我们目前正在运行 Win2K3 SBS 作为域控制器,并带有一个额外的 Win2K3 服务器来托管文件,而实际上并没有做太多其他事情。我们可能正在考虑在不久的将来扩展到其他办事处。
我正在考虑在每个站点上拥有一个带有 win2k3 服务器的中央域控制器来复制 AD、共享文件/文档、组策略等,同时在每个站点上独立运行交换服务器 - 即电子邮件将是 [email protected]或 [email protected] ,其中 MX 记录相应地指向 IP。这样,我认为如果用户的目录、文件和 AD 都是本地的,则不需要持续的 VPN 链接,也不会出现很多断开连接的问题。无需为每个站点设置单独的域,这意味着我可以自己管理整个 shebang。
我不确定 SBS 服务器是否可以实现这种事情。如果是这样,我应该运行什么操作系统作为中央域控制器?如何设置它以便 AD 和共享目录、GP 等复制到远程服务器?我可以在同一个域上运行多个 Exchange 服务器吗?
任何帮助是极大的赞赏!
听起来像一个非常简单的部署。
听起来您已经创建了域。由于您使用的是 SBS,请注意现有的 SBS 计算机将被迫持有所有 Active Directory 灵活的单主机角色。这可能没什么大不了的,但 SBS 中的 75 个用户限制可能是。虽然 SBS 提供了一个有吸引力的价格点来获得廉价的 Windows 和 Exchange 捆绑包,但如果您要接近 75 个用户的限制,您最好购买 Windows 和 Exchange Server 许可证。如果您希望它成为单个 Active Directory/Exchange 基础结构,您也将无法在每个远程位置使用 Windows SBS。在给定的 Active Directory 林中您只能拥有一个 Windows SBS 服务器,因此您需要为远程位置购买“普通”Windows Server 和 Exchange Server 许可证。(我'
这个初始 DC 应该是一个 DNS 服务器,它应该使用根提示或转发器到您的 ISP 的 DNS 服务器,以允许它解析 Internet 名称。如果您想将其用作中心站点中 LAN 的 DHCP 服务器,也请进行设置。
这也是规划您将用于远程办公室的 IP 子网并为站点创建条目(它们之间具有“良好”连接性的子网组 - 通常是单个 WAN/VPN 位置)的好时机)、子网和站点链接。如果您的 VPN 是网状网络,您可以使用单个站点链接将所有站点连接在一起。如果您的 VPN 是中心辐射型,您应该创建一个站点链接以将每个辐射站点连接到中心站点。如果您的 VPN 不允许通过集线器从一个辐条到另一个辐条进行通信,那么您应该关闭“桥接所有站点链接”。我在不提供更多细节的情况下对此进行了掩饰,但您可以从 Microsoft 找到详细的文档。正确执行此操作对于正确运行 Active Directory 复制至关重要,Exchange 2007 邮件向远程服务器正常传送。(如果您坚持使用 E2K3,则没有 Active Directory 站点拓扑分支。)
由于您的域已经存在,您可以开始为远程站点构建 DC。您可以通过 VPN 连接执行此操作,也可以使用初始 DC 准备 LAN 上的服务器。无论哪种方式,请确保以“普通”Windows Server 机器开始其生命的新 DC 将初始 DC 用于 DNS,直到它们被提升为您的域的副本 DC。在继续之前,验证成为副本 DC 的计算机是否具有良好的 DNS。您应该能够使用“nslookup”查找 AD 域名并取回现有的 DC 名称/地址。如果不能,请在继续之前弄清楚原因。
提升副本 DC 后,在其上安装 DNS 服务器服务。确保远程办公室的每个 DC 也被标记为“全局目录”服务器(在“Active Directory 站点和服务”的服务器对象下的“NTDS 设置”属性中)。这将加快客户端计算机上的登录速度,并使 Exchange 电子邮件传递工作,而无需在每个远程位置使用 VPN。
