Oto tło naszej sytuacji ...
Obecnie jesteśmy skonfigurowani jako trzy różne firmy z trzema kompletnymi systemami Active Directory i Exchange. Trzy biura (jedno w USA, dwa w Europie) są połączone za pomocą trójstronnej konfiguracji VPN (dzięki czemu każde biuro ma bezpieczną komunikację z pozostałymi dwoma). W usłudze Active Directory istnieje dwukierunkowa konfiguracja relacji zaufania dla każdej konfiguracji. Na wszystkich systemach działa Server 2003 i Exchange 2003.
Istnieje około 160 skrzynek pocztowych między firmami a 80 użytkownikami (dodatkowe skrzynki pocztowe dotyczą podsystemów informatycznych, kont przekazywania lub innych zastosowań).
Firmy oficjalnie łączą się ze sobą (zamiast utrzymywać relacje zaufania). Szukamy więc połączonego rozwiązania (opartego na nowej nazwie), w którym każde biuro będzie działało w tych samych systemach (Exchange i Active Directory), a także konsolidujemy naszą infrastrukturę IT (jest wiele powielania).
Zatrudnili firmę zewnętrzną, która przyszła i przeprowadziła audyt naszej infrastruktury IT. Wydali oficjalną rekomendację outsourcingu infrastruktury IT (i zgadnij, co chcą świadczyć usługę).
Zadanie polegało na ustaleniu, co robić. Długo o tym myślałem i wymyśliłem dwie opcje. Podstawowa różnica polega na tym, gdzie Exchange jest hostowany (wewnętrznie nasz outsourcing). Ponieważ outsourcing jest łatwy do zrozumienia, opiszę szczegółowo konfigurację wewnętrzną.
Ponieważ wymagana jest wysoka dostępność, chcemy mieć wbudowaną nadmiarowość geograficzną. Tak więc wymyśliłem następujące (zadzwonię do biur Site1, Site2 i Site3):
Site1:
- Rola usługi Active Directory FSMO
- Exchange Mailbox Role - Primary
- Exchange Client Access, Hub Hub Server Role
- Rola udostępniania plików DFS (dla dysków udostępnionych)
Site2:
- Rola usługi Active Directory - replikowana z witryny 1
- Exchange Mailbox Role - Secondary, replikowany przy użyciu replikacji CCR
- Exchange Client Access, Hub Hub Server Role
- Rola udostępniania plików DFS
Site3:
- Rola usługi Active Directory - replikowana z witryny 1
- Exchange Client Access, Hub Hub Server Role
- File Share Witness (dla trybu failover)
- Rola udostępniania plików DFS
Zasadniczo klaster powinien być w stanie przetrwać awarię pojedynczej witryny, nie powodując awarii żadnej innej witryny (ani żadnego z systemów). W przypadku awarii podwójnej witryny Exchange całkowicie się zatrzyma.
Moje obawy są następujące:
- Czy to rozsądna konfiguracja? A może komplikuję rzeczy?
- Wymagana liczba serwerów (3 w każdej lokacji, ponieważ role CCR Mailbox muszą być jedyną zainstalowaną rolą).
- Czy będzie działać nawet tak, jak podsumowano (gdzie automatycznie przejdzie w tryb failover do dostępnego węzła w przypadku awarii witryny lub serwera)?
- Ponieważ każde biuro określałoby lokalny serwer Client Access dla swoich użytkowników, serwer ten staje się pojedynczym punktem awarii dla wszystkich lokalnych żądań (ale można to rozwiązać ręcznie poprzez zmianę DNS)
- Czy wszystkie te serwery muszą znajdować się w tej samej podsieci IP, aby to działało? Czy mogę uciec od używania do tego celu hierarchicznego DNS (clientaccess.site1.foo.com itp.)?
- Pozwoli mi to ustawić każde biuro jako rekord MX (ponieważ w każdym biurze znajduje się serwer transportu koncentrującego, aby połączyć się z Internetem), więc jeśli jedno biuro ulegnie awarii, nadal powinniśmy być w stanie odbierać wiadomości e-mail w innych, prawda?
- Konserwowalność. Obawiam się, że ta konfiguracja będzie zbyt skomplikowana, aby można ją było utrzymać na dłuższą metę (dodawanie biur, usuwanie biur, uaktualnianie serwerów (zarówno systemu operacyjnego, jak i sprzętu) itp.). Czy to uzasadniony strach?
Teraz jest też pytanie, czy przejść na serwer 2003 czy 2008 ... Jeśli pójdziemy wewnętrzną drogą Exchange, myślę, że mogę przekonać uprawnienia do aktualizacji do 2008 (w rzeczywistości musielibyśmy dokonać aktualizacji, aby użyć Exchange 2010) ... Ale czy to naprawdę konieczne, czy tylko jedno z moich „chce” wkraść się w plany (zamiast usprawiedliwionego usprawnienia) ...
Teraz część mnie chce po prostu skorzystać z outsourcingu Exchange, ponieważ złagodzi niektóre z tych problemów (lub większość z nich). Jednak po przeanalizowaniu kosztów próg rentowności wynosi około 1 roku, więc po tym okresie outsourcing będzie znacznie droższy. Połącz to z faktem, że niektóre funkcje, na których polegamy, nie są możliwe w ramach outsourcingu - przynajmniej z firmami, na które patrzyliśmy - (takie jak współdzielone skrzynki pocztowe, łączenie usługi Active Directory, w tym SSO, scentralizowane zarządzanie, bezpieczeństwo danych itp.). Więc jestem naprawdę rozdarta, gdzie pójść z tym ...
To pierwszy projekt na taką skalę, który próbuję, więc każda pomoc byłaby bardzo mile widziana ...
Z góry dziękuję (i przepraszam za książkę) ...