北京城建总院基础架构搭建方案.doc

目录一、核心基础结构设计概述41.1体系结构目标和设计考虑事项41.2核心基础结构41.3辅助体系结构51.4网络和目录服务61.5文件和存储服务61.6打印服务71.7证书颁发机构71.8补丁管理71.9服务布局拓扑81.10增强的基本配置拓扑9二、北京城建总院核心基础结构解决方案122.1企业背景介绍122.1.1母公司和子公司描述122.1.2 部门设置132.2方案简介162.3构思172.4 规划192.4.1网络服务部署设计192.4.2 DNS 命名空间设计222.4.3 IP 寻址约定232.4.4 推荐软件262.4.5 基础结构服务器配置272.4.6 推荐硬件322.5实施342.5.1收集初始配置信息342.5.2 配置外部 DNS 记录352.5.3 配置硬件和操作系统362.5.4 执行初始安全审核372.5.5 安装并配置 Active Directory372.5.6 安装并配置 DNS392.5.7 配置 Windows 时间服务402.5.8 安装并配置 DHCP412.5.9安装并配置 WINS432.5.10 安装并配置证书颁发机构442.5.11 安装 Internet 身份验证服务452.5.12配置组策略对象452.5.13执行最终的安全配置验证462.6部署472.6.1 测试服务472.6.2备份系统并验证备份482.6.3将系统发布到用户482.7操作492.7.1 远程管理492.7.2补丁管理49总结49本方案提供了有关对北京城建总院IT环境设计生产实施的指导。具体提供了有关执行下列服务的生产部署指导信息： 核心网络服务（DNS、WINS和DHCP） CA（证书服务） 目录服务（Active Directory） 文件服务整个部署实施方案分为两大部分：一、 核心基础结构设计概述 本章节中提供了有关准备核心IT基础架构总体设计的思路，介绍了几种不同的基础架构设计方案，具体讲述了在不同的网络配置中，进行实施所要做的选择，以帮助我们的客户选者最适合他们的环境来实施。二、 北京城建总院核心基础结构解决方案本章节主要从构思、规划、实施、部署以及操作五个方面讲述了北京城建总院核心基础结构解决方案从无到有的整个设计过程，详细地说明了每一步操作的细节所在，为客户提供了详细的操作说明。在通过小规模部署后，规划新环境和部署的指导信息。具体说明了淘汰现有的网络，并将资源集成到新的IT环境时所要做的具体选择。一、核心基础结构设计概述1.1体系结构目标和设计考虑事项在设计中型 IT 环境时，需要考虑下列设计目标：安全性：提供一个安全的计算基础结构和简化的过程来保持环境的安全。可靠性：提供一个基于 Microsoft 及合作伙伴产品与技术的可靠基础结构。可管理性：提供一个容易监视和维护的基础结构，不需要专家级知识。成本最低：帮助降低 IT 基础结构、软件和管理的成本。简单性：由于 IT 本身十分复杂，因此这个解决方案应该容易实现、管理和监视。可支持性：为了简化和减轻 IT 专家的负担，这个环境必须实施 Microsoft 及合作伙伴支持服务部门推荐的最佳操作。这些最佳操作来源于多年的经验教训。每个 IT 服务都应该设计为提供高可用性。但是为了降低成本，应该只考虑为核心基础结构服务设置冗余。1.2核心基础结构 组织要求 IT 基础结构提供所需服务，使得员工能够完成工作，并与客户和业务合作伙伴进行交流。所有的组织都需要一个核心基础结构，用来承载或支持基本服务，例如打印、消息传递和协作。下表列出了核心基础结构必须提供的一组服务。服务描述所满足的业务需求物理网络局域网 (LAN)：为客户端计算机提供到本地网络的有线和无线连接。Internet 连接：将局域网中的计算机连接到 Internet。远程连接：为远程用户和分公司提供到总公司的远程连接。总公司和分公司的用户需要一种方法来访问 LAN 和 Internet 中的各种资源。远程用户和分公司用户也需要访问总公司的资源。网络服务DNS 和 WINS：提供名称解析。DHCP：为客户端计算机分配 IP 地址和 IP 配置。连接到 LAN 的计算机需要自动进行配置。目录服务Active Directory：提供 IT 环境中可用资源的目录列表，并提供安全访问这些资源的身份验证和授权。用户已经厌倦了记忆多个密码来访问不同的资源。他们需要访问资源的单一登录。管理员在授予用户访问网络资源（例如文件、打印机和 Internet）的权限之前，需要对他们进行确认和身份验证。安全的 Internet 连接ISA Server：提供防火墙及其他特性，例如应用程序层筛选、入侵侦测、Web 缓存以及将内部资源发布到 Internet 的功能。