Фон - "Экстранет"
У нас есть около дюжины пользователей, которые, как я бы сказал, находятся наЭкстранет. Это изолированная локальная сеть, которая физически находится в том же месте, что и наша основная локальная сеть. Мы делим локальную сеть Extranet с дочерним агентством, которое находится в другом здании, и пока мы владеем оборудованием, они административно управляют реальными маршрутизаторами и коммутаторами. Как только соединение покидает наше здание, оно проходит через инфраструктуру нашего дочернего агентства, где трафик наших пользователей смешивается с трафиком их пользователей. Наконец, он направляется в сеть финансового учреждения через выделенный канал, чтобы все наши пользователи могли делатьфинансовые делаУ нас есть неофициальные и официальные соглашения с нашим дочерним агентством и финансовым учреждением, которые включают следующие ограничения:
- Ограничить использование Интернета нашими пользователями до разумного уровня, поскольку они используют Интернет-подключение нашего дочернего агентства при выполнении общих задач.веб-материалы
- Мы никогда и ни при каких обстоятельствах не допускаем маршрутизацию пакетов из нашей основной локальной сети в локальную сеть Extranet.
Отсутствие управляемости: экстранет или лишняя головная боль?
Компьютеры Extranet находятся в более или менее изолированной DMZ, они не управляются с помощью Active Directory и получают свои службы файлов, принтеров и WSUS с отдельного стоечного сервера. Это ограничивает управляемость их компьютеров. Ограничение № 2 требует от нас некоторых ухищрений для выполнения резервного копирования и общей административной работы. Все это было хорошо и замечательно, когда в этом подразделении был ИТ-персонал, но теперь его нет (УРА! Сокращение бюджета!). Мой руководитель и я согласны, что лучшим способом двигаться вперед было бы переместить их на нашу существующую платформу/платформы, где это возможно, поэтому мы обслуживаем только одну систему, а не две или три.
Есть дополнительныйАварийное восстановлениеиНепрерывность бизнесаПроблема. Постоянный план по сути заключается в том, чтобы взять ленту LTO с резервными копиями и отправиться куда-нибудь, а затем восстановить данные, и все. Мой руководитель и я оба согласны, что в этом плане не хватает некоторых деталей, прежде чем он станет работоспособным. Было бы неплохо решить эту проблему вместе с файловыми службами одновременно.
Последний, но тем не менее важный...финансовые делавремя чувствительно и важно. Как и в миллионах долларов важно. Стандартизация, надежность и безопасность их компьютеров и локальной сети Extranet является требованием, тем более сейчас, когда у нас нет ИТ-персонала, который может быть на месте в первые часы своей смены и который мог бы немедленно отреагировать на проблему.
Технические требования наших пользователей Extranet довольно просты: рабочие станции Windows 7, службы файлов, печати и обновлений, доступ в Интернет и несколько сторонних приложений, предоставленных нашим финансовым партнером.
Цели
Я хочу добиться следующего:
- Устранить необходимость в отдельном сервере и предоставлять услуги по работе с файлами, печати и обновлению с помощью другой методологии.
- Получите своего рода резервные файловые сервисы для целей DR/BC
- Повышаем видимость и управляемость их машин
- Делайте все это, не нарушая наших соглашений с нашим дочерним агентством и финансовым партнером.
Фактический вопрос
Какое сочетание технологий и архитектуры подойдет для этого?
Хотя я знаю, что это звучит подозрительно,рекомендация по покупкамЯ делаю все возможное, чтобы сформулировать это как архитектурный вопрос и избежатьX/Y-ловушка,пожалуйстане стесняйтесь редактировать по мере необходимости.
Файловые/печатные услуги
Я вижу ряд решений для файловых и печатных служб - я считаю, что мы можем просто расширить Extranet как VLAN на нашу платформу виртуализации, а затем мы можем исключить сервер для монтажа в стойку и связанное с ним оборудование. К сожалению, это не покрывает службы DR/BC - я рассматриваю такие вещи, какХранилище файлов Azure, виртуальная машина на базе Azure, которую мы используем как цель DFS или даже OneDrive для бизнеса. Я просто не могу понять, как склеить эти технологии вместе, чтобы удовлетворить наши требования.
В идеале мы могли бы просто использовать какой-то "облачный" сервис для доступа к файлам, но меня беспокоит использование интернета (ограничение №1) и отсутствие возможности иметь локальную копию в сети в случае сбоя сервиса. Мне кажется, что здесь есть решение "и пирог, и его", но я его просто не вижу.
