《四川汽车工业集团有限公司IT基础架构解决方案.docx》由会员分享,可在线阅读,更多相关《四川汽车工业集团有限公司IT基础架构解决方案.docx(63页珍藏版)》请在三一办公上搜索。
1、四川汽车工业集团有限公司IT基础架构解决方案一、概述1.1 项目背景四川汽车工业集团有限公司经过多年的IT建设,计算机系统在公司的生产活动中发挥了越来越重要的作用。四川汽车工业集团有限公司通过搭建的计算机应用系统,将企业业务活动中存在的大量、复杂的计算需求,和计算机自身所具有的高效、准确、全天候运转特性充分的集合在一起,从而使得企业竞争能力得到了最大化的提升。本解决方案将从四川汽车工业集团有限公司的IT环境现状出发,分析现有环境,提出四川汽车工业集团有限公司关心的关键问题及未来的挑战,并根据相关问题详细阐述对应解决方案,帮助四川汽车工业集团有限公司快速解决问题,以信息技术提升企业生产力。1.2
2、 现状描述当前四川汽车工业集团有限公司内部网络环境多数仍为松散的管理状态,IT环境中硬件设备伴随着组织中人员数量的增加每年都在增长,大力的信息化建设使硬件和应用软件单纯从技术层面上讲都达到了较高的水平,但实际环境中无论是工作用桌面计算机还是服务器都是采用工作组模型,各自独立。IT环境中的软硬件资源都无法实现充分利用。经历了大规模网络和硬件投资建设之后,四川汽车工业集团有限公司的信息技术部门开始转向关心信息化建设投资的“效益”,究竟过去投入建成的这些设备,能够形成哪些应用,带来什么效益?这已经成为信息技术部门与企业管理人员最为关心的重点问题。从信息技术部门人员来说,如何整合现有IT环境中的资源,
3、将IT环境的管理由松散方式变为集中管理的方式,减轻日常管理维护负担,提升IT生产力。从最终用户来说,如何能够实现单一的身份验证,快速的访问企业内部的各种资源,较少的宕机时间也是最大的愿望。另外,用户通过Office等办公软件,完成自己日常办公作业,通过专业的设计软件来完成产品的设计,用户的这些操作都会以文件的形式保存下来,随着企业的发展,用户不仅自己需要使用和保存好这些文件,团队之间的协作需要这些文件的共享、交互。与厂商客户交流等也需要这些文件的共享、交互。文件可能是一个Word格式的.doc文件或者PowerPoint格式的PPT文件,总之它是企业最重要的信息资源。用户对IT建设的不断投入,
4、使企业的IT环境得到了飞跃性的提高。企业的网络环境越来越安全、高效、稳定;各种应用系统通过不断的规划、建设、完善、丰富,更加贴近业务活动的需求。文件作为企业最重要的信息资源,越来越多,应用也越来越频繁。用户经常要把自己的文件共享给团队的人员或企业外部的合作伙伴,如何安全、高效管理好这些宝贵的信息资源成为企业IT部门的重点。同时,由于网络中安全事件的不断发生,企业内部的文件数据安全性已经成为网络安全领域比较受关注的课题之一。网络中安全的威胁通常来自于Internet和局域网络内部,而来自企业内部的网络攻击往往是最致命的。遭受攻击的结果通常会导致企业内部敏感数据的大量泄漏,从而会对企业造成巨大的经
5、济损失。1.3 问题分析由于历史和技术发展方面的原因,现有四川汽车工业集团有限公司企业内部的IT环境是逐步建立起来的,而且在早期建立时由于没有整体架构的科学指导,导致目前的松散型IT环境越来越“臃肿”,客户端、服务器各自独立,形成一个个信息“孤岛”,无法统一管理。在松散型管理的系统网络环境中,一旦某个节点出现问题需要定位出现问题的位置,并需要繁琐费时的恢复过程来实现修复。生产系统应用软件的大规模部署需要相关人员在各个计算机上逐一手工安装,极大耗费人力与时间。企业内部的各种资源存在于员工的客户端桌面计算机,服务器,以及其他各种设备之中,用户需要获取相关资源需要首先确定资源在哪一台计算机中,并且要
6、针对不同资源提供不同的登录凭据(如用户名/密码等)来访问。另外存在数据资源重复现象,造成硬件资源的不合理占用。信息技术部门制定的IT管理规范无法完全被最终用户执行,IT管理规范的制订是为了防止信息系统出现如安全问题等不稳定状况,但松散型管理模式的IT环境中由于信息技术人员无法监控与统一管理企业内部的桌面计算机与服务器等,该规范变为一纸空文,无法被贯彻实施。现阶段,部分企业对IT环境的发展仍然缺乏整体和长远考虑,还是按照老思路,简单考虑硬件及应用软件的采购与建设,照此建设思路走下去,将会使目前的IT环境更加“臃肿”,更难于管理,最终导致生产力的降低。同时,目前四川汽车工业集团有限公司在文件管理方
