Я недавно приехал управлять ИТ в небольшой организации и сейчас выясняю их настройку (ранее они выполняли ИТ-работу на стороне). У них есть главный сервер (под управлением Windows Server 2008 Standard) в одном офисе и второй сервер (под управлением той же версии Windows) во втором офисе в другом географическом месте. Все файлы хранятся на основном сервере и, насколько я могу судить, второй синхронизируется с ним. через подключенный сетевой диск. Active Directory также обрабатывается на главном сервере.
Мы планируем сменить интернет-провайдера в главном офисе, что будет означать смену внешнего статического IP-адреса. Может ли кто-нибудь дать мне совет о том, что нужно сделать, чтобы поддерживать текущее соединение между вторым и основным сервером?
Вероятно, вам понадобится доступ к обоим брандмауэрам, чтобы изменить конфигурацию IP, которая неизбежно изменится, если вы переходите к другому интернет-провайдеру, поскольку каждый поддерживает свои собственные сетевые блоки IP-адресов, которые они либо выделяют своим клиентам. статически или динамически. Предположительно, у вас есть первое, но ваш текущий интернет-провайдер сможет сказать вам об этом, и / или вы сможете определить это, посмотрев на конфигурацию порта WAN на брандмауэре.
Во-вторых, мне нужно понять, как связаны два сервера.
Предположительно, между обоими офисами существует туннель IPSec (VPN) между сайтами, который будет настроен на брандмауэрах обоих местоположений, обеспечивая связь между местоположениями, но у них может быть расширение LAN (MPLS / VPLS) или какой-либо другой вид частной сети. что ISP создал и управляет между обоими конечными точками (каждым офисом).
Я предполагаю, что если они раскачивают серверы 2008 года, ИТ-бюджет сделает расширение LAN / MPLS-соединение между местоположениями непомерно дорогостоящим, но это, очевидно, необходимо проверить, и цены сильно варьируются в зависимости от того, где вы находитесь. Это то, что нынешний интернет-провайдер мог бы перечислить, и звонок с ними был бы разумным.
Итак, предполагая, что это просто обычные независимые интернет-соединения, и если вы можете войти в брандмауэры, не выполняя их заводские настройки, вы можете покопаться и найти VPN / IPSec / Site-to-Site / LAN-to-LAN что угодно (публикация марка / модель были бы полезны).
Простой тест - проверить связь с IP-адресом, назначенным интерфейсу на сервере B, из командной строки сервера A.
Вы можете запустить net use из командной строки сервера с подключенным диском, чтобы узнать IP-адрес сервера B. Он также может отображаться через DNS (\\serverb.company.local\some\shared\folder)
Я тогдаping -t 192.168.2.2 (или serverb.company.local), который будет давать вам непрерывный пинг, чтобы вы также могли делать такие вещи, как проверка задержки, пока вы на ней.
Если вы получили ответ от сервера B, значит, вы знаете, что между местоположениями существует соединение уровня 3 и, вероятно, туннель IPSec. Если вы можете сохранить подключение уровня 3, тогда синхронизация должна продолжать работать, другими словами, если этот подключенный диск может работать, все должно быть в порядке.
Сказав это, я сначала хотел бы убедиться, что существует синхронизация и что она действительно работает с подключенным диском (который сам по себе не выполняет никакой репликации / синхронизации, он просто создает удобное для пользователя сопоставление для доступ к файлам), потому что я знаю, что, вероятно, установил бы репликацию распределенной файловой системы (DFS-R) в те времена, если пропускная способность была ограничена, но это сопровождается собственными головными болями (блокировки, резервное копирование может быть странным и т. д.).
Вы уверены, что подключенный диск предназначен не только для доступа к данным по запросу?
В настоящее время, когда мы настраиваем филиалы, даже с подключениями через кабельный модем (150/20 Мбит / с) и туннелями IPSec, мы обычно просто отображаем диски на отдельных машинах в филиале.
В каждом месте видны одни и те же диски / пути UNC? то есть Местоположение A получает доступ к акциям на \\server-a\some\shares и доступ к местоположению B делится на \\server-b\some\shares и в обоих общих ресурсах одинаковые файлы? Можете ли вы провести тест и создать файл dummy.txt, подождать час и показать его на другой стороне? Я действительно хотел бы знать, что на самом деле происходит, прежде чем что-либо менять.
Что касается смены интернет-провайдеров, если есть расширение LAN (MPLS / VPLS) и вы планируете получить эквивалент, вам нужно будет согласовать период обслуживания (время простоя) и настроить маршрутизаторы на обоих концах; это могут быть коммутаторы уровня 3, и они могут маршрутизировать между собой, полностью обходя межсетевой экран; всевозможные топологии, с которыми вы можете столкнуться.
Если моя догадка верна и это просто обычные независимые интернет-соединения, тогда вам необходимо перенастроить VPN-соединение типа "сеть-сеть" на брандмауэре каждого местоположения, что, по сути, сводится к следующему:
Удаленный и одноранговый IP-адреса для идентификации (IP-адреса офиса A и офиса B, назначенные брандмауэру, или первый из используемого диапазона в подсети, предоставленной интернет-провайдером)
Соглашение о политике в отношении криптографии, инкапсуляции и синхронизации (фаза 1 и фаза 2, версия IKE, алгоритм шифрования и т. Д.): В основном убедитесь, что обе стороны имеют одинаковые настройки. :)
Если туннель уже существует, вам просто нужно изменить соответствующий удаленный шлюз каждой стороны и одноранговый / локальный IP-адрес в конфигурации, предполагая, что они использовали IP-адреса в качестве идентификаторов, но я редко видел, чтобы это было сделано иначе: в основном ищите старый IP, заменить на новый эквивалентный IP; промыть и повторить.
Существует множество руководств о том, как это сделать, но все они должны использовать для этого одну и ту же структуру IPSec.