当前企业面临的问题及相关解决方案v40.docx

1、当前企业面临的问题及相关解决方案v40当前企业面临的问题及相关解决方案公司：项目：审阅者：最新动态： 作者： 武汉爱科信息技术有限公司微软（中国）ESS支持中心当前企业面临的问题及相关解决方案涂麟曦 目 录1. 规划实施基于微软平台高效快捷的IT架构 31.1 企业当前的系统架构信息 31.2 构建企业IT核心基础架构 31.2.1 当前企业面临的问题 31.2.2 构建企业IT核心基础架构的目标 41.3 构建企业IT安全架构 81.3.1 当前企业面临的问题 81.3.2 构建企业IT安全架构的目标 91.4 构建企业IT消息服务平台 111.4.1当前企业面临的问题 111.4.2构建企

2、业IT消息服务平台的目标 121.5 构建企业客户端及服务器智能管理平台 191.5.1当前企业面临的问题 191.5.2 构建企业客户端及服务器智能管理平台的目标 201.6 构建统一门户、办公协作、单一身份验证和企业内容管理平台 241.6.1当前企业面临的问题 241.6.2构建企业IT协作服务平台的目标 251.7 构建IT打印服务平台 291.7.1 当前企业打印机资源管理及应用面临的问题 291.7.2 构建IT打印服务平台的目标 291. 规划实施基于微软平台高效快捷的IT架构1.1 企业当前的系统架构信息 网络物理拓扑图待定 AD物理、逻辑结构图 待定1.2 构建企业IT核心基

3、础架构1.2.1 当前企业面临的问题1、 网络基础服务不能满足企业需求 IP地址的管理缺乏灵活性 NETBIOS（计算机名称）解析流量较大，造成访问网络资源很慢 共享资源的访问方式还是沿用以前老的方式（网络邻居），效率低，速度慢。 FQDN（计算机的全称域名）名称的解析没有实现统一管理。客户计算机随意制定、配置ISP的DNS服务器 没有集成DHCP、DNS实现IP地址的自动获取、客户计算机的动态注册2、 不能根据企业需求定制用户工作环境，严重影响管理及用户的工作效率 大量员工办公计算机处于分散,独立管理状态,没有集中管理机制 不能通过脚本或应用程序分发功能同时在多台计算机上安装MSI包，需要到

4、每台计算机面前进行操作，生产效率低 用户的计算机水平不高，经常进行一些误操作，网络管理员又不能实现集中管理，所以工作效率较低 用户随意安装软硬件 用户的密码设置（密码长度、修改时间等）没有统一的规定 用户现在都是本地管理员，本地权限很大，他们可以随意更改网络管理员为他们定制的配置信息（IP地址、DNS、网关、上网代理等等） 不能强制用户在规定的时间内及时更新补丁包，用户想打就打，不想打就不打，所以存在网络安全隐患 用户可以随意重装系统，随意配置计算机，造成网络管理混乱 用户不管是否登陆域都可以访问域资源 用户访问外网很随意 用户需要记住多套账号和密码来分别访问公司各项资源 Windows客户端

5、的个人防火墙功能很强大，具有防范网络上大部分的攻击、蠕虫等功能，但大部分用户不知道怎么配置 IT管理部门无法集中管理用户账号，不能强制用户在指定的计算机、指定的时间登陆计算机访问公司资源信息 不能集中、灵活禁止用户运行企业不允许的应用程序（例如：禁止企业员工使用BT、QQ、MSN等P2P应用程序） 大量员工计算机上的软件安装工作量很大,困扰IT管理部门 大量员工办公计算机系统补丁安装配置参差不齐,导致安全漏洞 公司管理层和IT部门无法获得及时的公司软硬件资产情况 基于计算机IP地址或网卡地址等方式来分配员工上网的方式很不灵活 用户计算机的IE经常被一些网站或病毒随意更改配置信息 随着公司业务拓

