我接到了一项繁琐的任务,要为客户的办公室彻底重建 IT 基础设施。他们目前到处都在运行 Windows XP,其中一台计算机充当文件服务器,无法控制哪些用户可以访问哪些文件等等。更糟糕的是,该文件服务器还充当工作站,这意味着每次用户注意到某些行为迟缓或遇到 Flash 游戏问题时,它都会重新启动。至少可以说,这对他们来说不起作用。
现在 - 我的预算非常有限,但我需要设置一台新服务器,并希望在其上运行 Windows Server 2008。我还需要能够通过 VPN 远程访问网络。在新服务器上安装 VMware ESXi 4.1,然后在其上运行 Windows Server 2008 以及单独的 Debian 安装 openvpn 是否是个好主意?我不希望未来 AD 的域控制器也运行 VPN 服务器,因为如果它们中的任何一个出现问题,就会出现稳定性问题。但是不会有冗余。但是,当通过 VPN 访问网络上的文件共享时,我不确定在 Windows Server 本身上安装 VPN 解决方案是否有好处。
我不知道如何让通过 VPN 登录的用户访问远程文件,因为他们将从自己的家用计算机访问网络(这确实是一个非常糟糕的主意,但这就是我必须要做的)。他们不会登录到 Windows 域,而是登录到他们的家庭工作组。我需要能够根据登录的 AD 用户授予对某些目录中文件的访问权限,但每台计算机不一定都配置为登录到域。我不确定如何以好的方式解释这一点,但如果有些事情不清楚,我很乐意澄清。
任何帮助都很好,因为我有一种感觉,如果不引入一堆昂贵的新规则,我就无法做到这一点。我宁愿不改变这一点,高高兴兴地去完成下一个任务。
答案1
我很难找到您帖子中要回答的问题。我会做一些一般性陈述并希望得到最好的结果。
拥有一台具有集中文件存储和单点登录(以方便访问控制)的服务器计算机是一件好事TM。确保您为硬件容错和数据备份做好了计划,否则您最终可能会降低它们的风险承受能力(所有“鸡蛋”都放在一个“篮子”里)。
Windows 中的内置 VPN 服务器运行良好。但是,作为域控制器,在那里托管 VPN 最终会创建一个多宿主 DC,而 Microsoft 不鼓励这样做。不过,这当然是可以做到的。不过,就我个人而言,我会避免为个人用户远程访问运行 VPN,而是选择运行终端服务网关这使得可能感染恶意软件的用户家用电脑与 LAN 保持“一定距离”,大大简化了您所描述的远程文件访问身份验证问题,使您无需担心应用程序在 VPN 连接上性能不佳,并且很可能满足用户的所有需求。
是否使用虚拟机管理程序或在裸机上运行操作系统是您的选择。与在 Windows Server 2008 中使用普通的 SATA 芯片组和软件 RAID-1(运行良好)相比,您将花费更多资金来获得在 VMware ESXi 下工作的 RAID 解决方案。
您可以从组策略、WSUS 和其他操作系统功能中获益良多,这些功能从对等迁移到基于服务器的环境。Server Fault 上的其他问题中已经有很多关于此类优势的讨论,因此我在此不再赘述。
答案2
考虑到你要处理的事情,我相信你的想法是正确的。你没有提到防火墙,我怀疑那个网站也没有。为了满足你对 VPN 的需求而不涉及 DC,为什么不把那台 Linux 机器(我更喜欢重新利用一台旧 PC,而不是使用 VM)用作防火墙,同时处理 VPN?
一旦通过 VPN 连接,用户就应该使用他们的正常登录凭据并由 DC 进行身份验证。当然,这意味着实际上启用一些共享/文件/文件夹级别的访问限制。祝你好运。