中型企业信息化建设完整方案

年4月19日中型企业信息化建设完整方案文档仅供参考，不当之处，请联系改正。XX有限公司信息化初步建设方案本文档分析企业信息化应用现状和需求，提出完整的企业信息化建设框架，并给出系统改造和建设的详细技术方案。

目录TOC\h\z\t"标题1,1,标题2,2"文档说明 3第一章项目概述 4第二章信息化建设基础架构 51. 统一门户服务平台 52. 企业应用系统 53. 办公自动化系统 64. 协同工作环境 65. 基础架构服务 66. 统一安全服务 67. 网络支撑环境 7第三章网络支撑环境建设方案 81. 建设目标 82. 开放式综合布线系统 83. 企业网络核心交换、路由系统 164. 企业中心网络存储系统 225. 中心机房建设 25第四章基础架构服务建设方案 421. 建设目标 422. 技术方案 423. 系统功能 45第五章协同工作环境建设方案 461. 建设目标 462. 企业邮件服务建设 463. 即时通讯服务建设 474. 集团电话建设 52第六章统一安全服务建设方案 741. 建设目标 742. 用户访问控制系统建设 743. 主机安全系统建设（病毒查杀） 964. 网络安全系统建设 995. 数据备份系统建设 1036. 安防监控系统建设 105第七章信息化目标拓扑结构 1121. 应用系统拓扑结构 1122. 网络拓扑结构 112第八章项目概算 113第九章服务支持 1151. 服务支持概述 1152. 主要服务内容 1153. 基本服务方式 1164. 基本服务流程 117

第一章项目概述XX有限公司信息化建设方案是以网络为基础，利用先进的信息化手段和工具，实现从环境（包括硬件设备、办公室等）、资源（如办公文档、图纸、控制信息等）到活动（管理、服务、办公等）的全面智能化、数字化，提升传统公司运营的效率，扩展传统公司经营的功能，最终实现公司管理的全面信息化。从而达到提高公司管理水平和效率的目的。XX有限公司信息化建设方案按照功能能够划分为以下四大功能：统一的网络支撑环境：经过对企业现有网络的优化和改造，为上层信息化应用提供可靠的通讯保障；统一的基础架构服务平台：提供目录服务、用户管理、终端管理、网络服务等基础服务的平台支持；统一的数据资源服务：建立业务共享数据库，将CRM、ERP、HR等业务系统的业务数据库进行整合和集中存储管理协同工作环境：综合运用内部电子邮件、企业即时消息平台、集团电话灯多种技术构造安全、畅通、便捷的协同工作平台支持；统一安全服务：，建立一套对包括安数据安全、应用安全、系统安全、网络安全、物理安全等不同方面进行全方位防护的安全管理基础服务的平台支持。

第二章整体设计基础架构XX有限公司基础架构体系由统一门户服务平台、企业应用系统、办公自动化系统、协同工作环境、基础架构服务、数据资源共享服务、网络支撑环境和统一安全服务八大致系共同构成。XX有限公司基础架构图如下：统一门户服务平台统一门户服务平台包括外部门户与内部门户两大系统，外部门户是在原有企业网站的基础上建设的综合对外门户，以提供各类业务服务和信息服务；内部门户为综合办公门户，是企业内部业务应用、事务应用和资源访问的统一入口。企业应用系统企业应用系统为根据企业生产业务需求，量身定制的给类业务系统应用，一般包括决策级应用、管理级应用和业务及应用三个层面，实现了企业业务的信息化和智能化。办公自动化系统办公自动化（OA）系统可实现企业内部各部门之间以及与合作单位之间办公信息的收集、流转与共享。实现公文运转、信息发布、会议管理、档案管理、消息快递、系统管理、电子新闻、电子论坛和电子公告等诸多功能。该系统的运行将极大地提高了日常办公效率。协同工作环境协同工作环境是企业信息化应用的基础，经过建立一个协作信息服务平台来增强企业内部员工间的信息交流，其主要功能包括：实时的电子邮件交流、日程安排、会议安排、即时消息、视频网络会议等。数据资源共享服务对现有的各业务系统数据进行整合，建立统一的企业共享数据库，加强各业务系统的综合管理，转变原有的分散数据存储和管理为集中存储管理模式，对共享数据进行统一存储，提高数据集成、共享水平，方便数据访问和提取。同时，利用跨业务平台的综合数据查询和统计报表可对领导统筹规划，战略决策提供大量的数据支持，充分发挥已有数据的价值。基础架构服务基础架构服务提供应用支撑功能，包括企业信息资源目录服务、用户身份管理，权限管理，文件管理，统一数据服务等基础功能服务。经过基础架构服务能够便捷地实现统一地组织与管理网络内的服务器和客户端。从管理层面，基础架构服务的建设将信息化环境的管理由松散方式变为集中管理的方式，减轻日常管理维护负担，提升信息化基础能力。从用户层面基础架构服务实现了单一的网络身份验证，确保能够快速的访问组织内部的各种资源。同时在基础架构服务的基础上，能够开发针对企业网络管理需求的组策略集合，在整个网络范围内或针对不同管理单位实施定制化的信息管理策略。经过使用组策略能够便捷的统一设置各种软件、计算机和用户策略。统一安全服务统一安全服务是经过各类安全防护技术和平台的综合应用，建立一套对包括数据安全、应用安全、系统安全、网络安全、物理安全等不同方面进行全方位防护的纵深安全防护体系。利用统一安全服务，能够灵活的制定策略，根据工作时间与不同部门的工作特点来规定不同的访问限制，监控流入、流出的数据内容。能够跟踪与记录所有与账号信息相关的网络操作，动态生成报表等功能来加强对于专网的安全控制，确保整个系统的安全性。网络支撑环境网络支撑环境是企业各类信息系统应用的基础通讯平台，涉及到了网络拓扑、通讯设备、通讯软件等多方面内容。综合考虑到企业现有信息化基础，以及项目周期和成本，本项目主要涉及到协同工作环境、基础架构服务、网络支撑环境和统一安全服务四大致系的建设工作。本期项目的成功实施将为企业未来深层次化的信息化应用奠定基础。建设策略结合企业信息化现状和业务需求，秉着解决业务急需、急用先建、分批投入、降低风险的原则，XX有限公司信息化建设项目采用分期分阶段建设策略。本期重点完成网络支撑环境、基础架构服务、数据资源共享服务、协同工作环境和统一安全服务的建设或改造工作。基于本阶段的项目成果，后期逐步在各类应用系统、统一门户服务等方面进行建设和扩展。