6、展,其IT规模越来越大,管理和维护成本随之提高;大量计算机由员工自己支配,导致时常有软硬件故障发生,造成员工工作效率降低;大量计算机没有集中统一管理机制,IT管理部门花费大量时间和人力去处理一些重复操作任务,造成IT管理效率低下3、 公司、部门、个人资源不能实现集中、有效管理，不能实现资源冗余、网络流量分摊 不能集中管理用户的配置文件（用户桌面、用户文档、用户安装的应用程序等），所以不能对用户的重要数据实现集中备份和管理，用户不能充分利用公司的计算机资源访问共享信息，用户必须自己备份重要的工作数据，往往增加了用户的工作负担 用户在访问企业共享资源时，共享资源的单点存储（将共享资源存储在单一服务

7、器上）不能实现流量分摊和资源冗余，增加了单点失败的可能性4、 共享资源和打印机资源不能实现集中发布 用户不能及时、灵活的访问企业的共享和打印机资源（用户必须知道共享和打印机资源的存储地点，还必须预先安装好打印机）5、 权限分配没有利用统一的应用原则对用户或计算机分配权限时，没有应用用户和组的应用原则，造成权限的管理零乱而复杂6、 帐户（用户和计算机）的管理缺乏灵活性，不能实现单一身份验证机制7、 限制用户权限（根据企业需求方便放大或缩小用户的权限）8、 服务器的高可用性和高稳定性问题（由于硬件故障造成服务器当机，如果没有高稳定性和冗余性会影响所有用户访问企业资源信息）9、 集成AD实现多媒体广

8、播及点播平台1.2.2 构建企业IT核心基础架构的目标1）我想统一员工办公计算机的桌面，比如显示为公司形象图案？完全可以.我们可以利用活动目录管理平台来集中统一配置员工办公计算机，比如说设置其桌面显示为我们公司的VI形象图片，统一形象。当然还可以集中统一配置关于桌面其它方面的项目，比如屏幕保护等。2）我不想让员工随意更改其计算机的IP地址，可以吗？完全可以。我们可以集中统一配置员工计算机，禁止员工更改计算机IP配置，防止发生因乱改IP配置导致网络故障的事情发生。当然还可以集中配置禁止员工进行其它一些可能妨害计算机正常运行的操作，比如随意安装软硬件等。3）现在时常有办公计算机因系统补丁没及时安装

9、而导致故障，影响员工办公时间和效率，能否统一安装补丁？完全可以。我们可以集中统一配置员工计算机安装补丁的计划，比如定制在每周五中午12点进行安装等。这样可以让所有员工计算机及时安装，避免因系统补丁没及时安装导致的故障。4）现在给大量员工计算机安装软件相当费时费力，有办法提高IT管理效率吗？活动目录管理平台提供了很好的解决方案。我们可以集中统一进行软件分发，即不用IT管理人员到每台计算机前安装，完全自动化完成安装任务。结合系统管理服务软件，可以实现更强大的功能。5）我公司各部门的计算机配置要求不一样，能做到分门别类配置吗？完全可以。我们可以为不同需求的部门设置不同的集中管理规则，来满足各自的需要

10、，真正实现“按需供应”。6）我们很多员工需要自己去安装共享的网络打印机，有办法统一安装吗？完全可以。可以设置针对安装网络打印机的集中策略。让众多的客户机自动安装好打印机，不需用户自己来动手。7）我们单位windows打印服务器上有很多共享的网络打印机，有办法统一管理吗？完全可以。可以从运行 Windows Server 2003 R2 的任何计算机使用“打印管理”，并且可以管理运行 Windows 2000 Server、Windows Server 2003 或 Windows Server 2003 R2 的打印服务器上的所有网络打印机。打印管理提供实时的详细信息，例如队列状态、打印机名称