7、面主要面临以下挑战:1、 大量的文件存放在用户客户端计算机中。用户在编辑完文件之后,文件被保存在客户端计算机中。这样大量的企业信息资源被存放在用户客户端计算机中,首先不利于文件的共享,另外如果客户端遭遇病毒、电脑丢失、硬件损坏等情况,由于没有副本备份会导致企业信息资源丢失,带来不可估量的后果。第三方数据统计,便携式电脑成为企业机要信息丢失的主要杀手,如果便携式计算机存有大量的客户资料,企业专利信息等,会给企业带来巨大的损失。更有数据表明由于机密资料丢失而导致企业破产率在70%以上。2、 用户自行备份文件。在目前的企业环境中,部分用户对比较重要的文件使用移动存储介质或者光盘等存储设备备份,但是由
8、于用户对计算机管理能力的不同,如何更好的备份文件显然超出了用户的操作技能范围,而且用户自行备份文件行为不受管理制度控制,用户是否备份,用户备份文件的周期等都不在管理员的可控范围内。3、 用户文件共享不便。在目前的企业环境中,用户之间需要共享文件通常在自己的客户端电脑上开放共享文件夹供其它用户访问,或者使用移动存储设备复制共享文件。这种文件的交换方式显然有很多弊端,用户的共享文件可能会被没有权限的用户查看到,另外在客户端上启用共享文件或者移动存储设备交换文件都容易受病毒的侵害。另外用户在访问文件时还要记住多个共享路径,不方便使用。4、 文件版本不一致由于文件存放在多个客户端电脑上,导致某些文件在
9、企业环境出现了不同的发行版本,有些已经废止的文档格式还在使用,由于这些文档的版本不一致,已经给企业员工在文件协作方面带来困扰。5、 文档安全性由于四川汽车工业集团有限公司正处于发展阶段,企业内部研发部更是企业未来发展命脉,如何安全,稳定的保护公司研发资料成果,防止泄密,已成为企业日益关注的重点难题。任何规模的组织都需要保护重要的数字信息,以避免由于疏忽引起误操作以及被恶意利用。此外,信息窃取行为的不断增多以及对保护数据的立法呼声的高涨,使得如何更好地保护数字信息这一需求变得更为强烈。现在,使用计算机来创建和处理以上类型的敏感信息的情况越来越多,通过专用网络和公共网络(包括 Internet)扩
10、大连接也日益普及,而计算设备的功能正愈来愈强大,这一切都使得保护组织数据成为必需的安全事项。再者,四川汽车工业集团有限公司由于IT原有历史遗留问题,导致企业内部网络安全危险日益严重,当今企业面临的最大挑战之一就是客户端设备越来越多地暴露给诸如病毒和蠕虫等恶意软件。这些程序可以进入未受保护或配置不当的主机系统,并且可以使用该系统作为暂存点以传播到企业网络上的其他设备。针对现有四川汽车工业集团有限公司初步研究发现,企业内部并未部署有效的实时监控、互联网访问策略管理、上网行为管理的安全平台,随着内部用户网络应用的进一步深入,原防火墙的处理能力力不从心。二、总体功能需求结合四川汽车工业集团有限公司的企
11、业应用实际情况,随着以上阐述的问题在企业内部IT环境中越来越突出,四川汽车工业集团有限公司存在以下需求:2.1 集中的组织与管理网络内的服务器及客户端通过对网络内的服务器与客户端计算机进行集中式的管理,有助于消除早期“松散型”管理带来的安全漏洞及其他影响IT系统稳健运行问题,能够保证企业制订的IT管理规范可以通过计算机的逻辑方式派发给各个被管理的节点,并且通过集中管理的模式可以有效降低客户端的维护工作量。2.2 统一的数据组织与资源管理实现统一的数据组织,如共享文件夹的发布,共享打印机的发布等等,并且能够提供较为简单的信息检索方式,快速查询并定为所需的各种资源,实现资源的高效利用。另外统一的数
12、据组织与资源管理可以有效减少数据冗余与资源浪费,减轻IT环境的维护难度,提升企业生产力。2.3 单一登录的网络环境企业内的普通员工计算机应用能力有限,如何使员工一次登录计算机后就可以访问其有权限访问的各种资源是提升生产效率,对于普通员工来说更能感受到应用信息技术能够带来更加快捷的工作效率,有助于提升信息系统的使用率。2.4 集中化的软件部署与运行限制企业希望在大规模部署某个应用软件时可以避免手工逐一安装的低效率模式,而采用服务器/客户端的网络分发模式,并能对软件的版本更新做到一定控制,并且可以制定哪些软件可以被安装在哪些用户的计算机上。通过对软件的运行限制,限制客户端计算机上所运行的应用软件,