第三章网络支撑环境建设方案建设目标网络支撑环境建设主要包括开放式综合布线系统建设，企业核心交换、路由架构建设、企业中心网络存储、中心机房建设四项建设任务。开放式综合布线系统XX有限公司信息化建设工程综合布线系统设计在考虑整个公司内现有主干管线及将来实际需要的业务性质及所提供的达标服务水平的前提下，使系统满足企业现代使用及发展的要求，做到当前技术先进并为企业发展留有相应的余量。开放式布线系统是经过使用符合布线系统标准的物理传输介质，使用相同的低压接插件，连接所有相同的终端和设施，并经过使用不同的跳线和适配器来实现不同供应商提供的设备之间的通信和数据处理。开放式布线系统是以一套单一的标准布线系统，把程控交换机、电脑、各种周边设备综合集成为一个功能齐全的通讯网络系统，并提供一个开放性结构平台，能使于任何不同工业标准的设备在这个系统中运行，以满足众多的日常需要，如：模拟和数字IP语音系统。高速及低速的数字传输。传真机和图形终端机以及绘图的资料传送或图像传输。办公室电视电话会议与安全系统的监控信号。建筑物中的各种楼宇自控的信号等等。开放式布线系统具有以下特点：先进性：开放式布线系统的模块化设计与传统配线之间有本质的区别，开放式布线系统能够经过有效的管理，方便地组合、转换成不同结构的网络系统，传统的布线系统只能依据网络拓扑结构，更改网络系统必须重新布线，重复投资。可靠性：开放式布线系统使用的材料均需符合国际和国内认可的有关标准，经过严格的检验而出品，因而均有质量保证的许诺，一般使用期为。扩展性：根据开放式布线系统的设计思想，该布线系统充分考虑对未来设备的变更和移动，最大限度地满足不断变动的需要。灵活性：根据开放式布线系统的设计思想，能够随时任意地构造网络，以满足不断发展的网络需要。兼容性：根据开放式布线系统的设计规范，该系统能够支持任何符合国际标准的网络厂商设备，为使用者提供最充分的选择余地。综合布线系统设计、改造方案本次设计中考虑到水平、垂直、工作区、管理区布线子系统已经在初期装修时完成了相应的预埋，故而最大利用现有布线系统，完善功能成为首要任务。设备间子系统由于原有设备陈旧，且采用极为不规范的配线整合方式，日常维护极为不便。根据整体改造的特点及最大限度保护投资的建设原则，计划重新对现有网络布线及电话通讯布线进行改造。设备间子系统位于办公楼首层机房，该系统是综合布线系统的汇聚层。系统包括主干网络设备，PBX，计算机服务器，语音主配线架、数据主配线架及设备连线等。主要功能是将计算机服务器，PBX，网络设备等公用弱电设备连接到主配线架上。梳理所有线路，进行有效的标识。最终使得所有布线稳定、可靠的支撑所有终端与网络服务提供端的连接。产品选型产品选型原则全球生产布线系统产品的著名厂商就有90家左右，每家的产品都有其特色，而不是说哪一家的任何产品都是最好的。因此我们选择产品的原则是如下几条：选择满足EIA/TIATSB-36的电缆线；选择满足EIA/TIATSB-40的接插件；最好的性能价格比和最高的工程质量；最容易安装和维护。这里选择康普的六类布线产品。产品类别的选择布线产品的多样性，给布线系统的设计带来很多的可能性，有了这些可选性，也就产生了业内人士的争论。当前，在布线产品类别的选择上有两方面的争论，一是屏蔽与非屏蔽，二是增强5类、6类与7类，根据大楼的使用特点，设计中建议使用六类非屏蔽系统。屏蔽系统能够提高系统的抗干扰及辐射能力，但它也存在以下几个主要不足：要使屏蔽系统真正发挥作用，必须进行终端至线缆插件的全过程屏蔽。且屏蔽应该有360度的接触，给施工带来很大的难度，如果屏蔽质量不好，反而会使系统的传输指标下降。屏蔽系统的造价高出非屏蔽系统的20%以上。屏蔽层破坏了线缆的电容和电感偶合，是线缆的平衡性下降，衰减增长。屏蔽系统无测试标准和手段，无法检测系统的好坏。我们考虑到办公楼的干扰场强不是很大，且线缆设计走金属线槽（有一定的屏蔽作用），因此选择非屏蔽系统。随着计算机网络与通信的不断扩大，以及相关技术的发展，用户对传输线路的要求越来越高，布线厂商在推出5类后相继推出了5E、6类及7类，各厂家的标准不一致，使业内有些混乱，因此，布线委员会正在修改布线标准。第二版的ISO/IEC11801把cat5/classD系统按照CAT5E重新定义，以确保系统均能运行千兆位以太网，为了保护大楼的投资，我们建议选用6类。设备配置六类UTP线缆：具有每线对隔离的骨架结构，以减少线对信号传输干扰和增加物理机械抗性，保证系统的传输性能。紧护套结构，以保证施工前后的性能保持一致。传输信能参数符合并超过标准：ANSI/TIA/EIA568B.2-1Category6，ISO/IEC11801:(Edition2)ClassE，CENELECEN50173:(Edition2)Category6支持6个连接和短信道线对采用一字隔离重量：25.6lbs/305m外皮厚度：0.56mm外径：5.89mm最大拉力：25lbs(11.34kg)工作温度：-4°F到140°F（线规：23AWGNVP（fastestpair@10MHz)：69%UL认证：CMR 颜色：浅蓝色最差100米6个连接全程信道性能保证，提供UL性能认证证书。六类模块式配线架：配线架端口：24或48口，自带理线器安装方式：19英寸机柜式安装卡接线规范围：22－26AWG最少卡接次数：750次打线方式：T568A或B标签：自带明显数据或语音标签安装要求：可翻转型，前面施工和维护管理工作温度范围：－10至60度快接式数据配线架规格：24口六类非屏蔽RJ45配线架。标准：符合ISO/IEC11801:Ed2.0。TIA/EIA568-B.2卡接次数≥750次。端接寿命≥150次，支持T568A或T568B国际标准线序。机架式安装，配线架可安装文字标识条，方便布线标签维护。110语音配线架规格：100对机架式110跳线架，19英寸1HU。标准：ISO/IEC11801:Ed2.0。TIA/EIA568-B.2安装：机架式安装。模块化设计单元内部的连接终端，用于连接水平布线和电信机柜内线缆之间的连接，只需增减IDC模块即可。室内铜缆大对数：线规：24AWG，铜芯线径0.51mm类别：EIA\TIA-568B最大直流阻抗：9.38欧姆工作温度范围：-20至60度外皮：UL认证NEC的CMR阻燃级别外皮颜色：灰色线对：100对六类非屏蔽铜缆跳线：类别：原厂正品，六类规格：多股线，软跳线芯数：8芯外皮：CMR阻燃插拔次数：大于750次长度：7或9英尺工作温度：－10至60度机架规格：600*600mm*42U材质：冷扎钢板开放式支架采用全拆装式组装结构高容量过线槽双面过数功能，U数刻度，布线管理井然有序预设空间前后走线位可载200KG重量多样化组合配备承重板和电源条部署环境建议这里我们主要针对设备间的设备环境，安装条件和连接方式作以简要的说明。按照标准的设计要求，设备间特别是要集中放设备的设备间，应尽量满足下面的要求：室温应保持在18℃至27℃之间，相对湿度保持在30%保持室内无尘或少尘，通风良好，亮度至少达30英尺—烛光；安装合适的消防系统（如采用湿型消防系统，不要把喷头直接对准电气设备）；提供合适的门锁，至少要有一扇窗口留作安全出口；尽量远离存放危险物品的场所；设备间的高度应至少2.55米高度的无障碍空间，门的大小至少为高2.1×宽0.9m，地板负重能力至少应为500Kg/平方米。另外对于K.I.S.S系统的要求，应在配线间安装布线硬体的墙壁上覆盖涂有阻燃漆的3/4英寸（合1.9cm）的木板。设备间的大小完全取决于安装的电气设备的空间要求。另外，在主、分配线间，还要有供放置设备的设备柜，其大小可按设备的尺寸而定，一般采用木质或玻璃材料制成。在设备间尽量将设备柜放在靠近竖井的位置，在柜子上方应装有通风口用于设备通风；亦可采用设备架，但要同时做好防尘的考虑。完成效果根据结构化布线方式完成整体机房布线效果如下图所示：企业网络核心交换、路由系统需求分析XX有限公司网络现采用则勤防火墙作为网关设备，两台D-link桌面型24口10/100MB交换机作为客户端接入设备，没有上网行为管理器且不具备网络攻击防御的能力。随着业务增长，网络交换处理的压力持续增加，加之客户端数量增加网络威胁越来越成为网络管理的关键性问题。另外，在上班时间，员工利用网络管理制度不健全的现状，大量浏览与工作无关的网页，使用IM通讯工具导致工作效率低下，造成企业资源的严重浪费。