用户需要能够安全地访问 Internet 来开展业务，例如交换电子邮件、浏览 Web 站点、远程访问总公司的资源等等。另外，内部网络还需要拥有防御机制，抵御来自 Internet 的威胁。文件服务文件服务：实现用户间的文件和文件夹共享。存储服务：为用户提供可靠的存储。为了防止数据丢失，用户需要可靠、安全的存储空间，并应定期进行备份。需要存储的数据量正在快速增加。管理员需要一个中央数据存储库，这样就只需备份和管理一个地方。1.3辅助体系结构 辅助体系结构提供直接满足业务需求的服务。这些服务可能不是运行 IT 基础结构所必需的，但是如果组织需要也应该进行安装。这些服务的正常工作依赖于核心基础结构。下表列出了中型 IT 解决方案系列所提供指南中的辅助服务。服务描述所满足的业务需求使用 Active Directory 组策略的管理和安全性组策略：为管理员提供一种配置和管理用户及计算机设置的方法。管理员需要确保最终用户拥有合适的权限来完成他们的工作，而不有意或无意地破坏他们计算机或网络中其他计算机的配置。打印服务打印：使得内部用户能够通过网络进行打印。用户需要拥有对打印机的可靠访问。他们需要不依靠 IT 职员的帮助就能找到和配置临近他们的打印机。证书服务证书颁发机构 (CA)：为发布 HTTPS Web 站点提供证书。需要这些服务来提供安全的 Internet 资源访问，例如电子邮件和外部 Web 站点。补丁管理软件更新服务（SUS）：保证环境中所有基于 Windows 的服务器和客户端计算机都安装最新的补丁。由于恶意软件的传播且存在大量更新，因此用户需要有一种有效且自动的方法在客户端和服务器计算机上安装补丁。1.4网络和目录服务要求： Windows Server 2003 Standard Edition。注意事项：任何网络和目录服务的故障都会对 IT 环境中其他的服务产生负面影响，从而影响整个公司。推荐布局：考虑到下列服务的关键性，我们建议把 Active Directory、域名系统 (DNS)、动态主机配置协议 (DHCP) 和 Windows Internet 命名服务 (WINS) 放置在主基础结构服务器和辅助基础结构服务器上，以实现冗余能力。主基础结构服务器和辅助基础结构服务器被配置为提供关键服务，例如 Active Directory、DNS、DHCP 和 WINS。下表介绍了主基础结构服务器和辅助基础结构服务为这些关键服务提供冗余的方式。服务冗余类型Active Directory主基础结构服务器和辅助基础结构服务器中的服务都处于活动状态，接收目录服务请求的服务器为客户端提供服务。如果其中一台基础结构服务器出现故障，另一台服务器将为客户端请求提供服务。DNS两台服务器上的服务都处于活动状态。但是，客户端会首先向主基础结构服务器上的 DNS 服务器发送请求。如果客户端在一定时间内由于某种原因（例如服务暂停或服务器故障）没有接收响应，那么它将向处于辅助基础结构服务器上的 DNS 服务器发送请求。WINS两台服务器上的服务都处于活动状态。客户端被配置为首先与主基础结构服务器联系。如果服务器在一定时间内没有响应，那么客户端会向辅助基础结构服务器发送请求。DHCP两台服务器上的服务都处于活动状态。两台服务器会同时接收到来自 DHCP 客户端的请求，并同时响应。客户端会保留接收到的第一个响应，拒绝第二个。如果其中一台服务器故障，另一台服务器将继续为请求提供服务。1.5文件和存储服务要求： Windows Server 2003 或 Windows Storage Server 2003注意事项：需要考虑的关键硬件要求是数据文件的存储空间。根据公司的实际情况，各种大小的文件类型都可能需要存储在服务器上，小到一般的字处理文档，大到 CAD/CAM 绘图或多媒体文件，例如 JPEG 和 MPEG 文件。推荐布局：如果公司没有大型存储要求，那么可以将文件和存储服务放置在主基础结构服务器上。为了提供所需的可靠性和性能，请在专用 RAID 5 阵列的另一个磁卷中存储所有数据。选择合适的磁盘大小和质量，满足现有及将来的存储要求。如果公司符合下列要求，则请考虑在基于 Windows Storage Server 2003 的网络附加存储设备上承载文件和存储服务：存储要求高或者会增长，需要可伸缩的解决方案。成本不是关键指标。希望集中存储以实现轻松的存储和备份管理。另外还要考虑打印服务的要求，因为一般文件和打印服务都承载在同一台服务器或设备上。1.6打印服务要求： Windows Server 2003 或 Windows Server Storage 2003注意事项：通常打印服务并不占用很多资源。