Direktori Aktif dan Pertukaran Arsitektur Pertanyaan dan Masalah

11

Inilah latar belakang situasi kita ...

Saat ini, kami disetel sebagai tiga perusahaan berbeda dengan tiga Direktori Aktif dan sistem Pertukaran yang lengkap. Tiga kantor (Satu di AS, dua di Eropa) terhubung melalui pengaturan VPN tiga arah (sehingga masing-masing kantor memiliki komunikasi yang aman dengan dua lainnya). Ada pengaturan hubungan kepercayaan dua arah di Active Directory untuk setiap pengaturan. Semua sistem menjalankan Server 2003 dan Exchange 2003.

Ada sekitar 160 kotak surat antara perusahaan dan 80 pengguna (kotak surat tambahan baik untuk subsistem TI, penerusan akun atau penggunaan lainnya).

Perusahaan secara resmi bergabung bersama (bukan hanya memiliki hubungan kepercayaan). Jadi kami sedang mencari solusi gabungan (berdasarkan nama baru) di mana setiap kantor akan berada di sistem yang sama (Exchange dan Active Directory) serta mengkonsolidasikan infrastruktur TI kami (ada banyak duplikasi).

Mereka menyewa perusahaan eksternal untuk datang dan mengaudit infrastruktur TI kami. Mereka telah membuat rekomendasi resmi untuk melakukan outsourcing infrastruktur TI (dan coba tebak, mereka ingin memberikan layanan).

Saya telah ditugaskan untuk mencari tahu apa yang harus dilakukan. Saya sudah memikirkannya cukup sedikit, dan saya telah datang dengan dua opsi. Perbedaan dasarnya adalah di mana Exchange dihosting (secara internal kami outsourcing). Karena outsourcing mudah dipahami, saya hanya akan merinci pengaturan internal.

Karena ketersediaan tinggi diperlukan, kami ingin beberapa redundansi geografis terintegrasi. Jadi, yang saya buat adalah sebagai berikut (Saya akan menghubungi kantor Site1, Site2 dan Site3):

Site1:

  • Peran Direktori Aktif FSMO
  • Peran Kotak Surat Exchange - Utama
  • Pertukaran Akses Klien, Peran Hub Transport Server
  • Peran Berbagi File DFS (untuk drive bersama)

Site2:

  • Peran Direktori Aktif - Digandakan dari Site1
  • Peranan Kotak Pesan Exchange - Sekunder, direplikasi menggunakan CCR Replication
  • Pertukaran Akses Klien, Peran Hub Transport Server
  • Peran Berbagi File DFS

Site3:

  • Peran Direktori Aktif - Digandakan dari Site1
  • Pertukaran Akses Klien, Peran Hub Transport Server
  • File Share Witness (untuk failover)
  • Peran Berbagi File DFS

Jadi pada dasarnya cluster harus mampu bertahan dari kegagalan satu situs tanpa menjatuhkan salah satu dari situs lain (atau salah satu sistem). Jika terjadi kegagalan situs ganda, Exchange akan berhenti sepenuhnya.

Jadi, kekhawatiran saya adalah sebagai berikut:

  1. Apakah ini pengaturan yang masuk akal? Atau apakah saya terlalu rumit?
  2. Jumlah server yang diperlukan (3 di setiap situs karena peran Kotak Pesan CCR harus menjadi satu-satunya peran yang diinstal).
  3. Apakah ini akan berfungsi seperti yang dirangkum (di mana ia akan secara otomatis gagal-ke node yang tersedia jika situs atau server turun)?
  4. Karena setiap kantor akan menentukan server Akses Klien lokal untuk penggunanya, server tersebut menjadi satu titik kegagalan untuk semua permintaan lokal (Tapi ini dapat dipecahkan dengan perubahan DNS manual)
  5. Apakah semua server ini harus berada pada subnet IP yang sama agar ini berfungsi? Atau bisakah saya menggunakan DNS hiearchial untuk itu (clientaccess.site1.foo.com, dll)?
  6. Ini akan membiarkan saya mengatur setiap kantor sebagai catatan MX (karena ada server transportasi hub di setiap kantor untuk terhubung ke internet) jadi jika satu kantor turun kita masih harus dapat menerima email di yang lain, benar?
  7. Maintabilitas. Saya khawatir pengaturan ini akan terlalu rumit untuk dipertahankan dalam jangka panjang (menambah kantor, menghapus kantor, meningkatkan server (baik OS dan perangkat keras), dll). Apakah itu ketakutan yang dibenarkan?

