Planen der regionalen Domänencontrollerplatzierung

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Um Kosteneffizienz zu gewährleisten, sollten Sie so wenig regionale Domänencontroller wie möglich platzieren. Überprüfen Sie zunächst das Arbeitsblatt „Geografische Standorte und Kommunikationsverbindungen“ (DSSTOPO_1.doc), das in Sammeln von Netzwerkinformationen verwendet wurde, um festzustellen, ob ein Standort ein Hub ist.

Planen Sie die Platzierung regionaler Domänencontroller für jede Domäne, die an jedem Hubstandort vertreten ist. Nachdem Sie regionale Domänencontroller an allen Hubstandorten platziert haben, überprüfen Sie, ob regionale Domänencontroller an Satellitenstandorten erforderlich sind. Durch die Beseitigung unnötiger regionaler Domänencontroller an Satellitenstandorten werden die Supportkosten für die Wartung einer Remoteserverinfrastruktur reduziert.

Sorgen Sie außerdem für die physische Sicherheit der Domänencontroller an den Hub- und Satellitenstandorten, sodass nicht autorisiertes Personal keinen Zugriff darauf hat. Platzieren Sie beschreibbare Domänencontroller nicht an Hub- und Satellitenstandorten, an denen Sie die physische Sicherheit des Domänencontrollers nicht garantieren können. Eine Person, die physischen Zugriff auf einen beschreibbaren Domänencontroller hat, kann das System durch Folgendes angreifen:

  • Zugriff auf physische Datenträger durch Starten eines alternativen Betriebssystems auf einem Domänencontroller.
  • Entfernen (und möglicherweise Ersetzen) von physischen Datenträgern auf einem Domänencontroller.
  • Beschaffen und Bearbeiten einer Kopie der Systemstatussicherung eines Domänencontrollers.

Fügen Sie beschreibbare regionale Domänencontroller nur an Standorten hinzu, an denen Sie deren physische Sicherheit garantieren können.

An Standorten mit unzureichenden physischen Sicherheitsvorkehrungen ist die Bereitstellung eines schreibgeschützten Domänencontrollers (RODC) die empfohlene Lösung. Mit Ausnahme von Kontokennwörtern enthält ein schreibgeschützter Domänencontroller alle Active Directory-Objekte und -Attribute, die ein beschreibbarer Domänencontroller enthält. An der auf dem schreibgeschützten Domänencontroller gespeicherten Datenbank können jedoch keine Änderungen vorgenommen werden. Änderungen müssen auf einem beschreibbaren Domänencontroller vorgenommen und dann zurück auf den schreibgeschützten Domänencontroller repliziert werden.

Um die Anmeldung von Clients und den Zugriff auf lokale Dateiserver zu authentifizieren, setzen die meisten Unternehmen regionale Domänencontroller für alle regionalen Domänen ein, die an einem bestimmten Standort vertreten sind. Sie müssen jedoch viele Variablen berücksichtigen, wenn Sie beurteilen, ob ein Geschäftsstandort von seinen Clients eine lokale Authentifizierung verlangt oder ob sich die Clients auf die Authentifizierung und Abfrage über eine WAN-Verbindung (Wide Area Network) verlassen können. Die folgende Abbildung zeigt, wie Sie ermitteln, ob Domänencontroller an Satellitenstandorten platziert werden sollen.

plan regional dc placement

Lokale Verfügbarkeit von technischem Fachwissen

Domänencontroller müssen aus verschiedenen Gründen kontinuierlich verwaltet werden. Platzieren Sie einen regionalen Domänencontroller nur an Standorten, an denen es Mitarbeiter gibt, die den Domänencontroller verwalten können, oder stellen Sie sicher, dass der Domänencontroller remote verwaltet werden kann.

In Filialenumgebungen mit typischerweise schlechten Sicherheitsvorkehrungen und Personal mit geringen Kenntnissen in der Informationstechnologie ist die Bereitstellung eines RODC oft die empfohlene Lösung. Lokale administrative Berechtigungen für einen RODC können an einen beliebigen Benutzer der Domäne delegiert werden, ohne dass dieser Benutzer Benutzerrechte für die Domäne oder andere Domänencontroller erhält. Dadurch kann sich der Benutzer in einer lokalen Filiale bei einem RODC anmelden und Wartungsarbeiten auf dem Server ausführen, z. B. ein Upgrade eines Treibers. Diese*r Benutzer*in in der Filiale kann sich jedoch weder bei einem anderen Domänencontroller anmelden noch andere administrative Aufgaben in der Domäne ausführen. Auf diese Weise kann dem Benutzer in der Filiale die Fähigkeit übertragen werden, den RODC in der Filiale effektiv zu verwalten, ohne die Sicherheit der restlichen Domäne oder der Gesamtstruktur zu gefährden.

WAN-Verbindungen, die häufig ausfallen, können zu erheblichen Produktivitätseinbußen bei den Benutzer*innen führen, wenn der Standort nicht über einen Domänencontroller verfügt, der die Benutzer*innen authentifizieren kann. Wenn Ihre WAN-Verbindung nicht zu 100 Prozent verfügbar ist und Ihre Remotestandorte einen Ausfall des Diensts nicht tolerieren können, platzieren Sie einen regionalen Domänencontroller an Standorten, an denen die Benutzer*innen die Möglichkeit benötigen, sich anzumelden oder den Serverzugriff auszutauschen, wenn die WAN-Verbindung ausfällt.

