Fragen und Probleme zur Active Directory- und Exchange-Architektur

11

Hier ist der Hintergrund unserer Situation ...

Derzeit sind wir als drei verschiedene Unternehmen mit drei vollständigen Active Directory- und Exchange-Systemen eingerichtet. Die drei Büros (eines in den USA, zwei in Europa) sind über ein Drei-Wege-VPN-Setup verbunden (sodass jedes Büro eine sichere Kommunikation mit den beiden anderen hat). Für jedes Setup gibt es in Active Directory eine Einrichtung für eine bidirektionale Vertrauensbeziehung. Auf allen Systemen werden Server 2003 und Exchange 2003 ausgeführt.

Es gibt ungefähr 160 Postfächer zwischen den Unternehmen und 80 Benutzern (die zusätzlichen Postfächer sind entweder für IT-Subsysteme, Weiterleitungskonten oder andere Zwecke vorgesehen).

Die Unternehmen fusionieren offiziell (anstatt nur eine Vertrauensbeziehung zu haben). Wir suchen daher nach einer kombinierten Lösung (basierend auf einem neuen Namen), bei der sich jedes Büro auf denselben Systemen befindet (Exchange und Active Directory) und unsere IT-Infrastruktur konsolidiert (es gibt viele Überschneidungen).

Sie beauftragten ein externes Unternehmen mit der Prüfung unserer IT-Infrastruktur. Sie haben eine offizielle Empfehlung abgegeben, die IT-Infrastruktur auszulagern (und raten Sie mal, sie möchten den Service bereitstellen).

Ich wurde beauftragt herauszufinden, was zu tun ist. Ich habe ziemlich viel darüber nachgedacht und mir zwei Optionen ausgedacht. Der grundlegende Unterschied besteht darin, wo Exchange gehostet wird (intern ausgelagert). Da das Auslagern leicht zu ergründen ist, werde ich nur das interne Setup detailliert beschreiben.

Da eine hohe Verfügbarkeit erforderlich ist, möchten wir eine gewisse geografische Redundanz einbauen. Ich habe mir also Folgendes ausgedacht (ich rufe die Büros Site1, Site2 und Site3 an):

Site1:

  • FSMO-Active Directory-Rolle
  • Exchange-Postfachrolle - Primär
  • Exchange-Clientzugriff, Hub-Transport-Serverrollen
  • DFS-Dateifreigaberolle (für freigegebene Laufwerke)

Site2:

  • Active Directory-Rolle - Von Site1 repliziert
  • Exchange-Postfachrolle - Sekundär, repliziert mithilfe der CCR-Replikation
  • Exchange-Clientzugriff, Hub-Transport-Serverrollen
  • DFS-Dateifreigaberolle

Site3:

  • Active Directory-Rolle - Von Site1 repliziert
  • Exchange-Clientzugriff, Hub-Transport-Serverrollen
  • File Share Witness (für Failover)
  • DFS-Dateifreigaberolle

Grundsätzlich sollte der Cluster in der Lage sein, einen Ausfall eines einzelnen Standorts zu überstehen, ohne einen der anderen Standorte (oder eines der Systeme) herunterzufahren. Im Falle eines Doppelstandortfehlers würde Exchange vollständig gestoppt.

Meine Bedenken lauten also wie folgt:

  1. Ist das ein vernünftiges Setup? Oder bin ich überkompliziert?
  2. Die Anzahl der erforderlichen Server (3 an jedem Standort, da nur CCR-Postfachrollen installiert sein müssen).
  3. Funktioniert es überhaupt wie zusammengefasst (wo es automatisch auf den verfügbaren Knoten umschaltet, falls eine Site oder ein Server ausfällt)?
  4. Da jedes Büro einen lokalen Clientzugriffsserver für seine Benutzer angeben würde, wird dieser Server zu einem einzigen Fehlerpunkt für alle lokalen Anforderungen (dies kann jedoch durch eine manuelle DNS-Änderung gelöst werden).
  5. Müssen sich alle diese Server im selben IP-Subnetz befinden, damit dies funktioniert? Oder kann ich mit der Verwendung eines Such-DNS (clientaccess.site1.foo.com usw.) davonkommen?
  6. Auf diese Weise kann ich jedes Büro als MX-Eintrag festlegen (da es in jedem Büro einen Hub-Transport-Server gibt, über den eine Verbindung zum Internet hergestellt werden kann). Wenn also ein Büro ausfällt, sollten wir in den anderen weiterhin E-Mails empfangen können, richtig?
  7. Wartbarkeit. Ich befürchte, dass dieses Setup auf lange Sicht zu kompliziert sein wird (Hinzufügen von Büros, Entfernen von Büros, Aktualisieren von Servern (sowohl Betriebssystem als auch Hardware) usw.). Ist das eine berechtigte Angst?

