我负责一个有 15 名员工的办公室,他们需要从家里和办公室访问他们的工作区,并寻求有关如何使事情更易于管理的建议。目前,办公室属于一个工作组,现场工作的常客将他们的文件存储在他们的工作站上。在家工作的人通过包含所有文件的远程桌面连接到 Windows Server 2003 机箱。越来越多的员工在家和办公室工作,因此他们的文件不同步。每当我需要更新程序时,我必须在每个工作站上单独进行,然后在服务器上进行。
我怎样才能使此设置更简单?我曾考虑将它们放在具有漫游配置文件的域中,但听起来要使某些应用程序正常工作需要太多麻烦。我的另一个想法是通过远程桌面运行整个办公室,并有效地使工作站成为哑终端。如果我使用域或远程桌面路线,我不希望由于一台服务器发生故障而导致整个办公室瘫痪。有什么好方法可以让辅助服务器随时待命并拥有所有程序/数据的最新副本?
我并不是寻求分步说明,而只是寻求有此领域经验的人提供一些最佳实践建议。谢谢!
答案1
以下是 Evan 的“普通”回答:
- 将服务器计算机提升为域控制器。
- 将所有 PC 加入域。
- 将所有用户的本地配置文件转换为漫游用户配置文件并实施文件夹重定向
- 设置某种 VPN(使用 W2K3 服务器作为 VPN 服务器或使用专用硬件设备 - 您自行决定)
- 配置客户端计算机以允许传入远程桌面会话并将其用作“哑终端”
- 在服务器计算机上备份用户数据——每天、每周等。测试您的备份。确保它们确实是备份(请参阅http://www.taobackup.com/)。
- 服务器硬件至少应具有足够的容错能力来处理硬盘驱动器故障(即 RAID)。处理电源故障也很好,但成本较高。服务器计算机上必须配备 UPS。
我对此进行了很多介绍。说到底,这可能只需要几天的时间。有很多问题我在这里没有问,但这是一个很好的计划框架。如果要花 30 多个小时才能完成 15 个客户端,我会感到震惊。所有操作也可以一次在一台 PC 上完成,以防止您的用户同时遇到宕机。如果您注意细节,可以为用户合理无缝地完成(通过迁移他们的用户配置文件),以至于他们几乎不会注意到发生了什么。
您应该集中存储数据并集中运行备份。没有这些,您就无法获得任何信息安全(机密性、完整性或可用性)。将文件存储在 PC 上会使它们成为定时炸弹。
漫游用户配置文件、组策略和集中文件存储允许您的 PC 成为“齿轮”,当 PC 硬件出现故障时,可以根据需要进行换入或换出。
服务器计算机的硬件应该能够承受轻微的故障(ECC 内存、RAID、冗余电源(如果您能负担得起)),并且应该有一份服务合同来保证每小时停机费用具有适当的响应级别。
让远程用户通过 RDP 直接在台式机上工作意味着您不必担心“文件同步”问题,并且您可以将 VPN 设置为仅允许 RDP 协议进入 LAN。(Windows Small Business Server 可以在没有 VPN 服务器或 VPN 客户端软件的情况下实现这样的 RDP 方案。)
您确实不需要“备用服务器”带来的额外费用和复杂性。您只需要良好的、经过测试的备份和一台可靠的服务器即可。(当您有 100 个用户时,我们再来讨论“备用服务器”——即使那样,除非您的每小时停机成本非常非常高,否则它可能也没有意义。)
Server Fault 上有很多有用的信息可以帮助你完成这种设置,但你真的应该找一个当地的专业人士(有很好的推荐信)来现场帮助你开始。听起来你似乎想自己做很多工作,所以找一个更有兴趣帮助你走上正确的道路而不是不停地向你收费的人。(有顾问/承包商以这种方式工作,但他们更难找到。)
您可能会忍不住想要节省备份费用。千万不要。阅读“备份之道”网站。诚然,这是一篇推销文章,而且有些过时,但都是正确的。UPS 也是如此——也不要节省。
你还会得到其他好东西——组策略以及 Windows Server Update Services(允许您控制 PC 上的更新分发),仅举几例。根据您目前使用的 DNS 和 DHCP,您最终可能会得到更好的管理解决方案。您将能够真正实现每个用户/每个组的文件权限。太棒了,安全!