Verfügbarkeit der Authentifizierung

Bestimmte Organisationen, z. B. Banken, verlangen, dass Benutzer jederzeit authentifiziert werden müssen. Platzieren Sie einen regionalen Domänencontroller an einem Standort, an dem die Verfügbarkeit der WAN-Verbindung nicht 100 Prozent beträgt, die Benutzer*innen aber jederzeit eine Authentifizierung benötigen.

Wenn die Verfügbarkeit Ihrer WAN-Verbindung sehr zuverlässig ist, hängt die Platzierung eines Domänencontrollers an diesem Standort von den Anforderungen an die Anmeldeleistung über die WAN-Verbindung ab. Zu den Faktoren, die sich auf die Anmeldeleistung über das WAN auswirken, gehören die Verbindungsgeschwindigkeit und die verfügbare Bandbreite, die Anzahl der Benutzer und Nutzungsprofile sowie der Umfang des Datenverkehrs bei der Anmeldung im Netzwerk im Vergleich zum Replikationsdatenverkehr.

Die Aktivitäten eines einzelnen Benutzers können eine langsame WAN-Verbindung überlasten. Platzieren Sie einen Domänencontroller an einem Standort, wenn die Anmeldeleistung über die WAN-Verbindung inakzeptabel ist.

Der durchschnittliche Prozentsatz der Bandbreitenauslastung zeigt an, wie ausgelastet eine Netzwerkverbindung ist. Wenn eine Netzwerkverbindung eine durchschnittliche Bandbreitenauslastung aufweist, die über einem akzeptablen Wert liegt, platzieren Sie einen Domänencontroller an diesem Standort.

Anzahl der Benutzer und Nutzungsprofile

Anhand der Anzahl der Benutzer und ihrer Nutzungsprofile an einem bestimmten Standort können Sie feststellen, ob Sie an diesem Standort regionale Domänencontroller platzieren müssen. Um Produktivitätsverluste zu vermeiden, wenn eine WAN-Verbindung ausfällt, platzieren Sie einen regionalen Domänencontroller an einem Standort, der 100 oder mehr Benutzer hat.

Die Nutzungsprofile geben an, wie die Benutzer die Ressourcen des Netzwerks verwenden. Es ist nicht notwendig, einen Domänencontroller an einem Standort zu platzieren, an dem sich nur wenige Benutzer*innen befinden, die nicht häufig auf Netzwerkressourcen zugreifen.

Netzwerkdatenverkehr bei der Anmeldung im Vergleich zum Replikationsdatenverkehr

Wenn ein Domänencontroller nicht am selben Standort wie der Active Directory-Client verfügbar ist, erzeugt der Client bei der Anmeldung Datenverkehr im Netzwerk. Der Umfang des Netzwerkdatenverkehrs bei der Anmeldung, der im physischen Netzwerk erzeugt wird, wird von mehreren Faktoren beeinflusst, darunter Gruppenmitgliedschaften, Anzahl und Größe der Gruppenrichtlinienobjekte (GPOs), Anmeldeskripts und Features wie Offlineordner, Ordnerumleitung und Roamingprofile.

Andererseits generiert ein Domänencontroller, der sich an einem bestimmten Standort befindet, Datenverkehr im Netzwerk. Die Häufigkeit und Menge der Aktualisierungen auf den Partitionen, die auf den Domänencontrollern gehostet werden, beeinflussen den Umfang des Datenverkehrs, der im Netzwerk erzeugt wird. Zu den verschiedenen Arten von Aktualisierungen, die an den auf den Domänencontrollern gehosteten Partitionen vorgenommen werden können, gehören das Hinzufügen oder Ändern von Benutzern und Benutzerattributen, das Ändern von Kennwörtern und das Hinzufügen oder Ändern von globalen Gruppen, Druckern oder Volumes.

Um zu ermitteln, ob Sie einen regionalen Domänencontroller an einem Standort platzieren müssen, vergleichen Sie die Kosten für den Datenverkehr, den ein Standort ohne Domänencontroller erzeugt, mit den Kosten für den Replikationsdatenverkehr, der durch die Platzierung eines Domänencontrollers an diesem Standort entsteht.

Betrachten Sie beispielsweise ein Netzwerk mit Filialen, die über langsame Verbindungen mit dem Hauptsitz verbunden sind und in denen Domänencontroller einfach hinzugefügt werden können. Wenn der tägliche Datenverkehr für Anmeldungen und Verzeichnisabfragen einiger Benutzer an einem Remotestandort mehr Datenverkehr verursacht als die Replikation aller Unternehmensdaten in der Filiale, sollten Sie einen Domänencontroller in der Filiale einrichten.

Wenn die Reduzierung der Kosten für die Wartung von Domänencontrollern wichtiger ist als der Netzwerkdatenverkehr, sollten Sie entweder die Domänencontroller für diese Domäne zentralisieren und keine regionalen Domänencontroller an diesem Standort platzieren oder die Platzierung von RODCs an diesem Standort in Betracht ziehen.

Ein Arbeitsblatt, das Sie bei der Dokumentation der Platzierung regionaler Domänencontroller und der Anzahl der Benutzer für jede Domäne, die an jedem Standort vertreten ist, unterstützt, finden Sie unter Job Aids for Windows Server 2003 Deployment Kit (Auftragshilfen für das Windows Server 2003 Deployment Kit). Laden Sie dort die Datei „Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip“ herunter, und öffnen Sie die Datei für die Domänencontrollerplatzierung (DSSTOPO_4.doc).

Bei der Bereitstellung regionaler Domänen müssen Sie die Informationen zu den Standorten beachten, an denen Sie die regionalen Domänencontroller platzieren müssen. Weitere Informationen zum Bereitstellen regionaler Domänen finden Sie unter Bereitstellen regionaler Windows Server 2008-Domänen.