11、、驱动程序名称和服务器名称。还可以使用打印管理的筛选功能设置自定义视图。8）我只想记住属于自己的唯一一个账号去访问公司的所有资源，可以吗？完全可以。我们可以为每个员工分配给他唯一一个账号，他使用该账号就可以访问所有资源（比如共享文件夹，打印机等），不必记住多个账号这么麻烦。9）我们的IT管理部门不想让外来人员使用私人计算机访问公司资源，可以做到吗？完全可以。我们可以制定安全规则，未经IT管理部门许可情况下，禁止外来计算机访问我公司资源，即使外来计算机已经连接网线到我们公司某办公室的网络信息端口上。当然，我们还可以按照这样的思路来阻止员工私自重新安装计算机。10）我每次访问公司资源时，总要去好几

12、个服务器查找共享的文件夹，操作很麻烦，有什么好办法方便我访问吗？完全可以做到。我们可以制定统一员工访问资源方式，使其打开“我的电脑”就可以直接访问到公司资源，而不必去查找众多的服务器了。当然，我们还可以提供很灵活的访问权设定和访问容量设定等更强大的功能。11）我们已经知道活动目录实施组策略可以实现强大功能，但目前我们公司的组策略管理操作起来没有一个集中设置界面，策略数量多了以后容易搞混淆，而且好像不能做组策略单独备份，只能和活动目录一起备份。现在有什么好办法更容易进行组策略的管理吗？现在有很好的工具GPMC可以对组策略（GPO）进行管理。我们可以利用GPMC对我们企业全部的组策略进行统一的集中

13、管理。包括查看目前GPO已应用到的范围，GPO的具体设置报告，编辑GPO，链接GPO到某组织单位，单独备份或还原GPO，还可以导入其它的GPO，预先模拟策略影响结果等。GPMC为我们的IT管理部门提供一个贯穿GPO使用周期的直观，操作方便，实用的组策略管理界面。12）我们企业目前通过手工配置每台客户机的IP地址，非常麻烦也不好维护更新，有什么自动化的集中控制方式吗？完全可以做到。我们可以使用Windows2003Server集成的DHCP服务为所有客户机集中地统一配置其IP地址，同时利用活动目录策略限制员工自己更改其IP地址，以上这些都是通过自动化方式完成，不再需要IT部门去手工做大量操作，从

14、而达到自动化的集中控制要求。13）如果有员工私自在自己的windows系统上安装了DHCP服务，会影响我们域网络上的正常的IP地址分配吗？不会。Windows域环境要求DHCP服务必须得到活动目录授权才能启动。如果有员工私自在windows上安装了DHCP服务，但没有得到授权是不会起作用的，这样防止了对正常IP地址分配的干扰。14）我们现在访问网上邻居上的计算机，其反应速度经常很慢，有什么办法改善吗？刚才的问题实际上是因为旧式解析服务本身机制造成的。我们可以利用Windows2003Server集成的DNS服务来构建更高效的企业网络解析服务。在这种新的解析服务机制下，可以更快的速度来找到需访问

15、的机器。同时，结合活动目录和DNS集成，可以实现更好的安全级别。15）我们的公司有很重要，敏感的信息需要在网络上传递，但只限于部分核心人员可以获得。所以除了设置信息源的NTFS权限外，IT管理部门想防止有人从网络上截取信息，可以做到吗？完全可以做到。Windows2003Server可以实现内部安全架构。可以对重要资源服务器和访问该资源的计算机，用户作为一个集合保护起来，也就是说只有处于这个集合才能访问到该资源。集合外的计算机，用户是不能访问到的，即使从网络上截取数据包，得到的也是经过加密处理的无效信息。结合活动目录甚至可以实现整个域的隔离，非域计算机无法访问到域资源。16）我们公司有一些人员

16、使用的计算机购置较早，现在运行一些大程序时性能很差，能有什么方式让他们还在那批老机器继续工作吗？可以做到。Windows2003Server集成的终端服务可以让大批员工在其办公机器上登录到数量很少的性能较好的应用程序服务器上，去使用那些大程序继续工作，满足节约固有投资的需求。17）IT部门非常担心服务器的稳定性，windows2003Server稳定吗？Windows2003Server集成了保障其稳定性的功能。可以实现在网络层上的负载均衡，比如让多个网站服务器共同承担企业环境中巨大的网站访问负荷。还可以实现故障转移群集，比如让生产数据库服务器A出故障后，自动启用数据库服务器B来继续承担企业用

