4 votes

Utilisateur non enregistré avatar

Comment puis-je fournir des services à un extranet interne isolé ?

Demandé el 15 de Octobre, 2015
Quand la question a-t-elle été
541 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Ouvert
Situation réelle de la question

Contexte - "Extranet"

Nous avons une douzaine d'utilisateurs sur ce que je qualifierais d'Extranet. Il s'agit d'un réseau local isolé qui est physiquement situé au même endroit que notre réseau local principal. Nous partageons ce réseau Extranet avec une agence sœur qui est dans un autre bâtiment et bien que nous possédions le matériel, ils gèrent administrativement les routeurs et commutateurs réels. Une fois que la connexion quitte notre bâtiment, elle passe par l'infrastructure de notre agence sœur où le trafic de nos utilisateurs est mélangé à leur trafic. Finalement, il est routé vers le réseau d'une institution financière via un circuit dédié afin que tous nos utilisateurs puissent effectuer des travaux financiers. Nous avons des accords informels et formels en place avec notre agence sœur et l'institution financière, comprenant ces restrictions :

  1. Limiter l'utilisation d'Internet de nos utilisateurs à une quantité raisonnable, car ils utilisent la connexion Internet de notre agence sœur lorsqu'ils effectuent des tâches web générales
  2. Ne jamais permettre en aucune circonstance que des paquets soient routés de notre réseau principal vers le réseau Extranet.

Manque de Gestion : Extranet ou Casse-tête Supplémentaire ?

Les ordinateurs de l'Extranet sont plus ou moins dans une DMZ isolée, ils ne sont pas gérés avec Active Directory et reçoivent leurs services de fichiers, d'impression et de mises à jour à partir d'un serveur autonome monté en rack. Cela limite la gestion de leurs ordinateurs. La restriction n°2 nous oblige à faire quelques contorsions pour effectuer des sauvegardes et des tâches administratives générales. Tout cela était bien quand cette division avait un personnel informatique, mais maintenant ce n'est plus le cas (YAY ! Coupes budgétaires !). Mon superviseur et moi-même sommes d'accord pour dire que la meilleure façon d'avancer serait de les basculer sur notre plateforme/s existante(s) autant que possible afin que nous ne maintenions qu'un seul système et non pas deux ou trois.

Il y a également une préoccupation supplémentaire de Plan de Reprise d'Activité et de Continuité des Activités. Le plan actuel consiste essentiellement à prendre une bande LTO contenant des sauvegardes, à se rendre quelque part et à récupérer les données pour repartir. Mon superviseur et moi sommes tous les deux d'accord qu'il manque certains détails à ce plan avant qu'il soit opérationnel. Ce serait bien d'aborder cette préoccupation en même temps que les services de fichiers.

Enfin, les travaux financiers sont sensibles au temps et importants. À hauteur de millions de dollars d'importance. La normalisation, la fiabilité et la sécurité de leurs ordinateurs et du réseau Extranet sont une exigence, d'autant plus maintenant que nous n'avons pas de personnel informatique pouvant être sur site durant les premières heures de leur quart de travail et qui pourrait répondre immédiatement à un problème.

Les exigences techniques de nos utilisateurs de l'Extranet sont assez banales : postes de travail Windows 7, services de fichiers, d'impression et de mises à jour, accès Internet et quelques applications tierces fournies par notre partenaire financier.

Objectifs

Je veux accomplir ce qui suit :

  • Éliminer leur serveur autonome et fournir des services de fichiers, d'impression et de mises à jour par un autre moyen
  • Obtenir une sorte de services de fichiers de secours pour les besoins de Plan de Reprise d'Activité/Continuité des Activités
  • Accroître notre visibilité et la gestion de leurs machines
  • Faire tout cela sans enfreindre nos accords avec notre agence sœur et notre partenaire financier

La Question Réelle

Quel genre de combinaison de technologies et d'architecture pourrait fonctionner pour cela ?

Bien que je sache que cela ressemble étrangement à une recommandation d'achat, je fais de mon mieux pour formuler la question en termes d'architecture et éviter le piège du X/Y, n'hésitez pas à éditer au besoin.

Services de Fichiers / d'Impression

Je vois plusieurs solutions pour les services de fichiers et d'impression - je crois que nous pouvons simplement étendre l'Extranet en tant que VLAN sur notre plateforme de virtualisation, puis nous pourrions éliminer le serveur monté en rack et l'équipement associé. Malheureusement, cela ne couvre pas les services de Plan de Reprise d'Activité/Continuité des Activités - je regarde des choses comme Azure File Storage, une Machine Virtuelle basée sur Azure que nous utilisons comme cible DFS ou même OneDrive for Business. Je n'arrive simplement pas à comprendre comment lier ces technologies ensemble pour répondre à nos besoins.

Idéalement, nous pourrions simplement utiliser un service "cloud" pour l'accès aux fichiers, mais je m'inquiète de l'utilisation d'Internet (restriction n°1) et du manque de possibilité d'avoir une copie locale sur le réseau en cas de panne de service. J'ai l'impression qu'il y a une solution de "tout avoir" ici, mais je ne la vois tout simplement pas.

