AD销售方案.docx

普瑞特办公设备IT核心基础架构方案致 XXX公司系统工程师：许浩2014-04-14当今的IT基础架构建设已经不再是简单的购置及安装服务器，需针对企业的实际环境评估、规划、建置合理及具扩展性的IT核心基础架构平台才能为企业长期发展奠定坚实的基础！前言随着中国企业信息化建设进程不断深化，越来越多的企业在IT基本架构上呈现了分散化的问题。由于我国的信息化建设起步较晚，加上普遍IT建设资金的不足，先期的IT 投入着重在纵向（即基于业务部门的应用）建设，而忽略横向的基础架构的整体规划。而随着企业越来越多的应用系统建设上线，企业逐渐发现内部IT技术重复投资日益严重。几乎每一套应用系统都会有自己独立开发的用户身份管理和验证系统，这些公用功能又不能在系统之间得到共享，导致了整体IT管理分散化，工作效率降低，这样在企业发展到一定阶段后会带来诸多弊端，倘若从新考虑IT技术架构整合，不仅会带来巨额的IT成本，更有可能造成所有应用系统的终端，因此一开始就规划并建立完善的IT核心基础架构平台，不仅可以为依赖于它的应用系统的整合带来的巨大的便利，同事减少重复的IT投入及IT运维的成本。IT核心基础架构合理与否已经直接关系到企业信息化发展乃至企业生存的一个重要环节方案背景面对我国企业在IT建设方面普遍存在的重“纵”轻“横”现象，我们的企业在实际工作当中会遇到很多亟待解决的问题：首先，是IT管理分散化的问题。由于技术、业务、资金等多种原因，公司和子公司往往各自先独立发展自己的信息系统。这必然导致IT管理上的分散，缺乏统一建设信息系统的规划，同时也为日后的信息整合增加了复杂度和难度。以微软曾经服务过的企业宝钢国际为例，他们有多套基于数据库的Web应用。最早各个系统之间没有实现将客户端，网络操作系统和用户信息等统一管理的目录服务架构；大约1000个客户端为WindowsXP/2000，Win9x处于工作组模式，需要分散进行维护。而这种分散管理状态，对于信息管理部门和最终用户都会造成诸多不便。对管理部门，每增加一套系统，需要增加一套用户管理和验证，这种重复投资现象极大的增加了应用管理负担；另一方面，各种桌面终端机器处于工作组模式，这种松散的管理不只增加了日常IT运维费用，还成为了整个网络安全中最为脆弱的一环，降低了整个网络系统的安全性。对最终用户，没有统一的目录服务，寻找任何网络资源都成为问题，即便是对于最基础的网络打印机，文件服务器等，在没有目录系统管理的情况下也要花费时间，无法方便实现。同时，多种系统意味着要多套帐户、多套密码来登陆多个应用，用户管理密码就成为一个很大的负担。再加上没有统一的系统管理，桌面终端的安全还要用户自行维护，这也为最终用户带来了不便。其次，资源无法有效共享的问题。由于管理分散，企业内部没有统一的IT管理标准和技术规范，公司各部门分别采购建设自身的IT系统，相互之间采用的技术也各不相同，这就必然导致各部门之间的IT系统兼容问题。最直接的后果就是信息不能通过网络传递，信息资源不能有效共享。有时一个简单的文件交换都要通过人工方式传递，公司内部形成了一个个信息孤岛，这对企业的管理极为不便。实际上，我们细致分析企业面对的上述种种问题，其实就是需要一套有效的解决方案，将企业原本互不相连甚至是互不兼容的信息孤岛统一在一个系统内，将客户端，网络操作系统和用户信息等统一管理。而从目前看，要解决这个问题，微软提供的企业活动目录架构解决方案就是一个很好的选择；我们利用这个系统架构主要解决以下问题：企业IT面临的问题普瑞特解决方案多套系统时，身份管控难单点登录，集中验证名称不统一，电脑难定位规范命名，动态清单用户权限大，软件肆意装集中部署，权限委派上网无管控，带宽永不够软件限制，行为管理软件无更新，更新不及时统一更新，集中监控电脑易中毒，传播危害大集中防毒，自动更新资料太分散，共享不安全集中存储，权限管控权限无管控，资料易携出带不走，带走不能用备份不统一，文件漏备份集中存储，后台备份员工离职时，恶意删资料有备无患，轻松还原部署无标准，桌面维护难规划制定，统一标准登陆多电脑，资料不同步随时随地，一致体验分支办公室，管理不到位网域整合，统一管控系统架构概述概念简述1.名称空间。名称空间是一种命名规则，通常用来定义网络资源的惟一名称。活动目录本质上就是一个名称空间，包含了很多的对象，每个对象都有自己的名字。在这里，可以把他们的关系形象地理解成是一种解析关系。