Jetzt stellt sich auch die Frage, ob wir mit Server 2003 oder 2008 arbeiten sollen. Wenn wir den internen Exchange-Weg gehen, kann ich die Befugnisse für ein Upgrade auf 2008 überzeugen (tatsächlich müssten wir ein Upgrade durchführen, um Exchange 2010 zu verwenden). ... Aber ist es wirklich notwendig oder ist es nur einer meiner "Wünsche", sich in die Pläne einzuschleichen (anstatt ein gerechtfertigtes Upgrade) ...

Jetzt möchte ein Teil von mir nur mit ausgelagertem Exchange arbeiten, da dies einige dieser Probleme (oder die meisten davon) lindert. Nach Prüfung der Kosten beträgt die Gewinnschwelle jedoch etwa 1 Jahr, sodass das Outsourcing danach erheblich teurer wird. Verbinden Sie dies mit der Tatsache, dass einige Funktionen, auf die wir angewiesen sind, nicht ausgelagert werden können - zumindest nicht mit den Unternehmen, die wir uns angesehen haben - (z. B. freigegebene Postfächer, Active Directory-Kopplung einschließlich SSO, zentralisierte Verwaltung, Datensicherheit usw.). Also bin ich wirklich hin und her gerissen, wohin ich damit gehen soll ...

Dies ist das erste Projekt dieser Größenordnung, das ich versuche, daher wäre jede Hilfe sehr dankbar ...

Vielen Dank im Voraus (und Entschuldigung für das Buch) ...

ircmaxell
quelle
+1 für die sehr gut geschriebene und dokumentierte Frage. Würde dir +2 für deinen Avatar geben, wenn ich könnte.
Pause

Antworten:

6

Wir befinden uns in einer ähnlichen Situation, mit der Ausnahme, dass wir in unserem Fall bereits ein Unternehmen sind. Wir haben jedoch Büros in Cambridge, London, Stockholm, Shanghai und Atlanta. Alle über VPN verbunden. Drei davon haben Exchange-Server (2 unter Exchange 2010, der dritte wird sehr bald aktualisiert). Die meisten unserer Domänencontroller verwenden Windows 2003, aber wir sind auf dem Weg, sie alle auf Windows 2008 zu aktualisieren. Wir haben rund 150 Mitarbeiter, die über den gesamten Standort verteilt sind. Also sehr ähnlich zu deiner Situation.

Hier sind einige Antworten aus meiner Sicht:

  1. Wenn Sie ein anständiges IT-Team haben, würde ich niemals über ein Outsourcing nachdenken. Selbst wenn Ihr Team nicht anständig ist, würde ich mich lieber bemühen, es anständig zu machen. Ihre Reaktionszeiten werden viel besser sein, Ihre Sicherheitseinstellungen sind einfacher, aber am wichtigsten: Ihr IT-Team wird sich in erster Linie darauf konzentrieren, dass die IT-Infrastruktur optimal funktioniert. Das Hauptaugenmerk des Outsourcing-Anbieters liegt darauf, das meiste Geld aus Ihnen herauszuholen und nicht den besten Service zu bieten.
  2. Ihr geplantes Setup ist sehr realisierbar. Ihre größte Herausforderung besteht darin, alles auf eine gemeinsame Domäne zu migrieren. Dies kann jedoch Schritt für Schritt erfolgen.
  3. Server für das meiste, was Sie brauchen, kosten keinen Arm und kein Bein. Wenn Sie zusätzliche Server kaufen müssen, ist der Kapitalaufwand dafür gering.
  4. Ob es wie zusammengefasst funktioniert oder nicht, hängt davon ab, wie gut Sie Ihr öffentliches DNS und Ihr internes Routing konfiguriert haben. Es kann definitiv zum Arbeiten gebracht werden.
  5. Ich würde wärmstens empfehlen, für jedes Büro separate Subnetze zu haben. Erleichtert das Leben als Systemadministrator erheblich . Verwenden Sie für jedes Büro ein Subnetz mit angemessener Größe und verwenden Sie dann entweder statisches Routing für den Datenverkehr zwischen den Standorten oder OSPF (die meisten anständigen VPN-Router bieten OSPF von der Stange an). Wir haben tatsächlich 2 separate Subnetze in den meisten Büros, wodurch der normale Unternehmensverkehr vom technischen Verkehr getrennt bleibt (da unsere Ingenieure dazu neigen, viel Funky mit DNS, DHCP, Video-Streaming und was auch immer zu machen). Und es funktioniert wunderbar. Tatsächlich haben wir es sogar so weit, dass Ingenieure in jedem Büro einen Videostream von einem Streamer überall anders verwenden können, ohne wissen zu müssen, woher er kommt.
  6. Versuchen Sie NICHT , alle Computer in einem großen Subnetz zu haben. Sie werden Ihre Haare ausreißen. Versprechen.
  7. Wir haben drei öffentliche Mail-Gateways (in den Büros mit der höchsten Internetverbindungsbandbreite), die alle genau gleich konfiguriert sind und alle an den nächsten Exchange-Server weitergeleitet werden, von wo aus die E-Mails an die endgültigen Postfächer verteilt werden. Überhaupt kein Problem.
  8. Sobald Sie das Routing und dergleichen im Griff haben, werden Sie feststellen, dass dies nicht schwer zu warten ist. Ich habe insgesamt rund 150 Server auf all diesen Standorten verteilt, etwa ein halbes Dutzend VPN-Router und mehrere Dutzend verwaltete Switches. Wir sind ein gemischtes Setup (30% Windows, 70% Linux, auf Servern und Workstations) und ich habe 4 Leute, die mir Bericht erstatten. Absolut kein Problem.

Vertrauen Sie Ihrer Lernfähigkeit und Sie werden Erfolg haben. Der Plan ist gut. Ich würde Windows Server 2008 verwenden und die Exchange-Server einzeln nach Exchange 2010 migrieren. Für die Migration von Exchange benötigen Sie möglicherweise externe Hilfe (wir brauchten sie, und meine Mitarbeiter sind im Allgemeinen recht gut mit Exchange), aber wenn ja Aus Angst vor dem anfänglichen Kapitallayout können Sie auch alles einzeln migrieren. Es ist nicht nötig, dies alles in einem großen Wellengang zu tun.

wolfgangsz
quelle
Beeindruckend! Was für eine Antwort! Lassen Sie mich auf einige der Punkte antworten, die Sie ansprechen. Erstens würde ich nicht alles in ein Subnetz stellen, es sei denn, dies ist absolut notwendig. Ich denke, alles in ein Subnetz der Klasse C mit spezifischen Subnetzen für jedes Büro zu stellen (z. B. 172.25.50.0 für Site1-Computer, 172.25.55.0 für Site1-Server, 172.25.60.0 für Site2-Computer usw.). Dann kann alles durch einfaches Angeben der Maske verwaltet werden ... Ein Hinweis, schlagen Sie mehrere Postfachserver vor (einen pro Standort)? Oder ein einzelner monolithischer Postfachserver, der aus Redundanzgründen repliziert wurde?
Ircmaxell
Oder warnten Sie genau davor in Bezug auf Subnetze? Wäre es besser, wenn ich jedem Büro ein vollständig separates Subnetz geben würde (nicht einmal Teil desselben \ C)?
Ircmaxell
Subnetz: Was Sie beschreiben, ist sehr ähnlich zu dem, was wir tun und was ich vorhatte. Ich wollte keine Vorgaben machen, da die Umstände das Detaillayout bestimmen.
Wolfgangsz
E-Mail: Ich würde vorschlagen, lokale Postfächer für alle Benutzer vor Ort zu haben, mit DAGs für die Postfächer der anderen Standorte (dies ist ein Exchange 2010-Konzept und sehr nützlich).
Wolfgangsz
Fair genug (ich habe das 2010 bemerkt und es scheint genau das zu sein, was wir wollen). Ich bin von Beruf Entwickler. Aber als unser Systemadministrator vor ungefähr einem Jahr ging, übernahm ich die Verantwortung (für meine Site). Ich mag es und habe viel gelernt, aber noch viel zu lernen ... Es ist also wirklich gut und nützlich, diese Dinge auf ihre Gesundheit zu überprüfen ... Vielen Dank!
Ircmaxell