作为中小企业用户,文件服务器最常用的功能莫过于“共享文件”了。财务部门需要当月员工的考勤信息,人事部门可能不会亲自拿过去,而是在网络上共享;生产部门的生产报表也不会用书面的资料分发,而是放在网络的共享文件夹下,谁需要的话,就自己去查看就可以了,等等。类似的需求还有很多。那么,在一些有条件的企业,部署一个文件共享服务器,来统一安全管理共享文件;文件服务器是企业网络安全管理中的一个比较薄弱的环节,但是,又是一个十分重要的环节。做好部署文件服务器这件工作,必定可以提高企业网络的利用价值,减少网络安全事故。那么一般中小企业用户对文件服务器的基本要求大致如下:
1、 共享文件统一管理2、 维护成本低;
3、 文件安全不丢失
4、 指定特定的人员访问文件(权限策略)
5、 过滤用户上传非法文件如电影,视频等其它格式的文件
6、 能够定其备份,防病毒。
二、实现目标
文件服务器方案部署的目标主要是帮助用户实现以下功能:
1、集中对共享文件进行备份
若能够把共享文件夹都放在文件服务器上,则我们就可以定时的对文件服务器上的文件进行备份。如此的话,即使因为权限设置不合理,导致文件被意外修改或者删除;有时客户端的员工自己也会在不经意中删除不该删的文件,遇到这种情况的时候,则我们可以通过文件恢复作业,把原有的文件恢复过来,从而减少因为意外修改或者删除而导致的损失。
2、文件访问权限策略
在共享文件服务器上,我们可以根据各个员工的需求,在文件服务中预先设置一些文件夹,并设置好具体的权限。如此的话,放到共享文件服务器中的文件就自动继承了文件服务器文件夹的访问权限,从而实现统一管理文件访问权限的目的。如对于一些全公司都可以访问的行政通知类文件,我们可以为此设立一个通知类文件夹,这个文件夹只有行政人员具有读写权限,而其他职工都只有只读权限。如此的话,其他员工就不能够对这些通知进行更改或者删除。所以,对共享文件夹进行统一的管理,可以省去用户每次设置权限的麻烦,从而提高共享文件的安全性。
3、文件服务器防病毒管理
对于共享文件来说,我们除了要关心其数据是否为泄露或者非法访问外,另外一个问题就是共享文件是否会被病毒感染。病毒或者木马是危害企业网络安全的第一把杀手,而共享文件又是其很好的载体。若能够有效的解决共享文件的病毒木马感染问题,必定可以有效的抑制病毒或者木马在企业网络中为非作歹。而我们若能够在企业中统一部署文件服务器,则我们就可以利用下班的空闲时间,对文件服务器上的共享文件统一进行杀毒,以保证共享文件服务器上的文件都是干净的,没有被木马或者病毒所感染,从而避免其成为病毒或者木马的有效载体。
三、文件服务器方案部署时需要考虑以下几方面:
1. 域控制器
域控制器通过Active Directory 功能实现对用户帐号的管理,用户密码的验证等,同时也提供DNS服务。在大多数部署方案中,建议用户采用单独的 Windows 域控制器服务器(这个可以利用现有的服务器设备),因为如果 Exchange 运行在一个域控制器中,它将仅使用该域控制器。如果域控制器发生故障,Exchange 将无法故障转移到其他域控制器上。而且,如果运行 Exchange 的服务器除了服务于 Exchange 客户端计算机以外,不必执行域控制器任务,则这些用户负载沉重的服务器的性能会有所提高。要确保 Active Directory 信息的安全,建议用户采用备份域控制器。如果一个服务器发生故障,采用备份域控制器可保证Active Directory 信息的安全。此外,建立用户做完善的域控制器的备份计划。
2. DHCP Service
DHCP 避免了因手工设置IP地址及子网掩码所产生的错误,同时也避免了把一个IP地址分配给多台工作站所造成的地址冲突。降低了管理IP地址设置的负担使用DHCP 服务器大大缩短了配置或重新配置网络中工作站所花费的时间,同时通过对DHCP服务器的设置可灵活的设置地址的租期。同时,DHCP 地址租约的更新过程将有助于用户确定那个客户的设置需要经常更新(如:使用便携机的客户经常更换地点),且这些变更由客户机与DHCP服务器自动完成,无需网络管理员干涉。
3. WINS
