域ExchangLync解决专业方案.docx

1、 XXXXXX IT系统建设方案 目录 1．概述 4 1．1现实状况介绍 4 1．2项目目标 4 1．3项目范围 4 2．IT系统建设 6 2.1 现实状况 6 2.1.1 背景 6 2.1.2 IT面临问题和挑战 6 2.1.3 XX集团IT设想 7 2.2 构建统一IT基础平台 8 2.2.1 基于活动目录处理方案 9 2.2.2 架构设计 9 2.2.3 OU和子网 10 2.2.4 用户管理 10 2.2.5 基于统一身份OA、邮件、应用系统和网络安全认证系统 10 2.2.6 网络控制 11 2.2.

2、7 打印和文件共享 12 2.2.8 统一桌面管控 12 2.3 IT统一管理平台 13 2.3.1 IT管理系统 14 2.4 有效通讯平台 15 2.4.1 邮件系统 15 2.42 OCS系统 16 版本控制 日期 作者 版本 备注 09/06/ 于浙龙 1.0 第一版初稿 1．概述 本文是对IT系统建设方案叙述和架构设计，意在成为实施方对集团现有需求了解和小结，作为双方深入沟通和挖掘需求参考点，并对项目实施起到一定指导作用。本文将包含以下关键内容： u 现实状况及项目分析 u 处理方案介

3、绍 u 项目软硬件信息，实施计划和报价 u 项目相关资料 1．1现实状况介绍 XX集团以工业电器为关键产业，横跨能源开发、城市化建设、现代物流、进出口贸易、金融投资、电子信息技术等多元领域。集团现有职员0多人，拥有浙江、上海、江西、湖北等制造基地，和12家全资子企业、85家控股组员企业、800多家加工协作企业和3000多家销售企业。 1．2项目目标 伴随业务不停发展壮大，企业期望IT系统能满足企业发展改变要求。该项目意在帮助建立一套灵活有效、高可靠可用和安全IT系统，满足企业需求。 1．3项目范围 杭州超普将帮助集团完成基于微软整体处理方案IT系统建设方案，具体内容有： ·

4、构建统一IT基础平台 · 构建灵活IT管理平台 · 构建有效通讯平台 2．IT系统建设 本章节依据集团现实状况，结合杭州超普本身经验，分析叙述了相关集团IT系统建设部分提议及相关处理方案概述。 2.1 现实状况 2.1.1 背景 企业面正确挑战：中型企业需要一个能够提供大家在处理业务过程中得到最有效服务基础架构，也就是快速访问到所需电子资源，在线交流和协作能力，和能够用于完成工作最新业务工具。然而企业可能无法含有完善大型IT环境，可能只有一两个职员负责IT策略和管理。另外，IT布署方面预算可能极少。 因为资源有限，对于企业来说，简化自己IT系统，并经过技术让整个步骤自动化

5、提升安全性，并将问题对工作影响降到最低就成了重中之重。基于微软基础架构优化模型为企业提供了一张地图，能够用于优化企业本身基础架构。 经过深入加强企业内部桌面终端设备安全管控标准化程度，将桌面管理从无序、手动、粗放管理模式提升为有序、自动、标准化基础架构，从而降低桌面终端之安全隐患，强化身份管理，提升日常运维效率，减轻企业IT维护人职员作强度，提升企业IT设备、网络运行质量。 不管是大中型企业还是小型企业，管理良好而且安全IT基础架构全部能够成为企业成长催化剂。由此带来好处包含提升服务水平，腾出关键资源以负担更大商业挑战，并最终取得竞争优势。 2.1.2 IT面临问题和挑战 伴随信息

6、技术在各行各业深入应用，IT也面临了很迫切需要处理问题，尤其对于中小企业，因为在IT投入、人员配置和培训上缺乏，或多或少会碰到以下部分困难。 1. 企业存在多个应用系统，如OA系统、财务系统或ERP系统。每个系统全部存在独立用户管理系统，用户需要有多个不一样用户帐号来分别使用这些系统，造成使用不便和额外管理成本。 2. 企业没有严格密码策略，用户能够使用很不安全密码，使得系统轻易被攻破。而且，即使企业认识到密码安全性，也极难让用户使用强制安全密码。 3. 企业网存在大量网络资源供用户使用，如打印机、文件共享等。但要么用户根本不知道或难于查找这些存在于企业网络可使用资源，要么企业无法有效地

7、保护这些资源，以合适方法提供给合适职员使用。 4. 企业网络无法有效地管理，常常发生IP地址冲突或网络访问故障，造成IT支持成本增加。 5. 因为用户端计算机系统环境差异较大，无法实施统一管理策略，同时也增加了维护工作量。 6. 用户计算机许可连接U盘、移动硬盘等移动存放设备，轻易将存放设备上病毒引入到计算机，而且计算机上机密信息文件可能被非法转移到存放设备上带出企业，产生泄密。 7. 用户桌面操作系统未立即更新安全补丁，造成系统存在安全漏洞，暴露于利用这些漏洞病毒或恶意代码攻击之下。 8. IT管理人员全部是消防员，四处救火。因为没有有效系统监控体系，而不能真正做到防患于未然。

