我们目前运行 Win2K3 SBS 作为域控制器,并有一个额外的 Win2K3 服务器用于托管文件,实际上并没有做太多其他事情。我们可能正在考虑在不久的将来扩展到其他办事处。
我正在考虑在每个站点上安装一个带有 win2k3 服务器的中央域控制器,以复制 AD、共享文件/文档、组策略等,同时在每个站点独立运行 Exchange 服务器 - 即电子邮件将[电子邮件保护]或者[电子邮件保护]MX 记录相应地指向 IP。这样一来,我认为就不需要持续的 VPN 连接,如果用户的目录、文件和 AD 都是本地的,就不会出现很多断开连接的问题。无需为每个站点设置单独的域,这意味着我可以自己管理整个事情。
我不确定这种事情是否可能在 SBS 服务器上实现。如果可以,我应该运行什么操作系统作为中央域控制器?如何设置以便 AD 和共享目录、GP 等复制到远程服务器?我可以在同一域上运行多个 Exchange 服务器吗?
任何帮助是极大的赞赏!
答案1
听起来这是一个相当简单的部署。
听起来您已经创建了域。由于您正在使用 SBS,请注意,现有的 SBS 计算机将被迫承担所有 Active Directory 灵活的单主机角色。这可能不是什么大问题,但 SBS 中的 75 个用户限制可能是一个大问题。虽然 SBS 提供了一个有吸引力的价格点来获得便宜的 Windows 和 Exchange 捆绑包,但如果您要接近 75 个用户限制,您可能最好只购买 Windows 和 Exchange Server 许可证。如果您希望这是一个单一的 Active Directory / Exchange 基础架构,您也无法在每个远程位置使用 Windows SBS。您在给定的 Active Directory 林中只能拥有一个 Windows SBS 服务器,因此您需要为远程位置购买“普通”Windows Server 和 Exchange Server 许可证。 (就我个人而言,我会购买 Windows Server 2008 的批量许可证席位,这样您就可以“降级”到 W2K3 的权利,并且将来您可以将软件重新分配给新的服务器计算机,而不必像购买 OEM 许可软件那样“重新购买”它……)
此初始 DC 应为 DNS 服务器,并且应使用根提示或转发器到您的 ISP 的 DNS 服务器,以允许其解析 Internet 名称。如果您想将其用作中心站点中 LAN 的 DHCP 服务器,也请进行设置。
这也是规划远程办公室使用的 IP 子网以及创建站点(具有“良好”连接性的子网组 - 通常是一个 WAN/VPN 位置)、子网和站点链接条目的好时机。如果您的 VPN 是网状的,则可以使用单个站点链接将所有站点连接在一起。如果您的 VPN 是中心辐射型,则应创建站点链接以将每个辐射站点连接到中心站点。如果您的 VPN 不允许跨中心从一个辐射站点到另一个辐射站点进行通信,则应关闭“桥接所有站点链接”。我对此只字未提,没有提供太多细节,但您可以找到 Microsoft 的详细文档。正确完成此操作对于正确运行 Active Directory 复制以及 Exchange 2007 邮件传递到远程服务器至关重要。(如果您坚持使用 E2K3,则不会对 Active Directory 站点拓扑产生影响。)
由于您的域已经存在,您可以开始为远程站点建立 DC。您可以通过 VPN 连接执行此操作,也可以使用初始 DC 在 LAN 上准备服务器。无论哪种方式,请确保新的 DC(它们以“普通”Windows Server 计算机开始其生命)使用初始 DC 作为 DNS,直到它们被提升为您域的副本 DC。在继续之前,请验证成为副本 DC 的机器是否具有良好的 DNS。您应该能够使用“nslookup”查找 AD 域名并返回现有的 DC 名称/地址。如果不能,请在继续之前找出原因。
升级副本 DC 后,在其上安装 DNS 服务器服务。确保远程办公室的每个 DC 也标记为“全局目录”服务器(在“Active Directory 站点和服务”中服务器对象下的“NTDS 设置”属性中)。这将加快客户端计算机的登录速度,并使 Exchange 电子邮件传递工作,而无需在每个远程位置使用 VPN。