因而，健壮、健全的企业网络和完善的网络管理能力成为企业首要解决的问题。系统概述本次方案中的网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性系统为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法，为将来企业搬迁及网络升级打好基础，提高网络设备整体的可利用率。整体组网图如下所示：总体设计原则XX有限公司信息化建设需满足全方位的数据共享、应用网络优化、网络安全等多种保障手段提供不间断转发、不间断升级、优雅重启、等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO），提供全面的性能保障服务，使网络安全可靠，从而实现管理、多媒体数字以及办公自动化，提供可增值可管理的业务，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。高带宽本次网络系统建设，为了保障全网的高速转发，各网络系统的组网设计的无瓶颈性，方案设计要充分考虑到，同时要求核心交换机具有高性能、高带宽的特性，整网的核心交换要求能够提供无瓶颈的数据交换。可行性和适应性系统既要保证技术上的可行性和良好的性价比，又要具有对今后社会和经济发展的适应性。先进性和成熟性系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，并能顺利地过渡到下一代技术。开放性和标准性为了满足系统所选用的技术和设备的协同运行能力、系统投资的长期效应以及系统功能不断扩展的需求，必须要求系统的开放性和标准性。可靠性和稳定性在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性。安全性和保密性在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。可扩展性和易维护性系统应采用先进、成熟、实用的主流技术，进行系统的优化集成设计。系统软、硬件配置采用模块化、开放式结构，以适应系统灵活组网，扩展和系统能力提升的需要。高效节能实现各系统的有机互联，资源共享，信息共享，具有正确应对突发事件的响应能力；提高设备利用率，降低能耗，节约能源，实现现代化的科学管理。核心交换机设计本次项目中核心交换机采用思科两台48口千兆接入交换机3750G进行双机冗余堆叠部署，该产品是一款创新交换机，经过将业界领先的易用性和可堆叠交换机的最高永续性相结合，提高了LAN的运行效率。而且此产品系列是下一代桌面交换机的代表，采用了CiscoStackWise技术，这一32-Gbps堆叠互联使客户能够逐个交换机地构建统一、高度永续的交换系统。对于中型企业机构来说，Cisco3750G产品经过提供配置灵活性、支持融合网络模式及自动进行智能网络服务配置，简化了融合应用的部署，并可针对不断变化的业务需求进行调整。另外，该产品Cisco3750G主要特点及优势：易于使用—“即插即用”配置工作中的堆叠可进行自管理和自配置。在添加或拆除交换机时，主交换机自动将堆叠上运行的CiscoIOS®软件版本加载到新交换机上，加载全局配置参数，并更新所有路由表来反映变化。更新同时普遍地应用于堆叠的所有成员。CiscoCatalyst3750系列可将9个交换机堆叠为单一逻辑单元，共提供468个以太网或PoE10/100端口，或468个以太网10/100/1000端口或PoE10/100/1000端口，或是9个万兆位以太网端口。随着网络需求的发展，能以任意组合添加10/100、10/100/1000和万兆位以太网端口。经过降低运营成本而实现投资回报对全局配置参数的CiscoIOS软件版本自动检查和加载提供了第一级的运营时间节约。在发生停运时实现第二级节约。当您将一个发生故障的交换机从现有交换机堆叠中拆除，并将其换为另一交换机时，主交换机将认为这是一次维护停运，无需用户干预，即可自动重载以前交换机的端口级配置。这使IT经理可让远程地点的当地人员执行维护任务，而不必花费大量成本地派遣技术人员前往现场。混合和匹配交换机类型—随您对网络的扩展而付费堆叠可用CiscoCatalyst3750交换机的任意组合来创立。需混合10/100和10/100/1000端口、PoE和布线室汇聚功能的客户能够逐步开发接入环境，只为她们所需的性能付费。当需要增加上行链路容量时，您可方便地升级您的带宽，只需向堆叠添加一个万兆位以太网版本，另外，您也可在现有光纤上将您的千兆位以太网链路升级为万兆位以太网。可用性—第二层和第三层的不间断性能CiscoCatalyst3750系列提高了可堆叠交换机的可用性。每个交换机既可作为主控制器，也可作为转发处理器运行。堆叠中的每个交换机都可作为主交换机，为网络控制创立了一个1:N可用性体系。万一有一个设备发生故障，其它所有设备会继续转发流量，维持运行。智能组播—为融合网络提高新效率水平凭借CiscoStackWise技术，CiscoCatalyst3750效率为视频等组播应用提供了更高效率。每个数据分组仅被在背板上处理一次，从而为更多数据流提供更为有效的支持。出众的服务质量—以线速在整个堆叠上提供CiscoCatalyst3750系列以千兆位以太网速度提供了使一切顺畅运行的智能服务－其速度甚至达到了普通网速的10倍。业界领先的标记、分类和排队机制为数据、话音和视频流量提供了最佳性能－且均以线速提供。网络安全性—对于接入环境的精细控制CiscoCatalyst3750系列支持用于连接和接入控制的全面安全特性集，包括ACL、身份验证、端口级安全性，以及带802.1x和扩展、基于身份的网络服务。这一全面的特性集不但有助于防御外部攻击，而且还可保护网络免遭“中间人”攻击，这是当前业务环境中的一个主要安全问题。简单的IP管理—多个交换机，一个地址每个CiscoCatalyst3750系列堆叠都作为单一对象管理，采用单一IP地址。对于故障检测、VLAN创立和修改、网络安全及QoS控制等活动，进行单一IP管理。巨型帧—支持高要求应用CiscoCatalyst3750系列支持10/100/1000配置中的巨型帧，用于需极大型帧的高级数据和视频应用。Catalyst3750系列在硬件中支持IPv6路由，可实现最高性能。随着网络设备的增多，对于更大型编址和更高安全性的需求日益关键，Catalyst3750系列将作好满足这些需求的准备。标准PoE支持—顺畅地添加IP通信CiscoCatalyst3750和3750GPoE支持思科IP电话和CiscoAironet?无线LAN(WLAN)接入点，以及任意符合IEEE802.3af标准的终端设备。Catalyst3750和3750G24端口版本可同时支持24个15.4W的全加电PoE端口，实现最高水平的受电设备支持。48端口版本的功率可支持24个15.4W端口、48个7.7W端口，或是它们的任意组合。万兆位以太网支持—为千兆位以太网部署增加上行链路带宽CiscoCatalyst3750系列允许网络管理员在其布线室或GRID集群中逐步添加符合IEEE802.3ae标准的万兆位以太网连接，进一步增强和优化千兆位以太网网络。这为希望使用其现有光纤设施、向交换堆叠添加上行链路带宽容量的客户，以及想为应用和用户提供最高性能的客户提供了投资保护。