中小型企業(yè)文件服務(wù)器方案一、需求分析：作為中小企業(yè)用戶，文件服務(wù)器最常用的功能莫過于“共享文件”了。財(cái)務(wù)部門需要當(dāng)月員工的考勤信息，人事部門可能不會親自拿過去，而是在網(wǎng)絡(luò)上共享；生產(chǎn)部門的生產(chǎn)報(bào)表也不

中小型企業(yè)文件服務(wù)器方案

一、需求分析：

作為中小企業(yè)用戶，文件服務(wù)器最常用的功能莫過于“共享文件”了。財(cái)務(wù)部門需要當(dāng)月員工的考勤信息，人事部門可能不會親自拿過去，而是在網(wǎng)絡(luò)上共享；生產(chǎn)部門的生產(chǎn)報(bào)表也不會用書面的資料分發(fā)，而是放在網(wǎng)絡(luò)的共享文件夾下，誰需要的話，就自己去查看就可以了，等等。類似的需求還有很多。那么，在一些有條件的企業(yè)，部署一個(gè)文件共享服務(wù)器，來統(tǒng)一安全管理共享文件；文件服務(wù)器是企業(yè)網(wǎng)絡(luò)安全管理中的一個(gè)比較薄弱的環(huán)節(jié)，但是，又是一個(gè)十分重要的環(huán)節(jié)。做好部署文件服務(wù)器這件工作，必定可以提高企業(yè)網(wǎng)絡(luò)的利用價(jià)值，減少網(wǎng)絡(luò)安全事故。那么一般中小企業(yè)用戶對文件服務(wù)器的基本要求大致如下：

1、 共享文件統(tǒng)一管理

2、 維護(hù)成本低;

3、 文件安全不丟失

4、 指定特定的人員訪問文件(權(quán)限策略)

5、 過濾用戶上傳非法文件如電影，視頻等其它格式的文件

6、 能夠定其備份，防病毒。

二、實(shí)現(xiàn)目標(biāo)

本文件服務(wù)器方案部署的目標(biāo)主要是幫助用戶實(shí)現(xiàn)以下功能：

1、集中對共享文件進(jìn)行備份

若能夠把共享文件夾都放在文件服務(wù)器上，則我們就可以定時(shí)的對文件服務(wù)器上的文件進(jìn)行備份。如此的話，即使因?yàn)闄?quán)限設(shè)置不合理，導(dǎo)致文件被意外修改或者刪除；有時(shí)客戶端的員工自己也會在不經(jīng)意中刪除不該刪的文件，遇到這種情況的時(shí)候，則我們可以通過文件恢復(fù)作業(yè)，把原有的文件恢復(fù)過來，從而減少因?yàn)橐馔庑薷幕蛘邉h除而導(dǎo)致的損失。

2、文件訪問權(quán)限策略

在共享文件服務(wù)器上，我們可以根據(jù)各個(gè)員工的需求，在文件服務(wù)中預(yù)先設(shè)置一些文件夾，并設(shè)置好具體的權(quán)限。如此的話，放到共享文件服務(wù)器中的文件就自動繼承了文件服務(wù)器文件夾的訪問權(quán)限，從而實(shí)現(xiàn)統(tǒng)一管理文件訪問權(quán)限的目的。如對于一些全公司都可以訪問的行政通知類文件，我們可以為此設(shè)立一個(gè)通知類文件夾，這個(gè)文件夾只有行政人員具有讀寫權(quán)限，而其他職工都只有只讀權(quán)限。如此的話，其他員工就不能夠?qū)@些通知進(jìn)行更改或者刪除。所以，對共享文件夾進(jìn)行統(tǒng)一的管理，可以省去用戶每次設(shè)置權(quán)限的麻煩，從而提高共享文件的安全性。

3、文件服務(wù)器防病毒管理

對于共享文件來說，我們除了要關(guān)心其數(shù)據(jù)是否為泄露或者非法訪問外，另外一個(gè)問題就是共享文件是否會被病毒感染。病毒或者木馬是危害企業(yè)網(wǎng)絡(luò)安全的第一把殺手，而共享文件又是其很好的載體。若能夠有效的解決共享文件的病毒木馬感染問題，必定可以有效的抑制病毒或者木馬在企業(yè)網(wǎng)絡(luò)中為非作歹。而我們?nèi)裟軌蛟谄髽I(yè)中統(tǒng)一部署文件服務(wù)器，則我們就可以利用下班的空閑時(shí)間，對文件服務(wù)器上的共享文件統(tǒng)一進(jìn)行殺毒，以保證共享文件服務(wù)器上的文件都是干凈的，沒有被木馬或者病毒所感染，從而避免其成為病毒或者木馬的有效載體。

