江苏电力ActiveDirectory及SMS部署方案Word文件下载.docx
《江苏电力ActiveDirectory及SMS部署方案Word文件下载.docx》由会员分享,可在线阅读,更多相关《江苏电力ActiveDirectory及SMS部署方案Word文件下载.docx(15页珍藏版)》请在冰豆网上搜索。
A.建议采用分布式DNS结构,及同AD集成。
B.根域DNS服务器上设置委派到各个子域的DNS服务器
C.各个子域建立自己的DNS服务器,利用转发器到根域DNS服务器,或者建立根域的DNS备份区域。
D.每个域中的的DC同时作为DNS服务器,互为备份。
站点规划:
A.建议以英文字母为站点命名规则。
B.省公司,常州,泰州及淮阴之间的WAN连接为高速连接,可以放置在一个站点。
C.与以上四个城市相连的其他子网,划分为不同的站点。
D.站点列表:
1)CentralSite省公司,常州,泰州及淮阴
2)NJSITE南京
3)YZSITE扬州
4)ZJSITE镇江
5)WXSITE无锡
6)SZSITE苏州
7)NTSITE南通
8)YCSITE盐城
9)XZSITE徐州
10)LYGSITE连云港
11)SQSITE宿迁
以上站点的命名,可以根据实际情况修改
域及站点拓扑图:
域控制器和全局编录(GlobalCatalog)的布置:
A.建议每个域放置两个域控制器,其中一台设为全局编录。
B.在CentralSite站点,根域、省公司域、泰州域、常州域及淮阴域在一个站点,属于站内复制。
域控制器命名规则
基于域名称来命名域控制器:
域名+“DC”+数字。
例:
JSEPC.COM.CNDC名称:
JSEPCDC01,JSEPCDC02
SJ.JSEPC.COM.CNDC名称:
SJDC01,SJDC02
FSMORoles配置
DomainNamingMaster和SchemaMaster在根域JSEPC.COM.CN的域控制器上。
根域的InfrastructureMaster放在非全局编录域控制器。
根据域控制器的布置,作为全局编录域控制器持有PDC,RID,非全局编录的域控制器持有InfrastructureMaster.
域控制器信息表
域名
Site
域控制器名称
IP地址
全局编录(GC)
FSMO
JSEPC.COM.CN
CentralSite
JSEPCDC01
172.16.0.103
Yes
DomainNaming,Schema,PDC,RID
JSEPCDC02
172.16.0.104
No
InfrastructureMaster
SJ.JSEPC.COM.CN
SJDC01
172.16.0.105
PDC,RID
SJDC02s
172.16.0.106
ActiveDirectory部署
安装并提升各个域控制器
1.安装根域DNS服务器,根域控制器,包括操作系统,ServicePack、SecurityPatches
运行DCDIag检查DC是否工作正常。
建立站点信息,配置SubNet信息,与各站点的IP地址范围对应。
配置域用户与密码策略
2.安装根域第二台域控制器。
检查复制情况。
3.安装CentralSite上省公司域控制器,并作为全局编录。
建立省公司域的DNS服务器,建立根域DNS的备份区域或者设置转发器到根域DNS。
在根域DNS上建立委派到省公司域DNS。
安装省公司第二台域控制器。
4.重复3,分别安装常州,泰州及淮阴的域控制器。
5.安装每个地级市域控制器,并根据WAN的状况配置SiteLink。
分支机构的域控制器的安装有两种方式,一种是分别到各个地市利用WAN来安装和复制;
另一种是在CentralSite集中安装,利用快速网路来复制,基本步骤为:
1.将操作系统安装在服务器上,包括ServicePack、Hotfix解决方案、疑难解答工具、监视工具和内部开发的脚本。
2.确认安装(QA1)
3.将服务器提升为域控制器
4.确认提升(QA2)
5.将计算机运送至目的地
培训管理员(3天)
BestPractice
通过使用组策略向特定组指派软件
软件发布
314934HOWTO:
UseGroupPolicytoRemotelyInstallSoftwareinWindows2000
278503BestPracticesforUsingUpdate.msitodeployServicePacks三
278503BestPracticesforUsingUpdate.msitodeployServicePacks
企业安全
利用网路诊断工具:
321708HOWTO:
UsetheNetworkDiagnosticsTool(Netdiag.exe)inWindows2000
用户及密码策略
计算机帐户管理:
320187HOWTO:
ManageComputerAccountsinActiveDirectoryinWindows2000
SMS2003的部署方案
SMS主要站点系统(SiteSystem)介绍
SMSSiteServer:
SMS服务器,也就是安装SMS的服务器。
一个站点(Site)有且仅有一台SiteServer。
除了SiteServer,根据IT计算环境,还可以设计一些SiteSystem的角色(role)来分担SiteServer的功能:
●ClientAccessPoint(CAP,客户访问点):
这是LegacyClient和SMSSiteServer之间的桥梁。
CAP将所有LegacyClient的数据传递给SiteServer;
LegacyClient通过CAP获得来自SiteServer的管理信息。
●DistributionPoint(DP,分发点):
DP主要保存着软件分发中的软件包。
DP承担着大部分来自客户端的网络负载。
较好的做法是专门安排一台或多台DP。