但是如果需要打印大文件，例如图形或 CAD/CAM 图纸，或从多台打印机同时进行打印请求，那么需要考虑在打印服务器上使用高速 CPU 和更大的硬盘。另外，还可以考虑安装千兆位以太网适配器。推荐布局：通常，打印服务与文件服务承载在同一台服务器上。1.7证书颁发机构要求： Windows Server 2003，证书服务注意事项：处理器的占用率取决于数字签名密钥的长度以及每秒所登记的证书数量。在一般的中型公司中，并不常见每秒大量的登记数量。因此不需要高性能的处理器。添加额外的内存也不会提高证书登记的性能。根据 CA 所维护的证书数量，需要更多的磁盘空间用于存储数据库和日志文件。通常，每个颁发的证书在数据库中占用大约 16 KB 磁盘空间，如果使用私钥则还需要 4 KB。证书数据库必须包含所有颁发的证书，这样才能在需要时撤回证书。推荐布局：在中型 IT 环境中，CA 上的负荷并不会很高，因此可以考虑将 CA 承载在主基础结构服务器上。1.8补丁管理要求： Microsoft Windows Software Update Services (WSUS)注意事项： WSUS 是一个基于 Web 的应用程序，它的内存和处理器占用率取决于同时进行的计算机更新数量。磁盘空间的要求取决于操作系统更新的数量以及补丁管理服务所支持的具体情况。可能是数百 MB 到许多 GB。推荐布局：出于合并服务的考虑，可以将补丁管理服务放置在主基础结构服务器上。1.9服务布局拓扑 在企业 IT 环境中，前面一节所提到的服务可以根据不同的商业需要进行组合，例如所需要的性能、安全性以及预算等。在本章中，将根据不同的业务方案来考虑不同的服务布局。 请注意，如果组织拥有一个或多个关键服务，并且要求高性能和更高的安全性，那么请将这些服务承载在单独的服务器上。基本配置拓扑 在这个拓扑结构中，大部分服务被合并到三台服务器中，实现一个具成本效益且易管理的 IT 基础结构，同时还能将安全性和性能维持在理想的水平。下图展示了这个配置的逻辑示意图。表 1：基本配置中的服务布局服务器提供的服务主基础结构服务器l 网络服务（DNS、DHCP 和WI NS ）。l 目录服务 (Active Directory)。辅助基础结构服务器l DNS、DHCP、WINS和Active Directory 服务作为冗余服务。l 补丁管理 (WSUS)。防火墙服务器l 防火墙和代理。l V P N。l 应用程序层筛选。l We b 缓存。l 入侵侦测。1.10增强的基本配置拓扑如果公司预算允许的情况下，我们可以搭建一个独立的文件服务器，为职员提供文件和存储服务，使他们能够开展工作。这对于基本配置的更改就是使用同样的三台服务器和一个基于Windows Storage Server2003 的网络附加存储设备，使用后者来提供文件、打印和存储服务。图2 展示了这个配置的逻辑示意图。表2 列出了服务器上所承载的服务。考虑到下列商业原因，将文件和打印服务承载在基于Windows Storage Server 2003的网络附加存储设备上：l 集中存储：将存储资源合并到一个集中的位置。l 管理：集中存储使得备份和管理更为方便。l 性能：减少主基础结构服务器上的工作负荷。l 可伸缩性：提供满足公司增长需要的可伸缩文件服务。表 2：增强型基本配置中的服务布局服务器提供的服务主基础结构服务器l 网络服务（DNS、DHCP和WINS）。l 目录服务(Active Directory)。辅助基础结构服务器l DNS、DHCP、WINS和Active Directory 服务作为冗余服务。l 补丁管理 (WSUS)。防火墙和VPN 服务器l 防火墙和代理。l V P N。l 应用程序层筛选。l We b 缓存。l 入侵检测基于Windows Storage Server 2003 的网络连接存储设备l 文件和存储服务。l 打印服务。可选方案下面是两种可以将内部服务发布到Interne t 的方法：l 外围网络：将公共访问服务器放置在外围网络中。l 总公司LAN：将公共访问服务器与其他服务器、计算机一样放置在总公司LAN 中，然后通过防火墙服务器发布这些服务。表3 列出了这些可选方案的优缺点。表 3：向Internet发布内部服务的选择方案可选方案优点缺点外围网络（DMZ）安全性：内部网络安全性增强。由于公共访问服务器在外围网络中，即使它受到攻击，也不能用于承载对其他内部服务器的攻击。昂贵：例如，如果发布电子邮件服务器，那么公司需要维护两台电子邮件服务器，一台在外围网络中，另一台在内部网络中。更为复杂：需要在防火墙服务器上添加第三块网络适配器。还需要正确地配置防火墙，来允许和拒绝外围网络、Inter n e t 以及内部网络中的适当流量。总公司LAN简单：容易构建、部署和维护。