17、户的数据访问应用程序的正常运行。18）现在我们公司很多资源共享分布在各部门众多的服务器上，而且有时一些部门资源需要变更其物理位置，导致用户访问资源时需要对各部门逐个服务器进行查找，很不方便，有什么方式可以让用户只去一个位置就可以看到所有的共享资源？Windows2003Server集成的分布式文件系统（DFS）服务可以实现上述需求。可以设置一个集中区域的根共享，该区域放置各共享资源的路径。众多的用户只用去访问根共享这一个位置，就可以看到并访问所有的共享资源，非常方便。而且共享资源的物理位置变更不会影响用户的使用，因为用户根本不用知道那些共享资源具体在哪台服务器上。一旦用户实际访问的共享服务器失

18、效，可以马上被转到其他正常的共享服务器。结合活动目录实现DFS还可以实现冗余和负载均衡等更多功能。19）我们公司有文件服务器供员工放置工作文件，但有些员工放置了大量其他文件占用了服务器的磁盘容量，导致其他员工不能正常使用，有什么方法解决吗？Windows2003Server可以实现对用户的磁盘占用量的分配。比如，分配员工A只能在某共享空间中放置200M的数据，员工B可以在同一个共享空间中放置400M数据。当员工A，B使用容量达到分配给他们的配额后，就不能再往那个共享空间继续放置文件了。另外，还可实现针对某个文件夹的磁盘使用量的分配。甚至还可以设置某个文件夹的分配模版，然后让其所有子文件夹都继承

19、父文件夹的容量分配额度。这样极大的方便了管理工作。20）我们公司想实现用户的“Data Follow Me”，也就是他们在任何一台客户机上登录域后，都可以看到同样的桌面环境和自己的工作文件数据，可以实现吗？Windows2003Server可以实现这个需求。利用用户漫游配置文件和主目录技术可以让用户在A客户机上登录域后，修改自己的桌面配置和属于自己的工作文件，退出后去B客户机登录域，看到的是刚才更新过的桌面配置和工作文件，也就是实现了“Data Follow Me”。21）我们销售部门人员使用移动笔记本，当他们外出时不能访问到公司网络，但还需要访问文件服务器上的共享资源（比如销售信息Excel

20、表格，销售合同Word文档等），而且可能需要在客户现场那边对销售信息，合同做及时更新，可以实现吗？Windows2003Server可以实现这个需求。利用脱机文件功能可以让销售人员在公司访问共享资源时缓存到笔记本上，外出后可以继续使用，及时更新那些文档。当销售人员回到公司网络时，自动将更新的那些文档同步到服务器上，保持一致。22）我们单位有Windows服务器和Unix服务器，能实现两者的文件共享吗？Microsoft 网络文件系统服务 (NFS) 是 Windows Server 2003 R2 的一个组件，为具有混合 Windows 和 UNIX 的环境的企业提供文件共享解决方案。Micr

21、osoft NFS 服务使用户可以使用网络文件系统 (NFS) 协议在 Windows Server 2003 R2 与 UNIX 计算机之间传输文件。公司中的资源可能有混合的 Windows 和 UNIX 环境，包含存储在 UNIX 文件服务器上的资源（例如文件）。文件服务器运行 NFS 软件时，使用 Microsoft NFS 服务可以使运行 Windows Server 2003 R2 的计算机访问这些资源。23）能实现Windows2003与 UNIX 的互操作性吗？Windows UNIX 服务提供 Windows 和 UNIX 与更新的身份管理解决方案的集成。下列解决方案有助于为跨

