Questions et problèmes liés à Active Directory et à l'architecture Exchange

11

Voici le contexte de notre situation ...

À l'heure actuelle, nous sommes configurés en trois sociétés distinctes avec trois systèmes Active Directory et Exchange complets. Les trois bureaux (un aux États-Unis et deux en Europe) sont connectés via une configuration VPN à trois voies (chaque bureau dispose donc d'une communication sécurisée avec les deux autres). Il existe une configuration de relation d'approbation bidirectionnelle dans Active Directory pour chaque configuration. Tous les systèmes exécutent Server 2003 et Exchange 2003.

Il existe environ 160 boîtes aux lettres entre les entreprises et 80 utilisateurs (les boîtes aux lettres supplémentaires sont destinées aux sous-systèmes informatiques, aux comptes de transfert ou à d'autres utilisations).

Les sociétés fusionnent officiellement (au lieu d'avoir simplement une relation de confiance). Nous cherchons donc une solution combinée (basée sur un nouveau nom) où chaque bureau sera sur les mêmes systèmes (Exchange et Active Directory) ainsi que la consolidation de notre infrastructure informatique (il y a beaucoup de duplication).

Ils ont embauché une entreprise externe pour venir vérifier notre infrastructure informatique. Ils ont formulé une recommandation officielle d'externaliser l'infrastructure informatique (et devinez quoi, ils veulent fournir le service).

J'ai été chargé de trouver quoi faire. J'y ai beaucoup réfléchi et j'ai proposé deux options. La différence fondamentale réside dans le lieu d'hébergement d'Exchange (en interne ou sous-traité). Comme l'externalisation est facile à comprendre, je vais juste détailler la configuration interne.

Puisque la haute disponibilité est requise, nous voulons une certaine redondance géographique intégrée. Donc, ce que j'ai trouvé est le suivant (j'appellerai les bureaux Site1, Site2 et Site3):

Site1:

  • Rôle FSMO Active Directory
  • Rôle de boîte aux lettres Exchange - principal
  • Accès au client Exchange, rôles du serveur de transport Hub
  • Rôle de partage de fichiers DFS (pour les lecteurs partagés)

Site2:

  • Rôle Active Directory - Répliqué à partir de Site1
  • Rôle de boîte aux lettres Exchange - secondaire, répliqué à l'aide de la réplication CCR
  • Accès au client Exchange, rôles du serveur de transport Hub
  • Rôle de partage de fichiers DFS

Site3:

  • Rôle Active Directory - Répliqué à partir de Site1
  • Accès au client Exchange, rôles du serveur de transport Hub
  • Témoin de partage de fichiers (pour le basculement)
  • Rôle de partage de fichiers DFS

Donc, fondamentalement, le cluster devrait être capable de survivre à une défaillance d'un seul site sans arrêter les autres sites (ou aucun des systèmes). En cas de défaillance d'un double site, Exchange s'arrêterait complètement.

Donc, mes préoccupations sont les suivantes:

  1. Est-ce une configuration raisonnable? Ou suis-je trop compliqué?
  2. Le nombre de serveurs requis (3 sur chaque site car les rôles de boîte aux lettres CCR doivent être le seul rôle installé).
  3. Cela fonctionnera-t-il même tel que résumé (où il basculera automatiquement vers le nœud disponible en cas de panne d'un site ou d'un serveur)?
  4. Étant donné que chaque bureau spécifierait un serveur d'accès au client local pour ses utilisateurs, ce serveur devient un point de défaillance unique pour toutes les demandes locales (mais cela peut être résolu par une modification DNS manuelle)
  5. Tous ces serveurs doivent-ils être sur le même sous-réseau IP pour que cela fonctionne? Ou puis-je m'en tirer en utilisant un DNS hiearchial (clientaccess.site1.foo.com, etc.)?
  6. Cela me permettra de définir chaque bureau comme un enregistrement MX (car il y a un serveur de transport concentrateur dans chaque bureau pour se connecter à Internet), donc si un bureau tombe en panne, nous devrions toujours pouvoir recevoir des e-mails dans les autres, n'est-ce pas?
  7. Maintenabilité. J'ai peur que cette configuration soit trop compliquée à maintenir à long terme (ajout de bureaux, suppression de bureaux, mise à niveau des serveurs (OS et matériel), etc.). Est-ce une crainte justifiée?

