Hintergrund - "Extranet"
Wir haben etwa ein Dutzend Benutzer, die auf dem sind, was ich alsExtranet. Es handelt sich um ein Air-Gap-LAN, das sich physisch am selben Ort wie unser primäres LAN befindet. Wir teilen das Extranet-LAN mit einer Schwesteragentur, die sich in einem anderen Gebäude befindet, und obwohl wir die Ausrüstung besitzen, verwaltet sie die eigentlichen Router und Switches administrativ. Sobald die Verbindung unser Gebäude verlässt, durchläuft sie die Infrastruktur unserer Schwesteragentur, wo der Datenverkehr unserer Benutzer mit dem Datenverkehr ihrer Benutzer vermischt wird. Schließlich wird er über einen dedizierten Schaltkreis an das Netzwerk eines Finanzinstituts weitergeleitet, sodass alle unsere BenutzerFinanzielles. Wir haben sowohl mit unserer Schwesteragentur als auch mit dem Finanzinstitut informelle und formelle Vereinbarungen getroffen, die folgende Einschränkungen beinhalten:
- Um die Internetnutzung unserer Benutzer auf ein angemessenes Maß zu beschränken, da sie die Internetverbindung unserer Schwesteragentur für allgemeineWeb-Zeug
- Dass wir unter keinen Umständen zulassen, dass Pakete von unserem primären LAN zum Extranet-LAN weitergeleitet werden.
Mangelnde Verwaltbarkeit: Extranet oder zusätzlicher Ärger?
Die Extranet-Computer befinden sich in einer mehr oder weniger abgeschirmten DMZ, werden nicht mit Active Directory verwaltet und erhalten ihre Datei-, Drucker- und WSUS-Dienste von einem eigenständigen Rackmount-Server. Dies begrenzt die Verwaltbarkeit ihrer Computer. Einschränkung Nr. 2 erfordert von uns einige Verrenkungen, um Backups und allgemeine Verwaltungsarbeiten durchzuführen. Das war alles schön und gut, als diese Abteilung noch IT-Personal hatte, aber jetzt ist das nicht mehr der Fall (JUHU! Budgetkürzungen!). Mein Vorgesetzter und ich sind uns einig, dass der beste Weg, um voranzukommen, darin besteht, sie, wo immer möglich, auf unsere vorhandene(n) Plattform(en) zu verschieben, damit wir nur ein System und nicht zwei oder drei warten müssen.
Es gibt eine zusätzlicheNotfallwiederherstellungUndGeschäftskontinuitätSorge. Der bestehende Plan besteht im Wesentlichen darin, ein LTO-Band mit Backups zu nehmen, irgendwo hinzugehen, die Daten wiederherzustellen und los geht‘s. Mein Vorgesetzter und ich sind uns einig, dass diesem Plan noch einige Details fehlen, bevor er umsetzbar ist. Es wäre schön, dieses Problem gleichzeitig mit den Dateidiensten anzugehen.
Nicht zuletzt...Finanziellesist zeitkritisch und wichtig. Im Sinne von Millionen von Dollar. Standardisierung, Zuverlässigkeit und Sicherheit ihrer Computer und des Extranet-LAN sind eine Voraussetzung, umso mehr, da wir jetzt kein IT-Personal haben, das in den ersten Stunden seiner Schicht vor Ort sein und sofort auf ein Problem reagieren kann.
Die technischen Anforderungen für unsere Extranet-Benutzer sind ziemlich banal: Windows 7-Arbeitsplätze, Datei-, Druck- und Aktualisierungsdienste, Internetzugang und einige Drittanbieteranwendungen, die von unserem Finanzpartner bereitgestellt werden.
Ziele
Ich möchte Folgendes erreichen:
- Eliminieren Sie Ihren Standalone-Server und bieten Sie Datei-, Druck- und Aktualisierungsdienste über eine andere Methode an
- Holen Sie sich eine Art Warm-Standby-Dateidienste für DR/BC-Zwecke
- Verbessern Sie die Sichtbarkeit und Verwaltbarkeit Ihrer Maschinen
- Dies alles, ohne gegen unsere Vereinbarungen mit unserer Schwesteragentur und unserem Finanzpartner zu verstoßen.