三、文件服務(wù)器方案部署時(shí)需要考慮以下幾方面：

1. 域控制器

域控制器通過Active Directory 功能實(shí)現(xiàn)對用戶帳號的管理，用戶密碼的驗(yàn)證等，同時(shí)也提供DNS 服務(wù)。在大多數(shù)部署方案中，建議用戶采用單獨(dú)的 Windows 域控制器服務(wù)器（這個(gè)可以利用現(xiàn)有的服務(wù)器設(shè)備），因?yàn)槿绻? Exchange 運(yùn)行在一個(gè)域控制器中，它將僅使用該域控制器。如果域控制器發(fā)生故障，Exchange 將無法故障轉(zhuǎn)移到其他域控制器上。而且，如果運(yùn)行 Exchange 的服務(wù)器除了服務(wù)于 Exchange 客戶端計(jì)算機(jī)以外，不必執(zhí)行域控制器任務(wù)，則這些用戶負(fù)載沉重的服務(wù)器的性能會有所提高。要確保 Active

Directory 信息的安全，建議用戶采用備份域控制器。如果一個(gè)服務(wù)器發(fā)生故障，采用備份域控制器可保證Active Directory 信息的安全。此外，建立用戶做完善的域控制器的備份計(jì)劃。

2. DHCP Service

DHCP 避免了因手工設(shè)置IP 地址及子網(wǎng)掩碼所產(chǎn)生的錯(cuò)誤，同時(shí)也避免了把一個(gè)IP 地址分配給多臺工作站所造成的地址沖突。降低了管理IP 地址設(shè)置的負(fù)擔(dān)使用DHCP 服務(wù)器大大縮短了配置或重新配置網(wǎng)絡(luò)中工作站所花費(fèi)的時(shí)間，同時(shí)通過對DHCP 服務(wù)器的設(shè)置可靈活的設(shè)置地址的租期。同時(shí)，DHCP 地址租約的更新過程將有助于用戶確定那個(gè)客戶的設(shè)置需要經(jīng)常更新（如：使用便攜機(jī)的客戶經(jīng)常更換地點(diǎn)），且這些變更由客戶機(jī)與DHCP 服務(wù)器自動完成，無需網(wǎng)絡(luò)管理員干涉。

3. WINS

WINS 保持對計(jì)算機(jī)名稱注冊和解析支持的動態(tài)的名稱到地址的數(shù)據(jù)庫, 名稱到地址數(shù)據(jù)庫的集中式管理緩解了對管理 Lmhosts 文件的需要, 通過許可客戶查詢 WINS 服務(wù)器來直接定位遠(yuǎn)程系統(tǒng)，減少了子網(wǎng)上基于 NetBIOS 的廣播通信。對網(wǎng)絡(luò)上早期

的 Microsoft?Windows? 和基于 NetBIOS 客戶的支持，允許這些類型的客戶瀏覽遠(yuǎn)程 Windows 域列表，當(dāng)執(zhí)行 WINS 查找集成時(shí)，通過讓客戶定位 NetBIOS 資源實(shí)現(xiàn)對基于 DNS 客戶的支持。從而解少能過不能的訪式訪問文件服務(wù)器時(shí)解少解析的時(shí)候。

4. 存儲磁盤

負(fù)責(zé)文件服務(wù)器的文件存儲，一般采用存儲在本機(jī)大容量硬盤之中或者獨(dú)立的磁盤陣列中，并通過RAID 技術(shù)實(shí)現(xiàn)故障冗余功能。在用戶對文件讀寫操作時(shí)提通快速的訪問根據(jù)企業(yè)的規(guī)模以及對文件服務(wù)器的要求，我們提出了如下解決方案：

在整個(gè)局域網(wǎng)中，建議域控制器和文件服務(wù)器獨(dú)立開來，選用一臺服務(wù)器提供文件服務(wù)服務(wù)，域控制器做用戶帳號的管理以及DNS 解析，如果客戶的預(yù)算充足或者網(wǎng)內(nèi)尚有空閑服務(wù)器，可以建議用戶做備份域控制器和郵件服務(wù)器雙機(jī)高可用系統(tǒng)（當(dāng)然，如此以來則需采購專門的存儲設(shè)備如HP Storageworks P2000G3 MSA SA存儲系統(tǒng)，系統(tǒng)的總體投資就會快速攀升），這樣可以實(shí)現(xiàn)域控制器服務(wù)器的雙重備份，如果不是很充足，可以定期做域控制器的備份，這樣，當(dāng)域控制器出現(xiàn)故障時(shí)，可以在用戶允許的時(shí)間內(nèi)做用戶帳號的恢復(fù)。（見下圖）

