoeft te doen in je domain (naam wijzigen voor een fusie) of gebruik van meerdere domains dan is 1 domain genoeg.

Het antwoord op OU's: ALs je het centraal laat doen is het niet nodig om verschillende OU's te maken voor beheertaken.

Wat ook een voordeel is van een gecentralisserde helpdesk is dat alle gebruikers precies weten waar ze heen moeten bellen/mailen voor problemen. Ook krijg je beter overzicht van de calls. Ik ben gewend als je een ICT-coordinator aansteld dat je vaak niet alles te horen krijgt van de problemen tot het echt fout gaat.

Volgens mij kun je met AD 2003 (itt 2000), wel je domain name wijzigen.

OU's zijn ook erg handig in het overzichtelijk houden van al je componenten, vandaar ook de naam

. Wanneer je veel gebruik maakt van groupen om rechten uit te delen, wil het nogal een chaos worden zonder goed gebruik te maken van OU's.

maandag 9 augustus 2004 19:22

Acties:

Verwijderd

Abom schreef op 09 augustus 2004 @ 19:00:
[...]

Een andere optie om applicaties aan te bieden is Softricity (eventueel met PowerFuse), het is heel erg goed om application deployment te centraliseren. Maar ik denk dat dit niet veel met het onderwerp te maken heeft, misschien iets voor een tweede discussie.

Ik denk dat je gelijk hebt. Softricity is ook een heel mooi product. Misschien een leuke topic voor een tweede discussie (beheerstools)

maandag 9 augustus 2004 21:26

Acties:

Verwijderd

Goed boek hierover:
"Building Enterprise Active Directory Services: Notes from the Field"
http://www.microsoft.com/mspress/nordic/books/book14096.htm
http://www.windowsitlibra...eview.cfm?BookReviewID=14

dinsdag 10 augustus 2004 10:44

Acties:

Arfman

Drome!

Als ik zo je hele verhaal lees, denk ik 1 ding: Novell BranchOffice.
Dat is het concept dat je op 1 centrale lokatie een main fileserver neerzet, en op elke andere sublocatie een soort synchronisatiedoos, die users, files, etc. synchroniseert met de main file server. Voor de sublocaties lijkt het alsof ze werken op de main vestiging. Crasht zo'n synchronisatiedoos ? Geen probleem, installeer hem opnieuw (lees: blaas het image terug), zet een handmatige sync aan en je bent helemaal klaar.

Maargoed, de beslissing om naar Windows over te gaan zal wel allang genomen zijn door het management.

Voor wat betreft je AD design vraag: hoe zit je huidige eDirectory in elkaar ? AD en eDirectory lijken heel erg op elkaar in termen als design AFAIK.

Meer info over BranchOffice: http://www.novell.com/products/branchoffice/

Hier nog een onderzoek van KeyLabs, welke ZenWorks, Altiris, MS SMS, etc. vergelijkt: http://www.novell.com/products/zenworks/keylabs_report.pdf

[ Voor 9% gewijzigd door Arfman op 10-08-2004 10:48 ]

dinsdag 10 augustus 2004 11:12

Acties:

Verwijderd

Arfman schreef op 10 augustus 2004 @ 10:44:
Als ik zo je hele verhaal lees, denk ik 1 ding: Novell BranchOffice.
Dat is het concept dat je op 1 centrale lokatie een main fileserver neerzet, en op elke andere sublocatie een soort synchronisatiedoos, die users, files, etc. synchroniseert met de main file server. Voor de sublocaties lijkt het alsof ze werken op de main vestiging. Crasht zo'n synchronisatiedoos ? Geen probleem, installeer hem opnieuw (lees: blaas het image terug), zet een handmatige sync aan en je bent helemaal klaar.

Maargoed, de beslissing om naar Windows over te gaan zal wel allang genomen zijn door het management.

Voor wat betreft je AD design vraag: hoe zit je huidige eDirectory in elkaar ? AD en eDirectory lijken heel erg op elkaar in termen als design AFAIK.

Meer info over BranchOffice: http://www.novell.com/products/branchoffice/

Hier nog een onderzoek van KeyLabs, welke ZenWorks, Altiris, MS SMS, etc. vergelijkt: http://www.novell.com/products/zenworks/keylabs_report.pdf

klinkt als de dfs service van windows. maar het is maar waar je voorkeur naar uit gaat

dinsdag 10 augustus 2004 11:47

Acties:

vso

tja...

het lijkt me makkelijker om Novel in zijn geheel de deur te wijzen en over te stappen op Win2k3.

