IT基础架构规划方案文档格式.docx
《IT基础架构规划方案文档格式.docx》由会员分享,可在线阅读,更多相关《IT基础架构规划方案文档格式.docx(18页珍藏版)》请在冰豆网上搜索。
根据我们初步评估及调研,针对XXXXIT基础架建设建议分为三个阶段,本方案主要讨论第一阶段建设内容。
如下:
第一阶段:
AD活动目录、文件服务器、企业邮件和服务器平台创建,初步完成构建IT基础架构构建,实现企业信息化规范管理。
第二阶段:
企业内部日常办公的应用系统规划和部署,构建统一沟通平台和企业内部知识库体系,以保障企业内部的基础架构的完善性和高效性。
第三阶段:
进行企业内部信息和业务的整合,完善企业内部信息管理,项目管理体系。
3项目实施规划
3.1虚拟化平台设计
XXXX总部数据中心整体规划2个集群节点+存储的架构,将所有的虚拟机VHD文件放在存储中。
为了满足高可用的需求,可以将两个物理宿主机配置成故障转移群集的模式,实现运行在宿主机器上的虚拟机可以自动切换,以防止其中一台宿主机发生故障影响业务应用系统。
如下图是群集部署架构图:
通过微软Hyper-V技术实现的包括管理服务器,生产服务器,存储,管理网络,生产网络,和存储网络平台。
如下图应用程序虚拟化架构平台:
根据上述设计架构,可以满足企业日后扩展需求,可以任意增加服务器虚拟化群集节点,来满足服务器应用增长的需求。
3.2活动目录(AD)平台设计
3.2.1活动目录(AD)概述
活动目录(AD)为我们提供了一个安全的边界,它为我们企业的用户、设备、提供了统一的身份认证,只有合法被许可的用户和设备才能与我企业的网络和资源进行通讯、共享企业资源。
活动目录(AD)主要提供以下功能:
基础网络服务、服务器及客户端计算机管理、用户服务、资源管理、桌面配置、应用系统支撑。
3.2.2活动目录(AD)设计
根据AD物理结构主要是规划站点拓扑,考虑到XXXX的地理分布情况,应该使用单域多站点拓扑来规划AD物理结构。
由于单域结构,域中DC直接要进行数据复制,所以如集团总体AD架构和邮件系统规划把北京、长沙和上海三个地方把设置为分站点,这样做的的好处:
1、优化AD的复制;
DC之间要同步AD数据,假如不划分站点,这个同步每时每刻都在进行,而且数据是不压缩的。
如果划分了站点就可以控制站点到站点间的AD复制。
2、优化客户端的登录,当划分了站点以后,DNS会替客户端找本站点内的DC,这样就加快了身份验证过程。
经过上面的规划和配置后用户的身份验证都会点本地站点内的DC完成,比如说,长沙分公司的用户会去长沙站点内的DC去做身份验证,上海分公司的用户会去上海站点内的DC去做身份验证。
注:
其实AD站点的划分就是通过IP子网来实现的,所以在划分AD站点之前首先要规划好公司的网络地址。
3.2.2.1OU设计
OU设计以地理、组织、对象、项目或管理为基础。
我们选择的OU设计主要基于单位组织结构。
OU的主要功能就是为了管理而划分组织;
管理员可以使用OU为组织创建层级管理结构。
∙总部综合参考行政部门划分和组织架构、岗位级别划分。
∙按区域划分和人员级别和特殊部门(如财务等)划分。
∙方便统一部署组策略,原则:
组策略尽量应用在最高级别的OU单元,组策略的数量在满足需求的前提下越少越好。
∙所有服务器另外建一个单独的OU。
具体结构如下图
3.2.2.2组策略设计
A、全域安全性策略
默认域管理员账户
将默认域管理员账户administrator改名,分配强口令。
在日常管理工作中不使用该账户。
同时禁用Guest帐户。
域和企业管理员组
严格控制DomainAdmins和EnterpriseAdmins组成员。
域管理员组审慎分配域管理员权限,对于并非需要域管理员才能完成的操作,通过权限委派来实现。
日志策略
在域控制器上配置日志文件足够的尺寸,根据需要调整/关闭日志覆盖。
身份鉴别通过口令/USB等方式验证用户,用户身份具有唯一标识符。
口令策略
建议建立强壮口令策略,包括至少6位以上的口令,口令复杂性(大写,小写,字母和特殊字符至少包含其中的三类),定期口令修改等。
绑定用户IP地址
使用的静态IP,分部门和区域划分VLAN。
关闭管理工具
为了避免用户自己使用管理工具误操作对系统安全和稳定造成的损害,可以通过组策略,关闭用户对一些管理工具的访问。
建议关闭:
∙控制面板(全部控制工具或者一部分);
