คำถามและปัญหาเกี่ยวกับสถาปัตยกรรมของ Active Directory และ Exchange

11

นี่คือพื้นหลังเกี่ยวกับสถานการณ์ของเรา ...

ตอนนี้เราติดตั้งเป็น บริษัท สามแห่งที่มีระบบ Active Directory และ Exchange ที่สมบูรณ์สามระบบ สามสำนักงาน (หนึ่งในสหรัฐอเมริกาสองแห่งในยุโรป) เชื่อมต่อผ่านการตั้งค่า VPN สามทาง (ดังนั้นแต่ละสำนักงานมีการสื่อสารที่ปลอดภัยกับอีกสองสำนักงาน) มีการตั้งค่าความสัมพันธ์แบบเชื่อถือได้แบบสองทิศทางใน Active Directory สำหรับแต่ละการตั้งค่า ระบบทั้งหมดกำลังเรียกใช้ Server 2003 และ Exchange 2003

มีกล่องจดหมายประมาณ 160 รายการระหว่าง บริษัท และผู้ใช้ 80 ราย (กล่องจดหมายเพิ่มเติมนั้นอาจเป็นระบบย่อยด้านไอทีบัญชีส่งต่อหรือการใช้งานอื่น ๆ )

บริษัท ต่าง ๆ กำลังรวมตัวกันอย่างเป็นทางการ (แทนที่จะแค่มีความสัมพันธ์ที่ไว้ใจได้) ดังนั้นเราจึงมองหาโซลูชันที่ผสมผสานกัน (โดยใช้ชื่อใหม่) ซึ่งแต่ละสำนักงานจะอยู่ในระบบเดียวกัน (Exchange และ Active Directory) รวมถึงการรวมโครงสร้างพื้นฐานไอทีของเรา (มีการทำซ้ำจำนวนมาก)

พวกเขาจ้าง บริษัท ภายนอกเพื่อเข้ามาและตรวจสอบโครงสร้างพื้นฐานด้านไอทีของเรา พวกเขาได้ทำคำแนะนำอย่างเป็นทางการในการจัดหาโครงสร้างพื้นฐานด้านไอที (และคาดเดาสิ่งที่พวกเขาต้องการให้บริการ)

ฉันได้รับมอบหมายให้หาสิ่งที่ต้องทำ ฉันคิดว่ามันค่อนข้างน้อยและฉันมีสองตัวเลือก ความแตกต่างพื้นฐานคือที่ซึ่งโฮสต์การแลกเปลี่ยน (ภายใน บริษัท ภายนอกของเรา) เนื่องจากการเอาต์ซอร์ซนั้นง่ายต่อการเข้าใจฉันจะเพียงแค่รายละเอียดการตั้งค่าภายใน

เนื่องจากต้องการความพร้อมใช้งานสูงเราจึงต้องการสร้างความซ้ำซ้อนทางภูมิศาสตร์ขึ้นดังนั้นสิ่งที่ฉันคิดไว้มีดังต่อไปนี้ (ฉันจะเรียกสำนักงานไซต์ 1, ไซต์ 2 และไซต์ 3):

site1:

  • บทบาทไดเรกทอรีที่ใช้งาน FSMO
  • บทบาทกล่องจดหมาย Exchange - หลัก
  • การเข้าถึงไคลเอ็นต์ Exchange บทบาทของเซิร์ฟเวอร์การขนส่งฮับ
  • บทบาทการแชร์ไฟล์ DFS (สำหรับไดรฟ์ที่แชร์)

Site2:

  • บทบาทของ Active Directory - ทำซ้ำจาก Site1
  • บทบาทกล่องจดหมาย Exchange - รองทำซ้ำโดยใช้การจำลองแบบ CCR
  • การเข้าถึงไคลเอ็นต์ Exchange บทบาทของเซิร์ฟเวอร์การขนส่งฮับ
  • บทบาทการแชร์ไฟล์ DFS

Site3:

  • บทบาทของ Active Directory - ทำซ้ำจาก Site1
  • การเข้าถึงไคลเอ็นต์ Exchange บทบาทของเซิร์ฟเวอร์การขนส่งฮับ
  • แชร์ไฟล์พยาน (สำหรับความล้มเหลว)
  • บทบาทการแชร์ไฟล์ DFS

ดังนั้นโดยทั่วไปคลัสเตอร์ควรจะสามารถอยู่รอดได้ไซต์เดียวล้มเหลวโดยไม่ทำให้ไซต์อื่น ๆ ล้มเหลวลง (หรือระบบใด ๆ ) ในกรณีที่ไซต์ล้มเหลวสองครั้ง Exchange จะหยุดทำงานอย่างสมบูรณ์

ดังนั้นความกังวลของฉันมีดังนี้:

  1. นี่เป็นการตั้งค่าที่สมเหตุสมผลหรือไม่ หรือว่าฉันกำลังยุ่งอยู่กับสิ่งต่าง ๆ ?
  2. จำนวนเซิร์ฟเวอร์ที่ต้องการ (3 ที่แต่ละไซต์เนื่องจากบทบาทกล่องจดหมาย CCR จะต้องติดตั้งเฉพาะบทบาทเท่านั้น)
  3. มันจะทำงานแม้จะสรุป (ที่มันจะล้มเหลวโดยอัตโนมัติไปยังโหนดที่มีอยู่ควรไซต์หรือเซิร์ฟเวอร์ลงไป)?
  4. เนื่องจากแต่ละสำนักงานจะระบุเซิร์ฟเวอร์การเข้าถึงไคลเอ็นต์ในท้องถิ่นสำหรับผู้ใช้เซิร์ฟเวอร์นั้นจะกลายเป็นจุดเดียวของความล้มเหลวสำหรับคำขอในท้องถิ่นทั้งหมด (แต่นี่สามารถแก้ไขได้โดยการเปลี่ยน DNS ด้วยตนเอง)
  5. เซิร์ฟเวอร์ทั้งหมดเหล่านี้จำเป็นต้องอยู่บนเครือข่ายย่อย IP เดียวกันเพื่อให้ทำงานได้หรือไม่ หรือฉันจะออกไปกับการใช้ hiearchial DNS สำหรับมัน (clientaccess.site1.foo.com ฯลฯ )?
  6. สิ่งนี้จะให้ฉันตั้งสำนักงานแต่ละแห่งเป็นระเบียน MX (เนื่องจากมีเซิร์ฟเวอร์การขนส่งฮับในแต่ละสำนักงานเพื่อเชื่อมต่อกับอินเทอร์เน็ต) ดังนั้นหากสำนักงานหนึ่งล้มลงเรายังควรได้รับอีเมลจากที่อื่นใช่ไหม
  7. การบำรุงรักษา ฉันกลัวว่าการตั้งค่านี้จะซับซ้อนเกินกว่าที่จะรักษาไว้ได้ในระยะยาว (เพิ่มสำนักงานลบสำนักงานอัปเกรดเซิร์ฟเวอร์ (ทั้งระบบปฏิบัติการและฮาร์ดแวร์) ฯลฯ ) นั่นเป็นความกลัวที่ชอบธรรมหรือไม่?

ตอนนี้ยังมีคำถามว่าจะไปกับเซิร์ฟเวอร์ 2003 หรือ 2551 หรือไม่ ... หากเราไปตามเส้นทางแลกเปลี่ยนภายในฉันคิดว่าฉันสามารถโน้มน้าวให้มีอำนาจในการอัพเกรดเป็น 2008 (อันที่จริงแล้วเราต้องอัพเกรดเพื่อใช้ Exchange 2010) ... แต่มันจำเป็นจริงๆหรือเป็นเพียงหนึ่งใน "ความต้องการ" ที่แอบเข้ามาในแผน (แทนที่จะอัพเกรดอย่างสมเหตุสมผล) ...

ตอนนี้ส่วนหนึ่งของฉันแค่ต้องการไปแลกเปลี่ยนกับภายนอกเพราะมันจะช่วยบรรเทาปัญหาเหล่านี้ (หรือส่วนใหญ่) อย่างไรก็ตามหลังจากดูค่าใช้จ่ายจุดคุ้มทุนจะอยู่ที่ประมาณ 1 ปีดังนั้นหลังจากนั้นการเอาท์ซอร์สจะมีราคาแพงกว่ามาก คู่กับความจริงที่ว่าคุณสมบัติบางอย่างที่เราพึ่งพานั้นเป็นไปไม่ได้ - อย่างน้อยก็กับ บริษัท ที่เราดู - (เช่นกล่องจดหมายที่ใช้ร่วมกันการมีเพศสัมพันธ์ของ Active Directory รวมถึง SSO การจัดการแบบรวมศูนย์การรักษาความปลอดภัยข้อมูลเป็นต้น) ดังนั้นฉันจึงถูกฉีกขาดไปกับสิ่งนี้ ...

นี่เป็นโครงการแรกของสเกลนี้ที่ฉันพยายามดังนั้นความช่วยเหลือใด ๆ จะได้รับการชื่นชมอย่างมาก ...