●ManagementPoint(MP,管理点):
这是AdvancedClient与SMSSiteServer间的沟通纽带。
就像CAP,MP提供了AdvancedClient的配置信息及软件分发的公告通知(Advertisement)。
同时,MP也接收来自客户端的资产信息(Inventory),客户端状态信息(statusinformation)等。
●ServerLocatorPoint(SLP,服务器定位点):
SLP用于LegacyClient定位CAP和AdvancedClient定位MP。
●ReportingPoint(汇报点):
ReportPoint是一台专门用于生成报表的服务器,需要运行IIS。
大型的Site架构推荐在不同的架构层次上使用多台ReportPoint。
具体以上角色对应服务器的要求请参见附录“系统要求”。
——PrimarySite(主要站点):
简单的说,一个拥有自己的管理数据库的站点。
——SecondarySite(次要站点):
一个并不拥有管理数据库的站点。
它将数据汇报给上一级的主要站点,必要时也从主要站点的数据库查询数据。
——CentralSite(中心站点):
处于整个架构最顶端的主要站点,它不再汇报给任何站点。
——ParentSite~ChildSite(父站点~子站点):
在一对ParmarySite和SecondarySite中,PrimarySite是SecondarySite的父站点,SecondarySite是PrimarySite的子站点。
当然,一个PrimarySite也可已成为另外一个PrimarySite的父/子站点,
SMS2003拓扑结构设计
设计原则
建议SMS2003的整个拓扑结构使用两层(如下图).所有站点(Site)都将运行在高级安全模式下.
具体来说:
SMS中心服务器(CentralSiteserver)+SQL2000SP3
中心服务器下面没有任何客户端.将安装ServerLocationPoint和ReportPoint.
主要提供报表服务和漫游客户端定位服务.
SMSPrimarySite+SQL2000SP3
在每个地级市(包括省公司所在)安装一个SMSPrimarySite.
SMS站点代码(SiteCode)命名空间规划:
A.中央站点代码:
HQS
B.省,各地市公司为中央站点的子站点:
0)省公司:
JSS
1)南京:
NJS
2)扬州:
YZS
3)镇江:
ZJS
4)常州:
CZS
5)无锡:
WXS
6)苏州:
SZS
7)南通:
NTS
8)泰州:
TZS
9)盐城:
YCS
10)淮阴:
HYS
11)徐州:
XZS
12)连云港:
LYG
13)宿迁:
SQS
SMSsite安装.
1.安装SMS中心服务器(一天)
-评估总的客户端数量和服务器性能.决定SMSSite,SQL和IIS服务器(SLP和RP)是否要安装在同一台机器上.
-设施域的ADSchema为可扩展.使中心服务器的机器帐号在ADschema上有完全权限.
-使中心服务器的机器帐号在ADSYSTEMContainer上有完全权限.
-开始进行site安装.选择高级安全模式并扩展ADSchema.
-检查site安装结果.检查ADschema中以下四个类是否出现
mSSMSManagementPoint
mSSMSServerLocatorPoint
mSSMSSite
mSSMSRoamingBoundaryRange
-检查Systemmanagementcontainer是否出现.
-保持中心服务器的siteboundary为空.
-安装ServerLocationPoint(需要IIS).检查ServerLocationPoint信息是否被写入AD.
检查ServerLocationPoint对应的IISVirtualServer是否建立.
-安装ReportingPoint(需要IIS).检查ReportingPoint对应的IISVirtualServer是否建立.
2.在每个地级市安装SMSPrimarySite(五天)
-使SMSPrimarySite的机器帐号在ADSYSTEMManagementContainer上有完全权限.
-检查在Systemmanagementcontainer下对应的SiteObject是否出现
-把中心服务器的机器帐号添加到SMSPrimarySite的本地用户组:
SMS_SitetoSiteConnection_<
SiteCode>
中.
-把SMSPrimarySite的机器帐号添加到中心服务器的本地用户组:
-设置SMSPrimarySite的父site为SMS中心服务器.
-检查Site之间的通讯是否正常
3.配置SMSPrimarySite(五天)
-创建一个域管理员帐户作为所有SMSPrimarySites的ClientPushInstallationAccount.
-创建若干(至少两个)普通域帐户作为所有SMSPrimarySites的SMSClientConnectionAccount和Advancedclientnetworkaccessaccount.
-配置SMSPrimarySites的siteBoundary.使用IPsubnet和ADsitename作为siteBoundary.
-根据客户端数量为每个SMSPrimarySite添加managementPoint和DistributionPoint.
ManagementPoint可以有多个,并用NLB来平衡负载.
DistributionPoint可以有多个.
下图是一个负载平衡的释义图:
4.分发客户端并检查客户端状态(十四天)
-选择客户端发现方法(建议使用ActiveDirectorysystemdiscovery和ActiveDirectorysystemGroupDiscovery).