Maintenant, il y a aussi la question de savoir si aller avec le serveur 2003 ou 2008 ... Si nous empruntons la route Exchange interne, je pense que je peux convaincre les pouvoirs de mise à niveau vers 2008 (en fait, nous aurions besoin de mettre à niveau pour utiliser Exchange 2010) ... Mais est-ce vraiment nécessaire ou est-ce qu'un seul de mes "besoins" se faufile dans les plans (plutôt qu'une mise à niveau justifiable) ...

Maintenant, une partie de moi veut simplement opter pour Exchange externalisé car cela atténuera certains de ces problèmes (ou la plupart d'entre eux). Cependant, après avoir examiné les coûts, le seuil de rentabilité est d'environ 1 an, de sorte que l'externalisation sera considérablement plus coûteuse. Ajoutez à cela le fait que certaines fonctionnalités dont nous dépendons ne sont pas possibles sous-traitées - au moins avec les sociétés que nous avons examinées - (telles que les boîtes aux lettres partagées, le couplage Active Directory avec SSO, la gestion centralisée, la sécurité des données, etc.). Je suis donc vraiment déchiré quant à savoir où aller avec ça ...

C'est le premier projet de cette envergure que j'essaie, donc toute aide serait grandement appréciée ...

Merci d'avance (et désolé pour le livre) ...

active-directory exchange migration ircmaxell
la source
+1 pour la question extrêmement bien écrite et documentée. Je vous donnerais +2 pour votre avatar si je le pouvais.
pauska

Réponses:

6

Nous sommes dans une situation similaire, à l'exception du fait que dans notre cas, nous sommes déjà une seule entreprise. Mais nous avons des bureaux à Cambridge, Londres, Stockholm, Shanghai et Atlanta. Tous connectés via VPN. Trois d'entre eux ont des serveurs Exchange (2 sur Exchange 2010, le troisième sera mis à niveau très bientôt). La plupart de nos contrôleurs de domaine exécutent Windows 2003, mais nous sommes sur le point de tous les mettre à niveau vers Windows 2008. Nous avons environ 150 employés, répartis un peu partout. Donc très similaire à votre situation.

Voici donc quelques réponses de mon point de vue:

