我们有 Windows XP 工作站,用于与网络上的其他计算机交换数据。USB 介质不是一种选择。链路两端的设备都需要 Windows 共享 (SMB)。
为了安全由于这些原因,我们计划将 XP 机器放置在受限 VLAN 中,配置如下:
- XP 计算机无法互相看到
- 该 VLAN 不接受入站/出站流量,除非是“中继”服务器。
中继服务器将公开 Windows 共享 (SMB),这也可以从“常规”计算机访问。但是,要做到这一点,我们需要在该服务器上启用 SMBv1(因为它是 XP 支持的唯一版本),这是一个不可接受的安全风险。
B 计划是将中继服务器一分为二。第一个(启用 SMBv1)将位于受限 VLAN 中,并将托管 Windows 共享。所有 XP 计算机都可以访问它,但位于主网络上的第二台服务器也可以访问它。这个想法是使用 DFS,因此第二台服务器将向主网络上的计算机公开数据(即使它不托管数据) - 但只能通过 SMBv3。然而,这行不通 - 在后台,DFS 将请求重新映射到物理托管数据的服务器。因此,控制 VLAN 的防火墙拒绝了这些请求。
计划 C 是让两台服务器都托管数据集的完整副本,并使用复制协议,但我预计细微的同步问题(延迟、损坏)将使其成为一场噩梦。在寻找要添加到此帖子的标签时,我找到了 dfs-r。这就是它的用途吗?
计划 D 是什么?为两台服务器使用 Linux 和 Samba 是一种选择,但也是最后的手段。