Toon posts:

Active Directory Design

Pagina: 1
Acties:
  • 326 views sinds 30-01-2008
  • Reageer

Verwijderd

Topicstarter
Hallo,

Allereerst verwacht ik niet een kant en klare dit is het beste oplossing, zou het liefste een beetje discussie zien over pro's en con's van een bepaald ontwerp.

We hebben een bedrijf met 750 medewerkers verspreid over 25 vestigingen door heel Nederland heen. En we gaan misschien migreren van Netware 6 naar Windows Server 2003.

We hebben hier al een boek over Windows 2003 met veel over Active Directory, dat heb ik paar maanden geleden doorgelezen, sinds vorige week weer actief met zoeken naar info.

Kwam toen een hele mooie site tegen, bitpipe.com. Echte aanrader. Soort verzamelsites met whitepapers, onderzoeken, etc over IT-onderwerpen. Daar nog een aantal documenten gevonden over migreren naar Windows Server 2003 en Active Directory.

Nu heb ik een berg doorgelezen, alleen dus geen ervaring met het ontwerpen van een Active Directory.

Onze organisatie in het kort: Verschillende disciplines (accountants, juristen, etc), verschillende vestigingen. Gecentraliseerd beheer. 700 medewerkers ongeveer...

Zelf leek mij het beste ontwerp een single domain. En geen tree's of forrest's zelfs. Kan geen enkele reden bedenken waarom dat dit nodig zou zijn.

Waarom dan wel een single domain? We hebben toch gecentraliseerd beheer. Geen aparte bv's of divisie's met andere namen o.i.d.

Eventueel nadeel is misschien dat er heel veel replicatieverkeer naar alle 25 vestigingen gaat?

Zoals al gezegd, wil ik graag horen, uit jullie ervaringen, wat de pro's en con's zijn bij verschillende active directory die jullie kennen, en of jullie het eens zijn met mijn keuze voor een single domain.

Links met stuff die ik wel handig vond om jezelf weg wijs te maken met Windows Server 2003 en Active Directory:

Erg handige artikelen en PDF'jes:
Group Policy - Why Management Matters in Your Enterprise http://www.bitpipe.com/detail/RES/1089741681_397.html

Five Key Lessons to Securing Your Active Directory http://www.bitpipe.com/detail/RES/1091470637_815.html

Group Policy Catalog http://www.netiq.com/f/form/form.asp?id=2420&origin=1Q05

Migrating to Windows Server 2003, Active Directory and Exchange 2003 http://www.bitpipe.com/detail/RES/1052321112_291.html

Verwijderd

Ik zou het gewoon simpel houden met 1 domein met daarin verschillende Organizational Units, voor alle afdelingen. Zet op elke OU een Group Policy en je kunt ermee doen wat je wilt. Mocht 1 medewerker verhuizen van afdeling, dan verplaats je hem gewoon naar een andere OU en klaar...

Keep it simple. :)

Verwijderd

Topicstarter
Verwijderd schreef op 09 augustus 2004 @ 16:27:
Ik zou het gewoon simpel houden met 1 domein met daarin verschillende Organizational Units, voor alle afdelingen. Zet op elke OU een Group Policy en je kunt ermee doen wat je wilt. Mocht 1 medewerker verhuizen van afdeling, dan verplaats je hem gewoon naar een andere OU en klaar...

Keep it simple. :)
En de replicatie naar 25 vestigingen dan?

  • The Rancor
  • Registratie: Februari 2003
  • Laatst online: 24-08-2021
Single domain is het meest aangewezen, en BDC's waar nodig, wel replicatie goed opzetten ivm verkeer, vervolgens ou's correct indelen dat is het simpelst te beheren

Nikon D50 18-55/55-200/50 1.8


Verwijderd

Topicstarter
The Rancor schreef op 09 augustus 2004 @ 16:32:
Single domain is het meest aangewezen, en BDC's waar nodig, wel replicatie goed opzetten ivm verkeer, vervolgens ou's correct indelen dat is het simpelst te beheren
BDC's bestonden toch niet meer?

  • The Rancor
  • Registratie: Februari 2003
  • Laatst online: 24-08-2021
inderdaad, ik bedoelde uiteraard een dc

Nikon D50 18-55/55-200/50 1.8


Verwijderd

Topicstarter
Ik weet dat de Global Catalog, Configuration en Schema naar elke DC gerepliceerd wordt.

Wij hebben 700 medewerkers en 25 vestigingen. Nu zullen de meeste mensen dus zo goed als altijd op dezelfde vestiging werken. Kan je dan per OU o.i.d. bepalen wat er naar een bepaade DC op een vestiging gerepliceerd wordt? En als een gebruiker op een andere vestiging inlogt, kan hij dan wel binnen redelijk tijd bij zijn programma's en bestanden?

Verwijderd

Je kan kiezen voor single domain maar ook voor een leeg root domain met daaronder je domain met gebruikers enz. Dit heeft een aantal voordelen voor de toekomst (misschien heb je toch meer domains nodig, fusie) . Het aantal OU's moet je zo laag mogelijk houden.

Ik zou op vestigingen met meer dan 40 PC's een DC plaatsen. Dit voorkomt dat alle inlogverkeer over het WAN gaat.

Hieronder een voorbeeld van Policy.

Standaard User
Desktop
Laptop
High TCO PC (PC waar gebruikers meer rechten nodig hebben dan standaard desktop)

Verwijderd

Verwijderd schreef op 09 augustus 2004 @ 16:46:
Ik weet dat de Global Catalog, Configuration en Schema naar elke DC gerepliceerd wordt.

Wij hebben 700 medewerkers en 25 vestigingen. Nu zullen de meeste mensen dus zo goed als altijd op dezelfde vestiging werken. Kan je dan per OU o.i.d. bepalen wat er naar een bepaade DC op een vestiging gerepliceerd wordt? En als een gebruiker op een andere vestiging inlogt, kan hij dan wel binnen redelijk tijd bij zijn programma's en bestanden?
Wat voor gegevens wil je repliceren (data van file server) ?
Wil je programma's aanbieden via AD ?

