使用 Windows Server 和 OpenVPN 改造舊且不穩定的辦公室 IT 解決方案
我被賦予了為客戶辦公室完全重做 IT 基礎設施的繁瑣任務。他們目前全面執行 Windows XP,一台電腦充當文件伺服器,無法控制哪些使用者可以訪問哪些文件,等等。最重要的是,此文件伺服器還可以用作工作站,這意味著每次使用者注意到一些緩慢的行為或遇到 Flash 遊戲問題時,它都會重新啟動。至少可以說,這對他們不起作用。
現在 - 我的預算非常有限,但我需要設置一個新伺服器,並且我希望在其上執行 Windows Server 2008。我還需要能夠通過 VPN 遠端訪問網路。將 VMware ESXi 4.1 安裝到新伺服器上,然後在其上執行 Windows Server 2008 以及為 openvpn 單獨安裝 Debian 是否是個好主意?我不喜歡未來 AD 的域控制器也執行 VPN 伺服器,因為當它們中的任何一個出現問題時穩定性問題。不過不會有冗餘。但是,當涉及到通過 VPN 訪問網路上的文件共享時,我不確定通過在 Windows Server 本身上安裝 VPN 解決方案是否有什麼好處。
我不知道如何讓通過 VPN 登錄的使用者訪問遠端文件,因為他們將從自己的家用電腦訪問網路(這確實是一個非常糟糕的主意,但這就是我必須要做的一起工作)。他們不會登錄到 windows 域,而是登錄到他們的家庭工作組。我需要能夠根據登錄的 AD 使用者授予對某些目錄中文件的訪問權限,但不一定將每台電腦配置為登錄到域。我不確定如何以一種好的方式解釋這一點,但如果有不清楚的地方,我很樂意澄清。
任何幫助都會很好,因為我有一種感覺,如果不引入一堆成本高昂的新規則來解決他們的 IT 解決方案,我就無法做到這一點。我寧願保持原樣,繼續愉快地完成下一個任務。
我很難在您的文章中找到要回答的問題。我會做一些一般性的陳述,並希望最好。
- 擁有一台具有集中文件儲存和單點登錄(以促進訪問控制)的伺服器電腦是一件好事。確保您計劃硬體容錯和數據備份,否則您最終可能會降低他們的風險承受能力(他們所有的“雞蛋”都在一個“籃子”中)。
- Windows 中的內置 VPN 伺服器執行良好。但是,作為域控制器,在那里托管 VPN 最終會創建一個多宿主 DC,微軟不鼓勵這樣做。不過,它當然可以做到。不過,就個人而言,我會避免為個人使用者遠端訪問執行 VPN,而是選擇執行終端服務網關。這使可能帶有惡意軟體的使用者家用 PC 與 LAN 保持“一臂之遙”,大大簡化了您描述的遠端文件訪問的身份驗證問題,使您不必擔心應用程序在 VPN 連接上的性能不佳,並且很可能給使用者他們想要的一切。
- 無論您是使用虛擬機管理程序還是在裸機上執行作業系統都是您的選擇。與在 Windows Server 2008 中使用普通 SATA 晶片組和軟體 RAID-1(執行良好)相比,您將花費更多的錢來獲得在 VMware ESXi 下執行的 RAID 解決方案。
您可以從組策略、WSUS 和其他作業系統功能從點對點遷移到基於伺服器的環境中獲得很多好處。在關於 Server Fault 的其他問題中已經有很多關於這些優勢的討論,所以我不會在這裡重新討論它們。