Active DirectoryおよびExchangeアーキテクチャに関する質問と問題

11

これが私たちの状況の背景です...

現在、3つの完全なActive DirectoryおよびExchangeシステムを備えた3つの異なる企業としてセットアップされています。3つのオフィス(米国に1つ、ヨーロッパに2つ)は、3方向VPNセットアップを介して接続されています(したがって、各オフィスは他の2つと安全に通信できます)。Active Directoryには、セットアップごとに双方向の信頼関係セットアップがあります。すべてのシステムでServer 2003およびExchange 2003が実行されています。

企業と80ユーザーの間に約160のメールボックスがあります(追加のメールボックスは、ITサブシステム、転送アカウント、またはその他の用途のいずれかです)。

両社は(単に信頼関係を築くのではなく)公式に合併しています。そのため、各オフィスが同じシステム(ExchangeとActive Directory)上にある統合ソリューション(新しい名前に基づく)と、ITインフラストラクチャの統合(重複が多い)を検討しています。

彼らは、外部の会社を雇ってITインフラストラクチャを監査しました。彼らは、ITインフラストラクチャを外部委託することを公式に推奨しています(そして、サービスを提供したいものを推測します)。

私は何をすべきかを考え出す任務を負っています。私はそれについてかなり考えました、そして、2つのオプションを思いつきました。基本的な違いは、Exchangeがホストされている場所です(内部的には外部委託されています)。アウトソーシングは簡単に理解できるので、内部セットアップについて詳しく説明します。

高可用性が必要なため、地理的な冗長性が組み込まれている必要があります。したがって、私が思いついたのは次のとおりです(オフィスをSite1、Site2、Site3と呼びます)。

サイト1:

  • FSMO Active Directoryロール
  • Exchangeメールボックスの役割-プライマリ
  • Exchangeクライアントアクセス、ハブトランスポートサーバーの役割
  • DFSファイル共有の役割(共有ドライブ用)

サイト2:

  • Active Directoryロール-Site1から複製
  • Exchangeメールボックスの役割-セカンダリ、CCRレプリケーションを使用してレプリケート
  • Exchangeクライアントアクセス、ハブトランスポートサーバーの役割
  • DFSファイル共有の役割

サイト3:

  • Active Directoryロール-Site1から複製
  • Exchangeクライアントアクセス、ハブトランスポートサーバーの役割
  • ファイル共有監視(フェールオーバー用)
  • DFSファイル共有の役割

したがって、基本的にクラスターは、他のサイト(またはシステム)をダウンさせることなく、単一のサイト障害に耐えることができるはずです。二重サイト障害が発生した場合、Exchangeは完全に停止します。

したがって、私の懸念は次のとおりです。

  1. これは合理的な設定ですか?それとも私は物事を複雑にしていますか?
  2. 必要なサーバーの数(CCRメールボックスの役割はインストールされている唯一の役割でなければならないため、各サイトに3つ)。
  3. サマライズされた状態で動作しますか(サイトまたはサーバーがダウンした場合、使用可能なノードに自動的にフェイルオーバーします)?
  4. 各オフィスはユーザーに対してローカルクライアントアクセスサーバーを指定するため、そのサーバーはすべてのローカルリクエストの単一障害点になります(ただし、これは手動のDNS変更によって解決可能です)
  5. これが機能するためには、これらすべてのサーバーが同じIPサブネット上にある必要がありますか?または、hiearchial DNS(clientaccess.site1.foo.comなど)を使用して回避できますか?
  6. これにより、各オフィスにMXレコードとして設定できます(各オフィスにインターネットに接続するハブトランスポートサーバーがあるため)。あるオフィスがダウンしても、他のオフィスでメールを受信できるはずです。
  7. 保守性。このセットアップは、長期的に維持するには複雑すぎる(オフィスの追加、オフィスの削除、サーバー(OSとハードウェアの両方)のアップグレードなど)のではないかと心配しています。それは正当な恐怖ですか?

さて、サーバー2003と2008のどちらを使用するかという質問もあります。内部Exchangeルートを使用する場合、2008年にアップグレードする権限を納得させることができると思います(実際、Exchange 2010を使用するにはアップグレードする必要があります) ...しかし、それは本当に必要なのか、それとも(正当なアップグレードではなく)計画に忍び込んでいる「希望」の1つなのか...

さて、私の一部は、これらの問題の一部(またはほとんど)を軽減するため、外部委託されたExchangeを使用したいと考えています。しかし、コストを見た後、損益分岐点は約1年であるため、その後のアウトソーシングはかなり高価になります。私たちが依存しているいくつかの機能は、少なくとも私たちが見た企業ではアウトソーシングできないという事実と結び付けてください(共有メールボックス、SSOを含むActive Directoryカップリング、集中管理、データセキュリティなど)。だから私はこれでどこに行くべきか本当に本当に破れています...

これは私が試みているこの規模の最初のプロジェクトですので、どんな助けも大歓迎です...

