我们目前正在运行Win2K3 SBS作为域控制器,另外还有一个用于托pipe文件的Win2K3服务器,而不是其他的东西。 我们可能正在考虑在不久的将来扩大到其他办事处。
我想在每个站点复制AD,共享文件/文件,组策略等有一个中央域控制器与win2k3服务器,而在每个站点独立运行交换服务器 – 即电子邮件将是[email protected]或[email protected]与MXlogging指向相应的IP。 这样,我认为不需要一个固定的VPN链接,如果用户的目录,文件和AD都是本地的,就不会有很多断开连接的问题。 没有为每个站点分开的域名,这意味着我可以自己pipe理整个shebang。
我不确定如果这种事情甚至可能与SBS服务器。 如果是这样,我应该作为中央域控制器运行什么操作系统? 我如何设置它,使AD和共享目录,GP等复制到远程服务器? 我可以在同一个域上运行多个Exchange服务器吗?
任何帮助是极大的赞赏!
听起来像一个非常简单的部署。
这听起来像你已经创build了你的域名。 由于您正在使用SBS,请注意现有的SBS计算机将被强制保留所有Active Directory灵活的单主angular色。 这可能不是什么大不了的事情,但SBS中的75个用户限制可能是。 虽然SBS提供了一个有吸引力的价格来获得廉价的Windows和Exchange软件包,但是如果您要接近75个用户限制,则最好只购买Windows和Exchange Server许可证。 如果您希望将其作为单个Active Directory / Exchange基础结构,则您也无法在每个远程位置使用Windows SBS。 在给定的Active Directory林中只能有一个Windows SBS服务器,因此您需要购买远程位置的“普通香草”Windows Server和Exchange Server许可证。 (我会亲自购买Windows Server 2008的批量许可证席位,这样您可以将其权限降级到W2K3,以便将来可以将软件重新分配给新的服务器计算机,而无需重新购买“就像你不得不使用OEM许可的软件一样…)
这个初始的DC应该是一个DNS服务器,它应该使用根提示或转发器到你的ISP的DNS服务器来允许它parsingInternet名字。 如果您想将其用作中央站点的LAN的DHCP服务器,请将其设置为。
这也是规划远程办公室使用的IP子网的好时机,也可以为站点创build条目(在它们之间具有“良好”连接的子网组 – 通常是单个WAN / VPN位置),子网和站点链接。 如果你的VPN是一个网格,你可以用一个站点链接连接所有的站点。 如果你的VPN是hub-and-spoke,你应该创build一个站点链接来把每个spoke站点连接到hub站点。 如果您的VPN不允许通过集线器从一个讲话到另一个讲话,则应closures“桥接所有站点链接”。 我在这个W / O提供了很多细节,但你可以从微软find详细的文档。 如果要正确运行Active Directory复制,并且Exchange 2007邮件传递function正确地运行到远程服务器,获取此权限至关重要。 (如果你坚持使用E2K3,那么就没有Active Directory站点拓扑结构。
由于您的域名已经存在,您可以开始build立远程站点的数据中心。 您可以通过VPN连接执行此操作,也可以使用初始DC准备LAN上的服务器。 无论哪种方式,确保新的DC作为“简单的香草”的Windows Server机器开始他们的生活,使用初始DC的DNS,直到他们被提升为您的域的副本DC。 在继续之前,validation成为副本DC的计算机是否具有良好的DNS。 您应该能够使用“nslookup”查找AD域名并获取现有的DC名称/地址。 如果你不能,在你继续之前弄清楚为什么。
升级副本DC后,将DNS服务器服务安装到它上面。 确保远程办公室的每个DC也被标记为“全局编录”服务器(位于“Active Directory站点和服务”中服务器对象下的“NTDS设置”属性中)。 这将加快客户端计算机的login速度,并使Exchange电子邮件传送无需在每个远程位置都可以使用VPN。