22、操作系统的网络资源提供不间断的用户访问和有效的管理：NIS 服务器。通过允许 Active Directory 域控制器充当一个或多个 NIS 域的主 NIS 服务器，帮助集成基于 Windows 和基于 UNIX 的网络信息服务 (NIS) 服务器 密码同步。通过简化维护安全密码的过程，帮助集成 Windows 和 UNIX 服务器。通过密码同步，用户不需要为其 Windows 和 UNIX 帐户维护单独的密码，也不需要记住在多个位置更改密码。24）我们单位经常有出差员工在外地需要通过VPN访问企业内网的资源，这种VPN认证能和我们企业局域网的活动目录域认证统一起来吗？如果我们企业有活动目录

23、环境，而且由windows2003来作为VPN服务器，那么完全可以实现由活动目录来统一验证内网登录域用户和外网VPN登录域用户。而且当域用户从VPN连接到企业内网后，进而访问其他服务器时，不用再次验证就可以访问企业运行该域用户访问的资源。也就是实现了一次VPN登录就可访问资源。1.3 构建企业IT安全架构1.3.1 当前企业面临的问题现在企业内部网络连接到互联网是最基本的要求，但是在企业网络连接到互联网后，黑客，病毒，企业内部信息外泄，变成了使内部IT人员头痛的事情，部署防火墙软件可以有效的阻止这种情况的发生,并且通过ISA产品技术专家的针对性设置，可以发挥ISA的最佳性能充分发挥ISA的功能

24、和体现其价值。由于ISA 2006的强大功能，很多企业都在考虑使用ISA 2006建立自己的防火墙。但是不少企业花了钱，自己或请一些系统集成公司部署了ISA，可并没有达到预期效果，ISA只起到了一般路由器的作用，甚至反而给企业带来了更大的安全隐患。1、 企业内部也面临很多安全问题：如公司重要服务器没有实现安全隔离，对于重要服务器的访问无法限制非授权用户进行访问；不能将企业交换机或路由集成目录服务实现基于AD（活动目录）的单一验证；用户可以随意将内部信息拷贝、打印或通过移动介质带走等下面进行简单的分析来说明该服务的必要性。目前很多企业边界安全的现状：1. 已经有Internet接入2. 有路由器

25、或带路有功能的Modem或使用一些Internet连接共享的软件3、无法防范应用层攻击4. 无法监控用户访问外网资源5. 公司的信息安全受到威胁6. 网络带宽无法被合理的利用7. 时常受到外部病毒攻击8不能通过用户名称或计算机名称限制用户（往往通过IP或MAC进行限制，缺乏灵活性，管理复杂）企业内部安全现状：2、 用户可以随意将内部信息拷贝、打印或通过移动介质带走3、 用户重要数据没有实现加密4、 公司重要服务器没有实现安全隔离，对于重要服务器的访问无法限制非授权用户进行访问。5、 用户无法实现数字签名或加密重要通信。6、 用户随意重装系统，给企业安全管理造成很大的威胁。7、 客户端计算机打补

26、丁程序的方式不统一，随意性很大，不能查看相关报表信息，给企业网络带来安全隐患，补丁包管理无法做到统一的管理与部署。（用户所安装的补丁包并没有通过管理员测试过，所以有可能和企业内部的某些应用程序相冲突，造成不可预知的问题） 用户在更新补丁包时，管理员不可以对网络的利用率进行有效的管理 管理员不可以得到补丁包安装的相关信息7、文档数据无法进行合理的权限设定，导致企业员工可以随意的将资料进行拷贝，备份。8、不能将企业交换机或路由集成目录服务实现基于AD（活动目录）的单一验证(例如：用户或计算机如果没有通过AD验证，就不能随意获取IP，随意连接到企业内部网络、随意访问企业资源等)9、病毒、蠕虫、木马间

