У нас около дюжины пользователей, которые я бы назвал Экстранет. Это локальная сеть с воздушным зазором, которая физически находится в том же месте, что и наша основная локальная сеть. Мы разделяем локальную сеть Extranet с партнерским агентством, которое находится в другом здании, и, пока мы владеем оборудованием, они административно управляют фактическими маршрутизаторами и коммутаторами. Как только соединение покидает наше здание, оно проходит через инфраструктуру нашего дочернего агентства, где трафик наших пользователей смешивается с трафиком их пользователей. Наконец, он направляется в сеть финансового учреждения через выделенный канал, поэтому все наши пользователи могут финансовые дела. У нас есть неофициальные и официальные соглашения как с нашим партнерским агентством, так и с финансовым учреждением, которые включают следующие ограничения:
Компьютеры экстрасети находятся в более или менее закрытой DMZ, они не управляются с помощью Active Directory и получают свои файлы, принтеры и службы WSUS с отдельного стоечного сервера. Это ограничивает управляемость их компьютеров. Ограничение №2 требует от нас некоторых усилий для выполнения резервного копирования и общей административной работы. Все было хорошо, когда в этом подразделении были ИТ-специалисты, а теперь их нет (УРА! Уменьшение бюджета!). Мой руководитель и я согласны, что лучший способ двигаться вперед - это по возможности перенести их на нашу существующую платформу / платформы, чтобы мы поддерживали только одну систему, а не две или три.
Есть дополнительная Аварийное восстановление и Непрерывность бизнеса беспокойство. Постоянный план состоит в том, чтобы взять ленту LTO, содержащую резервные копии, куда-нибудь, а затем восстановить данные, и вперед. Мой руководитель и я согласны с тем, что в этом плане не хватает некоторых деталей, прежде чем он станет работоспособным. Было бы неплохо решить эту проблему одновременно с файловыми службами.
Последний, но тем не менее важный... финансовые дела чувствительна ко времени и важна. Как в миллионы долларов важного. Стандартизация, надежность и безопасность их компьютеров и локальной сети экстранета - это требование, особенно сейчас, когда у нас нет ИТ-персонала, который мог бы быть на месте в первые часы своей смены и немедленно отреагировать на проблему.
Технические требования наших пользователей Экстранета довольно банальны: рабочие станции Windows 7, файлы, услуги печати и обновления, доступ в Интернет и несколько сторонних приложений, предоставляемых нашим финансовым партнером.
Я хочу добиться следующего:
Какое сочетание технологий и архитектуры подойдет для этого?
Хотя я знаю, что это подозрительно похоже на рекомендация по покупкам Я изо всех сил стараюсь сформулировать это как архитектурный вопрос и избежать X / Y ловушка, пожалуйста не стесняйтесь редактировать по мере необходимости.
Файловые службы / службы печати
Я вижу ряд решений для файловых служб и служб печати - я считаю, что мы можем просто расширить Экстранет как виртуальную локальную сеть на нашу платформу виртуализации, а затем мы сможем отказаться от монтируемого в стойку сервера и связанного с ним оборудования. К сожалению, это не распространяется на услуги DR / BC - я смотрю на такие вещи, как Хранилище файлов Azure, виртуальная машина на основе Azure, которую мы используем в качестве цели DFS или даже OneDrive для бизнеса. Я просто не могу понять, как склеить эти технологии вместе, чтобы удовлетворить наши требования.
В идеале мы могли бы просто использовать какую-то «облачную» службу для доступа к файлам, но меня беспокоит использование Интернета (ограничение №1) и отсутствие возможности иметь локальную копию в сети в случае сбоя службы. Я чувствую, что здесь есть решение «съешь мой пирог и тоже есть», но я его просто не вижу.