8、企业怎样来应对这些问题，让IT愈加好地为企业服务而不是带来麻烦，这就需要我们采取基于微软活动目录等基础架构优化模型来建设、管理和优化企业IT架构。 2.1.3 XX集团IT设想 依据集团IT建设需求，提议以一个参考IT环境为原型，以此展开IT系统建设设计蓝图。未来IT建设方案可按此设计蓝图为范本。 参考IT环境为： 1. 总部：50个用户端 2. 分支：3个分支，每个分支50个用户端 3. 总部和分支之间经过专线进行连接 参考图示： 2.2 构建统一IT基础平台 活动目录是微软提供基于Windows Server目录服务，它除了提供基础安全保护特征外，也是其它应用赖以

9、构建基础。活动目录本身提供了用户和计算机信息维护、用户身份验证、资源访问授权、使用组策略强制应用企业安全规范等功效。在企业网络环境内布署了活动目录，就相当于布署了一个基础安全防护网。 l 用户和计算机集中管理中心 l 网络资源安全授权中心 l 企业应用系统整合中心 2.2.1 基于活动目录处理方案 处理桌面安全问题，需要从基础架构上完善安全管理要求，活动目录AD就是微软推出能够加强企业运维环境安全、完善企业IT管理有效方案。 围绕微软活动目录，能够为企业提供： l 基于组织架构和管理体系用户管理 l 基于统一身份OA、邮件、应用系统和网络安全认证系统 l 网络控制

10、l 文件和打印共享服务 l 统一桌面管控 2.2.2 架构设计 基于参考原型，提议使用单林单域AD架构，实现最简化设计和最优化管理。 l 4多个节点全部布署DC服务器，以提供当地访问和管理有效性，提升当地服务响应速度。 l 每节点布署两台DC服务器，实现高可用性和冗余。 l DC服务器可考虑基于Hyper-v虚拟化技术，经过虚机来实现。 2.2.3 OU和子网 对于分支机构AD设计，可采取基于OU管理和基于子域管理两种模式，或此二者混合。 基于OU管理，能够实现集中管理；而基于子域管理能够实现安全边界分离，适用独立性较高分支机构。 现在管理趋势是基于OU集中管理，但此需

11、依据用户实际管理体系和企业组织结构具体情况而定。 2.2.4 用户管理 经过活动目录组织单元，我们能够创建我们企业用户帐户，并依据企业组织架构或其它管理需求来组织和管理用户。 2.2.5 基于统一身份OA、邮件、应用系统和网络安全认证系统 经过使用活动目录提供统一身份，能够整合各个应用系统身份管理，并实现单点登录。 l 一个电子身份证———多处使用 n 避免单人多个账户和账户同时问题 n 降低反复登录时间 n 降低密码数量 n 降低Helpdesk成本 n 快速隔离非法用户 l 扩展到Web应用 n AD支持基于Web单点登录应用 n 使用ADFS技

12、术实现企业之间单点登录 2.2.6 网络控制 经过基于活动目录授权DHCP服务器，能够方便为PC用户端或其它网络设备自动分配网络IP地址。经过网络设备支持，企业甚至能够为特定PC或网络设备预留或指定专门IP地址。这也大大降低了企业网络IP地址冲突或非法使用网络问题。 2.2.7 打印和文件共享 经过活动目录，能够依据用户所处网络位置，自动定位最近打印机。而用户只要单击，就可直接安装和使用打印机。 经过活动目录，企业能够制订具体文件共享策略，做到以合适方法给和合适人员使用。从而降低企业安全风险。 利用Windows R2Branch Cache，能够大大提升分支机构对于企业文

13、件访问效率，同时显著降低个节点间网络带宽负载。 2.2.8 统一桌面管控 企业使用组策略能够实现: l 集中管理服务器、用户端、用户和组全部配置 l 自动强制应用IT设置 l 保持企业级安全设置一致性和强制实施 l 实现用户环境标准化 l 安全模版强制实施企业级安全配置 l 预防用户随意修改用户端桌面设置发生故障 l 使用软件限制策略控制 l 用户不能运行应用程序 l 自动跟踪安全事件和配置修改 2.3 IT统一管理平台 借助 System Center 系列 IT 管了处理方案，您将能愈加有效和轻松地管理定义 IT 全部组件，从而使您

14、能愈加专注于为企业提供新商业价值。 Microsoft System Center 在实现 Microsoft 理念过程中发挥了中枢作用，即帮助 IT 企业得益于自我管理和动态系统。System Center 处理方案捕捉并汇总了相关您基础架构、策略、程序、和最好实践知识，由此您 IT 职员能够构建易于管理系统并进行自动化操作，从而降低了成本、提升了应用系统可用性、并改善了所提供服务。 2.3.1 IT管理系统 经过微软SystemCenter系列SCCM和SCOM实现IT系统自动化管理，包含： · IT资产管理 · 操作系统布署 · 软件统一布署 · 软件补丁升级 · 远程支

