Phase 2: Design der AD-Struktur

Bis zum Beginn dieser Phase sollten alle Beteiligten mit den Active Directory Grundlagen vertraut sein.

Die oberste Regel jeder AD-Topologie lautet: "Keep IT Simple". Daraus folgt, dass eine einzige AD-Domain in einem Tree in einem Forest erst einmal das optimale Design darstellt. Viele Fälle, in denen bei Windows NT eigene Domains notwendig waren, lassen sich im AD durch Organizational Units (OUs = Administrative Einheiten) abbilden, die hierarchisch angeordnet und für die Verantwortlichkeiten delegiert werden können.

Da der Ansatz mit mehreren Forests unbedingt vermieden werden soll, stehen folgende Alternativen zur Entscheidung:

• Domain-Modell
• Tree-Modell
• Forest-Modell

2.1 Alternative 1: Domain-Modell

Dieses Modell benutzt eine einzige Domain für das komplette Unternehmen und wird typischerweise kombiniert mit einer OU-Struktur, die sich an den geografischen Verhältnissen orientiert.

• Zentrale Administration der Sicherheitsrichtlinien (Policies).
• Die OU-Struktur ermöglicht dezentrale Administration.
• Extrem flexibles Modell für Reorganisation, Firmenzukauf, etc.
• Einfachstes Verschieben von Objekten (User) innerhalb der Strukturen.
• Global Catalog Servers können eingespart werden, da jeder DC alle Objekte repliziert bekommt.
• Einfachstes DNS-Design: ein Name.

• Kein Gefühl für "Verantwortung" vorhanden.
• Nur ein Satz von Password-Richtlinien (Account Policies) möglich.
• Bei großen Domains entsprechend hohe Hardware-Anforderungen an DCs.
• Ineffektive Verwendung der WAN-Leitungen, da jedes Objekt und jede Objekt-Änderung an jeden DC übermittelt werden muss.

2.2 Alternative 2: Tree-Modell

Dieses Modell erzeugt aus allen Domains einen einzigen Tree mit fortlaufendem Namensraum. Die Wurzel-Domain (die nicht gelöscht werden kann) fungiert als Platzhalter für die Wurzel des Trees und für unternehmensweite Ressourcen. Jeder Standort bzw. Unternehmensbereich wird durch eine sogenannte "First-Level Domain" repräsentiert.

• Der Namensraum repräsentiert die Struktur des Unternehmens.
• Benutzer und Administratoren finden eine gewohnte Umgebung.
• Unternehmensbereiche haben komplette Verfügungsgewalt über ihre Domains.
• Dezentrale Administration auf der Domain-Ebene für GPOs, Passwort Policies etc.
• Alle DCs besitzen ein komplettes Replica nur von einem Teil der Objekte des Forests, so dass die Hardware-Anforderungen an die DCs geringer sind, die WAN-Leitungen weniger belastet werden und LOGONs schneller ablaufen.

• Reorganisationen benötigen einen immensen Aufwand.
• Benutzer- und Ressourcen-Verschiebungen zwischen Unternehmensbereichen sind nicht ganz einfach.
• Obwohl verbessert gegenüber dem "Domain-Modell", ist das Tree-Modell auch nicht optimiert in Richtung WAN-Benutzung; hierzu bedarf es der Definition von Sites (Standorten).
• Falls Domains an mehreren Standorten verfügbar sein müssen, erfordert dies die lokale Installation von zusätzlichen DCs dieser Domains.

2.3 Alternative 3: Forest-Modell

Eine weitere Variante des Tree-Modells ist das Forest-Modell. Praktisch alle Vor- und Nachteile des Tree-Modells gelten auch für das Forest-Modell. Der wesentliche Unterschied ist, dass bei diesem Modell der Namensraum nicht fortlaufend ist - und nicht sein kann. Die erste Domain im Forest arbeitet auch hier als Wurzel-Domain.

• Unternehmensbereiche können ihren bisher schon verwendeten Namensraum weiterbenutzen und trotzdem in einem gemeinsamen Forest integriert sein.

• Tiefere LDAP-Abfragen müssen an einen GC-Server gerichtet werden und nicht an einen DC, ansonsten würde z.B. eine Abfrage nach einer Ressource in AU.LOCAL, die an einen DC in KA.LOCAL gerichtet wird, kein Ergebnis finden.

2.4 Entscheidung

Die Mustermann AG entschied sich für das Tree-Modell, und dies aus folgenden Gründen:

• Zufriedenheit mit der bisherigen Domain-Struktur.
• Einfacher Migrationsweg per In-Place Upgrade.
• Restrukturierung später immer noch möglich - und wesentlich leichter.

Phase 3: Implementierung Active Directory