企业IT基础架构规划.docx

1、企业IT基础架构规划IT基础架构整体解决方案北京莱特思科技有限公司2018年8月文档历史记录编号日期版本描述作者审阅者12008-07-251王刚目录第1章 简介 1第2章 IT基础架构整体解决方案 32.1 概述 32.2 架构图 32.3 架构图说明 3第3章 AD 53.1 概述 53.2 什么是活动目录 63.3 活动目录如何工作 63.3.1 层次式组织 63.3.2 面向对象的存储 73.3.3 多主复制 83.4 使用活动目录服务的好处是什么 93.4.1 简化管理 93.4.2 活动目录如何简化管理 103.4.3 加强安全性 113.5 站点 123.5.1 站点的概念 12

2、3.5.2 站点的功能 123.5.3 站点和域的关系 123.6 组织单元 133.6.1 组织单元的概念 133.6.2 组织单元的用途 133.7 AD架构 133.7.1 架构图 143.7.2 架构图说明 143.7.3 推荐做法 15第4章 SCCM 184.1 功能描述 184.1.1 资产管理 184.1.2 软件分发 184.1.3 软件更新管理 204.1.4 操作系统部署 224.1.5 报表功能 244.2 SCCM架构设计 254.2.1 架构图说明 264.2.2 站点设计 284.2.3 站点类型 294.2.4 站点名称和代码设计 304.2.5 站点系统 30

3、4.2.6 站点边界 314.3 客户端的发现与部署 324.3.1 客户端的发现方法 324.3.2 客户端部署方式 334.3.3 客户端功能启用 344.4 SCCM防火墙端口需要 354.5 相关案例 35第5章 SCOM 375.1 概述 375.2 架构图 375.3 架构图说明 375.4 SCOM功能 385.5 相关案例 38第6章 EXCHANGE 396.1 概述 396.2 角色说明 406.3 架构图 416.4 架构图说明 416.5 相关案例 42第7章 OCS 427.1 概述 427.2 架构图 437.3 架构图说明 437.4 相关案例 44第8章 FCS

4、 448.1 概述 448.2 优点 458.2.1 统一的保护 458.2.2 简易的管理 458.2.3 关键可见性与控制 468.3 架构图 478.4 架构图说明 478.5 相关案例 48第9章 后期运维 48第10章 所需产品及其数量 49第1章 简介纵观世界经济的发展，经济全球化进程明显加快，信息化已成为全球化的迫切需要和必要保证。世界范围的产业结构调整和信息技术进步，必将对中国信息产业的发展产生深刻影响。 今天，随着IT应用的深入，IT与业务的关联越来越紧密，在大幅提升业务运营效率的同时，也带来了越来越多的问题：适应变革的灵活性差、技术体系复杂混乱、技术标准不兼容、技术系统互操

5、作性差、系统安全脆弱、IT系统管理不规范等。事实上，传统的企业IT系统尽管计算能力不断提升，但是适应性却越来越低，业务与IT之间的鸿沟已经逐渐成为影企业持续发展的桎梏。此次IT规划主要是为了实现大范围内客户端统一管理，统一监控，邮件收发，统一通信以及防病毒管理。为了满足该要求，我们推荐采用微软产品来实现以上的管理，主要包括WINDOWS2003、SCCM2007、SCOM2007、EXCHANGE2007、LCS2007以及FOREFRONT。贵公司的组织架构主要为北京总部、5个部门分布在不同地区，各部门通过2M带宽与总部进行联系，这样的跨地区式分布环境正好符合了微软产品的特性。为了更好的管理

6、分布式环境中的计算机，我们将采用“活动目录”进行统一管理，我们采用单域多站点的方式，不仅满足了分布式管理的要求，由于每个地区都会放置部分“活动目录服务器（DC）服务器”，每个地区的客户端会首先登陆本地的DC，因此性能上也有所提高。统一软件安装和补丁管理我们则采用微软的（System Center Configuration Management 2007）SCCM2007来实现，SCCM2007不仅可以实现统一安装软件和补丁管理，还可以实现软/硬件资产清单，远程协助等功能，能够很好的帮助IT管理员统计资产信息以及当客户端出现部分小问题时，管理员可以通过远程连接的方式帮助客户端解决问题。对于服务

7、器而言，我们很需要一个软件能够及时的发现服务器问题所在并且能够及时的告之管理员，System Center Operation Manager 2007(SCOM2007)可以帮助我们很好的监控服务器的性能，日志以及应用，当出现问题时，SCOM可以及时通过邮件的方式通知管理员，不仅如此，我们还可以通过脚本的方式实现多种功能，比如我们曾经就在农行实现SCOM远程声音报警的功能。在邮件系统方面，EXCHANGE2007可以说是最好的邮件系统，它不仅很好的与我们的OUTLOOK进行了集成，而且还可以通过WEB的方式进行访问，这样即使我们在外地出差没有带自己的电脑，也可以通过公共计算机登陆我们的邮箱进

