我们有大约十几个用户在使用我所谓的Extranet 。 这是一个空隙的局域网,与我们的主局域网在物理位置相同。 我们与位于另一栋楼的姊妹机构共享Extranet局域网,同时我们拥有设备,pipe理实际的路由器和交换机。 一旦连接离开我们的大楼,它就会通过我们的姊妹机构的基础设施,在这里我们的用户stream量与用户的stream量混杂在一起。 最后通过专用电路发送到金融机构的networking,这样我们所有的用户都可以做财务 。 我们与姊妹机构和金融机构都有非正式和正式的协议,其中包括这些限制:
外联网计算机几乎是空隙DMZ,它们不是通过Active Directory进行pipe理,而是从独立的机架式服务器获取文件,打印机和WSUS服务。 这限制了他们电脑的可pipe理性。 限制#2要求我们进行一些扭曲来执行备份和一般pipe理工作。 当这个部门有IT员工时,这一切都很好,但现在他们不(YAY!预算削减!)。 我和我的主pipe同意,最好的办法就是把它们移到我们现有的平台上,所以我们只维护一个系统而不是两个或三个系统。
还有一个额外的灾难恢复和业务连续性问题。 站在计划本质上是采取包含备份的LTO磁带去某个地方,然后恢复数据,我们走了。 我和我的主pipe都同意,在这个计划可行之前,这个计划中没有一些细节。 同时解决这个问题以及文件服务是很好的。
最后但并非最不重要的… 财务资料是时间敏感和重要的。 如同数百万美元的重要。 他们的计算机和Extranet局域网的标准化,可靠性和安全性是一个需求,更重要的是,现在我们没有IT人员可以在工作的最初几个小时内立即回应问题。
我们的外联网用户的技术要求非常平凡:Windows 7工作站,文件,打印和更新服务,互联网访问和由我们的财务合作伙伴提供的一些第三方应用程序。
我想完成以下内容:
什么样的技术和架构的组合将为此工作?
虽然我知道这听起来像一个购物推荐,我正在尽力把它作为一个架构的问题,避免X / Y陷阱 , 请随时编辑适当的。
文件/打印服务
我可以看到许多针对文件和打印服务的解决scheme – 我相信我们可以将Extranet作为VLAN扩展到我们的虚拟化平台上,然后我们可以取消机架式服务器和相关设备。 不幸的是,这不包括DR / BC服务 – 我正在研究Azure文件存储 ,一个基于Azure的虚拟机,我们用作DFS目标,甚至是OneDrive for Business。 我只是不知道如何将这些技术粘合在一起来解决我们的要求。
理想情况下,我们可以使用某种“云”服务进行文件访问,但是我担心互联网使用(限制#1),并且在服务中断的情况下缺乏在networking上进行本地副本的能力。 我觉得在这里有“我的蛋糕,吃太多”的解决scheme,但我只是没有看到它。
可视性和pipe理
我会, 爱,爱,爱这些计算机join到我们的Active Directory域,但我不能看到一种方式来考虑限制#2。 我已经开始在Azure中查看Active Directory,但是我承认我并不是很了解它,而且似乎仅限于单点login服务。 我真正想要的是将GPO获取到这些机器并拥有一个中央authentication存储的方法。 我进一步受到限制,因为我们的Active Directory域由另一个组pipe理,所以任何“扩展”的提议在政治上和官僚上都是困难的,但并非不可能。 我们的AD团队正在组织范围内开展Office 365租赁工作,该工作将实施某种types的DirSync,但除了OneDrive for Business(可以解决文件服务问题,而不是configurationpipe理问题)之外,我无法看到会给我带来什么。
我目前正致力于实施基于互联网的configurationpipe理 ,如果我可以pipe理带宽问题(限制#1),我将获得硬件清单,Windows更新和第三方应用程序部署的一些可见性。 configuration项目是取代组策略的一个非常冒失的方式,但我想,推动来推动,将工作。
我们有很多东西可用来解决这个问题。 一个非常强大的虚拟化环境(Cisco UCS,vSphere和NetApp),SCCM,Microsoft Azure,Office 365(希望很快)以及任何微软技术,我们应该已经获得许可。
也许你们可以看到我错过的东西。
消除他们的独立服务器,并通过另一种方法提供文件,打印和更新服务
为DR / BC目的获取某种热备份文件服务
没有太多的粘合在一起,需要做出一个好的解决scheme。
您的虚拟化服务器和扩展VLAN的build议是一个不错的select。 如果您将机架安装服务器转换为虚拟机的复制目标,则它可以完全满足您的DR需求,具体取决于您的hyper-visor。 Hyper-V支持这个,而VMWare也可以。 或者像你说的那样,复制到Azure虚拟机。
至于备份,我同意并会考虑一个非现场备份服务,如Azure备份。 恢复很简单,空间便宜,而且会减less你的pipe理开销。 它可以与安装在机器上的单一代理(而不是完整的服务器/基础架构解决scheme)一起运行,并通过标准HTTPS备份所有内容。 备份在一夜之间运行,并且相当小,因为初始后的所有备份都只是增量备份。
提高我们的机器的可见性和可pipe理性
在这种情况下,如果他们还没有在Active Directory域中,我会推动他们之一。 然后,在两个代理之间build立一个信任关系,允许pipe理员操纵目录。 这甚至可以简化访问您的用户,使他们能够重复使用相同的帐户。
请注意,这不是“扩展”Active Directory环境,而是在两个环境之间创build通信权限的途径。 您拥有相当细致的控制权, 包括是否允许来自一个林的用户login到另一个林。
在不违反与姊妹机构和财务合作伙伴的协议的情况下做到这一切
上述解决scheme不需要任何数据包的混合,甚至不需要共享数据。 如果您的用户使用相同的用户名login到他们的networking,这并不意味着您的公司数据可以在姊妹公司的networking上访问。
将外部networking上的现有Windows Server作为新的独立域推广到域控制器。 将第二个Window Server(在不同的硬件上)升级到域控制器将允许故障转移和冗余。
您可以使用DFS命名空间和文件服务的复制。 现在,您可以使用GPO来满足您的安全要求。
此处的组,用户和组策略也将独立于其他系统; 与他人build立信任关系有什么好处吗?
我会推迟到异地备份和系统pipe理的其他答案。
DNS是一个领域,一些合作可能是有用的。 命名您的Windows域会影响您的DNS域,因此即使您的Windows域是独立的,也要考虑成为其DNS的子域。