这两个月,负责一家日本公司上海代表处的设备更换、域架构项目。在此作一下总结。

 

一、网络结构

 

该公司原来的网络结构很简单,一台小型路由器,一台Juniper netscreen-25防火墙,两台二层的D-Link Des-1024R傻瓜交换机,没有域控服务器,文件服务器是一种企业用得不多的BUFFALD NAS网络存储器,另外,有一台HP的台式机做了财务软件服务器。办公室PC机获得的IP地址是由防火墙DHCP分配的。PC机大部分都是一年前购买的索尼笔记本,系统是随机的Win 7 Home版。

 

感觉有些奇怪,作为日本驻上海的代表处,虽然只有三十来人,但网络环境弄得如此简单,实在是太不规范、太不安全,而且居然是这样子持续了至少4年。Anyway,如今的工作是把网络环境从设备到架构全面提升。

 

新的网络结构,大致上,和原来是差不多的,主要是架了域环境,PC机方面受到的影响比较大,以致于后阶段的PC机维护很费劲。

 

新的网络拓扑图如下:

 

 

虽然设备相对高级,但也并没有进行复杂的设置,主要是设置了Ether Channel和Trunk,用于提高内网访问速度以及网络冗余。另外,考虑到外来客户无线上网,在防火墙上开了两个网段,一个是10.166办公室网段,一个是192.168客户网段,(防火墙因此成了单臂路由)。无线AP上,设置了两个SSID,一个连接到办公室网段,一个连接到客户网段。

 

其实这个网络,在上海、青岛、大连之间是做了×××的,这里就不多说了。因为这部分的工作不是我具体实施的,只了解大概。

 

 

二、域控服务器

 

两台服务器,分别是ProLiant DL 320 G6和ProLiant DL 120 G7,前者是SATA 1T * 4,其冗余阵列为RAID5(3块)+热备(1块),后者是SAS 300G * 3,其冗余阵列为RAID1(2块)+热备(1块)。

 

ProLiant DL 320 G6性能高,用于AD服务器;ProLiant DL 120 G7性能差一些,用作用友(财务软件)服务器。用友服务器里面的用友软件及数据库是用友的技术人员安装测试的,前后折腾了一个多星期,很复杂的样子。嗯,用友在国内的市场还是不错的。两台服务器装的都是Windows 2008 R2中文版,主要是考虑到公司员工大多数都是中国人(域用户名、共享文件名都是中文),而且用友软件也是中文版的。

 

由于只架了一个域控,没有额外域控,域控的安全本就有些堪忧。但不知道我方上层的日本人和客户方的日本人是怎么考虑的,共享的文件也被确定存放到AD服务器上,使得AD服务器频繁地被客户端访问,风险加大。

 

另外,防毒软件Symantec 的服务器端也是装在AD服务器里的,就个也是计划之初的事,就不说了,在服务器上线的当天,由于客户端都重装了系统,冒了出了个安装打印机驱动的问题(以前应该是使用光盘逐台安装的,如今光盘找不到了,要到官网上找驱动)。结果上层临时决定将小打印机HP laserJet P2055dn和一体机打印机Richo的驱动都装到AD服务器里,然后共享给所有域用户使用。

 

所以,最后看到的AD服务器,成分有些复杂,只好安慰自己,域用户就那么三十来人,而且常有人出差在外,服务器性能也不错,不会被撑爆。

 

 

三、客户端

 

由于客户原有笔记本电脑系统是Windows 7 Home版,无法加域,曾尝试升级到Windows 7 Pro,不成功,微软技术支持的说法是,家庭版需要先升级到高级家庭版,然后才能升级到专业版。这样升两次,就算有序列号,时间成本也是付不起的。

 

