IT基础架构规划方案专项方案.docx

1、XXXXIT基础架构计划方案Version 1.1.0目 录1项目建设目标31.1总体目标31.2具体目标41.2.1IT基柮架构41.2.2虚拟化平台41.2.3数据库平台41.2.4信息沟通平台51.2.5企业培训通道51.2.6文档体系51.2.7企业内外门户52项目建设内容63项目实施计划73.1虚拟化平台设计73.2活动目录（AD）平台设计83.2.1活动目录（AD）概述83.2.2活动目录（AD）设计93.3文件服务器设计143.4系统补丁管理143.5邮件平台设计153.5.1邮件需求概述153.5.2邮件平台架构设计164项目服务174.1 服务概述174.2项目计划184.3

2、任务划分194.4交付清单195提议配置205.1软件配置205.2系统配置216项目服务费用221 项目建设目标1.1总体目标本方案采取基于微软企业基础架构处理方案，企业活动目录架构其实就是一个企业目录管理服务平台。她能够将企业不一样系统之间资源以目录集成方法进行统一管理，集成电子商务运行，包含数据、应用程序、业务步骤和门户等各个方面。以下图基于微软基础架构平台，让全部系统在共享功效方面由一个独立目录系统进行统一管理，形成一个强壮灵活现代企业IT架构，能愈加好满足企业发展需求。经过AD，Exchange，Skype，SharePoint，SQL Server系统或信息工具导入，将为XXXX建

3、立一完善、高效、安全信息化平台，为XXXX管理及长久发展保驾护航，为高层决议分析提供了正确而快速数据报表，为职员日常工作提供了统一沟通平台，提升了工作效率，降低工作失误，降低企业整体营运成本。1.2具体目标1.2.1IT基柮架构经过AD域创建，对全部网络及电脑进行统一计划，建了一个安全且统一IT架构，不仅提升网络了速度，而且提升了数据安全管理及网络安全等级，避免了人为失误或网络病毒，造成企业关键数据流失或系统瘫痪，造成本无须要成本损失。1.2.2虚拟化平台构建一套多个物理CPU虚拟化管理平台（请依据授权方法决定是服务器或CPU数），前期提议采取两台宿主机+SAN存放方案实现。借助虚拟基础架构软

4、件体系结构，创建一个以软件形式实现统一硬件映像，用以运行操作系统和应用程序。企业能够经过该软件虚拟化计算、存放和网络系统，并对其进行集中管理。产品提供企业级虚拟机能够提升服务器利用率、性能和系统运行时间，从而降低提供企业服务成本和复杂性。经过利用现有技术，该软件能够降低推广新应用程序风险和平台成本。能够经过该软件体系结构提升企业效率、增强灵活性和加紧响应速度来降低 IT 成本。1.2.3数据库平台 构建SQL Server高可用或Oracle RAC实现负载均衡/并行处理平台，能够大用户量并发访问分担到多台节点机上并行处理和单个用户重负载运算分担到多个节点机上做并行处理。1.2.4信息沟通平台

5、在AD域基础上，架构Exchange邮件服务器和Skype沟通平台，让全使用统一邮件平台，对内不仅能够对全部邮件进行管理，同时也统一了企业对外形象；而经过Skype使用，为XXXX建立了一个内部沟通平台，而且能够对外沟通，不仅能够提升沟通速度，更是降低了分企业之间及和总部间全部电话沟通成本，和对外部分电话沟通成本。1.2.5企业培训通道企业培训对一个企业长久有力发展至关关键，但因为分企业或办事处分布在全国或全球各地，造成无法做到统一培训，或企业文化不能有效传承，而经过Skype相关功效，建立远程培训体系，不仅培训方便，加强了培训体制，更是节省了不少培训成本。1.2.6文档体系每个企业皆有很关键

6、数据或资料需要做分类归档，不仅要方便查看，而且在要求时间内绝不允丢失，而经过Sharepoint文档管理功效，能够对企业全部关键文档进行分类管控，配合权限管理，形成一个完善文档管理体系，同时也能够经过关键字或模糊查询等功效，对所需文档快速调取。1.2.7企业内外门户企业对外门户或网站，是企业形象最关键表现形式之一，企业门户专业是否，直接影响到用户对企业实力和品牌认可，同时零售用户能够经过企业商务网站直接进行订购或得到对应服务，而企业内部门户，是企业职员关键工作平台，同时也是企业向职员展现企业文化、制度、新闻等，能让职员对企业更有认同感和归属感，而经过SharePoint建立企业门户强功效，完成