- software distributie met SMS.
- afhankelijk van je verbinding en aantal medewerkers op een site een DC neer te zetten
- GC of group-Caching te gebruiken afhankelijk van de benodigdheden
- DFS toe te passen (profielen en shares)
- exchange ?
- quota's (gewoon doen omdat men bewuster met grote documenten MOET gaan werken.) en profielen met Quota)

Waar je op moet letten is hoeveel data wordt er over de lijnen wordt getransporteerd, dus als 1 afdeling over meerdere locaties zit en veel van de documentatie gebruik maakt kan het wel eens handig zijn om die dfs replicatie meer voorrang te geven dan andere afdelingen.

Ik denk dat het handig is om medewerkers zoveel mogelijk lokaal op 1 site te laten werken en niet echt gebruik te laten maken van het feit dat ze in 1 groot domain zitten. dus niet voor hun alles zichtbaar, van andere locaties. Er is geen goeie oplossing je bedrijfs-cultuur speelt ook nog erg mee. heeft het bedrijf veel/weinig geld over voor de ICT, zijn de mensen verwend ?

een groot domain is makkelijk beheersbaar. hoeveel Sites heb je die groot zijn en hoeveel kleine (splits de 25 vestingingen in groepen van aantal gebruikers) zit er groei in ? Win2k3 heeft relatief meer opties dan 2k zeker op het gebied van replicatie verkeer en controle daarvan.

Tja vanalles

dinsdag 10 augustus 2004 12:21

Acties:

Firefox

Een Vurig Vosje

DFS in combinatie met DFS weet ik niet zeker of dat helemaal failsafe is.
Quota's binnen Windows - de standaard quota's dan - zuigen. die zijn alleen op volume niveau toe te wijzen, itt de novell directory niveau's... _HEEL_ erg jammer. Dus daar zal je wel een alternatief dan voor moeten zoeken. De Novell oplossing die je gewend bent mis je wat dat betreft snel.

Overigens is het idd gewoon een verhaal van opbouwen van Sites.
GC's zul je idd ook moeten repliceren naar sites, het is echter niet waar dat elke DC ook een GC functie heeft. Het is in sommige gevallen (vooral bij multi-site omgevingen) zelfs verstandig tot noodzakelijk om bepaalde FSMO rollen niet te combineren met een GC op dezelfde server.

Better to have loved and lost then never loved at all... yeah right.

dinsdag 10 augustus 2004 13:11

Acties:

CronoS76

Ik zou gewoon zelf bepalen wat je moet doen. Ik zou in elk geval altijd van de simpelste situatie uitgaan. Dus Single Domain met de DC's op het hoofdkantoor.

Als er andere Security issue's mee gaan spelen (Andere Lockout policies), ga dan kijken naar een child domain omgeving, of misschien zijn er nog andere issue's een andere namespace hiervoor te geven. Bijvoorbeeld, publishing van de Websites en de scheiding met je intern Netwerk.. met andere woorden, kijk eerst hoe je de namespace wilt hebben. Ga eerst de OU structuur opmaken, want misschien komt hier wel uit dat je een child domain moet hebben voor een bepaalde afdeling.

Ik kan niet zien of je DC's nodig hebt op de dislokatie, maar dit is pas stap 2. Als voorbeeld, wij hebben hier 30 dislokaties met 2 tot 100 mbit lijnen ertussen, waarbij 4 dc's alleen op de main office, de WAN lijnen hebben een up tijd van 3 cijfers achter komma, waardoor wij vonden dat er geen DC's op de dislokatie staan, ook in verband met het beheer ervan. Maar in jou geval, als er 250 mensen op 1 dislokatie werken dan kan er voor jullie misschien wel een reden zijn om daar een DC/GC te zetten, maargoed dit moet voor jezelf opmaken wat hier de consequenties van zijn.

Maak voor je zelf een goede business Case op waaruit blijkt hoe je het design gaat doen... Maar keep in mind, hou alles zo simpel mogelijk, want dat scheelt in het beheer ervan en ga vervolgens daarna alles uitbreiden (indien nodig) met DC's op dislokaties alszijnde GC's of universal Caching enabled. Controleer hoe de GPO's ingesteld gaan worden, dit zijn maar een paar kreten waar je naar moet kijken, naast dit is er natuurlijk meer, maar zulke design vragen moet jij en/of je projectteam samen opstellen.