Verwijderd

Hoe dik zijn de lijnen naar de verschillende vestigingen? Dit is mede bepalend voor een aantal keuzes die een rol spelen naast je ontwerp. Ik zou sowieso gaan voor een opzet met sites omdat je dan via GPO's leuke zaken kunt doen.

Software zou ik lokaal laten installeren om zo onnodig netwerkverkeer over je lijnen te verminderen.

[ Voor 71% gewijzigd door Verwijderd op 09-08-2004 17:01 ]


Verwijderd

1 domain met voor iedere vestiging een site

lekker makkelijk en je heb je replicatie verkeer onder controlle

Verwijderd

Topicstarter
Verwijderd schreef op 09 augustus 2004 @ 16:48:
Je kan kiezen voor single domain maar ook voor een leeg root domain met daaronder je domain met gebruikers enz. Dit heeft een aantal voordelen voor de toekomst (misschien heb je toch meer domains nodig, fusie) . Het aantal OU's moet je zo laag mogelijk houden.

Ik zou op vestigingen met meer dan 40 PC's een DC plaatsen. Dit voorkomt dat alle inlogverkeer over het WAN gaat.

Hieronder een voorbeeld van Policy.

Standaard User
Desktop
Laptop
High TCO PC (PC waar gebruikers meer rechten nodig hebben dan standaard desktop)
Dat root domain verhaal met niks er in werd alleen aangeraden (tijdens een presentatie van een MS partner) als je met meerdere forrest's gaat werken. MS zei zelf eerst dat dit ook veiliger was, maar heeft die statement inmiddels alweer ingetrokken.

Er moeten ook OU's komen zodat er delegatie van beheer gedaan kan worden toch? Makkelijk beheerstaken zoals herstellen van wachtwoorden kan door een ICT-coordinator op een vestiging dan gedaan worden. Of is het makkelijk om dit toch een door een gecentraliseerde helpdesk te laten doen en dat het voor delegatie van beheer in ieder geval niet nodig is om OU's per vestiging aan te maken?

Verwijderd

Topicstarter
Verwijderd schreef op 09 augustus 2004 @ 16:52:
[...]


Wat voor gegevens wil je repliceren (data van file server) ?
Wil je programma's aanbieden via AD ?
Het aanbieden van programma's en patches zijn we nog niet uit. ZenWorks ziet er wel heel mooi uit.

Natuurlijk moet er op elke vestiging welke een fileserver komen. Anders worden de lijnen te veel belast. Een gebruiker zal sporadisch op een andere vestiging inloggen, dus dan zouden zijn bestanden die hij wilt raadplegen wel over de lijnen kunnen gaan.

En als er een aantal gebruikers veel van vestiging wisselen dan lijkt het me dat je zijn bestanden naar elke vestiging kan repliceren? Iets met roaming profiles (moet dit nog zelf uitzoeken hoor, maar 1 step at a time)

  • Tags NL
  • Registratie: December 1999
  • Laatst online: 05-02 16:52

Tags NL

Harmful or Harmless?

Je zou eigenlijk een Designing Active Directory cursus moeten doen van Microsoft, daarin leer je met wat voor keuzes je wat voor soort oplossing moet gaan kiezen. Zowieso leuk om te doen want je kunt een goede discussie aan met de leraar en de rest van de klas :)

https://powershellisfun.com


Verwijderd

Topicstarter
Verwijderd schreef op 09 augustus 2004 @ 16:55:
Hoe dik zijn de lijnen naar de verschillende vestigingen? Dit is mede bepalend voor een aantal keuzes die een rol spelen naast je ontwerp. Ik zou sowieso gaan voor een opzet met sites omdat je dan via GPO's leuke zaken kunt doen.

Software zou ik lokaal laten installeren om zo onnodig netwerkverkeer over je lijnen te verminderen.
1mbit voor vestigingen tot 30 medewerkers en 2 mbit voor vestigingen met meer dan 30 medewerkers.. paar vestigingen hebben nog 256 omdat er daar niks anders voor handen is.

Verwijderd

Topicstarter
-={Fred_Perry}=- schreef op 09 augustus 2004 @ 17:02:
Je zou eigenlijk een Designing Active Directory cursus moeten doen van Microsoft, daarin leer je met wat voor keuzes je wat voor soort oplossing moet gaan kiezen. Zowieso leuk om te doen want je kunt een goede discussie aan met de leraar en de rest van de klas :)
Heb al eens een Active Directory hands-on cursus van twee dagen gehad..... kwam design ook aan bod...

Hoef er geen expert in te worden dat ik dadelijk advertenties kan plaatsen van zal ik uw AD ontwerpen ;) maar wil weten waar ik het over heb en goede gesprekspartner zijn mochten we migreren en een externe partij erbij betrekken..

Verwijderd

een single domain is prima zolang je maar sites maakt! op die manier kan je replicatie verkeer schedulen, mocht dat nodig zijn.

ik zou op elke locatie minimaal 1 dc zetten en op een hoofdlocatie iig 2. op de hoofdlocatie alle fsmo rollen laten en de global catalog. op andere grotere locaties ook de global catalog activeren. Universal Group Membership caching aanzetten op de andere/kleinere locaties (eigenlijk bepalen wat het minste netwerkverkeer genereert; maar aangezien je dat nog niet weet...)

OU's helpen totaal niet met replicatie verkeer e.d. maar maakt het beheer enzovoorts een stuk makkelijker.

