服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 活动目录和Exchange体系结构的问题和问题
Intereting Posts
使用docker + nginx + php-fpm服务静态内容 在默认的Linode实例上,我可以远程检查电子邮件吗? Ramdisc的两个目录共享相同的内存空间? 简单的PHP页面给Magento 404错误 InnoDB有没有等价的mysqlhotcopy? proftpd正在访问my.cnf 学生/教师/员工的文件共享/权限scheme? WDS 2008 R2 DHCP错误 如何在HAproxy的ACL列表中匹配通配符主机? 出现错误后,如何撤销Apache服务帐户中目录的所有权? 如何在PHP中安装memcache(以缓解mysql负载) 阻止用户访问控制台,但仍允许svn + ssh://访问SVN回购 使用不同的子网设置访问同一局域网中的主机 Server 2012上的文件访问审核 在尝试login时,需要apache 2 vhost上的ldap-group失败

活动目录和Exchange体系结构的问题和问题

这是我们情况的背景

目前,我们设置了三个完全不同的Active Directory和Exchange系统。 三个办公室(一个在美国,两个在欧洲)通过三路VPN连接(所以每个办公室都与另外两个办公室保密通信)。 Active Directory中为每个设置都设置双向信任关系。 所有系统都运行Server 2003和Exchange 2003。

公司和80个用户之间大约有160个邮箱(额外的邮箱用于IT子系统,转帐或其他用途)。

这些公司正式合并在一起(而不仅仅是build立信任关系)。 所以我们正在研究一个综合的解决scheme(基于一个新的名字),每个办公室将在同一个系统上(Exchange和Active Directory)以及整合我们的IT基础设施(有很多重复)。

他们聘请了一家外部公司来审计我们的IT基础设施。 他们已经提出了一个正式的build议,将IT基础设施外包(猜猜他们想要提供服务)。

我一直负责搞清楚该怎么做。 我已经想了很多,我提出了两个select。 基本的区别在于托pipeExchange(在我们的外包)。 由于外包很容易理解,所以我将详细介绍内部设置。

由于需要高可用性,所以我们需要一些内置的地理冗余。所以,我想到了如下(我将打电话给办公室Site1,Site2和Site3):

站点1:

  • FSMO Active Directoryangular色
  • Exchange邮箱angular色 – 主要
  • Exchange客户端访问,集线器传输服务器angular色
  • DFS文件共享angular色(对于共享驱动器)

站点2:

  • Active Directoryangular色 – 从Site1复制
  • Exchange邮箱angular色 – 辅助,使用CCR复制进行复制
  • Exchange客户端访问,集线器传输服务器angular色
  • DFS文件共享angular色

Site3:

  • Active Directoryangular色 – 从Site1复制
  • Exchange客户端访问,集线器传输服务器angular色
  • 文件共享见证(用于故障转移)
  • DFS文件共享angular色

所以基本上,集群应该能够在单个站点故障的情况下生存下来,而不会closures任何其他站点(或任何系统)。 如果发生双重网站故障,Exchange将完全停止。

所以,我的担心如下:

  1. 这是一个合理的设置? 还是我过分复杂的事情?
  2. 所需的服务器数量(每个站点3个,因为CCR邮箱angular色必须是唯一安装的angular色)。
  3. 它会甚至像summized一样工作(如果站点或服务器停止运行,它将自动故障切换到可用节点)?
  4. 由于每个办公室都会为其用户指定一个本地客户端访问服务器,因此该服务器成为所有本地请求的单点故障(但这可以通过手动DNS更改来解决)
  5. 所有这些服务器都需要在同一IP子网上才能正常工作吗? 或者我可以逃脱使用hiearchial DNS(clientaccess.site1.foo.com等)?
  6. 这可以让我把每个办公室都设置成一个MXlogging(因为每个办公室都有一个集线器传输服务器连接到互联网),所以如果一个办公室掉下来了,我们仍然应该能够接收其他人的电子邮件,对吗?
  7. 可维护性。 我担心从长远来看,这种设置太复杂了(增加办公室,删除办公室,升级服务器(操作系统和硬件)等)。 这是一种合理的恐惧吗?