方案優(yōu)點(diǎn)：

1、 域控制器和應(yīng)用服務(wù)器的應(yīng)用分離，減輕了服務(wù)器的負(fù)擔(dān)，可以承擔(dān)更多的用戶。 2、 安全可靠：文件采用穩(wěn)定可靠的服務(wù)器系統(tǒng)，操作簡單，域控制器采用備份控制器，保證業(yè)務(wù)不間斷。

3、 方案配置表：

應(yīng)用模塊

域控服務(wù)器 服務(wù)器等產(chǎn)品推薦型號 HP Proliant DL388G8服務(wù)器 數(shù)量 1

1

1

1 備份域控服務(wù)器 初次節(jié)約成本，暫不考慮 文件服務(wù)器 操作系統(tǒng) Windows R2 windows 2008 server 64位中文標(biāo)準(zhǔn)版

四、本方案設(shè)計(jì)思路

1、選用WindowsR2 來做文件服務(wù)

以更少的投入實(shí)現(xiàn)更大的收益！ Windows Server R2 簡化了分支機(jī)構(gòu)的服務(wù)器管理、改進(jìn)了身份和訪問管理、降低了存儲管理的成本、提供了功能豐富的 管理平臺，并提供成本效益服務(wù)器的虛擬實(shí)現(xiàn)。

2、磁盤的設(shè)計(jì)

要提高容錯(cuò)能力和提供更容易的排除故障能力，應(yīng)對磁盤進(jìn)行分區(qū)，以便使應(yīng)用程序文件、系統(tǒng)文件文件和公司文檔分別放在不同的卷上，從而提高性能并減少需要恢復(fù)的數(shù)據(jù)量。

建議分區(qū)方案

磁盤

Raid1 Disk1

Raid1 Disk2

Raid5 Disk3

Raid5 Disk4

Raid5 Disk5 驅(qū)動器配置 驅(qū)動器C(NTFS)-Windows操作系統(tǒng)文件和交換文件。 驅(qū)動器D （NTFS)-文件和其它服務(wù)器應(yīng)用程序（例如，防病毒軟件和資源工具包）驅(qū)動器E(NTFS)－Ntbackup 系統(tǒng)與文檔 驅(qū)動器F(NTFS)－系統(tǒng)AD ，DC 數(shù)據(jù)庫文件 驅(qū)動器G(NTFS)－公司內(nèi)部文件。

3、關(guān)于備份及故障恢復(fù)

1）關(guān)于域控制器的備份與恢復(fù)

Windows server 2008的NTBackup 工具提供了對數(shù)據(jù)以及系統(tǒng)狀態(tài)信息的備份及恢復(fù)功能，使用對系統(tǒng)狀態(tài)信息的備份，可以備份Active Directory中的帳戶信息，這樣，當(dāng)域控制器出現(xiàn)故障時(shí)，可以使用NTBackup 進(jìn)行帳號恢復(fù)。

2）硬盤損壞的應(yīng)急處理

在架構(gòu)系統(tǒng)時(shí)做系統(tǒng)鏡像備份，在以上磁盤分區(qū)上的建議是采用RAID1 5的存儲式，系統(tǒng)存放在RAID1上，只要其中一個(gè)硬盤壞掉，還是可以正常工作，到時(shí)需要購買同型號的硬盤再插進(jìn)去時(shí)進(jìn)行RAID 信息同步即可。

五、方案具體設(shè)備選型

1． 域控制器的選型

對于域控制器， 主要承擔(dān)域名定義，用戶帳號管理以及DNS 服務(wù)的功能，在一般的企業(yè)規(guī)模里，對服務(wù)器的性能要求不是很高，但是由于承擔(dān)了整個(gè)域控制器的功能，對系統(tǒng)的穩(wěn)定要要求比較高，建議域控制器采用HP Proliant DL388G8系列，如考慮備份域控制器同樣采用HP Proliant DL388G7系列（當(dāng)前服務(wù)器價(jià)格均偏低，服務(wù)器配置主要費(fèi)用在配件上）

方案拓?fù)鋱D：