多個站點/位置中的 Windows 域、2003 SBS、Exchange 和 AD
我們目前正在執行 Win2K3 SBS 作為域控制器,並帶有一個額外的 Win2K3 伺服器來託管文件,而實際上並沒有做太多其他事情。我們可能正在考慮在不久的將來擴展到其他辦事處。
我正在考慮在每個站點都有一個帶有 win2k3 伺服器的中央域控制器來複製 AD、共享文件/文件、組策略等,同時在每個站點獨立執行交換伺服器 - 即電子郵件將是 username@location1.domain.com或 username@location2.domain.com ,其中 MX 記錄相應地指向 IP。這樣,我認為如果使用者的目錄、文件和 AD 都是本地的,則不需要持續的 VPN 連結,也不會出現很多斷開連接的問題。無需為每個站點設置單獨的域,這意味著我可以自己管理整個 shebang。
我不確定 SBS 伺服器是否可以實現這種事情。如果是這樣,我應該執行什麼作業系統作為中央域控制器?如何設置它以便 AD 和共享目錄、GP 等複製到遠端伺服器?我可以在同一個域上執行多個 Exchange 伺服器嗎?
任何幫助是極大的讚賞!
聽起來像一個非常簡單的部署。
聽起來您已經創建了域。由於您使用的是 SBS,請注意現有的 SBS 電腦將被迫持有所有 Active Directory 靈活的單主機角色。這可能沒什麼大不了的,但 SBS 中的 75 個使用者限制可能是。雖然 SBS 提供了一個有吸引力的價格點來獲得廉價的 Windows 和 Exchange 捆綁包,但如果您要接近 75 個使用者的限制,您最好購買 Windows 和 Exchange Server 許可證。如果您希望它成為單個 Active Directory/Exchange 基礎結構,您也將無法在每個遠端位置使用 Windows SBS。在給定的 Active Directory 林中您只能擁有一個 Windows SBS 伺服器,因此您需要為遠端位置購買“普通”Windows Server 和 Exchange Server 許可證。(一世'
這個初始 DC 應該是一個 DNS 伺服器,它應該使用根提示或轉發器到您的 ISP 的 DNS 伺服器,以允許它解析 Internet 名稱。如果您想將其用作中心站點中 LAN 的 DHCP 伺服器,也請進行設置。
這也是規劃您將用於遠端辦公室的 IP 子網並為站點創建條目(它們之間具有“良好”連接性的子網組 - 通常是單個 WAN/VPN 位置)的好時機)、子網和站點連結。如果您的 VPN 是網狀網路,您可以使用單個站點連結將所有站點連接在一起。如果您的 VPN 是中心輻射型,您應該創建一個站點連結以將每個輻射站點連接到中心站點。如果您的 VPN 不允許通過集線器從一個輻條到另一個輻條進行通信,那麼您應該關閉“橋接所有站點連結”。我在不提供更多細節的情況下對此進行了掩飾,但您可以從 Microsoft 找到詳細的文件。正確執行此操作對於正確執行 Active Directory 複製至關重要,Exchange 2007 郵件向遠端伺服器正常傳送。(如果您堅持使用 E2K3,則沒有 Active Directory 站點拓撲分支。)
由於您的域已經存在,您可以開始為遠端站點建構 DC。您可以通過 VPN 連接執行此操作,也可以使用初始 DC 準備 LAN 上的伺服器。無論哪種方式,請確保以“普通”Windows Server 機器開始其生命的新 DC 將初始 DC 用於 DNS,直到它們被提升為您的域的副本 DC。在繼續之前,驗證成為副本 DC 的電腦是否具有良好的 DNS。您應該能夠使用“nslookup”查找 AD 域名並取回現有的 DC 名稱/地址。如果不能,請在繼續之前弄清楚原因。
