배경 - "엑스트라넷"
우리는 내가 소위 말하는 서비스를 사용하는 약 12명의 사용자를 보유하고 있습니다.엑스트라넷. 이는 기본 LAN과 물리적으로 동일한 위치에 있는 Air-Gapped LAN입니다. 우리는 다른 건물에 있는 자매 기관과 엑스트라넷 LAN을 공유하며, 장비를 소유하는 동안 해당 기관에서 실제 라우터와 스위치를 관리 관리합니다. 연결이 우리 건물을 떠나면 우리 사용자의 트래픽이 다른 사용자의 트래픽과 섞이는 자매 기관의 인프라를 통해 이동합니다. 마지막으로 모든 사용자가 할 수 있도록 전용 회선을 통해 금융 기관의 네트워크로 라우팅됩니다.금융 관련 물건. 우리는 자매 기관 및 금융 기관과 다음과 같은 제한 사항을 포함하는 비공식 및 공식 계약을 체결했습니다.
- 일반적인 활동 시 당사 자매 기관의 인터넷 연결을 사용하고 있으므로 당사 사용자의 인터넷 사용을 합리적인 수준으로 제한하기 위해웹 물건
- 어떤 상황에서도 패킷이 기본 LAN에서 엑스트라넷 LAN으로 라우팅되는 것을 허용하지 않습니다.
관리 용이성 부족: 엑스트라넷인가 아니면 추가적인 두통인가?
엑스트라넷 컴퓨터는 Air-Gapped DMZ에 위치하며 Active Directory로 관리되지 않으며 독립형 랙마운트 서버에서 파일, 프린터 및 WSUS 서비스를 가져옵니다. 이로 인해 컴퓨터의 관리 효율성이 제한됩니다. 제한 사항 #2에서는 백업 및 일반 관리 작업을 수행하기 위해 약간의 변형을 거쳐야 합니다. 해당 부서에 IT 직원이 있었을 때는 모든 것이 잘 되었지만 지금은 그렇지 않습니다(예! 예산 삭감!). 제 상사와 저는 앞으로 나아갈 수 있는 가장 좋은 방법은 가능한 한 기존 플랫폼으로 이동하여 두세 개가 아닌 하나의 시스템만 유지하는 것이라는 점에 동의합니다.
추가사항이 있습니다재해 복구그리고비즈니스 연속성우려. 기본 계획은 백업이 포함된 LTO 테이프를 가지고 어딘가로 이동한 다음 데이터를 복구하고 떠나는 것입니다. 내 상사와 나는 이 계획이 실행되기 전에 누락된 몇 가지 세부 사항이 있다는 데 동의합니다. 파일 서비스와 함께 이 문제를 동시에 해결하면 좋을 것 같습니다.
마지막으로 중요한 것은...금융 관련 물건시간에 민감하고 중요합니다. 수백만 달러의 가치가 있는 것처럼 중요합니다. 컴퓨터와 엑스트라넷 LAN의 표준화, 신뢰성 및 보안은 필수 사항입니다. 근무 시간 초기에 현장에서 문제에 즉시 대응할 수 있는 IT 직원이 없기 때문에 더욱 그렇습니다.
엑스트라넷 사용자의 기술 요구 사항은 Windows 7 워크스테이션, 파일, 인쇄 및 업데이트 서비스, 인터넷 액세스, 금융 파트너가 제공하는 몇 가지 타사 애플리케이션 등 매우 평범합니다.
목표
나는 다음을 달성하고 싶습니다 :
- 독립형 서버를 제거하고 다른 방법을 통해 파일, 인쇄 및 업데이트 서비스를 제공합니다.
- DR/BC 목적을 위한 일종의 웜 대기 파일 서비스 받기
- 기계의 가시성과 관리 효율성 향상
- 자매 기관 및 금융 파트너와의 계약을 위반하지 않고 이 모든 작업을 수행합니다.
실제 질문
이를 위해서는 어떤 기술과 아키텍처의 조합이 효과적일까요?
나는 이것이 의심스럽게 들린다는 것을 알고 있지만쇼핑 추천나는 그것을 건축적인 질문으로 규정하고X/Y 트랩,제발적절하게 편집하시기 바랍니다.
파일/인쇄 서비스
파일 및 인쇄 서비스에 대한 다양한 솔루션을 볼 수 있습니다. 엑스트라넷을 VLAN으로 가상화 플랫폼으로 확장하면 랙마운트 서버 및 관련 장비를 제거할 수 있다고 믿습니다. 안타깝게도 여기에는 DR/BC 서비스가 포함되지 않습니다. 다음과 같은 사항을 살펴보고 있습니다.Azure 파일 저장소, DFS 대상 또는 비즈니스용 OneDrive로 사용하는 Azure 기반 가상 머신입니다. 우리의 요구 사항을 해결하기 위해 이러한 기술을 서로 결합하는 방법을 알 수 없습니다.
이상적으로는 파일 액세스를 위해 일종의 "클라우드" 서비스를 사용할 수 있지만 인터넷 사용(제한 사항 #1)과 서비스 중단 시 네트워크에 로컬 복사본을 보유할 수 있는 능력이 부족하다는 점이 우려됩니다. 여기에 "케이크도 먹고" 해결책도 있는 것 같지만 보이지 않습니다.