如：通讯录可以形成一个名称空间，每个人的名字都可以被解析为对应的地址等信息。windows的文件系统也可以形成一个名称空间，每个文件名都可以被解析为实际的某个文件。2.对象。对象是活动目录中的信息实体。同时它也是一组属性的集合。3.容器。容器是逻辑上包含其他对象的对象，容器同样也有属性，但容器与对象不同，容器不代表有形的实体，形象地说，容器是其他对象或容器的容器。在windows server2003中的活动目录中，可以将组、用户、计算机作为容器来显示。4.目录树。目录树是指在名称空间中，由容器和对象构成的层次结构。树的末梢叶子结点是对象，而非叶子节点都是容器。目录树表达了对象的连接方式，也显示了从一个对象到另一个对象的路径。在活动目录中，目录树是基本的结构。5.组织单位。组织单位是容器的一种，它是windows server 2003中新增加的一类对象，可以用它来容纳活动目录中的其他对象。组织单位中可以包含其他组织单位。这样，管理员可以根据需要来扩展容器层次而不需要建立新域。组织单元是可以指派组策略设置或委派管理权限的最小作用单位。使用组织单位可以将网络所需的域数量降到最低，用户可以拥有对域中所有组织单位或对单个组织单位的管理权限，而组织单位的管理员可以不具有域中任何其他组织单位的管理权限。6.组。组是可以包含用户、计算机和其他组的活动目录对象，windows server 2003可以通过组来管理用户和计算机对网络共享资源的访问，还可以通过组来为用户和计算机指派统一的配额设置。组织单位与组的不同之处在于：组织单位只是一个逻辑上的容器，用于在单个域中创建对象集，但不授予成员身份；组则是用来管理其所包含的对象，组中的对象拥有该组定义的所有权限。7.用户和计算机。它们是活动目录的具体对象。用户想要登录到网络中，需要有自己唯一的账户和密码。活动目录允许经过授权用户登录到计算机或域。活动目录中的计算机指加入域中的运行windows server2003、windows2000、windowsNT系统的计算机。计算机与用户类似，也需要通过审核验证才能访问域资源。8.域。域是网络对象（用户、组、计算机等）的分组，域中所有的对象都存储在活动目录中，活动目录由一个或多个域组成。域是windows2000或server2003网络系统的一个安全界限，即安全策略和访问控制设置等都不能跨越不同的域，每个域的管理员都有权设置属于该域的策略。9.域树由多个域组成，这些域共享公共的架构、配置和全局编录能力，形成一个连续的名称空间，域树中的域通过相互信任连接起来。活动目录中可以包含一个或多个域树。也可以从名称空间解释域树的结构关系，域树中的一个域称为根域，其他或是根域中的子域。直接在一个域上层的域称为子域的父域。这样域树中的域根据子域和父域形成层次结构命名。其中各自的命名关系如下：根域为：abc.r；直接下层子域：child.abc.r；在下一层：grandchild.child.abc.r。在域树中的任何两个域之间都是双向可传递的信任关系。10.林。一个或多个域树可以组成林，同一个林中的域也可以共享相同类的架构、站点和复制以及全局编录能力，但林中的域树之间并不形成连续的名称空间。在新林中创建的第一个域是该林的根域，林范围的管理组都位于该域，为了方便管理，新创建的域最好都位于林根域或子域。同一个林内的域是按双向可传输的信任关系进行链接的。而两个windows server 2003林间的信任，可以形成两个林内所有域间信任关系，林信任只能在每个林内的林根域间创建。林信任也是可以传递的，可以单向或双向，但都需要管理员手动建立林信任。11.架构：对可以存储在目录中的对象全体的一组定义，对于每个对象类，架构都定义了该类的实例所必须拥有的属性和可能拥有的其他属性，或者可以是其父类的其他对象类。每个新创建的目录对象在写入该目录之前，都要针对架构中的相应对象定义进行验证。架构由对象类和属性组成，基础（默认）架构包含一组丰富的对象类别和属性以满足大多数单位的需要，并且还遵循目录服务国际标准组织X.500标准进行建模。架构是可以扩展的，因此可以在基础架构中修改和添加类别属性。12.站点：活动目录中的站点代表网络的物理结构。活动目录使用拓扑信息（在目录中存储为站点和站点链接对象）来建立最有效的复制拓扑。可以在windows server2003域控制器上，使用活动目录站点和服务定义站点和站点链接。