提升副本 DC 後,在其上安裝 DNS 伺服器服務。確保遠端辦公室的每個 DC 也被標記為“全域目錄”伺服器(在“Active Directory 站點和服務”的伺服器對像下的“NTDS 設置”屬性中)。這將加快客戶端電腦上的登錄速度,並使 Exchange 電子郵件傳遞工作,而無需在每個遠端位置使用 VPN。
使用單個 Active Directory 域將導致您的所有伺服器共享一個公共 Active Directory 數據庫,包括使用者帳戶、組、OU、組策略等。除非您有大量使用者(並且,因為您計劃使用SBS,無論如何,您都僅限於單個域)您應該可以使用單個 AD 域來處理所有內容。(哎呀,即使您確實擁有大量使用者,我仍然會引導您使用單個域,除非您有其他一些緩解因素導致您需要多個域。)
我計劃讓組策略對象將“文件夾重定向”處理到每個遠端辦公室 DC 上的共享文件夾中,用於使用者的“我的文件”和“桌面”文件夾。我還將部署漫遊使用者配置文件。我會努力擁有無狀態的客戶端電腦。我會將我的使用者對象組織到代表遠端位置的 OU 中,然後在必要時從那裡按角色組織。(我這樣做的假設是,您最終可能會將控制權委派給每個遠端位置的某個“電腦人員”以執行密碼重置,因此讓使用者按物理位置佈局可以讓您獲得一些成功。)
我會將客戶端電腦放入代表每個遠端位置的 OU 中,並根據需要應用組策略(將客戶端定向到適當的 WSUS 伺服器等)。稍後,我將使用 DFS 和複製(類型取決於您擁有的 Windows Server 的版本)來複製一個文件夾層次結構,其中包含您想要“推送”到遠端客戶端電腦的軟體的任何 Windows 安裝程序包辦公室,這樣每個辦公室都有一個安裝封包件夾層次結構的副本。
如果您到處都有 Windows Server 的 R2 版本,則可以使用 DFS 複製 (DFS-R) 將文件夾層次結構從分支伺服器複製到中心伺服器(反之亦然)。理論上,您可以將文件夾層次結構複製到所有分支伺服器,以便使用者可以透明地在位置之間移動並訪問其配置文件和重定向文件夾的本地記憶體副本。實際上,這通常不起作用,因為 DFS-R 複製最終無法跟上流量。但是,為了在集線器上維護輻條伺服器的中央副本以進行備份,DFS-R 可能會滿足您的需求。
回复:交換 - 我想我知道你想用 MX 做什麼。您有興趣查看每個遠端位置的入站 Internet 電子郵件直接傳送到該位置的 SMTP 伺服器,而不是傳送到集線器然後通過 VPN 分發。您可以這樣做,但出於電子郵件防病毒和反垃圾郵件的考慮,您可能會發現將電子郵件發送到集線器然後分發到遠端站點更有意義。
目前尚不清楚“獨立”執行 Exchange 是什麼意思。安裝在同一個 Active Directory 林中的所有 Exchange Server 電腦共享一個公共配置,即 Exchange“組織”。您必須擁有多個 Active Directory 林才能擁有多個 Exchange 組織,而您確實不希望這樣。
我會將一台 Exchange Server 電腦部署到每個遠端位置。每台 Exchange Server 電腦都將為該位置的使用者託管郵箱,並且能夠將電子郵件直接傳送到 Internet 和網路中的其他 Exchange Server 電腦。
如果您認為完全需要“特定於站點”的 SMTP 地址和 MX 才能使 Exchange 工作,那麼情況並非如此。Exchange 不使用 MX 記錄在同一 Exchange 組織的不同 Exchange Server 電腦之間傳遞電子郵件。