现在,还有一个关于是否要使用Server 2003或2008的问题…如果我们走内部交换路线,我想我可以说服大国升级到2008(实际上我们需要升级到使用Exchange 2010) …但是这是否真的有必要,或者只是我的一个“想要”偷偷摸摸的计划(而不是一个合理的升级)…

现在,我的一部分只是想与外包交换,因为它会减轻一些这些问题(或大部分)。 然而,在考虑成本之后,盈亏平衡点大约是1年,因此在这之后,外包将会相当昂贵。 再加上我们所依赖的一些function是不可能外包的 – 至less在我们看过的公司中(例如共享邮箱,Active Directory耦合,包括SSO,集中pipe理,数据安全等)。 所以我非常喜欢这个地方

这是我试图这个规模的第一个项目,所以任何帮助将不胜感激…

在此先感谢(对于本书感到抱歉)…

我们处于类似的情况,除了在我们的情况下,我们已经是一家公司。 但我们在剑桥,伦敦,斯德哥尔摩,上海和亚特兰大设有办事处。 所有通过VPN连接。 其中三个Exchange服务器(Exchange 2010上的两个,第三个将很快升级)。 我们的大多数域控制器都运行Windows 2003,但是我们正在将它们全部升级到Windows 2008.我们有大约150名员工,遍布各地。 所以非常类似于你的情况。

所以下面是我的观点的一些答案:

  1. 如果你有一个体面的IT团队,那么我永远不会考虑外包。 事实上,即使你们的球队不够体面,我宁愿花一些精力来使其体面。 您的响应时间会更好,您的安全设置更简单,但最重要的是:您的IT团队将主要关注如何使IT基础架构保持最佳状态。 外包提供商的主要重点是从您的最大利益,而不是提供最好的服务。
  2. 您计划的设置非常可行。 你面临的主要挑战将是把所有东西都转移到一个共同的领域,但是这可以一步步完成。
  3. 大多数服务器所需的服务器不会花费一个arm和一条腿。 如果你需要购买额外的服务器,那么资本支出就会很小。
  4. 无论是否工作总结取决于你有多好,你的公共DNS和你的内部路由configuration。 它绝对可以工作。
  5. 我强烈build议为每个办公室分别设置子网。 使系统pipe理员变得更容易。 为每个办公室使用一个体面大小的子网,然后使用站点之间的stream量的静态路由或OSPF(大多数体面的VPN路由器将提供现成的OSPF)。 在大多数办公室里,我们实际上有2个独立的子网,保持正常的公司stream量与工程stream量分开(因为我们的工程师倾向于用DNS,DHCP,videostream以及其他方式做很多时髦的事情)。 它的作品非常漂亮。 事实上,我们甚至可以让任何办公室的工程师在任何地方使用来自stream光标的videostream,而不必知道它来自哪里。
  6. 不要试图让所有的计算机在一个大的子网上。 你会撕开你的头发。 诺言。
  7. 我们有三个公用邮件网关(位于互联网连接带宽最高的办公室),它们都configuration完全相同,并全部转发到最近的Exchange服务器,从邮件分发到最终邮箱。 完全没问题。
  8. 一旦你有了一个基本的路由和类似的抓地力,你会发现这不难维护。 我在这些站点上共有大约150台服务器,大约有6台VPN路由器,几十台pipe理型交换机。 我们是一个混合的设置(30%的Windows,70%的Linux,在服务器和工作站上),我有4个人向我报告。 根本不是问题。

相信你的学习能力,你就会成功。 这个计划很好。 我将使用Windows Server 2008,并将Exchange Server逐一迁移到Exchange 2010.对于Exchange的迁移,您可能需要一些外部帮助(我们需要它,而我的人通常对Exchange很好),但是如果您害怕最初的资本布局,你也可以一个接一个地迁徙。 没有必要在一个大的膨胀的脚本做这一切。