Active Directory ve Exchange Mimarisi Soruları ve Sorunları

İşte durumumuzun arka planı ...

Şu anda, üç tam Active Directory ve Exchange sistemine sahip üç ayrı şirket olarak kuruluyoruz. Üç ofis (biri ABD'de, ikisi Avrupa'da) üç yollu bir VPN kurulumu ile bağlanır (böylece her ofisin diğer ikisi ile güvenli iletişimi vardır). Her kurulum için Active Directory'de iki yönlü bir güven ilişkisi kurulumu vardır. Tüm sistemler Server 2003 ve Exchange 2003 çalıştırmaktadır.

Şirketler ve 80 kullanıcı arasında yaklaşık 160 posta kutusu vardır (ek posta kutuları BT alt sistemleri, yönlendirme hesapları veya diğer kullanımlar içindir).

Şirketler resmen bir araya geliyor (sadece güven ilişkisi yerine). Bu nedenle, her ofisin aynı sistemlerde (Exchange ve Active Directory) olacağı ve BT altyapımızı (çok fazla çoğaltma var) birleştireceği birleşik bir çözüm (yeni bir isme dayanarak) arıyoruz.

Gelip BT altyapımızı denetlemek için harici bir şirket kiraladılar. BT altyapısını dış kaynaktan temin etmek için resmi bir tavsiyede bulundular (ve tahmin edin, hizmeti sunmak isterler).

Ne yapacağımı bulmakla görevlendirildim. Bunu biraz düşündüm ve iki seçenek buldum. Temel fark, Exchange'in barındırıldığı yerdir (dahili olarak dış kaynaklı). Dış kaynak kullanımı kolay olduğundan, iç kurulumu ayrıntılı olarak açıklayacağım.

Yüksek kullanılabilirlik gerektiğinden, yerleşik bir coğrafi yedeklilik istiyoruz. Bu nedenle, şu şekilde ortaya çıktım (Site1, Site2 ve Site3 ofislerini arayacağım):

site1:

• FSMO Aktif Dizin Rolü
• Exchange Posta Kutusu Rolü - Birincil
• Exchange İstemci Erişimi, Hub Aktarım Sunucusu Rolleri
• DFS Dosya Paylaşım Rolü (paylaşılan sürücüler için)

site2:

• Active Directory Rolü - Site1'den çoğaltılır
• Exchange Posta Kutusu Rolü - İkincil, CCR Çoğaltma kullanılarak çoğaltılıyor
• Exchange İstemci Erişimi, Hub Aktarım Sunucusu Rolleri
• DFS Dosya Paylaşım Rolü

site3:

• Active Directory Rolü - Site1'den çoğaltılır
• Exchange İstemci Erişimi, Hub Aktarım Sunucusu Rolleri
• Dosya Paylaşımı Tanığı (yük devretme için)
• DFS Dosya Paylaşım Rolü

Bu nedenle, temel olarak küme, diğer sitelerin (veya sistemlerin) hiçbirini yıkmadan tek bir site arızasından kurtulabilmelidir. Çift site arızası durumunda, Exchange tamamen durur.

Yani, kaygılarım şöyle:

1. Bu makul bir kurulum mu? Yoksa bir şeyleri karmaşıklaştırıyor muyum?
2. Gerekli sunucu sayısı (CCR Posta Kutusu rolleri yüklendiğinden, her sitede 3 tane olmalıdır).
3. Özetlendiğinde bile çalışacak mı (bir site veya sunucunun çökmesi durumunda kullanılabilir düğüme otomatik olarak geçecek)?
4. Her ofis kullanıcıları için yerel bir İstemci Erişimi sunucusu belirleyeceğinden, bu sunucu tüm yerel istekler için tek bir hata noktası haline gelir (Ancak bu, elle yapılan DNS değişikliği ile çözülebilir)
5. Bunun çalışması için bu sunucuların hepsinin aynı IP alt ağında olması gerekiyor mu? Veya bunun için bir hiearchial DNS kullanarak kurtulabilir miyim (clientaccess.site1.foo.com, vb)?
6. Bu, her ofisi bir MX kaydı olarak ayarlamama izin verecek (her ofiste internete bağlanmak için bir hub taşıma sunucusu bulunduğundan), böylece bir ofis kapanırsa diğerlerinde e-posta alabilmeliyiz, değil mi?
7. İdame. Bu kurulumun uzun vadede sürdürmek için çok karmaşık olacağından korkuyorum (ofis eklemek, ofisleri kaldırmak, sunucuları yükseltmek (hem işletim sistemi hem de donanım), vb.). Bu haklı bir korku mu?

Şimdi, sunucu 2003 veya 2008 ile gidip gitmeme sorusu da var ... Dahili Exchange yoluna gidersek, güçleri 2008'e yükseltmeye ikna edebilirim (aslında Exchange 2010'u kullanmak için yükseltmemiz gerekecek) ... Ama bu gerçekten gerekli mi ya da sadece bir "planımdan" planlara gizlice girmenin (haklı bir yükseltmeden ziyade) ...

