Root.local-Domain

Es ist schon einige Jahre her, dass Microsoft mit Windows 2000 das Active Directory eingeführt hatte. Damals waren Bandbreiten knapp und die Replikation einer Domäne über Kontinente hinweg quasi undenkbar. Als Abhilfe wurden eine geografische Segmentierung des Forest über Domänen gemacht und eine "Root-Domäne" darüber dienste als Bindeglied. Auch heute findet man noch solche Konstruktionen, auch wenn Sie heute eher stören.

Microsoft beschreibt auf "Selecting the Forest Root Domain  (https://technet.microsoft.com/en-us/library/3e6a25db-b784-4b16-bfe8-d96585de9c20)" sehr gut, warum damals und vielleicht auch heute noch eine eigene fast leere Root-Domain für ein AD-Design geplant wird.

Domänen und Administrative Berechtigungen

Die erste Domäne in einem Forest ist natürlich "ausgezeichnet". Dort befinden sich z.B. die Gruppen "Schema Administratoren" und "Organisations Administratoren". Insbesondere an die Funktion einer Schema-Erweiterung und Veränderung werden hohe Maßstäbe gestellt. Eine falsche "Erweiterung" ist nicht ungeschehen zu machen. Auch bestimmen die Administratoren z.B. die Installation weiterer Domänen im Forest. Die ist schon etwas besonderes und wenn diese Domäne nun auch noch "normale Benutzer und Administratoren" beinhaltet, dann kommt der Gruppe der "Domänen Administratoren" eine besondere Rolle zu. Diese können nämlich auch die Mitgliedschaften der beiden erstgenannten Gruppen ändern und damit andere Personen z.B. zum "Schema Admin" machen. Das ist durchaus ein "Risiko", wenn man den Administratoren genauer auf die Finger schauen muss. Das muss man aber auf jeden Fall bei allen Modellen und in größeren Firmen werden administrative Rechte natürlich über eigens geschaffene Gruppen und Rollen (RBAC,Lync RBAC, Adminkonzept und AdminSDHolder) delegieren. Idealerweise sollte kein Admin permanent als "Domänen Administrator" arbeiten.

Domänen und "Politische Argumente"

Sie haben schon gelesen, dass die "Root-Domain" aufgrund einiger Gruppen und Funktionen eine herausstehende Funktion hat. Wenn Sie nun als Firma z.B. geografisch eigenständige Domänen betreiben und keine eigene ROOT-Domain vorsehen, dann ist eine dieser geografischen Domäne die "wichtige Domäne". Auch wenn wir eigentlich alle erwachsene Menschen sind, die miteinander reden können, so wird ein Beigeschmack doch immer bleiben, weil die anderen Administratoren oder Länder sich vielleicht doch zurückgesetzt fühlen.

So etwas ist ganz schwer aus den Köpfen zu bekommen und was passiert, wenn eine Firma sich von genau diesem Kontinent später einmal zurückzieht? Da ist natürlich eine "neutrale Domäne" eine flexiblere Plattform um geografische Neuorganisationen zu überstehen.

Replikations-Ringe und Bandbreiten

Auch wenn heute Bandbreiten schon deutlich besser sind als im Jahre 2000 und die Verbindungen zumindest "beständig" sind, d.h. keine Wählverbindungen mit Minutentakt genutzt werden, ist das Replikationsvolumen dennoch ein wichtiger Aspekt bei der Planung der Domäne.

Hier sind aber primär die Anmeldekonten der Anwender zu sehen, die durch Bilder im Active Directory (Siehe ADPhoto) oder Benutzerzertifikate (Siehe Benutzerzertifikate im AD) durchaus stattliche Größen erreichen können. Nicht umsonst hat Microsoft z.B. die Bilder für Skype und Exchange seit der Version 20013 alternativ im Postfach abgelegt. Das entlastet nicht nur das lokale Active Directory sondern erst rechte das Azure AD in Office 365. Zudem zählen so Kontakte und Bilder zum Speicher in Exchange (Quota) und eben nicht mehr zum Directory.

