Questões e problemas do Active Directory e do Exchange Exchange

11

Veja o histórico da nossa situação ...

Neste momento, estamos configurados como três empresas distintas, com três sistemas completos do Active Directory e do Exchange. Os três escritórios (um nos EUA, dois na Europa) são conectados por meio de uma configuração de VPN de três vias (para que cada escritório tenha comunicação segura com os outros dois). Há uma configuração de relação de confiança bidirecional no Active Directory para cada configuração. Todos os sistemas estão executando o Server 2003 e o Exchange 2003.

Existem cerca de 160 caixas de correio entre as empresas e 80 usuários (as caixas de correio adicionais são para subsistemas de TI, encaminhamento de contas ou outros usos).

As empresas estão se unindo oficialmente (em vez de apenas ter uma relação de confiança). Então, estamos analisando uma solução combinada (baseada em um novo nome), em que cada escritório estará nos mesmos sistemas (Exchange e Active Directory), além de consolidar nossa infraestrutura de TI (há muita duplicação).

Eles contrataram uma empresa externa para entrar e auditar nossa infraestrutura de TI. Eles fizeram uma recomendação oficial de terceirizar a infraestrutura de TI (e adivinhem, eles querem fornecer o serviço).

Eu fui encarregado de descobrir o que fazer. Pensei bastante sobre isso e descobri duas opções. A diferença básica é onde o Exchange é hospedado (internamente nosso terceirizado). Como o outsourced é fácil de entender, apenas detalhei a configuração interna.

Como a alta disponibilidade é necessária, queremos que a redundância geográfica seja incorporada. Então, o que eu tenho é o seguinte (vou chamar os escritórios Site1, Site2 e Site3):

Site1:

  • Função do Active Directory FSMO
  • Função de caixa de correio do Exchange - principal
  • Acesso para cliente do Exchange, funções de servidor de transporte de hub
  • Função de compartilhamento de arquivos DFS (para unidades compartilhadas)

Site2:

  • Função do Active Directory - replicada do site1
  • Função de caixa de correio do Exchange - secundária, replicada usando a replicação de CCR
  • Acesso para cliente do Exchange, funções de servidor de transporte de hub
  • Função de compartilhamento de arquivos DFS

Site3:

  • Função do Active Directory - replicada do site1
  • Acesso para cliente do Exchange, funções de servidor de transporte de hub
  • testemunha de compartilhamento de arquivos (para failover)
  • Função de compartilhamento de arquivos DFS

Então, basicamente, o cluster deve ser capaz de sobreviver a uma falha de um único site sem derrubar nenhum dos outros sites (ou qualquer um dos sistemas). No caso de uma falha de site duplo, o Exchange pararia completamente.

Então, minhas preocupações são as seguintes:

  1. Esta é uma configuração razoável? Ou eu estou complicando demais as coisas?
  2. O número de servidores necessários (3 em cada site desde que as funções de caixa de correio CCR devem ser a única função instalada).
  3. Será que ele funcionará como resumido (onde será feito failover automático para o nó disponível caso um site ou servidor fique inativo)?
  4. Como cada escritório especificaria um servidor de Acesso para Cliente local para seus usuários, esse servidor se tornaria um único ponto de falha para todas as solicitações locais (mas isso pode ser resolvido por uma alteração manual de DNS)
  5. Todos esses servidores precisam estar na mesma sub-rede IP para que isso funcione? Ou posso usar um DNS hiearchial para ele (clientaccess.site1.foo.com, etc)?
  6. Isso me permitirá configurar cada escritório como um registro MX (já que há um servidor de transporte de hub em cada escritório para se conectar à Internet), portanto, se um escritório ficar inativo, ainda poderemos receber e-mails nos outros, correto ?
  7. Manutenção. Eu temo que essa configuração seja muito complicada para manter a longo prazo (adicionar escritórios, remover escritórios, atualizar servidores (tanto SO quanto hardware), etc.). Isso é um medo justificado?

Agora, há também a questão sobre se devemos ir com o servidor 2003 ou 2008 ... Se formos a rota interna do Exchange, acho que posso convencer os poderes de atualização para 2008 (na verdade, precisaríamos atualizar para usar Exchange 2010) ... Mas é realmente necessário ou é apenas um dos meus "desejos" entrando nos planos (em vez de uma atualização justificável) ...

