中小型企業(yè)文件服務(wù)器方案  

一、需求分析：    

作為中小企業(yè)用戶(hù)，文件服務(wù)器最常用的功能莫過(guò)于“共享文件”了。財務(wù)部門(mén)需要當月員工的考勤信息，人事部門(mén)可能不會(huì )親自拿過(guò)去，而是在網(wǎng)絡(luò )上共享；生產(chǎn)部門(mén)的生產(chǎn)報表也不會(huì )用書(shū)面的資料分發(fā)，而是放在網(wǎng)絡(luò )的共享文件夾下，誰(shuí)需要的話(huà)，就自己去查看就可以了，等等。類(lèi)似的需求還有很多。那么，在一些有條件的企業(yè)，部署一個(gè)文件共享服務(wù)器，來(lái)統一安全管理共享文件；文件服務(wù)器是企業(yè)網(wǎng)絡(luò )安全管理中的一個(gè)比較薄弱的環(huán)節，但是，又是一個(gè)十分重要的環(huán)節。做好部署文件服務(wù)器這件工作，必定可以提高企業(yè)網(wǎng)絡(luò )的利用價(jià)值，減少網(wǎng)絡(luò )安全事故。那么一般中小企業(yè)用戶(hù)對文件服務(wù)器的基本要求大致如下：    

1、 共享文件統一管理 

2、 維護成本低; 

3、 文件安全不丟失  ;

4、 指定特定的人員訪(fǎng)問(wèn)文件(權限策略)  ;

5、 過(guò)濾用戶(hù)上傳非法文件如電影，視頻等其它格式的文件 ;

6、 能夠定其備份，防病毒。

 二、實(shí)現目標    

本文件服務(wù)器方案部署的目標主要是幫助用戶(hù)實(shí)現以下功能：    

1、集中對共享文件進(jìn)行備份   

若能夠把共享文件夾都放在文件服務(wù)器上，則我們就可以定時(shí)的對文件服務(wù)器上的文件進(jìn)行備份。如此的話(huà)，即使因為權限設置不合理，導致文件被意外修改或者刪除；有時(shí)客戶(hù)端的員工自己也會(huì )在不經(jīng)意中刪除不該刪的文件，遇到這種情況的時(shí)候，則我們可以通過(guò)文件恢復作業(yè)，把原有的文件恢復過(guò)來(lái)，從而減少因為意外修改或者刪除而導致的損失。

 2、文件訪(fǎng)問(wèn)權限策略    在共享文件服務(wù)器上，我們可以根據各個(gè)員工的需求，在文件服務(wù)中預先設置一些文件夾，并設置好具體的權限。如此的話(huà)，放到共享文件服務(wù)器中的文件就自動(dòng)繼承了文件服務(wù)器文件夾的訪(fǎng)問(wèn)權限，從而實(shí)現統一管理文件訪(fǎng)問(wèn)權限的目的。如對于一些全公司都可以訪(fǎng)問(wèn)的行政通知類(lèi)文件，我們可以為此設立一個(gè)通知類(lèi)文件夾，這個(gè)文件夾只有行政人員具有讀寫(xiě)權限，而其他職工都只有只讀權限。如此的話(huà)，其他員工就不能夠對這些通知進(jìn)行更改或者刪除。所以，對共享文件夾進(jìn)行統一的管理，可以省去用戶(hù)每次設置權限的麻煩，從而提高共享文件的安全性。

 3、文件服務(wù)器防病毒管理    對于共享文件來(lái)說(shuō)，我們除了要關(guān)心其數據是否為泄露或者非法訪(fǎng)問(wèn)外，另外一個(gè)問(wèn)題就是共享文件是否會(huì )被病毒感染。病毒或者木馬是危害企業(yè)網(wǎng)絡(luò )安全的第一把殺手，而共享文件又是其很好的載體。若能夠有效的解決共享文件的病毒木馬感染問(wèn)題，必定可以有效的抑制病毒或者木馬在企業(yè)網(wǎng)絡(luò )中為非作歹。而我們若能夠在企業(yè)中統一部署文件服務(wù)器，則我們就可以利用下班的空閑時(shí)間，對文件服務(wù)器上的共享文件統一進(jìn)行殺毒，以保證共享文件服務(wù)器上的文件都是干凈的，沒(méi)有被木馬或者病毒所感染，從而避免其成為病毒或者木馬的有效載體。 

三、文件服務(wù)器方案部署時(shí)需要考慮以下幾方面：    

1.  域控制器    域控制器通過(guò)Active Directory 功能實(shí)現對用戶(hù)帳號的管理，用戶(hù)密碼的驗證等，同時(shí)也提供DNS服務(wù)。在大多數部署方案中，建議用戶(hù)采用單獨的  Windows 域控制器服務(wù)器（這個(gè)可以利用現有的服務(wù)器設備），因為如果  Exchange 運行在一個(gè)域控制器中，它將僅使用該域控制器。如果域控制器發(fā)生故障，Exchange 將無(wú)法故障轉移到其他域控制器上。而且，如果運行  Exchange 的服務(wù)器除了服務(wù)于  Exchange 客戶(hù)端計算機以外，不必執行域控制器任務(wù)，則這些用戶(hù)負載沉重的服務(wù)器的性能會(huì )有所提高。要確保  Active Directory 信息的安全，建議用戶(hù)采用備份域控制器。如果一個(gè)服務(wù)器發(fā)生故障，采用備份域控制器可保證Active Directory 信息的安全。此外，建立用戶(hù)做完善的域控制器的備份計劃。  