[ Voor 32% gewijzigd door Verwijderd op 09-08-2004 17:10 ]


  • BlaTieBla
  • Registratie: November 2000
  • Laatst online: 22-02 13:22

BlaTieBla

Vloeken En Raak Schieten

-={Fred_Perry}=- schreef op 09 augustus 2004 @ 17:02:
Je zou eigenlijk een Designing Active Directory cursus moeten doen van Microsoft, daarin leer je met wat voor keuzes je wat voor soort oplossing moet gaan kiezen. Zowieso leuk om te doen want je kunt een goede discussie aan met de leraar en de rest van de klas :)
Ik heb die cursus in de tijd van windows 2000 gedaan (tesamen met alle andere design cursussen). Die werkte echt vreselijk verhelderend. Er worden een aantal scenarios behandeld en er was bij ons ruimte om onderling ook redelijk te discuseren over de voor en tegens van bepaalde (real-life) ontwerpen.
Let wel, voor ieder ontwerp valt wel wat te zeggen. Het is ook niet zo dat een 'klein' bedrijf per definitie een single domain structuur heeft.

leica - zeiss - fuji - apple | PSN = Sh4m1n0


  • krflyer
  • Registratie: Mei 2004
  • Laatst online: 27-11-2024
@ The Jerk: dit is inderdaad de vraag die gesteld moet worden: bandbreedte en daarop gebaseerde site model.

@Philip: als je lijnen dik genoeg zijn, kan je zelfs Terminal server overwegen.

Backups, bestanden over en weer: dat probleem ben je dan kwijt. Anders: wie maakt backups op je 25 sites?

Dan nog een vraag: als je Netware 6 voor Windows 2003 inruilt, welke email oplossing gebruik je nu en in de toekomst? Als je Exchange 2003 overweegt, zou ik alle DC's GC maken. Replicatie zou ik me geen zorgen over maken. Je hebt maar 750 users en 25 sites, tenzij je met een loonbedrijf oid zit, hoeveel mutaties verwacht je helemaal? Geen enkel punt, zeker niet als je je netwerk in NL inkoopt. Je kan dat allemaal netjes afregelen.

Enkele domain: een reden om een root domain erboven te hangen, kan een aparte password regime zijn. Systeembeheerders in het root domain hangen, en die een striktere password regime afdwingen. Maar

Exchange kan je overigens ook overwegen om mensen in groepen te laten werken, en de bestanden in Public Folders te stoppen. Maar ik neem aan dat dat ook in Groupwise zit. Shares via je netwerk zou ik niet doen. Administratieve ramp. In Exchange Public Folders kan je ten minste e.e.a. regelen, zoals eigenaar, wie een conflict oplost enz.

Verwijderd

Verwijderd schreef op 09 augustus 2004 @ 16:46:
Ik weet dat de Global Catalog, Configuration en Schema naar elke DC gerepliceerd wordt.
ummm waarom denk je dat je een vinkje hebt met bijv. gc?
Wij hebben 700 medewerkers en 25 vestigingen. Nu zullen de meeste mensen dus zo goed als altijd op dezelfde vestiging werken. Kan je dan per OU o.i.d. bepalen wat er naar een bepaade DC op een vestiging gerepliceerd wordt? En als een gebruiker op een andere vestiging inlogt, kan hij dan wel binnen redelijk tijd bij zijn programma's en bestanden?
bij zijn programma's en bestanden komen heeft natuurlijk niks te maken met ad of ou's, maar met je netwerk. inloggen is geen probleem op een andere site, maar als die zijn 1gb profile over een isdn lijntje moet ophalen van zijn normale locatie dan kan die wel ff gaan koffiedrinken...

Verwijderd

Verwijderd schreef op 09 augustus 2004 @ 17:08:
een single domain is prima zolang je maar sites maakt! op die manier kan je replicatie verkeer schedulen, mocht dat nodig zijn.

ik zou op elke locatie minimaal 1 dc zetten en op een hoofdlocatie iig 2. op de hoofdlocatie alle fsmo rollen laten en de global catalog. op andere grotere locaties ook de global catalog activeren. Universal Group Membership caching aanzetten op de andere/kleinere locaties (eigenlijk bepalen wat het minste netwerkverkeer genereert; maar aangezien je dat nog niet weet...)

OU's helpen totaal niet met replicatie verkeer e.d. maar maakt het beheer enzovoorts een stuk makkelijker.
Helemaal mee eens. Dat je meerdere sites moet aanmaken was ik nog vergeten erbij te zeggen in mijn post.

  • Abom
  • Registratie: September 2000
  • Laatst online: 18:57
Verwijderd schreef op 09 augustus 2004 @ 17:21:
[...]

Helemaal mee eens. Dat je meerdere sites moet aanmaken was ik nog vergeten erbij te zeggen in mijn post.
Ik ben het met iis5_rulez eens. Een DC/site op elke lokatie, met uitzondering van lokaties waar één of twee PC's staan (die hebben wij een aantal). En uiteraard 2 DC's op de hoofdvestiging.

Wij hebben 7 vestigingen. Op de hoofdvestiging, waar 94% van de medewerkers werken, staan 2 DC's. Bij de vestiging in Krefeld, waar 3% van de medewerkers werken, staat 1 DC. Verder is er nog een vestiging in Brussel, waar men nu nog Apples gebruikt, wil ik ook meenemen in de nieuwe architectuur. Hier werkt iets meer dan 1% en ook hier zou ik een DC willen plaatsen.

Op de overige vestigingen staan maximaal 2 PC's en dus geen DC.

De vestiging in Krefeld is een aparte site, Brussel zal dat ook worden.

[ Voor 3% gewijzigd door Abom op 09-08-2004 17:56 ]


Verwijderd

Verwijderd schreef op 09 augustus 2004 @ 16:58:
[...]


Dat root domain verhaal met niks er in werd alleen aangeraden (tijdens een presentatie van een MS partner) als je met meerdere forrest's gaat werken. MS zei zelf eerst dat dit ook veiliger was, maar heeft die statement inmiddels alweer ingetrokken.

