Active Directory và Exchange Architecture Câu hỏi và vấn đề


11

Đây là nền tảng về tình hình của chúng tôi ...

Ngay bây giờ, chúng tôi đang thiết lập thành ba công ty riêng biệt với ba hệ thống Active Directory và Exchange hoàn chỉnh. Ba văn phòng (Một ở Mỹ, hai ở Châu Âu) được kết nối thông qua thiết lập VPN ba chiều (vì vậy mỗi văn phòng có liên lạc an toàn với hai văn phòng kia). Có một thiết lập mối quan hệ tin cậy hai chiều trong Active Directory cho mỗi thiết lập. Tất cả các hệ thống đang chạy Server 2003 và Exchange 2003.

Có khoảng 160 hộp thư giữa các công ty và 80 người dùng (các hộp thư bổ sung dành cho các hệ thống con CNTT, tài khoản chuyển tiếp hoặc sử dụng khác).

Các công ty đang chính thức sáp nhập với nhau (thay vì chỉ có mối quan hệ tin cậy). Vì vậy, chúng tôi đang xem xét một giải pháp kết hợp (dựa trên một tên mới) trong đó mỗi văn phòng sẽ ở trên cùng một hệ thống (Exchange và Active Directory) cũng như củng cố cơ sở hạ tầng CNTT của chúng tôi (có rất nhiều sự trùng lặp).

Họ đã thuê một công ty bên ngoài đến và kiểm toán cơ sở hạ tầng CNTT của chúng tôi. Họ đã đưa ra một khuyến nghị chính thức để thuê ngoài cơ sở hạ tầng CNTT (và đoán xem, họ muốn cung cấp dịch vụ gì).

Tôi đã được giao nhiệm vụ tìm hiểu phải làm gì. Tôi đã suy nghĩ về nó khá nhiều, và tôi đã đưa ra hai lựa chọn. Sự khác biệt cơ bản là nơi Exchange được lưu trữ (bên trong chúng tôi thuê ngoài). Vì thuê ngoài rất dễ hiểu, tôi sẽ chỉ chi tiết thiết lập nội bộ.

Vì tính sẵn sàng cao là bắt buộc, chúng tôi muốn có một số dự phòng địa lý được tích hợp. Vì vậy, những gì tôi đã đưa ra là như sau (Tôi sẽ gọi cho các văn phòng Site1, Site2 và Site3):

Trang web1:

  • Vai trò thư mục hoạt động của FSMO
  • Vai trò trao đổi hộp thư - Chính
  • Trao đổi quyền truy cập máy khách, Vai trò máy chủ vận chuyển Hub
  • Vai trò chia sẻ tệp DFS (đối với các ổ đĩa được chia sẻ)

Trang web 2:

  • Vai trò Active Directory - Được sao chép từ Site1
  • Vai trò trao đổi hộp thư - Thứ cấp, được nhân rộng bằng cách sử dụng bản sao CCR
  • Trao đổi quyền truy cập máy khách, Vai trò máy chủ vận chuyển Hub
  • Vai trò chia sẻ tệp DFS

Trang web 3:

  • Vai trò Active Directory - Được sao chép từ Site1
  • Trao đổi quyền truy cập máy khách, Vai trò máy chủ vận chuyển Hub
  • Nhân chứng chia sẻ tệp (cho chuyển đổi dự phòng)
  • Vai trò chia sẻ tệp DFS

Vì vậy, về cơ bản, cụm có thể tồn tại trong một lỗi trang web duy nhất mà không làm sập bất kỳ trang web nào khác (hoặc bất kỳ hệ thống nào). Trong trường hợp xảy ra lỗi trang web kép, Exchange sẽ dừng hoàn toàn.

Vì vậy, mối quan tâm của tôi là như sau:

  1. Đây có phải là một thiết lập hợp lý? Hay tôi quá phức tạp hóa mọi thứ?
  2. Số lượng máy chủ cần thiết (3 tại mỗi trang vì vai trò Hộp thư CCR phải là vai trò duy nhất được cài đặt).
  3. Nó thậm chí sẽ hoạt động như được tóm tắt (nơi nó sẽ tự động chuyển sang nút có sẵn khi một trang web hoặc máy chủ ngừng hoạt động)?
  4. Vì mỗi văn phòng sẽ chỉ định một máy chủ Truy cập Máy khách cục bộ cho người dùng của mình, nên máy chủ đó trở thành một điểm lỗi duy nhất cho tất cả các yêu cầu cục bộ (Nhưng điều này có thể giải quyết được bằng cách thay đổi DNS thủ công)
  5. Có phải tất cả các máy chủ này cần phải nằm trên cùng một mạng con IP để điều này hoạt động không? Hoặc tôi có thể thoát khỏi việc sử dụng DNS hiearchial cho nó (clientaccess.site1.foo.com, v.v.) không?
  6. Điều này sẽ cho phép tôi đặt mỗi văn phòng dưới dạng bản ghi MX (vì có một máy chủ vận chuyển trung tâm trong mỗi văn phòng để kết nối với internet), vì vậy nếu một văn phòng ngừng hoạt động, chúng tôi vẫn có thể nhận email trong các văn phòng khác, đúng không?
  7. Bảo trì. Tôi có một lo ngại rằng thiết lập này sẽ quá phức tạp để duy trì trong thời gian dài (thêm văn phòng, xóa văn phòng, nâng cấp máy chủ (cả hệ điều hành và phần cứng), v.v.). Đó có phải là một nỗi sợ hợp lý?