使用单个 Active Directory 域将导致您的所有服务器共享一个公共 Active Directory 数据库,包括用户帐户、组、OU、组策略等。除非您有大量用户(并且,因为您计划使用SBS,无论如何,您都仅限于单个域)您应该可以使用单个 AD 域来处理所有内容。(哎呀,即使您确实拥有大量用户,我仍然会引导您使用单个域,除非您有其他一些缓解因素导致您需要多个域。)
我计划让组策略对象将“文件夹重定向”处理到每个远程办公室 DC 上的共享文件夹中,用于用户的“我的文档”和“桌面”文件夹。我还将部署漫游用户配置文件。我会努力拥有无状态的客户端计算机。我会将我的用户对象组织到代表远程位置的 OU 中,然后在必要时从那里按角色组织。(我这样做的假设是,您最终可能会将控制权委派给每个远程位置的某个“计算机人员”以执行密码重置,因此让用户按物理位置布局可以让您获得一些成功。)
我会将客户端计算机放入代表每个远程位置的 OU 中,并根据需要应用组策略(将客户端定向到适当的 WSUS 服务器等)。稍后,我将使用 DFS 和复制(类型取决于您拥有的 Windows Server 的版本)来复制一个文件夹层次结构,其中包含您想要“推送”到远程客户端计算机的软件的任何 Windows 安装程序包办公室,这样每个办公室都有一个安装包文件夹层次结构的副本。
如果您到处都有 Windows Server 的 R2 版本,则可以使用 DFS 复制 (DFS-R) 将文件夹层次结构从分支服务器复制到中心服务器(反之亦然)。理论上,您可以将文件夹层次结构复制到所有分支服务器,以便用户可以透明地在位置之间移动并访问其配置文件和重定向文件夹的本地缓存副本。实际上,这通常不起作用,因为 DFS-R 复制最终无法跟上流量。但是,为了在集线器上维护辐条服务器的中央副本以进行备份,DFS-R 可能会满足您的需求。
回复:交换 - 我想我知道你想用 MX 做什么。您有兴趣查看每个远程位置的入站 Internet 电子邮件直接传送到该位置的 SMTP 服务器,而不是传送到集线器然后通过 VPN 分发。您可以这样做,但出于电子邮件防病毒和反垃圾邮件的考虑,您可能会发现将电子邮件发送到集线器然后分发到远程站点更有意义。
目前尚不清楚“独立”运行 Exchange 是什么意思。安装在同一个 Active Directory 林中的所有 Exchange Server 计算机共享一个公共配置,即 Exchange“组织”。您必须拥有多个 Active Directory 林才能拥有多个 Exchange 组织,而您确实不希望这样。
我会将一台 Exchange Server 计算机部署到每个远程位置。每台 Exchange Server 计算机都将为该位置的用户托管邮箱,并且能够将电子邮件直接传送到 Internet 和网络中的其他 Exchange Server 计算机。
如果您认为完全需要“特定于站点”的 SMTP 地址和 MX 才能使 Exchange 工作,那么情况并非如此。Exchange 不使用 MX 记录在同一 Exchange 组织的不同 Exchange Server 计算机之间传递电子邮件。
在您的网络中,您将部署额外的 Exchange“路由组”,每个组代表一个远程位置并包含该远程位置的 Exchange Server 计算机。“路由组连接器”(或其他类型的“连接器”)用于将网络拓扑传送到 Exchange(很像 Active Directory 使用“站点”和“站点链接”拓扑来计算复制路径)。当电子邮件从一个远程位置发送到另一个位置时,Exchange 将“只知道”联系适当的远程服务器。此过程中不使用 SMTP 地址和 MX 记录。
我不清楚您为什么担心 VPN 不是 24 x 7 全天候“启动”。它本质上是虚拟的,因此让 VPN 始终可用不应该增加任何费用。我会使用高质量的硬件 VPN 终端设备以中心辐射或网状方式在每个远程位置终止 VPN 隧道,具体取决于您拥有多少远程位置。(就我个人而言,我会使用 Cisco ASA-5505 设备或运行 Linux 和 OpenVPN 的小型服务器计算机,但有许多可能的解决方案。)