Suc6,
Robbin

dinsdag 10 augustus 2004 13:18

Acties:

Verwijderd

Topicstarter

Zal even snel uitleggen waarom we voor Windows Server 2003 kiezen...

We hebben steeds meer Win2k3 servers (SQL, TS, IIS, SUS,...) en we willen naar één platform.

Graag dit topic houden bij het origenele onderwerp ACTIVE DIRECTORY DESIGN.

Dit is een forum en iedereens mening en ervaring is welkom. Maar het is niet de bedoeling om Active Directory te gaan vergelijken met andere producten.

Kijkend naar de reacties tot nu toe dat er gewoon één domain komt.

Zoals het topic nu al loopt wordt er al veel gesproken over aanverwante zaken zoals applicatiedistrubutie, sites opzetten etc. Hier ik heb geen problemen, graag zelfs.

Zenworks blijkt toch erg goed te zijn uit verhalen hier en daar. Hier gaan we zeker naar kijken.

Wie heeft er ervaringen met het printer en file verhaal waarbij hij iets heeft opgemerkt dat afwijkt van het standaard verhaal dat beschreven staat in boeken en documenten van Microsoft?

dinsdag 10 augustus 2004 13:22

Acties:

Verwijderd

Topicstarter

CronoS76 schreef op 10 augustus 2004 @ 13:11:
Ik zou gewoon zelf bepalen wat je moet doen. Ik zou in elk geval altijd van de simpelste situatie uitgaan. Dus Single Domain met de DC's op het hoofdkantoor.

Als er andere Security issue's mee gaan spelen (Andere Lockout policies), ga dan kijken naar een child domain omgeving, of misschien zijn er nog andere issue's een andere namespace hiervoor te geven. Bijvoorbeeld, publishing van de Websites en de scheiding met je intern Netwerk.. met andere woorden, kijk eerst hoe je de namespace wilt hebben. Ga eerst de OU structuur opmaken, want misschien komt hier wel uit dat je een child domain moet hebben voor een bepaalde afdeling.

Ik kan niet zien of je DC's nodig hebt op de dislokatie, maar dit is pas stap 2. Als voorbeeld, wij hebben hier 30 dislokaties met 2 tot 100 mbit lijnen ertussen, waarbij 4 dc's alleen op de main office, de WAN lijnen hebben een up tijd van 3 cijfers achter komma, waardoor wij vonden dat er geen DC's op de dislokatie staan, ook in verband met het beheer ervan. Maar in jou geval, als er 250 mensen op 1 dislokatie werken dan kan er voor jullie misschien wel een reden zijn om daar een DC/GC te zetten, maargoed dit moet voor jezelf opmaken wat hier de consequenties van zijn.

Maak voor je zelf een goede business Case op waaruit blijkt hoe je het design gaat doen... Maar keep in mind, hou alles zo simpel mogelijk, want dat scheelt in het beheer ervan en ga vervolgens daarna alles uitbreiden (indien nodig) met DC's op dislokaties alszijnde GC's of universal Caching enabled. Controleer hoe de GPO's ingesteld gaan worden, dit zijn maar een paar kreten waar je naar moet kijken, naast dit is er natuurlijk meer, maar zulke design vragen moet jij en/of je projectteam samen opstellen.

Suc6,
Robbin

Op vestigingen moet databases staan, fileservers, en SUS servers.. Als er dan toch één of meerdere Windows 2003 Server staan (denk ook aan exchange), dan zou je deze toch ook meteen DC kunnen maken?

Een voorwaarde is dat als er een lijn uit valt dat er gewoon doorgewerkt kan worden, dus we kunnen toch niet om een DC op elke vestiging heen.

Nu ik je verhaal lees zit ik wel weer te twijfelen over meerdere domains... We hebben ook SAP servers, webservers, databases etc... Maar goed.. die kunnen ook weer met OU's aan andere voorwaarde en beheer onderworpen worden. Wat zou het voordeel zijn om het gebruikers netwerk en het server netwerk beide in aparte domains te zetten?

dinsdag 10 augustus 2004 13:26

Acties:

Verwijderd

Topicstarter

vso schreef op 10 augustus 2004 @ 11:47:
het lijkt me makkelijker om Novel in zijn geheel de deur te wijzen en over te stappen op Win2k3.

