Windows Server 2008在分支式企业的网络部署案例

去年10月，接到一个企业的咨询电话，说希望能快点用上一个安全的网络。这样的要求经常会遇到，一些初级客户不清楚自己的“安全”要求，只希望部署一个完美无缺的“安全”网络。还是去现场看看吧。

到了公司，果然不出所料，这是一个在珠三角典型的企业，总部在香港，工厂在深圳和汕头。深圳工厂是人员最多的一个工厂，也是整个企业的核心；香港那里名为总部，就是一个办公室，负责联系世界各地的业务；汕头则是配套工厂。企业没有网络管理人员，接待我们的是总经理秘书，她只能告诉我们企业面临的状况：公司在各地分部着150台左右PC，其中深圳约80台，汕头60台，香港10台。没有统一的管理，大家需要交换文件时，要么是本地通过简单的共享，异地就通过邮件或者MSN以及QQ来传递文件。不仅效率差，还发生过企业机密报价文件泄露的严重事故。加上大家都是在使用QQ传递文件等，病毒泛滥、木马横行的情形就可以想象了。

根据客户情况，我们为客户重新规划了网络架构。深圳公司作为公司的主要网络节点和数据中心，汕头、香港为辅助。深圳公司增加活动目录服务器和文件服务器。因为客户有较多的文件需要管理并且对文件安全比较关注，我们选择了windowsserver2008R2操作系统作为服务器的操作系统。

WindowsServer2008R2以屡获殊荣的WindowsServer2008为基础，对现有技术进行了扩展并且增加了新的功能，使IT专业人员能够增强其组织的服务器基础结构的可靠性和灵活性。
我们在深圳工厂设置了活动目录服务器和文件服务器。客户为改善网络租用了ADSL专线。在设计中，我们遇到了一个小问题，客户不愿意增加专门的网络管理人员，只希望培养一个内部人员兼职管理。这个人要管理三地的服务器。面对并不了解活动目录，也分不清网络架构的“网管”，担心分支机构的人员误操作破环AD，我们还真有点为难。好在我们了解windowsserver2008中的活动目录有一个“只读域控制器（RODC）”功能，这个功能是具有ActiveDirectory文件库只读版本的域控制器，可部署于域控制器安全性无法确保的环境中。包括域控制器的物理安全性有疑虑的分支机构，或者具有额外角色功能并需要其他用户登入与管理服务器的域控制器。使用RODC可为我们客户提供下列好处：
•由于RODC使用文件复本，因此可避免分支机构对文件进行的更改可能会破坏或损毁AD树系的情形。
•部署RODC能够让分支机构的用户受益，也就是可让他们在当地进行验证，而无需依赖不可靠的网络连结进行验证。
于是，我们在汕头设置了RODC，解决了我们的担忧，也提升了客户的效率。
为了方便管理，减少差旅，我们还充分发挥了2008中改进的远程桌面，在深圳的管理员，基本不需要跑到各地出差，就可以安全方便的管理各地的服务器，不过，管理员对于这个功能也有小小不满，那就是，他很想找机会去溜达溜达！

客户非常关注的文件服务器，我们也充分利用了windows强大的用户身份管理功能实现了权限管理，对于本地的文件服务器和相应的一些工作站，我们还为客户设置了“加密文件系统(EFS)”，加密文件系统(EFS)是一个功能强大的工具，用于对客户端计算机和远程文件服务器上的文件和文件夹进行加密。它使用户能够防止其数据被其他用户或外部攻击者未经授权的访问。EFS对于用户级别的文件和文件夹加密非常有用。更棒的是，可以将EFS加密密钥和证书存储在智能卡上，从而为加密密钥提供更强的保护。这样有助于保护便携式计算机或共享工作站。我们给高级用户如部门主管、总经理等配置了便携U盘，保存他们的证书。客户说这个感觉真酷，像是联邦特工一样，哈哈。这个功能不需要客户再多掏钱，老总拿着一家公司的报价对我们说：“这家公司的保密系统要卖30万，你们一下子都替我省了！”我们也很开心！病毒泛滥、木马横行，是很多传统企业的问题。客户提出，我们的供应商有时候也要来公司，难免有使用我们的网络的情况，万一这些人的的机器有病毒，我们的服务器会不会遭殃？其实这个问题不只一家客户有担心，用户端装置暴露于恶意软件（例如病毒和蠕虫）威胁之下的情形与日俱增，这些恶意程序可以侵入未保护或不正确设定的主机系统，然后使用该系统作为据点散播至其他企业网络中的装置。

不过使用windowsserver2008，轻松搞定！只需使用Microsoft的网络访问保护（NAP），即可拥有一个能减轻上述威胁的全新平台，协助确保私人网络中的用户端电脑，可符合系统管理员所定义的系统健康需求。
当用户端电脑尝试连接网络或在网络中进行通讯时，NAP会透过监督和评估电脑的健康状况以执行健康需求，若用户端电脑不符合健康策略，则只能给予有限制的网络访问，直到其设定更新为符合健康策略。依据NAP的部署情况，可能会隔离或自动更新不符合策略的用户端，因此使用者无需手动更新或重新设定，其电脑便可快速重新取得完整的网络访问权。

利用NAP，我们让客户拥有以下能力：
•协助持续确保LAN中PC电脑的健康状况：包括设定成支持DHCP的电脑、透过802.1X验证装置连接的电脑，或者套用NAPIPsec策略至通讯的电脑。
•执行漫游笔记型电脑的健康需求：在这些电脑重新连至公司网络时执行健康需求。
•验证不受管理的家用电脑之健康和策略遵循状态：此系针对透过执RoutingandRemoteAccess（RRAS）服务的VPN服务器连至公司网络的家用电脑。
•了解外来笔记型电脑的健康和限制访问状态：包括合作伙伴和其他访客带到企业的笔记型电脑。
整个系统已经稳定运行了半年多，客户非常满意。

【编辑推荐】

1. Windows Server 2008 R2 与UNIX环境整合之SUA
2. 优秀的接班人——Windows Server 2008
3. Windows Server 2008 R2虚拟化有效帮助企业降低运营成本
4. Windows Server 2008组策略安全实践手册
5. IIS7在Windows Server 2008 R2中的技术革新