站点和域不同，站点代表网络的物理结构，而域代表网络组织的逻辑结构。13.复制：复制是将更新过的数据从源计算机上的数据存储或文件系统，复制到一个或多个目标计算机上匹配的数据存储或文件系统，从而同步这些数据的过程。在活动目录中，通过复制可以同步域控制器之间的架构、配置、应用程序和域目录分区。14.全局编录：应用程序和客户能够通过全局编录数据库，定位林内的任意对象。全局编录位于林内的一个或多个域控制器上，它包含林内所有域目录分区的部分副本，而这些部分副本是林内每一个对象的副本，通常这些部分副本是搜索操作中最常用的属性和定位对象的完全副本所需要的属性。在全局编录中存储所有域对象的最常搜索的属性，可以为用户提供高效的搜索，而不会以不必要的域控制器参考而影响网络性能。功能简述活动目录(Active Directory)主要提供以下功能：基础网络服务：包括DNS、WINS、DHCP、证书服务等。服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。资源管理：管理打印机、文件共享服务等网络资源。桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：用户使用域中资源权限限制、界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。量身定方案根据前期与贵公司的沟通，考虑到贵公司有集中管理文件的需求，再考虑到成本等因数，推荐使用单一服务器方案：在一台服务器上集成AD域控制器，文件服务器及相关服务，从而经济有效解决需求。具体所需设备如下：方案一：型号数量备注DELL PowerEdge 12G T320塔式服务器1DELL服务器，稳定性高塔式机箱含最高至4有线硬盘1基础型机箱英特尔 至强 E5-2407 v2 2.40GHz CPU18GB RDIMM 1600 MHz 内存18G内存满足基本需求PERC H710 集成 RAID 控制器, 512MB NV 缓存1RAID控制器，文件服务器系统推荐使用，提高性能同时提高数据安全性2TB 3.5-英寸7.2K RPM SATA II硬盘-非热插拔3低转速大容量SATA硬盘，适合大容量数据，但性能偏差总价方案二：型号数量备注DELL PowerEdge 12G T320塔式服务器1DELL服务器，稳定性高塔式机箱含最高至4有线硬盘1基础型机箱英特尔 至强 E5-2407 v2 2.40GHz CPU18GB RDIMM 1600 MHz 内存18G内存满足基本需求PERC H710 集成 RAID 控制器, 512MB NV 缓存1RAID控制器，文件服务器系统推荐使用600GB 3.5英寸15K RPM 6Gbps SAS硬盘 - 非热插拔3企业级高性能SAS硬盘，性能和数据安全性同时满足，缺点是价格偏高。总价以上两个方案区别主要是硬盘方面，由于贵公司需要在服务器上保存数据，所以数据安全性是最需要重点考虑的，在此我推荐配置H710磁盘列阵卡组件磁盘列阵，组建RAID5磁盘列阵。在这里不得不简单介绍一下RAID磁盘列阵技术，简单来讲就是计算机通过软件或者硬件把多块硬盘当成一块硬盘进行操作，从而提高性能或者提高数据安全性，目前常用的RAID技术有RAID0、RAID1、RAID5以及RAID10。其中RAID0是简单将多块硬盘叠加，万一其中一块硬盘出现故障，所有数据将无法恢复，适合用于需要高性能但对数据安全性要求不高的应用，在此并不推荐；RAID1则是同时用2块或更多的硬盘存放相同的数据，数据安全性非常高，因为只有所有硬盘同时损坏时才会出现丢失数据，但成本高且性能得不到提升；RAID10则是RAID0和RAID1的结合，至少需要4块硬盘，实际使用容量为n（硬盘总数）/2，在提升性能的同时确保了数据的安全性，但是容量损失大，成本高；而RAID5则是目前最主流的RAID技术，至少需要3块硬盘，实际硬盘容量为n-1，容量损失相对较小，在3块硬盘时需要同时损坏2块硬盘才会无法恢复数据（RAID5和RAID1不同，硬盘损坏后需要进行数据恢复，RAID1则不需要），而3块硬盘同时坏2块的几率难于中双色球大奖，数据安全性高达99.99999%（若没有采用RAID技术数据安全性为99.9%，而采用RAID0数据安全性则降低至98%左右），在性能方面R