7、能够达成这一目标。2项目建设内容IT构架如同建楼，基础是重中之重，从硬件层面构架以后，需要进行关键性维护是活动目录系统，这个是用户账户，企业安全，信息安全基础，在此之上，是用户常常能够包含到邮件系统，内部沟通系统，再上端就是信息化IT所能够面临，应用/业务平台关联，数据，信息一致，多个应用之间信息交互。所以规范企业IT信息架构应以下表所表示：1.依据我们初步评定及调研，针对XXXXIT基础架建设提议分为三个阶段，本方案关键讨论第一阶段建设内容。以下：第一阶段： AD活动目录、文件服务器、企业邮件和服务器平台创建，初步完成构建IT基础架构构建，实现企业信息化规范管理。第二阶段：企业内部日常办公应

8、用系统计划和布署，构建统一沟通平台和企业内部知识库体系，以保障企业内部基础架构完善性和高效性。第三阶段：进行企业内部信息和业务整合，完善企业内部信息管理，项目管理体系。3项目实施计划3.1虚拟化平台设计XXXX总部数据中心整体计划2个集群节点+存放架构，将全部虚拟机VHD文件放在存放中。为了满足高可用需求，能够将两个物理宿主机配置成故障转移群集模式，实现运行在宿主机器上虚拟机能够自动切换，以预防其中一台宿主机发生故障影响业务应用系统。以下图是群集布署架构图：经过微软Hyper-V技术实现包含管理服务器，生产服务器，存放，管理网络，生产网络，和存放网络平台。以下图应用程序虚拟化架构平台： 依据上

9、述设计架构，能够满足企业以后扩展需求，能够任意增加服务器虚拟化群集节点，来满足服务器应用增加需求。3.2活动目录（AD）平台设计3.2.1活动目录（AD）概述活动目录（AD）为我们提供了一个安全边界，它为我们企业用户、设备、提供了统一身份认证，只有正当被许可用户和设备才能和我企业网络和资源进行通讯、共享企业资源。活动目录（AD）关键提供以下功效：基础网络服务、服务器及用户端计算机管理、用户服务、资源管理、桌面配置、应用系统支撑。3.2.2活动目录（AD）设计依据AD物理结构关键是计划站点拓扑，考虑到XXXX地理分布情况，应该使用单域多站点拓扑来计划AD物理结构。因为单域结构，域中DC直接要进行

10、数据复制，所以如集团总体AD架构和邮件系统计划把北京、长沙和上海三个地方把设置为分站点，这么做好处：1、优化AD复制；DC之间要同时AD数据，假如不划分站点，这个同时每时每刻全部在进行，而且数据是不压缩。假如划分了站点就能够控制站点到站点间AD复制。2、优化用户端登录，当划分了站点以后，DNS会替用户端找本站点内DC，这么就加紧了身份验证过程。经过上面计划和配置后用户身份验证全部会点当地站点内DC完成，比如说，长沙分企业用户会去长沙站点内DC去做身份验证，上海分企业用户会去上海站点内DC去做身份验证。注：其实AD站点划分就是经过IP子网来实现，所以在划分AD站点之前首先要计划好企业网络地址。3

11、.2.2.1OU设计OU 设计以地理、组织、对象、项目或管理为基础。我们选择 OU 设计关键基于单位组织结构。OU关键功效就是为了管理而划分组织；管理员能够使用 OU 为组织创建层级管理结构。 总部综合参考行政部门划分和组织架构、岗位等级划分。 按区域划分和人员等级和特殊部门（如财务等）划分。 方便统一布署组策略，标准：组策略尽可能应用在最高等级OU单元，组策略数量在满足需求前提下越少越好。 全部服务器另外建一个单独OU。 具体结构以下图 3.2.2.2组策略设计A、全域安全性策略 默认域管理员账户 将默认域管理员账户 administrator 更名，分配强口令。在日常管理工作中不使用该账户

