如何为内部隔离的外部网络提供服务

背景——“外联网”

我们有大约十几个用户，我称之为外联网。这是一个物理上与我们的主 LAN 位于同一位置的气隙 LAN。我们与位于另一栋大楼的姊妹机构共享 Extranet LAN，虽然我们拥有设备，但他们在管理上管理实际的路由器和交换机。一旦连接离开我们的大楼，它就会通过我们姊妹机构的基础设施，在那里我们用户的流量与他们用户的流量混合在一起。最后，它通过专用电路路由到金融机构的网络，这样我们所有的用户都可以财务方面。我们与姊妹机构和金融机构签订了非正式和正式协议，其中包括以下限制：

1. 将我们用户的互联网使用量限制在合理的范围内，因为他们在进行一般性活动时会使用我们姊妹机构的互联网连接网上内容
2. 在任何情况下，我们都不允许数据包从我们的主 LAN 路由到外联网 LAN。

缺乏可管理性：外联网还是额外的麻烦？

外联网计算机位于或多或少隔离的 DMZ 上，它们不受 Active Directory 管理，并且从独立的机架式服务器获取文件、打印机和 WSUS 服务。这限制了计算机的可管理性。限制 #2 要求我们费尽心机执行备份和一般管理工作。当该部门有 IT 人员时，这一切都很好，但现在他们没有了（耶！预算削减！）。我的主管和我都同意，最好的前进方式是尽可能将它们转移到我们现有的平台上，这样我们只需维护一个系统，而不是两个或三个。

另外灾难恢复和业务连续性担心。常规计划基本上是把包含备份的 LTO 磁带带到某个地方，然后恢复数据，然后就可以开始了。我的主管和我都同意，在该计划可行之前，它缺少一些细节。最好能同时解决这一问题以及文件服务。

最后但并非最不重要的...财务方面时间紧迫且非常重要。价值数百万美元。计算机和外联网 LAN 的标准化、可靠性和安全性是一项要求，现在我们更需要 IT 人员能够在轮班的最初几个小时内到达现场并立即对问题做出响应。

我们的外联网用户的技术要求非常简单：Windows 7 工作站、文件、打印和更新服务、互联网接入以及我们的金融合作伙伴提供的一些第三方应用程序。

目标

我想要实现以下目标：

• 消除独立服务器，通过其他方法提供文件、打印和更新服务
• 为 DR/BC 目的获取某种热备用文件服务
• 提高我们对机器的可见性和可管理性
• 做到这一切，并不违反我们与姊妹机构和金融合作伙伴的协议

实际问题

什么样的技术和架构组合可以实现这一目标？

虽然我知道这听起来很像购物推荐我正在尽力将其定义为一个建筑问题，并避免X/Y 陷阱，请请随意进行适当编辑。

文件/打印服务

我可以看到许多针对文件和打印服务的解决方案 - 我相信我们可以将 Extranet 作为 VLAN 扩展到我们的虚拟化平台上，然后我们就可以消除机架式服务器和相关设备。不幸的是，这不包括 DR/BC 服务 - 我正在考虑类似Azure 文件存储，我们将其用作 DFS 目标甚至 OneDrive for Business 的基于 Azure 的虚拟机。我就是搞不清楚如何将这些技术结合在一起来满足我们的要求。

理想情况下，我们可以使用某种“云”服务来访问文件，但我担心互联网使用情况（限制 #1）以及在服务中断的情况下无法在网络上拥有本地副本。我觉得这里有“鱼与熊掌兼得”的解决方案，但我就是看不到。

可视性和管理

我会，爱，爱，爱将这些计算机加入我们的 Active Directory 域，但考虑到限制 #2，我看不出有什么办法可以做到这一点。我开始研究Azure 中的 Active Directory但坦白说，我并不真正理解它，而且它似乎仅限于单点登录服务。我真正想要的是一种将 GPO 发送到这些机器并拥有一个中央身份验证存储的方法。我受到的进一步限制是，我们的 Active Directory 域由另一个组管理，因此任何“扩展它”的提议在政治和官僚主义上都会很困难，但并非不可能。我们的 AD 团队正在开发一个组织范围的 Office 365 租赁，它将实施某种 DirSync，但除了 OneDrive for Business（它可以解决文件服务但不能解决配置管理）之外，我看不出它能给我带来什么。

我目前正在致力于实施基于互联网的配置管理如果我可以管理带宽问题（限制＃1），我将获得硬件清单，Windows更新和第三方应用程序部署的一些可见性。配置项是一种替代组策略的相当不简单的方法，但我想，到了紧要关头它就会起作用。

我们有很多东西可以尝试解决这个问题。一个相当强大的虚拟化环境（Cisco UCS、vSphere 和 NetApp）、SCCM、Microsoft Azure、Office 365（希望很快）以及我们应该已经获得许可的几乎所有 Microsoft 技术。

也许你们可以看到我错过的东西。