Antecedentes: "Extranet"
Tenemos alrededor de una docena de usuarios que están en lo que yo llamaría unExtranet. Es una LAN aislada que se encuentra físicamente en la misma ubicación que nuestra LAN principal. Compartimos la LAN Extranet con una agencia hermana que se encuentra en otro edificio y, aunque somos propietarios del equipo, ellos administran administrativamente los enrutadores y conmutadores reales. Una vez que la conexión sale de nuestro edificio, viaja a través de la infraestructura de nuestra agencia hermana donde el tráfico de nuestros usuarios se mezcla con el tráfico de sus usuarios. Finalmente, se enruta a la red de una institución financiera a través de un circuito dedicado para que todos nuestros usuarios puedan hacerlo.cosas financieras. Tenemos acuerdos formales e informales vigentes tanto con nuestra agencia hermana como con la institución financiera que incluyen estas restricciones:
- Limitar el uso de Internet de nuestros usuarios a una cantidad razonable, ya que utilizan la conexión a Internet de nuestra agencia hermana cuando realizan actividades generales.cosas web
- Que nunca, bajo ninguna circunstancia, permitimos que los paquetes se enruten desde nuestra LAN principal a la LAN de la extranet.
Falta de manejabilidad: ¿Extranet o dolor de cabeza extra?
Las computadoras de la Extranet están en lo que es más o menos una DMZ aislada, no se administran con Active Directory y obtienen sus servicios de archivos, impresoras y WSUS desde un servidor independiente montado en bastidor. Esto limita la manejabilidad de sus computadoras. La restricción n.° 2 requiere que hagamos algunas contorsiones para realizar copias de seguridad y trabajo administrativo general. Todo esto estaba muy bien cuando esa división tenía personal de TI, pero ahora no lo tiene (¡YAY! ¡Recortes presupuestarios!). Mi supervisor y yo estamos de acuerdo en que la mejor manera de avanzar sería trasladarlos a nuestras plataformas existentes siempre que sea posible, de modo que solo mantengamos un sistema y no dos o tres.
Hay un adicionalRecuperación de desastresyContinuidad del negocioinquietud. El plan permanente es esencialmente tomar una cinta LTO que contenga copias de seguridad e ir a algún lugar y luego recuperar los datos y listo. Mi supervisor y yo estamos de acuerdo en que faltan algunos detalles en este plan antes de que sea viable. Sería bueno abordar esta preocupación junto con los servicios de archivos al mismo tiempo.
Por último, pero no menos importante...cosas financierases importante y urgente. Como en millones de dólares de importancia. La estandarización, confiabilidad y seguridad de sus computadoras y de la LAN Extranet es un requisito, más aún ahora que no contamos con personal de TI que pueda estar en el sitio durante las primeras horas de su turno y que pueda responder de inmediato a un problema.
Los requisitos técnicos de nuestros usuarios de Extranet son bastante mundanos: estaciones de trabajo con Windows 7, servicios de archivo, impresión y actualización, acceso a Internet y algunas aplicaciones de terceros proporcionadas por nuestro socio financiero.
Objetivos
Quiero lograr lo siguiente:
- Eliminar su servidor independiente y brindar servicios de archivo, impresión y actualización a través de otra metodología.
- Obtenga algún tipo de servicios de archivos en espera para fines de DR/BC
- Incrementar nuestra visibilidad y manejabilidad de sus máquinas.
- Haga todo esto sin violar nuestros acuerdos con nuestra agencia hermana y socio financiero.
La pregunta real
¿Qué tipo de combinación de tecnologías y arquitectura funcionaría para esto?
Si bien sé que esto suena sospechosamente como unarecomendación de comprasEstoy haciendo todo lo posible para plantearlo como una cuestión arquitectónica y evitar laTrampa X/Y,por favorsiéntase libre de editar según corresponda.
Servicios de archivo/impresión
Puedo ver una serie de soluciones para los servicios de archivos e impresión. Creo que podemos simplemente extender la Extranet como una VLAN a nuestra plataforma de virtulización y luego podemos eliminar el servidor montado en bastidor y el equipo asociado. Lamentablemente, esto no cubre los servicios DR/BC. Estoy analizando cosas comoAlmacenamiento de archivos de Azure, una Máquina Virtual basada en Azure que utilizamos como destino DFS o incluso OneDrive for Business. Simplemente no puedo entender cómo unir estas tecnologías para abordar nuestros requisitos.
Lo ideal sería utilizar algún tipo de servicio "en la nube" para acceder a archivos, pero me preocupa el uso de Internet (restricción n.° 1) y la falta de capacidad de tener una copia local en la red en caso de una interrupción del servicio. Siento que aquí hay una solución de "come mi pastel y cómelo también", pero simplemente no la veo.
