我在一家小型兽医公司工作,由于我是唯一一个有技术背景的人,所以我默认自己是我们的可怜的系统管理员。我对网络了解不够多,但我正在努力快速学习。
我们通过实践管理 (PM) 软件供应商获得了一台新服务器。现在服务器已经安装完毕,我对我们其余的设置更加担心;我知道它不太好,但我不知道该如何正确修复它。我有几个具体的问题要问。
防火墙:我们目前有一个 DSL 调制解调器直接连接到我们唯一的路由器/无线接入点。我认为我们需要在它们之间安装一个防火墙(比路由器上提供的防火墙更强),但我不确定。路由器是消费级的,可能需要升级到商务级。考虑到我们的网站是外部托管的,而且几乎所有的流量都是内部的(但我们确实需要互联网接入),我应该寻找哪种类型的防火墙?
无线上网:我们的新服务器正在以 Hyper-V VM 的形式运行 Windows Server 2012 R2。VM 主要只是我们 PM 软件的 SQL 服务器,但它也已设置为域控制器(以前我们只是使用工作组)、DHCP 服务器、DNS,并且为我们需要的少量非 SQL 文件共享设置了一些共享。我在新域上设置了我们所有的 ~10 个工作站(有线和无线),它们运行良好。无法正常工作的是员工的各种无线设备。他们被允许浏览互联网,并且之前通过路由器上的访客 WiFi 网络连接。由于我已关闭路由器的 DHCP 以支持服务器,因此访客网络不再具有太大意义。似乎有些电话会收到 IP,但即使是这些电话也无法浏览。我已暂时解决了这个问题,方法是在路由器上直接为电话保留 DHCP 服务器 IP 池之外的静态 IP,并将电话设置为假定该 IP 并使用 8.8.8.8 作为 DNS。我思考长期解决方案是为非域设备配备单独的路由器/AP。这是正确的吗?或者我可以使用我们当前的设置来避免这种情况(我们的路由器不支持 VPN)?如果我做获得新的接入点,我应该寻找什么?我们有几个域 Surface Pro 也使用 WiFi,所以我需要能够将它们分开。
虚拟机和子网:我们还有另一台物理服务器用于数字 X 射线。这是非常低流量服务器。它目前未设置为我们域的一部分,X 射线采集工作站也不是。PM 工作站确实会访问此服务器以查看 X 射线。我想摆脱这台物理机器并将其放到新的服务器机器上。如果我这样做,我应该将它放在与我们的主 SQL 服务器相同的 VM 上,还是将其设置为新 VM(我们限制为 2 个 Hyper-V VM)。如果我选择后者,我应该如何为第二台 VM 设置网络?我倾向于为这台服务器和工作站创建一个新的子网,以便分别管理它们,但我对网络了解不够,不知道这是否有意义。如果它不在单独的 VM 上,是否可以设置单独的子网?在域上为实践管理机器和 X 射线机器创建单独的组是否更有意义?
打印机:我们有几台打印机直接通过 WiFi 连接到网络,还有一台较旧的打印机由其中一个工作站共享。我在 DHCP 设置中为 WiFi 打印机保留了 IP 地址,并验证了打印机是否获得了预期的 IP,但自从切换到域以来,工作站看到的打印机可用性一直不稳定。我对设置打印服务器几乎一无所知,但我应该为这些打印机做这件事吗?打印服务器与 AD/DHCP/DNS 服务器位于同一台虚拟机上可以吗?物理连接到工作站的打印机一直运行良好。如果我确实设置了打印服务器,是否也应该包括该打印机?
提前感谢您的帮助,我会尽力提供所需的任何额外细节。我有很多比较笼统的问题,但我尽量让这些问题具体化。任何适合初学者系统管理员参考的推荐也都很好(尤其是书本形式,我知道这已经过时了)。
答案1
1) 专用防火墙可能仅在您通过 HTTP(端口 80)和 HTTPS(端口 443)以外的许多不同端口与外部服务器通信时才可行。只要路由器内的防火墙代码最近已打过补丁,那么它就可能没问题。请查看制造商的网站 - 任何针对安全漏洞的补丁都会发布在那里。
请记住,“DSL 调制解调器”本身也可能是路由器/防火墙/接入点,并且根据提供商的不同,可能会提供您可以使用的功能。如果它还包括 DHCP 服务器(因为它可能分配与主路由器/DHCP 服务器相同范围内的地址),它也会出现问题。您的内部路由器可能已经通过此设备进行了路由,因此您不需要处理它。如果您为特殊流量打开任何端口,则第二个防火墙可能会出现问题,因为您还需要在调制解调器上打开它们。
2) WiFi/DHCP 问题:见上文。如果您已将 DHCP 任务委托给服务器,则可能需要进入路由器设置并设置 DHCP 代理服务,以便为通过 WiFi 连接的设备提供 DHCP。这只是将 DHCP 请求(通常在本地子网上“广播”)中继到另一个子网上的另一个系统。WiFi 到有线可能是不同的子网,也可能不是 - 这取决于您的路由器/接入点的设置方式。如果 DSL 调制解调器具有此功能,您可能还想禁用 WiFi 和 DHCP,因为如果它接受连接,它也可能正在分配与现有分配冲突的 IP 地址。这将导致连接中断,因为 IP 冲突会关闭其各自的 NIC。
3) VM 与物理服务器 - 这个问题有点像“风险管理”问题。一方面,您的数据库、DC、DHCP 服务器等都在同一主机上的同一虚拟系统上运行,因此如果它或主机发生故障,您的整个运营网络几乎都会崩溃。因此,将 X 射线系统添加为另一个 VM 并不会真正改变现状。但是,作为物理系统,我假设,如果网络的其余部分(都在您的 Hyper-V 服务器上)发生故障,X 射线服务器仍然能够扫描、打印和管理 X 射线。您还需要确定扫描仪驱动程序是否与在 Hyper-V 下运行的 VM 兼容。如果不兼容,那么您就无法虚拟化扫描仪。
至于不同的子网/域组,这对于办公室规模来说可能是一件小事——如果不是绝对必要的话,我建议不要引入复杂性。
4) 打印机... 连接 WiFi。在医疗办公室里,有多个湿墙、X 射线设备的辐射屏蔽、煤渣砖和金属宠物笼。哎哟。抛开平板电脑已经存在的路由问题,以及用于使手机工作的静态 IP 问题,在这种环境中通过 Wi-Fi 连接打印机等按需设备让我怀疑它们是如何工作的。说真的。将它们连接到有线网络,即使这意味着在墙内和吊顶上运行以太网。它们会更加可靠。至于打印服务器,我会说是的。它将使管理您的打印机变得容易得多(此外,您可以将它们集中起来,这样如果一台打印机缺纸或缺墨或什么的,就可以将作业发送到另一台)。您可以将该角色放在主 VM 上,或将工作量不足的 X 射线服务器用作打印服务器。