Bây giờ, cũng có câu hỏi về việc nên đi với máy chủ 2003 hay 2008 ... Nếu chúng ta đi theo con đường Exchange nội bộ, tôi nghĩ rằng tôi có thể thuyết phục các quyền hạn để nâng cấp lên 2008 (thực tế chúng ta sẽ cần nâng cấp để sử dụng Exchange 2010) ... Nhưng nó có thực sự cần thiết hay chỉ là một trong những "điều muốn" của tôi lén lút trong các kế hoạch (chứ không phải là một bản nâng cấp chính đáng) ...

Bây giờ, một phần trong tôi chỉ muốn đi với Exchange thuê ngoài vì nó sẽ giảm bớt một số vấn đề này (hoặc hầu hết trong số chúng). Tuy nhiên, sau khi xem xét các chi phí, điểm hòa vốn là khoảng 1 năm, do đó, sau đó gia công sẽ đắt hơn đáng kể. Kết hợp với thực tế là một số tính năng mà chúng tôi phụ thuộc không thể thuê ngoài - ít nhất là với các công ty chúng tôi đã xem xét-- (chẳng hạn như Hộp thư chung, khớp nối Active Directory bao gồm SSO, quản lý tập trung, bảo mật dữ liệu, v.v.). Vì vậy, tôi thực sự bị rách việc phải đi đâu với điều này ...

Đây là dự án đầu tiên của quy mô này mà tôi đang cố gắng, vì vậy bất kỳ trợ giúp nào cũng sẽ được đánh giá cao ...

Cảm ơn trước (và xin lỗi vì cuốn sách) ...


+1 cho câu hỏi được viết và viết rất tốt. Sẽ cung cấp cho bạn +2 cho hình đại diện của bạn nếu tôi có thể.
pauseka

Câu trả lời:


6

Chúng tôi đang ở trong một tình huống tương tự, ngoại trừ thực tế là trong trường hợp của chúng tôi, chúng tôi đã là một công ty. Nhưng chúng tôi có văn phòng tại Cambridge, London, Stockholm, Thượng Hải và Atlanta. Tất cả được kết nối qua VPN. Ba trong số này có máy chủ Exchange (2 trên Exchange 2010, máy thứ ba sẽ được nâng cấp rất sớm). Hầu hết các bộ điều khiển miền của chúng tôi chạy Windows 2003, nhưng chúng tôi đang trên đường nâng cấp tất cả lên Windows 2008. Chúng tôi có khoảng 150 nhân viên, trải khắp mọi nơi. Rất giống với tình huống của bạn.

Vì vậy, đây là một số câu trả lời từ quan điểm của tôi:

  1. Nếu bạn có một đội ngũ CNTT tốt, thì tôi sẽ không bao giờ xem xét việc thuê ngoài. Trên thực tế, ngay cả khi nhóm của bạn không tử tế, tôi vẫn muốn dành một chút nỗ lực để làm cho nó tốt. Thời gian phản hồi của bạn sẽ tốt hơn nhiều, thiết lập bảo mật của bạn đơn giản hơn, nhưng quan trọng nhất: nhóm CNTT của bạn sẽ tập trung chính vào việc giữ cho cơ sở hạ tầng CNTT hoạt động tốt nhất. Trọng tâm chính của nhà cung cấp dịch vụ gia công là kiếm nhiều tiền nhất từ ​​bạn, không cung cấp dịch vụ tốt nhất.
  2. Thiết lập kế hoạch của bạn là rất khả thi. Thách thức chính của bạn sẽ là di chuyển mọi thứ vào một tên miền chung, nhưng điều đó có thể được thực hiện từng bước.
  3. Máy chủ cho hầu hết những gì bạn cần sẽ không tốn một cánh tay và một chân. Nếu bạn cần mua thêm máy chủ, số tiền bỏ ra cho việc đó sẽ nhỏ.
  4. Việc nó có hoạt động hay không như được tóm tắt tùy thuộc vào mức độ bạn có DNS công cộng và định tuyến nội bộ được định cấu hình. Nó chắc chắn có thể được thực hiện để làm việc.
  5. Tôi rất khuyên bạn nên có mạng con riêng cho mỗi văn phòng. Làm cho cuộc sống như là một sysadmin một LOT dễ dàng hơn. Sử dụng một mạng con có kích thước phù hợp cho mỗi văn phòng, sau đó sử dụng định tuyến tĩnh cho lưu lượng giữa các trang hoặc OSPF (hầu hết các bộ định tuyến VPN phong nha sẽ cung cấp OSPF ngoài giá). Chúng tôi thực sự có 2 mạng con riêng biệt trong hầu hết các văn phòng, giữ cho lưu lượng truy cập của công ty bình thường tách biệt với lưu lượng kỹ thuật (vì các kỹ sư của chúng tôi có xu hướng làm nhiều thứ thú vị với DNS, DHCP, truyền phát video và những thứ khác). Và nó hoạt động rất đẹp. Trên thực tế, chúng tôi thậm chí còn đưa nó đến mức các kỹ sư trong bất kỳ văn phòng nào có thể sử dụng luồng video từ một bộ truyền phát ở bất cứ nơi nào khác mà không cần phải biết nó đến từ đâu.
  6. KHÔNG cố gắng có tất cả các máy tính trên một mạng con lớn. Bạn sẽ xé tóc ra. Lời hứa.
  7. Chúng tôi có ba cổng thư công cộng (nằm trong các văn phòng có băng thông kết nối Internet cao nhất), tất cả đều được cấu hình giống hệt nhau và tất cả chuyển tiếp đến máy chủ Exchange gần nhất, từ đó thư được phân phối đến các hộp thư cuối cùng. Không có vấn đề gì cả.
  8. Một khi bạn đã nắm bắt cơ bản về định tuyến và tương tự, bạn sẽ thấy rằng điều này không khó để duy trì. Tôi có tổng cộng khoảng 150 máy chủ trải rộng trên tất cả các trang web này, khoảng nửa tá bộ định tuyến VPN, vài chục bộ chuyển mạch được quản lý. Chúng tôi là một thiết lập hỗn hợp (30% Windows, 70% Linux, trên các máy chủ và máy trạm) và tôi có 4 người báo cáo cho tôi. Không phải là một vấn đề gì cả.

Tin tưởng vào khả năng học hỏi của bạn, và bạn sẽ thành công. Kế hoạch là tốt. Tôi sẽ dùng Windows Server 2008 và di chuyển Máy chủ Exchange từng cái một sang Exchange 2010. Để di chuyển Exchange, bạn có thể cần một số trợ giúp bên ngoài (chúng tôi cần nó và các bạn của tôi nói chung khá tốt với Exchange), nhưng nếu bạn sợ cách bố trí vốn ban đầu, bạn cũng có thể di chuyển mọi thứ từng cái một. Không cần phải làm tất cả điều này trong một lần phình to.


Ồ Thật là một câu trả lời! Vâng, hãy để tôi trả lời một số điểm bạn đưa ra. Đầu tiên, tôi sẽ không đặt mọi thứ trên một mạng con trừ khi thực sự cần thiết. Điều tôi nghĩ là đặt mọi thứ trên một mạng con lớp C, với các mạng con cụ thể cho từng văn phòng (ví dụ: 172.25.50.0 cho máy tính site1, 172.25.55.0 cho máy chủ site1, 172.25.60.0 cho máy tính site2, v.v.) .. Sau đó, mọi thứ có thể được quản lý bằng cách chỉ định mặt nạ ... Một lưu ý, bạn có đề xuất nhiều máy chủ hộp thư (một trên mỗi trang) không? Hoặc một máy chủ hộp thư nguyên khối duy nhất được sao chép để dự phòng?
ircmaxell

Hay đó chính xác là những gì bạn đã cảnh báo chống lại mạng con? Tôi có nên tốt hơn khi cung cấp cho mỗi văn phòng một mạng con hoàn toàn riêng biệt (thậm chí không phải là một phần của cùng \ C) không?
ircmaxell

Chia sẻ lại: những gì bạn mô tả là những gì rất giống với những gì chúng tôi làm và những gì tôi đã nghĩ, tôi không muốn được kê đơn, vì hoàn cảnh chỉ ra bố cục chi tiết.
wolfgangsz

Email: Tôi sẽ đề nghị có hộp thư cục bộ cho tất cả người dùng trên trang web, với DAG cho hộp thư của các trang web khác (đó là khái niệm Exchange 2010 và rất hữu ích).
wolfgangsz

Đủ công bằng (tôi nhận thấy rằng vào năm 2010, và nó dường như là chính xác những gì chúng ta muốn). Tôi là một nhà phát triển thương mại. Nhưng khi sys-admin của chúng tôi rời đi khoảng một năm trước, tôi đã nhận trách nhiệm (cho trang web của tôi). Tôi thích nó và đã học được rất nhiều, nhưng vẫn còn nhiều điều phải học ... Vì vậy, thật tốt và hữu ích khi kiểm tra sự tỉnh táo về những điều này ... Cảm ơn rất nhiều!
ircmaxell
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.