13、使工作用计算机仅可以运行特定应用程序,与工作无关的应用程序将会被禁止运行,提升系统安全性与最大化企业IT系统效能。2.5 功能强大并易于扩展的IT基础架构企业希望现有的IT基础架构能够提供较强的功能,如安全的身份验证,资源整合,软硬件集中监控、管理等,并且希望该基础架构支持较多的上层应用,具有较强的可扩展性,在未来的几年中可以在现有底层IT架构上实现更多的价值。实现IT投资的保值。2.6 文件的集中管理将企业中的文件分类,统一存放到一台或多台文件服务器上。用户客户端不再允许存放企业重要文件,并且所有文件共享操作都要在服务器上完成,禁止用户自行共享文件。2.7 文件服务器良好的管理特性企业计划对
14、文件服务器上的资源的有效利用进行管理,比如企业会根据用户工作性质的不同,分配容量不等的存储空间。另外为了保障企业投资,文件服务器解决方案必须支持对文件类型的存储限制,不符合企业规定的文件不允许存放在文件服务器上。2.8 文件服务器的安全性企业文件服务器上的资源可以划分用户的操作权限,根据用户权限的不同展现不同的视图。另外需要确保文件在传输的过程中是安全的。2.9 文件服务器备份和还原特性作为企业中最重要的信息资源,文件服务器解决方案必须具备良好、快速的备份恢复功能,当出现文件丢失、损坏或者物理设备损毁时能够快速恢复服务器。2.10 用户体验文件服务器按照预期方案部署完毕后 ,用户可以非常便捷的
15、访问到自己的文件以及团队共享的文件,尽量减少用户培训的成本,尽量给用户以熟悉的界面。另外如果用户在多个办公地点切换,也都可以方便的访问到自己的文件和团队共享文件。用户在无法连接到企业网络时允许用户使用脱机形式访问文件服务器上的文件。2.11 提供报表、修改追踪功能文件服务器解决方案可以针对文件存储区域提供数据报表,可以让管理员了解文件存储区的空间利用率、存储空间占用排行、存储空间占用文件类型等数据统计。另外在文件服务器上可以追踪文件的修改记录,便于管理员对用户操作行为进行有效监控。2.12 有效的文档加密系统企业必须对数字内容进行更好的保护。没有任何信息可以避免未经授权的使用,也没有哪一种方法
16、能够确保数据万无一失,最佳的防御战略是实施信息保护综合解决方案。更好地保护信息的解决方案作为组织安全战略的基本组成部分,不应仅仅是访问控制,而是能提供控制使用和分发内容的方法。能够更好地保护信息的解决方案应当有助于: 保护公司 Intranet 中的组织记录与文档,不允许未授权用户访问这些记录与文档。 确保内容安全并防止篡改。 如果需要,根据时间要求终止内容使用,即使是通过 Extranet 发送给其他组织的内容。 要求提供审计线索,以便跟踪曾访问和使用过该内容的用户。2.13 企业网络访问保护当客户端计算机尝试连接网络或在网络上通信时,通过监视和评估客户端计算机的健康状况来强制实施健康要求。
17、如果确定客户端计算机不符合健康要求,则可以将其置于包含资源的受限网络上,以帮助更新客户端系统使其符合健康策略。例如,可能要求计算机安装具有最新签名的防病毒软件,安装当前操作系统的更新并且启用基于主机的防火墙。通过强制符合健康要求,可以帮助网络管理员降低因客户端计算机配置不当所导致的一些风险,这些不当配置可使计算机暴露给病毒和其他恶意软件。三、解决方案建议根据上述四川汽车工业集团有限公司对于IT建设需求分析,我们详细的为四川汽车工业集团有限公司提供活动目录及文件服务器解决方案,帮助四川汽车工业集团有限公司消除现有IT问题,提高四川汽车工业集团有限公司企业成长效率。3.1四川汽车工业集团有限公司活
18、动目录解决方案建议3.1.1 概念描述活动目录是 Windows Server网络体系结构中一个基础且不可分割的部分。它提供了一套为分布式网络环境设计的目录服务,使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理