成本：这是一种具成本效益的解决方案。安全性：如果由于某些原因，发布的内部服务器被攻破，那么整个内部网络都会被攻破。建议 为了实现具成本效益且易于构建、部署和维护的网络，本解决方案建议设置两个网络一个用于内部网络，另一个用于通过Internet服务提供商(ISP)网络连接到Internet（正如第二种方案中所介绍的）。所有的服务器都放置在内部网络中，然后通过ISA Server 2006发布到Internet。在本解决方案中，ISA Server提供下列两种类型的发布：服务器发布，其中包括：l 发布电子邮件 (SMTP) 服务器。l 发布终端服务器。We b 发布，其中包括：l 发布公共访问的Web 服务器（公共Web 服务器）。l 发布包含 Outlook Web Access (OWA) 、WSS和SPS 的 Web服务器，使得职员和商业合作伙伴能够通过安全的 HTTP (HTTPS) 进行远程访问。 发布电子邮件服务器，使得内部电子邮件服务器能够通过 ISA Server 将面向 Internet 的电子邮件发送到Internet，并能够接收来自 Internet 电子邮件服务器的电子邮件。 通过 ISA Server 发布终端服务器，这使得远程用户能够在任何地方通过 Internet 访问运行在内部终端服务器上的应用程序。另外，它还使得移动用户能够在任何时候使用 Internet 安全地访问公司内部网中的桌面系统。发布 Outlook Web Access，这使得远程用户能够通过 Internet 从任何地方安全地访问电子邮件服务器。同样，发布 SharePoint 站点使得远程用户和合作伙伴能够通过 Internet 安全地创建和访问虚拟工作区并交换文档。二、北京城建总院核心基础结构解决方案2.1企业背景介绍 北京城建设计研究总院有限责任公司创建于1958年，经过近50年的不懈追求与创新，业已成为中国工程建设行业知名的勘察设计综合型咨询公司。公司具有丰富的工程设计和管理经验，承担大量国内城市轨道交通勘察设计总体项目及国外的工程咨询项目，是国内第一家城市轨道交通勘察设计总体、总承包单位。 公司总部设在北京，拥有8个职能部10个设计所，设有南京、上海、天津、深圳、杭州、沈阳、重庆、武汉、西安、伊朗德黑兰等12个国内外分院。经国家审定批准持有工程总承包、建筑工程、市政公用工程、工程造价、工程咨询、建筑智能化、境外工程承包、工程监理、测绘、勘察综合类等多项甲级证书，服务范围包括：城市轨道交通线网规划、项目建议书、可行性研究、总体设计、工程设计、工程监理、工程造价咨询、项目管理、工程总承包等多个方面。拥有主要设计专业24项，是专业配套、工种齐全、设备先进，具备按国际惯例为工程建设项目提供全过程服务，具有较高咨询水平的综合性设计院。 2.1.1母公司和子公司描述公司总部设在北京，拥有8个职能部10个设计所，设有南京、上海、天津、深圳、杭州、沈阳、重庆、武汉、西安、伊朗德黑兰等12个国内外分院。2.1.2 部门设置组织结构表：部门负责人机构人数计算机数量总院领导层宋敏华2222党办罗力中22院办公室常东彪66总工程师办公室任静2525质量中心蒋虹33档案中心马东梅44人力资源部冯爱军44 人员储备中心冯爱军77财务部齐彬77企管部陆明55 信息中心张辉1515院务部贾继蛇1818经营部刘立1212工会徐春22城建院廖国才358358 第一设计所尹强6969 第三设计所沈洪6666 第五设计所张巍9696 第七设计所李文波6565 第九设计所王文江2727 第十设计所喻智宏3535建筑院董更然156156 第二设计所刘京7070 第四设计所陈奕4343 第六设计所张萌4343勘测院金淮00顺捷公司刘万军00中城捷宋敏华1414信捷公司朱悦明1919广州风险项目部杨秀仁1111 广州风险公司综合部杨秀仁99 广州风险项目部领导杨秀仁22南京分院朱悦明2121上海分院1313深圳分院徐成永1515杭州分院俞兆磊1515天津分院刘运亮66德黑兰分院包童00沈阳分院陈东1414重庆分院吴建忠1212西安分院陈奇法55成都分院巫江11平谷分院张志革00武汉分院梁立刚112.2方案简介 网络和目录服务提供了在中型 IT 环境中运行所有其他服务的基础。稳定可靠的 IP 地址管理、名称解析、身份验证和授权有助于防止在其他服务出现系统性问题，如果出现这些问题将会大范围的影响用户体验。本部分提供了设计和部署这些服务的指南，这些服务可以使其他服务和网络设备（如计算机和打印机）彼此进行查找、验证和通信。本章所涉及的服务构成了提供很多服务所必需的基础的可靠网络基础结构的根本。这些服务包括：u 核心网络服务： 域名系统 (DNS)： 将 DNS 名称解析为 IP 地址。 