Visibilité et Gestion

J'adorerais que ces ordinateurs soient intégrés à notre domaine Active Directory, mais je ne vois pas de moyen d'y parvenir compte tenu de la restriction n°2. J'ai commencé à regarder Active Directory dans Azure, mais avouons-le, je ne le comprends pas vraiment et il semble se limiter aux services d'authentification unique. Ce que je veux vraiment, c'est un moyen d'envoyer des GPO à ces machines et d'avoir un stockage d'authentification centralisé. De plus, notre domaine Active Directory est géré par un autre groupe, donc toute proposition pour "l'étendre" serait politiquement et bureaucratiquement difficile mais pas impossible. Notre équipe AD travaille sur un bail Office 365 à l'échelle de l'organisation qui implémentera une sorte de synchronisation de répertoire, mais je ne vois pas en quoi cela pourrait me servir autre que OneDrive for Business (qui pourrait répondre aux services de fichiers mais pas à la gestion de la configuration).

Je travaille actuellement à la mise en place de la Gestion de Configuration basée sur Internet qui, si je peux gérer les problèmes de bande passante (restriction n°1), me donnera une certaine visibilité avec l'Inventaire Matériel, les Mises à Jour Windows et les déploiements d'applications tierces. Les Éléments de Configuration sont une façon assez astucieuse de remplacer les Stratégies de Groupes, mais je suppose que cela fonctionnerait en cas de nécessité absolue.

Nous avons beaucoup de ressources à notre disposition pour tenter de résoudre ce problème. Un environnement de virtualisation assez solide (Cisco UCS, vSphere et NetApp), SCCM, Microsoft Azure, Office 365 (bientôt espérons-le) et pratiquement toute technologie Microsoft existante pour laquelle nous devrions déjà être sous licence.

Peut-être que vous pouvez voir quelque chose que j'aurais manqué.

Demandé el 15 de Octobre, 2015 par Utilisateur non enregistré

Réponses

Trop de publicités?

0voto

EFE avatar
EFE Points 101

Éliminez leur serveur autonome et fournissez des services de fichiers, d'impression et de mises à jour grâce à une autre méthodologie

Obtenez un service de fichiers de secours de type standby pour les besoins de Récupération après sinistre (DR)/Continuité d'activité (BC)

Il n'y a pas beaucoup de rapprochement à faire pour trouver une bonne solution.

Votre suggestion de virtualiser le serveur et d'étendre le VLAN est une bonne option. Cela peut complètement répondre à vos besoins en matière de Récupération après sinistre, en fonction de votre hyperviseur, si vous transformez le serveur montable en rack en une cible de réplication pour la machine virtuelle. Hyper-V prend en charge cela, et VMWare le fait probablement aussi. Ou, comme vous l'avez dit, répliquez vers une machine virtuelle Azure.

En ce qui concerne les sauvegardes, je suis d'accord et je regarderais un service de sauvegarde hors site comme Azure Backup. La récupération est simple, l'espace est bon marché et cela réduira votre charge administrative. Il peut fonctionner avec un seul agent installé sur la machine (par opposition à une solution complète de serveur/infrastructure) et sauvegarde tout via HTTPS standard. Les sauvegardes s'exécutent la nuit et elles sont assez petites, car toutes les sauvegardes après les sauvegardes initiales sont incrémentielles uniquement.

Augmentez notre visibilité et notre gestion de leurs machines

Dans ce cas, s'ils ne sont pas déjà sur un domaine Active Directory, je pousserais pour les y mettre. Ensuite, créez une relation de confiance entre les deux agences qui permet à vos administrateurs de manipuler le répertoire. Cela simplifiera même l'accès pour VOS utilisateurs en leur permettant de réutiliser le même compte.

Notez que ce n'est pas "Étendre" votre environnement Active Directory autant que créer un chemin de communication pour transmettre les autorisations entre deux environnements. Vous avez un contrôle assez granulaire, y compris autoriser ou non les utilisateurs d'une forêt à se connecter à une autre.

Faites tout cela sans violer nos accords avec notre agence sœur et partenaire financier

Les solutions ci-dessus ne nécessitent aucun mélange de paquets, ni même de partage de données. Si votre utilisateur se connecte à leur réseau avec le même nom d'utilisateur, cela n'implique en aucune façon que les données de votre entreprise seront accessibles sur le réseau de la société sœur.

Répondu el 20 de Octobre, 2017 par EFE (101 Points )

0voto

Qedrix avatar
Qedrix Points 31

Promouvez votre serveur Windows existant sur l'extranet vers un contrôleur de domaine, en tant qu'un nouveau domaine indépendant. La promotion d'un deuxième serveur Windows (sur un matériel différent) en tant que contrôleur de domaine permettrait une reprise et une redondance en cas de défaillance.

Vous pouvez utiliser les espaces de noms DFS et la réplication pour les services de fichiers. Et maintenant vous pouvez utiliser les GPO pour vos besoins en matière de sécurité.

Les groupes, les utilisateurs et les stratégies de groupe ici seraient également indépendants des autres systèmes ; y a-t-il un avantage à avoir une relation de confiance avec d'autres ?

Je laisse les autres réponses pour les sauvegardes externes et la gestion des systèmes.

Le DNS est un domaine où une certaine coopération peut être utile. Nommer votre domaine Windows affecte votre domaine DNS, donc pensez à être un sous-domaine de leur DNS, même si votre domaine Windows est indépendant.

Répondu el 20 de Octobre, 2017 par Qedrix (31 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X