我的公司为客户管理多个本地 Windows Server 环境。就这个问题而言,这些环境由主域控制器、辅助域控制器和 WSUS 组成。每个环境都是由其他 IT 服务提供商独立创建的,因此位于他们自己的域林中。参见下图:
但是,我们继承的这种孤立架构会给帮助台和现场工作人员带来巨大的开销。我们签订了合同,提供现场服务、管理客户的更新(通过 WSUS)、维护客户的 Active Directory 策略(以反映行业最佳实践)以及执行基本的 Active Directory 管理。我想要实现什么?简而言之,就是“级联”,我想要定义一组 Active Directory 策略,然后让它们级联到客户的域,我想要帮助台工作人员和技术人员能够使用通用 Active Directory 帐户登录,我想要从通用 WSUS 帐户推送更新。为了实现上述目标,我可以将它们迁移到通用域林中:
但是,我希望保持尽可能松散的耦合。在十二个月的时间内,客户可以选择迁移 IT 服务提供商 - 我会尽量以最小的努力来解脱他们。相反,我希望能够尽快让新客户加入,同时尽量减少对他们环境的影响。因此,我认为基于森林信任关系的方法将是最好的前进方向:
大家对上述提出的架构有什么看法?森林信任关系是实现我的目标的最佳方式吗?
答案1
我们继承的这种孤立架构给服务台和现场工作人员带来了巨大的开销
首先,您的客户之间以及与您之间应该相互隔离。产生的开销就是您的经营成本。这就是 MSP 的意义所在。
这不是个好主意。您不应尝试在这些客户和您之间或在客户之间建立林/域信任。此外,这些客户都不应在网络级别相互链接。如果我的 MSP 试图这样做,我会立即解雇他们。
这就是 RMM 的用途。市场上有无数的 RMM 解决方案,例如 Kaseya VSA、SolarWinds RMM、Atera、Continuum、Pulseway、Itarian、ConnectWise 等。您应该找到一个适合您的需求和预算的解决方案并使用它。