Active Directory.pdf - Gattner

172 Kapitel 5: Entwerfen der Active Directory-Domänendienstestruktur
Außerdem wird der Ordner SYSVOL auf alle Domänencontroller in derselben Domäne repliziert.
In einigen Fällen führt dies zu übermäßigem Replikationsdatenverkehr zwischen den physischen
Unternehmensstandorten (selbst wenn mehrere logische Standorte konfiguriert werden). Dies
kann der Fall sein, wenn zwischen den Unternehmensstandorten langsame Netzwerkverbindungen
bestehen oder wenn sich in mehreren Unternehmensstandorten eine große Anzahl von
Benutzern befindet. Die einzige Möglichkeit, den Replikationsdatenverkehr einzuschränken,
besteht in der Erstellung zusätzlicher Domänen.
• Einige Standorte verwenden SMTP-Konnektivität (Simple Mail Transfer Protocol). Alle Unternehmensstandorte,
die nur SMTP-Konnektivität besitzen, müssen als separate Domänen konfiguriert
werden. Die Domänenpartition kann nicht über Standortverknüpfungen repliziert werden, die
SMTP verwenden.
• Es sind verschiedene Kennwortrichtlinien erforderlich. Die einzige Möglichkeit zum Einsetzen
verschiedener Kennwortrichtlinien, Kontosperrungsrichtlinien und Kerberos-Ticketrichtlinien
besteht darin, separate Domänen einzurichten. Auch wenn Sie sehr detaillierte Kennwortrichtlinien
einsetzen können, um die Kennwortrichtlinien für einige Benutzer in einer einzigen Domäne
zu ändern, erfordert die Verwaltung verschiedener Kennwortrichtlinien für mehrere Personengruppen
in derselben Domäne einen zusätzlichen Verwaltungsaufwand.
• Der Zugriff muss eingeschränkt werden. Wenn Sie den Zugriff auf Ressourcen und administrative
Berechtigungen einschränken müssen, empfiehlt sich der Einsatz zusätzlicher Domänen. Für
einige Unternehmen gibt es möglicherweise rechtliche Gründe für die Erstellung separater Verwaltungseinheiten.
• Für verschiedene Geschäftseinheiten sind verschiedene Namespaces erforderlich. Wenn Unternehmen
zusammengelegt werden, kann es für alle Geschäftseinheiten wichtig sein, eine eigenständige
Identität zu bewahren. Durch den Einsatz mehrerer Domänen in verschiedenen Strukturen
können Sie für jede Domäne einen eigenständigen Namespace verwalten.
• Der beste Migrationspfad für das Unternehmen ist, mehrere der aktuellen Domänen zu aktualisieren.
Es gibt viele gute Gründe für die Erstellung zusätzlicher Domänen. Jede Domäne kann einem Unternehmen
jedoch erhebliche administrative und finanzielle Kosten verursachen. Bevor Sie sich zur
Erstellung weiterer Domänen entschließen, erwägen Sie folgende Aspekte:
• Jede zusätzliche Domäne erfordert zusätzliche Hardware und zusätzliche Administratoren. Wenn
Sie konsistente Verwaltungsprozesse und Überwachungsvorgänge für alle Domänen konfigurieren
möchten, müssen Sie die entsprechenden Einstellungen in jeder Domäne festlegen.
• Die Verwaltung konsistenter Gruppenrichtlinieneinstellungen in allen Domänen ist schwierig. Sie
müssen die GPOs in jeder einzelnen Domäne konfigurieren und Dateien wie Skripts und Vorlagen
auf Domänencontroller in den einzelnen Domänen kopieren.
• In einer Umgebung mit mehreren Domänen greifen Benutzer über Vertrauensstellungen auf Ressourcen
zu, was zu mehr Komplexität und möglicherweise zu zusätzlichen Fehlerquellen führt.
• Benutzer, die zwischen Standorten mit verschiedenen Domänen wechseln, müssen sich an einem
Domänencontroller in ihrer Basisdomäne authentifizieren. Steht keine Netzwerkverbindung mit
der Basisdomäne zur Verfügung, kann der Benutzer sich nicht an der Domäne authentifizieren.
Aufgrund dieser zusätzlichen Kosten sollte die Gesamtzahl der Domänen so niedrig wie möglich
gehalten werden.