Pytania i problemy dotyczące architektury Active Directory i Exchange

11

Oto tło naszej sytuacji ...

Obecnie jesteśmy skonfigurowani jako trzy różne firmy z trzema kompletnymi systemami Active Directory i Exchange. Trzy biura (jedno w USA, dwa w Europie) są połączone za pomocą trójstronnej konfiguracji VPN (dzięki czemu każde biuro ma bezpieczną komunikację z pozostałymi dwoma). W usłudze Active Directory istnieje dwukierunkowa konfiguracja relacji zaufania dla każdej konfiguracji. Na wszystkich systemach działa Server 2003 i Exchange 2003.

Istnieje około 160 skrzynek pocztowych między firmami a 80 użytkownikami (dodatkowe skrzynki pocztowe dotyczą podsystemów informatycznych, kont przekazywania lub innych zastosowań).

Firmy oficjalnie łączą się ze sobą (zamiast utrzymywać relacje zaufania). Szukamy więc połączonego rozwiązania (opartego na nowej nazwie), w którym każde biuro będzie działało w tych samych systemach (Exchange i Active Directory), a także konsolidujemy naszą infrastrukturę IT (jest wiele powielania).

Zatrudnili firmę zewnętrzną, która przyszła i przeprowadziła audyt naszej infrastruktury IT. Wydali oficjalną rekomendację outsourcingu infrastruktury IT (i zgadnij, co chcą świadczyć usługę).

Zadanie polegało na ustaleniu, co robić. Długo o tym myślałem i wymyśliłem dwie opcje. Podstawowa różnica polega na tym, gdzie Exchange jest hostowany (wewnętrznie nasz outsourcing). Ponieważ outsourcing jest łatwy do zrozumienia, opiszę szczegółowo konfigurację wewnętrzną.

Ponieważ wymagana jest wysoka dostępność, chcemy mieć wbudowaną nadmiarowość geograficzną. Tak więc wymyśliłem następujące (zadzwonię do biur Site1, Site2 i Site3):

Site1:

  • Rola usługi Active Directory FSMO
  • Exchange Mailbox Role - Primary
  • Exchange Client Access, Hub Hub Server Role
  • Rola udostępniania plików DFS (dla dysków udostępnionych)

Site2:

  • Rola usługi Active Directory - replikowana z witryny 1
  • Exchange Mailbox Role - Secondary, replikowany przy użyciu replikacji CCR
  • Exchange Client Access, Hub Hub Server Role
  • Rola udostępniania plików DFS

Site3:

  • Rola usługi Active Directory - replikowana z witryny 1
  • Exchange Client Access, Hub Hub Server Role
  • File Share Witness (dla trybu failover)
  • Rola udostępniania plików DFS

Zasadniczo klaster powinien być w stanie przetrwać awarię pojedynczej witryny, nie powodując awarii żadnej innej witryny (ani żadnego z systemów). W przypadku awarii podwójnej witryny Exchange całkowicie się zatrzyma.

Moje obawy są następujące:

  1. Czy to rozsądna konfiguracja? A może komplikuję rzeczy?
  2. Wymagana liczba serwerów (3 w każdej lokacji, ponieważ role CCR Mailbox muszą być jedyną zainstalowaną rolą).
  3. Czy będzie działać nawet tak, jak podsumowano (gdzie automatycznie przejdzie w tryb failover do dostępnego węzła w przypadku awarii witryny lub serwera)?
  4. Ponieważ każde biuro określałoby lokalny serwer Client Access dla swoich użytkowników, serwer ten staje się pojedynczym punktem awarii dla wszystkich lokalnych żądań (ale można to rozwiązać ręcznie poprzez zmianę DNS)
  5. Czy wszystkie te serwery muszą znajdować się w tej samej podsieci IP, aby to działało? Czy mogę uciec od używania do tego celu hierarchicznego DNS (clientaccess.site1.foo.com itp.)?
  6. Pozwoli mi to ustawić każde biuro jako rekord MX (ponieważ w każdym biurze znajduje się serwer transportu koncentrującego, aby połączyć się z Internetem), więc jeśli jedno biuro ulegnie awarii, nadal powinniśmy być w stanie odbierać wiadomości e-mail w innych, prawda?
  7. Konserwowalność. Obawiam się, że ta konfiguracja będzie zbyt skomplikowana, aby można ją było utrzymać na dłuższą metę (dodawanie biur, usuwanie biur, uaktualnianie serwerów (zarówno systemu operacyjnego, jak i sprzętu) itp.). Czy to uzasadniony strach?