Sekarang, ada juga pertanyaan tentang apakah akan pergi dengan server 2003 atau 2008 ... Jika kita pergi dengan rute Exchange internal, saya pikir saya dapat meyakinkan kekuatan untuk meningkatkan ke 2008 (sebenarnya kita perlu meningkatkan untuk menggunakan Exchange 2010) ... Tetapi apakah itu benar-benar perlu atau hanya salah satu dari "keinginan" saya menyelinap ke dalam rencana (daripada upgrade yang dapat dibenarkan) ...

Sekarang, sebagian dari saya hanya ingin pergi dengan Exchange outsourcing karena akan mengurangi beberapa masalah ini (atau kebanyakan dari mereka). Namun setelah melihat biayanya, titik impas adalah sekitar 1 tahun, jadi setelah itu outsourcing akan jauh lebih mahal. Berpasangan dengan fakta bahwa beberapa fitur yang kita andalkan tidak mungkin outsourcing - setidaknya dengan perusahaan tempat kita melihat - (seperti Shared Mailboxes, Active Directory coupling termasuk SSO, manajemen terpusat, keamanan data, dll). Jadi saya benar-benar bingung ke mana harus pergi dengan ini ...

Ini adalah proyek pertama dari skala ini yang saya coba, jadi bantuan apa pun akan sangat dihargai ...

Terima kasih sebelumnya (dan maaf untuk bukunya) ...

ircmaxell
sumber
+1 untuk pertanyaan yang ditulis dan didokumentasikan dengan sangat baik. Akan memberi Anda +2 untuk avatar Anda jika saya bisa.
pauska

Jawaban:

6

Kami berada dalam situasi yang sama, kecuali kenyataan bahwa dalam kasus kami, kami sudah menjadi satu perusahaan. Tetapi kami memiliki kantor di Cambridge, London, Stockholm, Shanghai dan Atlanta. Semua terhubung melalui VPN. Tiga di antaranya memiliki server Exchange (2 di Exchange 2010, yang ketiga akan segera ditingkatkan). Sebagian besar pengontrol domain kami menjalankan Windows 2003, tetapi kami sedang dalam perjalanan untuk memutakhirkan semuanya ke Windows 2008. Kami memiliki sekitar 150 staf, tersebar di semua tempat. Jadi sangat mirip dengan situasi Anda.

Jadi, inilah beberapa jawaban dari sudut pandang saya:

  1. Jika Anda memiliki tim IT yang layak, maka saya tidak akan pernah mempertimbangkan outsourcing. Bahkan, bahkan jika tim Anda tidak layak, saya lebih suka meluangkan upaya untuk membuatnya layak. Waktu respons Anda akan jauh lebih baik, pengaturan keamanan Anda lebih sederhana, tetapi yang terpenting: tim TI Anda akan memiliki fokus utama untuk menjaga agar infrastruktur TI tetap beroperasi dengan sebaik-baiknya. Fokus utama penyedia outsourcing adalah menghasilkan uang paling banyak dari Anda, bukan memberikan layanan terbaik.
  2. Pengaturan yang Anda rencanakan sangat layak. Tantangan utama Anda adalah memigrasikan semuanya ke domain umum, tetapi itu bisa dilakukan langkah demi langkah.
  3. Server untuk sebagian besar dari apa yang Anda butuhkan tidak akan dikenakan biaya lengan dan kaki. Jika Anda perlu membeli server tambahan, pengeluaran modal untuk itu akan kecil.
  4. Apakah berfungsi atau tidak seperti yang dirangkum tergantung pada seberapa baik Anda memiliki DNS publik dan perutean internal Anda dikonfigurasi. Pasti bisa dibuat bekerja.
  5. Saya akan sangat menyarankan memiliki subnet terpisah untuk setiap kantor. Membuat hidup sebagai sysadmin BANYAK lebih mudah. Gunakan satu subnet berukuran layak untuk setiap kantor, dan kemudian gunakan perutean statis untuk lalu lintas antara situs atau OSPF (sebagian besar router VPN yang layak akan menawarkan OSPF dari rak). Kami sebenarnya memiliki 2 subnet terpisah di sebagian besar kantor, menjaga lalu lintas korporat yang normal terpisah dari lalu lintas rekayasa (karena teknisi kami cenderung melakukan banyak hal yang funky dengan DNS, DHCP, streaming video, dan yang lainnya). Dan itu bekerja dengan indah. Bahkan, kami bahkan memilikinya sampai pada titik di mana para insinyur di kantor mana pun dapat menggunakan streaming video dari streamer di tempat lain, tanpa harus tahu dari mana asalnya.
  6. JANGAN mencoba untuk memiliki semua komputer di satu subnet besar. Anda akan merobek rambut Anda. Janji.
  7. Kami memiliki tiga gateway surat publik (terletak di kantor dengan bandwidth koneksi Internet tertinggi), yang semuanya dikonfigurasi persis sama dan semuanya diteruskan ke server Exchange terdekat, dari mana surat didistribusikan ke kotak surat terakhir. Tidak masalah sama sekali.
  8. Setelah Anda memiliki pegangan dasar tentang perutean dan sejenisnya, Anda akan menemukan bahwa ini tidak sulit untuk dipertahankan. Saya memiliki total sekitar 150 server yang tersebar di semua situs ini, sekitar setengah lusin router VPN, beberapa lusin switch yang dikelola. Kami adalah pengaturan campuran (30% Windows, 70% Linux, di server dan workstation) dan saya memiliki 4 orang yang melapor kepada saya. Tidak masalah sama sekali.