ขอบคุณล่วงหน้า (และขออภัยสำหรับหนังสือ) ...

active-directory  exchange  migration 
ircmaxell
แหล่งที่มา
+1 สำหรับคำถามที่เขียนดีและมีเอกสารครบถ้วน จะให้ +2 สำหรับรูปประจำตัวของคุณถ้าฉันทำได้
pauska

คำตอบ:

6

เราอยู่ในสถานการณ์ที่คล้ายคลึงกันยกเว้นในกรณีที่เราเป็น บริษัท เดียว แต่เรามีสำนักงานในเคมบริดจ์ลอนดอนสตอกโฮล์มเซี่ยงไฮ้และแอตแลนต้า เชื่อมต่อทั้งหมดผ่าน VPN สามอย่างนี้มีเซิร์ฟเวอร์ Exchange (2 แห่งใน Exchange 2010 และอันที่สามจะได้รับการอัพเกรดเร็ว ๆ นี้) ตัวควบคุมโดเมนของเราส่วนใหญ่ใช้ Windows 2003 แต่เรากำลังจะอัพเกรดเป็น Windows 2008 ทั้งหมดเรามีพนักงานประมาณ 150 คนกระจายอยู่ทั่วทุกแห่ง คล้ายกันมากกับสถานการณ์ของคุณ

ดังนั้นนี่คือคำตอบจากมุมมองของฉัน:

  1. หากคุณมีทีมงานด้านไอทีที่ดีแล้วฉันก็ไม่เคยคิดที่จะจ้างผู้รับเหมาช่วงเลย ในความเป็นจริงแม้ว่าทีมของคุณจะไม่ดี แต่ฉันก็อยากใช้ความพยายามเพื่อทำให้ดี เวลาตอบสนองของคุณจะดีขึ้นมากการตั้งค่าความปลอดภัยของคุณนั้นเรียบง่าย แต่ที่สำคัญที่สุดคือทีมไอทีของคุณจะให้ความสำคัญกับการรักษาโครงสร้างพื้นฐานด้านไอทีให้ดีที่สุด จุดสนใจหลักของผู้ให้บริการเอาท์ซอร์สคือการทำเงินให้ได้มากที่สุดจากคุณไม่ใช่การให้บริการที่ดีที่สุด
  2. การตั้งค่าตามแผนของคุณเป็นไปได้อย่างมาก ความท้าทายหลักของคุณคือการย้ายข้อมูลทุกอย่างไปยังโดเมนทั่วไป แต่สามารถทำได้ทีละขั้นตอน
  3. เซิร์ฟเวอร์สำหรับสิ่งที่คุณต้องการส่วนใหญ่จะไม่เสียแขนและขา หากคุณต้องการซื้อเซิร์ฟเวอร์เพิ่มเติมค่าใช้จ่ายในการลงทุนนั้นจะน้อย
  4. ขึ้นอยู่กับว่าคุณมี DNS สาธารณะและการกำหนดเส้นทางภายในของคุณดีแค่ไหน มันสามารถทำงานได้อย่างแน่นอน
  5. ฉันขอแนะนำให้มีเครือข่ายย่อยแยกกันสำหรับแต่ละสำนักงาน ทำให้ชีวิตเป็นดูแลระบบLOTง่ายขึ้น ใช้ซับเน็ตขนาดที่เหมาะสมหนึ่งตัวสำหรับแต่ละสำนักงานจากนั้นใช้การกำหนดเส้นทางแบบคงที่สำหรับการรับส่งข้อมูลระหว่างไซต์หรือ OSPF (เราเตอร์ VPN ที่เหมาะสมที่สุดจะเสนอ OSPF จากชั้นวาง) จริง ๆ แล้วเรามีเครือข่ายย่อยแยกกัน 2 แห่งในสำนักงานส่วนใหญ่โดยแยกการรับส่งข้อมูลขององค์กรปกติออกจากการรับส่งข้อมูลทางวิศวกรรม (เนื่องจากวิศวกรของเรามักจะทำสิ่งที่ขี้ขลาดมากมายกับ DNS, DHCP, การสตรีมวิดีโอและอื่น ๆ ) และมันใช้งานได้อย่างสวยงาม ในความเป็นจริงเรายังมีจนถึงจุดที่วิศวกรในสำนักงานใด ๆ สามารถใช้สตรีมวิดีโอจากสตรีมได้ทุกที่โดยไม่ต้องรู้ว่ามาจากไหน
  6. อย่าพยายามมีคอมพิวเตอร์ทุกเครื่องในเครือข่ายย่อยใหญ่ คุณจะตัดผมของคุณออก คำมั่นสัญญา
  7. เรามีเกตเวย์จดหมายสาธารณะสามแห่ง (อยู่ในสำนักงานที่มีแบนด์วิดธ์การเชื่อมต่ออินเทอร์เน็ตสูงสุด) ซึ่งมีการกำหนดค่าเหมือนกันทุกประการและส่งต่อไปยังเซิร์ฟเวอร์ Exchange ที่ใกล้ที่สุดจากที่มีการแจกจ่ายจดหมายไปยังกล่องจดหมายสุดท้าย ไม่มีปัญหาเลย.
  8. เมื่อคุณมีกริปขั้นพื้นฐานในการกำหนดเส้นทางและสิ่งที่คล้ายกันคุณจะพบว่าการบำรุงรักษานี้ไม่ยาก ฉันมีเซิร์ฟเวอร์ประมาณ 150 แห่งกระจายอยู่ทั่วไซต์เหล่านี้เราเตอร์ VPN ประมาณครึ่งโหลสวิตช์ที่จัดการหลายโหล เรามีการตั้งค่าแบบผสม (Windows 30%, 70% Linux, บนเซิร์ฟเวอร์และเวิร์กสเตชัน) และฉันมี 4 คนที่รายงานถึงฉัน ไม่มีปัญหาเลย

