Как реализовать филиальную структуру и удаленные домены в хостинге?

Question

[Florez]

Доброго времени суток уважаемое сообщество гуру.
Появилась у меня увлекательная задачка, правильное и надежное решение которой почему-то никак не приходит мне в голову.
И так перейдем к сути дела) Есть филиально распределенная структура предприятия с центральным офисом. В центральном офисе более 200 ПК с своим домен контроллером, своими групповыми политиками и все сделано как надо, правильно и красиво.
В то же время в компании есть филиалы по разным городам, количество ПК от 20 до 40 в каждом филиале и все это добро по сути никак не администрируется - домена нет, политик безопасности нет, везде разные админские учетки ... ну в общем Вы поняли ...
Все филиалы естественно тунелированы между собой, видимость есть, но везде разные подсети - более подробно на рисунке:

Необходимо на все филиалы применить групповые политики ценрального офиса, под каждый филиал должен быть отдельный Сайт-Домен т.к. под каждый филиал ещё будет настраиваться Exchange c своим сайтом и т.п., ставить локально в каждом удаленном филиале нет ни возможности, ни желания. Размещать в центральном офисе так же пока не можем - нет ресурсов, да и покупать железо под такие задачи не хочется - уж быстро оно стареет.
Поэтому вариант такой - взять в хостинг физический сервер, на нем поднять виртуалки:
1. Шлюз (что, как делать не понятно)
2. Подчиненный AD домен под Филиал 1
3. Подчиненный AD Домен под Филиал 2 и т.п. под каждый филиал.
Как все это реализовать и подружить каждый домен контроллер виртуалки с своим филиалом, да плюс ко всему чтобы каждый домен был в нужной подсети?)

Answer 1

[athacker]

Центральные контроллеры AD -- на центральной площадке.

В филиалах -- ставим и настраиваем RODC.

Про избыточность отдельного Exchange для каждого филиала -- согласен с предыдущим оратором.

А почему "в филиалах разные подсети" -- через "но"? :-) Оно именно так и должно быть -- у каждой площадки должна быть своя IP-подсеть. А то и не одна, если площадка большая.

Также неясно, что за проблемы у вас с хостингом. Какая разница, на чём реализована инфраструктура -- на железе, на виртуалках у вас или на виртуалках у хостинг-провайдера?

Только модель вы предполагаете использовать неправильную -- нужно не брать в аренду физический сервер, а брать ресурсы у облачных провайдеров. Если ваш физический сервер чихнёт -- у вас поляжет куча всего. Ну да, вам восстановят из бэкапов (возможно, оно даже восстановится). Но времени на это будет потрачено немеряно, и всё это время ваша сеть будет валяться. Если хотите делать сами -- нужно:

- брать минимум два сервера для резервирования
- предусматривать отказоустойчивое дисковое хранилище (дисковое хранилище -- потому что серверов у вас два, и обоим нужен будет доступ к общей хранилке. То есть -- это либо СХД, либо распределённая файловая система (но тогда серверов нужно вам больше, чем 2).

Поэтому с арендой физического железа возни будет гораздо больше, чем купить маленькое облачко у сервис-провайдера. Ну, самые известные примеры -- это Amazon, Azure, DigitalOcean. Из отечественных навскидку -- КРОК, ДатаЛайн, СофтЛайн, Селектел, Наука-Связь.

Answer 2

[Дмитрий]

Ставить свой Exch к каждый филиал мне кажется большим расточительством бюджета нежели выделить отдельную машину в роли DC( AD, DHCP, DNS) в каждый филиал и простенький шлюз типа MikroTik.
А так: каждый филиал - отдельный сайт. Если очень хочется - сделать поддомены (site1.contoso.com, site2.contoso.com, и т.д.)

Comments

[Florez]

Это все понятно, но вопрос как это все настроить на хостинге и все подружить , включая разные подсети ?

[Дмитрий]

Florez: Если Вам всё понятно, зачем хостинг в таком случае? какую роль он выполняет?

Answer 3

[Ref]

Предвидятся явные проблемы при отсутствии Интернета в филиалах. Как авторизоваться если контроллера не видно? Как долго будут отвечать локальные ресурсы, если загружен канал?
Если впн присутствует, я бы, построил лес с физическими или виртуальными подчиненными контроллерами. Просто доверенные транзитивные отношения не предусматривают наследования групповых политик.

Answer 4

[NRinat]

На хостинг, если есть деньги, рекомендовал бы вынести по одной полноценной ноде (ClientAccess+Mailbox) Exchange и как минимум один контроллер, чтобы сделать избыточность.
В филиалы можно поставить RODC, точнее, надо поставить.
Схема такая.
1. Центральный офис. DC01, DC02, Exchange Node.
2. Хостинг. DC03 , Exchange Node.
3. Филиалы. RODC(1...n).

Коллега, не рекомендовал бы Вам городить поддомены. Заводите всех в один домен. Создайте сайты, и если позволяет скорость сети, сделайте notify based replication между сайтами.

Чем проще схема, тем безопаснее и понятнее будет система.