19、。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。今天,对于在商业运作中保持竞争力而言,网络化计算变得比以往任何时候都更为重要。为此,就要求现代化的操作系统具有管理存在于构成网络环境所需分布式资源中的一致性和关联性的机制。“基于活动目录的网络基础架构”建设方案中,不仅要建设一系列丰富的,互联的底层基础架构,同时还将构建集中统一的软件基础设施、完整互通的基础数据库,无缝整合现有信息应用系统,并建立“企业信息技术基础架构活动目录”与外部信息系统的互联互通机制。活
20、动目录可以实现用户管理,提供对用户、应用程序和设备的单一、一致性的管理点;加强终端安全性。并且向用户提供单一的网络资源登录,为管理员提供强大、一致性的工具以使他们能够管理为内部计算机用户、远程拨号用户以及外部客户提供的安全服务。活动域管理是实施服务器管理、终端管理的基础,也为财务、人事、电子邮件、企业信息门户、办公自动化、防病毒系统等各种应用系统提供支持,是安全体系建设的基础。活动目录(Active Directory)主要提供以下功能:l 基础网络服务:包括DNS、WINS、DHCP、证书服务等。l 服务器及客户端计算机管理:管理服务器及客户端计算机帐户,所有服务器及客户端计算机加入域管理并
21、实施组策略。l 用户服务:管理用户域帐户、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。l 资源管理:管理打印机、文件共享服务等网络资源。l 桌面配置:系统管理员可以集中的配置各种桌面配置策略,如:界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。l 应用系统支撑:支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。3.1.2 活动目录功能及优势1 集中管理用户/密码,实现统一身份认证活动目录是集成式、分布式的目录服务,可以将分布的资源集中管理,提高资源的利用率以及节省工作时间,提
22、高工作效率。活动目录集中的管理所有客户端的用户/密码,增强网络安全性的同时实现单点登录。企业管理员只需要为用户添加一个帐号,通过一次登录就可以实现诸如:访问网络资源、Exchange邮箱应用、lync即时协作应用、Sharepoint门户协作平台,数据库访问、客户关系管理以及其它应用程序应用。2 提高信息的安全性保障应用活动目录后,信息的安全性完全域活动目录集成,用户授权管理和目录访问控制已经整合在活动目录中。活动目录可以集中控制用户授权,限制对特定域资源的访问权限。通过向网络资源提供单一的集成、高性能且对终端用户透明的安全服务。通过根据终端用户角色锁定桌面系统配置来防止对特定客户主机操作进行
23、访问,例如软件安装或注册表编辑。通过提供对安全的Internet标准协议和身份验证机制的内建支持,如Kerberos, 公开密钥基础设施(PKI)和安全套接字协议层(SSL)之上的轻便目录访问协议(LDAP)。通过对目录对象和构成他们的单独数据元素设置访问控制特权。Windows Server 2008R2活动目录当中一共有4600多条策略,通过策略我们可以对系统的各个组件进行精确控制。我们将在前期的IT环境细节调研确认阶段结束后,针对四川汽车工业集团有限公司不同保密级别的部门规划并配置相应级别的组策略。3 基于策略的管理组策略设置可以决定指定的对象集合的资源访问权限,什么样的资源可以被用户使
24、用以及怎样使用。比如,限制用户在客户端可以使用的应用程序是哪些,不能使用的应用程序是哪些等。4 信息复制能力信息复制能力为目录提供了信息可用性、容错、负载平衡和性能优势,活动目录使用多主机复制,使得域中所有域控制器上的信息达到同步。活动目录强大的信息复制能力使得网络可用性、容错性大大提升。5 与其它目录服务的互操作性由于活动目录是基于标准的目录访问协议的,所以许多应用程序界面(API)都允许开发者进入这些协议,例如活动目录服务界面(ADSI)、轻型目录访问协议(LDAP)等,便于后期的开发应用。活动目录可以应对复杂的网络环境,并且可以与基于标准开发的业务系统做集成应用。6 灵活、便捷的查询功能