使用单个 Active Directory 域将导致所有服务器共享一个公共 Active Directory 数据库,包括用户帐户、组、OU、组策略等。除非您拥有大量用户(并且由于您计划使用 SBS,因此无论如何都只能使用单个域),否则使用单个 AD 域处理所有事务就足够了。(哎呀,即使您拥有大量用户,我仍然会引导您使用单个域,除非您有其他缓解因素导致您需要多个域。)
我计划让组策略对象处理“文件夹重定向”,将“文件夹重定向”到每个远程办公室 DC 上的共享文件夹中,用于用户的“我的文档”和“桌面”文件夹。我还会部署漫游用户配置文件。我会努力拥有无状态的客户端计算机。我会将我的用户对象组织到代表远程位置的 OU 中,然后根据需要按角色进行组织。(我这样做的前提是,您可能最终会将控制权委托给每个远程位置的某个“计算机人员”来执行密码重置,因此按物理位置排列用户可以帮助您实现这一目标。)
我将客户端计算机放入代表每个远程位置的 OU 中,并根据需要应用组策略(将客户端引导到适当的 WSUS 服务器等)。稍后,我将使用 DFS 和复制(具体类型取决于您拥有的 Windows Server 版本)来复制文件夹层次结构,其中包含要“推送”到远程办公室的客户端计算机的软件的任何 Windows Installer 包,这样每个办公室都有安装包文件夹层次结构的副本。
如果您在所有地方都安装了 R2 版本的 Windows Server,则可以使用 DFS 复制 (DFS-R) 将文件夹层次结构从分支服务器复制到中心服务器(反之亦然)。理论上,您可以将文件夹层次结构复制到所有分支服务器,以便用户可以透明地在各个位置之间移动并访问其配置文件和重定向文件夹的本地缓存副本。实际上,这通常行不通,因为 DFS-R 复制最终无法跟上流量。但是,为了在中心维护分支服务器的中央副本以用于备份,DFS-R 可以满足您的需要。
回复:Exchange - 我想我知道你想用 MX 做什么。你希望看到每个远程位置的入站 Internet 电子邮件直接传送到该位置的 SMTP 服务器,而不是传送到集线器然后通过 VPN 分发。你能这样做,但出于电子邮件防病毒和反垃圾邮件的考虑,您可能会发现将电子邮件传递到集线器然后分发到远程站点更有意义。
不清楚您所说的“独立运行 Exchange”是什么意思。安装在同一 Active Directory 林中的所有 Exchange Server 计算机都共享一个通用配置,即 Exchange“组织”。您必须拥有多个 Active Directory 林才能拥有多个 Exchange 组织,而您确实不希望这样。
我将在每个远程位置部署一台 Exchange Server 计算机。每台 Exchange Server 计算机都将为该位置的用户托管邮箱,并能够将电子邮件直接发送到互联网和网络中的其他 Exchange Server 计算机。
如果您认为 Exchange 需要“特定于站点的”SMTP 地址和 MX 才能正常工作,那么事实并非如此。Exchange 不使用 MX 记录在同一 Exchange 组织的不同 Exchange Server 计算机之间传递电子邮件。
在您的网络中,您将部署额外的 Exchange“路由组”,每个路由组代表一个远程位置并包含该远程位置的 Exchange Server 计算机。“路由组连接器”(或其他类型的“连接器”)用于将网络拓扑传达给 Exchange(就像 Active Directory 使用“站点”和“站点链接”拓扑来计算复制路径一样)。当电子邮件从一个远程位置发送到另一个远程位置时,Exchange 将“知道”联系相应的远程服务器。此过程中不使用 SMTP 地址和 MX 记录。
我不明白为什么你担心 VPN 不能“全天候”运行。它本质上是虚拟的,因此让 VPN 一直可用不会增加任何费用。我会使用高质量的硬件 VPN 终端设备以中心辐射型或网状型方式终止每个远程位置的 VPN 隧道,具体取决于你有多少个远程位置。(就我个人而言,我会使用 Cisco ASA-5505 设备或运行 Linux 和 OpenVPN 的小型服务器计算机,但还有很多可能的解决方案。)