วางใจในความสามารถในการเรียนรู้ของคุณและคุณจะประสบความสำเร็จ แผนดี ฉันจะไปกับ Windows Server 2008 และย้าย Exchange Server หนึ่งต่อหนึ่งไปยัง Exchange 2010 สำหรับการโยกย้าย Exchange คุณอาจต้องการความช่วยเหลือจากภายนอก (เราต้องการมันและพวกของฉันก็ค่อนข้างดีกับ Exchange) แต่ถ้าคุณเป็น กลัวรูปแบบเงินทุนเริ่มต้นคุณสามารถย้ายทุกอย่างทีละอย่าง ไม่จำเป็นต้องทำทั้งหมดใน foop บวมขนาดใหญ่

wolfgangsz
แหล่งที่มา
ว้าว! คำตอบคืออะไร! ผมขอตอบบางประเด็นที่คุณทำ ครั้งแรกฉันจะไม่ใส่ทุกอย่างในเครือข่ายย่อยเดียวเว้นแต่จำเป็นจริงๆ สิ่งที่ฉันคิดคือการวางทุกอย่างไว้ในซับเน็ต C คลาสหนึ่งพร้อมซับเน็ตเฉพาะสำหรับแต่ละสำนักงาน (เช่น 172.25.50.0 สำหรับคอมพิวเตอร์ไซต์ 1, 172.25.55.0 สำหรับเซิร์ฟเวอร์ไซต์ 1, 172.25.60.0 สำหรับคอมพิวเตอร์ไซต์ 2 ฯลฯ ) . จากนั้นทุกอย่างสามารถจัดการได้โดยเพียงแค่ระบุมาสก์ ... หนึ่งโน้ตคุณแนะนำเซิร์ฟเวอร์เมลบ็อกซ์หลายเซิร์ฟเวอร์ (หนึ่งรายการต่อไซต์) หรือไม่ หรือเซิร์ฟเวอร์กล่องจดหมายเสาหินเดียวทำซ้ำเพื่อความซ้ำซ้อน?
ircmaxell
หรือว่าสิ่งที่คุณได้รับการเตือนเกี่ยวกับเครือข่ายย่อย? ฉันจะดีกว่าหรือไม่ที่จะให้แต่ละซับเน็ตแยกจากกันอย่างสมบูรณ์ (ไม่ใช่แม้แต่ในส่วนเดียวกัน \ C)
ircmaxell
Subnetting: สิ่งที่คุณอธิบายคือสิ่งที่คล้ายกันมากกับสิ่งที่เราทำและสิ่งที่ฉันมีในใจฉันไม่ต้องการที่จะกำหนดเมื่อสถานการณ์กำหนดรูปแบบรายละเอียด
wolfgangsz
อีเมล: ฉันขอแนะนำให้มีกล่องจดหมายท้องถิ่นสำหรับผู้ใช้ทั้งหมดบนไซต์ด้วย DAG สำหรับกล่องจดหมายของไซต์อื่น ๆ (ซึ่งเป็นแนวคิด Exchange 2010 และมีประโยชน์มาก)
wolfgangsz
ยุติธรรมเพียงพอ (ฉันสังเกตเห็นว่าในปี 2010 และดูเหมือนจะเป็นสิ่งที่เราต้องการอย่างแน่นอน) ฉันเป็นผู้พัฒนาโดยการค้า แต่เมื่อผู้ดูแลระบบของเราเหลือประมาณหนึ่งปีที่ผ่านมาฉันเข้าควบคุมความรับผิดชอบ (สำหรับเว็บไซต์ของฉัน) ฉันชอบมันและได้เรียนรู้มากมาย แต่ก็ยังมีอะไรให้เรียนรู้มากมาย ... ดังนั้นมันดีจริงๆและมีประโยชน์ที่จะได้รับการตรวจสอบสติในเรื่องเหล่านี้ ... ขอบคุณมาก!
ircmaxell
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.