8、行收发邮件的功能。EXCHANGE2007最新的特性在于其集成了语音功能，也就是说他可以发送和接受语音邮件。当客户打电话到你公司内部某台电话上时，如果当时未接，PBX网关可以直接提示该客户语音留言，然后通过邮件的形式发送到你绑定的邮箱，当你打开邮箱时，可以直接通过邮件正文听取到该留言内容，但目前语音功能仅支持Cisco CallManager 5.x。企业内部为了更快更好的进行沟通，即时通信是必不可少的。微软的Microsoft Office Communicator 2007（OCS2007）可以做到企业内部的即时通信，其中包括文字和语音、视频。不仅如此，OCS2007还支持与电话进行集成，

9、如果我们想给某个同事，但是一时又记不起来电话，这时你只需要打开OCS，选中其OCS帐户，即可通过该帐户进行电话沟通。但为了完成该功能，还需要另外购置设备，例如Avaya 媒体服务器。最近这几年，病毒大量爆发，木马软件随处可见，因此企业IT安全成为首要任务，我们除了在边界增加网关、IDS，防病毒网关，还需要针对每台计算机进行防病毒管理，Microsoft Forefront Client Security （FCS）成为微软安全解决方案里，桌面安全的首选软件。FCS的杀毒功能非常强大，FCS提供实时监控，定时后台扫描以及强大的报表功能，不仅很好的解决了病毒防治，而且管理员可以通过其报表功能查看近

10、期病毒爆发情况，做到了心中有数，防患于未然。接下来我们就针对贵公司当前状况，做出更加详细的IT基础架构解决方案。第2章 IT基础架构整体解决方案2.1 概述首先我们根据贵公司现有组织架构以及需求分析，从性能以及长远发展角度考虑，做出了整体解决方案，我们将采用上面所提到的几个产品来满足公司的需求，但可能某些产品可以实现多种角色，我们将在整体架构中进行体现。2.2 架构图2.3 架构图说明我们以总公司为核心，通过2M带宽与各个分公司相连。我们在总公司放置2台DC主要是让总公司的客户端进行登陆，其他分部门的客户端登陆首先访问的是本地的DC，因此性能上会有很大的提升，而每个地区各放置两台DC的目的不仅

11、是流量负载，而且也可达到容错的效果，如果日后某个地区的员工数突然增多，我们只需要添加相应的DC即可。而SQL SERVER主要是为SCCM、SCOM提供数据存储的，在这里我们通过群集（CLUSTER）模式，配合存储设备达到容错的目的（不提供负载平衡的能力）。SCOM采用两台的目的主要是为了容错（SQL CLUSTER），SCOM主要是用来监控服务器的，而目前服务器数量也并不是很多，故可以满足当前企业的要求。如果日后人数增多或者有新的地区建立部门，我们只需要增加新的服务器即可轻松满足要求。我们将采用SCCM所需数据库进行CLUSTER设置（需要存储配合），SCCM的角色中只有MP支持网络负载平衡

12、，因此我们将会对MP进行网络负载平衡（LNB），并将这两台SCCM根据其角色进行划分，保证其在高性能的情况下运行。EXCHANGE同样每个地区放置两台不仅实现了容错，也实现了负载平衡（EXCHANGE本身功能），但由于EXCHANGE也需要存放大量数据，因此EXCHANGE的邮箱存储功能需要存储设备的配合，建议使用SAN。我们在每个地区存放两台EXCHANGE服务器，至少可以满足4000人的访问，如果不是访问量有太大的变化，至少可以满足未来3年内的邮件访问。这里我们主要说的是FCS以及OCS。我们在总部放置两台FCS服务器主要是为了实现冷备，由于FCS并不支持群集以及容错，因此同时只能有一台进

13、行工作，当一台损坏，我们需要通过手动的方式让另外一台进行工作，然后修复损坏的服务器。FCS并不需要实时监控，当FCS损坏时，并不影响防病毒客户端对客户端计算机进行监控，因此我们允许间断时间。我们之所以只在总部部署两台FCS服务器，而在其他分部仅安装WSUS服务器（需要安装FCS更新模块）是因为这里的FCS服务器仅仅是为总部提供病毒库更新以及所有客户端（包括分部）防病毒信息，而防病毒信息量相对较小，而只有补丁更新流量较大，因此我们在每个地区均放置两台WSUS服务器通过网络负载平衡实现容错和流量负载，让本地客户端通过本地的WSUS服务器进行病毒库更新。我们在每个地区均安装两台以上的OCS服务器，不