25、任何用户可以使用“开始”菜单、“网上邻居”、“活动目录用户和计算机”上的“搜索”命令,通过名字、姓氏、电子邮件名、办公室位置等属性来查找网络上的对象。诸如:应用程序、文件、打印机和人员等。7 简化管理提供对Windows用户账号、客户、服务器和应用程序以及现存目录同步能力进行单一点管理。降低桌面系统的行程针对用户在公司中所担当的角色自动向其分发软件,以减少或消除系统管理员为软件安装和配置而安排的多次行程。更好的实现IT资源的最大化安全地将管理功能分派到组织机构的所有层次上。降低总体拥有成本(TCO)通过使网络资源容易被定位、配置和使用来简化对文件和打印服务的管理和使用。8 安全、标准化管理客户
26、端活动目录的一大功能就是更加安全、标准化的管理客户端,活动目录通过组策略可以严格控制客户端应用程序的安装和使用,明确哪些程序是可以安装、使用的,哪些是被禁止的。另外,管理员还可以通过组策略的设置,统一密码策略、IE设置、桌面设置等,起到标准化管理的效果。9 集中管理网络资源活动目录所提供的目录服务可以统一、集中的管理网络上的所有资源。相当于把网络上所有资源放在一张目录表中,用户通过目录表的检索可以很轻松的找到所需资源。10 集中管理帐户密码用户的帐户、密码将被集中存放在域控制器的活动目录数据库中。这样做的好处就在于帐户、密码这些敏感信息得到更好的保护,实现统一身份认证。11 微软产品的基础平台
27、活动目录作为Windows Server 2008R2标准版本、Windows Server 2008R2企业版和Windows Server 2008R2 Datacenter版上应用的目录服务,更重要的一点,它是微软其它产品应用的基础平台。微软所研发的OCS、MOSS、EXCHANGE等产品应用的前提就是要具有活动目录架构。3.1.3 四川汽车工业集团有限公司活动目录总体框架设计我们在规划四川汽车工业集团有限公司目录林模式时,综合统一身份认证实现、方便管理集中系统方面考虑,最后与四川汽车工业集团进行确认后决定采用单森模式的活动目录框架设计。3.1.3.1 建立单一森林环境单一目录林环境易于
28、建立和维护。所有的用户都通过全局编录看到单一的目录,而无需知道任何目录结构。当将目标域添加到目录林时,不要求其它的信任配置。只需应用一次配置更改即可影响所有域。3.1.3.2四川汽车工业集团有限公司森林环境选型根据四川汽车工业集团有限公司网络状况、业务系统应用、以及集中化、高安全的管理需求,所有客户端和服务器均由中心域服务器统一集中管理,所以这里我们最终确定采用单一森林。所有加入域的计算机都可以在“AD用户和计算机”控制面版中查看到,我们可能通过“AD用户和计算机”面版对域中所有计算机进行统一管理,大大简化了IT管理的工作复杂程序,提高管理的工作效率。3.1.3.3四川汽车工业集团有限公司活动
29、目录域设计由于四川汽车工业集团有限公司地理位置相对集中,客户端几乎都同属于一个办公园区,因此,与客户沟通确认后,决定采用单域多OU结构。OUOUOU3.1.3.4四川汽车工业集团有限公司组织单元设计1) 组织单元的概念一个组织单元(OU)是一个容器对象,用于管理域中的对象,例如:用户账号、组、计算机、打印机和其他的组织单位。可以使用组织单位在一个逻辑层次中组织各种对象,这样能够体现企业基于部门的或基于地理分界的结构,网络管理模式是基于行政的管理架构。活动目录可以根据员工所在部门,针对员工的不同工作岗位或工作职责对员工进行分组,以“组织单元”的形式分级进行管理。在我们的方案中,针对整个部门分部环
30、境对不同部门分组也进行了细致规划。组织单位可包含用户、组、计算机、打印机、共享文件夹以及其他组织单位。组织单位是目录容器对象。它们表现为“活动目录用户和计算机”中的文件夹。组织单位简化了域中目录对象的视图以及这些对象的管理。可将每个组织单位的管理控制权委派给特定的人。这样,就可以在管理员中分配域的管理工作,以更接近指派的单位职责的方式来管理这些管理性职责工作。OU命名方式:城市简称,部门简(全)称。为了提高对将来系统集成的兼容性,建议所有名称中只使用英文字母和数字。2) 四川汽车工业集团有限公司组织单元的设计我们将在组建的域控制器上为四川汽车工业集团有限公司多个业务部门以部门名称创建相应的OU