Er moeten ook OU's komen zodat er delegatie van beheer gedaan kan worden toch? Makkelijk beheerstaken zoals herstellen van wachtwoorden kan door een ICT-coordinator op een vestiging dan gedaan worden. Of is het makkelijk om dit toch een door een gecentraliseerde helpdesk te laten doen en dat het voor delegatie van beheer in ieder geval niet nodig is om OU's per vestiging aan te maken?
Het antwoord op root domain: Als je zeker weet dat je in de toekomst geen wijziging hoeft te doen in je domain (naam wijzigen voor een fusie) of gebruik van meerdere domains dan is 1 domain genoeg.

Het antwoord op OU's: ALs je het centraal laat doen is het niet nodig om verschillende OU's te maken voor beheertaken.

Wat ook een voordeel is van een gecentralisserde helpdesk is dat alle gebruikers precies weten waar ze heen moeten bellen/mailen voor problemen. Ook krijg je beter overzicht van de calls. Ik ben gewend als je een ICT-coordinator aansteld dat je vaak niet alles te horen krijgt van de problemen tot het echt fout gaat.

Verwijderd

Verwijderd schreef op 09 augustus 2004 @ 17:01:
[...]


Het aanbieden van programma's en patches zijn we nog niet uit. ZenWorks ziet er wel heel mooi uit.

Natuurlijk moet er op elke vestiging welke een fileserver komen. Anders worden de lijnen te veel belast. Een gebruiker zal sporadisch op een andere vestiging inloggen, dus dan zouden zijn bestanden die hij wilt raadplegen wel over de lijnen kunnen gaan.

En als er een aantal gebruikers veel van vestiging wisselen dan lijkt het me dat je zijn bestanden naar elke vestiging kan repliceren? Iets met roaming profiles (moet dit nog zelf uitzoeken hoor, maar 1 step at a time)
Antwoord op Zenworks: Wij hebben net een traject gehad voor het selecteren van een Beheerstool. We hebben ook gekeken naar zenworks. Dit zag er wel goed uit (wel complex). Tot we te horen kregen dat bijna alles wel op Windows draaide maar voor 1 functie toch een Novell server nodig hadden.

We hebben uit eindelijk gekozen voor Altiris en Powerfuse. Altiris voor het distribueren van applicaties en inventariseren hardware/Software. Powerfuse gebruiken we voor het beheren van de desktop omgeving (Afschermen van niet geautoriseerde applicaties, toewijzen van printers, registry instellingen enz.)

  • Abom
  • Registratie: September 2000
  • Laatst online: 18:57
Verwijderd schreef op 09 augustus 2004 @ 18:34:
[...]


Antwoord op Zenworks: Wij hebben net een traject gehad voor het selecteren van een Beheerstool. We hebben ook gekeken naar zenworks. Dit zag er wel goed uit (wel complex). Tot we te horen kregen dat bijna alles wel op Windows draaide maar voor 1 functie toch een Novell server nodig hadden.

We hebben uit eindelijk gekozen voor Altiris en Powerfuse. Altiris voor het distribueren van applicaties en inventariseren hardware/Software. Powerfuse gebruiken we voor het beheren van de desktop omgeving (Afschermen van niet geautoriseerde applicaties, toewijzen van printers, registry instellingen enz.)
Een andere optie om applicaties aan te bieden is Softricity (eventueel met PowerFuse), het is heel erg goed om application deployment te centraliseren. Maar ik denk dat dit niet veel met het onderwerp te maken heeft, misschien iets voor een tweede discussie.

  • Abom
  • Registratie: September 2000
  • Laatst online: 18:57
Verwijderd schreef op 09 augustus 2004 @ 18:28:
[...]

Het antwoord op root domain: Als je zeker weet dat je in de toekomst geen wijziging hoeft te doen in je domain (naam wijzigen voor een fusie) of gebruik van meerdere domains dan is 1 domain genoeg.

Het antwoord op OU's: ALs je het centraal laat doen is het niet nodig om verschillende OU's te maken voor beheertaken.

Wat ook een voordeel is van een gecentralisserde helpdesk is dat alle gebruikers precies weten waar ze heen moeten bellen/mailen voor problemen. Ook krijg je beter overzicht van de calls. Ik ben gewend als je een ICT-coordinator aansteld dat je vaak niet alles te horen krijgt van de problemen tot het echt fout gaat.
Volgens mij kun je met AD 2003 (itt 2000), wel je domain name wijzigen.

OU's zijn ook erg handig in het overzichtelijk houden van al je componenten, vandaar ook de naam :P. Wanneer je veel gebruik maakt van groupen om rechten uit te delen, wil het nogal een chaos worden zonder goed gebruik te maken van OU's.

Verwijderd

Abom schreef op 09 augustus 2004 @ 19:00:
[...]

Een andere optie om applicaties aan te bieden is Softricity (eventueel met PowerFuse), het is heel erg goed om application deployment te centraliseren. Maar ik denk dat dit niet veel met het onderwerp te maken heeft, misschien iets voor een tweede discussie.
Ik denk dat je gelijk hebt. Softricity is ook een heel mooi product. Misschien een leuke topic voor een tweede discussie (beheerstools)

Verwijderd

Goed boek hierover:
"Building Enterprise Active Directory Services: Notes from the Field"
http://www.microsoft.com/mspress/nordic/books/book14096.htm
http://www.windowsitlibra...eview.cfm?BookReviewID=14

  • Arfman
  • Registratie: Januari 2000
  • Laatst online: 22-02 10:54

Arfman

Drome!

Als ik zo je hele verhaal lees, denk ik 1 ding: Novell BranchOffice.
Dat is het concept dat je op 1 centrale lokatie een main fileserver neerzet, en op elke andere sublocatie een soort synchronisatiedoos, die users, files, etc. synchroniseert met de main file server. Voor de sublocaties lijkt het alsof ze werken op de main vestiging. Crasht zo'n synchronisatiedoos ? Geen probleem, installeer hem opnieuw (lees: blaas het image terug), zet een handmatige sync aan en je bent helemaal klaar.

