Planen der Platzierung regionaler Domänencontroller

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Planen Sie zur Gewährleistung der Kosteneffizienz, so wenige regionale Domänencontroller wie möglich zu platzieren. Überprüfen Sie zunächst das Arbeitsblatt "Geografische Standorte und Kommunikationsverbindungen" (DSSTOPO_1.doc), das unter Sammeln von Netzwerkinformationen verwendet wird, um zu ermitteln, ob ein Standort ein Hub ist.

Planen Sie, regionale Domänencontroller für jede Domäne zu platzieren, die an jedem Hubstandort dargestellt wird. Nachdem Sie regionale Domänencontroller an allen Hubstandorten platziert haben, bewerten Sie, ob regionale Domänencontroller an Satellitenstandorten platziert werden müssen. Durch die Beseitigung unnötiger regionaler Domänencontroller von Satellitenstandorten werden die Supportkosten reduziert, die für die Wartung einer Remoteserverinfrastruktur erforderlich sind.

Stellen Sie außerdem die physische Sicherheit von Domänencontrollern an Hub- und Satellitenstandorten sicher, damit nicht autorisierte Mitarbeiter nicht darauf zugreifen können. Platzieren Sie beschreibbare Domänencontroller nicht an Hub- und Satellitenstandorten, an denen Sie die physische Sicherheit des Domänencontrollers nicht garantieren können. Eine Person, die physischen Zugriff auf einen beschreibbaren Domänencontroller hat, kann das System wie folgt angreifen:

  • Zugreifen auf physische Datenträger durch Starten eines alternativen Betriebssystems auf einem Domänencontroller.
  • Entfernen (und ggf. Ersetzen) physischer Datenträger auf einem Domänencontroller.
  • Abrufen und Bearbeiten einer Kopie einer Domänencontroller-Systemstatussicherung.

Fügen Sie beschreibbare regionale Domänencontroller nur zu Standorten hinzu, an denen Sie deren physische Sicherheit garantieren können.

An Standorten mit unzureichender physischer Sicherheit wird die Bereitstellung eines schreibgeschützten Domänencontrollers (RODC) empfohlen. Mit Ausnahme von Kontopasswörtern enthält ein RODC alle Active Directory-Objekte und -Attribute, die ein beschreibbarer Domänencontroller enthält. Änderungen an der Datenbank, die auf dem RODC gespeichert ist, können jedoch nicht vorgenommen werden. Änderungen müssen auf einem beschreibbaren Domänencontroller vorgenommen und dann wieder an den RODC repliziert werden.

Um Clientanmeldungen und den Zugriff auf lokale Dateiserver zu authentifizieren, platzieren die meisten Organisationen regionale Domänencontroller für alle regionalen Domänen, die an einem bestimmten Standort dargestellt werden. Sie müssen jedoch viele Variablen berücksichtigen, wenn Sie auswerten, ob für einen Geschäftsstandort eine lokale Authentifizierung erforderlich ist, oder ob die Clients sich auf die Authentifizierung und Abfrage über eine WAN-Verbindung (Wide Area Network) verlassen können. Die folgende Abbildung zeigt, wie Sie bestimmen, ob Domänencontroller an Satellitenstandorten platzieren werden.

Planen der regionalen DC-Platzierung

Verfügbarkeit von technischem Fachwissen vor Ort

Domänencontroller müssen aus verschiedenen Gründen kontinuierlich verwaltet werden. Platzieren Sie einen regionalen Domänencontroller nur an Standorten, die Mitarbeiter umfassen, die den Domänencontroller verwalten können, oder stellen Sie sicher, dass der Domänencontroller remote verwaltet werden kann.

In Zweigstellenumgebungen mit in der Regel schlechter physischer Sicherheit und wenig Informationstechnologiekenntnissen ist die Bereitstellung eines RODC häufig die empfohlene Lösung. Lokale Administratorberechtigungen für einen RODC können an jeden Domänenbenutzer delegiert werden, ohne diesem Benutzer Benutzerrechte für die Domäne oder andere Domänencontroller zu gewähren. Dadurch kann sich ein Lokaler Branchbenutzer bei einem RODC anmelden und Wartungsarbeiten auf dem Server ausführen, z. B. ein Upgrade eines Treibers. Der Branchbenutzer kann sich jedoch nicht bei einem anderen Domänencontroller anmelden oder andere administrative Aufgaben in der Domäne ausführen. Auf diese Weise kann dem Branchbenutzer die Möglichkeit delegiert werden, den RODC in der Filiale effektiv zu verwalten, ohne die Sicherheit der restlichen Domäne oder Gesamtstruktur zu beeinträchtigen.

WAN-Links, bei denen häufige Ausfälle auftreten, können zu erheblichen Produktivitätsverlusten für Benutzer führen, wenn der Standort keinen Domänencontroller enthält, der die Benutzer authentifizieren kann. Wenn die Verfügbarkeit Ihrer WAN-Verbindung nicht zu 100 Prozent beträgt und Ihre Remotestandorte einen Dienstausfall nicht tolerieren können, platzieren Sie einen regionalen Domänencontroller an Standorten, an denen die Benutzer die Möglichkeit benötigen, sich anzumelden oder serverseitigen Zugriff auszutauschen, wenn die WAN-Verbindung ausgeschaltet ist.

Verfügbarkeit der Authentifizierung

Bestimmte Organisationen, z. B. Banken, erfordern, dass Benutzer jederzeit authentifiziert werden. Platzieren Sie einen regionalen Domänencontroller an einem Standort, an dem die Verfügbarkeit der WAN-Verbindung nicht zu 100 Prozent beträgt, benutzer aber jederzeit eine Authentifizierung benötigen.