31、,并将部门所属的所有客户机PC都加入到所属部门的OU。3) OU管理权利委派在 Windows 2000 之前的 Windows NT 版本中,域的管理委派仅限于使用内建的本地组,例如帐户管理组。这些组有预先定义的功能,在某些情况下这些功能并不符合特殊情况的要求。结果,在某些情况下,单位中的管理员需要高级的管理访问(例如域管理员)权限。 在现在的Windows server 中,管理委派功能更强并更具灵活性。这种灵活性是通过部门、每个属性访问控制和访问控制继承的组合来实现的。管理可以任意委派,其方法是通过授予一组用户创建特定类别的对象、或修改特定类别的对象的特定属性的能力来实现。 例如,可以授
32、权人力资源部门在特定的 OU 中创建用户对象,而不在其他地方。可以授权帮助中心技术人员重新设置该 OU 中的用户的密码,但不能创建用户。可以授权其他的目录管理员修改用户对象的通讯簿属性,但不允许创建用户或重新设置密码。 在单位中委派管理有一些好处。委派特定的权限使您可以将必须有高级访问权限的用户的数量降到最少。权限受到限制的管理员所发生的事故或错误所产生的影响只限于他们负责的范围。以前,在单位中除了 IT 之外的组可能必须将更改请求提交到高级管理员,高级管理员代表他们进行更改。通过管理委派,可以将责任分散到单位中的各个组,这样可以节省将请求发送到高级管理组的开销。 可控性权利委派 可以部分的、
33、选择性的将某一个OU的权利委派给管理员;将权利委派给管理员后是可以收回的。 权利委派作用域 被委派权利的管理员只会作用于所指定的OU,对其它OU是无效的。根据四川汽车工业集团有限公司的情况,将每个部门的OU完全控制的权限委派给部门主管。从安全的角度考虑,OU以及域的最大控制权限应该由信息中心控制。3.1.3.5四川汽车工业集团有限公司DNS设计由于活动目录中许多功能对DNS的依赖性,DNS 服务器的可用性直接影响活动目录的可用性。客户端依赖 DNS 来查找域控制器,而域控制器依赖 DNS 查找其他的域控制器来进行复制。即使目前您的网络上已部署了 DNS 服务器,仍可能需要调整服务器的数量和布置
34、,以满足活动目录客户端和域控制器对DNS的需求。活动目录使用域名系统( Domain Name System ,简称 DNS )。这使得运行在 TCP/IP 网络上的计算机可以识别和连接另一台计算机。 DNS 域和 Windows Server 2003 R2的域自然而有机的结合在一起,使得整个目录结构成树型分布,具有了 DNS 的层次感觉,也使得 Windows Serever 2008 R2 系统能够支撑庞大的目录结构,是的目录对象涵盖了整个网络元素:用户,计算机,打印机,共享文件夹,应用程序,管理策略等。 1) DNS 和活动目录目录林中的每个域控制器都注册了两组定位器记录:一组是域特定
35、的记录,如以结尾;另一组是目录林范围的记录,以 结尾。目录林范围的记录是客户端以及目录林各部份的域控制器都感兴趣的记录。例如,全局编录服务器定位器记录以及复制系统用来查找复制伙伴所用的记录,都包含在目录林范围的记录中。 任意两个域控制器要想能够彼此复制(包括同一域的两个域控制器),必须能够查找目录林范围的定位器记录。刚创建的域控制器要想参与复制,必须能够在 DNS 中注册其目录林范围的记录,而其他域控制器必须能够查找这些记录。因此,目录林范围的定位器记录必须对每个站点的每个 DNS 服务器可用。 客户端使用站点特定的域控制器定位器记录,来搜索附近的域控制器。只有在客户端站点没有域控制器项时,客
36、户端才会查询并接受其他的域控制器。默认情况下,每个域控制器都会发布其站点特定的 SRV 记录和通用 SRV 记录。2) DNS 名称解析方案为了确保每个域控制器都能成功注册其两组定位器记录,并确保每个域控制器和客户端能通过DNS得到其所需的定位器记录,我们要在域控制器和客户端上配置使得其首选和备用的DNS服务器都指向域内的DNS服务器。通过 DNS 服务中的 Service Resource Record ( SRV RR )记录公布提供目录服务的服务器地址, SRV RR 中的附加信息指出了服务器的优先权及重要度,使得客户可以选择他们所需要的最好的服务器。 DNS 记录也可以集成到目录中,随