Maargoed, de beslissing om naar Windows over te gaan zal wel allang genomen zijn door het management.

Voor wat betreft je AD design vraag: hoe zit je huidige eDirectory in elkaar ? AD en eDirectory lijken heel erg op elkaar in termen als design AFAIK.

Meer info over BranchOffice: http://www.novell.com/products/branchoffice/

Hier nog een onderzoek van KeyLabs, welke ZenWorks, Altiris, MS SMS, etc. vergelijkt: http://www.novell.com/products/zenworks/keylabs_report.pdf

[ Voor 9% gewijzigd door Arfman op 10-08-2004 10:48 ]

DRoME LAN Gaming | iRacing profiel | Kia e-Niro 64kWh | Hyundai Ioniq 28kWh | PV 5.760Wp |


Verwijderd

Arfman schreef op 10 augustus 2004 @ 10:44:
Als ik zo je hele verhaal lees, denk ik 1 ding: Novell BranchOffice.
Dat is het concept dat je op 1 centrale lokatie een main fileserver neerzet, en op elke andere sublocatie een soort synchronisatiedoos, die users, files, etc. synchroniseert met de main file server. Voor de sublocaties lijkt het alsof ze werken op de main vestiging. Crasht zo'n synchronisatiedoos ? Geen probleem, installeer hem opnieuw (lees: blaas het image terug), zet een handmatige sync aan en je bent helemaal klaar.

Maargoed, de beslissing om naar Windows over te gaan zal wel allang genomen zijn door het management.

Voor wat betreft je AD design vraag: hoe zit je huidige eDirectory in elkaar ? AD en eDirectory lijken heel erg op elkaar in termen als design AFAIK.

Meer info over BranchOffice: http://www.novell.com/products/branchoffice/

Hier nog een onderzoek van KeyLabs, welke ZenWorks, Altiris, MS SMS, etc. vergelijkt: http://www.novell.com/products/zenworks/keylabs_report.pdf
klinkt als de dfs service van windows. maar het is maar waar je voorkeur naar uit gaat :)

  • vso
  • Registratie: Augustus 2001
  • Niet online

vso

tja...

het lijkt me makkelijker om Novel in zijn geheel de deur te wijzen en over te stappen op Win2k3.

- software distributie met SMS.
- afhankelijk van je verbinding en aantal medewerkers op een site een DC neer te zetten
- GC of group-Caching te gebruiken afhankelijk van de benodigdheden
- DFS toe te passen (profielen en shares)
- exchange ?
- quota's (gewoon doen omdat men bewuster met grote documenten MOET gaan werken.) en profielen met Quota)

Waar je op moet letten is hoeveel data wordt er over de lijnen wordt getransporteerd, dus als 1 afdeling over meerdere locaties zit en veel van de documentatie gebruik maakt kan het wel eens handig zijn om die dfs replicatie meer voorrang te geven dan andere afdelingen.


Ik denk dat het handig is om medewerkers zoveel mogelijk lokaal op 1 site te laten werken en niet echt gebruik te laten maken van het feit dat ze in 1 groot domain zitten. dus niet voor hun alles zichtbaar, van andere locaties. Er is geen goeie oplossing je bedrijfs-cultuur speelt ook nog erg mee. heeft het bedrijf veel/weinig geld over voor de ICT, zijn de mensen verwend ?

een groot domain is makkelijk beheersbaar. hoeveel Sites heb je die groot zijn en hoeveel kleine (splits de 25 vestingingen in groepen van aantal gebruikers) zit er groei in ? Win2k3 heeft relatief meer opties dan 2k zeker op het gebied van replicatie verkeer en controle daarvan.

Tja vanalles


  • Firefox
  • Registratie: Juni 1999
  • Laatst online: 08-09-2024

Firefox

Een Vurig Vosje

DFS in combinatie met DFS weet ik niet zeker of dat helemaal failsafe is.
Quota's binnen Windows - de standaard quota's dan - zuigen. die zijn alleen op volume niveau toe te wijzen, itt de novell directory niveau's... _HEEL_ erg jammer. Dus daar zal je wel een alternatief dan voor moeten zoeken. De Novell oplossing die je gewend bent mis je wat dat betreft snel.

Overigens is het idd gewoon een verhaal van opbouwen van Sites.
GC's zul je idd ook moeten repliceren naar sites, het is echter niet waar dat elke DC ook een GC functie heeft. Het is in sommige gevallen (vooral bij multi-site omgevingen) zelfs verstandig tot noodzakelijk om bepaalde FSMO rollen niet te combineren met een GC op dezelfde server.

Better to have loved and lost then never loved at all... yeah right.


  • CronoS76
  • Registratie: Juli 2002
  • Laatst online: 23-02 09:06
Ik zou gewoon zelf bepalen wat je moet doen. Ik zou in elk geval altijd van de simpelste situatie uitgaan. Dus Single Domain met de DC's op het hoofdkantoor.

Als er andere Security issue's mee gaan spelen (Andere Lockout policies), ga dan kijken naar een child domain omgeving, of misschien zijn er nog andere issue's een andere namespace hiervoor te geven. Bijvoorbeeld, publishing van de Websites en de scheiding met je intern Netwerk.. met andere woorden, kijk eerst hoe je de namespace wilt hebben. Ga eerst de OU structuur opmaken, want misschien komt hier wel uit dat je een child domain moet hebben voor een bepaalde afdeling.

Ik kan niet zien of je DC's nodig hebt op de dislokatie, maar dit is pas stap 2. Als voorbeeld, wij hebben hier 30 dislokaties met 2 tot 100 mbit lijnen ertussen, waarbij 4 dc's alleen op de main office, de WAN lijnen hebben een up tijd van 3 cijfers achter komma, waardoor wij vonden dat er geen DC's op de dislokatie staan, ook in verband met het beheer ervan. Maar in jou geval, als er 250 mensen op 1 dislokatie werken dan kan er voor jullie misschien wel een reden zijn om daar een DC/GC te zetten, maargoed dit moet voor jezelf opmaken wat hier de consequenties van zijn.

