Как лучше всего организовать связь между двумя удалёнными офисами?
Доброго времени суток, уважаемые!
Дано:
Два офиса одной и той же фирмы, один в Москве, второй во Владимире.
В обоих доступ в интернет 100Мбит/с.
Задача: организовать связь между филиалами для удобного обмена документами и удалённого управления (планируется развернуть ActiveDirectory).
Ограничения:
Маломальского отдельного помещения для серверной организовать нельзя, максимум можно повесить коммутационный шкаф со свичом, ибп и одним-двумя микросерверами HP (2ядерные Gen10).
Предполагаемое решение:
Арендовать dedicated-сервер (8 ядер, 64ГБайт озу, 2ТБайт HDD, канал 1ГБит/с) в Европе (Германия либо Нидерланды, т.к. уже используются несколько выделенных серверов в рамках одного хостера), на котором будет развёрнут Proxmox. На Прокмоксе будут жить несколько виртуалок: 2 контроллера домена, почтовый сервер Zimbra, Asterisk, Zabbix, Jira, Jabber.
В общей сложности этим будут пользоваться примерно 50 человек, в основном программисты, большой нагрузки на AD не планируется, обмен документами через шары внутри филиала, либо через сервисы, с AD не связанные.
В каждом из филиалов на микросервере развернуть RODC и локальный файл-сервер.
В филиалы поставить Mikrotik, который будет связан с выделенным сервером с помощью VPN (openvpn или ipsec).
Со стороны вылеленного сервера за туннель будет отвечать либо сам Проксмокс, либо виртуалка с pfSense.
Настроить маршрутизацию соответствующим образом.
Пинг от филиалов до уже имеющихся выделенных серверов от 44 до 46мс
Вопрос:
Не ущербна ли предполагаемая схема подключения с точки зрения работы AD, не скажется ли на скорости входа пользователей в систему и других операций? Не ущербна ли схема с точки зрения оборудования?
Подобное взаимодействие офисов организую в первый раз, поэтому прошу поправить или подсказать более удачное решение при исходных данных, нюансы, на что следует обратить ещё внимание.
Заранее благодарю!
Все норм. Правда если офисов всего 2, то возможно проще поднять VPN прямо в головном офисе? Исключите дорогу "туда-обратно"...
Для простых запросов AD и небольших файликов на шарах вам этого хватит. Для чего потяжелее типа крупных файлов, БД итп. могут быть проседания по скорости.
Пока офиса 2, в ближайший год-два ещё 2 могут добавиться, причём зарубежных.
Тяжеловесные сервисы с АД не будут связаны и во внутренней сети присутствовать, всё тяжёлое уже работает на дедиках и смотрит с интернет.
Просто почему такой огород задумался городить: по факту ни в одном из офисов нормально разместить весь комплекс хотелок неполучится из-за физических ограничений.
Но и сбрасывать со счетов блокировку айпишников РКНом тоже не хочется.
Как вариант ещё, оставить почту, Джиру и телефонию как есть на хостинге, а в каждом филиале отдельный домен, между доменами уже доверие настроить.
Большим запасом времени не располагаю на реализацию всей затеи, поэтому придётся видимо по принципу KISS (keep it simple stupid) действовать, и минимизировать риски путём упрощения схемы, конечно, не в ущерб безопасности, отказоустойчивости и прочей кошерности.
Угу. А завтра на Вашем хостинге окажется телега и РТК радостно его забанит :) И все - бизнес встал ... в позу ротного пулемета :)
Не говоря уже о том, что выносить "внутренние" сервера на хостинг - это прям-таки напрашиваться на утечку.
Про РКН - это верно заметили, есть опасения бана. Как ещё один вариант: купить железку и на колокейшн пристроить в какой-нибудь московский дц.
Но, уже на немецких адресах крутится текущая почта, Джира и Заббикс. Уже довольно сильно завязаны на нынешнего хостера.
И я же не просто так буду выносить, через vpn, отделив внутренние сервера от инета. Выносят же в облака корневую инфраструктуру (в Azure, Amazon и т.п.).
Tanairan Trezelnikov, я имел в виду не утечку на магистралях, которые прикрываются VPN, а утечку из самих датацентров. Контролировать Вы их не сможете никак - придется верить на слово. Разве только шифрованные диски использовать.
Растаскивая мух и котлет по разным сторонам тарелки:
1. Транспорт - циски, микротики, провайдерские варианты - без разницы. Главное реализовать доступность голов и филиалов
2. AD - собственно еще со времен 2000 в продуктах Майкрософт есть все для построения лесов, сайтов - достаточно выбрать наиболее понравившуюся модель со степенью авторитарности (голова-лес или же трасты)
Ну и как уже подметили - DFS для "совместной" работы. Естественно есть нюансы...
Любая схема с контролером домена AD вне собственной инфраструктуры ущербна по определению.
Я бы не хотел разводить тут политосрач, но вы новости читаете?
Вы реально верите что действия РКН имеют собой цель блокировку телеграмма?
На мой взгляд, схема с любыми ресурсами за пределами РФ в текущей ситуации ущербна в квадрате.
Поднимите в каждом офисе свой AD, для соединения между офисами заюзайте VPN. Узлы AD можно "подружить", т.е. сделать доверенными.
В реальности периодически и крайне неожиданно случаются сбои у поставщиков инета.
Размещая сервер AD вне офисной сети вам придется готовиться к тому, что при пропадании инета работа в офисе встанет. Так как пропадет доступ ко многим сервисам.
Простой
Средний