37、着目录复制而达到 DNS 复制的目的。3) 活动目录集成的DNS正向搜索区域DNS正向搜索区域分为主搜索区域,副搜索区域和活动目录集成的搜索区域。为了实现多台DNS服务器间搜索区域内的同步,我们可以通过一台拥有主搜索区域,和多台拥有副搜索区域DNS服务器实现,或通过多台拥有活动目录集成的搜索区域的DNS服务器实现。而后者有以下优点:l 活动目录集成的搜索区域的DNS服务器可以实现多更新主机协同工作,避免一台服务器由于大量的DNS注册负载过重。l 活动目录集成的搜索区域的DNS服务器可以使用安全的注册方式,从而可以避免服务器的定位器记录被非授权主机更改。3.1.3.6 四川汽车工业集团有限公司D
38、NS设计规划l 活动目录DNS正向搜索区域设置在控制器上创建一个活动目录集成,在所有域内的DNS服务器上复制的正向搜索区域,并允许安全的动态更新。在控制器上创建一个活动目录集成,在的所有森林内的DNS服务器上复制正向搜索区域,并允许安全的动态更新。l DNS 客户端配置规划域中的客户机决定采用固定IP地址,则主DNS指向本站点的10.10.150.4DNS服务器,辅助DNS指向10.10.150.5 DNS服务器。3.1.3.7 活动目录方案成效成都时代加华软件技术有限公司的活动目录技术服务,提供统一用户身份管理和认证,统一网络资源实体的管理,同时也为后续的各种应用的统一认证和授权管理奠定了坚
39、实的基础。其应用成效主要表现在以下几点:1) 实现身份统一认证服务用户可以通过多种方式在目录结构中查询自己所需要的网络资源。尤其是对个人而言,用户可以实现单点登陆,用户每次只需要登陆到域中,当访问后台应用时,就不再需要重复输入用户名和密码。这样一方面可减轻用户记住多套用户名和密码的负担,同时也可避免每次访问应用时都要再重复输入一遍用户名和密码。寻找打印机也更加方便。用户甚至不必记住打印机服务器的名字,利用“寻找打印机”就可以迅速找到离自己位置最近的打印机,极大的方便工作。其次,每次不再需要重复输入用户名和密码即可进入系统;寻找文件更加方便,用户不必记住文件服务器的IP地址,只需要记住服务器名称
40、即可,利用分布式文件系统,统一到一个地方去存取文件,而不用担心文件物理放在哪台文件服务器上;设立文件共享不再需要特别设定共享密码。缺省只有域用户才可以访问,文件共享者也可以通过设定特定的域用户组和特定用户,只允许他们才可以访问改文件。当用户去访问文件服务器,不再需要输入用户名和密码。Windows 会利用域帐户自动去验证。另外,关于远程操作系统的安装、委托管理、远程桌面协助等各种功能也能在统一的管理下轻松实现。同时,活动目录充当管理用户身份和网络资源控制访问验证的统一认证机构,支持业界标准协议Kerberos认证协议,并可集成证书服务, CA和 智能卡(Smart Card)认证。用户的访问便
41、可以根据企业的统一认证服务被准许或拒绝。同时,从用户使用来看,一套用户认证系统建立了Single-Sign On SSO(单点登录)的基础,增加用户的便利性和安全性。2) 设备的管理加强终端管理,降低运维费用建立企业目录管理系统,通过活动目录组策略推送的方式,将终端使用策略主动的推送到各个终端。只要用户登录进入域,域管理服务器就会自动推送该用户所需要的终端设置。这样就可以实现约束业务人员终端使用,加强企业终端管理、维护手段的主动性,降低终端人为导致软件故障的发生率,从而降低运维费用。而且在这种统一管理下,用户还能实现多种远程管理。比如用户可以不必在Windows 客户机上安装打印机驱动程序就能
42、够使用打印机,可以很容易地进行网络打印以及管理打印机服务器了。再比如委托管理,各事业部可自行管理,包括创建本部门用户,计算机,打印机,文件服务器等。组策略设置可以让管理员以逻辑单元(例如部门或办公地点)的形式组织用户和对象,然后给这些逻辑单元分配相同的设置,包括安全、外观和管理选项,这个过程可以简化相应的管理任务。另外,在活动目录的支持下,当用户需要重新安装操作系统,可以利用“远程OS安装”的特性在不到半小时里自行安装一个新的操作系,而且对于使用Windows XP Professional的机器而言,当软件出现问题时,可以不必等待IT维护人员亲自跑到机器面前维护,用户可以发出远程邀请桌面协助