∙对网络配置的修改(IP配置);
∙管理控制台(MMC);
∙注册表编辑器;
∙其他需要关闭或者限制的工具。
配置Windowsupdate
所有计算机的自动更新都指向企业内部的WSUS服务器。
对打印设备进行权限控制
可以针对用户进行打印设备的权限控制。
IE设置
可以通过组策略对用户的InternetExplorer进行集中式设置,建议设置项为:
∙设置代理服务器;
∙修改收藏夹;
∙调整安全设置(如禁止ActiveX控件和JavaScript脚本运行)。
通过以上设置,可以配置用户使用代理服务器访问Internet,限制用户访问某些网站,避免用户受到网页蠕虫的攻击等,极大地提高安全性。
控制应用程序
通过组策略,还可以限制特定用户运行指定的应用程序,或者只能运行制定的应用程序。
外观管理
根据企业形象的需要,可以对用户的壁纸进行统一管理,自动使用指定的壁纸。
类似的,可以对用户的桌面外观,风格进行统一配置。
审核策略
开启对用户账户登录,用户账户管理和管理权限使用等事件的审核。
禁止外部人员访问服务器
对于可能有外部人员访问企业网络(比如供应商的雇员),为了提高安全性,可以通过设置安全策略,调整:
∙关闭GUEST账户;
∙设置“从网络上访问此计算机”的权限;
∙来限制未加入域的计算机和未登录到域的用户,对指定服务器的访问,如在访问服务器时,需要输入有效域用户账户和口令,或者直接提示不允许访问。
这将消除潜在威胁。
控制对重要服务器的访问
对某些非常重要的服务器,可以通过安全策略,对“从网路访问”、“本地登录”、“匿名访问”进行限制,只允许经过授权的合法用户访问。
备份和恢复策略
建立定期备份ActiveDirectory数据的机制。
B、应用在严格管理部门的策略
●最小化权限
为普通用户授予Users权限,为需要完成某些管理工作的用户账户委派完成工作所需的最小范围内的最小权限。
该权限用户即使中毒后,病毒获得的也是受限账户的权限,即使它可以运行,如果不能提升权限,就难以对系统造成大的破坏。
限制用户安装、卸载程序及设备
User权限无法装载和卸载设备及软件
禁止用户本地登录
收回本地管理员用户密码,组策略限制用户交互式登录
禁止USB端口使用
通过脚本限制用户使用USB存储设备,但是不影响USB鼠标键盘的使用。
限制网络用户在本地的权限。
●高级的权限
为高级用户授予PowerUser权限,为需要完成某些管理工作的用户账户委派完成工作所需的最小范围内的高级权限。
该权限用户拥有大部分管理权限,但也有限制。
因此,PowerUser可以运行经过验证的应用程序,也可以运行旧版应用程序;
用这类账户登陆系统时,病毒仍然受到一些限制。
PowerUsers可以完成:
✓除了Windows2000或WindowsXPProfessional认证的应用程序外,还可以运行一些旧版应用程序。
✓安装不修改操作系统文件并且不需要安装系统服务的应用程序。
✓自定义系统资源,包括打印机、日期/时间、电源选项和其他控制面板资源。
✓创建和管理本地用户帐户和组。
✓启动或停止默认情况下不启动的服务
●最大的权限
为特殊用户授予Administrators权限,该权限对计算机/域有不受限制的完全访问权。
3.3文件服务器设计
用户通过登录脚本可以进行网络驱动器映射,使用户无论登录哪台计算机均可访问自己的共享目录;
1、共享文件规划
设置4类共享文件夹,如下表所示:
共享名称
文件夹名称
说明
Public
公用文件夹
存放企业公用文档及发布公用文档
Department
部门文件夹
存放各部门文档
Users
个人文件夹
存放个人文档
Temp
临时文件夹
存放各种临时文档
2、文件夹权限分配
∙管理层可以浏览所有的文件夹
∙各个部门能浏览自己所属部门,并可修改自己所属文件夹,部门经理能浏览并修改自己部门所有的文件夹
∙公共文件夹由行政部或IT部修改,其他所有人都能浏览
∙临时文件夹所有用户都有读取的权限,创建者有修改权限
3.4系统补丁管理
实施有效的安全策略对所有企业都十分关键。
补丁管理是成功的安全策略的最重要组成部分之一。
补丁管理是一个流程,为组织提供对中间软件发布到生产环境中的部署和维护的控制。
它有助于组织保持运营的效率和效力,弥补安全漏洞并保持生产环境的稳定性。
无法在其操作系统和应用程序软件内确定和维护已知的信任级别的组织可能存在很多安全漏洞。
