今天在QQ上跟朋友聊了很多,整理一下,发上来。
2006-01-08 16:51:45 刘世伟 域服务器上面有每天一次的完整备份,保留了最近半年每一天的文档, 我从域服务器上很容易就找回来某个文档在某一天的状态。
2006-01-08 16:53:24 梅州客家人 这个怎么做的?
2006-01-08 16:53:33 刘世伟 linux下的pdumpfs备份软件。
2006-01-08 16:53:48 梅州客家人 在win下有没有办法?
2006-01-08 16:54:02 刘世伟 几乎没有可能,win下需要大量的磁盘。linux可以把多个相同的文件做硬联接。节省存储空间
2006-01-08 16:54:21 刘世伟 备份目录,按年,月,日自动开3级目录,每个备份目录底部是整个的一个需要备份的目录树。 home,etc,var,usr....
2006-01-08 16:55:42 刘世伟 这样,我们的整个需要备份的目录树体积是300G, ??但每天变化的文件大约200M. 备份时,我们还忽略掉大于50M的文件,以及avi,mp3,iso,rm,其实,我们用了一个160G的硬盘,可以做60天的每日完整备份。
2006-01-08 16:54:20 eastos linux做域服务器?
2006-01-08 16:56:31 刘世伟 是的,我们公司用linux做域服务器2年多了。 硬件用的是amd64,用普通的4块ide硬盘做了一个软件的raid5做存储
2006-01-08 16:55:03 eastos 你是指用Linux代替DC?
2006-01-08 16:57:02 刘世伟 BDC PDC都可以代替,
2006-01-08 16:57:38 刘世伟 域的帐号的管理和漫游挺方便。 同事们的帐号只需要在域服务器上面开一次, 同事们可以随便使用任何一台计算机登录,登录后就是自己的桌面和文档,权限。
2006-01-08 16:56:28 eastos 你用的哪个Linux的发行版
2006-01-08 16:58:39 刘世伟 都可以。没有区别,我用debian 3.1。
2006-01-08 16:59:51 刘世伟 linux做的域服务器,跟一般的域服务器的灵活的地方: 1.域的设置是文本文件,容易移植到别的机器。 只需要把/etc/samba目录复制到新的机器, 一台新的pdc就部署好了。 2.针对不同的用户和组,可以有不同的域服务器设置 3.同一个共享名, 对不同的用户,可以指向不同的目录。 4.目录的联接功能很方便,一些目录可以联接到其它的目录下面,从win看过来,跟普通的目录没有区别。 这样可以给几个人建立类似于隧道的公用目录。
2006-01-08 17:02:52 eastos 你是说\\server\share对A用户可以指向/usr/a, 对B用户可以指向/usr/b ?
2006-01-08 17:03:13 刘世伟 ??对,你说的对。 比如,同样是mydocs的共享名,可以指向 /home/$g/$U 这样,财务组的人a上来,就是 /home/caiwuzu/a
2006-01-08 17:03:14 eastos 像是组策略之类的怎么处理呢
2006-01-08 17:04:39 刘世伟 组策略有,但是我没有用到它,也就没有研究它。
2006-01-08 17:03:33 eastos good, 真的是好东西 还有个问题, 虚拟的PDC和Windows的DC互操作性怎样?
2006-01-08 17:04:28 刘世伟 BDC可以通过PDC进行用户身份认证 然后BDC可以自动在所在的机器上面建立这个linux下的系统帐号
2006-01-08 17:05:14 eastos 就是说可以同步用户帐号
2006-01-08 17:05:33 刘世伟 在windows下的帐号,在linux下都有一个对应帐号,代表它在linux下的文件的权限。 windows的用户,可以在自己的windows的修改密码界面上面修改linux下用户的密码。 这样。我在linux下,还开放了ftp,跟用户的域帐号以及密码是统一的。
2006-01-08 17:06:50 eastos 哪这样搞就不用买MS的Windows Server了
2006-01-08 17:07:03 刘世伟 当然了。 我没发现有什么需要还要用windows的server
我们的打印机也是在linux的域上面集中的设置以及进行权限划分。 其实在一个小公司,用linux做一个域服务器,挺好。 我们的域服务器,还是一个无盘启动服务器,支持pxe和bootp启动模式,启动到dos后,可以访问域服务器上面的共享资源, 对每台win机器的c:都在服务器上面有一个ghost镜像。 还有一个通用的ghost映像,用于部署新的机器。 我们的网管,只要会ghost以及会把机器加入域,就行了。
linux的域服务器+无盘启动+ghost 然后linux的域服务器,可以用于文件存放,用软raid5保证数据的安全性. 有人对软raid5有成见,觉的cpu占用高,实际上不是这样。raid使用的是 奇偶算法, 占用cpu处理能力很少。几乎可以忽略。
2006-01-08 17:14:32 eastos 你们的客户端一般是什么系统, XP? 还有没有98的
2006-01-08 17:15:00 刘世伟 xp或者win2000,不用98
2006-01-08 17:17:00 刘世伟 我们还有一台专门做网关的linux 配置成一台透明代理。 所谓的透明代理,就是让所有流经网关的80端口的http流量自动灌到本机的http_proxy服务器。 这样的功能也是win下找不到的。
透明代理的优点好多: 1.对http的流量进行缓冲加速, 这是proxy原本的功能。 2.http_proxy在应用层进行url过滤,比路由器在下一层用解码分析来过滤url要少占用cpu, ?? ?? 通过url过滤网页病毒,在proxy上面,我设置了规则,过滤所有的cab文件,除微软的和swf的升级, 那些不管3721都被档在了公司网络之外。 ?? ?? 顺手还过滤了mp3,rm,avi 3.保存url访问日志。
2006-01-08 17:19:00 刘世伟 利用这个流量转向功能,我还实现了客户机网络配置自动纠错功能。 公司的同事,经常会因为dns,pop3,smtp的设置错误而影响工作, 我在网关,把流经的流量,按照端口灌到不同的服务器地址,这样不管同事们的设置错的多么离谱, 都不影响收发邮件。 我们是把pop3和smtp流量强制灌到公司的邮件服务器。 dns流量不管目的ip是什么,一律转发到127.0.0.1 这样,即使他们设了个1.1.1.1的pop3收信地址,也保证可以收到自己的邮件。 这样挺省事。 大家从来不因为dns,pop3,smtp的故障来烦我。公司的微机的维护工作量,就降下来了。 当然副作用就是用笔记本的同事,如果网络设置错误,可能在公司以外的地方收不了信, 好玩的是,他们居然以为就是这么设置的,只允许在公司收邮件,哈哈. 另外,强烈建议在公司内部建立一个dns服务器, 因为接入商的dns实在是太忙了。 部署了这些,除了自动纠错,dns加速,http加速之外,还实现了QQ的封锁, 因为QQ最难封的就是它走了http端口,和dns端口,上面这些设置,封闭了QQ的http和dns端口联接方式, 这样封qq就好办多了。
流量转移用的是iptables的REDIRECT 然后作为加密。我从网关到邮件服务器之间架设了一个openvpn,我们的pop3,smtp就都走了加密通道了。 然后最后封掉除smtp,pop3,http以外的所有的流量. 这样一个防护,对于一个公司来说,已经可以够用了。 如果有特殊需要, 可以特殊的来开端口。 实际已经是一种网闸的模式了,就是所有的流量都不直接跟外界交流,要通过http_proxy或者dns服务器在应用层进行中转。
-- 安恒公司 刘世伟 2006-01-08 19:17 ... -= 用linux!远离病毒,漏洞和注册码! =- ... |