43、,这样用户和IT人员可以立即共享Windows桌面诊断问题,加快问题的响应速度,提高用户的满意度。3) 提升系统安全管理水平作为安全管理中心,活动目录服务利用安全组策略技术进行服务器和桌面机器的安全控制。通过有效的企业级或者部门级安全策略设定,在企业内部桌面系统加强安全约束,提供整体安全性,从而提升系统安全管理水平。4) 后续增值效益活动目录技术作为企业目录建设的基石,其本身的作用主要有三: 它可以成为一个管理中心。通过对网络中的元素,如用户账户、计算机账户等信息进行收集、保存,作为其管理的对象。通过其本身提供的组策略等技术作为管理的手段,从而实现管理中心的功能; 它可以成为一个安全中心。通过
44、域环境的搭建,使其成为域中资源的安全边界。同时,可以扮演身份认证和授权中心的角色; 它是一个开放的平台。活动目录是可扩展的,就是说管理员可以向模式中添加新的对象类,也可以向已经存在的对象类添加新的属性。模式包括每一个对象类和对象类属性的定义,它们可以存储在目录中。例如,可以向用户对象添加购买机构属性,然后可以将用户的购买机构范围做为用户帐号的一部分进行存储。通过对目录服务标准的支持,使得在其基础架构上,进行应用的开发、与其它应用和服务进行整合成为可能,从而不断扩展其功能。3.2四川汽车工业集团有限公司文件服务器解决方案3.2.1解决方案的设计原则我们在设计系统的同时重点突出以下设计原则:1、
45、总体规划、分阶段实施。系统要在长远规划、逐步完善的思想指导下,统一规划、统一管理,有序实施。2、 先进性与适用性原则。在系统的设计中,首先要考虑的是实用性和易于操作性、易于管理和维护,易于掌握和学习使用。3、 开放性与标准化原则。在总体设计中应用开放式、模块化设计体系,使系统有适应外界环境变化的能力,易于调整、扩充和组合,最大限度满足业务要求。4、 可靠性与安全性原则。安全可靠的运行是整个系统建设的基础。信息的重要性,要求网络系统要有较高的安全性。系统要具备容错、备份及自诊断模块,便于快速判断故障点并排除。要配置严密的数据安全体系,避免非法入侵,确保系统数据的准确性、数据传输的正确性,防止异常
46、情况的发生。5、 经济性与可扩充性原则。系统的建设,要从经济性着眼,在完成系统目标的基础上,尽量采用技术成熟的网络技术及通信技术,充分考虑对现有信息平台及资源的充分利用,保护原有投资,减少重复建设。6、 接入广泛性及接口标准化原则。在总体设计中,应采用开放式的体系结构,使系统易于扩充,使相对独立的分系统易于进行组合调整。有适应外界环境变化的能力,即在外界环境改变时,系统可以不作修改或仅作小量修改就能在新环境下运行。网络选用的通信协议和设备符合国际标准,将不同应用环境和不同结构优势有机地结合起来。同时,要保证网络的互联,为信息的互通和应用创造有利的条件,从而满足不同的需求。3.2.2 文件服务器
47、解决方案文件服务器建议采用Windows Server 2008 R2操作系统,Windows Server 2008R2在文件服务器管理方面具有以下更新和特性:功能说明卷影副本(以前版本)恢复卷影副本(以前版本)恢复为网络文件夹提供了时间点副本。用户通过右键单击 Windows 资源管理器中的文件或文件夹,可以非常方便地访问其以前版本的文件。基于 Windows Server 2008R2的文件服务器会使用卷影副本功能为该文件服务器上的所有文件维护一组它们的以前版本。增强的分布式文件系统 (DFS)DFS 有助于商业机构以较低的总拥有成本提供高度可用的文件服务。借助 DFS,您可以从多个物理
48、系统创建一个逻辑文件系统,从而使您的环境更易于为用户所使用并且在设备利用方面更为有效。通过 DFS,您可以创建一个包含部门、分支机构或企业中的多个文件服务器和文件共享的目录树,从而允许用户方便地查找分布在网络中的文件或文件夹。这个目录树(逻辑命名空间)可以容纳 5000 多个位于企业内不同服务器上的共享文件夹。另外,还可以使用 Active Directory 服务将 DFS 共享作为卷对象进行发布,并且可以委派管理任务。在Windows Server 2008R2中,DFS 现在提供了最近站点选择功能。该功能中,DFS 会使用 Active Directory 站点信息将客户端路由到对指定路径而言最近的可用文件服务器上。另外,一个Windows Server 2008R2系统还可以容纳多个 DFS 根。DFS 文件复制服务 (FRS)就如同 DFS 一样,FRS 也允许商业机构实现较低的 T