Teraz jest też pytanie, czy przejść na serwer 2003 czy 2008 ... Jeśli pójdziemy wewnętrzną drogą Exchange, myślę, że mogę przekonać uprawnienia do aktualizacji do 2008 (w rzeczywistości musielibyśmy dokonać aktualizacji, aby użyć Exchange 2010) ... Ale czy to naprawdę konieczne, czy tylko jedno z moich „chce” wkraść się w plany (zamiast usprawiedliwionego usprawnienia) ...

Teraz część mnie chce po prostu skorzystać z outsourcingu Exchange, ponieważ złagodzi niektóre z tych problemów (lub większość z nich). Jednak po przeanalizowaniu kosztów próg rentowności wynosi około 1 roku, więc po tym okresie outsourcing będzie znacznie droższy. Połącz to z faktem, że niektóre funkcje, na których polegamy, nie są możliwe w ramach outsourcingu - przynajmniej z firmami, na które patrzyliśmy - (takie jak współdzielone skrzynki pocztowe, łączenie usługi Active Directory, w tym SSO, scentralizowane zarządzanie, bezpieczeństwo danych itp.). Więc jestem naprawdę rozdarta, gdzie pójść z tym ...

To pierwszy projekt na taką skalę, który próbuję, więc każda pomoc byłaby bardzo mile widziana ...

Z góry dziękuję (i przepraszam za książkę) ...

ircmaxell
źródło
+1 za wyjątkowo dobrze napisane i udokumentowane pytanie. Dałbym ci +2 za twój awatar, gdybym mógł.
pauska

Odpowiedzi:

6

Znajdujemy się w podobnej sytuacji, z wyjątkiem tego, że w naszym przypadku jesteśmy już jedną firmą. Ale mamy biura w Cambridge, Londynie, Sztokholmie, Szanghaju i Atlancie. Wszystko połączone przez VPN. Trzy z nich mają serwery Exchange (2 na Exchange 2010, trzeci zostanie wkrótce zaktualizowany). Większość naszych kontrolerów domen działa w systemie Windows 2003, ale jesteśmy na dobrej drodze, aby uaktualnić je wszystkie do systemu Windows 2008. Mamy około 150 pracowników w różnych miejscach. Tak bardzo podobny do twojej sytuacji.

Oto kilka odpowiedzi z mojego punktu widzenia:

  1. Jeśli masz przyzwoity zespół IT, nigdy nie rozważałbym outsourcingu. W rzeczywistości, nawet jeśli twój zespół nie jest przyzwoity, wolę poświęcić trochę wysiłku, aby uczynić go przyzwoitym. Czas reakcji będzie znacznie lepszy, konfiguracja zabezpieczeń jest prostsza, ale co najważniejsze: zespół IT będzie przede wszystkim koncentrował się na utrzymaniu infrastruktury IT na najwyższym poziomie. Główny dostawca usług outsourcingowych koncentruje się na zarabianiu jak najwięcej z Ciebie, a nie na zapewnianiu najlepszej usługi.
  2. Zaplanowana konfiguracja jest bardzo wykonalna. Twoim głównym wyzwaniem będzie migracja wszystkiego do wspólnej domeny, ale można to zrobić krok po kroku.
  3. Serwery na większość potrzebnych produktów nie będą kosztować ręki i nogi. Jeśli musisz kupić dodatkowe serwery, nakłady kapitałowe na to będą niewielkie.
  4. To, czy to działa, czy nie, jak podsumowano, zależy od tego, jak dobrze skonfigurowałeś swój publiczny DNS i wewnętrzny routing. Zdecydowanie można go uruchomić.
  5. Zdecydowanie polecam posiadanie osobnych podsieci dla każdego biura. Sprawia, że życie jako administrator LOT łatwiejsze. Użyj jednej podsieci przyzwoitej wielkości dla każdego biura, a następnie albo użyj statycznego routingu dla ruchu między lokacjami lub OSPF (większość porządnych routerów VPN oferuje OSPF z półki). W rzeczywistości w większości biur mamy 2 oddzielne podsieci, utrzymując normalny ruch firmowy z dala od ruchu inżynieryjnego (ponieważ nasi inżynierowie zwykle robią wiele fajnych rzeczy z DNS, DHCP, streamingiem wideo i nie tylko). I działa pięknie. W rzeczywistości mamy to do tego stopnia, że ​​inżynierowie w każdym biurze mogą korzystać ze strumienia wideo z streamera gdziekolwiek indziej, bez konieczności dowiedzenia się, skąd pochodzi.
  6. NIE próbuj mieć wszystkich komputerów w jednej dużej podsieci. Rozerwij włosy. Obietnica.
  7. Mamy trzy bramy poczty publicznej (znajdujące się w biurach o największej przepustowości łącza internetowego), wszystkie skonfigurowane dokładnie tak samo i wszystkie przekazywane do najbliższego serwera Exchange, z którego poczta jest dystrybuowana do ostatecznych skrzynek pocztowych. Żaden problem.
  8. Gdy opanujesz już rutowanie i tym podobne, przekonasz się, że nie jest to trudne do utrzymania. Mam w sumie około 150 serwerów rozmieszczonych na wszystkich tych stronach, około pół tuzina routerów VPN, kilkadziesiąt zarządzanych przełączników. Jesteśmy konfiguracją mieszaną (30% Windows, 70% Linux, na serwerach i stacjach roboczych) i zgłaszają się do mnie 4 osoby. Nie ma problemu.