-使用ActiveDirectorysystemdiscovery来发现在线的客户端.
-根据客户端数量和客户端操作系统的情况来选择客户端安装方法.
5.测试SMS客户端的功能(七天)
-测试硬件,软件资源的收集
-测试基于ADsite或OU的软件分发.
6.报表测试(一天)
-测试报表功能.
-新建特定的报表组件
7.设置并测试SMS高级客户端的漫游功能(五天)
-为每个SMSPrimarySite添加RomaingBoundary.以是否有本地的DistritionPoint作为依据.
-测试高级客户端的漫游功能
SMS管理员培训(三天)
附录
SiteSystems(SiteServer及其他SiteSystems)的基本要求
Computer/Processor
550
MHzorfaster;
IntelPentium/Celeronfamily,orcompatibleprocessorrecommended.2GHZoraboveisrecommended.
Memory
256
MBofRAM(maximum4
GBofRAM).1GBoraboveRAMisrecommended.
HardDisk
2
GBofavailableharddiskspaceonanNTFSpartition
Drive
CD-ROMorDVD-ROMdrive
Display
Windows
2000-compatiblevideographicsadapter
Peripheral
KeyboardandMicrosoftMouseorcompatiblepointingdevice,orhardwarethatsupportsconsoleredirection
Network
Networkadapter,10Morfaster
OperatingSystem
WindowsServer2003
Database
(Ifrequired)
SQLServer2000SP3
针对特定角色的要求
SiteServer:
作为SMS的核心服务器,应该有较高的配置,尤其在CPU(推荐:
2GHz),Memory(推荐:
1GB以上)及网络(推荐:
100M)方面。
PrimarySiteServer:
在SiteServer中,如果是主要站点服务器(PrimarySiteServer),它还要进行与数据库相关的操作,可以考虑配置在适当提高。
CentralSiteServer:
在所有的主要站点服务器中,中心站点(CentralSite)又承担着中心节点的任务,大部分子站点的数据都会汇报到此。
因此,考虑到数据处理及网络的性能,它的CPU,Memory和网络的配置应是最高的。
ClientAccessPoint:
NTFS分区。
由于LegacyClient主要联系CAP,CAP的网络配置应较好,可以考虑100M。
DistributionPoint:
为了提供更好的性能(针对AdvancedClient),可在该DP上安装IIS并允许BITS服务。
ManagementPoint:
必须安装IIS和BITS。
ReportingPoint:
必须安装IIS。
如果需要图形报表功能,必须安装OfficeWebComponent(MicrosoftOffice2000SP2或MicrosoftOfficeXP)。
SLP:
IIS必须安装。
B.通过登录脚本安装客户端
SMS2003的客户端的部署有多种方式。
登录脚本的方式只是其中一种,适用于所有支持的操作系统,适用于两种SMS客户端(LegacyClient,)AdvancedClient)。
理论上只要脚本配置正确,用户登录到域就会开始SMS2003的客户端的安装。
以下参考脚本适用于如下情形:
——对于所有符合条件的客户端(Windows2000,XP,WindowsServer2003),都安装AdvancedClient。
——对于Windows98,安装LegacyClient。
1.将SMS2003Cli.bat配置成用户的登录脚本。
将SMSClient\I386下的所有文件复制到DC上的NetLogon下。
将LogonScript.zip解压到NetLogon下。
2.对于Windows98的机器,该脚本会运行以下部分:
<
>
:
WIN98
Start/wait/m\\SMS1026DC\Netlogon\98Legacy.exe
IFNOTEXISTC:
\98Legacy.LOGGOTOEND
start/wait/m\\SMS1026DC\Netlogon\capinst.exe/SLP=SMS1026SMSSQL/AUTODETECT=0
GOTOEND
说明:
-98Legacy.exe主要用于判断LegacyClient是否已经安装。
如果LegacyClient没有安装,将会生成一个日志文件,C:
\98Legacy.LOG。
98Legacy.exe是由98Legacy.IPF用SMSInstaller
编译而来,必须根据实际需要自定义判断条件。
-如果日志文件存在,capinst.exe将会运行,安装LegacyClient。
-SMS1026DC是DC名。
-SMS1026SMSSQL是SLP名。
3.对于其他操作系统,SMS2003Cli.bat则会调用相应脚本:
NINE
echoWindowsXPProfessional/PersonalInstallation
\\%~p0WinXPDeploy.vbs
gotoEND
EIGHT
echoWindowsNT[Enterprise/Terminal]ServerNon-DomainController
REM\\%~p0NT4Deploy.bat
SEVEN
echoWindowsNT[Enterprise/Terminal]ServerDomainController
SIX
echoWindows2000ServerDomainController.
\\%~p0Win2KDeploy.vbs
FIVE
echoWindowsNTServerDomainController.
FOUR
echoWindows2000ServerNon-DomainController.
THREE
echoWindowsNTServerNon-DomainController.
TWO
echoWindows2000Professionalinstallation.
ONE
echoWindows
升级会员 