Die eigentliche Frage
Welche Kombination aus Technologien und Architektur würde hierfür funktionieren?
Ich weiß, das klingt verdächtig nach einemEinkaufsempfehlungIch gebe mein Bestes, es als eine architektonische Frage zu formulieren und vermeide dieX/Y-Falle,BitteSie können es gerne nach Bedarf bearbeiten.
Datei-/Druckdienste
Ich sehe eine Reihe von Lösungen für die Datei- und Druckdienste. Ich glaube, wir können das Extranet einfach als VLAN auf unsere Virtualisierungsplattform erweitern und dann den Rackmount-Server und die zugehörige Ausrüstung eliminieren. Leider deckt dies nicht die DR/BC-Dienste ab. Ich sehe mir Dinge wieAzure-Dateispeicher, eine Azure-basierte virtuelle Maschine, die wir als DFS-Ziel oder sogar OneDrive for Business verwenden. Ich kann einfach nicht herausfinden, wie ich diese Technologien zusammenfügen kann, um unsere Anforderungen zu erfüllen.
Idealerweise könnten wir einfach eine Art „Cloud“-Dienst für den Dateizugriff verwenden, aber ich mache mir Sorgen wegen der Internetnutzung (Einschränkung Nr. 1) und der fehlenden Möglichkeit, im Falle eines Dienstausfalls eine lokale Kopie im Netzwerk zu haben. Ich habe das Gefühl, dass es hier eine Lösung gibt, die beides vereint, aber ich sehe sie einfach nicht.
Sichtbarkeit und Verwaltung
Ich würde,Liebe Liebe Liebediese Computer unserer Active Directory-Domäne beitreten zu lassen, aber ich sehe keine Möglichkeit, dies unter Berücksichtigung der Einschränkung Nr. 2 zu tun. Ich habe angefangen, mir Folgendes anzusehen:Active Directory in Azureaber ich muss zugeben, dass ich es nicht wirklich verstehe und es scheint nur auf Single Sign-On-Dienste beschränkt zu sein. Was ich wirklich will, ist eine Möglichkeit, GPOs auf diese Maschinen zu bringen und einen zentralen Authentifizierungsspeicher zu haben. Ich bin außerdem dadurch eingeschränkt, dass unsere Active Directory-Domäne von einer anderen Gruppe verwaltet wird, sodass jeder Vorschlag, sie zu „erweitern“, politisch und bürokratisch schwierig, aber nicht unmöglich wäre. Unser AD-Team arbeitet an einem organisationsweiten Office 365-Mietvertrag, der eine Art DirSync implementieren wird, aber ich sehe nicht, was mir das außer OneDrive for Business bringen würde (das Dateidienste, aber kein Konfigurationsmanagement abdecken könnte).
Ich arbeite derzeit an der UmsetzungInternetbasiertes KonfigurationsmanagementWenn ich die Bandbreitenprobleme (Einschränkung Nr. 1) in den Griff bekomme, erhalte ich einen gewissen Einblick in die Hardwareinventur, Windows-Updates und die Bereitstellung von Drittanbieteranwendungen.Konfigurationselementesind eine ziemlich umständliche Möglichkeit, die Gruppenrichtlinie zu ersetzen, aber ich nehme an, dass es im Notfall funktionieren würde.
Wir haben eine Menge Material zur Verfügung, um dieses Problem zu lösen. Eine ziemlich leistungsstarke Virtualisierungsumgebung (Cisco UCS, vSphere und NetApp), SCCM, Microsoft Azure, Office 365 (hoffentlich bald) und praktisch jede Microsoft-Technologie, für die wir bereits eine Lizenz besitzen sollten.
Vielleicht könnt ihr etwas sehen, was ich übersehen habe.