15、持和帮助 · 服务器运维监控、报警 系统总体架构图1所表示： 系统总体架构（图1） 1 2 2.4 有效通讯平台 2.4.1 邮件系统 依据现在XX集团规模，我们提议将组织拓扑布署为标准Exchange 组织。Exchange组织由3台服务器组成。边缘传输服务器1台和中心传输、用户端访问及邮箱服务器各1台。 AD服务器提供Exchange基础架构平台及用户管理；边缘传输服务器提供邮件安全架构体系，并提供一定防垃圾邮件策略；中心传输、用户端访问和邮箱服务三个角色分别处于一台服务器，提供对应邮箱存放和邮件传输服务；同时，在用户端访问服务器上配置OWA、Exchange A

16、ctiveSync功效，使用户能够经过网页、移动设备访问自己电子邮件、日历、联络人和任务。 假如考虑到邮件系统性能和高可用性需求，我们能够扩展该架构，经过分离各个服务器角色并经过高可用性方案来达。 如，能够额外布署AD域服务器，提升AD性能和高可用性；能够将中心传输和用户端服务器布署在单独服务器提升性能；能够经过布署2台独立邮箱服务器，实现邮箱数据镜像，达成邮箱数据冗余和高可用。 具体拓扑以下： 2.4.2 Lync Server 系统 微软企业以Lync Server （简称Lync）为基础，采取以软件为中心策略，将 VoIP 电话系统、电子邮件、即时沟通、移动沟通和音频视

17、频 Web 会议等多个沟通方法融合为单一统一沟通平台，使其成为可扩展、含有开发能力企业IT基础设施。 基于此，XX集团可考虑以Lync平台为基础，逐步在企业内部实现即时通信和其它沟通方法统一。 这种通信方法含有以下优势： · 跨越多种应用程序增强状态通知使用户能够随时了解联络人状态信息； · 集成了 IM、语音、会议、电子邮件和其它通信模式，使用户能够选择最适于手头任务模式。用户还能够依据需要从一个模式切换到另一个模式； · 能够从任何存在 Internet 连接位置选择多个通信模式； · 包含用于电话、IM 和会议通信智能用户端 (Lync 用户端) 面向期望经过熟悉桌面电话也

18、能取得 Communicator 便利和功效用户； · 用户即使切换设备也不会中止通信体验。 对于企业用户，企业语音除了帮助用户提升生产效率之外，还含有以下好处： · 只需对现有Lync 和电话基础设施进行适度改造，即可布署企业语音。 · Lync 使用智能最低成本路由算法来向 PSTN 发出呼叫。 · 企业语音采取集中管理，并提供用户熟悉工具。 · 企业语音支持和现有 PBX 和 RCC（远程呼叫控制，Remote Call Control）处理方案集成。 · 分布式体系结构降低了通信瓶颈，并降低了单点故障可能性。 2.4.2.1架构设计 Lync 提供了标准版 和企业版

19、 两种版本。企业版适适用于大型布署，由企业版池和后端数据库服务器组成。Lync 企业版本身包含以下多个服务器角色： · 前端服务器：用于存放即时消息、状态、电话、会议服务器，和全部必需用户服务操作。 · Web 会议服务器：用于启用内部会议。 · 音频/视频会议服务器：许可用户共享音频和视频流。 · Web 组件服务器：许可用户实施以下操作： o 从 Web 会议访问会议演示文稿和其它内容。 o n 下载通讯簿服务器文件来为 Communicator 提供全局地址列表信息。 o n 扩展通讯组中组员身份和 Web 会议服务器使用其它数据。 Lync 还提供了下列服务器

20、角色： · 存档和CDR服务器：用于存档IM 对话和组会议，和在呼叫具体信息统计中捕捉和文件传输、音频/视频 (A/V) 对话、应用程序共享、远程帮助、会议和会议服务器相关使用信息。 · 边缘服务器：在外围网络中 Lync 服务器，用于为外部用户、联盟伙伴和公共 IM 连接提供连接。每台边缘服务器全部含有下列一个或多个角色：访问边缘服务器、Web 会议边缘服务器或 A/V 边缘服务器。 · 中介服务器：用于转换Lync和连接到 PSTN 媒体网关之间呼叫（SIP 事务）流信号和媒体Lync。 · Communicator Web Access服务器：用于没有安装Lync用户端用户经过

21、Web方法使用IM和在线状态功效。 集团在初始阶段，可采取集中布署模式，在总部布署Lync Server ，提供给整个集团使用，整个系统体系结构以下图所表示： 假如集团用户数量比较多，同时为了提供可伸缩性和高可用性，使用两个Lync 企业版服务器组成前端池，这么也能够平衡终端用户访问流量。 因为使用了两个Lync服务器组成前端池，这就需要使用负载平衡器向池中服务器分发通信，平衡流量。需要使用专业硬件负载平衡器。 经过布署边缘服务器，在企业防火墙外面用户无需使用VPN就能够使用Lync和企业内网中用户进行沟通；在购置了相关服务后，内部用户经过边缘服务器能够和MSN等公用IM用户进行沟通。 经过布署中介服务器，未来，Lync能够和IP-PBX或安装了媒体网关TDM-PBX 集成，从而实现企业端到端语音互联服务，使用户能够经过Lync或一般电话进行相互通信。