动态主机配置协议 (DHCP)： 自动配置客户端上的网络设置，有助于客户端的 IP 地址和网络配置的管理。 Windows Internet 名称服务 (WINS)：将 NetBIOS 名称解析为 IP 地址。u 目录服务： 验证试图访问资源的用户和计算机。“中型企业核心基础结构解决方案”使用 Active Directory 目录服务，该服务也可以用于集中和简化网络资源的管理。u 证书服务： 为创建和管理在利用公钥技术的软件安全系统中使用的公钥证书提供可自定义的服务。管理 PKI 的可信任组织可以称为证书颁发机构 (CA)，但通常这个术语CA仅用于指代运行证书软件的计算机。u 远程身份验证拨入用户服务 (RADIUS)： RADIUS 是一项 Internet 工程任务组 (IETF) 的标准。在“中型企业核心基础结构解决方案”中，Windows Server 2003 Internet 身份验证服务 (IAS) 作为 RADIUS 服务器。它对使用无线网络和虚拟专用网络 (VPN) 连接进行的网络访问执行集中的连接身份验证、授权和记帐。方案涉及范围： 本部分所涉及的范围包括： 为网络和目录服务提供冗余。 设计Active Directory服务。 设计和部署网络服务。 使用组策略对象（GPO）保护环境安全。 选者要实施服务的硬件。 测试服务确保正确运行。 执行安全审核。 将系统发布到生产环境中。 远程管理环境。先决条件： 在中型IT环境中实施网络和目录服务的先决条件包括： 两台服务器的LAN 连接。 为两台服务器提供的不间断电源（UPS）。 公共域名。 ISP提供的公共DNS服务。2.3构思 这部分介绍了在企业 IT 环境中实施网络服务的使用方案和实施这些服务的益处。同时提供了实施该指南时可能遇到的环境初始状态和预期的环境结束状态。使用方案：u 启用 IP 地址的集中管理。u 启用客户端自动 IP 配置。u 为客户端提供名称解析服务。u 验证和授权对网络上的数据和服务的访问。u 提供目录服务以集中管理 IT 环境中的资源。u 启用环境中安全策略的集中管理。企业现状：现有的IT环境中可能已经部署了网络和目录服务。可能存在的部署类型包括：u 没有集中登录的基于服务器的环境。u 基于 Microsoft Windows NT 4.0 和 Window 2000 的环境。u 基于 Linux 或 Novell 的环境。在企业中部署核心基础结构可以使组织避免这些方案的众多常见问题，例如：u 不可靠和不一致的网络服务。u 有关未经身份验证的用户的安全性。u 要求访问不同服务和资源的多个登录。u 基本网络和目录服务的高运营成本。u 不良设计的目录结构。u 不集中的结构，对环境进行更改以及向环境添加内容都要求大量的工作。u 缺少老式技术的供应商支持、来自不太确定的公司的不良供应商支持，或包含多个不同类型的技术的跨供应商支持问题。u 缺少对用于老式环境或不同类型的环境中的设备和应用程序的支持。方案实施完毕后状态环境:网络服务的结束状态环境将包括：u 两台提供冗余网络和目录服务的基于 Microsoft Windows Server 2003 服务器。u 单个 Active Directory 域和林基础结构。u 域级别组策略，适用于强制域范围的安全要求。方案实施后对企业的益处：在“中型企业核心基础结构解决方案”中推荐使用的网络和目录服务可提供下列益处：u 可靠的基础结构： 在冗余服务器上实施网络和目录服务可以获得更好的可靠性。u 集中的资源管理： 使用 Active Directory 提供一个所有用户、计算机以及网络上的其他对象的集中数据库。有助于根据组织的结构来整理 IT 环境中的资源。u 安全性： 使用 Active Directory 提供安全和身份验证机制，该机制提供对资源的受保护和受控的访问。u 单一登录： 使用 Active Directory 启用单一登录，这从本质上意味着用户只需要提供一次他们的凭据。他们试图访问网络上的资源时不需要每次都提供凭据，系统会使用相同的凭据访问所有资源。u 良好定义和强制执行的安全策略： 使用组策略定义中型 IT 环境中的域范围的安全策略，并在环境中强制执行。使用 GPO 确保在中型 IT 环境中设置的安全策略在环境中的每个对象上强制执行，并且不会被任何客户端或其他设备覆盖。2.4 规划 本节提供了有关为企业 IT 环境设计网络和目录服务，为承载服务选择正确的服务器硬件以及确定构建服务的先决条件的指南。u 在中型 IT 环境中实施的网络和目录服务应该：u 符合可靠性、可伸缩性和安全性要求。u 实施和维护具有成本效率。u 启用将 DNS 和 NetBIOS 名称解析为 IP 地址。