Maak voor je zelf een goede business Case op waaruit blijkt hoe je het design gaat doen... Maar keep in mind, hou alles zo simpel mogelijk, want dat scheelt in het beheer ervan en ga vervolgens daarna alles uitbreiden (indien nodig) met DC's op dislokaties alszijnde GC's of universal Caching enabled. Controleer hoe de GPO's ingesteld gaan worden, dit zijn maar een paar kreten waar je naar moet kijken, naast dit is er natuurlijk meer, maar zulke design vragen moet jij en/of je projectteam samen opstellen.

Suc6,
Robbin

Verwijderd

Topicstarter
Zal even snel uitleggen waarom we voor Windows Server 2003 kiezen...

We hebben steeds meer Win2k3 servers (SQL, TS, IIS, SUS,...) en we willen naar één platform.

Graag dit topic houden bij het origenele onderwerp ACTIVE DIRECTORY DESIGN.

Dit is een forum en iedereens mening en ervaring is welkom. Maar het is niet de bedoeling om Active Directory te gaan vergelijken met andere producten.


Kijkend naar de reacties tot nu toe dat er gewoon één domain komt.

Zoals het topic nu al loopt wordt er al veel gesproken over aanverwante zaken zoals applicatiedistrubutie, sites opzetten etc. Hier ik heb geen problemen, graag zelfs.

Zenworks blijkt toch erg goed te zijn uit verhalen hier en daar. Hier gaan we zeker naar kijken.

Wie heeft er ervaringen met het printer en file verhaal waarbij hij iets heeft opgemerkt dat afwijkt van het standaard verhaal dat beschreven staat in boeken en documenten van Microsoft?

Verwijderd

Topicstarter
CronoS76 schreef op 10 augustus 2004 @ 13:11:
Ik zou gewoon zelf bepalen wat je moet doen. Ik zou in elk geval altijd van de simpelste situatie uitgaan. Dus Single Domain met de DC's op het hoofdkantoor.

Als er andere Security issue's mee gaan spelen (Andere Lockout policies), ga dan kijken naar een child domain omgeving, of misschien zijn er nog andere issue's een andere namespace hiervoor te geven. Bijvoorbeeld, publishing van de Websites en de scheiding met je intern Netwerk.. met andere woorden, kijk eerst hoe je de namespace wilt hebben. Ga eerst de OU structuur opmaken, want misschien komt hier wel uit dat je een child domain moet hebben voor een bepaalde afdeling.

Ik kan niet zien of je DC's nodig hebt op de dislokatie, maar dit is pas stap 2. Als voorbeeld, wij hebben hier 30 dislokaties met 2 tot 100 mbit lijnen ertussen, waarbij 4 dc's alleen op de main office, de WAN lijnen hebben een up tijd van 3 cijfers achter komma, waardoor wij vonden dat er geen DC's op de dislokatie staan, ook in verband met het beheer ervan. Maar in jou geval, als er 250 mensen op 1 dislokatie werken dan kan er voor jullie misschien wel een reden zijn om daar een DC/GC te zetten, maargoed dit moet voor jezelf opmaken wat hier de consequenties van zijn.

Maak voor je zelf een goede business Case op waaruit blijkt hoe je het design gaat doen... Maar keep in mind, hou alles zo simpel mogelijk, want dat scheelt in het beheer ervan en ga vervolgens daarna alles uitbreiden (indien nodig) met DC's op dislokaties alszijnde GC's of universal Caching enabled. Controleer hoe de GPO's ingesteld gaan worden, dit zijn maar een paar kreten waar je naar moet kijken, naast dit is er natuurlijk meer, maar zulke design vragen moet jij en/of je projectteam samen opstellen.

Suc6,
Robbin
Op vestigingen moet databases staan, fileservers, en SUS servers.. Als er dan toch één of meerdere Windows 2003 Server staan (denk ook aan exchange), dan zou je deze toch ook meteen DC kunnen maken?

Een voorwaarde is dat als er een lijn uit valt dat er gewoon doorgewerkt kan worden, dus we kunnen toch niet om een DC op elke vestiging heen.

Nu ik je verhaal lees zit ik wel weer te twijfelen over meerdere domains... We hebben ook SAP servers, webservers, databases etc... Maar goed.. die kunnen ook weer met OU's aan andere voorwaarde en beheer onderworpen worden. Wat zou het voordeel zijn om het gebruikers netwerk en het server netwerk beide in aparte domains te zetten?

Verwijderd

Topicstarter
vso schreef op 10 augustus 2004 @ 11:47:
het lijkt me makkelijker om Novel in zijn geheel de deur te wijzen en over te stappen op Win2k3.

- software distributie met SMS.
- afhankelijk van je verbinding en aantal medewerkers op een site een DC neer te zetten
- GC of group-Caching te gebruiken afhankelijk van de benodigdheden
- DFS toe te passen (profielen en shares)
- exchange ?
- quota's (gewoon doen omdat men bewuster met grote documenten MOET gaan werken.) en profielen met Quota)

Waar je op moet letten is hoeveel data wordt er over de lijnen wordt getransporteerd, dus als 1 afdeling over meerdere locaties zit en veel van de documentatie gebruik maakt kan het wel eens handig zijn om die dfs replicatie meer voorrang te geven dan andere afdelingen.