27、谍软件随时攻击、破坏网络1.3.2 构建企业IT安全架构的目标构建企业边界安全架构的目标：举例说明，如：1）怎么样防止员工访问任意的网站？通过使用ISA Server 2006能够方便的建立策略限制员工访问哪些合法的站点,限制员工访问非法网站.2）怎么样防止员工任意的下载软件？通过ISA Server 2006可以防止员工下载具有安全隐患的软件, 比如exe文件, vbs文件, bat文件等, 使企业免受病毒或木马等恶意代码的侵扰 .3）怎么样防止员工使用任意的计算机上网？ISA Server 2006可以和微软的活动目录完美集成, 可以基于对员工的用户名建立防火墙策略. ( 比如: 防火墙不

28、允许A用户访问外网, 员工A无论登陆到企业的任何计算机, 他都无法上网. ) 摆脱了传统的限制计算机上网的规则, 提高了企业的安全等级.4）怎么样防止员工在任意的时间上网？ISA Server 2006可以针对时间做限制, 防止员工在非正常时间使用企业网络.5）怎么样限制员工上网的流量？ISA Server 2006可以针对不同的用户进行流量限制6）怎么样阻止P2P软件？当今企业饱受P2P软件的侵害, 比如QQ, MSN, BT等软件. QQ, MSN等即时聊天工具会影响员工的工作效率并有可能泄漏公司机密, BT下载会影响企业的网络带宽. 而使用普通硬件防火墙无法对它们进行限制. 而使用了IS

29、A Server 2006可以非常方便的禁止和限制这类软件的使用, 提高企业的生产效率, 提高企业的运营成本.7）防火墙能管理客户端吗?ISA Server 2006拥有客户端软件, 当企业的终端计算机安装了客户端软件并成为防火墙客户端后, ISA Server可以统一管理运行于客户端计算机上的程序, 并可以统一的管理.比如: 某一个病毒以程序的方式运行于客户机上, 管理员可以在服务器上对此程序进行限制, 大大提高企业的安全管理能力.8）ISA防火墙会降低访问公网的效率吗?ISA Server 2006拥有卓越的Web缓存功能, 可以将公网的信息缓存到ISA Server上, 优化了员工的访问

30、体验, 使员工感觉通过ISA Server上网速度更快啦!9）企业需要对外提供诸多应用服务, ISA 可以提供吗?ISA Server不仅可以对外提供几乎所有的通用应用服务比如Web, FTP, Mail等, 而且对于企业特殊的服务器也能做到安全的发布. 更可贵的是ISA Server自身提供了强大的VPN功能,能够方便的建立企业的远程访问网络, 也无需企业花费多余的资金采购额外的VPN设备,而且ISA 内建的安全特性能够非常好的保护企业的应用服务器的安全.10）企业的防火墙负载很大,万一出现宕机,则会影响整个企业的工作, ISA Server能提供高可用性的架构模型吗?ISA Server

31、2006企业版最多支持32个计算机一起工作的群集来提供服务器的高可用性和可扩展性。配置和维护非常方便, 最重要的是其价格远远低于同等级硬件防火墙.11）对于企业网关我想部署防病毒产品来保护, 但是使用当前的网络架构, 我不得不要专门添置一台网关防病毒服务器, ISA有防病毒功能吗?ISA Server 2006做为企业级网络防火墙，它本身是无法提供防病毒功能。但是有众多厂商为其提供了强大的技术扩展，比如McAfee、Symentac、Panda、Kaspersky等防病毒厂商已经有了一整套面向ISA Server 2006的网关防病毒产品，相对而言，企业有了更多的选择。12）领导想查看这段时间的网络状况, 现在的硬件防火墙的报表信息太少了, ISA 这方面如何?ISA Server 2006提供了一系列监视工具，可以实时监控防火墙、Web Proxy和SMTP邮件的日志。管理员可以轻松的查看过去、实时和根据表达式筛选的日志，从而使管理员能够更轻松地保证网络的正常运行，并在必要的时候更轻松地进行故障排除。对于管理员还可以配置报告生成工具在某个报告完成后打印出完整的报告表单提供给领导审阅.13）我的企业有了硬件防火墙, 如果使用ISA后, 难道就要舍弃我的硬墙吗?不需要! IS