u 自动执行连接到 LAN 设备的网络配置。u 以有组织的方式集中存储有关网络资源的信息，这使得用户更易于找到它们。u 提供用户和计算机身份验证。u 对资源的访问限制到仅授权的用户、计算机和服务。u 有助于安全策略的应用和强制执行。u 提供要求发出、管理和维护 PKI 证书的支持。u 提供 RADIUS 身份验证服务。本节所涉及的内容如下:u 网络服务部署设计u DNS 命名空间设计u IP 地址约定u 推荐软件u 基础结构服务器配置u 推荐硬件2.4.1网络服务部署设计在企业 IT 环境中实施网络和目录服务时，创建一个平衡可靠性需求和保持低成本需求的设计非常重要。在中型 IT 环境中，必须要作出有关如何以最优的方式部署网络和目录服务以实现这些目标的决策。选择方案在企业核心基础结构解决方案中，我们常用的网络和目录服务的部署设计有如下几种：u 单个服务器： 单台基础结构服务器承载网络和目录服务。u 群集的服务器： 在群集的配置中部署两台基础结构服务器。u 冗余服务器： 部署两台冗余的基础结构服务器，同时提供相同的网络和目录服务。网络和目录服务器或者具有提供跨多台服务器的冗余的内置机制，或者以可获得类似冗余的方式进行部署。下表列出了这些选择方案的优缺点。选择方案优点缺点单个服务器便宜： 部署和管理成本低。易于部署： 这种配置易于部署。较不可靠： 如果服务器出现故障，不可避免的出现停机。群集的服务器较昂贵： 要求一台其他的服务器，并且要在两台服务器上安装 Windows Server 2003 Enterprise Edition。配置复杂： 这种配置的配置、操作和疑难排解都比较困难。冗余服务器成本： 部署和管理成本处于其他两种选项之间。易于部署： 这种配置比群集服务器选项易于部署。管理： 需要管理两台服务器。注意事项网络和目录服务对于企业 IT 环境的正常工作非常关键。只使用单个基础结构服务器会使成本最低，但它不会提供故障转移功能。基础结构服务器出现故障可能会削弱整个企业 IT 环境的能力。此外，如果故障是由服务器硬件引起的，在等待备用部件或更换硬件的过程中通常会引入额外的延迟。部署服务器群集提供冗余和自动故障转移功能。然而，群集要求在两台基础结构服务器上安装 Windows Server 2003 Enterprise Edition，这要比 Windows Server 2003 Standard Edition 昂贵很多。此外，配置、操作和疑难排解服务器群集也比较复杂，因为通常仅对较大组织推荐使用。在非群集的配置中部署两台冗余基础结构服务器比较容易配置。基于 Windows 服务器的网络服务和 Active Directory 服务设计用于跨多台服务器运行，这样就排除了单一故障点。因此，我们推荐客户使用冗余服务器方案。建议在本次实施方案中，我们建议客户部署两台冗余服务器，分别称为“主基础结构服务器”和“辅助基础结构服务器”。通常情况下，主基础结构服务器提供大多数网络服务，因为绝大多数客户端请求首先转到这台服务器中。如果这台服务器无法及时地响应，那么大多数请求会转到辅助基础结构服务器中。只有在主服务器不能及时响应时，绝大多数客户端请求才会转到辅助服务器。下面的表格提供了主基础结构服务器和辅助基础结构服务器所承载的服务。服务主基础结构服务器辅助基础结构服务器Active Directory 保持所有操作主机角色（也称为灵活单主机操作或 FSMO）。 是林或域中的第一台服务器，并且是全局编录服务器。 不保持操作主机角色。 是全局编录服务器。DNS在所有客户端上配置为主 DNS 服务器。在所有客户端上配置为辅助 DNS 服务器。只有主基础结构服务器无法及时响应时，客户端才查询此服务器。DHCP 使用超过 250 个客户端的作用域进行配置，除了要求保留地址的服务器和其他设备。 使用指定首选和辅助 DNS 和 WINS 服务器、默认网关和代理服务器信息的作用域选项进行配置。 与主基础结构服务器相同的配置。 这台服务器与主基础结构服务器共享 DHCP 客户端请求负载。WINS配置为首选 WINS 服务器，它会为 NetBIOS 名称解析 IP 地址。配置为辅助 WINS 服务器。其他服务可选地，这台服务器可能会被配置为承载对资源要求较低的服务，例如： 证书颁发机构 (CA)。 Internet 身份验证服务 (IAS)。 补丁更新服务 ()。 文件服务。 打印服务。只有主基础结构服务器出现故障时，该服务器才提供大多数网络服务。因为这台服务器在大多数时间都处于较低负载或没有负载的情况下，所以可用于承载诸如需要大量服务器资源的消息传递等服务。2.4.2 DNS 命名空间设计设计 DNS 命名空间涉及到下列任务。