管理选项CiscoCatalyst3750系列(图5)提供了一个用于具体配置的出众命令行界面(CLI)，和一个可根据预设模板快速配置的、基于Web的工具，CiscoNetworkAssistant软件。另外，CiscoWorks支持Catalyst3750系列的网络级管理。Inernet出口及VPN设计租用电信运营商10M光纤连接作为办公网Internet出口，10M带宽可完全满足员工上网，以及外部访问的带宽需求。在企业网Internet出口处部署VPN接入设备，出差员工和办公人员即可在远程利用Internet网络安全的连入企业网络，访问企业资源和系统完成业务工作，实现远程办公。网络安全出口及边沿停火区（DMZ）设计为了满足企业门户外部访问、内部通信和安全保密等多重需求，在外网边沿设计边沿停火区域（DMZ），将企业门户、邮件系统等允许外部访问的服务器单独接在该区端口，使整个需要保护的外部网络接在信任区端口后，不允许任何来自Internet的访问，这样来自外网的访问者能够访问DMZ中的服务，但不可能接触到存放在内网中的单位机密或私人信息等，即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。企业中心网络存储系统需求分析XX企业是一家以设计研发为依托的生产制造企业，公司从事汽车车轮检测设备研发与生产，由于属于非标行业，公司拥有大量产品图纸、设计文档。采用传统将文件分散存储于客户端机器的方式，协同工作极为不便，且当人员流失时，相关的资料亦可能流失。对于敏感数据，无法实现访问的审计与权限控制。因而，一套可靠、健壮的企业网络存储系统显得尤为重要。且该系统将成为数据安全备份的主要载体。产品选型Synology®RackStationRS2212+/RS2212RP+提供了具有高效能、可扩充，且功能完整的网络存储方案，满足企业的各种需求，得以更有效率地运行下列工作：集中化保护数据、简化数据管理方式，以及花费最少的建置与管理时间就能快速扩充存储容量。SynologyRS2212+/RS2212RP+随附Synology的3年有效保修服务。每秒200.73MB以上的读取速度、每秒194.32MB以上的写入速度1可用SynologyRX1211/RX1211RP扩充至22颗硬盘CPU被动式散热技术及系统风扇备援机制具有双网络埠，支持故障移转及LinkAggregation支持Windows®AD及ACL符合VMware®、Citrix®、Microsoft®Hyper-V®标准操作系统为SynologyDiskStationManager(DSM)SynologyRS2212+存储产品功能体验高速数据传输效能在启动LinkAggregation的环境中，设置为RAID5的SynologyRS2212+/RS2212RP+可提供平均每秒200.73MB以上的读取速度和每秒194.32MB以上的写入速度1。SynologyRS2212+/RS2212RP+为需要处理大量数据的应用程序提供高效能的存储系统，并支持扩充存储空间的能力。为企业必备的应用程序提供高稳定性企业需要有坚强的后盾才能处理至关重要的任务。SynologyRS2212+/RS2212RP+提供的高数据可得性可确保您在需要数据时都能立即存取。双网络端口故障移转及硬盘热插入功能可确保系统在更换硬盘或网络故障的情况下，仍可继续提供服务。针对系统的心脏CPU，RS2212+/RS2212RP+导入了被动式散热技术的结构，让系统不再依赖单颗处理器散热风扇，也能减少重要组件失效导致整台机器故障的情况。当系统侦测到风扇故障的情况时，内建的备援机制可让正常运作的风扇保持旋转来为系统散热，也可在置换故障风扇之前让系统继续运作。这样不但有效阻绝系统损坏的可能性，也大大强化系统的可得性。强大且经济实惠的高扩充性，最多可达88TB当SynologyRS2212+/RS2212RP+的存储容量接近上限时，您可使用SynologyRX1211/RX1211RP轻易地扩充容量。SynologyRS2212+/RS2212RP+使用特别设计的接线连接到RX1211/RX1211RP上，此接线可传送SATA讯号并确保最佳传输效能。SynologyRX1211/RX1211RP可直接扩充SynologyRS2212+/RS2212RP+上现有的存储容量，最多可达88TB的存储空间。适用于企业环境WindowsADS整合功能可让SynologyRS2212+/RS2212RP+轻松快速地融入现有的企业网络环境，无须在SynologyRS2212+/RS2212RP+上重新建立使用者账号。「用户家目录」功能可为管理者省去为大量使用者一一建立私人共享文件夹的麻烦。RS2212+/RS2212RP+的WindowsACL支持功能可提供更精密的访问控制功能及更有效率的权限设置方式，IT人员可藉由熟悉的Windows使用接口在RS2212+/RS2212RP+上配置文件案及文件夹的访问权限。WindowsACL的权限设置可套用至各种存取方式，包含AFP、FTP、FileStation、NFS及WebDAV。这样可让权限设置更为安全，也让IT人员不用再担心安全上是否有漏洞。iSCSI及虚拟主机支持功能DSM的iSCSI支持功能可让SynologyRS2212+/RS2212RP+为虚拟主机服务器(VMware、Hyper-V及Citrix)提供完美的存储空间解决方案。对于没有布建SAN环境的企业来说，这是最理想的替代方案。价格合理且符合成本效益的iSCSI可让中小企业使用者将存储空间整合成数组式的数据中心，并让服务器将这些存储空间视为本机连接的硬盘。功能完整的企业应用程序SynologyRS2212+/RS2212RP+的运作平台是知名的操作系统SynologyDSM，其具备专为中小型企业设计的完整应用程序及功能。完整的网络协议支持功能确保Windows、Mac®及Linux®等平台之间能够毫无差池地共享文件。互联网的文件存取经过加密的FTP服务器以及网页接口的文件总管：SynologyFileStation，变得更为简单好用。HTTPS、防火墙及IP自动阻止等支持功能，可确保互联网上的文件分享受到高规格安全等级的保护。SynologyRS2212+/RS2212RP+丰富的附加功能可取代多款网络硬设备。SynologyWebStation支持PHP/MySQL®网页内容，可让您在一台SynologyRS2212+/RS2212RP+上架设多达30个网站。SynologySurveillanceStation提供集中化的管理接口，可让您部署网络摄影机来保卫办公室环境。RS2212+/RS2212RP+的MailServer功能可与邮件软体(例如MacMail或WindowsOutlook®)搭配使用，至于USB打印机共享的功能可为办公室环境共享打印资源，大幅精简企业成本。节能设计SynologyRS2212+/RS2212RP+的设计与开发皆以节能为考虑。相较于一般的存储服务器，RS2212+/RS2212RP+消耗较少的电源。网络唤醒及多重开关机排程的支持功能可进一步减少耗电量及营运成本。硬盘休眠能让您指定硬盘停止存取多久之后进入休眠，此举不但节省了大量的能源，更延长了硬盘的使用寿命。