Visibilidad y Gestión
Me gustaría,amor Amor Amortener estas computadoras unidas a nuestro dominio de Active Directory, pero no veo una manera de hacerlo considerando la restricción n.° 2. he empezado a mirarDirectorio activo en Azurepero es cierto que no lo entiendo realmente y parece que se limita únicamente a los servicios de inicio de sesión único. Lo que realmente quiero es una forma de llevar GPO a esas máquinas y tener un almacén de autenticación central. Estoy además limitado en el sentido de que nuestro dominio Active Directory es administrado por otro grupo, por lo que cualquier propuesta para "extenderlo" sería política y burocráticamente difícil, pero no imposible. Nuestro equipo de AD está trabajando en un arrendamiento de Office 365 para toda la organización que implementará algún tipo de DirSync, pero no veo qué me compraría eso además de OneDrive for Business (que podría abordar los servicios de archivos pero no la administración de configuración).
Actualmente estoy trabajando en la implementaciónGestión de configuración basada en InternetSi puedo gestionar los problemas de ancho de banda (restricción n.º 1), obtendré cierta visibilidad con el inventario de hardware, las actualizaciones de Windows y las implementaciones de aplicaciones de terceros.Elementos de configuraciónson una forma bastante complicada de reemplazar la Política de grupo, pero supongo que, llegado el momento, funcionaría.
Tenemos muchas cosas disponibles para intentar solucionar este problema. Un entorno de virtualización bastante potente (Cisco UCS, vSphere y NetApp), SCCM, Microsoft Azure, Office 365 (con suerte, pronto) y casi cualquier tecnología de Microsoft para la que ya deberíamos tener licencia.
Quizás ustedes puedan ver algo que me perdí.
Respuesta1
Eliminar su servidor independiente y brindar servicios de archivo, impresión y actualización a través de otra metodología.
Obtenga algún tipo de servicios de archivos en espera para fines de DR/BC
No es necesario unir mucho para lograr una buena solución.
Su sugerencia de virtualizar el servidor y ampliar la VLAN es una buena opción. Puede satisfacer completamente sus necesidades de recuperación ante desastres, dependiendo de su hipervisor, si convierte el servidor montado en bastidor en un destino de replicación para la máquina virtual. Hyper-V admite esto y VMWare probablemente también lo haga. O, como dijiste, replicar en una máquina virtual de Azure.
En cuanto a las copias de seguridad, estoy de acuerdo y buscaría un servicio de copia de seguridad externo como Azure Backup. La recuperación es sencilla, el espacio es económico y reducirá los gastos administrativos. Puede funcionar con un único agente instalado en la máquina (a diferencia de una solución completa de servidor/infraestructura) y realiza copias de seguridad de todo a través de HTTPS estándar. Las copias de seguridad se ejecutan durante la noche y son bastante pequeñas, ya que todas las copias de seguridad posteriores a la inicial son sólo incrementales.
Incrementar nuestra visibilidad y manejabilidad de sus máquinas.
En este caso, si aún no están en un dominio de Active Directory, presionaría para incluirlos en uno. Luego, cree una relación de confianza entre las dos agencias que permita a sus administradores manipular el directorio. Esto incluso simplificará el acceso para SUS usuarios al permitirles reutilizar la misma cuenta.
Tenga en cuenta que esto no es "extender" su entorno de Active Directory sino crear una vía para comunicar permisos entre dos entornos. Tienes un control bastante granular,incluyendo si se debe permitir que los usuarios de un bosque inicien sesión en otro.
Haga todo esto sin violar nuestros acuerdos con nuestra agencia hermana y socio financiero.
Las soluciones anteriores no requieren ninguna mezcla de paquetes, ni siquiera compartir datos. Si su usuario inicia sesión en su red con el mismo nombre de usuario, no implica de ninguna manera que los datos de su empresa serán accesibles en la red de la empresa hermana.
Respuesta2
Promocione su Windows Server existente en la extranet a un controlador de dominio, como un dominio nuevo e independiente. La promoción de un segundo servidor Windows (en hardware diferente) a controlador de dominio permitiría conmutación por error y redundancia.
Puede utilizar espacios de nombres DFS y replicación para los servicios de archivos. Y ahora puede utilizar los GPO para sus requisitos de seguridad.
Los grupos, usuarios y políticas de grupo aquí también serían independientes de otros sistemas; ¿Hay algún beneficio en tener una relación de confianza con los demás?
Me referiré a las otras respuestas para copias de seguridad externas y administración de sistemas.
El DNS es un área en la que cierta cooperación puede resultar útil. El nombre de su dominio de Windows afecta su dominio DNS, así que piense en ser un subdominio de su DNS, aunque su dominio de Windows sea independiente.