Назад | Перейти на главную страницу

Вопросы и проблемы по архитектуре Active Directory и Exchange

Вот предыстория нашей ситуации ...

Прямо сейчас мы созданы как три отдельные компании с тремя полными системами Active Directory и Exchange. Три офиса (один в США, два в Европе) подключены через трехстороннюю настройку VPN (так что каждый офис имеет безопасную связь с двумя другими). Для каждой настройки в Active Directory предусмотрены двусторонние доверительные отношения. Все системы работают под управлением Server 2003 и Exchange 2003.

Между компаниями и 80 пользователями существует около 160 почтовых ящиков (дополнительные почтовые ящики предназначены либо для ИТ-подсистем, учетных записей пересылки или для других целей).

Компании официально объединяются (вместо того, чтобы иметь доверительные отношения). Поэтому мы ищем комбинированное решение (на основе нового имени), в котором каждый офис будет находиться в одних и тех же системах (Exchange и Active Directory), а также консолидируем нашу ИТ-инфраструктуру (существует много дублирования).

Они наняли внешнюю компанию, чтобы она провела аудит нашей ИТ-инфраструктуры. Они сделали официальную рекомендацию передать ИТ-инфраструктуру на аутсорсинг (и угадайте, что, они хотят предоставить услугу).

Мне было поручено выяснить, что делать. Я немного подумал и придумал два варианта. Основное различие заключается в том, где размещается Exchange (внутри нашей компании). Так как аутсорсинг легко понять, я просто подробно расскажу о внутренней настройке.

Поскольку требуется высокая доступность, нам нужна встроенная географическая избыточность. Итак, я пришел к следующему (я назову офисы Site1, Site2 и Site3):

Сайт1:

Site2:

Site3:

Таким образом, в основном кластер должен выдерживать отказ одного сайта без остановки других сайтов (или любой из систем). В случае отказа двойного сайта Exchange полностью остановится.

Итак, мои опасения заключаются в следующем:

  1. Это разумная установка? Или я слишком усложняю?
  2. Количество необходимых серверов (3 на каждом сайте, поскольку роли почтовых ящиков CCR должны быть единственной установленной ролью).
  3. Будет ли он работать как обобщенный (где он будет автоматически переключаться на доступный узел, если сайт или сервер выйдет из строя)?
  4. Поскольку каждый офис будет указывать локальный сервер клиентского доступа для своих пользователей, этот сервер становится единой точкой отказа для всех локальных запросов (но это можно решить путем ручного изменения DNS)
  5. Все ли эти серверы должны быть в одной IP-подсети, чтобы это работало? Или я могу использовать для этого Hiearchial DNS (clientaccess.site1.foo.com и т. Д.)?
  6. Это позволит мне настроить каждый офис как запись MX (поскольку в каждом офисе есть транспортный сервер-концентратор для подключения к Интернету), поэтому, если один офис выйдет из строя, мы все равно сможем получать электронную почту в других, верно?
  7. Ремонтопригодность. Я опасаюсь, что эта настройка будет слишком сложной для поддержки в долгосрочной перспективе (добавление офисов, удаление офисов, обновление серверов (как ОС, так и оборудования) и т. Д.). Это оправданный страх?

Теперь также возникает вопрос о том, использовать ли сервер 2003 или 2008 ... Если мы пойдем по внутреннему маршруту Exchange, я думаю, что смогу убедить власти перейти на 2008 год (на самом деле нам нужно будет обновить, чтобы использовать Exchange 2010) ... Но действительно ли это необходимо, или это всего лишь одно из моих "желаний", подкрадывающихся к планам (а не оправданное обновление) ...

Теперь часть меня просто хочет использовать внешний подряд Exchange, так как он решит некоторые из этих проблем (или большинство из них). Однако после рассмотрения затрат точка безубыточности составляет около 1 года, поэтому после этого аутсорсинг будет значительно дороже. Добавьте к этому тот факт, что некоторые функции, от которых мы зависим, невозможно передать на аутсорсинг - по крайней мере, с компаниями, на которые мы смотрели - (например, общие почтовые ящики, объединение Active Directory, включая SSO, централизованное управление, безопасность данных и т. Д.). Так что я действительно не знаю, куда девать это ...