- software distributie met SMS.
- afhankelijk van je verbinding en aantal medewerkers op een site een DC neer te zetten
- GC of group-Caching te gebruiken afhankelijk van de benodigdheden
- DFS toe te passen (profielen en shares)
- exchange ?
- quota's (gewoon doen omdat men bewuster met grote documenten MOET gaan werken.) en profielen met Quota)

Waar je op moet letten is hoeveel data wordt er over de lijnen wordt getransporteerd, dus als 1 afdeling over meerdere locaties zit en veel van de documentatie gebruik maakt kan het wel eens handig zijn om die dfs replicatie meer voorrang te geven dan andere afdelingen.

Ik denk dat het handig is om medewerkers zoveel mogelijk lokaal op 1 site te laten werken en niet echt gebruik te laten maken van het feit dat ze in 1 groot domain zitten. dus niet voor hun alles zichtbaar, van andere locaties. Er is geen goeie oplossing je bedrijfs-cultuur speelt ook nog erg mee. heeft het bedrijf veel/weinig geld over voor de ICT, zijn de mensen verwend ?

een groot domain is makkelijk beheersbaar. hoeveel Sites heb je die groot zijn en hoeveel kleine (splits de 25 vestingingen in groepen van aantal gebruikers) zit er groei in ? Win2k3 heeft relatief meer opties dan 2k zeker op het gebied van replicatie verkeer en controle daarvan.

We kunnen niet in één weekend migreren, dit zal vestiging voor vestiging gebeuren. We zullen dus voor een bepaalde tijd in in migratietraject zitten.

Microsoft Directory Services (o.i.d.) kan synchroniseren met NDS (one-way en two-way). Na de eerste syncrhonisatie worden wijzigingen in één van beide directories gesynchroniseerd met de ander. Dit is ideaal natuurlijk. We kunnen zo dus applicaties voor applicaties overstappen en al gebruik maken van de Active Directory (voor sharepoint etc) terwijl gebruikers nog onder netware inloggen.

Enige voorwaarde voor de synchronisatie van beide directories is dat alle wachtwoorden opnieuw gezet moeten worden. MS kan geen wachtwoorden uit de NDS lezen, maar ze wel zetten, MS zal dus voor iedereen in beide directories een nieuw wachtwoord moeten zetten. Verder veranderd er niks, naast dat alle objecten in de NDS een attribuut erbij krijgen.

dinsdag 10 augustus 2004 13:39

Acties:

CronoS76

Verwijderd schreef op 10 augustus 2004 @ 13:22:
[...]

Op vestigingen moet databases staan, fileservers, en SUS servers.. Als er dan toch één of meerdere Windows 2003 Server staan (denk ook aan exchange), dan zou je deze toch ook meteen DC kunnen maken?

Een voorwaarde is dat als er een lijn uit valt dat er gewoon doorgewerkt kan worden, dus we kunnen toch niet om een DC op elke vestiging heen.

Nu ik je verhaal lees zit ik wel weer te twijfelen over meerdere domains... We hebben ook SAP servers, webservers, databases etc... Maar goed.. die kunnen ook weer met OU's aan andere voorwaarde en beheer onderworpen worden. Wat zou het voordeel zijn om het gebruikers netwerk en het server netwerk beide in aparte domains te zetten?

Als je op de dislokaties al een aantal servers heb staan, dan zou ik er zeker ook een DCtje bijzetten, en misschien zelfs als GC, wel zo handig.

Als een WAN verbinding uitvalt op een dislokatie, dan kan het handig zijn om daar een DC te zetten, maargoed hou even rekening met de beheer en/of replicatie hiervoor (bij universal caching is dit niet het geval bij GC zeker wel!!). De vraag is in hoeverre wil je deze redundantie, want er hangt ook altijd een prijskaartje aan, als de server uitvalt in bijvoorbeeld Parijs, dan gaat het ook geld kosten in beheer :-)
Hoeveel GPO's gaan er gedefinieerd worden, als er vele GPO's doorgeworsteld moet worden, dan kan dit veel vertraging bij inloggen opleveren en dit kan een reden zijn om een DC te plaatsen.