Zaufaj swojej umiejętności uczenia się, a odniesiesz sukces. Plan jest dobry. Wybrałbym system Windows Server 2008 i migrowałem serwery Exchange jeden po drugim do Exchange 2010. Do migracji Exchange może być potrzebna pomoc zewnętrzna (potrzebowaliśmy jej, a moi faceci są na ogół całkiem dobrzy w Exchange), ale jeśli jesteście obawiając się początkowego układu kapitału, możesz także migrować wszystko jeden po drugim. Nie trzeba tego robić w jednym wielkim puchu.

wolfgangsz
źródło
Łał! Co za odpowiedź! Cóż, pozwól mi odpowiedzieć na niektóre z twoich uwag. Po pierwsze, nie umieściłbym wszystkiego w jednej podsieci, chyba że absolutnie konieczne. Mam na myśli umieszczenie wszystkiego w jednej podsieci klasy C, z określonymi podsieciami dla każdego biura (na przykład 172.25.50.0 dla komputerów site1, 172.25.55.0 dla serwerów site1, 172.25.60.0 dla komputerów site2 itd.). Następnie wszystkim można zarządzać, po prostu określając maskę ... Jedna uwaga, czy sugerujesz wiele serwerów skrzynek pocztowych (po jednym na witrynę)? A może pojedynczy monolityczny serwer skrzynki pocztowej zreplikowany w celu zapewnienia nadmiarowości?
ircmaxell,
Czy jest to dokładnie to, przed czym ostrzegałeś w odniesieniu do podsieci? Czy lepiej byłoby, gdyby każde biuro miało całkowicie oddzielną podsieć (nawet część tej samej \ C)?
ircmaxell,
Podsieci: to, co opisujesz, jest bardzo podobne do tego, co robimy i co miałem na myśli, nie chciałem być nakazowy, ponieważ okoliczności dyktują układ szczegółów.
wolfgangsz
E-mail: Sugeruję posiadanie lokalnych skrzynek pocztowych dla wszystkich użytkowników w witrynie, z DAG dla skrzynek pocztowych innych witryn (to koncepcja Exchange 2010 i bardzo przydatna).
wolfgangsz
Całkiem uczciwie (zauważyłem to w 2010 roku i wydaje się, że jest dokładnie tym, czego chcemy). Z wykształcenia jestem programistą. Ale kiedy nasz sys-admin opuścił około rok temu, przejęłem obowiązki (za moją stronę). Lubię to i wiele się nauczyłem, ale wciąż muszę się wiele nauczyć ... Więc naprawdę dobrze i pożytecznie jest uzyskać kontrolę zdrowia psychicznego w tych sprawach ... Dziękuję bardzo!
ircmaxell,