使用单个Active Directory域将导致您的所有服务器共享一个共同的Active Directory数据库,包括用户帐户,组,OU,组策略等。除非您拥有大量的用户(并且,因为您打算使用SBS,无论如何,你只限于一个域名),你应该只需要一个AD域就可以了。 (哎呀,即使你的用户数量非常庞大,我仍然会把你引导到一个单一的域名,除非你有其他缓解因素,导致你需要多个域名。)
我计划组策略对象处理“文件夹redirect”到用户的“我的文档”和“桌面”文件夹的每个远程办公室DC上的共享文件夹。 我也会部署漫游用户configuration文件。 我会努力拥有无状态的客户端电脑。 我会组织我的用户对象到代表远程位置的OU中,然后根据需要,通过angular色来组织我的用户对象。 (我这样做的前提是你可能最终将每个远程位置的某个“计算机人员”的控制权委托给用户执行密码重置,因此让位于实际位置的用户可以通过这种方式获得一些path)。
我将客户端计算机放入代表每个远程位置的OU中,并根据需要应用组策略(将客户端引导至相应的WSUS服务器等)。 稍后,我将使用DFS和复制(根据所使用的Windows Server的版本而定),以复制包含任何Windows Installer软件包的文件夹层次结构,以便将软件“推出”到远程客户端计算机办公室,这样每个办公室都有一个安装包文件夹层次结构的副本。
如果您拥有Windows Server R2的R2版本,则可以使用DFS复制(DFS-R)将分支文件夹层次结构从分支服务器复制到中心服务器(和相反)。 理论上,您可以将文件夹层次结构复制到所有分支服务器,以便用户可以在位置之间透明地移动,并访问其configuration文件和redirect文件夹的本地caching副本。 实际上,这通常不起作用,因为DFS-R复制不会跟上stream量。 为了维护集线器上的分支服务器的中央副本以备用,DFS-R可以做你所需要的。
回复:交换 – 我想,我看你想用MX做什么。 您有兴趣看到直接传送到该位置的SMTP服务器的每个远程位置的入站Internet电子邮件,而不是传送到集线器,然后分布在VPN上。 你可以做到这一点,但是由于电子邮件防病毒和反垃圾邮件的担忧,你可能会发现把电子邮件传送到集线器然后分发到回收站点更有意义。
目前还不清楚“独立”运行Exchange的意思。 安装在同一个Active Directory林中的所有Exchange Server计算机共享一个通用configuration,即Exchange“组织”。 您必须拥有多个Active Directory林才能拥有多个Exchange组织,而您实际上不希望这样做。
我会将一台Exchange Server计算机部署到每个远程位置。 每个Exchange Server计算机将为该位置的用户托pipe邮箱,并且能够将电子邮件直接传递到Internet和networking中的其他Exchange Server计算机。
如果您认为您需要“站点特定的”SMTP地址和MX的Exchange可以工作,情况并非如此。 Exchange不使用MXlogging在同一Exchange组织的不同Exchange Server计算机之间传递电子邮件。
在您的networking中,您可以部署其他Exchange“路由组”,每个路由组代表一个远程位置,并包含该远程位置的Exchange Server计算机。 “路由组连接器”(或其他types的“连接器”)用于将networking拓扑传达给Exchange(与Active Directory使用“站点”和“站点链接”拓扑来计算复制path非常相似)。 当电子邮件从一个远程位置发送到另一个远程位置时,Exchange将“只知道”联系相应的远程服务器。 此过程中不使用SMTP地址和MXlogging。
我不清楚为什么你担心虚拟专用网不能“正常”24×7。它本质上是虚拟的,所以不应该有任何额外的费用,使VPN始终可用。 我会使用高质量的硬件VPNterminal设备来终止每个远程位置的VPN隧道,无论是集线器还是网状,取决于您有多less个远程位置。 (就我个人而言,我会使用Cisco ASA-5505设备或运行Linux和OpenVPN的小型服务器计算机,但是有任何可能的解决scheme。