Voor Servers hoef je in het algemeen Servers geen aparte domaintree te maken, maak hiervoor een logische OU structuur met daaraan GPO's gekoppeld. Meestal heeft childdomains alleen zin bij namespace issue's en andere security policies. Hou het zo simpel mogelijk; een Single Domain heeft altijd de voorkeur of het moet gewoon echt niet aan te raden zijn!

Groetjes,
Robbin

dinsdag 10 augustus 2004 13:39

Acties:

wvkreg

[quote]Verwijderd schreef op 09 augustus 2004 @ 18:34:
[...]

Antwoord op Zenworks: Wij hebben net een traject gehad voor het selecteren van een Beheerstool. We hebben ook gekeken naar zenworks. Dit zag er wel goed uit (wel complex). Tot we te horen kregen dat bijna alles wel op Windows draaide maar voor 1 functie toch een Novell server nodig hadden.

Waar was een NW server voor nodig dan?
Je kan Zen volledig integreren in Windows 200x. dus ik ben benieuwd...

dinsdag 10 augustus 2004 14:27

Acties:

Verwijderd

[quote]wvkreg schreef op 10 augustus 2004 @ 13:39:

Verwijderd schreef op 09 augustus 2004 @ 18:34:
[...]

Antwoord op Zenworks: Wij hebben net een traject gehad voor het selecteren van een Beheerstool. We hebben ook gekeken naar zenworks. Dit zag er wel goed uit (wel complex). Tot we te horen kregen dat bijna alles wel op Windows draaide maar voor 1 functie toch een Novell server nodig hadden.

Waar was een NW server voor nodig dan?
Je kan Zen volledig integreren in Windows 200x. dus ik ben benieuwd...

Antwoord: Ze hadden het toen nodig voor Licentiebeheer. Dit waren ze nog aan het overzetten naar Windows 2000 ( 3/4 jaar geleden). Het kan zijn dat ze dit nu wel op windows 2000

dinsdag 10 augustus 2004 14:51

Acties:

Arfman

Drome!

vso schreef op 10 augustus 2004 @ 11:47:
het lijkt me makkelijker om Novel in zijn geheel de deur te wijzen en over te stappen op Win2k3.

-snip allemaal punten

Dat kan ook allemaal prima met Novell producten hoor

Daar staat geen enkele reden tussen om expliciet voor MS oplossingen te kiezen.

Maar de TS geeft al aan dat Novell helaas geen optie meer is, dus ik trek mij terug uit dit topic.

dinsdag 10 augustus 2004 15:09

Acties:

Verwijderd

Topicstarter

Arfman schreef op 10 augustus 2004 @ 14:51:
[...]

Dat kan ook allemaal prima met Novell producten hoor
Daar staat geen enkele reden tussen om expliciet voor MS oplossingen te kiezen.

Maar de TS geeft al aan dat Novell helaas geen optie meer is, dus ik trek mij terug uit dit topic.

Tja geen optie, is gewoon een keuze... Als je een Netware 6 - Windows Server 2003 vergelijking/discussie wilt dan zie ik je graag in een nieuw topic (niet sarcastisch hoor ;0) wil best wel eens horen wat de ervaringen tussen beide platform zijn, maar niet hier)

We hebben overigens alleen maar servers in Nederland, dus mocht het nodig zijn, zijn we me de auto zo bij een vestiging. Alleen we willen wel zoveel mogelijk gecentraliseerd werken en dat er zolang als mogelijk doorgewerkt kan worden op een vestiging mocht er een lijn uitvallen. Bestanden van mensen staan toch op de fileshare van des betreffende vestigingen en met cached creditentials valt ook nog in te loggen, authenticeren, etc.

dinsdag 10 augustus 2004 15:21

Acties:

Falcon

DevOps/Q.A. Engineer

Mag ik even een hele kleine tip geven. Als je een domein op zet .. zet gelijk het land er ook bij.

Als je later eventueel over gaat op internationaal niveau is je domein gelijk er klaar voor.

"We never grow up. We just learn how to act in public" - "Dyslexie is a bitch"

dinsdag 10 augustus 2004 17:14

Acties:

wielhelm

80/86 ST bladebladed

Ik zou toch even een cursus nemen als ik jou was, Zelf heb ik hem bij tstc gedaan, hele goede club, tevens kun je ze dan ook vragen, te kijken naar welk design voor jou het beste is.

