Как реализовать филиальную структуру и удаленные домены в хостинге?

Доброго времени суток уважаемое сообщество гуру.

Появилась у меня увлекательная задачка, правильное и надежное решение которой почему-то никак не приходит мне в голову.

И так перейдем к сути дела) Есть филиально распределенная структура предприятия с центральным офисом. В центральном офисе более 200 ПК с своим домен контроллером, своими групповыми политиками и все сделано как надо, правильно и красиво.

В то же время в компании есть филиалы по разным городам, количество ПК от 20 до 40 в каждом филиале и все это добро по сути никак не администрируется — домена нет, политик безопасности нет, везде разные админские учетки… ну в общем Вы поняли ...

Все филиалы естественно туннелированы между собой, видимость есть, но везде разные подсети — более подробно на рисунке:

Необходимо на все филиалы применить групповые политики центрального офиса, под каждый филиал должен быть отдельный Сайт-Домен т.к. под каждый филиал ещё будет настраиваться Exchange c своим сайтом и т.п., ставить локально в каждом удаленном филиале нет ни возможности, ни желания. Размещать в центральном офисе так же пока не можем — нет ресурсов, да и покупать железо под такие задачи не хочется — уж быстро оно стареет.

Поэтому вариант такой — взять в хостинг физический сервер, на нем поднять виртуалки:

1. Шлюз (что, как делать не понятно)

2. Подчиненный AD домен под Филиал 1

3. Подчиненный AD Домен под Филиал 2 и т.п. под каждый филиал.

Как все это реализовать и подружить каждый домен контроллер виртуалки с своим филиалом, да плюс ко всему чтобы каждый домен был в нужной подсети?) 

Центральные контроллеры AD — на центральной площадке.

В филиалах — ставим и настраиваем RODC.

Про избыточность отдельного Exchange для каждого филиала — согласен с предыдущим оратором.

А почему «в филиалах разные подсети» — через «но»? :-) Оно именно так и должно быть — у каждой площадки должна быть своя IP-подсеть. А то и не одна, если площадка большая.

Также неясно, что за проблемы у вас с хостингом. Какая разница, на чём реализована инфраструктура — на железе, на виртуалках у вас или на виртуалках у хостинг-провайдера?

Только модель вы предполагаете использовать неправильную — нужно не брать в аренду физический сервер, а брать ресурсы у облачных провайдеров. Если ваш физический сервер чихнёт — у вас поляжет куча всего. Ну да, вам восстановят из бэкапов (возможно, оно даже восстановится). Но времени на это будет потрачено немеряно, и всё это время ваша сеть будет валяться. Если хотите делать сами — нужно:

— брать минимум два сервера для резервирования
— предусматривать отказоустойчивое дисковое хранилище (дисковое хранилище — потому что серверов у вас два, и обоим нужен будет доступ к общей хранилке. То есть — это либо СХД, либо распределённая файловая система (но тогда серверов нужно вам больше, чем 2).

Поэтому с арендой физического железа возни будет гораздо больше, чем купить маленькое облачко у сервис-провайдера. Ну, самые известные примеры — это Amazon, Azure, DigitalOcean. Из отечественных навскидку — КРОК, ДатаЛайн, СофтЛайн, Селектел, Наука-Связь.

Ставить свой Exch к каждый филиал мне кажется большим расточительством бюджета нежели выделить отдельную машину в роли DC( AD, DHCP, DNS) в каждый филиал и простенький шлюз типа MikroTik.

А так: каждый филиал — отдельный сайт. Если очень хочется — сделать поддомены (site1.contoso.com, site2.contoso.com, и т.д.)

Предвидятся явные проблемы при отсутствии Интернета в филиалах. Как авторизоваться если контроллера не видно? Как долго будут отвечать локальные ресурсы, если загружен канал?

Если впн присутствует, я бы, построил лес с физическими или виртуальными подчиненными контроллерами. Просто доверенные транзитивные отношения не предусматривают наследования групповых политик. 

На хостинг, если есть деньги, рекомендовал бы вынести по одной полноценной ноде (ClientAccess+Mailbox) Exchange и как минимум один контроллер, чтобы сделать избыточность.

В филиалы можно поставить RODC, точнее, надо поставить.
Схема такая.
1. Центральный офис. DC01, DC02, Exchange Node.
2. Хостинг. DC03, Exchange Node.
3. Филиалы. RODC(1...n).

Коллега, не рекомендовал бы Вам городить поддомены. Заводите всех в один домен. Создайте сайты, и если позволяет скорость сети, сделайте notify based replication между сайтами.

Чем проще схема, тем безопаснее и понятнее будет система.