如果您想让 VPN 在正常工作时间保持合理的无流量,您可以安排在非工作时间进行 Active Directory 复制(甚至是 Exchange 邮件传递/公用文件夹复制)。在我看来,我会让 VPN 保持 24 x 7 的速度,并将其用于持续的 AD 和 Exchange 流量,因为看起来您正试图将用户文件存储在每个办公室中,而且一般来说,用户不会通过 VPN 发送流量。
我建议您在执行所有这些操作时也部署 Windows 软件更新服务 (WSUS)。您可以从 Microsoft 获得有关详细信息的文档,但我会计划在中央 WSUS 服务器上运行副本服务器在每个远程位置。正如我之前所说,我将使用在远程 OU 或 Active Directory 站点应用的组策略将客户端计算机定向到最近的 WSUS 副本。
毫无疑问,您会被告知,为此,您需要在每个远程位置使用各种单独的服务器。如果您愿意,可以为每个“角色”使用单独的物理机或虚拟机。我会告诉你,根据我自己的经验,你可以在每个远程位置使用一台物理机器作为文件服务器、DC、WSUS 服务器和 Exchange Server 就可以了,只要这台机器“强大” " 足以计算该位置的用户数。会很好拥有物理上独立的机器,但前提是负载需要。(现在我怀疑我是否会从反对者那里得到关于微软如何不“建议”你在 DC 上运行 Exchange 的评论......虽然这是真的,但 Windows SBS 产品就是这样做的,并且运行良好。我所能想到的是,这些类型的评论者要么拥有无限的预算来购买 Windows Server 许可证,要么他们实际上从未真正不得不处理让小预算走很长一段路的现实。)
请注意,在这种情况下,您的用户将没有用于访问 Outlook Web Access for webmail 的中心 URL。Exchange 可以提供这样一个中心 URL,但它基于拥有一台“前端”Exchange Server 计算机,该计算机将通过 VPN 访问每个远程位置的“后端”服务器。告诉用户通过特定于远程位置的 URL 访问 OWA,然后在每个远程位置为 OWA 提供适当的端口转发可能更有意义。
唷。那很有趣。
如果您对所涉及的产品不是非常熟悉,那么最好花一些时间在实验室场景中进行模拟。如果您仍然担心,请找一位顾问(有很好的参考资料),他将与您面对面工作几个小时,为第一个远程办公室进行设置。做大量笔记,问很多问题,收集所有你需要的细节,这样你就可以自己做下一个办公室了。(信不信由你,有些顾问乐于“教人钓鱼”。就我个人而言,我讨厌重复性工作,虽然我确实喜欢赚钱,但我宁愿教客户如何自己做某事,如果他们如此选择,而不是一遍又一遍地做同样的事情。)
正如我所说,这是一个非常简单的部署。您正在尝试将这些产品(可能除了 SBS 之外,具体取决于您的用户数量)用于它们的预期用途,并且您不会发现自己与这些产品“抗争”。
您可以在电子邮件地址中不包含用户站点的情况下完成所有这些操作。您只需将用户邮箱放在他们站点的服务器上。然后,当他们向另一个站点的用户发送邮件时,一旦站点之间建立了 VPN 连接,Exchange 网络就会处理所有这些。
您需要每隔一段时间在站点之间建立 VPN 连接来处理 AD 复制和文件服务器复制。
你在这里超越了 SBS。您可能只想获得一堆 Windows 2003 许可证来处理所有事情。每个服务器一个。您可以在 Hyper-V 的 VMware 下对所有这些进行虚拟化,这样您在每个站点只需要一台或两台物理服务器。
根据在 SBS 上写过很多书籍的 Harry Belsford 的说法,他有一个简单的规则:如果您要扩展到第二个站点,SBS 就会结束。当我做 SBS 咨询时,这对我很有帮助。尽管 SBS 可以调整为某种多站点的东西,但您正在考虑额外的服务器成本,这会将您的第一台服务器和 SBS 之间的差异变成非常边际成本。您不会说每个办公室的用户数量。知道这个数字是 10(我不可能为 10 个用户部署特定于站点的 Exchange 服务器)或 100(可能)或 1000(仍然可能)会很有帮助。这一切都归结为您的 WAN 链接的质量、您将通过的流量类型(艺术/图形公司的流量类型与仅使用文本文件的出版商之间存在很大差异)。
因此,在我们(至少我)可以对此发表评论之前,多一点信息会很棒。