Geen geld voor een cursus? koop dan in ieder geval even het boek designing
active directory.

En wat er ook gebeurd probeer als het ff kan bij 1 domein te blijven.

dinsdag 10 augustus 2004 17:54

Acties:

Verwijderd

Topicstarter

wielhelm schreef op 10 augustus 2004 @ 17:14:
Ik zou toch even een cursus nemen als ik jou was, Zelf heb ik hem bij tstc gedaan, hele goede club, tevens kun je ze dan ook vragen, te kijken naar welk design voor jou het beste is.

Geen geld voor een cursus? koop dan in ieder geval even het boek designing
active directory.

En wat er ook gebeurd probeer als het ff kan bij 1 domein te blijven.

In het topic staat dat ik als hands-on cursus heb gevolgt, boek heb (master windows server 2003) en nog tig andere documenten van het web heb gelezen.

Ja 1 domein, of toch er eentje boven voor de zekerheid?

dinsdag 10 augustus 2004 20:05

Acties:

CronoS76

Verwijderd schreef op 10 augustus 2004 @ 17:54:
[...]

In het topic staat dat ik als hands-on cursus heb gevolgt, boek heb (master windows server 2003) en nog tig andere documenten van het web heb gelezen.

Ja 1 domein, of toch er eentje boven voor de zekerheid?

Tsja, het is dus geen kwestie van zekerheid, je bouwt zekerheid door meerdere DC's te hebben

Een extra domein bouw je alleen als dit vanuit de business nodig is (zoals security eisen e.d.) Anders houdt het zo simpel mogelijk.
Het belangrijkste is gewoon om te bepalen hoe je DNS gaat inrichten, vervolgens ga je kijken hoe je AD inricht en wat voor toeters en bellen daarbij komen is voor latere zorg.....

woensdag 11 augustus 2004 13:11

Acties:

vso

tja...

CronoS76 schreef op 10 augustus 2004 @ 20:05:
[...]

Tsja, het is dus geen kwestie van zekerheid, je bouwt zekerheid door meerdere DC's te hebben
Een extra domein bouw je alleen als dit vanuit de business nodig is (zoals security eisen e.d.) Anders houdt het zo simpel mogelijk.
Het belangrijkste is gewoon om te bepalen hoe je DNS gaat inrichten, vervolgens ga je kijken hoe je AD inricht en wat voor toeters en bellen daarbij komen is voor latere zorg.....

$_/-\o_$ $_/-\o_$
$_/-\o_$

Eerst moet je zien wat je nodig hebt, je moet niet de ad opbouwen wat handig lijkt maar je moet uitgaan van je bedrijf. en daaromheen bouwen. een AD design cursus lijkt me hier wel op zijn plaats.

Als je gewoon maar gaat bouwen dan heb je kans dat je veel problemen krijgt.

in jou geval zou ik kiezen voor 1 AD met meerdere Sites als ik het zo lees.
Je AD en Schema planning zou ik met OU's werken in 2k3 is heel veel mogelijk
wat je je wel moet realiseren is dat je voor 1 probleem meerdere oplossingen kan hebben. ik zou voor de oplossingen de + en de - Punten opschrijven en daaruit het beste kiezen. Ook zou ik zoveel mogelijk voor MS producten gaan wegens compatibiliteit. Novel citrix of andere oplossingen zijn leuk maar geven extra problemen.

Voor de kleine sites zou ik overwegen 1 of 2 TS-servers zodat remote werken mogelijk word, dit zou bv voor de thuis-werker meteen voordelen hebben want dan tijdens werktijd kan de gebruiker bij alles maar ook buiten-werktijd. Dit geeft meer flexibiliteit.

Remote Desktop (rdp) of remote apllicatie hebben misschien ook voordelen omdat de remote applicatie niet zoveel kracht vereist als een remote desktop maar wel gebruikers de kans geeft om vanuit 1 centrale lokatie data op-te slaan en ermee tewerken. stel je voor je hebt een sales applicatie die data op 1 plek opslaat maar die wordt op meerdere lokaties gebruikt dan zou je dat via remote applicatie aan kunnen bieden en dus de kennis+kracht van die applicatie vergroten.

Tja vanalles

Pagina: 1

Reageer