话说施工那天,是2012年9月8日,星期六,施工的人员是我和第三方公司的两位技术人员,现场的上层是我司的日本人,我们之间的交流并不方便,需要不断打电话给第三方公司的会日语的领导。当时的任务是把客户端系统从Windows 7 Home版升级到Windows 7 Pro版,在升级之前,为防止意外事故导致客户数据丢失,要先做数据备份。在数据备份的方式上,上层的意思是使用windows系统镜像备份功能,但这明显是毫无意义的备份,还不如直接把C盘所有数据拷贝到D盘。这里僵持了一段时间。到后来,又冒出Windows 7 Home版无法升级到Windows 7 Pro版,唯有重装系统,这个大问题,又是一阵僵持。讨论了许久,结果到了当天傍晚,上层才确定拷贝数据、重装系统。于是,当天的工作,一直拖到第二天半夜12点才完成。

 

在本次项目中,客户公司是有买十几台新的笔记本电脑HP Probook 4431s的,由上述第三方公司购买,装好系统后再带到客户公司。新旧笔记本电脑,第三方工作人员协助完成的工作是,安装Windows 7 Pro,安装Office 2010,统一主机名,加域并用域用户登录,安装打印机驱动,数据拷贝,邮箱登录、邮件备份。这是负重的两天,但是,恶梦远没有结束,后面的所有问题他们一概不管了,全落到我肩上。

 

用户星期一回到公司后,被告知系统重装了,一开电脑,这也变了,那也变了,这个不能用,那个不习惯,于是,作为现场维护的我,度过了今年中最痛苦的一天。PDF 阅读器没有装、压缩解压工具没有装、IE收藏夹没有导入、Outlook没有设置(视图、收发时间、服务器副本、通讯录)、不能扫描(这个涉及到打印机工程师的工作了,Richo是根据本机的本地帐号扫描到本机的共享文件夹的)、文件找不到了,还有其他种种不常用的软件及用户的使用习惯问题,前后折腾了我整整一个星期。

 

有三台索尼笔记本重装系统后,网卡驱动能正常安装,并出现正常的网络图标,但是,无线就是不能用。按机子序列号到官网找到的网卡驱动试了(索尼的机子居然没配光碟的,要打电话到客服里,针对本机序列号获得一个编号,才能在官网上找到网卡驱动,晕死),万能网卡驱动也试了许多,驱动精灵也试了,不知道怎么回事,其中一台忽然好了,但另外两台就是不能用。索尼售后技术支持的说法,是可能是系统的问题,建议去指定点装回原Win7 home版看是否正常,以确定是系统问题还是硬件问题。个人觉得很有可能是硬件问题,但机子已不在保修期内,拿去指定维修点检测,检查费就要100元,客户又舍不得出。最后,问题没解决,用户只好一直用有线(其中一台现在还没有人用)。在此问题上,被不懂计算机的客户严重鄙视了一回。本科毕业,二年半的IT工作经验,解决不了网卡驱动的这种初级问题,我还能说什么呢?

 

 

四、文件共享

 

文件共享,因为涉及到要将原有的NAS网络存储器上的所有数据拷贝到AD服务器(共享文件夹)里,并用要弄清楚用户的访问权限,客户方面迟迟没出部门组织关系及权限图纸,一直拖到上周末才实施完成。

 

以前一直没搞清楚选项卡“共享”与“安全”两者之间的关系,这次被逼上梁山,总算基本弄清楚了。文件夹被设置为共享后,域用户都可以看到,但是否可以访问,就要看该用户是不是在“共享”成员列表里了。而进入共享文件夹后,用户对某个子文件夹是否有访问权限,要看该用户是不是在子文件夹的“安全”成员列表里。这里的文件夹和子文件夹,前者设置“共享”、不设置“安全”,后者不设置“共享”、设置“安全”,且后者的“安全”不从其父项继承权限。

 

文件共享设置完后,到客户端访问、确认。这期间,还做了个操作,就是将用户经常访问的共享文件夹,在用户的桌面上创建快捷方式。结果这个操作导致了比较严重的问题。前面说到,共享打印机也是放在AD服务器上的。当时在客户端共享打印机驱动,是有三个人操作的,由于访问AD服务器的方式不同,客户端上看到的打印机,有的是在“\\AD服务器IP地址”上,有的则是在“\\AD服务器主机名”上。这次添加共享文件夹快捷方式,是一位客户日方员工操作的(他要确认各用户访问文件夹的权限是否正确,我在一旁协助确认),他是从网络邻居访问AD服务器的,创建的快捷该项也是在网络邻居里拖到本地桌面的,最终快捷方式打开的路径是“\\AD服务器主机名”。