Видимость и управление
Я бы,люблю люблю люблючтобы эти компьютеры были присоединены к нашему домену Active Directory, но я не вижу способа сделать это, учитывая ограничение № 2. Я начал искатьActive Directory в Azureно, признаюсь, я не очень понимаю это, и похоже, что это ограничивается только службами единого входа. Что мне действительно нужно, так это способ получить GPO для этих машин и иметь центральное хранилище аутентификации. Я еще больше ограничен тем, что наш домен Active Directory управляется другой группой, поэтому любое предложение «расширить его» будет политически и бюрократически сложным, но не невозможным. Наша команда AD работает над арендой Office 365 для всей организации, которая будет реализовывать DirSync какого-либо рода, но я не вижу, что это мне даст, кроме OneDrive для бизнеса (который мог бы решать файловые службы, но не управление конфигурацией).
В настоящее время я работаю над реализациейИнтернет-управление конфигурациейесли я смогу справиться с проблемами пропускной способности (ограничение №1), я получу некоторую прозрачность с помощью инвентаризации оборудования, обновлений Windows и развертываний сторонних приложений.Элементы конфигурации— это довольно хакерский способ заменить групповую политику, но я полагаю, что в крайнем случае это сработает.
У нас есть много всего, что можно попробовать для решения этой проблемы. Довольно мощная среда виртуализации (Cisco UCS, vSphere и NetApp), SCCM, Microsoft Azure, Office 365 (надеюсь, скоро) и практически любая существующая технология Microsoft, на которую у нас уже должна быть лицензия.
Может быть, вы увидите что-то, что я пропустил.
решение1
Устранить необходимость в отдельном сервере и предоставлять услуги по работе с файлами, печати и обновлению с помощью другой методологии.
Получите своего рода резервные файловые сервисы для целей DR/BC
Для получения хорошего решения не нужно многого «склеивать».
Ваше предложение виртуализировать сервер и расширить VLAN — хороший вариант. Он может полностью удовлетворить ваши потребности в DR, в зависимости от вашего гипервизора, если вы превратите стоечный сервер в цель репликации для виртуальной машины. Hyper-V поддерживает это, и VMWare, вероятно, тоже. Или, как вы сказали, реплицируйте на виртуальную машину Azure.
Что касается резервного копирования, я согласен и рассмотрел бы внешний сервис резервного копирования, такой как Azure Backup. Восстановление простое, место стоит дешево, и это сократит ваши административные издержки. Он может работать с одним агентом, установленным на машине (в отличие от полномасштабного решения сервера/инфраструктуры), и делает резервные копии всего по стандартному HTTPS. Резервные копии запускаются ночью и они довольно маленькие, так как все резервные копии после первоначальной являются только инкрементными.
Повышаем видимость и управляемость их машин
В этом случае, если они еще не находятся в домене Active Directory, я бы подтолкнул их к тому, чтобы они были там. Затем создайте доверительные отношения между двумя агентствами, которые позволят вашим администраторам манипулировать каталогом. Это даже упростит доступ для ВАШИХ пользователей, позволяя им повторно использовать одну и ту же учетную запись.
Обратите внимание, что это не "Расширение" вашей среды Active Directory, а скорее создание пути для передачи разрешений между двумя средами. У вас есть довольно детальный контроль,включая разрешение пользователям из одного леса входить в другой.
Делайте все это, не нарушая наших соглашений с нашим дочерним агентством и финансовым партнером.
Вышеуказанные решения не требуют смешивания пакетов или даже обмена данными. Если ваш пользователь входит в свою сеть с тем же именем пользователя, это никоим образом не означает, что данные вашей компании будут доступны в сети сестринской компании.
решение2
Повысьте свой существующий Windows Server в экстрасети до контроллера домена, как новый, независимый домен. Повышение второго Windows Server (на другом оборудовании) до контроллера домена позволит обеспечить отказоустойчивость и избыточность.
Вы можете использовать пространства имен DFS и репликацию для файловых служб. И теперь вы можете использовать GPO для ваших требований безопасности.
Группы, пользователи и групповые политики здесь также будут независимы от других систем. Есть ли какая-либо польза от доверительных отношений с другими?
Я отложу ответы на другие вопросы по внешнему резервному копированию и управлению системами.
DNS — это одна из областей, где сотрудничество может быть полезным. Наименование вашего домена Windows влияет на ваш домен DNS, поэтому подумайте о том, чтобы стать поддоменом их DNS, даже если ваш домен Windows независим.