所有的Synology产品都是使用符合RoHS标准的组件所制造，包装也是采用回收材料。对同样身为世界公民的Synology而言，持续开发出更好的方法让产品对环境冲击降到最低是我们重要的企业使命之一。中心机房建设需求分析XX中心机房位于厂区办公楼一层中心配电室，由于缺乏前期建厂时对IT信息管理的总体规划，故而，机房设计并未考虑在总体建厂预算中。现阶段中心机房并未设置配线机柜、服务器机柜，而是将设备全部集中于一个600*600网络机柜内。为了配合整体信息化建设，中心机房建设将成为至关重要的环节，因而合理的配线系统、UPS、空调通风散热系统将成为主要考虑的建设内容。中心机房建设概述随着计算机系统技术和设备的不断更新换代，安装计算机设备的场地技术，即机房工程也在不断地推陈出新。所采用的新材料、设备、工艺和技术，其目的是为了更好地保证机房的温度、湿度、洁净度、照度、防静电、防干扰、防震动、防雷电、及时监控等，能充分满足计算机设备的安全可靠地运行，延长计算机系统使用寿命的要求，同时又要给系统管理员创造一个舒适、典雅的环境。因此，在设计上要求充分考虑设备布局、功能划分、整体效果、装饰风格，体现现代机房的特点和风貌。中心机房建设技术方案配电系统设计概要设计要点机房内用电设备供电电源均为三相五线制及单相三线制，采用双回路供电。用电设备作接地保护，并入土建配电系统。机房用电设备、配电线路装置过流过载两段保护，同时配电系统各级之间有选择性地配合，配电以放射式向用电设备供电。机房配电系统所用电线为阻燃聚氯乙烯绝缘导线，敷设喷塑桥架、镀锌铁管及金属软管。机房的设备供电和空调照明供电分为两个独立回路，其中设备供电由UPS提供并按设备总用电量的1.3倍进行预留，而空调照明用电由市电提供并按空调设备的要求供配。空调照明部分采用机房专用配电箱来完成，它接到总配电室送过来的市电电源，经过总电源开关，输出到分支回路中。机房内的配电系统考虑了与应急照明系统的自动切换。该机房电源进线正常时由市电供电,市电故障时由UPS供电，进线直接引入机房专用配电柜总输入开关。机房设计了一个市电配电箱，对机房的市电进行配电，配电箱为机房专用标准配电箱，配备ABB低压开关。柜内配有市电备用回路，安装防雷保护器。根据企业弱电核心机房的实际情况和未来网络设备扩容的需要，我们建议为网络中心机房选配一台10KVAUPS，它的延迟时间有30分钟，充分保证相关机房设备的电源供给。机房所有插座均采用普通电源插座和弹起式铜插座，普通电源插座安装在墙壁上，弹起式电源插座安装在防静电地板上，美观大方。UPS设备介绍停电时，Smart真在线UPS能提供网络机的后备电池电源，以保护数据的安全。在安装了随机附带的PowerChuteplus软件后，无论您是否在场，都能在电池完全耗尽之前，安全储存数据，并关闭台式机或服务器的操作系统。经过Smart真在线UPS高级的实时多级浪涌意志和噪音过滤，您的硬件得到了保护、系统的寿命得以延长。Novell已承认Smart真在线UPS无需附加外部电压调节器的优点，认为这个系统是网络保护的最佳选择。Smart真在线UPS的保护功能提高了您的工作效率，稳定的输出电压和频率能够满足负载长时间稳定、可靠的运行。APC的UPS都具有在先进的性能。CellGuard智能电池管理，能提高整套系统的可靠性、延长电池后备时间。SmartSlot内置附件插槽允许你安装备选附件来增强您的APCSmart真在线UPS管理功能。PowerChuteplus软件能提供广泛的UPS电源管理和诊断功能。QuickSwap用户可更换电池系统允许您现场更换电池，更换的同时系统仍可保持供电状态并正常运行。APCSmart真在线UPS是文件服务器、微机、UNIX中心处理单元、互联网集线器、电信系统和其它关键性应用设备的完美的不间断电源供应系统。雷电及浪涌保护，保护您的硬件在ANSI/IEEE587A类和B类的测试中，APCSmart真在线UPS的浪涌保护性能比任何隔离式浪涌抑制器都好，它的测试数据已达到UL的最佳保护额定值。网络及电网电压调节防止假信号全天候EMI/RFI过滤器防止线炉噪音导致的数据错误。Smart真在线UPS无需附加外接电压调节器，便可满足用户对网络保护的要求。正弦波输出适合敏感负载APCSmart真在线UPS的正弦波输出为所有的负载提供了兼容保证。旁路运行功能保证系统更长时间稳定运行APCSmart真在线UPS能够运行在旁路状态，当负载严重超载或主机内部发生严重故障时，主机能够经过旁路为负载提供电源，保证重要业务更长时间不间断运行。CellGuard智能电池管理系统意味着延长电池寿命由于具有精密的FastCharge电池充电系统，以及真实负载电池自动测试功能，Smart-UPS的可靠性得以提高。冗余充电过量保护及连续无脉冲充电性能，可有效延长电池寿命。智能通讯接口增加了自动的系统安全关闭功能一旦安装了APCSmart真在线UPS，它就能够与服务器经过串行通讯端口连接起来，在服务器上安装并运行PowerChuteplus软件，执行自动安全关机功能。停电事故可能发生在夜里、周末或系统管理人员离开大楼的时候，这就使得自动安全关机功能显得至关重要。Smart真在线UPS的通讯端口能在大多数主流操作系统平台如NovellNetware,IBMOS/2,MicrosoftWindowsNT,UNIX等环境下，自动安全关闭系统。您还能够使用APC的PowerChuteplus软件管理UPS电源并诊断电源问题。Smart真在线UPS的过载能力On-line状态下的过载能力当Smart真在线UPS的负载大于其额定功率的107%且持续时间超过4秒钟时，UPS将发出声音报警。如果负载电流大于125%且持续过载，则UPS将持续工作1分钟，如果负载为150%过载时，主机能够持续工作30秒，然后转入旁路运行On-battery状态下的过载能力当Smart真在线UPS工作于电池状态时，它一般不支持持续的过载，而是在2到5秒钟内关闭。可是，如果负载不大于UPS额定功率的150%且其持续时间小于1秒钟时，Smart真在线UPS可正常工作。Smart真在线UPS内部工作温度和冷却风扇的运转用户能够经过APC的PowerChuteplus软件轻松地监控Smart真在线UPS的内部工作温度。这一温度值被记录在PowerChute的数据日志(PWRCHUTE.DAT)中，同时在PowerChuteplus用户界面的主窗口中显示。这一测量的精确度为±5%。UPS器件内部的升温受不同因素的影响，这既包括外界环境温度，又包括UPS为之供电的负载，可是与UPS工作在在线状态还是电池状态下无关。当UPS在在线状态，环境温度为25℃时，正常的工作温度大约是45℃（113℉）。这一温度会随着机内充电器和输出变压器向外提供功率的增加而升高。在最差的情况下，也就是电池在高环境温度（40℃）下放电和满负载工作，机内的温度不应超过75℃（167℉）。所有不同型号的Smart真在线UPS,如1000VA，VA型号都有冷却风扇。风扇冷却在四种正常情况下进行，虽然这四种情况很少出现。如下所示：无论何时，只要UPS工作在电池供电状态下，风扇就会工作。当UPS的内部环境温度超过60℃（140℉）时，风扇工作。冷却至50℃（122℉）时，风扇关闭。