2.  DHCP Service    DHCP 避免了因手工設置IP地址及子網(wǎng)掩碼所產(chǎn)生的錯誤，同時(shí)也避免了把一個(gè)IP地址分配給多臺工作站所造成的地址沖突。降低了管理IP地址設置的負擔使用DHCP 服務(wù)器大大縮短了配置或重新配置網(wǎng)絡(luò )中工作站所花費的時(shí)間，同時(shí)通過(guò)對DHCP服務(wù)器的設置可靈活的設置地址的租期。同時(shí)，DHCP 地址租約的更新過(guò)程將有助于用戶(hù)確定那個(gè)客戶(hù)的設置需要經(jīng)常更新（如：使用便攜機的客戶(hù)經(jīng)常更換地點(diǎn)），且這些變更由客戶(hù)機與DHCP服務(wù)器自動(dòng)完成，無(wú)需網(wǎng)絡(luò )管理員干涉。 

3.  WINS    WINS保持對計算機名稱(chēng)注冊和解析支持的動(dòng)態(tài)的名稱(chēng)到地址的數據庫,名稱(chēng)到地址數據庫的集中式管理緩解了對管理  Lmhosts 文件的需要,通過(guò)許可客戶(hù)查詢(xún)  WINS 服務(wù)器來(lái)直接定位遠程系統，減少了子網(wǎng)上基于  NetBIOS 的廣播通信。對網(wǎng)絡(luò )上早期 的  Microsoft?Windows?  和基于  NetBIOS 客戶(hù)的支持，允許這些類(lèi)型的客戶(hù)瀏覽遠程  Windows 域列表，當執行  WINS 查找集成時(shí)，通過(guò)讓客戶(hù)定位  NetBIOS 資源實(shí)現對基于  DNS 客戶(hù)的支持。從而解少能過(guò)不能的訪(fǎng)式訪(fǎng)問(wèn)文件服務(wù)器時(shí)解少解析的時(shí)候。 

4.  存儲磁盤(pán)    負責文件服務(wù)器的文件存儲，一般采用存儲在本機大容量硬盤(pán)之中或者獨立的磁盤(pán)陣列中，并通過(guò)RAID技術(shù)實(shí)現故障冗余功能。在用戶(hù)對文件讀寫(xiě)操作時(shí)提通快速的訪(fǎng)問(wèn)根據企業(yè)的規模以及對文件服務(wù)器的要求，我們提出了如下解決方案：    在整個(gè)局域網(wǎng)中，建議域控制器和文件服務(wù)器獨立開(kāi)來(lái)，選用一臺服務(wù)器提供文件服務(wù)服務(wù)，域控制器做用戶(hù)帳號的管理以及DNS解析，如果客戶(hù)的預算充足或者網(wǎng)內尚有空閑服務(wù)器，可以建議用戶(hù)做備份域控制器和郵件服務(wù)器雙機高可用系統（當然，如此以來(lái)則需采購專(zhuān)門(mén)的存儲設備如HP Storageworks P2000G3 MSA SA存儲系統，系統的總體投資就會(huì )快速攀升），這樣可以實(shí)現域控制器服務(wù)器的雙重備份，如果不是很充足，可以定期做域控制器的備份，這樣，當域控制器出現故障時(shí)，可以在用戶(hù)允許的時(shí)間內做用戶(hù)帳號的恢復。（見(jiàn)下圖）  

 方案優(yōu)點(diǎn)：    

1、 域控制器和應用服務(wù)器的應用分離，減輕了服務(wù)器的負擔，可以承擔更多的用戶(hù)。 

2、 安全可靠：文件采用穩定可靠的服務(wù)器系統，操作簡(jiǎn)單，域控制器采用備份控制器，保證業(yè)務(wù)不間斷。 

3、 方案配置表：  

四、本方案設計思路 

1、選用WindowsR2 來(lái)做文件服務(wù)    

以更少的投入實(shí)現更大的收益！ Windows Server  R2 簡(jiǎn)化了分支機構的服務(wù)器管理、改進(jìn)了身份和訪(fǎng)問(wèn)管理、降低了存儲管理的成本、提供了功能豐富的 管理平臺，并提供成本效益服務(wù)器的虛擬實(shí)現。    

2、磁盤(pán)的設計         

要提高容錯能力和提供更容易的排除故障能力，應對磁盤(pán)進(jìn)行分區，以便使應用程序文件、系統文件文件和公司文檔分別放在不同的卷上，從而提高性能并減少需要恢復的數據量。    

建議分區方案   

 3、關(guān)于備份及故障恢復   

a.關(guān)于域控制器的備份與恢復    Windows server 2008的NTBackup工具提供了對數據以及系統狀態(tài)信息的備份及恢復功能，使用對系統狀態(tài)信息的備份，可以備份Active Directory中的帳戶(hù)信息，這樣，當域控制器出現故障時(shí)，可以使用NTBackup進(jìn)行帳號恢復。  

b.硬盤(pán)損壞的應急處理    在架構系統時(shí)做系統鏡像備份，在以上磁盤(pán)分區上的建議是采用RAID1+5的存儲式，系統存放在RAID1上，只要其中一個(gè)硬盤(pán)壞掉，還是可以正常工作，到時(shí)需要購買(mǎi)同型號的硬盤(pán)再插進(jìn)去時(shí)進(jìn)行RAID信息同步即可。    

來(lái)源：深圳市彬玉科技有限公司