江苏电力ActiveDirectory及SMS部署方案Word文件下载.docx

1、A 建议采用分布式DNS结构，及同AD集成。B 根域DNS服务器上设置委派到各个子域的DNS服务器C 各个子域建立自己的DNS服务器，利用转发器到根域DNS服务器，或者建立根域的DNS备份区域。D 每个域中的的DC同时作为DNS服务器，互为备份。站点规划：A 建议以英文字母为站点命名规则。B 省公司，常州，泰州及淮阴之间的WAN连接为高速连接，可以放置在一个站点。C 与以上四个城市相连的其他子网，划分为不同的站点。D 站点列表：1） CentralSite 省公司，常州，泰州及淮阴2） NJSITE 南京3） YZSITE 扬州4） ZJSITE 镇江5） WXSITE 无锡6） SZSITE

2、 苏州7） NTSITE 南通8） YCSITE 盐城9） XZSITE 徐州10） LYGSITE 连云港11） SQSITE 宿迁 以上站点的命名，可以根据实际情况修改域及站点拓扑图：域控制器和全局编录（Global Catalog）的布置：A 建议每个域放置两个域控制器，其中一台设为全局编录。B 在CentralSite站点，根域、省公司域、泰州域、常州域及淮阴域在一个站点，属于站内复制。域控制器命名规则基于域名称来命名域控制器: 域名 + “DC” + 数字。例：JSEPC.COM.CN DC 名称： JSEPCDC01, JSEPCDC02 SJ.JSEPC.COM.CN DC 名称

3、： SJDC01, SJDC02FSMO Roles 配置Domain Naming Master和Schema Master在根域JSEPC.COM.CN的域控制器上。根域的Infrastructure Master 放在非全局编录域控制器。根据域控制器的布置，作为全局编录域控制器持有PDC，RID，非全局编录的域控制器持有Infrastructure Master. 域控制器信息表域名Site域控制器名称IP地址全局编录 （GC）FSMOJSEPC.COM.CNCentralSiteJSEPCDC01172.16.0.103YesDomain Naming, Schema, PDC, RI

4、DJSEPCDC02172.16.0.104NoInfrastructure MasterSJ.JSEPC.COM.CNSJDC01172.16.0.105PDC, RIDSJDC02s172.16.0.106Active Directory 部署安装并提升各个域控制器1 安装根域DNS服务器,根域控制器，包括 操作系统，Service Pack、Security Patches运行DCDIag检查DC是否工作正常。建立站点信息，配置SubNet信息，与各站点的IP地址范围对应。配置域用户与密码策略2 安装根域第二台域控制器。检查复制情况。3 安装CentralSite上省公司域控制器，并作为

5、全局编录。建立省公司域的DNS服务器，建立根域DNS的备份区域或者设置转发器到根域DNS。在根域DNS上建立委派到省公司域DNS。安装省公司第二台域控制器。4 重复3，分别安装常州，泰州及淮阴的域控制器。5 安装每个地级市域控制器，并根据WAN的状况配置Site Link。分支机构的域控制器的安装有两种方式，一种是分别到各个地市利用WAN来安装和复制；另一种是在CentralSite集中安装，利用快速网路来复制，基本步骤为： 1 将操作系统安装在服务器上，包括 Service Pack、Hotfix 解决方案、疑难解答工具、监视工具和内部开发的脚本。2 确认安装 （QA1） 3 将服务器提升为

6、域控制器 4 确认提升 （QA2） 5 将计算机运送至目的地培训管理员（3 天）Best Practice通过使用组策略向特定组指派软件软件发布314934 HOW TO: Use Group Policy to Remotely Install Software in Windows 2000278503 Best Practices for Using Update.msi to deploy Service Packs三278503 Best Practices for Using Update.msi to deploy Service Packs企业安全利用网路诊断工具：321708

7、 HOW TO: Use the Network Diagnostics Tool （Netdiag.exe） in Windows 2000用户及密码策略计算机帐户管理：320187 HOW TO: Manage Computer Accounts in Active Directory in Windows 2000 SMS 2003的部署方案SMS 主要站点系统（Site System）介绍SMS Site Server：SMS 服务器，也就是安装SMS的服务器。一个站点（Site）有且仅有一台Site Server。除了Site Server，根据IT计算环境，还可以设计一些Site

8、System的角色（role）来分担Site Server 的功能： Client Access Point （CAP，客户访问点）：这是Legacy Client和SMS Site Server之间的桥梁。CAP将所有Legacy Client的数据传递给Site Server；Legacy Client通过CAP获得来自Site Server的管理信息。 Distribution Point（DP，分发点）：DP主要保存着软件分发中的软件包。DP承担着大部分来自客户端的网络负载。较好的做法是专门安排一台或多台DP。 Management Point（MP，管理点）：这是Advanced C