在您的網路中,您將部署額外的 Exchange“路由組”,每個組代表一個遠端位置並包含該遠端位置的 Exchange Server 電腦。“路由組連接器”(或其他類型的“連接器”)用於將網路拓撲傳送到 Exchange(很像 Active Directory 使用“站點”和“站點連結”拓撲來計算複製路徑)。當電子郵件從一個遠端位置發送到另一個位置時,Exchange 將“只知道”聯繫適當的遠端伺服器。此過程中不使用 SMTP 地址和 MX 記錄。
我不清楚您為什麼擔心 VPN 不是 24 x 7 全天候“啟動”。它本質上是虛擬的,因此讓 VPN 始終可用不應該增加任何費用。我會使用高質量的硬體 VPN 終端設備以中心輻射或網狀方式在每個遠端位置終止 VPN 隧道,具體取決於您擁有多少遠端位置。(就我個人而言,我會使用 Cisco ASA-5505 設備或執行 Linux 和 OpenVPN 的小型伺服器電腦,但有許多可能的解決方案。)
如果您想讓 VPN 在正常工作時間保持合理的無流量,您*可以安排在非工作時間進行 Active Directory 複製(甚至是 Exchange 郵件傳遞/公用文件夾複製)。*在我看來,我會讓 VPN 保持 24 x 7 的速度,並將其用於持續的 AD 和 Exchange 流量,因為看起來您正試圖將使用者文件儲存在每個辦公室中,而且一般來說,使用者不會通過 VPN 發送流量。
我建議您在執行所有這些操作時也部署 Windows 軟體更新服務 (WSUS)。您可以從 Microsoft 獲得有關詳細資訊的文件,但我會計劃在中央 WSUS 伺服器上執行副本伺服器在每個遠端位置。正如我之前所說,我將使用在遠端 OU 或 Active Directory 站點應用的組策略將客戶端電腦定向到最近的 WSUS 副本。
毫無疑問,您會被告知,為此,您需要在每個遠端位置使用各種單獨的伺服器。如果您願意,可以為每個“角色”使用單獨的物理機或虛擬機。我會告訴你,根據我自己的經驗,你可以在每個遠端位置使用一台物理機器作為文件伺服器、DC、WSUS 伺服器和 Exchange Server 就可以了,只要這台機器“強大” " 足以計算該位置的使用者數。會很好擁有物理上獨立的機器,但前提是負載需要。(現在我懷疑我是否會從反對者那裡得到關於微軟如何不“建議”你在 DC 上執行 Exchange 的評論……雖然這是真的,但 Windows SBS 產品就是這樣做的,並且執行良好。我所能想到的是,這些類型的評論者要麼擁有無限的預算來購買 Windows Server 許可證,要麼他們實際上從未真正不得不處理讓小預算走很長一段路的現實。)
請注意,在這種情況下,您的使用者將沒有用於訪問 Outlook Web Access for webmail 的中心 URL。Exchange 可以提供這樣一個中心 URL,但它基於擁有一台“前端”Exchange Server 電腦,該電腦將通過 VPN 訪問每個遠端位置的“後端”伺服器。告訴使用者通過特定於遠端位置的 URL 訪問 OWA,然後在每個遠端位置為 OWA 提供適當的埠轉發可能更有意義。
唷。那很有趣。
如果您對所涉及的產品不是非常熟悉,那麼最好花一些時間在實驗室場景中進行模擬。如果您仍然擔心,請找一位顧問(有很好的參考資料),他將與您面對面工作幾個小時,為第一個遠端辦公室進行設置。做大量筆記,問很多問題,收集所有你需要的細節,這樣你就可以自己做下一個辦公室了。(信不信由你,有些顧問樂於“教人釣魚”。就我個人而言,我討厭重複性工作,雖然我確實喜歡賺錢,但我寧願教客戶如何自己做某事,如果他們如此選擇,而不是一遍又一遍地做同樣的事情。)
正如我所說,這是一個非常簡單的部署。您正在嘗試將這些產品(可能除了 SBS 之外,具體取決於您的使用者數量)用於它們的預期用途,並且您不會發現自己與這些產品“抗爭”。