如何为内部隔离的外部网络提供服务

如何为内部隔离的外部网络提供服务

背景——“外联网”

我们有大约十几个用户,我称之为外联网。这是一个物理上与我们的主 LAN 位于同一位置的气隙 LAN。我们与位于另一栋大楼的姊妹机构共享 Extranet LAN,虽然我们拥有设备,但他们在管理上管理实际的路由器和交换机。一旦连接离开我们的大楼,它就会通过我们姊妹机构的基础设施,在那里我们用户的流量与他们用户的流量混合在一起。最后,它通过专用电路路由到金融机构的网络,这样我们所有的用户都可以财务方面。我们与姊妹机构和金融机构签订了非正式和正式协议,其中包括以下限制:

  1. 将我们用户的互联网使用量限制在合理的范围内,因为他们在进行一般性活动时会使用我们姊妹机构的互联网连接网上内容
  2. 在任何情况下,我们都不允许数据包从我们的主 LAN 路由到外联网 LAN。

缺乏可管理性:外联网还是额外的麻烦?

外联网计算机位于或多或少隔离的 DMZ 上,它们不受 Active Directory 管理,并且从独立的机架式服务器获取文件、打印机和 WSUS 服务。这限制了计算机的可管理性。限制 #2 要求我们费尽心机执行备份和一般管理工作。当该部门有 IT 人员时,这一切都很好,但现在他们没有了(耶!预算削减!)。我的主管和我都同意,最好的前进方式是尽可能将它们转移到我们现有的平台上,这样我们只需维护一个系统,而不是两个或三个。

另外灾难恢复业务连续性担心。常规计划基本上是把包含备份的 LTO 磁带带到某个地方,然后恢复数据,然后就可以开始了。我的主管和我都同意,在该计划可行之前,它缺少一些细节。最好能同时解决这一问题以及文件服务。

最后但并非最不重要的...财务方面时间紧迫且非常重要。价值数百万美元。计算机和外联网 LAN 的标准化、可靠性和安全性是一项要求,现在我们更需要 IT 人员能够在轮班的最初几个小时内到达现场并立即对问题做出响应。

我们的外联网用户的技术要求非常简单:Windows 7 工作站、文件、打印和更新服务、互联网接入以及我们的金融合作伙伴提供的一些第三方应用程序。


目标

我想要实现以下目标:

  • 消除独立服务器,通过其他方法提供文件、打印和更新服务
  • 为 DR/BC 目的获取某种热备用文件服务
  • 提高我们对机器的可见性和可管理性
  • 做到这一切,并不违反我们与姊妹机构和金融合作伙伴的协议

实际问题

什么样的技术和架构组合可以实现这一目标?

虽然我知道这听起来很像购物推荐我正在尽力将其定义为一个建筑问题,并避免X/Y 陷阱请随意进行适当编辑。



文件/打印服务

我可以看到许多针对文件和打印服务的解决方案 - 我相信我们可以将 Extranet 作为 VLAN 扩展到我们的虚拟化平台上,然后我们就可以消除机架式服务器和相关设备。不幸的是,这不包括 DR/BC 服务 - 我正在考虑类似Azure 文件存储,我们将其用作 DFS 目标甚至 OneDrive for Business 的基于 Azure 的虚拟机。我就是搞不清楚如何将这些技术结合在一起来满足我们的要求。

理想情况下,我们可以使用某种“云”服务来访问文件,但我担心互联网使用情况(限制 #1)以及在服务中断的情况下无法在网络上拥有本地副本。我觉得这里有“鱼与熊掌兼得”的解决方案,但我就是看不到。

可视性和管理

我会,爱,爱,爱将这些计算机加入我们的 Active Directory 域,但考虑到限制 #2,我看不出有什么办法可以做到这一点。我开始研究Azure 中的 Active Directory但坦白说,我并不真正理解它,而且它似乎仅限于单点登录服务。我真正想要的是一种将 GPO 发送到这些机器并拥有一个中央身份验证存储的方法。我受到的进一步限制是,我们的 Active Directory 域由另一个组管理,因此任何“扩展它”的提议在政治和官僚主义上都会很困难,但并非不可能。我们的 AD 团队正在开发一个组织范围的 Office 365 租赁,它将实施某种 DirSync,但除了 OneDrive for Business(它可以解决文件服务但不能解决配置管理)之外,我看不出它能给我带来什么。

我目前正在致力于实施基于互联网的配置管理如果我可以管理带宽问题(限制#1),我将获得硬件清单,Windows更新和第三方应用程序部署的一些可见性。配置项是一种替代组策略的相当不简单的方法,但我想,到了紧要关头它就会起作用。


我们有很多东西可以尝试解决这个问题。一个相当强大的虚拟化环境(Cisco UCS、vSphere 和 NetApp)、SCCM、Microsoft Azure、Office 365(希望很快)以及我们应该已经获得许可的几乎所有 Microsoft 技术。

也许你们可以看到我错过的东西。

答案1

消除独立服务器,通过其他方法提供文件、打印和更新服务

为 DR/BC 目的获取某种热备用文件服务

无需进行太多粘合即可得到一个好的解决方案。

您建议的虚拟化服务器和扩展 VLAN 是一个不错的选择。如果您将机架式服务器转变为 VM 的复制目标,它可以完全满足您的 DR 需求,具体取决于您的虚拟机管理程序。Hyper-V 支持这一点,VMWare 可能也支持。或者,就像您说的那样,复制到 Azure VM。

至于备份,我同意并会研究异地备份服务,例如 Azure Backup。恢复很简单,空间很便宜,而且会减少您的管理开销。它可以在计算机上安装单个代理的情况下运行(而不是完整的服务器/基础设施解决方案),并通过标准 HTTPS 备份所有内容。备份在夜间运行,而且相当小,因为初始备份之后的所有备份都只是增量备份。

提高我们对机器的可见性和可管理性

在这种情况下,如果他们尚未加入 Active Directory 域,我会推动他们加入一个。然后,在两个机构之间建立信任关系,以允许您的管理员操作目录。这甚至可以简化您的用户的访问,使他们能够重复使用同一个帐户。

请注意,这并不是“扩展”您的 Active Directory 环境,而是创建了在两个环境之间传递权限的途径。您拥有相当精细的控制权,包括是否允许一个林的用户登录到另一个林。

做到这一切,并不违反我们与姊妹机构和金融合作伙伴的协议

上述解决方案不需要任何数据包混合,甚至不需要共享数据。如果您的用户使用相同的用户名登录其网络,这并不意味着您的公司数据可以在姊妹公司的网络上访问。

答案2

将外部网上现有的 Windows Server 升级为域控制器,作为新的独立域。将第二个 Windows Server(位于不同的硬件上)升级为域控制器将允许故障转移和冗余。

您可以将 DFS 命名空间和复制用于文件服务。现在,您可以使用 GPO 来满足您的安全要求。

这里的组、用户和组策略也将独立于其他系统;与他人建立信任关系有什么好处吗?

我将参考其他答案来进行异地备份和系统管理。

DNS 是一些合作可能有用的领域之一。命名您的 Windows 域会影响您的 DNS 域,因此请考虑成为其 DNS 的子域,即使您的 Windows 域是独立的。

相关内容