Antwort1
Eliminieren Sie Ihren Standalone-Server und bieten Sie Datei-, Druck- und Aktualisierungsdienste über eine andere Methode an
Holen Sie sich eine Art Warm-Standby-Dateidienste für DR/BC-Zwecke
Um eine gute Lösung zu erhalten, muss nicht viel zusammengeklebt werden.
Ihr Vorschlag, den Server zu virtualisieren und das VLAN zu erweitern, ist eine gute Option. Abhängig von Ihrem Hypervisor können Ihre DR-Anforderungen vollständig erfüllt werden, wenn Sie den Rack-Mount-Server in ein Replikationsziel für die VM verwandeln. Hyper-V unterstützt dies und VMWare wahrscheinlich auch. Oder replizieren Sie, wie Sie sagten, auf eine Azure-VM.
Was Backups angeht, stimme ich zu und würde mir einen externen Backup-Dienst wie Azure Backup ansehen. Die Wiederherstellung ist einfach, der Speicherplatz ist günstig und es reduziert Ihren Verwaltungsaufwand. Es kann mit einem einzigen auf dem Computer installierten Agenten ausgeführt werden (im Gegensatz zu einer vollwertigen Server-/Infrastrukturlösung) und sichert alles über Standard-HTTPS. Die Backups werden über Nacht ausgeführt und sind relativ klein, da alle Backups nach dem ersten nur inkrementell sind.
Verbessern Sie die Sichtbarkeit und Verwaltbarkeit Ihrer Maschinen
In diesem Fall würde ich darauf drängen, sie in eine Active Directory-Domäne zu integrieren, falls sie sich noch nicht dort befinden. Erstellen Sie dann eine Vertrauensbeziehung zwischen den beiden Agenturen, die es Ihren Administratoren ermöglicht, das Verzeichnis zu bearbeiten. Dies vereinfacht sogar den Zugriff für IHRE Benutzer, da sie dasselbe Konto wiederverwenden können.
Beachten Sie, dass dies nicht so sehr eine „Erweiterung“ Ihrer Active Directory-Umgebung ist, sondern vielmehr ein Weg für die Kommunikation von Berechtigungen zwischen zwei Umgebungen. Sie haben eine ziemlich granulare Kontrolle,Dazu gehört auch, ob Benutzern einer Gesamtstruktur die Anmeldung bei einer anderen gestattet werden soll.
Dies alles, ohne gegen unsere Vereinbarungen mit unserer Schwesteragentur und unserem Finanzpartner zu verstoßen.
Die oben genannten Lösungen erfordern keine Vermischung von Paketen oder gar die gemeinsame Nutzung von Daten. Wenn sich Ihr Benutzer mit demselben Benutzernamen bei seinem Netzwerk anmeldet, bedeutet dies in keiner Weise, dass die Daten Ihres Unternehmens im Netzwerk der Schwesterfirma zugänglich sind.
Antwort2
Machen Sie Ihren vorhandenen Windows-Server im Extranet zu einem Domänencontroller, also zu einer neuen, unabhängigen Domäne. Die Heraufstufung eines zweiten Windows-Servers (auf anderer Hardware) zum Domänencontroller würde Failover und Redundanz ermöglichen.
Sie können DFS-Namespaces und Replikation für die Dateidienste verwenden. Und jetzt können Sie die GPOs für Ihre Sicherheitsanforderungen verwenden.
Gruppen, Benutzer und Gruppenrichtlinien wären hier auch unabhängig von anderen Systemen. Bringt es Vorteile, eine Vertrauensbeziehung zu anderen aufzubauen?
Bezüglich externer Backups und Systemverwaltung verweise ich auf die anderen Antworten.
DNS ist ein Bereich, in dem eine gewisse Zusammenarbeit sinnvoll sein kann. Die Benennung Ihrer Windows-Domäne wirkt sich auf Ihre DNS-Domäne aus. Denken Sie also darüber nach, eine Subdomäne ihres DNS zu sein, auch wenn Ihre Windows-Domäne unabhängig ist.