Ik denk dat het handig is om medewerkers zoveel mogelijk lokaal op 1 site te laten werken en niet echt gebruik te laten maken van het feit dat ze in 1 groot domain zitten. dus niet voor hun alles zichtbaar, van andere locaties. Er is geen goeie oplossing je bedrijfs-cultuur speelt ook nog erg mee. heeft het bedrijf veel/weinig geld over voor de ICT, zijn de mensen verwend ?

een groot domain is makkelijk beheersbaar. hoeveel Sites heb je die groot zijn en hoeveel kleine (splits de 25 vestingingen in groepen van aantal gebruikers) zit er groei in ? Win2k3 heeft relatief meer opties dan 2k zeker op het gebied van replicatie verkeer en controle daarvan.
We kunnen niet in één weekend migreren, dit zal vestiging voor vestiging gebeuren. We zullen dus voor een bepaalde tijd in in migratietraject zitten.

Microsoft Directory Services (o.i.d.) kan synchroniseren met NDS (one-way en two-way). Na de eerste syncrhonisatie worden wijzigingen in één van beide directories gesynchroniseerd met de ander. Dit is ideaal natuurlijk. We kunnen zo dus applicaties voor applicaties overstappen en al gebruik maken van de Active Directory (voor sharepoint etc) terwijl gebruikers nog onder netware inloggen.

Enige voorwaarde voor de synchronisatie van beide directories is dat alle wachtwoorden opnieuw gezet moeten worden. MS kan geen wachtwoorden uit de NDS lezen, maar ze wel zetten, MS zal dus voor iedereen in beide directories een nieuw wachtwoord moeten zetten. Verder veranderd er niks, naast dat alle objecten in de NDS een attribuut erbij krijgen.

  • CronoS76
  • Registratie: Juli 2002
  • Laatst online: 23-02 09:06
Verwijderd schreef op 10 augustus 2004 @ 13:22:
[...]


Op vestigingen moet databases staan, fileservers, en SUS servers.. Als er dan toch één of meerdere Windows 2003 Server staan (denk ook aan exchange), dan zou je deze toch ook meteen DC kunnen maken?

Een voorwaarde is dat als er een lijn uit valt dat er gewoon doorgewerkt kan worden, dus we kunnen toch niet om een DC op elke vestiging heen.

Nu ik je verhaal lees zit ik wel weer te twijfelen over meerdere domains... We hebben ook SAP servers, webservers, databases etc... Maar goed.. die kunnen ook weer met OU's aan andere voorwaarde en beheer onderworpen worden. Wat zou het voordeel zijn om het gebruikers netwerk en het server netwerk beide in aparte domains te zetten?
Als je op de dislokaties al een aantal servers heb staan, dan zou ik er zeker ook een DCtje bijzetten, en misschien zelfs als GC, wel zo handig.

Als een WAN verbinding uitvalt op een dislokatie, dan kan het handig zijn om daar een DC te zetten, maargoed hou even rekening met de beheer en/of replicatie hiervoor (bij universal caching is dit niet het geval bij GC zeker wel!!). De vraag is in hoeverre wil je deze redundantie, want er hangt ook altijd een prijskaartje aan, als de server uitvalt in bijvoorbeeld Parijs, dan gaat het ook geld kosten in beheer :-)
Hoeveel GPO's gaan er gedefinieerd worden, als er vele GPO's doorgeworsteld moet worden, dan kan dit veel vertraging bij inloggen opleveren en dit kan een reden zijn om een DC te plaatsen.

Voor Servers hoef je in het algemeen Servers geen aparte domaintree te maken, maak hiervoor een logische OU structuur met daaraan GPO's gekoppeld. Meestal heeft childdomains alleen zin bij namespace issue's en andere security policies. Hou het zo simpel mogelijk; een Single Domain heeft altijd de voorkeur of het moet gewoon echt niet aan te raden zijn!

Groetjes,
Robbin

  • wvkreg
  • Registratie: Januari 2002
  • Laatst online: 22-02 17:19
[quote]Verwijderd schreef op 09 augustus 2004 @ 18:34:
[...]


Antwoord op Zenworks: Wij hebben net een traject gehad voor het selecteren van een Beheerstool. We hebben ook gekeken naar zenworks. Dit zag er wel goed uit (wel complex). Tot we te horen kregen dat bijna alles wel op Windows draaide maar voor 1 functie toch een Novell server nodig hadden.

Waar was een NW server voor nodig dan?
Je kan Zen volledig integreren in Windows 200x. dus ik ben benieuwd...

Verwijderd

[quote]wvkreg schreef op 10 augustus 2004 @ 13:39:
Verwijderd schreef op 09 augustus 2004 @ 18:34:
[...]


Antwoord op Zenworks: Wij hebben net een traject gehad voor het selecteren van een Beheerstool. We hebben ook gekeken naar zenworks. Dit zag er wel goed uit (wel complex). Tot we te horen kregen dat bijna alles wel op Windows draaide maar voor 1 functie toch een Novell server nodig hadden.

Waar was een NW server voor nodig dan?
Je kan Zen volledig integreren in Windows 200x. dus ik ben benieuwd...
Antwoord: Ze hadden het toen nodig voor Licentiebeheer. Dit waren ze nog aan het overzetten naar Windows 2000 ( 3/4 jaar geleden). Het kan zijn dat ze dit nu wel op windows 2000

  • Arfman
  • Registratie: Januari 2000
  • Laatst online: 22-02 10:54

Arfman

Drome!

vso schreef op 10 augustus 2004 @ 11:47:
het lijkt me makkelijker om Novel in zijn geheel de deur te wijzen en over te stappen op Win2k3.

-snip allemaal punten
Dat kan ook allemaal prima met Novell producten hoor :)
Daar staat geen enkele reden tussen om expliciet voor MS oplossingen te kiezen.

Maar de TS geeft al aan dat Novell helaas geen optie meer is, dus ik trek mij terug uit dit topic.

DRoME LAN Gaming | iRacing profiel | Kia e-Niro 64kWh | Hyundai Ioniq 28kWh | PV 5.760Wp |


Verwijderd

Topicstarter
Arfman schreef op 10 augustus 2004 @ 14:51:
[...]