14、仅可以起到冗余的作用还可以实现负载平衡。我们将每个地区的OCS划分为不同的“池”，这样每个地区的客户端可以自动登陆到本地区的OCS服务器上，这样在性能上会有很大的提升。接下来我们就针对每个功能进行详细介绍。第3章 AD3.1 概述今天，对于在商业运作中保持竞争力而言，网络化计算变得比以往任何时候都更为重要。为此，就要求现代化的操作系统具有管理存在于构成网络环境所需分布式资源中的一致性和关联性的机制。目录服务提供一定空间，用于存储与基于网络的实体相关的信息，例如应用程序、文件、打印机和人员。同时，该服务也提供用于命名、描述、定位、存取、管理及保证独立资源信息安全性的一致性方法。 更形象地说，目录

15、服务在网络操作系统中扮演着一个接线总机的角色。它是通过对一致性进行管理，并调度那些分布式资源间关联，从而使它们共同工作的中心授权机构。由于目录服务提供这些基础的网络操作系统功能，它必须与用于管理和提供安全性的操作系统机制紧密结合在一起，从而保证网络的完整性和保密性。同时，目录服务也在组织机构的下列能力中发挥至关重要的作用，这些能力包括：定义和维护网络基础构件的能力，执行系统管理的能力以及控制一家公司信息系统中全部用户经验的能力3.2 什么是活动目录活动目录是Windows 2003网络体系结构中一个基本且不可分割的部分。它在Windows 2000操作系统的域结构基础上改进而成，并提供了一套为

16、分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。 总的来说，活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中，同时，无需管理员来维护各种不同的专用目录。3.3 活动目录如何工作活动目录允许组织机构按照层次式的、面向对象的方式存储信息，并且提供支持分布式网络环境的多主复制机制。 3.3.1 层次式组织活动目录使用对象来代表诸如用户、组

17、、主机、设备及应用程序这样的网络资源。它使用容器来代表组织（如市场部）或相关对象的集合（如打印机）。它将信息组织为由这些对象和容器组成的树结构，这与Windows操作系统用目录和文件来组织一台计算机上信息的方法非常类似。此外，活动目录通过提供单一、集中、全面的视图来管理对象集合和容器集合间的联系。这使得资源在一个高度分布式的网络中更容易被定位、管理和使用。活动目录的层次式结构具有灵活性并且可以进行配置，因此，组织机构能够按照一种优化自身可用性和管理能力的方法对资源进行组织。 在上图中，容器用来代表用户、主机、设备和应用程序的集合。容器可以被嵌套（在一个容器中创建另一个容器），从而精确反映公司内

18、部的组织结构。在这个例子中，市场和人力资源组织容器代表它们各自的部门以及它们在公司内部的相互联系。将对象组织在目录中允许管理员在一个宏观层次上（作为集合）管理对象而非采取一对一的方式。这种方式在允许组织机构根据其自身商务运作来安排网络管理的同时，更增加了管理的效率和准确性。3.3.2 面向对象的存储如前所述，活动目录用对象的形式存储有关网络元素的信息。这些对象可以被设置属性来描述对象的特征。这种方式允许公司在目录中存储各种各样的信息并且密切控制对信息的访问。如上图所示，对象和属性级安全性允许管理员精确控制对存储在目录中的信息访问。例如，一个为Bob Jones创建的存储在目录中的用户对象拥有用

19、于记录Bob的姓名、电子邮件地址、电话号码和社会保险号码的属性。活动目录允许管理员为对象的每一个属性和对象自身分配访问权限。在这个例子中，系统管理员允许对Bob Jones对象进行全局访问，却封闭了对其社会保险号码的访问。3.3.3 多主复制为了在分布式环境中提供高性能、可用性和灵活性，活动目录使用多主复制。如下图所示，这种机制允许组织机构创建被称作目录复制的多个目录拷贝，并把它们放置在网络中的各个位置上。网络中任一位置上的变更都将自动被复制到整个网络上（这与单主复制机制相反，在单主复制中，所有变更必须针对单一的、授权的目录复制）例如，完全同步的目录复制能够使活动目录在广域网（WAN）中的每个

