Antecedentes - "Extranet"
Temos cerca de uma dúzia de usuários que estão no que eu chamaria deExtranet. É uma LAN isolada que está fisicamente no mesmo local que nossa LAN principal. Compartilhamos a LAN Extranet com uma agência irmã que fica em outro prédio e, embora sejamos proprietários do equipamento, eles gerenciam administrativamente os próprios roteadores e switches. Assim que a conexão sai do nosso prédio, ela viaja pela infraestrutura de nossa agência irmã, onde o tráfego de nossos usuários se mistura com o tráfego de seus usuários. Finalmente, é encaminhado para a rede de uma instituição financeira através de um circuito dedicado para que todos os nossos usuários possam fazercoisas financeiras. Temos acordos informais e formais em vigor com a nossa agência irmã e com a instituição financeira que incluem estas restrições:
- Limitar o uso da Internet de nossos usuários a um valor razoável, uma vez que eles usam a conexão de Internet de nossa agência irmã ao fazer atividades geraiscoisas da web
- Que nunca, em nenhuma circunstância, permitimos que pacotes sejam roteados de nossa LAN primária para a LAN Extranet.
Falta de capacidade de gerenciamento: extranet ou dor de cabeça extra?
Os computadores da Extranet estão em uma DMZ mais ou menos isolada, não são gerenciados com o Active Directory e obtêm seus arquivos, impressoras e serviços WSUS de um servidor autônomo montado em rack. Isso limita a capacidade de gerenciamento de seus computadores. A restrição nº 2 exige que façamos algumas contorções para realizar backups e trabalho administrativo geral. Tudo isso era muito bom quando aquela divisão tinha equipe de TI, mas agora não tem (YAY! Cortes no orçamento!). Meu supervisor e eu concordamos que a melhor maneira de avançar seria transferi-los para nossas plataformas existentes sempre que possível, de modo que mantenhamos apenas um sistema e não dois ou três.
Há um adicionalRecuperação de desastreseContinuidade de Negóciospreocupação. O plano permanente é essencialmente pegar uma fita LTO contendo backups e ir a algum lugar e depois recuperar os dados e pronto. Meu supervisor e eu concordamos que faltam alguns detalhes neste plano antes que ele seja viável. Seria bom abordar essa preocupação junto com os serviços de arquivos ao mesmo tempo.
Por último, mas não menos importante...coisas financeirasé sensível ao tempo e importante. Como em milhões de dólares importantes. A padronização, confiabilidade e segurança de seus computadores e da LAN Extranet é um requisito, ainda mais agora que não temos pessoal de TI que possa estar no local durante as primeiras horas do turno e que possa responder imediatamente a um problema.
Os requisitos técnicos dos nossos utilizadores da Extranet são bastante mundanos: estações de trabalho Windows 7, serviços de ficheiros, impressão e atualização, acesso à Internet e algumas aplicações de terceiros fornecidas pelo nosso parceiro financeiro.
Metas
Eu quero realizar o seguinte:
- Elimine seu servidor autônomo e forneça serviços de arquivo, impressão e atualização através de outra metodologia
- Obtenha algum tipo de serviço de arquivo em espera quente para fins de DR/BC
- Aumentar nossa visibilidade e capacidade de gerenciamento de suas máquinas
- Faça tudo isso sem violar nossos acordos com nossa agência irmã e parceiro financeiro
A questão real
Que tipo de combinação de tecnologias e arquitetura funcionaria para isso?
Embora eu saiba que isso soa suspeitamente como umrecomendação de comprasEstou fazendo o meu melhor para enquadrar isso como uma questão arquitetônica e evitar aArmadilha X/Y,por favorsinta-se à vontade para editar conforme apropriado.
Serviços de arquivo/impressão
Posso ver uma série de soluções para os serviços de arquivo e impressão - acredito que podemos simplesmente estender a Extranet como uma VLAN para a nossa plataforma de virtulização e então podemos eliminar o servidor montado em rack e o equipamento associado. Infelizmente, isso não cobre os serviços DR/BC - estou analisando coisas comoArmazenamento de arquivos do Azure, uma máquina virtual baseada no Azure que usamos como destino DFS ou mesmo OneDrive for Business. Simplesmente não consigo descobrir como unir essas tecnologias para atender às nossas necessidades.
Idealmente, poderíamos usar algum tipo de serviço de "nuvem" para acesso a arquivos, mas estou preocupado com o uso da Internet (restrição nº 1) e com a falta de capacidade de ter uma cópia local na rede em caso de interrupção do serviço. Eu sinto que há uma solução do tipo "pegue meu bolo e coma também" aqui, mas simplesmente não a vejo.