WINS保持对计算机名称注册和解析支持的动态的名称到地址的数据库,名称到地址数据库的集中式管理缓解了对管理 Lmhosts 文件的需要,通过许可客户查询 WINS 服务器来直接定位远程系统,减少了子网上基于 NetBIOS 的广播通信。对网络上早期的 Microsoft®Windows® 和基于 NetBIOS 客户的支持,允许这些类型的客户浏览远程 Windows 域列表,当执行 WINS 查找集成时,通过让客户定位 NetBIOS 资源实现对基于 DNS 客户的支持。从而解少能过不能的访式访问文件服务器时解少解析的时候。
4. 存储磁盘
负责文件服务器的文件存储,一般采用存储在本机大容量硬盘之中或者独立的磁盘阵列中,并通过RAID技术实现故障冗余功能。在用户对文件读写操作时提通快速的访问根据企业的规模以及对文件服务器的要求,我们提出了如下解决方案:
在整个局域网中,建议域控制器和文件服务器独立开来,选用一台服务器提供文件服务服务,域控制器做用户帐号的管理以及DNS解析,如果客户的预算充足或者网内尚有空闲服务器,可以建议用户做备份域控制器和邮件服务器双机高可用系统(当然,如此以来则需采购专门的存储设备如HP Storageworks P2000G3 MSA SA存储系统,系统的总体投资就会快速攀升),这样可以实现域控制器服务器的双重备份,如果不是很充足,可以定期做域控制器的备份,这样,当域控制器出现故障时,可以在用户允许的时间内做用户帐号的恢复。(见下图)
方案优点:
1、 域控制器和应用服务器的应用分离,减轻了服务器的负担,可以承担更多的用户。
2、 安全可靠:文件采用稳定可靠的服务器系统,操作简单,域控制器采用备份控制器,保证业务不间断。
3、 方案配置表:
应用模块 | 服务器等产品推荐型号 | 数量 |
域控服务器 | HP Proliant DL388Gen9服务器 | 1 |
备份域控服务器 | 初次节约成本,暂不考虑 | 1 |
文件服务器 | Windows R2 | 1 |
操作系统 | windows 2008 server 64位中文标准版 | 1 |
四、本方案设计思路
1、选用WindowsR2 来做文件服务
以更少的投入实现更大的收益! Windows Server R2 简化了分支机构的服务器管理、改进了身份和访问管理、降低了存储管理的成本、提供了功能丰富的 管理平台,并提供成本效益服务器的虚拟实现。
2、磁盘的设计
要提高容错能力和提供更容易的排除故障能力,应对磁盘进行分区,以便使应用程序文件、系统文件文件和公司文档分别放在不同的卷上,从而提高性能并减少需要恢复的数据量。
建议分区方案
磁盘 | 驱动器配置 |
Raid1 Disk1 | 驱动器C(NTFS)-Windows操作系统文件和交换文件。 |
Raid1 Disk2 | 驱动器D(NTFS)-文件和其它服务器应用程序(例如,防病毒软件和资源工具包)。 |
Raid5 Disk3 | 驱动器E(NTFS)-Ntbackup系统与文档 |
Raid5 Disk4 | 驱动器F(NTFS)-系统AD,DC数据库文件 |
Raid5 Disk5 | 驱动器G(NTFS)-公司内部文件。 |
3、关于备份及故障恢复
1)关于域控制器的备份与恢复
Windows server 2008的NTBackup工具提供了对数据以及系统状态信息的备份及恢复功能,使用对系统状态信息的备份,可以备份Active Directory中的帐户信息,这样,当域控制器出现故障时,可以使用NTBackup进行帐号恢复。
2)硬盘损坏的应急处理
在架构系统时做系统镜像备份,在以上磁盘分区上的建议是采用RAID1+5的存储式,系统存放在RAID1上,只要其中一个硬盘坏掉,还是可以正常工作,到时需要购买同型号的硬盘再插进去时进行RAID信息同步即可。
五、方案具体设备选型
1. 域控制器的选型
对于域控制器, 主要承担域名定义,用户帐号管理以及DNS服务的功能,在一般的企业规模里,对服务器的性能要求不是很高,但是由于承担了整个域控制器的功能,对系统的稳定要要求比较高,建议域控制器采用HP Proliant DL388 Gen9系列,如考虑备份域控制器同样采用HP Proliant DL388Gen9系列