Видимость и управление
Я буду, люблю люблю люблю чтобы эти компьютеры были присоединены к нашему домену Active Directory, но я не вижу способа сделать это, учитывая ограничение №2. Я начал смотреть на Active Directory в Azure но, по общему признанию, я этого не совсем понимаю, и, похоже, это ограничивается услугами единого входа. Что мне действительно нужно, так это способ доставить объекты групповой политики на эти машины и иметь центральное хранилище аутентификации. Я также ограничен тем, что нашим доменом Active Directory управляет другая группа, поэтому любое предложение о его «расширении» было бы политически и бюрократически сложно, но возможно. Наша группа AD работает над арендой Office 365 в масштабах всей организации, в которой будет реализована какая-то DirSync, но я не вижу, что это даст мне, кроме OneDrive для бизнеса (который может адресовать файловые службы, но не управление конфигурацией).
В настоящее время я работаю над внедрением Интернет-управление конфигурацией что, если я смогу управлять проблемами пропускной способности (ограничение №1), я получу некоторую видимость с помощью инвентаризации оборудования, обновлений Windows и развертываний сторонних приложений. Элементы конфигурации - довольно хакерский способ заменить групповую политику, но я полагаю, что наступает момент, когда это сработает.
У нас есть много возможностей, чтобы попытаться решить эту проблему. Довольно мощная среда виртуализации (Cisco UCS, vSphere и NetApp), SCCM, Microsoft Azure, Office 365 (надеюсь, скоро) и практически любая технология Microsoft, на которую мы уже должны иметь лицензию.
Может вы, ребята, заметите то, что я пропустил.
Продвигайте ваш существующий Windows Server в экстрасети до контроллера домена как новый независимый домен. Повышение уровня второго Window Server (на другом оборудовании) до контроллера домена позволит обеспечить отказоустойчивость и избыточность.
Вы можете использовать пространства имен DFS и репликацию для файловых служб. И теперь вы можете использовать объекты групповой политики для своих требований безопасности.
Группы, пользователи и групповые политики здесь также будут независимы от других систем; есть ли польза от доверительных отношений с другими?
Я полагаюсь на другие ответы для резервного копирования вне офиса и управления системами.
DNS - это одна из областей, в которой сотрудничество может быть полезным. Присвоение имени вашему домену Windows влияет на ваш домен DNS, поэтому подумайте о том, чтобы быть поддоменом их DNS, даже если ваш домен Windows является независимым.
Отказаться от автономного сервера и предоставить услуги файлов, печати и обновления с помощью другой методологии
Получите какие-то файловые службы горячего резервирования для целей DR / BC
Чтобы сделать хорошее решение, не нужно много склеивания.
Ваше предложение виртуализации сервера и расширения VLAN - хороший вариант. Он может полностью удовлетворить ваши потребности в аварийном восстановлении, в зависимости от вашего гипервизора, если вы превратите сервер, монтируемый в стойку, в цель репликации для виртуальной машины. Hyper-V поддерживает это, и VMWare, вероятно, тоже. Или, как вы сказали, реплицируйте на виртуальную машину Azure.
Что касается резервных копий, я согласен и изучил бы внешнюю службу резервного копирования, такую как Azure Backup. Восстановление простое, дисковое пространство дешевое, и это уменьшит ваши административные расходы. Он может работать с одним агентом, установленным на машине (в отличие от полноценного серверного / инфраструктурного решения), и выполняет резервное копирование всего по стандартному протоколу HTTPS. Резервные копии выполняются в одночасье, и они довольно небольшие, так как все резервные копии после начальной являются только инкрементными.
Повышайте нашу видимость и управляемость своих машин
В этом случае, если они еще не находятся в домене Active Directory, я бы подтолкнул их к одному. Затем создайте доверительные отношения между двумя агентствами, которые позволят вашим администраторам управлять каталогом. Это даже упростит доступ ВАШИМ пользователям, позволив им повторно использовать одну и ту же учетную запись.
Обратите внимание, что это не столько «расширение» среды Active Directory, сколько создание пути для обмена разрешениями между двумя средами. У вас достаточно точный контроль, в том числе разрешить ли пользователям из одного леса входить в другой.
Делайте все это, не нарушая наших соглашений с нашим партнерским агентством и финансовым партнером.
Вышеупомянутые решения не требуют смешивания пакетов или даже совместного использования данных. Если ваш пользователь входит в свою сеть с тем же именем пользователя, это никоим образом не означает, что данные вашей компании будут доступны в сети дочерней компании.