Windows Server 2008在分支式企業的網絡部署案例
去年10月,接到一個企業的咨詢電話,說希望能快點用上一個安全的網絡。這樣的要求經常會遇到,一些初級客戶不清楚自己的“安全”要求,只希望部署一個完美無缺的“安全”網絡。還是去現場看看吧。
到了公司,果然不出所料,這是一個在珠三角典型的企業,總部在香港,工廠在深圳和汕頭。深圳工廠是人員最多的一個工廠,也是整個企業的核心;香港那里名為總部,就是一個辦公室,負責聯系世界各地的業務;汕頭則是配套工廠。企業沒有網絡管理人員,接待我們的是總經理秘書,她只能告訴我們企業面臨的狀況:公司在各地分部著150臺左右PC,其中深圳約80臺,汕頭60臺,香港10臺。沒有統一的管理,大家需要交換文件時,要么是本地通過簡單的共享,異地就通過郵件或者MSN以及QQ來傳遞文件。不僅效率差,還發生過企業機密報價文件泄露的嚴重事故。加上大家都是在使用QQ傳遞文件等,病毒泛濫、木馬橫行的情形就可以想象了。
根據客戶情況,我們為客戶重新規劃了網絡架構。深圳公司作為公司的主要網絡節點和數據中心,汕頭、香港為輔助。深圳公司增加活動目錄服務器和文件服務器。因為客戶有較多的文件需要管理并且對文件安全比較關注,我們選擇了windowsserver2008R2操作系統作為服務器的操作系統。
WindowsServer2008R2以屢獲殊榮的WindowsServer2008為基礎,對現有技術進行了擴展并且增加了新的功能,使IT專業人員能夠增強其組織的服務器基礎結構的可靠性和靈活性。
我們在深圳工廠設置了活動目錄服務器和文件服務器。客戶為改善網絡租用了ADSL專線。在設計中,我們遇到了一個小問題,客戶不愿意增加專門的網絡管理人員,只希望培養一個內部人員兼職管理。這個人要管理三地的服務器。面對并不了解活動目錄,也分不清網絡架構的“網管”,擔心分支機構的人員誤操作破環AD,我們還真有點為難。好在我們了解windowsserver2008中的活動目錄有一個“只讀域控制器(RODC)”功能,這個功能是具有ActiveDirectory文件庫只讀版本的域控制器,可部署于域控制器安全性無法確保的環境中。包括域控制器的物理安全性有疑慮的分支機構,或者具有額外角色功能并需要其他用戶登入與管理服務器的域控制器。使用RODC可為我們客戶提供下列好處:
•由于RODC使用文件復本,因此可避免分支機構對文件進行的更改可能會破壞或損毀AD樹系的情形。
•部署RODC能夠讓分支機構的用戶受益,也就是可讓他們在當地進行驗證,而無需依賴不可靠的網絡連結進行驗證。
于是,我們在汕頭設置了RODC,解決了我們的擔憂,也提升了客戶的效率。
為了方便管理,減少差旅,我們還充分發揮了2008中改進的遠程桌面,在深圳的管理員,基本不需要跑到各地出差,就可以安全方便的管理各地的服務器,不過,管理員對于這個功能也有小小不滿,那就是,他很想找機會去溜達溜達!
客戶非常關注的文件服務器,我們也充分利用了windows強大的用戶身份管理功能實現了權限管理,對于本地的文件服務器和相應的一些工作站,我們還為客戶設置了“加密文件系統(EFS)”,加密文件系統(EFS)是一個功能強大的工具,用于對客戶端計算機和遠程文件服務器上的文件和文件夾進行加密。它使用戶能夠防止其數據被其他用戶或外部攻擊者未經授權的訪問。EFS對于用戶級別的文件和文件夾加密非常有用。更棒的是,可以將EFS加密密鑰和證書存儲在智能卡上,從而為加密密鑰提供更強的保護。這樣有助于保護便攜式計算機或共享工作站。我們給高級用戶如部門主管、總經理等配置了便攜U盤,保存他們的證書。客戶說這個感覺真酷,像是聯邦特工一樣,哈哈。這個功能不需要客戶再多掏錢,老總拿著一家公司的報價對我們說:“這家公司的保密系統要賣30萬,你們一下子都替我省了!”我們也很開心!病毒泛濫、木馬橫行,是很多傳統企業的問題。客戶提出,我們的供應商有時候也要來公司,難免有使用我們的網絡的情況,萬一這些人的的機器有病毒,我們的服務器會不會遭殃?其實這個問題不只一家客戶有擔心,用戶端裝置暴露于惡意軟件(例如病毒和蠕蟲)威脅之下的情形與日俱增,這些惡意程序可以侵入未保護或不正確設定的主機系統,然后使用該系統作為據點散播至其他企業網絡中的裝置。
不過使用windowsserver2008,輕松搞定!只需使用Microsoft的網絡訪問保護(NAP),即可擁有一個能減輕上述威脅的全新平臺,協助確保私人網絡中的用戶端電腦,可符合系統管理員所定義的系統健康需求。
當用戶端電腦嘗試連接網絡或在網絡中進行通訊時,NAP會透過監督和評估電腦的健康狀況以執行健康需求,若用戶端電腦不符合健康策略,則只能給予有限制的網絡訪問,直到其設定更新為符合健康策略。依據NAP的部署情況,可能會隔離或自動更新不符合策略的用戶端,因此使用者無需手動更新或重新設定,其電腦便可快速重新取得完整的網絡訪問權。
利用NAP,我們讓客戶擁有以下能力:
•協助持續確保LAN中PC電腦的健康狀況:包括設定成支持DHCP的電腦、透過802.1X驗證裝置連接的電腦,或者套用NAPIPsec策略至通訊的電腦。
•執行漫游筆記型電腦的健康需求:在這些電腦重新連至公司網絡時執行健康需求。
•驗證不受管理的家用電腦之健康和策略遵循狀態:此系針對透過執RoutingandRemoteAccess(RRAS)服務的VPN服務器連至公司網絡的家用電腦。
•了解外來筆記型電腦的健康和限制訪問狀態:包括合作伙伴和其他訪客帶到企業的筆記型電腦。
整個系統已經穩定運行了半年多,客戶非常滿意。
【編輯推薦】