  1. Si vous avez une équipe informatique décente, je n'envisagerais jamais d'externaliser. En fait, même si votre équipe n'est pas décente, je préfère consacrer quelques efforts à la rendre décente. Vos temps de réponse seront bien meilleurs, votre configuration de sécurité est plus simple, mais le plus important: votre équipe informatique se concentrera principalement sur le maintien de l'infrastructure informatique à son meilleur. L'objectif principal du fournisseur d'externalisation est de tirer le meilleur parti de vous, et non de fournir le meilleur service.
  2. Votre configuration planifiée est tout à fait réalisable. Votre principal défi sera de tout migrer vers un domaine commun, mais cela peut se faire étape par étape.
  3. Les serveurs pour la plupart de ce dont vous avez besoin ne coûteront pas un bras et une jambe. Si vous avez besoin d'acheter des serveurs supplémentaires, les dépenses en capital seront faibles.
  4. Que cela fonctionne ou non comme résumé, cela dépend de la façon dont vous avez configuré votre DNS public et votre routage interne. Il peut certainement être fait fonctionner.
  5. Je recommande fortement d'avoir des sous-réseaux séparés pour chaque bureau. Rend la vie en tant qu'administrateur système beaucoup plus facile. Utilisez un sous-réseau de taille décente pour chaque bureau, puis utilisez un routage statique pour le trafic entre les sites ou OSPF (la plupart des routeurs VPN décents proposent OSPF sur étagère). Nous avons en fait 2 sous-réseaux séparés dans la plupart des bureaux, en gardant le trafic d'entreprise normal séparé du trafic d'ingénierie (car nos ingénieurs ont tendance à faire beaucoup de choses géniales avec DNS, DHCP, streaming vidéo et quoi d'autre). Et cela fonctionne à merveille. En fait, nous l'avons même au point où les ingénieurs de n'importe quel bureau peuvent utiliser un flux vidéo à partir d'un streamer n'importe où ailleurs, sans avoir à savoir d'où il vient.
  6. N'ESSAYEZ PAS d'avoir tous les ordinateurs sur un seul grand sous-réseau. Vous arracherez vos cheveux. Promettre.
  7. Nous avons trois passerelles de messagerie publiques (situées dans les bureaux avec la bande passante de connexion Internet la plus élevée), qui sont toutes configurées exactement de la même manière et toutes transmises au serveur Exchange le plus proche, d'où le courrier est distribué vers les boîtes aux lettres finales. Aucun problème du tout.
  8. Une fois que vous maîtrisez le routage et autres, vous constaterez que ce n'est pas difficile à maintenir. J'ai un total d'environ 150 serveurs répartis sur tous ces sites, environ une demi-douzaine de routeurs VPN, plusieurs dizaines de commutateurs gérés. Nous sommes une configuration mixte (30% Windows, 70% Linux, sur serveurs et postes de travail) et j'ai 4 personnes qui me rendent compte. Pas un problème du tout.

Faites confiance à votre capacité d'apprendre et vous réussirez. Le plan est bon. J'irais avec Windows Server 2008 et migrerais les serveurs Exchange un par un vers Exchange 2010. Pour la migration d'Exchange, vous pourriez avoir besoin d'une aide externe (nous en avions besoin, et mes gars sont généralement assez bons avec Exchange), mais si vous l'êtes peur de la disposition initiale du capital, vous pouvez également tout migrer un par un. Il n'est pas nécessaire de tout faire en un seul gros coup de houle.

Wolfgangsz
la source
Hou la la! Quelle réponse! Eh bien, permettez-moi de répondre à certains des points que vous avez soulevés. Tout d'abord, je ne mettrais pas tout sur un seul sous-réseau à moins que cela ne soit absolument nécessaire. Ce que je pense, c'est de tout mettre sur un sous-réseau de classe C, avec des sous-réseaux spécifiques pour chaque bureau (donc par exemple 172.25.50.0 pour les ordinateurs site1, 172.25.55.0 pour les serveurs site1, 172.25.60.0 pour les ordinateurs site2, etc.). Ensuite, tout peut être géré en spécifiant simplement le masque ... Une note, proposez-vous plusieurs serveurs de boîtes aux lettres (un par site)? Ou un seul serveur de boîtes aux lettres monolithique répliqué pour la redondance?
ircmaxell
Ou est-ce exactement ce que vous mettiez en garde contre les sous-réseaux? Serais-je mieux de donner à chaque bureau un sous-réseau complètement séparé (ne faisant même pas partie du même \ C)?
ircmaxell
Sous-réseau: ce que vous décrivez est très similaire à ce que nous faisons et à ce que j'avais à l'esprit, je ne voulais pas être normatif, car les circonstances dictent la disposition détaillée.
wolfgangsz
Courriel: je suggérerais d'avoir des boîtes aux lettres locales pour tous les utilisateurs sur le site, avec des DAG pour les autres boîtes aux lettres de sites (c'est un concept Exchange 2010 et très utile).
wolfgangsz
Assez juste (j'ai remarqué cela en 2010, et cela semble être exactement ce que nous voulons). Je suis développeur de métier. Mais lorsque notre administrateur système est parti il ​​y a environ un an, j'ai repris les responsabilités (pour mon site). Je l'aime et j'ai beaucoup appris, mais j'ai encore beaucoup à apprendre ... Donc c'est vraiment bon et utile de faire un bilan de santé sur ces choses ... Merci beaucoup!
ircmaxell du