Wenn ihre WAN-Linkverfügbarkeit sehr zuverlässig ist, hängt das Platzieren eines Domänencontrollers am Standort von den Leistungsanforderungen für die Anmeldung über die WAN-Verbindung ab. Zu den Faktoren, die die Anmeldeleistung über das WAN beeinflussen, zählen die Linkgeschwindigkeit und verfügbare Bandbreite, die Anzahl von Benutzern und Nutzungsprofilen sowie die Menge des Anmeldenetzwerkdatenverkehrs im Vergleich zum Replikationsdatenverkehr.

Die Aktivitäten eines einzelnen Benutzers können eine langsame WAN-Verbindung erfassen. Platzieren Sie einen Domänencontroller an einem Speicherort, wenn die Anmeldeleistung über die WAN-Verbindung nicht akzeptabel ist.

Der durchschnittliche Prozentsatz der Bandbreitenauslastung gibt an, wie überlastet eine Netzwerkverbindung ist. Wenn eine Netzwerkverbindung über eine durchschnittliche Bandbreitenauslastung verfügt, die größer als ein akzeptabler Wert ist, platzieren Sie einen Domänencontroller an diesem Speicherort.

Anzahl von Benutzern und Nutzungsprofilen

Anhand der Anzahl von Benutzern und deren Nutzungsprofilen an einem bestimmten Standort können Sie ermitteln, ob Sie regionale Domänencontroller an diesem Standort platzieren müssen. Um Produktivitätsverluste zu vermeiden, wenn eine WAN-Verbindung ausfällt, platzieren Sie einen regionalen Domänencontroller an einem Standort mit mindestens 100 Benutzern.

Die Nutzungsprofile geben an, wie die Benutzer die Netzwerkressourcen verwenden. Sie müssen keinen Domänencontroller an einem Speicherort platzieren, der nur wenige Benutzer enthält, die nicht häufig auf Netzwerkressourcen zugreifen.

Anmeldungsnetzwerkdatenverkehr im Vergleich zu Replikationsdatenverkehr

Wenn ein Domänencontroller nicht am gleichen Speicherort wie der Active Directory-Client verfügbar ist, erstellt der Client Anmeldedatenverkehr im Netzwerk. Die Menge des Anmeldenetzwerkdatenverkehrs, der im physischen Netzwerk erstellt wird, wird von mehreren Faktoren beeinflusst, einschließlich Gruppenmitgliedschaften. Anzahl und Größe von Gruppenrichtlinie-Objekten (GPOs); Anmeldeskripts; und Features wie Offlineordner, Ordnerumleitung und Roamingprofile.

Andererseits generiert ein Domänencontroller, der an einem bestimmten Standort platziert wird, Replikationsdatenverkehr im Netzwerk. Die Häufigkeit und Menge der Aktualisierungen, die auf den partitionen vorgenommen werden, die auf den Domänencontrollern gehostet werden, beeinflussen die Menge des replikationsdatenverkehrs, der im Netzwerk erstellt wird. Die verschiedenen Arten von Updates, die auf den partitionen vorgenommen werden können, die auf den Domänencontrollern gehostet werden, umfassen das Hinzufügen oder Ändern von Benutzern und Benutzerattributen, das Ändern von Kennwörtern und das Hinzufügen oder Ändern globaler Gruppen, Drucker oder Volumes.

Um zu ermitteln, ob Sie einen regionalen Domänencontroller an einem Standort platzieren müssen, vergleichen Sie die Kosten für Anmeldedatenverkehr, der von einem Standort ohne Domänencontroller erstellt wurde, mit den Kosten für Replikationsdatenverkehr, der durch Platzieren eines Domänencontrollers am Standort erstellt wird.

Betrachten Sie beispielsweise ein Netzwerk mit Zweigstellen, die über langsame Verbindungen mit dem Hauptsitz verbunden sind und in dem Domänencontroller problemlos hinzugefügt werden können. Wenn der tägliche Anmelde- und Verzeichniss lookup-Datenverkehr einiger Remotestandortbenutzer mehr Netzwerkdatenverkehr verursacht, als alle Unternehmensdaten in den Branch zu replizieren, sollten Sie erwägen, dem Branch einen Domänencontroller hinzuzufügen.

Wenn die Reduzierung der Kosten für die Wartung von Domänencontrollern wichtiger als der Netzwerkdatenverkehr ist, zentralisieren Sie entweder die Domänencontroller für diese Domäne, und platzieren Sie keine regionalen Domänencontroller am Standort, oder erwägen Sie die Platzierung von RODCs am Standort.

Ein Arbeitsblatt, das Sie beim Dokumentieren der Platzierung regionaler Domänencontroller und der Anzahl der Benutzer für jede Domäne unterstützt, die an jedem Standort dargestellt wird, finden Sie unter Job Aid for Windows Server 2003 Deployment Kit ( Job Aid for Windows Server 2003 Deployment Kit), laden Sie Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip herunter, und öffnen Sie "Domänencontrollerplatzierung" (DSSTOPO_4.doc).

Sie müssen auf die Informationen zu Standorten verweisen, an denen Sie regionale Domänencontroller platzieren müssen, wenn Sie regionale Domänen bereitstellen. Weitere Informationen zum Bereitstellen regionaler Domänen finden Sie unter Deploying Windows Server 2008 Regional Domains.