가시성 및 관리
나는,사랑 사랑 사랑이러한 컴퓨터를 Active Directory 도메인에 연결하고 싶지만 제한 사항 #2를 고려하면 그렇게 할 수 있는 방법이 없습니다. 살펴보기 시작했어요Azure의 Active Directory그러나 나는 그것을 실제로 이해하지 못하고 Single Sign-On 서비스에만 국한된 것 같습니다. 내가 정말로 원하는 것은 해당 컴퓨터에 GPO를 가져오고 중앙 인증 저장소를 갖는 방법입니다. 우리의 Active Directory 도메인은 다른 그룹에 의해 관리되므로 "확장" 제안은 정치적으로나 관료적으로 어렵지만 불가능하지는 않다는 점에서 더욱 제한됩니다. 우리 AD 팀은 일종의 DirSync를 구현할 조직 전체의 Office 365 테넌시를 작업하고 있지만 비즈니스용 OneDrive(파일 서비스는 처리할 수 있지만 구성 관리는 처리할 수 없음) 외에 무엇을 얻을 수 있는지 알 수 없습니다.
현재 구현 작업 중입니다.인터넷 기반 구성 관리대역폭 문제(제한 사항 #1)를 관리할 수 있다면 하드웨어 인벤토리, Windows 업데이트 및 타사 응용 프로그램 배포에 대한 가시성을 얻을 수 있습니다.구성 항목그룹 정책을 대체하는 매우 위험한 방법이지만 밀어붙이면 효과가 있을 것 같습니다.
이 문제를 해결하기 위해 사용할 수 있는 방법이 많이 있습니다. 꽤 강력한 가상화 환경(Cisco UCS, vSphere 및 NetApp), SCCM, Microsoft Azure, Office 365(곧 출시되기를 바랍니다) 및 이미 라이선스를 취득해야 하는 거의 모든 Microsoft 기술이 있습니다.
아마도 여러분은 내가 놓친 것을 볼 수 있을 것입니다.
답변1
독립형 서버를 제거하고 다른 방법을 통해 파일, 인쇄 및 업데이트 서비스를 제공합니다.
DR/BC 목적을 위한 일종의 웜 대기 파일 서비스 받기
좋은 솔루션을 만들기 위해 서로 접착해야 하는 작업은 많지 않습니다.
서버 가상화 및 VLAN 확장에 대한 귀하의 제안은 좋은 선택입니다. 랙 마운트 서버를 VM의 복제 대상으로 전환하면 하이퍼바이저에 따라 DR 요구 사항을 완벽하게 해결할 수 있습니다. Hyper-V는 이를 지원하며 VMWare도 지원합니다. 또는 말씀하신 것처럼 Azure VM에 복제하세요.
백업에 관해서는 동의하며 Azure Backup과 같은 오프사이트 백업 서비스를 검토하겠습니다. 복구는 간단하고 공간이 저렴하며 관리 오버헤드가 줄어듭니다. 완전한 서버/인프라 솔루션과 달리 시스템에 설치된 단일 에이전트로 작동할 수 있으며 표준 HTTPS를 통해 모든 것을 백업합니다. 백업은 밤새 실행되며 초기 백업 이후의 모든 백업은 증분 백업이므로 크기가 매우 작습니다.
기계의 가시성과 관리 효율성 향상
이 경우 아직 Active Directory 도메인에 있지 않다면 도메인에 가져오도록 밀어붙일 것입니다. 그런 다음 관리자가 디렉터리를 조작할 수 있도록 두 기관 간에 신뢰 관계를 만듭니다. 이렇게 하면 사용자가 동일한 계정을 재사용할 수 있으므로 사용자의 액세스가 단순화됩니다.
이는 Active Directory 환경을 "확장"하는 것이 아니라 두 환경 간에 권한을 전달하기 위한 경로를 만드는 것입니다. 상당히 세밀하게 제어할 수 있습니다.한 포리스트의 사용자가 다른 포리스트에 로그온하도록 허용할지 여부도 포함됩니다.
자매 기관 및 금융 파트너와의 계약을 위반하지 않고 이 모든 작업을 수행합니다.
위의 솔루션에는 패킷 혼합이나 데이터 공유가 필요하지 않습니다. 사용자가 동일한 사용자 이름으로 네트워크에 로그인한다고 해서 자매 회사의 네트워크에서 회사 데이터에 액세스할 수 있다는 의미는 아닙니다.
답변2
엑스트라넷의 기존 Windows Server를 새로운 독립 도메인인 도메인 컨트롤러로 승격하세요. 두 번째 Window Server(다른 하드웨어에 있음)를 도메인 컨트롤러로 승격하면 장애 조치 및 중복성이 허용됩니다.
파일 서비스에 대해 DFS 네임스페이스 및 복제를 사용할 수 있습니다. 이제 보안 요구 사항에 맞게 GPO를 사용할 수 있습니다.
여기의 그룹, 사용자 및 그룹 정책은 다른 시스템과도 독립적입니다. 다른 사람과 신뢰 관계를 맺으면 어떤 이점이 있습니까?
오프사이트 백업 및 시스템 관리에 대한 다른 답변을 따르겠습니다.
DNS는 협력이 유용할 수 있는 영역 중 하나입니다. Windows 도메인 이름을 지정하면 DNS 도메인에 영향을 미치므로 Windows 도메인이 독립적이더라도 해당 DNS의 하위 도메인이 되는 것을 생각해 보세요.