Şimdi, bir parçam sadece dış kaynaklı Borsa ile gitmek istiyor çünkü bu sorunların bazılarını (veya çoğunu) hafifletecek. Ancak maliyetlere baktıktan sonra, başabaş noktası yaklaşık 1 yıldır, bu nedenle dış kaynak kullanımı çok daha pahalı olacaktır. Bağlandığımız bazı özelliklerin (en azından baktığımız şirketlerle) dışarıdan temin edilememesi gerçeğiyle (Paylaşılan Posta Kutuları, TOA dahil Active Directory bağlantısı, merkezi yönetim, veri güvenliği vb.) Bu yüzden bununla nereye gideceğim konusunda gerçekten yırtılmışım ...

Bu, denediğim bu ölçeğin ilk projesi, bu yüzden herhangi bir yardım çok takdir edilecektir ...

Şimdiden teşekkürler (ve kitap için üzgünüm) ...

Bizim durumumuzda zaten bir şirket olduğumuz dışında benzer bir durumdayız. Ancak Cambridge, Londra, Stockholm, Şangay ve Atlanta'da ofislerimiz var. Hepsi VPN ile bağlandı. Bunlardan üçünün Exchange sunucuları vardır (2'si Exchange 2010'da, üçüncüsü çok yakında yükseltilecektir). Etki alanı denetleyicilerimizin çoğu Windows 2003 çalıştırıyor, ancak hepsini Windows 2008'e yükseltme yolundayız. Her yere yayılmış yaklaşık 150 personelimiz var. Durumunuza çok benzer.

İşte benim bakış açımdan bazı cevaplar:

1. İyi bir BT ekibiniz varsa, dış kaynak kullanımını asla düşünmem. Aslında, ekibiniz iyi olmasa bile, onu iyi yapmak için biraz çaba sarfetmeyi tercih ederim. Yanıt süreleriniz çok daha iyi olacak, güvenlik kurulumunuz daha basit, ama hepsinden önemlisi: BT ekibiniz öncelikle BT altyapısını en iyi şekilde çalışmaya odaklanacak. Dış kaynak sağlayıcının ana odağı, en iyi hizmeti sunmak değil, sizden en fazla parayı kazanmaktır.
2. Planladığınız kurulum çok uygun. Asıl zorluğunuz her şeyi ortak bir alana taşımak olacaktır, ancak bu adım adım yapılabilir.
3. İhtiyacınız olan şeylerin çoğu için sunucular kol ve bacağa mal olmaz. Ek sunucular satın almanız gerekiyorsa, bunun için sermaye harcamaları küçük olacaktır.
4. Çalışıp çalışmadığı özetlenip özetlenmediği, genel DNS'inizin ve dahili yönlendirmenizin ne kadar iyi yapılandırdığınıza bağlıdır. Kesinlikle işe yarayabilir.
5. Her ofis için ayrı alt ağlara sahip olmanızı şiddetle tavsiye ederim. Bir bir sistem yöneticisi olarak yaşamını yapar LOT kolaylaştırır. Her ofis için iyi bir boyutta alt ağ kullanın ve ardından siteler veya OSPF arasındaki trafik için statik yönlendirme kullanın (çoğu iyi VPN yönlendiricisi OSPF'yi raftan sunacaktır). Çoğu ofiste normal kurumsal trafiği mühendislik trafiğinden ayrı tutan 2 ayrı alt ağımız var (mühendislerimiz DNS, DHCP, video akışı ve başka ne ile çok eğlenceli şeyler yapma eğiliminde olduğundan). Ve güzel çalışıyor. Aslında, herhangi bir ofisdeki mühendislerin nereden geldiğini bilmeden başka bir yerde bir flamadan video akışı kullanabileceği noktaya bile sahibiz.
6. Tüm bilgisayarları büyük bir alt ağda bulundurmaya ÇALIŞMAYIN . Saçlarını sökeceksin. Söz vermek.
7. Postaların son posta kutularına dağıtıldığı, hepsi tamamen aynı ve tümü en yakın Exchange sunucusuna yönlendirilen üç genel posta ağ geçidimiz (en yüksek Internet bağlantı bant genişliğine sahip ofislerde bulunur) var. Hiç sorun değil.
8. Yönlendirme ve benzerleri hakkında temel bir kavrayışa sahip olduğunuzda, bunun bakımı zor değildir. Tüm bu sitelere yayılmış yaklaşık 150 sunucum var, yaklaşık yarım düzine VPN yönlendirici, birkaç düzine yönetilen anahtar. Karma bir kurulum yaptık (sunucularda ve iş istasyonlarında% 30 Windows,% 70 Linux) ve bana bildiren 4 kişi var. Hiç sorun değil.

Öğrenme yeteneğinize güvenin, başarılı olacaksınız. Plan iyi. Windows Server 2008 ile gider ve Exchange Server'ları tek tek Exchange 2010'a geçiririm. Exchange'in taşınması için bazı harici yardıma ihtiyacınız olabilir (buna ihtiyacımız vardı ve adamlarım Exchange ile oldukça iyi), ancak ilk sermaye düzeninden korkarak her şeyi tek tek taşıyabilirsiniz. Bunların hepsini tek bir büyük şişkinlik içinde yapmaya gerek yok.