背景-“外部網路”
我們大約有十幾個用戶,我稱之為外部網路。它是一個物理上與我們的主 LAN 位於同一位置的氣隙 LAN。我們與位於另一棟大樓的姊妹機構共享外部網路 LAN,雖然我們擁有設備,但他們管理實際的路由器和交換器。一旦連接離開我們的大樓,它就會穿過我們姐妹機構的基礎設施,我們的用戶流量與他們的用戶流量混合在一起。最後,它透過專用電路路由到金融機構的網絡,以便我們所有的用戶都可以這樣做金融的東西。我們與姊妹機構和金融機構簽訂了非正式和正式協議,其中包括以下限制:
- 將我們的使用者的網路使用量限制在合理的範圍內,因為他們在執行一般操作時使用我們姊妹機構的網路連接網路資料
- 我們在任何情況下都不允許封包從我們的主 LAN 路由到 Extranet LAN。
缺乏可管理性:外部網路還是額外的頭痛?
Extranet 電腦或多或少位於氣隙 DMZ 上,它們不受 Active Directory 管理,並從獨立的機架式伺服器取得檔案、印表機和 WSUS 服務。這限制了計算機的可管理性。限制#2 要求我們採取一些措施來執行備份和一般管理工作。當該部門有 IT 員工時,這一切都很好,但現在他們沒有了(耶!預算削減!)。我和我的主管都同意,前進的最佳方法是盡可能將它們轉移到我們現有的平台,這樣我們只維護一個系統,而不是兩個或三個。
還有一個額外的災難復原和業務連續性憂慮。長期計劃本質上是攜帶包含備份的 LTO 磁帶並前往某個地方,然後恢復資料並離開。我和我的主管都同意,在該計劃可行之前,它缺少一些細節。如果能夠與文件服務同時解決這個問題,那就太好了。
最後但並非最不重要的...金融的東西是時間敏感且重要的。價值數百萬美元的重要性。他們的電腦和外部網路 LAN 的標準化、可靠性和安全性是一項要求,現在更是如此,因為我們沒有 IT 員工可以在輪班的最初幾個小時內到達現場,可以立即回應問題。
我們的外部網路使用者的技術要求非常普通:Windows 7 工作站、文件、列印和更新服務、網路存取以及我們的財務合作夥伴提供的一些第三方應用程式。
目標
我想完成以下任務:
- 消除獨立伺服器並透過另一種方法提供文件、列印和更新服務
- 取得某種用於 DR/BC 目的的熱備用檔案服務
- 提高我們對其機器的可見性和可管理性
- 在不違反我們與姊妹機構和金融合作夥伴的協議的情況下完成這一切
實際問題
什麼樣的技術和架構組合才能實現這一目標?
雖然我知道這聽起來很可疑購物推薦我正在盡力將其視為架構問題並避免X/Y 陷阱,請請隨意編輯。
文件/列印服務
我可以看到許多針對文件和列印服務的解決方案 - 我相信我們可以將外部網路作為 VLAN 擴展到我們的虛擬化平台上,然後我們就可以消除機架式伺服器和相關設備。不幸的是,這不包括 DR/BC 服務 - 我正在考慮類似的事情Azure 檔案儲存,我們用作 DFS 目標甚至 OneDrive for Business 的基於 Azure 的虛擬機器。我只是不知道如何將這些技術結合在一起來滿足我們的需求。
理想情況下,我們可以使用某種「雲端」服務進行文件訪問,但我擔心互聯網使用(限制#1)以及在服務中斷時缺乏網路本地副本的能力。我覺得這裡有「魚與熊掌兼得」的解決方案,但我只是沒有看到它。
可見性與管理
我會,愛,愛,愛讓這些電腦加入我們的 Active Directory 網域,但考慮到限制#2,我看不到一種方法來做到這一點。我已經開始看Azure 中的活動目錄但不可否認,我並不真正理解它,它似乎僅限於單一登入服務。我真正想要的是一種將 GPO 獲取到這些計算機並擁有中央身份驗證存儲的方法。我還受到進一步的限制,因為我們的 Active Directory 網域是由另一個組織管理的,因此任何「擴展它」的提議在政治和官僚主義上都會很困難,但並非不可能。我們的AD 團隊正在開發組織範圍內的Office 365 租賃,該租賃將實現某種DirSync,但除了OneDrive for Business(可以解決文件服務問題,但不能解決配置管理問題)之外,我看不出這能為我帶來什麼。
我目前正在努力實施基於Internet的設定管理如果我可以管理頻寬問題(限制#1),我將獲得一些硬體清單、Windows 更新和第 3 方應用程式部署的可見性。配置項是替換組策略的一種非常老套的方法,但我想,到了緊要關頭,這會起作用。
我們有很多東西可以嘗試解決這個問題。一個相當強大的虛擬化環境(Cisco UCS、vSphere 和 NetApp)、SCCM、Microsoft Azure、Office 365(希望很快)以及我們應該已經獲得許可的任何 Microsoft 技術。
也許你們能看到我錯過的東西。
答案1
消除獨立伺服器並透過另一種方法提供文件、列印和更新服務
取得某種用於 DR/BC 目的的熱備用檔案服務
不需要太多的黏合就可以形成一個好的解決方案。
您建議的虛擬化伺服器和擴充 VLAN 是一個不錯的選擇。如果您將機架安裝伺服器轉變為虛擬機器的複製目標,它可以完全滿足您的災難復原需求,具體取決於您的虛擬機器管理程式。 Hyper-V 支援這一點,VMWare 可能也支援。或者,就像您所說的,複製到 Azure VM。
至於備份,我同意並會考慮異地備份服務,例如 Azure 備份。恢復很簡單,空間很便宜,並且會減少您的管理開銷。它可以與安裝在電腦上的單一代理程式一起運行(而不是完整的伺服器/基礎設施解決方案),並透過標準 HTTPS 備份所有內容。備份需要整夜運行,而且規模相當小,因為初始備份之後的所有備份都只是增量備份。
提高我們對其機器的可見性和可管理性
在這種情況下,如果它們尚未位於 Active Directory 網域中,我會嘗試將它們新增至 Active Directory 網域中。然後,在兩個機構之間建立信任關係,允許管理員操作目錄。這甚至可以讓您的用戶重複使用相同帳戶,從而簡化他們的存取。
請注意,這並不是「擴展」您的 Active Directory 環境,而是建立用於在兩個環境之間通訊權限的路徑。你有相當精細的控制,包括是否允許一個林的使用者登入另一個林。
在不違反我們與姊妹機構和金融合作夥伴的協議的情況下完成這一切
上述解決方案不需要任何資料包混合,甚至不需要共享資料。如果您的使用者使用相同的使用者名稱登入其網絡,這並不表示您公司的資料可以在姊妹公司的網路上存取。
答案2
將 Extranet 上的現有 Windows Server 升級為網域控制站,作為新的獨立網域。將第二個 Window 伺服器(在不同的硬體上)升級為網域控制器將允許故障轉移和冗餘。
您可以將 DFS 命名空間和複製用於檔案服務。現在您可以使用 GPO 來滿足您的安全要求。
這裡的群組、使用者和群組策略也將獨立於其他系統;與他人建立信任關係有什麼好處嗎?
我將遵循異地備份和系統管理的其他答案。
DNS 是一些合作可能有用的領域之一。命名您的 Windows 網域會影響您的 DNS 網域,因此請考慮成為其 DNS 的子網域,即使您的 Windows 網域是獨立的。