20、位置上均可使用。因为用户可以使用本地目录服务而非在广域网中漫游来定位资源，该过程能够向用户提供更高速的网络性能。根据可用的管理资源情况，这些相同的目录可在本地或远程进行管理。3.4 使用活动目录服务的好处是什么完全集成到Windows 2000 服务器版中的活动目录为网络管理员、开发者和用户提供了访问目录服务的能力，这样可以： (1)简化管理任务 (2)加强网络安全性 (3)通过互操作使用现存网络3.4.1 简化管理分布式系统常常导致时间的消耗和管理的冗余。当公司在他们的基础结构上添加应用程序并雇用新的职员时，他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。通过在单一的位置管理用户、

21、组和网络资源以及分发软件和管理桌面系统配置，活动目录可以显著降低公司的管理费用。例如，活动目录在同一个位置管理Windows 2003用户和Microsoft Exchange邮箱信息。基于下列原因，活动目录可以从以下方面帮助公司简化管理： 消除冗余管理任务 提供对Windows用户账号、客户、服务器和应用程序以及现存目录同步能力进行单一点管理。 降低桌面系统的行程 针对用户在公司中所担当的角色自动向其分发软件，以减少或消除系统管理员为软件安装和配置而安排的多次行程。 更好的实现IT资源的最大化 安全地将管理功能分派到组织机构的所有层次上。 降低总体拥有成本（TCO） 通过使网络资源容易被定位

22、、配置和使用来简化对文件和打印服务的管理和使用。3.4.2 活动目录如何简化管理以层次化组织用户和网络资源，活动目录使管理员拥有对用户账号、客户、服务器和应用程序进行管理的单一点。这就减少了冗余的管理任务，同时，通过让管理员管理对象组或容器而非每个独立的对象来增加管理的准确性。活动目录允许管理员分派特定的管理权限和任务给单独的用户和组，以便更好地使用系统管理资源。如上图所示，特定的管理任务，例如重新设置用户密码，可以被分派给市场机构的办公室管理员。更多的特权功能，如创建用户，可以为IT管理员保留。 活动目录也允许组织机构针对用户在公司中所担当的角色自动地将软件分发给他们。例如，一个公司可以指定

23、职员容器中的所有用户（无论是从哪里登录到网络上的）均可使用人力资源管理应用程序。活动目录集中存储这些信息，同时，应用智能镜像管理技术自动安装所分配的应用程序，并给予用户访问其桌面系统的能力而无论用户正在使用网络中的哪个工作站。 除了使网络管理对于管理员而言更加容易外，活动目录同时也使每个人对网络的使用都变得更加容易。例如，用户为了找到诸如打印机这样的网络资源可以直接查询目录。由于目录能够存储对象的属性，它可以存储组织机构中打印机的位置和能力信息并使这些属性成为查询标准-以至于用户可以通过Windows的开始菜单直接查询六号建筑物中的彩色打印机。此外，目录可以从桌面计算机的操作系统中查阅安装一台

24、新打印机所需的全部配置信息-以至于当用户找到所需的打印机时，便可立即使用它。3.4.3 加强安全性强大且一致的安全服务对企业网络而言是必不可少的。管理用户验证和访问控制的工作往往单调乏味且容易出错。活动目录集中进行管理并加强了与组织机构的商业过程一致、且基于角色的安全性。例如，对多身份验证协议（如Kerberos，X.509认证以及由灵活的访问控制模型组成的智能卡）的支持实现了对于内部桌面系统用户、远程拨号用户和外部电子商务客户强大且一致的安全服务。活动目录使用以下方法增强安全性： 改进了密码的安全性和管理 通过向网络资源提供单一的集成、高性能且对终端用户透明的安全服务。 保证桌面系统的功能性

25、 通过根据终端用户角色锁定桌面系统配置来防止对特定客户主机操作进行访问，例如软件安装或注册项编辑。 加速电子商务的部署 通过提供对安全的Internet标准协议和身份验证机制的内建支持，如Kerberos, 公开密钥基础设施（PKI）和安全套接字协议层（SSL）之上的轻便目录访问协议（LDAP）。 紧密的控制安全性 通过对目录对象和构成他们的单独数据元素设置访问控制特权。3.5 站点3.5.1 站点的概念Active Directory 中的站点代表网络的物理结构或拓扑。Active Directory 使用拓扑信息（在目录中存储为站点和站点链接对象）来建立最有效的复制拓扑。可使用“Activ

26、e Directory 站点和服务”定义站点和站点链接。站点是一组有效连接的子网。站点和域不同，站点代表网络的物理结构，而域代表组织的逻辑结构。3.5.2 站点的功能站点有助于简化 Active Directory 内的多种活动，其中包括： 复制。通过在站点内更为频繁（与站点之间复制信息相比）地复制信息，Active Directory 平衡对最新目录信息的需求与对优化带宽的需求。您还可以配置站点间连接的相对开销，进一步优化复制。 身份验证。站点信息有助于使身份验证更快更有效。当客户端登录到域时，它首先在其本地站点中搜索可用于身份验证的域控制器。通过建立多个站点，可确保客户端利用与它们最近的域