u 注册公共域名。u 选择内部 DNS 命名空间。u 部署公共 DNS 命名空间。注册公共域名。很多用于注册域名的组织通过他们的网站提供服务，其中两个组织可以从下面的 URL 访问：国内的有：这些网站具有很有用的域名管理工具来注册和管理 DNS 名称记录。每个站点都可以为您提供有关 DNS 记录配置的特定说明和帮助。城建总院已经拥有了域名，因此他们不需要注册其他名称。选择内部 DNS 命名空间在企业核心基础结构解决方案中，针对内部 DNS 命名空间已经考虑了下列选择方案：u 与公共 DNS 命名空间相同： 向 ISP 注册公共的 DNS 命名空间（如 ），并且使用该命名空间在 Internet 上发布资源（如公司的公共网站）。在这种选项中，内部 DNS 命名空间与外部 DNS 命名空间相同，即 。u 独立的 DNS 命名空间： 在这种选项中，公共 DNS 命名空间的子域（如 corp. 或buedri.local）作为环境的内部 DNS 命名空间。使用独立的 DNS 命名空间可以提供一些安全优势。然而，它同时使得环境更加复杂，通常适合于具有专职 IT 人员的大型环境。单一的内部和外部 DNS 命名空间可提供简易配置。要保持环境中的简单，我们建议使用独立的内部和外部 DNS 命名空间。buedri选择将名称buedri.local用于内部DNS命名空间。部署公共 DNS 命名空间注册的域名指向权威 DNS 命名空间的 DNS 服务器。组织需要决定是将公共 DNS 服务器（由 ISP 所拥有）作为权威 DNS 服务器，还是承载它们自己的、权威 DNS 命名空间的 DNS 服务器。我们建议将 ISP 拥有的公共 DNS 服务器作为组织的 DNS 命名空间的权威 DNS 服务器，因为 ISP DNS 服务器会提供更好的可用性。如果要将 ISP 的 DNS 服务器作为您的 DNS 命名空间，就需要从 ISP 购买这些服务。DNS 宿主服务通常可以从提供 Internet 连接的 DNS 注册商或从 ISP 处购买，并且在注册域或承载公共网站时，这些服务通常作为程序包的一部分。向域注册商注册的域名（如 ）需要指向对域而言是权威的 DNS 服务器。权威 DNS 服务器为 DNS 命名空间维护所有 DNS 记录，如 www. 和 remote. 。权威 DNS 服务器上的 DNS 记录需要组织进行维护。因为是在企业IT 环境中，权威 DNS 服务器由 ISP 所拥有，ISP 需要提供某种机制来使 IT 人员可以管理这些记录。在大多数情况下，在组织购买 DNS 宿主服务时，ISP 会提供基于 Web 的实用程序和登录组织的凭据。为了能够使用 Internet 访问这些服务，组织需要在 ISP 的公共 DNS 服务器上更新或添加 DNS 记录。2.4.3 IP 寻址约定所有 IP 地址分为公共和专用两种。这些定义如下所示：u 公共：公共 IP 地址是由 Internet 服务提供商 (ISP) 分配的，并且在 Internet 上是唯一的。u 专用：专用 IP 地址可以在没有许可的情况下由任何人在内部网络上使用。通常，专用 IP 地址的范围是： 10.x.x.x 169.254.x.x 172.16.x.x 192.168.x.x下表列出了这两种类型的 IP 地址的优点和缺点：可选方案优点缺点公共允许一个设备与 Internet 上的其他设备进行通信。u 昂贵。u 可用性有限。u 安全风险。专用u 因为 Internet 上的计算机无法直接访问此设备而提高了安全性。u 因为不需要向 ISP 支付额外的公共 IP 地址费用而降低了成本。u 对于连接到 Internet 的主机而言，需要网络地址转换 (NAT)。u 对于要连接到内部主机的外部计算机而言，需要 VPN 或代理。u 通过 VPN 连接两个专用网络可能会导致多个设备具有相同的 IP 地址。可以手动将静态 IP 地址分配给每个设备，也可以使用 DHCP 动态地将 IP 地址分配给设备。我们建议使用下列 IP 地址：在总公司和分公司的 LAN 上使用专用 IP 地址范围 10. x. x. x。更为特别地，请考虑下列事项： 在总公司使用 /16 子网。 对于第一个分公司，使用 /24 子网。对于其他分公司，使用 10.n.0.0/24 子网，其中 n 等于 2 表示第二个分公司，每增加一表示其他各分公司。 在总公司的防火墙外部接口上使用公共 IP 地址，在分公司使用多用途路由器。在这些子网内，进一步分类地址，如下表所示：此处仅提供第一个分公司的示例。IP 地址（或范围）子网掩码位置用于 到 0总公司服务器。1 到 0总公司远程管理网卡。（要获得服务器的网卡地址，请将 20 添加到服务器 IP 地址最后 8 位。）