我最近来一家小型公司管理 IT,正在研究他们的设置(他们以前将 IT 工作外包)。他们在一个办公室有一台主服务器(运行 Windows Server 2008 Standard),在另一个地理位置的第二个办公室有一台第二台服务器(运行相同的 Windows 版本)。所有文件都存储在主服务器上,据我所知,第二台服务器与主服务器同步通过映射网络驱动器。Active Directory 也在主服务器上处理。
我们正在考虑更换总部的 ISP,这意味着要更改外部静态 IP 地址。有人能给我一些建议吗,关于需要做什么才能维持第二台服务器和主服务器之间的当前连接?
答案1
您可能需要访问两个防火墙才能更改 IP 配置,如果您要迁移到其他 ISP,IP 配置必然会发生变化,因为每个 ISP 都维护自己的 IP 网络块,并以静态或动态方式分配给客户。假设您使用的是前者,但您当前的 ISP 可以告诉您这一点,并且/或者您可以通过查看防火墙上的 WAN 端口配置来判断。
其次,我需要了解这两个服务器是如何连接的。
假设两个办公室之间有一个站点到站点的 IPSec(VPN)隧道,该隧道将配置在两个位置的防火墙上,以提供位置之间的连接,但它们可以具有 LAN 扩展(MPLS/VPLS)或 ISP 在两个端点(每个办公室)之间创建和管理的某种其他类型的专用网络。
我猜想,如果他们使用的是 2008 服务器,那么 IT 预算将使位置之间的 LAN 扩展/MPLS 连接成本过高,但这显然需要经过审查,而且价格会因您所在的位置而有很大差异。这是当前 ISP 发票上会逐项列出的内容,与他们通话是明智之举。
因此,假设这些只是常规的独立互联网连接,并且如果您无需恢复出厂设置即可进入防火墙,那么您可以深入挖掘并找到 VPN/IPSec/Site-to-Site/LAN-to-LAN 等等(发布品牌/型号会有所帮助)。
一个简单的测试是从服务器 A 的命令提示符 ping 分配给服务器 B 上接口的 IP 地址。
您可以net use从具有映射驱动器的服务器的命令提示符运行以找出服务器 B 的 IP。它也可能通过 DNS 映射(\\serverb.company.local\some\shared\folder)
然后我会ping -t 192.168.2.2(或serverb.company.local) 给你一个连续的 ping 信号,这样你也可以在使用它时做一些诸如检查延迟的事情。
如果您收到来自服务器 B 的响应,则说明位置之间存在第 3 层连接,并且可能存在 IPSec 隧道。如果您可以保留该第 3 层连接,则同步应该可以继续工作,换句话说,如果该映射驱动器可以保持正常运行,则应该没问题。
话虽如此,我首先要确保有同步,并且它确实在映射驱动器上工作(它本身不执行任何类型的复制/同步,它只是创建一个用户友好的映射来访问文件),因为我知道我可能会设置分布式文件系统复制(DFS-R),但如果带宽有限,它就会带来一些麻烦(锁定、备份可能很奇怪等)。
您确定映射驱动器不仅仅是用于按需访问数据吗?
如今,当我们设立分支机构时,即使使用了电缆调制解调器连接(150/20 Mbps)和 IPSec 隧道,我们通常也只是在分支机构的各个机器上映射驱动器。
每个位置是否都看到相同的驱动器/UNC 路径?即位置 A 访问共享\\server-a\some\shares,位置 B 访问共享\\server-b\some\shares,并且这两个共享都具有相同的文件?您可以进行测试并创建一个 dummy.txt 文件,然后等待一个小时,让它在另一端显示它吗?在更改任何内容之前,我真的想知道到底发生了什么。
至于更换 ISP,如果有 LAN 扩展(MPLS/VPLS)并且您计划获得等效扩展,那么您将需要协调维护窗口(停机时间)并配置两端的路由器;这些可能是第 3 层交换机,它们可以在它们之间进行路由,完全绕过防火墙;您可以使用各种拓扑。
如果我的猜测是正确的,并且这些只是常规的独立互联网连接,那么您将需要在每个位置的防火墙上重新配置站点到站点的 VPN,这基本上可以归结为:
用于身份的远程和对等 IP 地址(分配给防火墙的办公室 A 和办公室 B IP 地址,或 ISP 提供的子网中可用范围内的第一个 IP 地址)
关于加密、封装和时间的策略协议(第 1 阶段和第 2 阶段、IKE 版本、加密算法等):基本上确保双方具有相同的设置。:)
如果隧道已经存在,则只需要在配置中更改每一侧的相应远程网关和对等/本地 IP 地址,假设它们使用 IP 作为标识符,但我很少看到以其他方式完成:基本上寻找旧 IP,用等效的新 IP 替换;冲洗并重复。
有很多关于如何执行此操作的教程,但它们都应该使用相同的 IPSec 框架来完成。