Percayalah pada kemampuan Anda untuk belajar, dan Anda akan berhasil. Rencananya bagus. Saya akan menggunakan Windows Server 2008 dan memigrasi Exchange Server satu per satu ke Exchange 2010. Untuk migrasi Exchange Anda mungkin memerlukan bantuan eksternal (kami membutuhkannya, dan orang-orang saya umumnya cukup baik dengan Exchange), tetapi jika Anda takut tata letak modal awal, Anda juga dapat memigrasi semuanya satu per satu. Tidak perlu melakukan ini semua dalam satu gelombang besar.

wolfgangsz
sumber
Wow! Jawaban yang sangat bagus! Baiklah, izinkan saya menanggapi beberapa poin yang Anda buat. Pertama, saya tidak akan meletakkan semuanya di satu subnet kecuali benar-benar diperlukan. Apa yang saya pikirkan adalah meletakkan semuanya pada satu subnet C kelas, dengan subnet spesifik untuk setiap kantor (jadi misalnya 172.25.50.0 untuk komputer site1, 172.25.55.0 untuk server site1, 172.25.60.0 untuk komputer site2, dll). Kemudian semuanya dapat dikelola dengan hanya menetapkan topeng ... Satu catatan, apakah Anda menyarankan beberapa server kotak surat (satu per situs)? Atau satu server kotak surat monolitik yang direplikasi untuk redundansi?
ircmaxell
Atau apakah itu tepatnya yang Anda peringatkan terhadap subnet? Apakah saya lebih baik memberikan masing-masing kantor subnet yang sepenuhnya terpisah (bahkan bukan bagian dari \ C yang sama)?
ircmaxell
Subnetting: apa yang Anda gambarkan adalah apa yang sangat mirip dengan apa yang kami lakukan dan apa yang ada dalam pikiran saya, saya tidak ingin menjadi preskriptif, karena keadaan menentukan tata letak detail.
wolfgangsz
Email: Saya akan menyarankan memiliki kotak surat lokal untuk semua pengguna di situs, dengan DAG untuk kotak surat situs lain (itu konsep Exchange 2010 dan sangat berguna).
wolfgangsz
Cukup adil (saya perhatikan pada 2010, dan tampaknya persis seperti yang kita inginkan). Saya seorang pengembang berdasarkan perdagangan. Tetapi ketika sys-admin kami pergi sekitar setahun yang lalu saya mengambil alih tanggung jawab (untuk situs saya). Saya suka dan telah belajar banyak, tetapi masih harus banyak belajar ... Jadi, sangat bagus dan berguna untuk mendapatkan pemeriksaan kewarasan tentang hal-hal ini ... Terima kasih banyak!
ircmaxell