AD部署实施方案Word文档下载推荐.docx
《AD部署实施方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《AD部署实施方案Word文档下载推荐.docx(6页珍藏版)》请在冰豆网上搜索。
为总部用户在用户所属组织机构对应的OU中创建用户帐号,并限制用户只能登录到指定的计算机;
把结构操作主机(InfrestructureMaster)转移到DC2上。
DHCP服务器的安装和设置
在这一步,将要安装并配置DHCP服务器,具体步骤如下:
安装一台新的Windows2000服务器,命名为Dhcpsrv。
如果没有新的服务器可用,则用DC2作为DHCP服务器;
设置计算机Dhcpsrv(或DC2)的网络连接,使其网络通信正常,并配置正确的DNS选项;
在计算机Dhcpsrv(或DC2)上安装DHCP服务,并为对应的子网创建相关的作用域(地址范围);
配置相关的作用域选项,并激活所有的作用域;
在活动目录中授权DHCP服务器。
客户端的配置
在这一步,将要把所有总部的客户端加入S域中,具体步骤如下:
配置路由器作为该网络段的DHCP中继代理;
配置客户计算机的网络连接,使其自动获得IP地址及相关选项;
将计算机加入到域中;
配置保留原有用户的桌面设置。
安全策略的实施
在这一步,将要在S域中实施相关的安全策略,设置的内容有:
限制在域控制器上登录的用户;
设置好共享文件夹和应用程序的使用权限;
在域控制器及其他重要的计算机上启用审核策略,对用户的访问情况进行跟踪;
在域控制器上停止或删除不必要的网络服务(如IIS服务);
Guest帐号不能启用。
设置帐号策略,包括帐号口令的最小长度、口令复杂性、口令的最长使用期限、口令历史等项;
设置复杂的管理员帐号(Administrator)的密码
职场的实施
在这一步,主要是实现职场的活动目录架构,并创建相关用户帐号,以职场一为例,具体步骤如下:
首先在准备作为域控制器的计算机上安装Windows2000Server操作系统,命名为zhichang1DC1;
配置zhichang1DC1的网络,使其网络通信正常,并配置正确的DNS选项;
在zhichang1DC1上使用ActiveDirectory安装向导将zhichang1DC1升级为SunL域中的另一台域控制器;
在职场对应的OU中创建用户帐号,并限制用户只能登录到指定的计算机;
在zhichang1DC1上安装DNS服务并配置DNS区域,维护SunL域;
设置zhichang1DC1为GC。
在这一步,将要把职场中的客户端加入域S中,具体步骤如下:
配置路由器作为该职场的DHCP中继代理;
在这一步,将要在域S和职场OU中实施相关的安全策略,设置的内容有:
活动目录物理结构的配置
活动目录物理结构的调整主要在总部实施,所要做的工作有:
为每个职场建立站点
为每个站点建立子网
在每个站点中设置授权服务器
创建并设置站点间连接
需要协调的事情
DHCP服务器是否安装在域控制器上;
总部和各职场域控制器的命名问题。
部署ISA对用户基于WEB的流量进行认证
将现有的CISCOPIX的INBOUND和OUTBOUND进行调换,重新根据需求配置PIX的访问规则,实现两个目的:
开放DC之间通讯应开放的端口;
开放DHCP流量(UDP67,68);
各职场客户机访问总部服务器资源的限制;
各职场客户机访问互联网资源的限制。
在现有的Checkpoint防火墙之后,部署一台加入到域的Windows2000服务器,并在其上安装ISAServer2000为Cache模式。
配置对HTTP,HTTPS和FTP的通讯进行域身份认证。
实现对HTTP、HTTPS、FTP三种协议的代理功能;
实现对域身份的认证;
实现对各职场客户机访问互联网资源的限制。
在现有的Checkpoint防火墙之上调整访问规则。
调整原有规则,满足总部的需求;
允许ISA主机和其他必要的主机使用HTTP,HTTPS和FTP外出访问。
在外部各职场的客户机上配置IE浏览器的代理为ISA。
注:
对Checkpoint和PIX的配置由原集成商完成,我公司负责ISA的安装配置。
时间安排
时间
工作任务
备注
第一个工作日
上午
1.总部第一台DC的安装;
2.总部第二台DC的安装。
3.安装一台加入域的WIN2000服务,以备安装ISA。
下午
1.操作主机角色的分配;
2.用户帐号的建立;
3.域和域控制器安全策略的建立。
4.安装、配置ISA
第二个工作日
1.DHCP服务的安装和调试;
2.路由器、交换机上有关DHCP的设置。
第2项任务可能需要相关硬件厂商工程师的配合。
1.把客户端加入到域;
2.设置客户端的用户桌面。
3.在客户端测试ISA的代理功能
以前客户端的用户桌面要尽可能保留。
第三个工作日
1.继续客户端的工作;
2.对总部已经完成的工作进行联调测试。
可能会发现一些问题,解决这些问题可能需要甲方工程师或厂商工程师的配合。
1.对总部有关人员进行针对此项目的培训;
2.为开始职场的工作做准备。
第四个工作日
1.在第一个职场安装DC;
2.设置活动目录的复制策略。
在职场安装DC和把职场的客户端加入到域时,可能会出现一些与防火墙的设置有关的问题,解决这些问题可能需要甲方工程师或厂商工程师的配合。
1.把该职场的客户端加入到域;
2.设置客户端的桌面环境;
3.在客户端测试ISA的代理功能;
4.对该职场的有关人员进行培训。
第五个工作日
1.在第二个职场安装DC;
第六个工作日
1.在第三个职场安装DC;
3.对该职场的有关人员进行培训。
第七个工作日
备用机动时间。
主要用于由于意外事件而导致的时间延误。
用Project做的项目进度表
见附件。
实施后的网络拓扑图