Active Directory 和 Exchange 体系结构问题和问题

Question

这是我们情况的背景......

现在，我们被设置为三个不同的公司，拥有三个完整的 Active Directory 和 Exchange 系统。三个办公室（一个在美国，两个在欧洲）通过三路 VPN 设置连接（因此每个办公室都可以安全地与其他两个办公室通信）。对于每个设置，Active Directory 中都有一个双向信任关系设置。所有系统都运行 Server 2003 和 Exchange 2003。

公司和80个用户之间大约有160个邮箱（额外的邮箱要么用于IT子系统，转发帐户或其他用途）。

这些公司正在正式合并（而不仅仅是建立信任关系）。因此，我们正在研究一个组合解决方案（基于新名称），其中每个办公室都将位于相同的系统（Exchange 和 Active Directory）上，并整合我们的 IT 基础架构（存在大量重复）。

他们聘请了一家外部公司来审核我们的 IT 基础设施。他们已提出将 IT 基础设施外包的官方建议（猜猜是什么，他们想提供服务）。

我的任务是弄清楚该怎么做。我想了很多，我想出了两个选择。基本区别在于 Exchange 的托管位置（在我们内部外包）。由于外包很容易理解，我将详细介绍内部设置。

由于需要高可用性，我们希望内置一些地理冗余。所以，我想出的内容如下（我将办公室称为 Site1、Site2 和 Site3）：

站点1：

• FSMO 活动目录角色
• Exchange 邮箱角色 - 主要
• Exchange 客户端访问、集线器传输服务器角色
• DFS 文件共享角色（用于共享驱动器）

站点2：

• Active Directory 角色 - 从 Site1 复制
• Exchange 邮箱角色 - 辅助，使用 CCR 复制进行复制
• Exchange 客户端访问、集线器传输服务器角色
• DFS 文件共享角色

站点3：

• Active Directory 角色 - 从 Site1 复制
• Exchange 客户端访问、集线器传输服务器角色
• 文件共享见证（用于故障转移）
• DFS 文件共享角色

所以基本上集群应该能够在单个站点故障中幸存下来，而不会关闭任何其他站点（或任何系统）。如果发生双站点故障，Exchange 将完全停止。

所以，我的担忧如下：

1. 这是一个合理的设置吗？还是我把事情复杂化了？
2. 所需的服务器数量（每个站点 3 个，因为 CCR 邮箱角色必须是唯一安装的角色）。
3. 它甚至会像总结的那样工作（如果站点或服务器出现故障，它将自动故障转移到可用节点）？
4. 由于每个办公室都会为其用户指定一个本地客户端访问服务器，该服务器成为所有本地请求的单点故障（但这可以通过手动 DNS 更改来解决）
5. 是否所有这些服务器都需要在同一个 IP 子网中才能正常工作？或者我可以为它使用分层 DNS（clientaccess.site1.foo.com 等）吗？
6. 这将让我将每个办公室设置为 MX 记录（因为每个办公室都有一个集线器传输服务器来连接到互联网）所以如果一个办公室出现故障，我们仍然应该能够在其他办公室接收电子邮件，对吗？
7. 可维护性。我担心从长远来看，这种设置会太复杂而无法维护（添加办公室、移除办公室、升级服务器（操作系统和硬件）等）。这是一种合理的恐惧吗？

现在，还有一个问题是要使用服务器 2003 还是 2008...如果我们走内部 Exchange 路线，我想我可以说服权力升级到 2008（实际上我们需要升级才能使用 Exchange 2010） ......但它真的有必要还是只是我的一个“想要”潜入计划中（而不是合理的升级）......

现在，我的一部分只想使用外包 Exchange，因为它会缓解其中一些问题（或大部分问题）。然而，在查看成本后，盈亏平衡点约为 1 年，因此在此之后外包将更加昂贵。再加上我们所依赖的某些功能不可能外包——至少对于我们所研究的公司而言——（例如共享邮箱、Active Directory 耦合，包括 SSO、集中管理、数据安全等）。所以我真的不知道该去哪里...

这是我正在尝试的第一个这种规模的项目，因此将不胜感激任何帮助......

提前致谢（并为这本书感到抱歉）...

Answer 1

我们处于类似的情况，除了在我们的情况下我们已经是一家公司的事实。但我们在剑桥、伦敦、斯德哥尔摩、上海和亚特兰大设有办事处。全部通过 VPN 连接。其中三台有 Exchange 服务器（两台在 Exchange 2010 上，第三台将很快升级）。我们的大多数域控制器都运行 Windows 2003，但我们正在将它们全部升级到 Windows 2008。我们有大约 150 名员工，分布在各个地方。所以和你的情况非常相似。

所以从我的角度来看，这里有一些答案：

1. 如果你有一个不错的 IT 团队，那么我永远不会考虑外包。事实上，即使你的团队不正派，我也宁愿花点功夫让它变得正派。您的响应时间会更短，您的安全设置更简单，但最重要的是：您的 IT 团队将主要关注保持 IT 基础设施以最佳状态运行。外包提供商的主要关注点是从您身上赚到最多的钱，而不是提供最好的服务。
2. 您计划的设置非常可行。您的主要挑战是将所有内容迁移到公共域中，但这可以逐步完成。
3. 满足您大部分需求的服务器不会花费一臂之力。如果您需要购买额外的服务器，那么资本支出将很小。
4. 它是否有效取决于您对公共 DNS 和内部路由的配置情况。它绝对可以工作。
5. 我强烈建议为每个办公室设置单独的子网。使生活作为一个系统管理员一个LOT容易。为每个办公室使用一个合适大小的子网，然后对站点之间的流量使用静态路由或 OSPF（大多数合适的 VPN 路由器将提供现成的 OSPF）。我们实际上在大多数办公室有 2 个独立的子网，将正常的企业流量与工程流量分开（因为我们的工程师倾向于使用 DNS、DHCP、视频流等等做很多时髦的事情）。而且效果很好。事实上，我们甚至可以让任何办公室的工程师使用来自其他任何地方的流媒体的视频流，而无需知道它来自哪里。
6. 不要试图将所有计算机都放在一个大子网上。你会扯掉你的头发。承诺。
7. 我们有三个公共邮件网关（位于 Internet 连接带宽最高的办公室），它们的配置完全相同，并且都转发到最近的 Exchange 服务器，从那里将邮件分发到最终邮箱。完全没有问题。
8. 一旦你对路由等有了基本的掌握，你就会发现这并不难维持。我总共有大约 150 台服务器分布在所有这些站点上，大约有六台 VPN 路由器，几十台管理型交换机。我们是混合设置（30% Windows，70% Linux，在服务器和工作站上），我有 4 个人向我报告。根本不是问题。

相信你的学习能力，你就会成功。计划很好。我会使用 Windows Server 2008 并将 Exchange Server 一个接一个地迁移到 Exchange 2010。对于 Exchange 的迁移，您可能需要一些外部帮助（我们需要它，我的人通常对 Exchange 非常擅长），但如果您是怕初始资本布局，也可以一一迁移。没有必要一气呵成地完成这一切。