 

周一、二,许多用户反映,打印机连不上了,共享文件夹打不开了。开始时还以为是偶然事件,重启客户端就好了,后来觉得是网络不稳定,但到现场机房检测后,发觉并非网络的问题,服务器似乎也没有问题(至少ping 百度一直没丢包),而且,不管三七二十一,已经把服务器重启了一回。比较了一下出问题的那几台PC机,发现它们访问共享文件夹及共享打印机的方式并不一致,就是一个是通过IP地址访问,一个通过主机名访问。难道是因为它们的域用户,通过一种访问方式验证后,另一种访问方式就无法通过验证了?毕竟在文件共享设置之前,每台PC机的打印机都可以正常使用的。于是,把共享文件夹和共享打印机的访问方式设成一致(都是通过主机名访问的,就保留了;不同的,就都改为通过IP地址访问,个人还是觉得通过IP地址访问比较可靠)。几天过去了,暂时还没有客户反映出现问题。

 

 

五、服务器备份

 

像许多企业网络结构一样,这次项目中,也用到了磁带机,新购的HP StorageWorks MSL2024,这是当前企业中比较流行的款式。

 

备份的软件是CA ARCserver Backup,安装配置及运行维护,都是由第三方公司的张工负责的。看他做过一些操作,但因每次到客户公司时,都有其他事务缠身,一直没能静下心来向他请教学习。

 

有一次,用友服务器的系统密码被用友工程师改了,但没有告知客户和我方,刚好第二天和张工去查看CA的运行情况,发现CA没法连接到用友服务器,前一天的数据没备份,及时把密码改了回来,把用友的人批评了一番,防止了事故的发生。

 

存储方面的知识和实践,一直都很欠缺。有机会的话,好好研究一下。

 

 

六、一些话

 

总的来说,这次的项目实施,相对简单,毕竟没有涉及到VMware虚拟化,域管理上也没有做特殊的限制。

 

但由于公司以前没有做过这方面的工作(以前都是全部外包的),上层以及营业部门都没有经验,而客户方面给出的原有网络信息很有限。在整个实施过程,基本是摸着石子过河,从最初的服务器的摆放位置,到最后的文件共享,在中途都作了临时变更,一再影响工作进度。

 

而且,涉及到的操作人员很多——做网络配置的,PC机购买和装机的,服务器购买及阵列设置的,服务器系统安装及域控架设的、服务器备份和恢复的,用友财务软件的,而且,完工之后,基本上全部都撒手不管了(以后他们维护一次,我司还得付费,所以都由我来维护,实在搞不定,再请他们出马;用友除外)——各方面的人,相互之间并没有沟通好,安理说,应该是我来协调的,但事实上,实权并不在我这里,而是我司的营业部门的不懂技术的人。另外,由于语言差异,本人与上层的日本人也并不能很好的交流,需要营业人员从中翻译。反正有些话,有些想法,几经辗转后,内容流失了许多,甚至不了了之。

 

针对客户公司有人员辞职或新进涉及到的域账号管理问题,营业人员的说法是,这些工作不在合同范围内,让我出一份操作手册,以后由客户方的行政人员余工(客户网络的负责人,准确的说,是接口人)自行操作。但是余工本人对软件安装都不大清楚是怎么回事,要让她开域帐号、将域帐号加入到某用户组、为域帐号分配共享文件夹的访问权限、使用域帐号登录PC机(有三台PC机已经重装好了系统和软件,现在闲置),还要在outlook2010中添加邮箱帐号,还在打印扫描的设置,这可能吗?

 

最近,PC端出现的种种毛病,我都跑过到客户现场处理了,虽然都是赔本的工作,但我又能如何逃避?罢了,出了问题再说吧……