快速业务通道

Windows Server 2008在分支式企业的网络部署案例

作者 佚名技术 来源 操作系统 浏览 发布时间 2012-06-27

去年10月,接到一个企业的咨询电话,说希望能快点用上一个安全的网络。这样的要求经常会遇到,一些初级客户不清楚自己的“安全”要求,只希望部署一个完美无缺的“安全”网络。还是去现场看看吧。

到了公司,果然不出所料,这是一个在珠三角典型的企业,总部在香港,工厂在深圳和汕头。深圳工厂是人员最多的一个工厂,也是整个企业的核心;香港那里名为总部,就是一个办公室,负责联系世界各地的业务;汕头则是配套工厂。企业没有网络管理人员,接待我们的是总经理秘书,她只能告诉我们企业面临的状况:公司在各地分部着150台左右PC,其中深圳约80台,汕头60台,香港10台。没有统一的管理,大家需要交换文件时,要么是本地通过简单的共享,异地就通过邮件或者MSN以及QQ来传递文件。不仅效率差,还发生过企业机密报价文件泄露的严重事故。加上大家都是在使用QQ传递文件等,病毒泛滥、木马横行的情形就可以想象了。

根据客户情况,我们为客户重新规划了网络架构。深圳公司作为公司的主要网络节点和数据中心,汕头、香港为辅助。深圳公司增加活动目录服务器和文件服务器。因为客户有较多的文件需要管理并且对文件安全比较关注,我们选择了windowsserver2008R2操作系统作为服务器的操作系统。

WindowsServer2008R2以屡获殊荣的WindowsServer2008为基础,对现有技术进行了扩展并且增加了新的功能,使IT专业人员能够增强其组织的服务器基础结构的可靠性和灵活性。 我们在深圳工厂设置了活动目录服务器和文件服务器。客户为改善网络租用了ADSL专线。在设计中,我们遇到了一个小问题,客户不愿意增加专门的网络管理人员,只希望培养一个内部人员兼职管理。这个人要管理三地的服务器。面对并不了解活动目录,也分不清网络架构的“网管”,担心分支机构的人员误操作破环AD,我们还真有点为难。好在我们了解windowsserver2008中的活动目录有一个“只读域控制器(RODC)”功能,这个功能是具有ActiveDirectory文件库只读版本的域控制器,可部署于域控制器安全性无法确保的环境中。包括域控制器的物理安全性有疑虑的分支机构,或者具有额外角色功能并需要其他用户登入与管理服务器的域控制器。使用RODC可为我们客户提供下列好处: •由于RODC使用文件复本,因此可避免分支机构对文件进行的更改可能会破坏或损毁AD树系的情形。 •部署RODC能够让分支机构的用户受益,也就是可让他们在当地进行验证,而无需依赖不可靠的网络连结进行验证。 于是,我们在汕头设置了RODC,解决了我们的担忧,也提升了客户的效率。 为了方便管理,减少差旅,我们还充分发挥了2008中改进的远程桌面,在深圳的管理员,基本不需要跑到各地出差,就可以安全方便的管理各地的服务器,不过,管理员对于这个功能也有小小不满,那就是,他很想找机会去溜达溜达!

客户非常关注的文件服务器,我们也充分利用了windows强大的用户身份管理功能实现了权限管理,对于本地的文件服务器和相应的一些工作站,我们还为客户设置了“加密文件系统(EFS)”,加密文件系统(EFS)是一个功能强大的工具,用于对客户端计算机和远程文件服务器上的文件和文件夹进行加密。它使用户能够防止其数据被其他用户或外部攻击者未经授权的访问。EFS对于用户级别的文件和文件夹加密非常有用。更棒的是,可以将EFS加密密钥和证书存储在智能卡上,从而为加密密钥提供更强的保护。这样有助于保护便携式计算机或共享工作站。我们给高级用户如部门主管、总经理等配置了便携U盘,保存他们的证书。客户说这个感觉真酷,像是联邦特工一样,哈哈。这个功能不需要客户再多掏钱,老总拿着一家公司的报价对我们说:“这家公司的保密系统要卖30万,你们一下子都替我省了!”我们也很开心!病毒泛滥、木马横行,是很多传统企业的问题。客户提出,我们的供应商有时候也要来公司,难免有使用我们的网络的情况,万一这些人的的机器有病毒,我们的服务器会不会遭殃?其实这个问题不只一家客户有担心,用户端装置暴露于恶意软件(例如病毒和蠕虫)威胁之下的情形与日俱增,这些恶意程序可以侵入未保护或不正确设定的主机系统,然后使用该系统作为据点散播至其他企业网络中的装置。

不过使用windowsserver2008,轻松搞定!只需使用Microsoft的网络访问保护(NAP),即可拥有一个能减轻上述威胁的全新平台,协助确保私人网络中的用户端电脑,可符合系统管理员所定义的系统健康需求。 当用户端电脑尝试连接网络或在网络中进行通讯时,NAP会透过监督和评估电脑的健康状况以执行健康需求,若用户端电脑不符合健康策略,则只能给予有限制的网络访问,直到其设定更新为符合健康策略。依据NAP的部署情况,可能会隔离或自动更新不符合策略的用户端,因此使用者无需手动更新或重新设定,其电脑便可快速重新取得完整的网络访问权。

利用NAP,我们让客户拥有以下能力: •协助持续确保LAN中PC电脑的健康状况:包括设定成支持DHCP的电脑、透过802.1X验证装置连接的电脑,或者套用NAPIPsec策略至通讯的电脑。 •执行漫游笔记型电脑的健康需求:在这些电脑重新连至公司网络时执行健康需求。 •验证不受管理的家用电脑之健康和策略遵循状态:此系针对透过执RoutingandRemoteAccess(RRAS)服务的VPN服务器连至公司网络的家用电脑。 •了解外来笔记型电脑的健康和限制访问状态:包括合作伙伴和其他访客带到企业的笔记型电脑。 整个系统已经稳定运行了半年多,客户非常满意。

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号