1 到 55总公司要求静态 IP 地址的所有其他网络设备（例如，打印机、扫描仪、IP 摄像头和交换机）。10.0.1.x总公司由主基础结构服务器分配给总公司的 DHCP 客户端。10.0.2.x总公司由辅助基础结构服务器分配给总公司的 DHCP 客户端。分公司分公司的多用途路由器的内部接口。 到 0分公司要求静态 IP 地址的所有其他网络设备（例如，打印机、扫描仪）。1 到 54分公司对于分公司的 DHCP 客户端。为总公司的防火墙服务器的外部接口配置由 ISP 提供的公共 IP 地址、子网掩码和默认网关。在企业IT 网络上，应该使用 DHCP 分配所有 IP 地址，无论是静态还是动态，但下面三台服务器除外：u 主基础结构服务器和辅助基础结构服务器： 这些服务器运行 DNS 服务，该服务要求在计算机上分配静态 IP 地址。u Internet Security and Acceleration (ISA) Server：这台服务器直接连接到 Internet。因此，这台服务器要求配置与所有其他服务器不同的网关。中型 IT 环境将选项（包括默认网关）作为 DHCP 实施的一部分，但这台服务器必须避免使用 DHCP。使用 DHCP 选项为下列服务器分配客户端值：u 主 DNS 服务器和辅助 DNS 服务器u 主 WINS 服务器和辅助 WINS 服务器u 默认网关u 域后缀u Web 代理自动发现协议 (WPAD)多用途分公司路由器的外部接口应该配置为由 ISP 提供的 IP 配置。多用途分公司路由器还应该配置为 DHCP 服务器，并且应该使用由上表提供的 IP 地址范围。有关配置路由器的详细信息，请参考制造商提供的文档。针对分公司使用下列 DHCP 选项：u DNS 服务器： 大多数具有 DHCP 功能的多用途路由器都允许最多为 DNS 服务器配置三项，为 WINS 服务器配置两项。在分公司路由器的 DHCP 服务上应该至少配置一台内部 DNS 服务器和一台外部 DNS 服务器。这是必要的，因此路由器能够同时解析内部和外部主机的主机名。还应该确保在服务器列表中指定内部 DNS 服务器之后再指定外部 DNS 服务器，因此该路由器首先使用内部 DNS 服务器解析主机名。如果内部 DNS 服务器无法解析名称，路由器将尝试使用外部 DNS 服务器解析该名称。如果顺序相反，路由器会向公共 DNS 服务器发送请求以解析内部名称，但不推荐这么做。为 DNS 服务器 IP 配置使用下列值： 第一台 DNS 服务器： 内部主 DNS 服务器的 IP 地址。 第二台 DNS 服务器： 内部辅助 DNS 服务器的 IP 地址。 第三台 DNS 服务器： 由 ISP 提供的公共 DNS 服务器的 IP 地址，这台服务器为分公司提供 Internet 连接。u WINS 服务器： 使用内部主 WINS 服务器和辅助 WINS 服务器的 IP 地址。u 默认网关：使用分公司路由器的内部接口的 IP 地址。uedri 按照我们的建议进行操作。下表列出了uedri所使用的一些 IP 地址示例。设备类型名称IP 地址防火墙服务器（外部接口）uedriISA来自 ISP 的公共地址防火墙服务器（内部接口）uedriISA主基础结构服务器S01-Domain01辅助基础结构服务器S02-Domain02直接附加的硬件（如打印机和扫描仪）LJ4KACCT、SCANRSLS 54远程管理网卡-0 + 服务器 IP 地址客户端设备FIN302、SAL20 54注意： 在配置主基础结构服务器和辅助基础结构服务器的 IP 参数以及使用静态 IP 地址配置防火墙服务器时，请配置要为 DHCP 客户端设备配置的所有 DHCP 选项。两台基础结构服务器都应该使用它们自己的 IP 地址配置其主 DNS 和 WINS 服务器，并且应该使用另一台基础结构服务器的 IP 地址配置其辅助 DNS 和 WINS 服务器。这两台服务器的默认网关应该是 （防火墙服务器的 IP 地址）。在防火墙服务器上，主 DNS 和 WINS 服务器应该设置为主基础结构服务器的 IP 地址，并且辅助 DNS 和 WINS 服务器应该设置为辅助基础结构服务器的 IP 地址；网关应该保留为空。2.4.4 推荐软件网络服务（DNS、DHCP 和 WINS）以及 Active Directory 都构建在 Windows Server 2003 操作系统中。因此，在中型 IT 环境中部署网络和目录服务不需要任何其他软件。唯一需要决定的就是在 Windows Server 2003 Standard Edition 和 Windows Server 2003 Enterprise Edition 中作出