27、控制器进行身份验证，从而减少了身份验证滞后时间，并使通讯保持在 WAN 连接以外。 启用 Active Directory 的服务。启用 Active Directory 的服务可利用站点和子网信息，使客户端能够更方便地找到最近的服务器提供程序。3.5.3 站点和域的关系在 Active Directory 中，站点反映了网络的物理结构，而域反映了组织的逻辑或管理结构。这种物理和逻辑结构的区分提供了下列好处： 可以单独设计和维护网络的逻辑和物理结构。 不必使域命名空间基于物理网络。 可以为相同站点中的多个域部署域控制器。也可以为多个站点中的相同域部署域控制器。3.6 组织单元3.6.1 组织单

28、元的概念包含在域中的特别有用的目录对象类型就是组织单位。组织单位是可将用户、组、计算机和其他组织单位放入其中的 Active Directory 容器。它不能容纳来自其他域的对象。组织单位是可以指派组策略设置或委派管理权限的最小作用域或单元。使用组织单位，您可在组织单位中代表逻辑层次结构的域中创建容器。这样您就可以根据您的组织模型管理帐户和资源的配置和使用。3.6.2 组织单元的用途使用组织单位可帮助您将网络所需的域数量降到最低。使用组织单位创建可缩放到任意规模的管理模型。用户可拥有对域中所有组织单位或对单个组织单位的管理权限。组织单位的管理员不需要具有域中任何其他组织单位的管理权限。3.7

29、AD架构为了满足现有环境的需要以及适应日后的扩展性，我们针对AD进行如下规划：3.7.1 架构图3.7.2 架构图说明贵公司将采用单域进行管理，软件采用WINDOWS2003活动目录，单域管理是微软推荐的一种做法，总公司和各个分部门各部署两台DC，主要有以下几点：3.7.2.1 优点采用单域结构管理简单，总公司和分公司共用同一域名，公司使用OU将其区分，总公司拥有整个域的管理权限，通过权限委派将单个OU指派给分公司管理员进行管理，如果分公司没有管理员，也可通过总公司进行管理。不仅如此，采用单域结构相对比较灵活，容易扩展，日后如果公司组织结构有所变动，只需删除或者添加OU即可完成。所有公司采用同

30、一域策略，因此只需配置一次策略即可完成多所有分公司的管理，如果某公司有特殊要求也可单独针对OU进行配置。虽然采用单域结构，但是由于贵公司各部门与总公司之间并未采用高速的专线进行连接，如果只在总公司部署两台DC，分公司客户端登陆势必将会很慢，因此我们采用单域多站点方式，在总公司和各个分公司均部署两台DC，通过站点将各个公司划分开来，当该分公司或总公司客户端登陆时，首先选择的是本站点（同一地理位置）的DC，除非该站点的DC全部损坏，否则客户端是不会选择其他站点（不在同一物理位置）的DC。我们在每个站点（各个分公司）分别部署两台DC当该站点其中一台DC损坏时，该站点的客户端会通过另外一台DC进行登陆

31、，这样避免了客户端通过非本站点的DC进行登陆。如果本地两台DC同时损坏，那么客户端会通过远程去随机选取带宽相对较好的DC进行登陆，但通常情况下，两台DC同时损坏的几率非常的小，除非出现特殊情况。3.7.2.2 缺点采用单域结构，由于所有站点中的DC属于同一级别，因此只要对AD有所更改所有站点间都需要进行复制，因此站用带宽相对较高，但是我们可以通过站点进行划分，并设置每天晚上进行复制，带宽问题可以得到很好的解决。不过这样一来各DC间同步可能需要时间，因此数据可能会有不统一的问题。如果AD发生变化必须立刻让各DC间的数据进行复制，我们也可手动触发的方式进行同步。采用双DC虽然起到了容错的功能，但是硬件成本上会有所提高，如果公司预做不到每个站点部署两台DC时，我们也可在分公司各放置一台DC作为登陆，但我们不推荐这样做。3.7.3 推荐做法3.7.3.1 主机角色规划作为DC，共有5种角色分别为客户端提供服务，他们是架构主控、域命名主控、RID主控、PDC仿真主控以及基础结构主控。 架构主控主要是管理整个AD环境当中的架构，也就是AD的框架。 域命名主控是管理域的逻辑划分的，如果你想删除或者添加一个子域，那么如果它失去了作用，也就无法添加或删除域了。