事前に感謝します(そして本をごめんなさい)...

active-directory  exchange  migration 
イルクマクセル
ソース
非常によく書かれ、文書化された質問に対して+1。可能であれば、アバターに+2を与えるでしょう。
pauska

回答:

6

私たちの場合、すでに1つの会社であるという事実を除いて、私たちは同様の状況にあります。しかし、ケンブリッジ、ロンドン、ストックホルム、上海、アトランタにオフィスがあります。すべてVPN経由で接続されています。これらのうち3つにExchangeサーバーがあります(Exchange 2010に2つ、3つ目はまもなくアップグレードされます)。ほとんどのドメインコントローラーはWindows 2003を実行していますが、それらをすべてWindows 2008にアップグレードする準備ができています。約150人のスタッフが、各地に散らばっています。あなたの状況にとてもよく似ています。

だからここに私の視点からのいくつかの答えがあります:

  1. あなたがまともなITチームを持っているなら、私は決してアウトソーシングを考えないでしょう。実際、たとえあなたのチームがきちんとしていなくても、私はそれをまともなものにするためにいくらかの努力をしたいと思います。応答時間は大幅に改善され、セキュリティ設定はより簡単になりますが、何よりも重要なことは、ITチームがITインフラストラクチャを最高の状態で運用することに主眼を置くことです。アウトソーシングプロバイダーの主な焦点は、最高のサービスを提供するのではなく、最大限の収益を上げることにあります。
  2. 計画したセットアップは非常に実現可能です。主な課題は、すべてを共通のドメインに移行することですが、それは段階的に実行できます。
  3. 必要なもののほとんどのサーバーには、腕と脚がかかりません。追加のサーバーを購入する必要がある場合、そのための資本支出はわずかです。
  4. 要約どおりに機能するかどうかは、パブリックDNSと内部ルーティングがどの程度適切に構成されているかによって異なります。それは間違いなく動作するようにすることができます。
  5. 各オフィスに個別のサブネットを用意することを強くお勧めします。システム管理者としての生活をずっと楽にします。各オフィスに適切なサイズのサブネットを1つ使用し、サイト間のトラフィックに静的ルーティングを使用するか、OSPFを使用します(ほとんどの適切なVPNルーターは、既製のOSPFを提供します)。実際、ほとんどのオフィスには2つの個別のサブネットがあり、通常の企業トラフィックをエンジニアリングトラフィックから分離しています(エンジニアはDNS、DHCP、ビデオストリーミングなどを使用して多くのファンキーな処理を行う傾向があるため)。そして、それは美しく働きます。実際、どのオフィスのエンジニアでも、どこから来たのかを知らなくても、ストリーマーからのビデオストリームをどこでも使用できるようになっています。
  6. しないでください一つの大きなサブネット上のすべてのコンピュータを持ってしようとします。あなたは髪を引き裂きます。約束する。
  7. 3つのパブリックメールゲートウェイ(インターネット接続帯域幅が最も高いオフィスにあります)があり、すべて同じように構成され、すべてがメールが最終メールボックスに配信される最も近いExchangeサーバーに転送されます。全く問題なし。
  8. ルーティングなどの基本的な知識を身に付けたら、これを維持するのは難しくないことがわかります。私は、これらのすべてのサイトに分散した合計約150台のサーバー、約5ダースのVPNルーター、数ダースのマネージドスイッチを所有しています。私たちは混合セットアップ(30%Windows、70%Linux、サーバーおよびワークステーション上)であり、私に4人の人から報告を受けています。まったく問題ありません。

学習する能力を信頼すれば、成功するでしょう。計画は良いです。Windows Server 2008を使用して、Exchange Serverを1つずつExchange 2010に移行します。Exchangeの移行には、外部ヘルプが必要な場合があります(必要でした。初期の資本レイアウトを恐れて、すべてを1つずつ移行することもできます。これをすべて1つの大きなうねりで行う必要はありません。

ウルフギャング
ソース
うわー!なんて答えだ!さて、あなたがしたいくつかのポイントに対応させてください。まず、絶対に必要な場合を除き、すべてを1つのサブネットに配置しません。私が考えているのは、すべてをオフィスごとに特定のサブネットを持つ1つのクラスCサブネットに配置することです(たとえば、site1コンピューターの場合は172.25.50.0、site1サーバーの場合は172.25.55.0、site2コンピューターの場合は172.25.60.0など)。 。その後、マスクを指定するだけですべてを管理できます... 1つのメモ、複数のメールボックスサーバー(サイトごとに1つ)をお勧めしますか?または、冗長性のために複製された単一のモノリシックメールボックスサーバーですか?
ircmaxell
それとも、サブネットに関してあなたが警告していたこととまったく同じですか?各オフィスに完全に独立したサブネットを(同じ\ Cの一部ではなく)提供する方が良いでしょうか?
ircmaxell
サブネット化:あなたが説明するのは、私たちがしていることと私が念頭に置いていたものに非常に似ているものです。
wolfgangsz
電子メール:サイト上のすべてのユーザーにローカルメールボックスを使用し、他のサイトのメールボックスにはDAGを使用することをお勧めします(これはExchange 2010の概念であり、非常に便利です)。
wolfgangsz
まあまあです(2010年に私はそれに気づきました、そしてそれはまさに私たちが望むものであるようです)。私は貿易によって開発者です。しかし、システム管理者が約1年前に辞任したとき、私は(私のサイトの)責任を引き継ぎました。私はそれが好きで、多くを学びましたが、まだ多くのことを学んでいます...だから、これらの事柄の健全性チェックを得るのは本当に良くて便利です...たくさんありがとう!
ircmaxell
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.