Visibilidade e Gestão
Eu poderia,amor Amor amorpara que esses computadores ingressem em nosso domínio do Active Directory, mas não consigo ver uma maneira de fazer isso, considerando a restrição nº 2. Eu comecei a olharDiretório Ativo no Azuremas admito que realmente não entendo isso e parece limitado apenas aos serviços de logon único. O que eu realmente quero é uma maneira de levar GPOs para essas máquinas e ter um armazenamento central de autenticação. Estou ainda mais limitado porque nosso domínio do Active Directory é gerenciado por outro grupo, portanto qualquer proposta para "estendê-lo" seria política e burocraticamente difícil, mas não impossível. Nossa equipe de AD está trabalhando em uma locação do Office 365 para toda a organização que implementará algum tipo de DirSync, mas não consigo ver o que isso me compraria além do OneDrive for Business (que poderia abordar serviços de arquivos, mas não gerenciamento de configuração).
Atualmente estou trabalhando na implementaçãoGerenciamento de configuração baseado na Internetque, se eu conseguir gerenciar os problemas de largura de banda (restrição nº 1), obterei alguma visibilidade com inventário de hardware, atualizações do Windows e implantações de aplicativos de terceiros.Itens de configuraçãosão uma maneira bastante hackeada de substituir a Política de Grupo, mas suponho que isso funcionaria.
Temos muito material disponível para tentar resolver esse problema. Um ambiente de virtualização bastante robusto (Cisco UCS, vSphere e NetApp), SCCM, Microsoft Azure, Office 365 (espero que em breve) e praticamente qualquer tecnologia Microsoft que já devamos estar licenciados.
Talvez vocês possam ver algo que eu perdi.
Responder1
Elimine seu servidor autônomo e forneça serviços de arquivo, impressão e atualização através de outra metodologia
Obtenha algum tipo de serviço de arquivo em espera quente para fins de DR/BC
Não há muita colagem necessária para criar uma boa solução.
Sua sugestão de virtualizar o servidor e estender a VLAN é uma boa opção. Ele pode atender completamente às suas necessidades de DR, dependendo do seu hipervisor, se você transformar o servidor montado em rack em um destino de replicação para a VM. O Hyper-V suporta isso, e o VMWare provavelmente também. Ou, como você disse, replique para uma VM do Azure.
Quanto aos backups, concordo e procuraria um serviço de backup externo, como o Azure Backup. A recuperação é simples, o espaço é barato e reduzirá a sobrecarga administrativa. Ele pode operar com um único agente instalado na máquina (em oposição a uma solução completa de servidor/infraestrutura) e fazer backup de tudo através de HTTPS padrão. Os backups são executados durante a noite e são bastante pequenos, pois todos os backups após o inicial são apenas incrementais.
Aumentar nossa visibilidade e capacidade de gerenciamento de suas máquinas
Nesse caso, se eles ainda não estiverem em um domínio do Active Directory, eu pressionaria para colocá-los em um. Em seguida, crie uma relação de confiança entre as duas agências que permita que seus administradores manipulem o diretório. Isso simplificará até mesmo o acesso dos SEUS usuários, permitindo-lhes reutilizar a mesma conta.
Observe que isso não significa "estender" seu ambiente do Active Directory, mas sim criar um caminho para comunicar permissões entre dois ambientes. Você tem um controle bastante granular,incluindo permitir que usuários de uma floresta façam logon em outra.
Faça tudo isso sem violar nossos acordos com nossa agência irmã e parceiro financeiro
As soluções acima não requerem qualquer mistura de pacotes ou mesmo compartilhamento de dados. Se o seu usuário fizer login na rede com o mesmo nome de usuário, isso não significa de forma alguma que os dados da sua empresa estarão acessíveis na rede da empresa irmã.
Responder2
Promova o seu Windows Server existente na extranet a um Controlador de Domínio, como um domínio novo e independente. Promover um segundo Window Server (em hardware diferente) para Controlador de Domínio permitiria failover e redundância.
Você pode usar Namespaces DFS e replicação para os serviços de arquivo. E agora você pode usar os GPOs para atender aos seus requisitos de segurança.
Grupos, usuários e políticas de grupo aqui também seriam independentes de outros sistemas; existe algum benefício em ter um relacionamento de confiança com outras pessoas?
Vou adiar para as outras respostas para backups externos e gerenciamento de sistemas.
O DNS é uma área em que alguma cooperação pode ser útil. Nomear seu domínio do Windows afeta seu domínio DNS, então pense em ser um subdomínio do DNS deles, mesmo que seu domínio do Windows seja independente.