私の会社では、顧客向けにオンプレミスの Windows Server 環境を多数管理しています。この質問の目的上、これらの環境はプライマリ ドメイン コントローラー、セカンダリ ドメイン コントローラー、および WSUS で構成されています。これらの環境はそれぞれ、他の IT サービス プロバイダーによって個別に作成されたため、独自のドメイン フォレストにあります。下の図を参照してください。
しかし、私たちが受け継いだこの分離されたアーキテクチャは、ヘルプデスクとオンサイト スタッフにかなりのオーバーヘッドをもたらします。私たちは、オンサイト サービスの提供、顧客の更新プログラムの管理 (WSUS 経由)、顧客の Active Directory ポリシーの維持 (業界のベスト プラクティスを反映するため)、および基本的な Active Directory 管理の実行を請け負っています。私が実現しようとしていることは何でしょうか。一言で言えば、「カスケード」です。Active Directory ポリシーのセットを 1 つ定義し、それを顧客のドメインにカスケードダウンさせ、ヘルプデスク スタッフと技術者が共通の Active Directory アカウントを使用してサインオンできるようにし、共通の WSUS アカウントから更新プログラムをプッシュしたいと考えています。上記を実現するには、それらを共通のドメイン フォレストに移行できます。
ただし、できるだけ緩い結合を維持したいと考えています。12 か月の期間で、顧客は IT サービス プロバイダーの移行を選択できます。私は最小限の労力でそれらを切り離すことを目指します。逆に、環境への影響を最小限に抑えながら、できるだけ早く新しい顧客をオンボードできるようにしたいと考えています。したがって、フォレストの信頼関係に基づくアプローチが最善の方法であると考えています。
上記で提案されたアーキテクチャについて、人々はどのような考えを持っていますか? 森林の信頼関係は、私の目的を達成するための最良の方法でしょうか?
答え1
私たちが受け継いだこの隔離されたアーキテクチャは、ヘルプデスクと現場のスタッフに多大な負担をかけます。
まず第一に、クライアントは互いに、そしてあなたからも分離されている必要があります。発生した諸経費は、ビジネスを行うためのコストです。それが MSP であるということの意味です。
提示されているように、これは悪い考えです。これらのクライアントとあなたの間、またはクライアント間でフォレスト/ドメインの信頼関係を作成しようとしないでください。さらに、これらのクライアントはいずれもネットワーク レベルで相互にリンクされるべきではありません。私の MSP がこれを試みた場合、私は直ちに彼らを解雇します。
これが RMM の目的です。市場には、Kaseya VSA、SolarWinds RMM、Atera、Continuum、Pulseway、Itarian、ConnectWise など、無数の RMM ソリューションがあります。ニーズと予算に合ったものを見つけて使用してください。