当输出负载超过UPS额定负载的75%时，风扇开始工作。在输出负载少于额定负载的75%时，风扇关闭。当机器内部充电器给电池充电时，风扇工作。Smart真在线UPS应在环境温度为0℃~+40℃（32℉~104℉）的情况下工作。注意：在Smart真在线UPS的四周必须留出2英寸（5cm）以上的空间以保持良好的空气流通。空调工程设计为使机房的主要设备和管理操作人员有一个良好的工作环境，并使其能够安全、可靠地运行，发挥其最大的工作效率，就要提供一个符合其运行标准要求的机房环境。这就对机房空气的制冷、制热、加湿、去湿、滤尘有严格的标准要求。设备运行情况、使用寿命与工作环境有密切关系，温度、湿度、洁净度就是工作环境的关键因素。机房冷负荷计算计算机机房属于重要的计算机中心。机房内有严格的温、湿度要求，机房内按国标GB2887-89《计算机场地安全要求》的规定配置空调设备：级别项目A级夏季冬季242202相对湿度45%~65%温度变化率(5(C/h并不得结露同时，主机房区的噪声声压级小于70分贝主机房内要维持正压，与室外压差大于9.8帕送风速度不小于3米/秒在表态条件下，主机房内大于0.5微米的尘埃不大于10000粒/升为使机房能达到上述要求，应采用精密空调机组才能满足要求。考虑到整体造价，原先探讨的机柜直接散热InRow空调不予采用。艾默生DataMate3000系列风冷型机房专用空调DataMate3000系列风冷型专用空调可应用于中、小型计算机房、设备间等场所的精密环境调节，机组采用先进的设计理念，经过精密空调专业实验室严格测试，具有高效节能、稳定、长寿命的运行特点，而且具有恒温恒湿调节功能，可满足IT、电力、交通等不同行业的精密环境调节需求。DataMate3000系列风冷型机房专用空调产品特点大风量、小焓差设计，适合机房主设备散热特点，为主设备提供连续、稳定的温湿度环境；高显热比、高能效的制冷系统设计，采用EmersonCopeland品牌涡旋压缩机；可设置的、独特的经济运行模式，可选择经济模式运行；室外机风机采用无极全调速控制，确保系统运行更健康、更节能、更低噪声；可选配节能卡组件，实现更高节能效果；占地面积小，100%全正面维护；易使用、易维护，适应力强，室外机监测及设定功能；气流丢失检测及告警功能；智能稳定的恒温恒湿功能；全中文大屏幕显示，具有多级密码保护、专家故障诊断功能；具备来电自启动功能，并可设置延时启动时间；配备标准RS485监控接口；灵活的主备机切换功能，实现机组自动切换及轮值功能；按照每年365天，每天24小时连续运行长寿命设计，高稳定性，低维护量；、超宽输入电压范围，多种电源保护功能；极强的环境适应能力：冷凝器标准配置满足-15℃～+45℃的室外温度环境配置低温冷凝器可满足-34℃～+45℃的室外温度环境，确保北方地区冬季机房制冷需求；可选配电源防雷器，提供更为可靠的安全保证；可直接在室内机的显示屏上读取室外机风机输入电压百分比、管路压力信息，监测更加全面，更易判断整机运行状态的健康性；可检测由于风机故障、过滤网堵塞等原因造成风量异常减少的信息；在计算机上安装后可远程监视DataMate3000机房空调运行状态，设定机房空调的开关、温度、告警重要等级等，可实现邮件通知告警、短信通知告警（需选配短信告警器）。机柜系统结合近年来IT设备的发展趋势，为保证客户的数据中心满足先进设备24小时连续运行的高可用性要求，方案考虑机房建设的可用性、灵活可变化、设备的美观、整齐化以及可维修性，并在统一TCP/IP的网络平台上实现机房设备的“统一管理和预警”功能。结合用户机房情况，合理使用空间，使建设的机房具备标准化、智能化的设计，真正达到容错目的，同时具备和谐统一的布局，美观的造型提升了机房形象和档次。APCAR3100机柜参数标准19英寸，600mm宽，42U高，1070mm深,高1991mm全开孔前、后门,圆孔,良好的通风性能，67%开孔率双开后门,方便设备安装及维护前后门均可快速拆卸前后门均带门锁侧板可快速拆卸双侧侧板均带锁,与门锁采用同一钥匙专用布线通道，提供高效、方便的布线功能专用配电通道,可直接挂接无工具安装PDU12个进线口,方便进线\布线含4个重载脚轮含4个调平支腿静态承重1300公斤可多台并柜使用,每组两个侧板独特顶部走线设计黑色APCAR3100APC机柜系统方案说明APCNetShelter机柜，具有先进的增强热量管理、综合完善的线缆管理和有效的电源分配方案，安装使用方便，并保证了机柜设备的兼容性，专门为满足今天及未来数据中心环境需要而设计的新一代、高品质机柜解决方案，它为标准的19英寸机架式设备提供安全、可靠和灵活的安装空间,可广泛应用于金融、电信等领域，如IDC、ISP和其它机架式设备应用场合。APC“全能机柜”解决方案提供如下性能:安全、可靠的高性能NetShelter机柜丰富的机柜附件机柜专业配电方案：机架式PDU机柜双路冗余电源自动转换功能机柜电源远程管理机柜环境、安全管理APC“全能机柜”的特点：先进的热量管理技术NetShelter机柜全通风前、后门采用“超级网孔”设计提供业界最高67%的通风面积每U空间具有20in2的开放空间（前后门）全面满足要求苛刻的服务器散热的需要红外拍照热量管理对比图普通服务器机柜APC服务器机柜玻璃前门,通风后门,带顶部风机全通风前后门,无风机3100watts3100watts服务器最高温度50℃(1230服务器最高温度35℃(950前后前后前后前后完善的线缆管理多达12个线缆入口，满足高密度布线安装的需要独特的顶部走线的创意，适合各种机放环境的需要机柜后部“专用布线通道”设计，数据、电源线缆各行其道，更安全更可靠专业的电源分配设计NetShelter机柜专业的电源分配设计，为机柜应用提供各种类型可靠的电源分配方案，并提供独特的机柜级别负载电流指示及电流远程监视功能。良好的兼容性NetShelter机柜灵活、中立的结构设计，兼容主流厂商的机架式服务器、网络设备产品，满足用户在一个机柜中选装各种最好性能产品的需要。KVM切换器为了能够对服务器系统的集中监控与管理，采用业界先进的KVM系统，该系统除了能够实现在中心服务器机房查看相应的服务器外，亦可实现远程透过互联网查看企业的服务器运转。ATENKL1508AiLCDKVMATENKL1508Ai双滑轨LCDKVM多电脑切换器，为一组控制设备，其允许从一组控制端(键盘、显示器、鼠标)安全控管高达8台电脑；其整合了LCD屏幕、键盘及触控板于抽拉式的机体内，并可安装于机架上。LCD屏幕及键盘/触控板模块能够独立抽拉，为了提高您机房内空间使用的效率，当键盘/触控板模块不需要使用时，能够将其推回收好，并展开轻薄的LCD屏幕–靠在机架上，以方便监控电脑的运作状态。KL1508Ai支持IP联机，可让本地及远程的操作者监控及访问其所连接的电脑，由于KL1508Ai使用TCP/IP通讯协议，因此使用者能够经过连网的电脑–无论该电脑在大楼任何地方、在街道上或甚至在地球另一端，都可访问KL1508Ai。体积小、高密度的RJ-45连接头及Cat5e/6连接设计，提供简便、有效率的布线方式，经过KVM转换连接线连接电脑，可让PC、Mac、Sun电脑与串口设备在同个架构下混合使用。为了提高使用的便利性，背板上提供一组键盘、鼠标及屏幕的连接端口，可让您从本地控制端管理切换器；另外，键盘模块上额外的USB鼠标连接端口，可让您使用外接式鼠标以取代触控板。