如果这些安全漏洞被利用,则可能会导致收益和知识产权受到损害。
最低限度减少这些威胁要求企业:
∙正确配置IT(信息技术)环境中的计算机。
∙使用最新的软件。
∙安装推荐的安全更新。
通过在内部网络中配置WSUS服务器,所有Windows的更新都能集中下载到这个服务器中,内部网络中的客户机就可以通过WSUS服务器得到更新。
配合瑞星前瞻性漏洞评估,能够抢在病毒和蠕虫之前首先发现系统中的安全缺口,它不仅能够对安全策略的一致性进行扫描(包括Microsoft安全补丁),而且能够及时发现系统中隐藏的设备、未受到保护的设备以及容易受到攻击的设备。
而且升级操作系统补丁的时间可以缩短到几分钟,效果十分明显,且只要一台WSUS服务器就可保证全网络内操作系统的自动升级。
这既节省了资源,又避免了资源浪费,并且提高了效率。
3.5邮件平台设计
3.5.1邮件需求概述
新邮件系统需支持500用户,个人存储空间1G,VIP用户存储空间10G,在每封邮件限制附件大小20M,收发单封邮件的相应时间不超过5秒,邮件递送时间(内部)不超过2分钟。
当公司网络不能访问Internet网时,应保证内部的邮件能够互收发。
访问方式
提供多种访问方式如常用客户端Outlook、Foxmail,Web(主流浏览器),移动设备PUSHMAIL;
支持SMTP、POP3、IMAP4等协议。
备份及恢复功能
支持传统流备份和卷复制备份。
备份方式应支持完全备份、副本备份、差异备份和增量备份。
防垃圾邮件功能
支持连接筛选、收件人和发件人筛选、发件人ID、内容筛选、附件筛选、客户端规则汇集到服务器端、发件人信誉等多种方式防犯垃圾邮件。
防病毒功能
可以内置或引用第三方多引擎防病毒软件,防病毒软件应能针对文件头对邮件附件进行过滤,不但对邮箱存储进行查杀,还应可以对SMTP进行病毒查杀。
管理与监视功能
支持多级授权管理功能,支持邮件的跟踪和监视。
用户分类功能
可以针对特定用户设定客户端访问方式、邮箱存储限制、邮箱传递限制等功能。
个人信息管理功能
如联系人管理,日程管理,任务管理等日常工作中的个人信息管理功能。
扩展功能
语音邮件,接收传真、短信和即时通信的离线消息等统一消息传递功能
3.5.2邮件平台架构设计
架构说明:
1、在保证配置达标的情况下,服务器可采用物理机也可采用虚拟机。
如上述虚拟化平台建议采用两台宿主机构建虚拟化平台(根据需要可以扩充节点数),并针对Exchange场景优化相关模块。
2、客户端访问服务器为邮件客户端(OutlookAnywhere模式)和OWA(OutlookWebApp)用户提供电子邮件的访问。
同时它还负责处理客户端和Exchange之间的通信。
它为用户提供通过HTTP/HTTPS、POP3、IMAP4、ActiveSync等方式访问邮箱的服务。
Exchange客户访问服务器之间通过配置DNS轮训或者NLB实现Exchange客户访问的分担负载和高可用性。
3、邮箱服务器实现了与邮件存储的交互。
邮箱服务器通过对邮件存储的操作,实现邮件用户的邮件收发、日历访问和邮箱系统对邮件存储的日常管理维护。
邮箱服务器通过Exchange自带的高可用性特性—DAG实现数据实时备份,邮件存储的高可用性。
4、目录服务主要实现邮箱用户信息的统一管理和身份认证。
需要部署目录服务器,是全公司办公网系统管理统一基础架构平台的组成部分,实现全公司统一用户信息管理,统一的、强制化的桌面安全策略管理及执行等。
5、垃圾邮件网关(可利用Exchange边缘服务器或硬件反垃圾邮件设备),提供Internet邮件流、反垃圾邮件、防病毒及电子邮件策略等服务。
6、归档服务平台,提供邮件数据的归档查询和审计功能等(建议采用硬件或者专业软件归档)。
7、数据备份平台,提供邮件系统平台自动备份和恢复功能等(可选模块)。
4项目服务
4.1服务概述
服务范围
1.XXXXIT基础架构所包含的系统平台部署和维护服务。
本次项目涉及底层虚拟化平台部署、AD基础架构搭建、文件服务器、补丁服务器、Exchange高可用平台部署、邮件归档及备份和整体运维服务。
2.除了对现有虚拟化服务器产品和平台提供技术支持服务外,还将为XXXX提供微软AD\邮件系统\虚拟化管理系统的顾问、咨询等增值附加服务,提升贵单位IT运维管理质量。
3.提供生产环境基础架构和邮件系统的管理员运维管理培训,以及对普通用户就某一应用使用提供用户操作使用培训。
