工程系多年来一直使用采用 IPX/SPX 协议的 NovellNetware 服务器运行自己的网络。所有 25 台客户端计算机均运行 Windows XP Professional。该网络运行基于集线器的 Eternet 10 base T 实现,该实现在物理上与校园网络隔离。如何将该部门纳入主校园网络,同时尽可能减少其当前运行中断。校园网络是 Windows 2003 服务器域配置和使用 TCP/IP Microsoft 的 Windows XP Professional 客户端计算机。如何制定计划,使工程系网络的客户端能够访问主校园网络上的资源。
答案1
您的用户是去被打乱,这是无法避免的。在文件服务器的公认做法方面,他们已经远远落后于时代,以至于他们的内部用户实践必须适应变化。这从来都不是一件容易告诉用户群体的事情,尤其是那些可能引起政治麻烦的半独立群体;这可能是他们已经留下来已经过时了。
你可以用以下方法来帮助他们接受这个必要的改变:
- NetWare 支持几年前就结束了。
- WinXP 支持几年前就结束了。
- Novell 本身十多年前就弃用了 IPX 支持,并且在创建 Open Enterprise Server 时也没有费心将其移植到 Linux。
- IPX 支持仍然嵌入在交换机中,但可能无法在转向软件定义网络后继续存在。
考虑到所有这些,如果他们需要更多资源(例如更多磁盘空间),他们将越来越难以将其整合在一起。他们可能需要这样的“迁移事件”来克服困难。
话虽如此,我以前也使用过校园网络。您说的是“工程”,这让我很紧张。我曾经工作过的科学部门之一在 1998 年用补助金购买了一件非常昂贵的东西,而且它只支持 IPX。据说 VET 拒绝了我们让它支持 IP 的所有努力。当网络小组想要关闭核心中的 IPX 支持时,他们与这个科学部门合作创建了一个堡垒主机,该主机连接到校园网络和 VET 以及独立 NetWare 服务器所在的孤岛网络。
该系统仍然以那种方式运行。该仪器在科学上仍然有用,但它与网络的通信方式却没有,也没有升级。所以我们必须做出调整。在将该部门拖入未来之前,请确保您自己没有遇到 VET。
如果您手上确实有仅限 IPX 的 VET,我们的处理方式如下:
- 创建一个独立的 NetWare 服务器,用于放置其数据。
- 创建一个双宿主 WinXP 盒,其中一个 NIC 位于基于 IP 的校园网络上,另一个 NIC 位于 IPX VET 网络上。
- 将双宿主 WinXP 盒放在硬件防火墙后面,以最大限度地减少其暴露于恶意攻击的可能性。
- 构建用户进程,通过 WinXP 框访问数据并将其传输到 Windows 文件服务器以供处理
或者,如果防火墙方法无法通过安全检查,USB 棒探戈几乎也可以起到同样的作用。
如果没有非常昂贵的因素让他们停留在过去,那么就是惯性和政治意愿让他们停留在过去。克服这两点将是一项政治任务,我意识到,如果你能提供一个解决方案,即“正是你现在正在做的事情,但在 Windows 上运行”,那么这将变得更容易。
恐怕这是不可能的。NetWare 和 Windows完全不同在他们的文件访问控制方法中,任何习惯于 NetWare 方式的人都必须重新接受 Windows 方式的培训,这是无法避免的。您将无法提供“完全相同但图标不同”的解决方案。
你必须想办法让他们接受一些改变。这种事情超出了 ServerFault 的范围(尽管在工作场所)。
从 NetWare 迁移到 Windows 是自 NT4.0 时代以来一直在进行的事情,而 Microsoft 一直在简化这一过程。Windows 2008R2 可能是最像 NetWare 的 Windows 版本,因此如果您可以迁移到该版本,伟大的。有很多迁移指南可以帮助你完成这一转变。
最大的痛点在于文件和目录的访问控制。
- MS 风格没有传递权限的概念,其中目录结构中三层深度的读取权限分配使得两个父目录可见,并允许从根目录浏览该三层深度目录。
- MS 风格没有继承权限过滤器的概念
- MS 样式的权利与 NW 样式的权利并不一一对应。
第一个问题在我们进行切换时给我们带来了巨大的变化。与大多数 NetWare 用户一样,我们未授予卷根的权限,只授予子目录的读取或读写权限。这遵循了 Novell 的最佳实践,因为我们只授予用户所需的权限,在他们需要的地方,系统就会这样做。
\\server\volume\department\division\directory
我们将授予该终端“目录”的权限,这将使“部门”在卷顶部可见,并有一个名为“部门”的子目录。微软不是这样做的。它可以制成工作,但对于管理员来说,做非常规的 NTFS 操作需要做很多额外的工作,而且很容易搞砸。我们最终想出了一种完全不同的方法来布局目录,这确实扰乱了我们最终用户的内部程序。
这继承权过滤器我们在很多领域都使用过这个东西。我们通过将目录树中的 IRF 点指定为 MS 样式的“不从父级继承”点来处理它,这虽然行为方式不同,但与 MS-land 中的非常接近。识别卷中的 IRF 使用情况,这样您就不会感到惊讶。
权限映射...我曾为那份旧工作写过一份翻译指南,但恐怕现在已经失传了。我们甚至有一个脚本,它利用 TRUSTEE.NLM 转储权限来构建等效的 xcacls 调用(不,我不再有那个脚本了,别问了)。微软以简化的方式做事,即读取 + 读取/写入 + 完全控制,但 Novell 允许更多的灵活性。找出目录中人们变得灵活的地方,这样你就不会感到惊讶,并研究如何在 NTFS 中实现权限的意图。
最后一点技术要点是,确保在 Windows 共享上启用基于访问的枚举。它向用户呈现一个类似于 NetWare 的目录结构,其中目录仅在用户具有查看或执行任何操作的明确权限时才会显示。默认情况下,Windows 会显示所有目录;我们的用户肯定不习惯看到一个包含 200 个目录的“教师共享”卷,其中 196 个目录如果他们点击进入,就会出现拒绝访问错误。