Wir wissen mittlerweile alle, dass das Active Directory in mehrere Partitionen unterteilt ist, die sich je nach Domäne oder Forest unterschiedliche replizieren. Die "großen" Partitionen wie das Schema, die "Configuration" und auch die ForestDNS-Partition werden auf allen Domaincontrollern vorgehalten und sollten sich entsprechend wenig ändern.  Wohingegen die "Domänenpartition" nur auf Domaincontrollern der gleichen Domäne vorgehalten wird. So kann also eine Domäne für "Europa" ruhig alle Benutzer aus Europa enthalten. Die Daten landen aber nicht in anderen Domänen, die z.B. für Nordamerika, Südamerika, Afrika und Asien aufgebaut wurden.

Allerdings gibt es natürlich schon noch den "Globalen Katalog". Domain Controller, die diese Rolle tragen, erhalten von allen Domänen eine Teilmenge an Daten, die durchaus nicht zu unterschätzen ist.

Wenn Sie aber nun eine Planung für eine Domäne mit vielleicht 10.000 Benutzern, einigen Gruppen und Computern machen, dann sollten Sie schon einmal abschätzen, wie viele Elemente sich hier tatsächlich ändern und welches Replikationsvolumen sie damit letztlich erwarten können. Da das Active Directory mittlerweile auch die Liste der Mitglieder von Gruppen differenziell repliziert und auch andere Änderungen oft nur wenige Bytes sind, ist das Volumen aus heutigen Maßstäben gering. Wenn ein Anwender über das WAN eine PowerPoint-Datei per Mail sendet oder in SharePoint hoch lädt, dann wird er vermutlich ein Vielfaches der Datenmene benutzt haben, das für die Replikation seines Konto über Jahre anfallen wird.

Auf der Seite https://msdn.microsoft.com/en-us/library/bb727085.aspx#EKAA  gibt Microsoft in Table 10 vor

Slowest link connecting a domain controller (kbps) Create a single, global domain no larger than (Users)

9,6

20.000

14,4

30.000

19.2

40.000

28,8

50.000

38,4

75.000

56 und höher

100.000

Wenn Sie hier die Bandbreite beachten, dann erkennen die älteren Semester, dass die Geschwindigkeiten von analogen Modems waren. Ich denke die meisten Leser haben weniger als 100.000 Benutzer aber sicher mehr als 64kbit Bandbreiten. Als allein als Bandbreitenüberlegungen sollte eine einzelne Domäne für die meisten Firmen das passende Modell darstellen.

Domänen und Kosten

Sie müssen sich im Klaren sein, dass eine Domäne immer mehrere Domänencontroller benötigt die ggfls. an entsprechenden Standorten vorgehalten und natürlich betrieben werden müssen. Die Mindestaufbaustufe für eine Domäne sind daher zwei Domänen Controller. Aber selbst das ist schon wenig, wenn Sie geografisch verteilt sind. Wer eine leere "Root-Domäne" aufbaut, muss schon die Betriebskosten für sehr lange Zeit mit einplanen.

Hinzu kommt, dass diverse Programme wie z.B. Exchange und Skype for Business eine Schemaerweiterung nur dann durchführen, wenn der Schema-Master in der gleichen AD-Site ist aber auch der Computer in der gleichen Domäne ist. Sie können sich also schon mal darauf einstellen, dass Sie in der "leeren Root" doch mindestens einen Member-Server für solche Aufgaben mit installieren müssen.

Eine "leere Root" bedeutet zudem mindestens eine weitere Domäne für die Benutzer und vielleicht noch eine weitere für zentrale Dienste wie Exchange, Skype for Business etc., die auch wieder weitere Domänencontroller mit sich bringen. Jede Domäne ist zudem eine eigene DNS-Domäne, so dass auch ihre Namensauflösung aufwändiger wird. Clients können nicht mehr einfach mit dem "kurzen Namen" arbeiten, wenn die Server in einer benachbarten Domäne stehen und Sie nicht die entsprechenden DNS-Suchlisten pflegen.

One disadvantage to using a dedicated forest root domain is that it creates additional management overhead to support the additional domain.
Quelle: Selecting the Forest Root Domain
https://technet.microsoft.com/en-us/library/3e6a25db-b784-4b16-bfe8-d96585de9c20

Ich bin heute der Ansicht, dass die meisten Firmen keine "Root-Domain" brauchen und sogar mit einer einzigen großen Domäne viel besser fahren würden.

Weitere Links