另外，其所提供的进阶功能包含可同时显示高达16组电脑影像输出的分割画面模式，及可让身处各地的登入使用者便利、快速沟通的信息板，KL1508Ai是机房管理最佳的解决方案。其功能特点为：硬件整合KVM控制端与17/19寸LCD液晶屏幕于单一双滑轨机体内单一控制端可管理多达8台的服务器支持菊式串接额外15台切换器，以从单一控制端控管高达128台电脑1个独立的通道，可供KVMOverIP远程访问RJ-45连接接口及Cat5e/6布线设计，可有效地节省空间具备自动转换功能的电脑端模块设计*，可弹性经过各种接口组合(PS/2、USB、Sun及串口)管理所有类型的服务器外接式控制端连接端口-可经过另一组外接式控制端(屏幕、USB或PS/2键盘、以及USB或PS/2鼠标)管理LCDKVM多电脑切换器所连接的服务器跨平台支持-PC、Mac、Sun及串口设备支持外接式USB鼠标双滑轨机体，体积高度小于1U，可于1U的机架空间内轻松操作双滑轨设计–LCD屏幕与键盘/鼠标触控板可分别独立抽拉LCD模块可展开至120度，以提供更舒适的检视角度控制端锁定功能-在不使用控制端时可将其安全固定在原来位置LCD电源按键有助于节省能源，并延长屏幕的使用寿命兼容的KVM多电脑切换器:KH1508A/KH1516A,KH0116,ACS1208A/ACS1216A,CS1708A/CS1716A,KH1508/KH1516管理功能提供多达64组使用者账号–支持多达32位使用者同时从远程登入支持终止联机功能–管理者可终止正在运行的连线作业电脑端模块ID:可储存连接端口信息，让管理人员将服务器重新连接到不同连接端口时，无需重新设定电脑端模块及KVM多电脑切换器连接端口分享模式支持多位使用者共同访问一台服务器连接PowerOvertheNET™远程电源管理设备，以进行远程电源控制可与ALTUSENCC管理软件整合使用支持事件日志及Windows操作系统的日志服务器本地日志记录支持固件更新支持IPv6简易使用者界面可经过按键、热键模式、OSD(屏幕选单)及浏览器界面轻松切换电脑本地控制端、browser-based及APGUIs提供统一的多国语言界面，减少使用者训练时间及提高工作效率支持多平台的客户端系统(Windows,MacOSX,Linux,Sun)支持多种浏览器:InternetExplorer、Chrome、Firefox、Safari、Opera、Mozilla、Netscape以网页技术所发展的浏览界面，管理者不需先安装Java软件包即可执行管理工作支持分割画面模式(PanelArrayMode™)键盘广播功能*–键盘输入信号可复制到所有连接的服务器上先进的安全机制支持远程验证机制:RADIUS,LDAP,LDAPS及MSActiveDirectory支持128位SSL数据加密及1024位RSA认证以确保浏览器登入的安全性弹性化加密设计，使用者可分别为键盘/鼠标，屏幕及虚拟媒体数据选择56位DES、168位3DES、256位AES、128位RC4的任何组合或随机的加密方式支持IP/MAC过滤功能，强化安全防护可对使用者及群组设定访问与控管服务器的权限虚拟远程桌面窗口可调整视频质量及视频公差(tolerance)以最佳化数据传输速度；单色色深设定，临界值及信号干扰设定，可让使用者在低频宽的情况下压缩数据流量大小以达到最佳的传输量支持全屏幕显示或可调式窗口显示远程使用者间可经过信息板功能相互沟通鼠标动态同步显示功能(MouseDynaSync™)–自动同步化远程及本地的鼠标光标支持多国语言屏幕键盘BIOS层级访问

第四章基础架构服务建设方案建设目标当前XX企业计算机和用户等网络资源由用户自主管理，这给整个网络和各类信息资源的安全运营和管理带来很大风险。因此，本方案拟建立统一的目录服务和用户权限管理机制。目录服务使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行逻辑的分层组织。经过目录服务能够便捷地实现统一地组织与管理网络内的服务器和客户端。从管理层面，目录服务的建设将信息化环境的管理由松散方式变为集中管理的方式，减轻日常管理维护负担，提升信息化基础能力。从用户层面，目录服务实现了单一的网络身份验证，确保能够快速的访问组织内部的各种资源。针对目录服务以上优点，计划在企业内网中部属目录服务，将企业网内所有资源编制索引目录，提高信息资源访问速度，同时统一配置访问用户权限设置，实现现有网络用户和各类资源的统一目录管理。技术方案方案选型XX有限公司基础架构服务拟采用windowsR2活动目录方案，经过活动目录加强计算机安全和桌面管理，并为进一步部署其它高层等打下坚实的基础架构。我们选择的WindowsServerR2活动目录产品融合了一些新的技术特点，这些特点包括：（1）DNS集成活动目录使用域名系统（DomainNameSystem，简称DNS）。这使得运行在TCP/IP网络上的计算机能够识别和连接另一台计算机。DNS域和WindowsServerR2的域自然而有机的结合在一起，使得整个目录结构成树型分布，具有了DNS的层次感觉，也使得WindowsSereverR2系统能够支撑庞大的目录结构，是的目录对象涵盖了整个网络元素：用户，计算机，打印机，共享文件夹，应用程序，管理策略等。（2）目录定位服务经过DNS服务中的ServiceResourceRecord（SRVRR）记录公布提供目录服务的服务器地址，SRVRR中的附加信息指出了服务器的优先权及重要度，使得客户能够选择她们所需要的最好的服务器。DNS记录也能够集成到目录中，随着目录复制而达到DNS复制的目的。（3）全局唯一的用户名在域内一个用户对象只能有一个用户主名，而这个用户名是能够用username@domainname表示的，就好比一个用户的mail地址一样。正是具有了这个特性，才能够实现在企业内只要一套用户认证系统就能够实现所有应用系统的单一认证问题。（4）可扩展性活动目录是可扩展的，就是说管理员能够向模式中添加新的对象类，也能够向已经存在的对象类添加新的属性。模式包括每一个对象类和对象类属性的定义，它们能够存储在目录中。例如，能够向用户对象添加购买机构属性，然后能够将用户的购买机构范围做为用户帐号的一部分进行存储。（5）灵活的查询用户和管理员能够使用"开始"菜单上的"查询"命令、桌面上的"我的网络"图标或者"活动目录用户和计算机连接"插件来根据对象的属性快速的查找网络上的对象。（6）身份联合ADFS（活动目录身份联合）提供了基于Web的extranet验证/授权、单一签名登陆(SSO)和针对WindowsServer环境的联合的身份服务，从而提高了在涉及B2Cextranet、intracompany(多森林的)联盟和B2Binternet联盟的场景中、现有活动目录部署的价值。（7）基于策略的管理组策略是在初始化时对计算机或者用户进行的配置。所有的小组策略设置都包含在组策略对象（GroupPolicyObject，简称GPO）中，它能够应用于活动目录站点、域或组织单元中。GPO设置确定对目录对象和域资源的访问、哪些资源域是用户能够访问的以及这些资源域应该如何使用。森林规划森林是WindowsAD域的集合。