你能如果希望在正常工作时间内保持 VPN 基本不受流量影响,请安排在非工作时间进行 Active Directory 复制(甚至 Exchange 邮件传递/公用文件夹复制)。在我看来,我会让 VPN 全天候运行,并将其用于持续的 AD 和 Exchange 流量,因为看起来您试图将用户文件存储在每个办公室中,并且一般来说,用户不会通过 VPN 发送流量。
我建议在执行所有这些操作时也部署 Windows 软件更新服务 (WSUS)。您可以从 Microsoft 获取有关具体细节的文档,但我计划使用一个中央 WSUS 服务器,并在各个远程位置运行副本服务器。正如我之前所说,我将使用在远程位置 OU 或 Active Directory 站点上应用的组策略将客户端计算机引导到最近的 WSUS 副本。
毫无疑问,你会被告知,你需要在每个远程位置使用不同的服务器来实现这一点。如果你愿意,你可以为每个“角色”使用单独的物理或虚拟机。根据我自己的经验,我可以告诉你,只要一台物理机器足够“强大”,足以应付该位置的用户数量,那么在每个远程位置,你都可以使用一台物理机器作为文件服务器、DC、WSUS 服务器和 Exchange 服务器。好的拥有物理上独立的机器,但前提是负载允许这样做。(现在我怀疑我会收到反对者的评论,说微软不“建议”您在 DC 上运行 Exchange……虽然这是事实,但 Windows SBS 产品就是这样做的,而且运行良好。我能想到的只是,这些类型的评论者要么有无限的预算来购买 Windows Server 许可证,要么他们从未真正面对过让小预算发挥很大作用的现实。)
请注意,在这种情况下,您的用户将没有一个用于访问 Outlook Web Access 的中央 URL 来接收 Web 邮件。Exchange 可以提供这样一个中央 URL,但它必须基于拥有一台“前端”Exchange Server 计算机,该计算机将通过 VPN 访问每个远程位置的“后端”服务器。告诉用户通过远程位置特定的 URL 访问 OWA,然后在每个远程位置为 OWA 提供适当的端口转发可能更有意义。
呼。真有趣。
如果您对所涉及的产品不是特别熟悉,那么最好花一些时间在实验室场景中模拟一下。如果您仍然担心,请找一位顾问(有良好的推荐信),他将与您面对面合作几个小时,为第一个远程办公室进行设置。做大量笔记,提出大量问题,并收集您需要的所有详细信息,以便您可以自己设置下一个办公室。(信不信由你,有些顾问很乐意“授人以渔”。就我个人而言,我讨厌重复性工作,虽然我确实喜欢赚钱,但如果客户愿意,我宁愿教他们如何自己做某事,而不是一遍又一遍地做同样的事情。)
正如我所说,这是一个相当简单的部署。您尝试使用这些产品(可能除了 SBS,取决于您的用户数量)来准确实现它们的预期用途,并且您不会发现自己在与这些产品“作斗争”。
答案2
您可以执行所有这些操作,而无需在电子邮件地址中包含用户站点。您只需将用户邮箱放在其站点的服务器上即可。然后,当他们向另一个站点的用户发送邮件时,只要站点之间有 VPN 连接,Exchange 网络就会处理所有这些操作。
您需要不时在站点之间建立 VPN 连接来处理 AD 复制和文件服务器复制。
您在这里超越了 SBS。您可能只想获得一堆 Windows 2003 许可证来处理所有事情。每台服务器一个。您可以在 VMware 或 Hyper-V 下虚拟化所有这些,这样您只需要在每个站点上安装一台或两台物理服务器。
答案3
根据写过很多有关 SBS 的书的 Harry Belsford 的说法,他有一个简单的规则:如果您扩展到第二个站点,SBS 就会终止。当我做 SBS 咨询时,这条规则对我很有帮助。尽管 SBS 可以调整为某种多站点的东西,但您正在考虑额外的服务器成本,这些成本将您的第一台服务器和 SBS 之间的差异变成非常边际的成本。您没有提到每个办公室的用户数量。如果知道这个数字是 10(我绝不会为 10 个用户部署站点特定的 Exchange 服务器)还是 100(可能)或 1000(仍然可能),那将很有帮助。这一切都归结为您的 WAN 链接的质量,您要发送的流量类型(艺术/图形公司和仅使用文本文件的出版商的流量类型之间存在很大差异)。
因此,在我们(至少是我)对此发表看法之前,最好能提供更多信息。