以提升贵单位对于信息化技术平台的了解和掌握、使用,更好的提升工作效率。
4.当前生产环境进行系统运行状态健康性检查,对于发现的已存在问题双方进行确认,根据问题数量以及解决的难易程度确定调试、维护时间。
服务方式
服务方以服务问题为电话和邮件主要工具,通过现场、远程、电话、邮件等方式,为客户提供及时有效的应用指导、故障排除等服务。
服务标准
现场服务:
星期一至星期五,8:
00-18:
00
热线服务:
星期六和星期日:
提供紧急电话服务(特殊情况可提供现场服务)。
4.2项目计划
项目计划于从启动开始建设,预计需要50-60工作日个完成交付。
时间进度计划大致如下:
4.3任务划分
项目的实施方法是结合多年积累的项目实施经验和行业客户业务需求而制定的。
下面是每个阶段中建议的相关活动和阶段工作内容说明。
(按2个自然月的项目周期进行规划,可根据用户要求灵活调整)各阶段任务细则划分如下:
阶段
工作概述
时限
启动阶段
访谈、调研、现状梳理、问题分析、制定团队分工计划
计划阶段
详细需求分析,系统架构方案设计、实施方案设计、测试方案设计、实施及接管资源环境准备等
实施阶段
根据设计阶段文档指导进行相关功能模块开发、软件部署、周边系统联调、平台测试等割接上线工作
交付阶段
系统试运行跟踪,对用户进行知识转移培训,移交系统及文档、介质等交付物
4.4交付清单
项目任务
交付物
《初步需求说明书》
项目负责人在该阶段制定的需求调研汇总。
《需求规格说明书》
项目负责人在该阶段制定的项目详细需求汇总。
《技术方案》
项目组制定的技术实现方案。
项目周报、月报
项目计划阶段日常项目内活动总结、工作计划等。
《安装配置文档》
项目实施阶段各功能组件安装部署操作文档,指导实施部署规范操作。
《集成实施方案》
项目总体实施规划方案,由项目成员共同制定完成。
项目实施阶段日常项目内活动总结、工作计划等。
《运维手册》
项目运维阶供段甲方运维人员参考文档,可作为日常基础运维操作规范指导及简单排障参考手册。
《培训文档》
培训阶段提供用户对Hyper-V、AD和Exchange的功能使用操作手册,指导乙方IT管理员进行日常管理操作。
项目交付阶段日常项目内活动总结、工作计划等。
5建议配置
5.1软件配置
实现本方案中建议的高可用基础结构和邮件系统平台,软件配置详细列表:
项目
安装软件配置
数量
作用
邮箱存储服务器
Windows2012R2标准版
ExchangeServer标准版
2
邮箱存储服务,每台支持500用户,按高可用配置
前端访问服务器
Windows2012R2标准版ExchangeServer标准版
客户端访问支持,支持外网用户访问,手持设备访问;
提供邮件流、分类、路由、传递的处理服务。
DC服务器
4
提供域服务、用户账户管理、域内计算机管理、组策略及域内地址解析服务。
服务器分布:
北京2台,长沙1台,上海1台
归档服务器
ExchangeServer企业版
或专业归档软件
1
提供邮件归档功能,后端归档容量根据实际需求选配
文件服务器
3
提供文件共享和管理服务,服务器分布:
北京1台,长沙1台,上海1台
备份服务器
SCDPM
提供对虚拟平台、邮件系统平台及AD自动备份和恢复功能
宿主机
Windows2016数据中心版
提供底层虚拟化服务
5.2系统配置
实现本方案中建议的高可用基础结构和邮件系统平台,硬件配置详细列表:
硬件配置
备注
2四核CPU,16G
可使用虚拟机
2四核CPU,8G
2四核CPU,4G
可使用虚拟机(建议北京总部建议采用1台物理+1台虚拟机的方案)
2四核CPU,12G
可使用虚拟机(若从节省资金投入考虑,长沙和上海与DC服务器合并在一起)
2八核CPU,128G
反垃圾邮件设备
预算充足建议采用硬件设备
归档设备
网络
现有数据中心基础协商增补
存储
6项目服务费用
服务费用(元)
AD服务器规划部署
AD服务规划设计和服务器端部署实施
客户端加域部署
客户端加域清理实施
文件服务器规划部署
文件服务器+WSUS服务器和客户端部署实施
虚拟化平台规划部署
虚拟化平台规划设计和部署实施
邮件服务规划部署
邮件系统架构建设和部署实施
备份服务器规划部署
基础架构平台系统自动备份规划和部署实施
培训费用
整个部署实施过程的培训以及后期维护的培训
合计:
万元整