Agora, parte de mim só quer ir com o Exchange terceirizado, pois isso aliviará alguns desses problemas (ou a maioria deles). No entanto, depois de analisar os custos, o ponto de equilíbrio é de cerca de 1 ano, portanto, depois disso, a terceirização será consideravelmente mais cara. Junte isso ao fato de que alguns recursos dos quais dependemos não são possíveis terceirizados - pelo menos com as empresas que analisamos - (como caixas de correio compartilhadas, acoplamento do Active Directory, incluindo SSO, gerenciamento centralizado, segurança de dados, etc.). Então, eu estou realmente dividido a respeito de onde ir com isso ...

Este é o primeiro projeto desta escala que estou tentando, então qualquer ajuda seria muito apreciada ...

Obrigado antecipadamente (e desculpe pelo livro) ...

    
por ircmaxell 05.10.2010 / 22:21

1 resposta

6

Estamos em uma situação semelhante, exceto pelo fato de que no nosso caso já somos uma empresa. Mas nós temos escritórios em Cambridge, Londres, Estocolmo, Xangai e Atlanta. Tudo conectado via VPN. Três deles têm servidores Exchange (2 no Exchange 2010, o terceiro será atualizado muito em breve). A maioria dos nossos controladores de domínio executam o Windows 2003, mas estamos no caminho para atualizá-los para o Windows 2008. Temos cerca de 150 funcionários espalhados por todo o lugar. Muito parecido com a sua situação.

Então, aqui estão algumas respostas do meu ponto de vista:

  1. Se você tem uma equipe decente de TI, nunca consideraria terceirização. De fato, mesmo que seu time não seja decente, eu prefiro gastar algum esforço para torná-lo decente. Seus tempos de resposta serão muito melhores, sua configuração de segurança é mais simples, mas o mais importante: sua equipe de TI terá seu foco principal em manter a infra-estrutura de TI funcionando da melhor forma possível. O foco principal do provedor de terceirização é fazer o máximo de dinheiro de você, não fornecendo o melhor serviço.
  2. Sua configuração planejada é muito viável. Seu principal desafio será migrar tudo para um domínio comum, mas isso pode ser feito passo a passo.
  3. Servidores para a maioria do que você precisa não custará um braço e uma perna. Se você precisar comprar servidores adicionais, o gasto de capital para isso será pequeno.
  4. Se funciona ou não como resumido depende de quão bem você tem seu DNS público e seu roteamento interno configurado. Definitivamente pode ser feito para funcionar.
  5. Eu recomendo ter sub-redes separadas para cada escritório. Torna a vida como um sysadmin um LOT mais fácil. Use uma sub-rede de tamanho decente para cada escritório e, em seguida, use o roteamento estático para o tráfego entre os sites ou o OSPF (os roteadores VPN mais decentes oferecerão o OSPF na prateleira). Na verdade, temos duas sub-redes separadas na maioria dos escritórios, mantendo o tráfego corporativo normal separado do tráfego de engenharia (já que nossos engenheiros tendem a fazer muitas coisas funky com DNS, DHCP, streaming de vídeo e nada mais). E isso funciona lindamente. Na verdade, chegamos ao ponto em que engenheiros em qualquer escritório podem usar um fluxo de vídeo de um streamer em qualquer outro lugar, sem precisar saber de onde vem.
  6. NÃO tente ter todos os computadores em uma grande sub-rede. Você vai arrancar seu cabelo. Promessa.
  7. Temos três gateways de correio público (localizados nos escritórios com maior largura de banda de conexão com a Internet), todos configurados exatamente iguais e todos encaminhados para o servidor Exchange mais próximo, de onde o correio é distribuído para as caixas de correio finais. Não tem problema nenhum.
  8. Depois de ter um controle básico sobre roteamento e afins, você descobrirá que isso não é difícil de manter. Eu tenho um total de cerca de 150 servidores espalhados por todos esses sites, cerca de meia dúzia de roteadores VPN, várias dezenas de switches gerenciados. Somos uma configuração mista (30% do Windows, 70% do Linux, em servidores e estações de trabalho) e tenho 4 pessoas relatando para mim. Não é um problema de todo.

Confie na sua capacidade de aprender e você será bem-sucedido. O plano é bom. Eu iria com o Windows Server 2008 e migraria os Exchange Servers um por um para o Exchange 2010. Para a migração do Exchange você pode precisar de ajuda externa (nós precisávamos, e meus caras geralmente são muito bons com o Exchange), mas se você Com medo do layout de capital inicial, você também pode migrar tudo um por um. Não há necessidade de fazer tudo isso em um grande swell foop.

    
por 05.10.2010 / 23:03