Dat kan ook allemaal prima met Novell producten hoor :)
Daar staat geen enkele reden tussen om expliciet voor MS oplossingen te kiezen.

Maar de TS geeft al aan dat Novell helaas geen optie meer is, dus ik trek mij terug uit dit topic.
Tja geen optie, is gewoon een keuze... Als je een Netware 6 - Windows Server 2003 vergelijking/discussie wilt dan zie ik je graag in een nieuw topic (niet sarcastisch hoor ;0) wil best wel eens horen wat de ervaringen tussen beide platform zijn, maar niet hier)

We hebben overigens alleen maar servers in Nederland, dus mocht het nodig zijn, zijn we me de auto zo bij een vestiging. Alleen we willen wel zoveel mogelijk gecentraliseerd werken en dat er zolang als mogelijk doorgewerkt kan worden op een vestiging mocht er een lijn uitvallen. Bestanden van mensen staan toch op de fileshare van des betreffende vestigingen en met cached creditentials valt ook nog in te loggen, authenticeren, etc.

  • Falcon
  • Registratie: Februari 2000
  • Laatst online: 21-11-2025

Falcon

DevOps/Q.A. Engineer

Mag ik even een hele kleine tip geven. Als je een domein op zet .. zet gelijk het land er ook bij.

Als je later eventueel over gaat op internationaal niveau is je domein gelijk er klaar voor.

"We never grow up. We just learn how to act in public" - "Dyslexie is a bitch"


  • wielhelm
  • Registratie: Oktober 2001
  • Laatst online: 20-02 23:54

wielhelm

80/86 ST bladebladed

Ik zou toch even een cursus nemen als ik jou was, Zelf heb ik hem bij tstc gedaan, hele goede club, tevens kun je ze dan ook vragen, te kijken naar welk design voor jou het beste is.

Geen geld voor een cursus? koop dan in ieder geval even het boek designing
active directory.

En wat er ook gebeurd probeer als het ff kan bij 1 domein te blijven.

Verwijderd

Topicstarter
wielhelm schreef op 10 augustus 2004 @ 17:14:
Ik zou toch even een cursus nemen als ik jou was, Zelf heb ik hem bij tstc gedaan, hele goede club, tevens kun je ze dan ook vragen, te kijken naar welk design voor jou het beste is.

Geen geld voor een cursus? koop dan in ieder geval even het boek designing
active directory.

En wat er ook gebeurd probeer als het ff kan bij 1 domein te blijven.
In het topic staat dat ik als hands-on cursus heb gevolgt, boek heb (master windows server 2003) en nog tig andere documenten van het web heb gelezen.

Ja 1 domein, of toch er eentje boven voor de zekerheid?

  • CronoS76
  • Registratie: Juli 2002
  • Laatst online: 23-02 09:06
Verwijderd schreef op 10 augustus 2004 @ 17:54:
[...]


In het topic staat dat ik als hands-on cursus heb gevolgt, boek heb (master windows server 2003) en nog tig andere documenten van het web heb gelezen.

Ja 1 domein, of toch er eentje boven voor de zekerheid?
Tsja, het is dus geen kwestie van zekerheid, je bouwt zekerheid door meerdere DC's te hebben >:)
Een extra domein bouw je alleen als dit vanuit de business nodig is (zoals security eisen e.d.) Anders houdt het zo simpel mogelijk.
Het belangrijkste is gewoon om te bepalen hoe je DNS gaat inrichten, vervolgens ga je kijken hoe je AD inricht en wat voor toeters en bellen daarbij komen is voor latere zorg.....

  • vso
  • Registratie: Augustus 2001
  • Niet online

vso

tja...

CronoS76 schreef op 10 augustus 2004 @ 20:05:
[...]


Tsja, het is dus geen kwestie van zekerheid, je bouwt zekerheid door meerdere DC's te hebben >:)
Een extra domein bouw je alleen als dit vanuit de business nodig is (zoals security eisen e.d.) Anders houdt het zo simpel mogelijk.
Het belangrijkste is gewoon om te bepalen hoe je DNS gaat inrichten, vervolgens ga je kijken hoe je AD inricht en wat voor toeters en bellen daarbij komen is voor latere zorg.....
_/-\o_ _/-\o_
_/-\o_

Eerst moet je zien wat je nodig hebt, je moet niet de ad opbouwen wat handig lijkt maar je moet uitgaan van je bedrijf. en daaromheen bouwen. een AD design cursus lijkt me hier wel op zijn plaats.

Als je gewoon maar gaat bouwen dan heb je kans dat je veel problemen krijgt.

in jou geval zou ik kiezen voor 1 AD met meerdere Sites als ik het zo lees.
Je AD en Schema planning zou ik met OU's werken in 2k3 is heel veel mogelijk
wat je je wel moet realiseren is dat je voor 1 probleem meerdere oplossingen kan hebben. ik zou voor de oplossingen de + en de - Punten opschrijven en daaruit het beste kiezen. Ook zou ik zoveel mogelijk voor MS producten gaan wegens compatibiliteit. Novel citrix of andere oplossingen zijn leuk maar geven extra problemen.

Voor de kleine sites zou ik overwegen 1 of 2 TS-servers zodat remote werken mogelijk word, dit zou bv voor de thuis-werker meteen voordelen hebben want dan tijdens werktijd kan de gebruiker bij alles maar ook buiten-werktijd. Dit geeft meer flexibiliteit.

Remote Desktop (rdp) of remote apllicatie hebben misschien ook voordelen omdat de remote applicatie niet zoveel kracht vereist als een remote desktop maar wel gebruikers de kans geeft om vanuit 1 centrale lokatie data op-te slaan en ermee tewerken. stel je voor je hebt een sales applicatie die data op 1 plek opslaat maar die wordt op meerdere lokaties gebruikt dan zou je dat via remote applicatie aan kunnen bieden en dus de kennis+kracht van die applicatie vergroten.

Tja vanalles

Pagina: 1