今天在QQ上跟朋友聊了很多，整理*下，发上来。

2006-01-08 16:51:45 刘世伟
域服务器上面有每天*次的完整备份，保留了*近半年每*天的文档，
我从域服务器上很容易就找回来某个文档在某*天的状态。

2006-01-08 16:53:24 梅州客家人
这个怎么做的？

2006-01-08 16:53:33 刘世伟
linux下的pdumpfs备份软件。

2006-01-08 16:53:48 梅州客家人
在win下有没有办法？

2006-01-08 16:54:02 刘世伟
几乎没有可能，win下需要大量的磁盘。linux可以把多个相同的文件做硬联接。节省存储空间

2006-01-08 16:54:21 刘世伟
备份目录，按年，月，日自动开3*目录，每个备份目录底部是整个的*个需要备份的目录树。
home,etc,var,usr....

2006-01-08 16:55:42 刘世伟
这样，我们的整个需要备份的目录树体积是300G， ??但每天变化的文件大约200M.
备份时，我们还忽略掉大于50M的文件，以及avi,mp3,iso,rm,其实，我们用了*个160G的硬盘，可以做60天的每日完整备份。

2006-01-08 16:54:20 eastos
linux做域服务器?

2006-01-08 16:56:31 刘世伟
是的，我们公司用linux做域服务器2年多了。
硬件用的是amd64,用普通的4块ide硬盘做了*个软件的raid5做存储

2006-01-08 16:55:03 eastos
你是指用Linux代替DC？

2006-01-08 16:57:02 刘世伟
BDC PDC都可以代替，

2006-01-08 16:57:38 刘世伟
域的帐号的管理和漫游挺方便。
同事们的帐号只需要在域服务器上面开*次，
同事们可以随便使用任何*台计算机登录，登录后就是自己的桌面和文档，权限。

2006-01-08 16:56:28 eastos
你用的哪个Linux的发行版

2006-01-08 16:58:39 刘世伟
都可以。没有区别，我用debian 3.1。

2006-01-08 16:59:51 刘世伟
linux做的域服务器，跟*般的域服务器的灵活的地方:
1.域的设置是文本文件，容易移植到别的机器。
只需要把/etc/samba目录复制到新的机器， *台新的pdc就部署好了。
2.针对不同的用户和组，可以有不同的域服务器设置
3.同*个共享*， 对不同的用户，可以指向不同的目录。
4.目录的联接功能很方便，*些目录可以联接到其它的目录下面，从win看过来，跟普通的目录没有区别。
这样可以给几个人建立类似于隧道的公用目录。

2006-01-08 17:02:52 eastos
你是说\\server\share对A用户可以指向/usr/a， 对B用户可以指向/usr/b ?

2006-01-08 17:03:13 刘世伟
??对，你说的对。
比如，同样是mydocs的共享*，可以指向 /home/$g/$U
这样，财务组的人a上来,就是 /home/caiwuzu/a

2006-01-08 17:03:14 eastos
像是组策略之类的怎么处理呢

2006-01-08 17:04:39 刘世伟
组策略有，但是我没有用到它，也就没有研究它。

2006-01-08 17:03:33 eastos
good, 真的是好东西
还有个问题， 虚拟的PDC和Windows的DC互操作性怎样？

2006-01-08 17:04:28 刘世伟
BDC可以通过PDC进行用户身份认证
然后BDC可以自动在所在的机器上面建立这个linux下的系统帐号

2006-01-08 17:05:14 eastos
就是说可以同步用户帐号

2006-01-08 17:05:33 刘世伟
在windows下的帐号，在linux下都有*个对应帐号，代表它在linux下的文件的权限。
windows的用户，可以在自己的windows的修改密码界面上面修改linux下用户的密码。
这样。我在linux下，还开放了ftp,跟用户的域帐号以及密码是统*的。

2006-01-08 17:06:50 eastos
哪这样搞就不用买MS的Windows Server了

2006-01-08 17:07:03 刘世伟
当然了。
我没发现有什么需要还要用windows的server

我们的打印机也是在linux的域上面集中的设置以及进行权限划分。
其实在*个小公司，用linux做*个域服务器，挺好。
我们的域服务器，还是*个无盘启动服务器，支持pxe和bootp启动模式，启动到dos后，可以访问域服务器上面的共享资源， 对每台win机器的c:都在服务器上面有*个ghost镜像。 还有*个通用的ghost映像，用于部署新的机器。
我们的网管，只要会ghost以及会把机器加入域，就行了。

linux的域服务器+无盘启动+ghost 然后linux的域服务器，可以用于文件存放，用软raid5保证数据的安全性.
有人对软raid5有成见，觉的cpu占用高，实际上不是这样。raid使用的是 奇偶算法， 占用cpu处理能力很少。几乎可以忽略。

2006-01-08 17:14:32 eastos
你们的客户端*般是什么系统， XP？ 还有没有98的

2006-01-08 17:15:00 刘世伟
xp或者win2000,不用98

2006-01-08 17:17:00 刘世伟
我们还有*台专门做网关的linux
配置成*台透明代理。
所谓的透明代理，就是让所有流经网关的80端口的http流量自动灌到本机的http_proxy服务器。
这样的功能也是win下找不到的。

透明代理的*点好多:
1.对http的流量进行缓冲加速， 这是proxy原本的功能。
2.http_proxy在应用层进行url过滤，比路由器在下*层用解码分析来过滤url要少占用cpu,
?? ?? 通过url过滤网页病毒，在proxy上面，我设置了规则，过滤所有的cab文件，除微软的和swf的升*， 那些不管3721都被档在了公司网络之外。
?? ?? 顺手还过滤了mp3,rm,avi
3.保存url访问日志。

2006-01-08 17:19:00 刘世伟
利用这个流量转向功能，我还实现了客户机网络配置自动纠错功能。
公司的同事，经常会因为dns,pop3,smtp的设置错误而影响工作，
我在网关，把流经的流量，按照端口灌到不同的服务器地址，这样不管同事们的设置错的多么离谱， 都不影响收发邮件。
我们是把pop3和smtp流量强制灌到公司的邮件服务器。
dns流量不管目的ip是什么，*律转发到127.0.0.1
这样，即使他们设了个1.1.1.1的pop3收信地址，也保证可以收到自己的邮件。
这样挺省事。 大家从来不因为dns,pop3,smtp的故障来烦我。公司的微机的维护工作量，就降下来了。
当然副作用就是用笔记本的同事，如果网络设置错误，可能在公司以外的地方收不了信，
好玩的是，他们居然以为就是这么设置的，只允许在公司收邮件,哈哈.
另外，强烈建议在公司内部建立*个dns服务器， 因为接入商的dns实在是太忙了。
部署了这些，除了自动纠错，dns加速，http加速之外，还实现了QQ的封锁，
因为QQ*难封的就是它走了http端口，和dns端口，上面这些设置，封闭了QQ的http和dns端口联接方式， 这样封qq就好办多了。

流量转移用的是iptables的REDIRECT
然后作为加密。我从网关到邮件服务器之间架设了*个openvpn，我们的pop3,smtp就都走了加密通道了。
然后*后封掉除smtp,pop3,http以外的所有的流量.
这样*个防护，对于*个公司来说，已经可以够用了。
如果有特殊需要， 可以特殊的来开端口。
实际已经是*种网闸的模式了，就是所有的流量都不直接跟外界交流，要通过http_proxy或者dns服务器在应用层进行中转。

--
安恒公司 刘世伟 2006-01-08 19:17
... -= 用linux!远离病毒,漏洞和注册码! =- ...