就我个人而言,如果 PC 上存储的文件和用户遇到“文件同步”问题,我晚上就睡不着觉。我希望尽快解决这一问题。
答案2
小型企业服务器(SBS)似乎对您来说是一个很好的解决方案 - 它需要重新安装您的服务器,但这不是什么大问题,因为如果您移动到域(您应该这样做),您将会遇到大量的迁移问题。
SBS 提供了一些非常有用的功能,但实用性多少取决于您的办公室设置。您是否为工作中的用户提供了工作站,或者他们是否使用笔记本电脑并将其带回家。如果您在工作中拥有用户通常使用的计算机,则拥有 SBS 域可以提供一项称为“远程 Web 工作区”RWW 的功能。此功能允许人们通过网站轻松连接到他们的桌面(无需 VPN,但仍然安全)。
现在,您是否需要 SBS 或可以使用现有服务器?您可以使用现有服务器,但 SBS 的设计目的是由技术含量较低的系统管理员(默认情况下,办公室里每个人都会要求他们修复计算机问题的人)管理。因此,它通常更容易设置和管理,并且非常依赖向导。
我建议聘请一位了解并理解 SBS 的人来正确安装它。(有很多人不了解它,他们把它搞乱了,并提供了关于该产品的大量虚假信息,因为他们只听说过一些零星的信息)。安装后,您可以管理它的日常操作,例如添加用户、重置密码、设置共享等。
欢迎随时询问有关 SBS 的更多信息或提供更多详细信息,也许另一种解决方案更合适(我很少看到您这种规模的组织使用 SBS 不是一个合适的解决方案)。
答案3
首先,我建议将所有公司数据从所有单个工作站中移除。即使您不在 Active Domain 网络中,也要让所有用户从共享网络驱动器访问数据。这不仅可以让数据在工作站故障时幸存下来,还可以为您提供一个集中备份点来备份所有公司数据(用于历史存档和异地存储)。
但是,为了回答您的问题,我建议采用以下任一解决方案。第一种是向每个人提供位于现场的自己的工作站。该工作站将包含他们的所有应用程序,并具有从上面映射到映射驱动器的功能。然后通过安全的 VPN 隧道,允许用户使用远程桌面远程访问他们各自的工作站。这种方法的缺点是您仍然需要在各个工作站上更新软件,尽管至少它们都在办公室本地。
第二种解决方案,您简要提到过,是在专用服务器上安装终端服务,让每个人都从该服务器上运行他们的应用程序。如果该服务器发生故障,不仅所有生产力都会停止,而且服务器本身必须非常强大才能处理 15 个高级用户的平均工作量。虽然这确实提供了一种简单的解决方案,无需管理单个工作站的“维护”。
在我的环境中,并非所有员工都运行完全相同的软件。当然,我们都需要基本软件(MS Office...),但由于我们大多数人使用不同类型的软件,因此让终端服务器运行只有一两个人会使用的几个应用程序是没有意义的。我们决定使用我上面提出的第一个想法,即 Active Directory 域中的所有工作站。在 Windows 域中,我可以配置组策略和登录脚本,以确保驱动器已映射等。此外,我们还使用自动化软件进行修补、更新等。
希望这会有所帮助!;) 其中可能有一些漏洞,只是快速的头脑风暴而已。
答案4
1——设置域。
这将为您提供集中管理。这将允许您部署软件、设置策略、锁定机器、集中用户帐户等。您现在可能不需要任何花哨的东西,但它会让您入门。但请远离 SBS。
2——获取远程用户的笔记本电脑。
允许人们从个人计算机远程连接公司资产是一种不好的做法,您不知道那里有什么,无法控制防病毒软件或谁有权访问机器,进而无法访问公司资源和特权信息。
3 - 如果您尚未设置,请强制他们通过 vpn 连接。
这实际上可能这您能做的最重要的事情是,您不想允许未加密的访问您的公司网络。最简单的方法可能是使用 Cisco/Sonicwall/其他硬件设备或运行 RRAS/IAS 的 Windows 服务器(不是您的主 DC/文件服务器)或运行 openVPN 之类的 Linux 机器。
4 - 让用户将所有文档保存到中央文件服务器
这其中的一部分将是一个过程,而不是技术修复,你需要管理层的支持才能真正做到这一点。一些好处是集中备份所有重要文件,人们不再需要在 7 台不同的机器上保存 4 个不同的文件副本。对于笔记本电脑 + 集中文件服务器来说,漫游配置文件并不那么重要,而且在我们约 40 人的移动员工队伍中效果很好。