9、lient与SMS Site Server间的沟通纽带。就像CAP，MP提供了Advanced Client的配置信息及软件分发的公告通知（Advertisement）。同时，MP也接收来自客户端的资产信息（Inventory），客户端状态信息（status information）等。 Server Locator Point（SLP，服务器定位点）：SLP用于Legacy Client定位CAP和Advanced Client定位MP。 Reporting Point（汇报点）：Report Point是一台专门用于生成报表的服务器，需要运行IIS。大型的Site架构推荐在不同的架构层次上

10、使用多台Report Point。具体以上角色对应服务器的要求请参见附录“系统要求”。Primary Site（主要站点）：简单的说，一个拥有自己的管理数据库的站点。Secondary Site （次要站点）：一个并不拥有管理数据库的站点。它将数据汇报给上一级的主要站点，必要时也从主要站点的数据库查询数据。Central Site（中心站点）：处于整个架构最顶端的主要站点，它不再汇报给任何站点。Parent Site Child Site（父站点子站点）：在一对Parmary Site和Secondary Site中，Primary Site是Secondary Site的父站点，Second

11、ary Site是Primary Site的子站点。当然，一个Primary Site也可已成为另外一个Primary Site的父/子站点，SMS 2003拓扑结构设计设计原则建议SMS 2003的整个拓扑结构使用两层（如下图）.所有站点（Site）都将运行在高级安全模式下.具体来说:SMS中心服务器（Central Site server）+ SQL 2000 SP3 中心服务器下面没有任何客户端. 将安装Server Location Point和Report Point.主要提供报表服务和漫游客户端定位服务.SMS Primary Site + SQL 2000 SP3在每个地级市（包

12、括省公司所在）安装一个SMS Primary Site.SMS站点代码（Site Code）命名空间规划：A 中央站点代码： HQSB 省，各地市公司为中央站点的子站点：0） 省公司： JSS1） 南京： NJS2） 扬州： YZS3） 镇江： ZJS4） 常州： CZS5） 无锡： WXS6） 苏州： SZS7） 南通： NTS8） 泰州： TZS9） 盐城： YCS10） 淮阴： HYS11） 徐州： XZS12） 连云港： LYG13） 宿迁： SQSSMS site安装.1. 安装SMS中心服务器 （一天）- 评估总的客户端数量和服务器性能. 决定SMS Site, SQL和IIS服务

13、器（SLP和RP）是否要安装在同一台机器上.- 设施域的AD Schema为可扩展. 使中心服务器的机器帐号在AD schema上有完全权限.-使中心服务器的机器帐号在AD SYSTEM Container上有完全权限.-开始进行site安装. 选择高级安全模式并扩展AD Schema.-检查site安装结果. 检查AD schema中以下四个类是否出现mSSMSManagementPointmSSMSServerLocatorPointmSSMSSitemSSMSRoamingBoundaryRange-检查System management container是否出现.-保持中心服务器的s

14、ite boundary为空.-安装Server Location Point（需要IIS）. 检查Server Location Point信息是否被写入AD.检查Server Location Point对应的IIS Virtual Server是否建立.-安装Reporting Point（需要IIS）. 检查Reporting Point对应的IIS Virtual Server是否建立.2. 在每个地级市安装SMS Primary Site （五天）- 使SMS Primary Site的机器帐号在AD SYSTEM Management Container上有完全权限.-检查在Sy

15、stem management container下对应的Site Object是否出现-把中心服务器的机器帐号添加到SMS Primary Site的本地用户组:SMS_SitetoSiteConnection_中.-把SMS Primary Site的机器帐号添加到中心服务器的本地用户组:-设置SMS Primary Site的父site为SMS中心服务器.-检查Site之间的通讯是否正常3. 配置SMS Primary Site（五天）-创建一个域管理员帐户作为所有SMS Primary Sites的Client Push Installation Account.-创建若干（至少两个）

16、普通域帐户作为所有SMS Primary Sites的SMS Client Connection Account和Advanced client network access account.-配置SMS Primary Sites的site Boundary. 使用IP subnet和AD site name作为site Boundary.-根据客户端数量为每个SMS Primary Site添加management Point和Distribution Point.Management Point可以有多个,并用NLB来平衡负载.Distribution Point可以有多个. 下图是一个

