以下是我们的情况的背景...
目前,我们已建立三家不同的公司,拥有三套完整的 Active Directory 和 Exchange 系统。这三个办事处(一个在美国,两个在欧洲)通过三向 VPN 设置连接(因此每个办事处都可以与其他两个办事处进行安全通信)。每个设置在 Active Directory 中都设置了双向信任关系。所有系统都运行 Server 2003 和 Exchange 2003。
各公司和 80 个用户之间共有大约 160 个邮箱(额外的邮箱用于 IT 子系统、转发帐户或其他用途)。
这些公司正式合并(而不仅仅是建立信任关系)。因此,我们正在研究一种综合解决方案(基于新名称),其中每个办公室都将使用相同的系统(Exchange 和 Active Directory),并整合我们的 IT 基础设施(存在大量重复)。
他们聘请了一家外部公司来审计我们的 IT 基础设施。他们正式建议将 IT 基础设施外包(你猜怎么着,他们想提供服务)。
我的任务是弄清楚该怎么做。我想了很久,想出了两个方案。基本区别在于 Exchange 托管在哪里(内部托管还是外包托管)。由于外包很容易理解,我只会详细介绍内部设置。
由于需要高可用性,我们希望内置一些地理冗余。因此,我想到以下方案(我将办公室称为 Site1、Site2 和 Site3):
站点1:
- FSMO Active Directory 角色
- Exchange 邮箱角色 - 主要
- Exchange 客户端访问、集线器传输服务器角色
- DFS 文件共享角色(用于共享驱动器)
站点2:
- Active Directory 角色 - 从 Site1 复制
- Exchange 邮箱角色 - 辅助,使用 CCR 复制进行复制
- Exchange 客户端访问、集线器传输服务器角色
- DFS 文件共享角色
站点3:
- Active Directory 角色 - 从 Site1 复制
- Exchange 客户端访问、集线器传输服务器角色
- 文件共享见证(用于故障转移)
- DFS 文件共享角色
因此,集群基本上应该能够承受单站点故障,而不会导致其他站点(或任何系统)瘫痪。如果发生双站点故障,Exchange 将完全停止。
因此,我的担忧如下:
- 这是一个合理的设置吗?还是我把事情搞得太复杂了?
- 所需服务器的数量(每个站点有 3 个,因为 CCR 邮箱角色必须是唯一安装的角色)。
- 它是否能按总结的那样工作(当站点或服务器出现故障时它会自动故障转移到可用节点)?
- 由于每个办公室都会为其用户指定一个本地客户端访问服务器,因此该服务器将成为所有本地请求的单点故障(但这可以通过手动更改 DNS 来解决)
- 所有这些服务器是否都需要位于同一 IP 子网才能正常工作?或者我可以使用层次结构 DNS(clientaccess.site1.foo.com 等)吗?
- 这将允许我将每个办公室设置为 MX 记录(因为每个办公室都有一个集线器传输服务器来连接到互联网),所以如果一个办公室出现故障,我们仍然应该能够在其他办公室接收电子邮件,对吗?
- 可维护性。我担心从长远来看,这种设置会过于复杂,难以维护(增加办公室、移除办公室、升级服务器(操作系统和硬件)等)。这种担心合理吗?
现在,还有一个问题,即是否要使用服务器 2003 或 2008...如果我们采用内部 Exchange 路线,我想我可以说服权力机构升级到 2008(事实上,我们需要升级才能使用 Exchange 2010)...但这真的有必要吗,或者这只是我的“愿望”之一,潜入计划中(而不是合理的升级)...
现在,我的一部分只想使用外包 Exchange,因为它可以缓解其中的一些问题(或大部分问题)。然而,在考虑了成本之后,盈亏平衡点大约是 1 年,因此在那之后外包将更加昂贵。再加上我们所依赖的一些功能不可能外包——至少对于我们考察的公司来说——(例如共享邮箱、包括 SSO 的 Active Directory 耦合、集中管理、数据安全等)。所以我真的很纠结,不知道该怎么做……
这是我尝试的第一个这种规模的项目,因此非常感谢任何帮助......
提前致谢(并对这本书表示歉意)......
答案1
我们的情况类似,只是我们已经是一家公司了。但我们在剑桥、伦敦、斯德哥尔摩、上海和亚特兰大都有办事处。所有办事处都通过 VPN 连接。其中三家拥有 Exchange 服务器(两家使用 Exchange 2010,第三家将很快升级)。我们的大多数域控制器运行 Windows 2003,但我们正在将它们全部升级到 Windows 2008。我们有大约 150 名员工,分布在各地。与您的情况非常相似。
以下是我的观点的一些答案:
- 如果你有一个不错的 IT 团队,那么我永远不会考虑外包。事实上,即使你的团队不够好,我也宁愿花一些精力让它变得更好。你的响应时间会更好,你的安全设置会更简单,但最重要的是:你的 IT 团队将主要关注保持 IT 基础设施以最佳状态运行。外包提供商的主要关注点是从你身上赚取最多的钱,而不是提供最好的服务。
- 您计划的设置非常可行。您的主要挑战是将所有内容迁移到公共域,但这可以逐步完成。
- 满足您大部分需求的服务器价格不会太高。如果您需要购买额外的服务器,那么资本支出将很小。
- 总结来说,它是否能正常工作取决于你的公共 DNS 和内部路由配置得如何。它肯定能正常工作。
- 我强烈建议每个办公室都设置单独的子网。让系统管理员的生活变得很多更简单。为每个办公室使用一个大小合适的子网,然后使用静态路由或 OSPF 进行站点之间的通信(大多数不错的 VPN 路由器都会提供现成的 OSPF)。实际上,我们在大多数办公室都有 2 个独立的子网,将正常的公司流量与工程流量分开(因为我们的工程师倾向于使用 DNS、DHCP、视频流和其他东西做很多奇怪的事情)。而且它运行良好。事实上,我们甚至可以让任何办公室的工程师都可以使用来自其他任何地方的流媒体的视频流,而不必知道它来自哪里。
- 不要尝试将所有计算机放在一个大子网上。你会抓狂的。我保证。
- 我们有三个公共邮件网关(位于互联网连接带宽最高的办公室),它们的配置完全相同,并且全部转发到最近的 Exchange 服务器,然后从那里将邮件分发到最终邮箱。完全没有问题。
- 一旦你掌握了基本的路由等知识,你就会发现这并不难维护。我总共有大约 150 台服务器分布在所有这些站点上,大约有六个 VPN 路由器,几十个托管交换机。我们的设置是混合的(30% Windows,70% Linux,在服务器和工作站上),我有 4 个人向我汇报。一点也不难。
相信你的学习能力,你就会成功。这个计划很好。我会选择 Windows Server 2008,然后逐个将 Exchange 服务器迁移到 Exchange 2010。对于 Exchange 的迁移,你可能需要一些外部帮助(我们需要它,而且我的员工通常对 Exchange 相当熟悉),但如果你害怕最初的资本布局,你也可以逐个迁移所有内容。没有必要一气呵成地完成这一切。