如果要在正常工作时间保持VPN合理无stream量,则可以安排Active Directory复制(甚至Exchange邮件传递/公用文件夹复制)以在非工作时间进行。 在我看来,我会保持24 x 7的VPN,并将其用于不断的广告和交易stream量,因为它似乎是要保持用户文件存储在每个办公室,一般来说,用户不会通过VPN发送stream量。
我build议部署Windows软件更新服务(WSUS),同时你也是这样做的。 您可以从Microsoft获取有关具体信息的文档,但是我计划在中央WSUS服务器上运行在每个远程位置运行的副本服务器。 正如我前面所说,我会使用在远程位置OU或Active Directory站点上应用的组策略来将客户端计算机指向最近的WSUS副本。
毫无疑问,你会被告知,你需要在每个远程位置的各种单独的服务器。 如果您愿意,可以为每个“angular色”使用单独的物理或虚拟机。 我会告诉你,从我自己的经验,你可以通过一个单一的物理机作为一个文件服务器,DC,WSUS服务器和Exchange服务器在每个远程位置很好,只要机器是“健壮“足够的位置用户数。 将物理上分开的机器将是很好的 ,但只有在负载保证的情况下。 (现在怀疑我会从那些说唱者那里得到关于微软如何“不推荐”你在DC上运行Exchange的评论……虽然这是真的,但Windows SBS产品就是这样做的,而且工作的很好。我所能想到的是,这些types的评论者有无限的预算来购买Windows Server许可证,或者他们从来没有真正处理小规模预算的实际情况。)
请注意,在这种情况下,您的用户将不具有用于访问用于Webmail的Outlook Web Access的中央URL。 Exchange可以提供这样一个中央URL,但它将基于具有通过VPN访问每个远程位置中的“后端”服务器的“前端”Exchange Server计算机。 告诉用户通过远程位置特定的URL访问OWA,然后在每个远程位置为OWA提供适当的端口转发可能更有意义。
呼。 蛮好玩的。
如果您对所涉及的产品不太熟悉,那么在实验室场景中花费一些时间来嘲笑这一点是不错的。 如果你仍然担心,找一个顾问(有很好的参考资料),他们将面对面地工作几个小时,完成第一个远程办公室的设置。 记下丰富的笔记,提出许多问题,并收集所有需要的细节,以便自己办下一个办公室。 (不pipe你信不信,有顾问很乐意“教男人钓鱼”,就个人而言,我讨厌重复性的工作,虽然我喜欢赚钱,但我宁愿教一个客户自己做点什么,如果他们这样select,而不是一遍又一遍地做同样的事情。)
正如我所说,这是一个非常简单的部署。 您正在尝试使用这些产品(可能除了SBS,取决于您的用户数量),确切地说,这些产品是用来做什么的,而且您不会发现自己在“打”产品。
您可以在电子邮件地址中没有用户网站的情况下完成所有操作。 您只需将用户邮箱放在他们的站点上的服务器上。 然后,当他们向另一个站点的用户发送邮件时,Exchangenetworking将处理站点之间存在VPN连接的所有信息。
您需要每隔一段时间在站点之间build立一个VPN连接来处理AD复制和文件服务器复制。
你在这里超越SBS。 您可能只想获得一堆Windows 2003许可证来处理所有事情。 每个服务器一个。 您可以在Hyper-V的VMware下虚拟化所有这些,这样在每个站点只需要一个或两个物理服务器。
根据曾在SBS上写过大量书籍的Harry Belsford,他有一个简单的规则:如果你扩展到第二个站点,SBS结束。 当我做SBS咨询的时候,这对我很好。 虽然SBS可以调整到某种多站点的东西,但是你正在寻找额外的服务器成本,将第一台服务器和SBS之间的差异变成非常小的成本。 你不会说每个办公室的用户数量。 这将有助于知道这个数字是10(我不会为10个用户部署特定站点的Exchange服务器),或者100(也许)或1000(也许)。 这一切都归结为您的广域网链接的质量,您将通过发送的stream量types(一个艺术/graphics公司的stream量types和仅适用于文本文件的出版商之间的差别很大)。
所以,在我们(至less我)可以说这个之前,多一点信息会很棒。