17、负载平衡的释义图:4. 分发客户端并检查客户端状态（十四天）-选择客户端发现方法（建议使用Active Directory system discovery和Active Directory system Group Discovery）.-使用Active Directory system discovery来发现在线的客户端.-根据客户端数量和客户端操作系统的情况来选择客户端安装方法.5. 测试SMS客户端的功能（七天）-测试硬件,软件资源的收集-测试基于AD site或OU的软件分发. 6.报表测试（一天）-测试报表功能.-新建特定的报表组件7. 设置并测试SMS高级客户端的漫游功能（五

18、天）-为每个SMS Primary Site添加Romaing Boundary. 以是否有本地的Distrition Point作为依据.-测试高级客户端的漫游功能SMS管理员培训 （三天）附录Site Systems（Site Server及其他Site Systems）的基本要求Computer/Processor550MHz or faster; Intel Pentium/Celeron family, or compatible processor recommended. 2 GHZ or above is recommended.Memory256MB of RAM （maxi

19、mum 4GB of RAM）. 1 GB or above RAM is recommended.Hard Disk2GB of available hard disk space on an NTFS partitionDriveCD-ROM or DVD-ROM driveDisplayWindows2000-compatible video graphics adapterPeripheralKeyboard and Microsoft Mouse or compatible pointing device, or hardware that supports console redi

20、rectionNetworkNetwork adapter, 10M or fasterOperating SystemWindows Server 2003Database（If required）SQL Server 2000 SP3针对特定角色的要求Site Server：作为SMS的核心服务器，应该有较高的配置，尤其在CPU （推荐：2 GHz）， Memory （推荐： 1 GB以上）及网络（推荐： 100M）方面。Primary Site Server：在Site Server中，如果是主要站点服务器（Primary Site Server），它还要进行与数据库相关的操作，可以考虑

21、配置在适当提高。Central Site Server：在所有的主要站点服务器中，中心站点（Central Site）又承担着中心节点的任务，大部分子站点的数据都会汇报到此。因此，考虑到数据处理及网络的性能，它的CPU，Memory和网络的配置应是最高的。Client Access Point：NTFS分区。由于Legacy Client主要联系CAP，CAP的网络配置应较好，可以考虑100M。Distribution Point：为了提供更好的性能（针对Advanced Client），可在该DP上安装IIS并允许BITS服务。Management Point：必须安装IIS和BITS。Re

22、porting Point:必须安装IIS。如果需要图形报表功能，必须安装Office Web Component（MicrosoftOffice 2000 SP2或Microsoft Office XP）。SLP: IIS必须安装。B.通过登录脚本安装客户端SMS 2003的客户端的部署有多种方式。登录脚本的方式只是其中一种，适用于所有支持的操作系统，适用于两种SMS客户端（Legacy Client,）Advanced Client ）。理论上只要脚本配置正确，用户登录到域就会开始SMS 2003的客户端的安装。以下参考脚本适用于如下情形：对于所有符合条件的客户端（Windows 2000

23、, XP, Windows Server 2003），都安装Advanced Client。对于Windows 98，安装Legacy Client。1.将SMS2003Cli.bat配置成用户的登录脚本。将SMSClientI386下的所有文件复制到DC上的NetLogon下。将LogonScript.zip解压到NetLogon下。2. 对于Windows 98的机器，该脚本会运行以下部分：:WIN98Start /wait /m SMS1026DCNetlogon98Legacy.exeIF NOT EXIST C:98Legacy.LOG GOTO ENDstart /wait /m

24、SMS1026DCNetlogoncapinst.exe /SLP=SMS1026SMSSQL /AUTODETECT=0GOTO END说明：- 98Legacy.exe主要用于判断Legacy Client是否已经安装。如果Legacy Client没有安装，将会生成一个日志文件，C:98Legacy.LOG。 98Legacy.exe是由98Legacy.IPF用SMS Installer编译而来，必须根据实际需要自定义判断条件。- 如果日志文件存在，capinst.exe将会运行，安装Legacy Client。- SMS1026DC是DC名。- SMS1026SMSSQL是SLP名。

25、3. 对于其他操作系统，SMS2003Cli.bat则会调用相应脚本：NINEecho Windows XP Professional/Personal Installation%p0WinXPDeploy.vbsgoto ENDEIGHTecho Windows NT Enterprise/Terminal Server Non-Domain ControllerREM %p0NT4Deploy.batSEVENecho Windows NT Enterprise/Terminal Server Domain ControllerSIXecho Windows 2000 Server Domain Controller.%p0Win2KDeploy.vbsFIVEecho Windows NT Server Domain Controller.FOURecho Windows 2000 Server Non-Domain Controller.THREEecho Windows NT Server Non-Domain Controller.TWOecho Windows 2000 Professional installation.ONEecho Windows