Это первый проект такого масштаба, который я пытаюсь реализовать, поэтому я буду благодарен за любую помощь ...

Заранее спасибо (и извините за книгу) ...

Мы находимся в похожей ситуации, за исключением того, что в нашем случае мы уже одна компания. Но у нас есть офисы в Кембридже, Лондоне, Стокгольме, Шанхае и Атланте. Все подключено через VPN. Три из них имеют серверы Exchange (2 на Exchange 2010, третий будет обновлен в ближайшее время). Большинство наших контроллеров домена работают под управлением Windows 2003, но мы собираемся обновить их все до Windows 2008. У нас около 150 сотрудников, разбросанных по всему миру. Очень похоже на вашу ситуацию.

Вот несколько ответов с моей точки зрения:

  1. Если у вас есть приличная ИТ-команда, я бы никогда не подумал об аутсорсинге. На самом деле, даже если у вас плохая команда, я бы предпочел приложить некоторые усилия, чтобы сделать ее достойной. Время отклика будет намного лучше, ваша настройка безопасности станет проще, но самое главное: ваша ИТ-группа будет уделять основное внимание поддержанию ИТ-инфраструктуры в наилучшем состоянии. Основное внимание поставщика услуг аутсорсинга уделяется тому, чтобы получить от вас как можно больше денег, а не предоставлять лучший сервис.
  2. Ваша запланированная установка вполне осуществима. Ваша основная задача - перенести все в общий домен, но это можно сделать шаг за шагом.
  3. Серверы для большей части того, что вам нужно, не будут стоить руки и ноги. Если вам нужно купить дополнительные серверы, капитальные затраты на это будут небольшими.
  4. Будет ли это работать так, как вкратце, зависит от того, насколько хорошо у вас настроен публичный DNS и внутренняя маршрутизация. Это определенно можно заставить работать.
  5. Я очень рекомендую иметь отдельные подсети для каждого офиса. Делает жизнь системного администратора МНОГО Полегче. Используйте одну подсеть приличного размера для каждого офиса, а затем используйте статическую маршрутизацию для трафика между сайтами или OSPF (большинство достойных маршрутизаторов VPN предлагают OSPF в готовом виде). На самом деле у нас есть 2 отдельные подсети в большинстве офисов, что позволяет отделить обычный корпоративный трафик от инженерного (поскольку наши инженеры, как правило, делают много забавных вещей с DNS, DHCP, потоковым видео и т. И прекрасно работает. Фактически, у нас даже есть такая возможность, что инженеры в любом офисе могут использовать видеопоток от стримера где угодно, не зная, откуда он.
  6. НЕ попытаться объединить все компьютеры в одну большую подсеть. Вы вырвите себе волосы. Обещание.
  7. У нас есть три общедоступных почтовых шлюза (расположенных в офисах с максимальной пропускной способностью подключения к Интернету), все они настроены одинаково и все перенаправляют на ближайший сервер Exchange, откуда почта распределяется в конечные почтовые ящики. Совершенно никаких проблем.
  8. Как только вы овладеете базовыми навыками трассировки и тому подобного, вы обнаружите, что поддерживать это несложно. У меня в общей сложности около 150 серверов, разбросанных по всем этим сайтам, около полдюжины VPN-маршрутизаторов, несколько десятков управляемых коммутаторов. У нас смешанная установка (30% Windows, 70% Linux, на серверах и рабочих станциях), и мне отчитываются 4 человека. Без проблем.

Доверьтесь своей способности учиться, и у вас все получится. План хороший. Я бы выбрал Windows Server 2008 и один за другим мигрировал серверы Exchange Server на Exchange 2010. Для миграции Exchange вам может понадобиться некоторая внешняя помощь (она нам нужна, и мои ребята в целом неплохо разбираются в Exchange), но если вы боитесь первоначального макета капитала, вы также можете перенести все по одному. Нет необходимости делать все это сразу.