每个活动目录的实施将至少有一个森林，森林的数量取决于公司的组织架构。在本项目中，建议采用单一森林，在单森林的模式即能满足对公司计算机安全和管理需要。单一森林环境易于建立和维护，森林间的域自动建立双向可传递内部信任关系，不要求手动建立外部信任配置。域的规划根据企业当前的基础管理需求，我们建议，企业WindowsAD域逻辑结构能够采用“单森林、单域”的结构设计。同时利用Windows内置DNS服务进行域名解析，域名为CMPTJ.COM。单域结构的主要优势如下：集中管理整个企业的安全策略。集中管理整个企业的组策略。完全利用组织单元反映企业的管理结构。当企业机构重组时能够非常灵活的进行调整。当资源和用户需要在组织机构内迁移时能够非常灵活的调整。相对其它方案，能够使用较少的域控制器。简单的名字空间设计–只需要1个DNS名字后缀.用户在查找AD内的信息时相对简单。单一的组策略更容易实施。OU结构规划组织单元（OU）是一个用来在域中创立分层管理单位的容器。在域中创立OU结构时，必须注意始终按照“谁管理什么”的原则，从IT管理的需要出发，划分管理模型的结构。本次实施方案中将OU按照公司组织机构的结构进行规划设计，例如：人事部、财务部、管理部等。各部门的OU组策略由企业计算机管理员进行统一配置管理，即权力不在下放。初步OU规划与企业组织机构一致：域控制器规划在企业内网中共架设两台域控制器，以便互为备份，以避免单台域控制器出现故障后，造成所有用户身份数据和网络管理数据丢失。其中一台域控制器充当架构操作主机（SchemaMaster）、域命名操作主机（DomainNamingMaster）、PDC模拟器（PDCEmulator）和RIDMaster，以及结构操作主机（InfrestructureMaster）角色。站点结构的设计由于企业网络环境比较简单，属于典型的局域网环境，本方案建议采用单站点结构。ADFSMO主机角色设计活动目录的FlexibleSingle-MasterOperations机制用于避免对活动目录的更改发生冲突。总共有5个FSMO角色需要被管理。(1)SchemaMaster：森林中只有一个。指定一台DC用于接受活动目录Schema的更改。这台机器应该属于森林根域，用于保证正确地访问控制。(2)DomainNamingMaster：当增加、删除域时，处理对域目录树的更新。Schema和DomainNamingmaster应当在同一台服务器上。Domainnamingmaster应该在一台GC上。(3)PDCEmulator：处理早期版本客户端(如NT4)的口令更新，接受紧急口令锁定复制等。本台服务器在用户的域环境中会处理大量的请求，必须非常可靠。(4)RIDMaster：维护RIDs(RelativeIDs)缓冲池，用于生成安全账户（用户、组、计算机）。对于比较大的域，RIDmaster和PDCemulator应该分处不同服务器。(5)InfrastructureMaster：用于更新跨域的引用，必须不能在GC上。在用户的环境中，相应的角色将被安排到以下的服务器：C1SchemaMaster，DomainNamingMaster,GCC2PDCEmulator，RIDMaster，InfrastructureMasterDNS设计建议在内部网络设置DNS服务器。DNS服务器都将DNS数据放在本地的AD数据库中，可是作为独立的ApplicationPartition来参加域控制器之间的目录复制(DirectoryReplication)仍而同步DNS数据库。所有域控制器都将自己设为首选的DNS服务器，将另一台域控制器设为次选的DNS服务器。每个物理区域的客户端将经过DHCP，将第一台域控制器的DNS设为首选，将另一台域控制器的DNS设为次选。每台DNS服务器将设置转发(forwarder)，将本地ISP的DNS服务器设为转发器.将所有非内部网的域名解析请求转发至Internet上。基本上企业内所有的客户端都将经过DNS来进行名称解析，包括登入域和访问文件服务器或其它客户端。每一个加入域的客户端都经过动态注册在DNS服务器上注册自己的主机记录(A)和指针记录(PTR)。管理员在服务器上能够轻松的了解所有客户端的注册情况。另外，客户端在访问Inetnet时，能够依靠ISP的DNS转发，来对非内网地址的服务器进行必要的名称解析。个人帐号和口令管理个人账号能够分为两类：(1)第一类为普通账号，采用一人一号的方式，为每一位员工建立自己的账号。当员工加入或者离开时，按照一定的规则增加或者删除用户的账号。(2)第二类为特殊账号，一般并属于某一位员工，而是为了满足某些特殊的功能，比如系统管理、匿名访问等等。(3)每个个人账号都有一个口令来保护，为了防止口令被盗用和攻击，我们将在整个域中启用相应的密码策略以保证每个密码都符合一定的复杂度，具体要求如下：a)长度不得小于7个字符b)必须包含大写和小写字母c)必须包含特殊字符（例如：~!@#$%^&*()_+）该部分的设定，需要须由用户的IT管理人员根据自己整个企业的实际情况来进行制定。(4)个人账号的命名规则用户名称将使用中文名，帐号名称为:采用姓名的拼音全称，如有重复则在末尾加用户所在部门名称的首字母，若有重复则在末尾加数字以示区别。例如：姓名拼音帐号名张三{人事部}ZHANGSANZhangsangHR计算机账号管理所有加入到域中的计算机都需要一个计算机账号，经过该帐号，我们能够对计算机的各种配置进行管理。服务器帐号:ServerName:xxxxxxxx共八位.前三位为SVR表示该计算机为服务器.中间表示为服务器主要功能(比如:DC=DomainController;MAIL=mailServer;FILE=FileServer),最后为服务器编号.如Svrdc01,Svrfile工作站（PC）帐号:PCName:xxxxxxxx前三位;部门代码如(TPM,OMD,FND,HAD,QMD);中间部分为员工姓名拼音简称(声母部分)如TG,LH,等;后两位为序号，例如：TPMTG01OMDMZ02PT-PUBLIC-01注:员工姓名简称标定详细和员工姓名等需不用户具体商讨.组策略设计在WindowsServer中，策略是一组规则的集合，这些规则包括了一般的管理任务，比如用户设置管理、应用软件管理和其它有关的规则。经过将这些规则（策略）应用于企业用户和计算机，能够实现自动的用户设置、软件管理和其它一些管理功能，仍而降低系统管理员的管理负担。设计组策略时，我们需要同时考虑两个目标：1)结构清晰，便于管理和修改。制定组策略时，应该不企业的组织机构、管理模式相一致，使得管理员能够容易的对组策略进行维护和修改。2)高效。组策略的实施会对机器启动的时间产生一定的影响，我们必须加以考虑。我们应该尽量减少组策略对登录时间的影响。经过在用户部署组策略，能够实现以下基本的管理要求：系统方面的设置项目要求桌面使用统一的设置安全方面的设置项目要求口令更改日期定期更改提示控制面板访问只允许显示指定图标注册表访问禁止本地登录禁止（所有本地用户）注意：更加详细的管理策略设定，须由用户的IT管理人员根据自己企业的实际情况来进行制定。系统功能ActiveDirectory是WindowsServer的目录服务。它存储着网络上各种对象的有关信息，包括人、计算机、打印机、应用程