12、。同时禁用Guest 帐户。 域和企业管理员组 严格控制 Domain Admins 和 Enterprise Admins 组组员。 域管理员组 审慎分配域管理员权限，对于并非需要域管理员才能完成操作，经过权限委派来实现。 日志策略 在域控制器上配置日志文件足够尺寸，依据需要调整/关闭日志覆盖。 身份判别 经过口令/ USB等方法验证用户，用户身份含有唯一标识符。 口令策略 提议建立强壮口令策略，包含最少6位以上口令，口令复杂性（大写，小写，字母和特殊字符最少包含其中三类），定时口令修改等。 绑定用户IP地址 使用静态IP，分部门和区域划分VLAN。 关闭管理工具 为了避免用户自己使用管理工

13、具误操作对系统安全和稳定造成损害，能够经过组策略，关闭用户对部分管理工具访问。提议关闭： 控制面板（全部控制工具或一部分）； 对网络配置修改（IP配置）； 管理控制台（MMC）； 注册表编辑器； 其它需要关闭或限制工具。配置Windows update 全部计算机自动更新全部指向企业内部WSUS服务器。 对打印设备进行权限控制 能够针对用户进行打印设备权限控制。 IE设置 能够经过组策略对用户Internet Explorer进行集中式设置，提议设置项为： 设置代理服务器； 修改收藏夹； 调整安全设置（如严禁ActiveX控件和JavaScript脚本运行）。 经过以上设置，能够配置用户使用代

14、理服务器访问Internet，限制用户访问一些网站，避免用户受到网页蠕虫攻击等，极大地提升安全性。 控制应用程序 经过组策略，还能够限制特定用户运行指定应用程序，或只能运行制订应用程序。 外观管理 依据企业形象需要，能够对用户壁纸进行统一管理，自动使用指定壁纸。类似，能够对用户桌面外观，风格进行统一配置。 审核策略 开启对用户账户登录，用户账户管理和管理权限使用等事件审核。 严禁外部人员访问服务器 对于可能有外部人员访问企业网络（比如供给商雇员），为了提升安全性，能够经过设置安全策略，调整： 关闭GUEST账户； 设置“从网络上访问此计算机”权限； 来限制未加入域计算机和未登录到域用户，对指定

15、服务器访问，如在访问服务器时，需要输入有效域用户账户和口令，或直接提醒不许可访问。这将消除潜在威胁。控制对关键服务器访问 对一些很关键服务器，能够经过安全策略，对“从网路访问”、“当地登录”、“匿名访问”进行限制，只许可经过授权正当用户访问。 备份和恢复策略 建立定时备份 Active Directory 数据机制。 B、应用在严格管理部门策略 l 最小化权限 为一般用户授予Users权限，为需要完成一些管理工作用户账户委派完成工作所需最小范围内最小权限。该权限用户即使中毒后，病毒取得也是受限账户权限，即使它能够运行，假如不能提升权限，就难以对系统造成大破坏。限制用户安装、卸载程序及设备 Us

16、er权限无法装载和卸载设备及软件 严禁用户当地登录 收回当地管理员用户密码，组策略限制用户交互式登录 严禁USB端口使用 经过脚本限制用户使用USB存放设备，不过不影响USB鼠标键盘使用。 限制网络用户在当地权限。 l 高级权限为高级用户授予Power User权限, 为需要完成一些管理工作用户账户委派完成工作所需最小范围内高级权限。该权限用户拥有大部分管理权限，但也有限制。所以，Power User 能够运行经过验证应用程序，也能够运行旧版应用程序；用这类账户登陆系统时，病毒仍然受到部分限制。Power Users 能够完成： 除了 Windows 或 Windows XP Professi

17、onal 认证应用程序外，还能够运行部分旧版应用程序。 安装不修改操作系统文件而且不需要安装系统服务应用程序。 自定义系统资源，包含打印机、日期/时间、电源选项和其它控制面板资源。 创建和管理当地用户帐户和组。 开启或停止默认情况下不开启服务l 最大权限 为特殊用户授予Administrators权限, 该权限对计算机/域有不受限制完全访问权。 3.3文件服务器设计用户经过登录脚本能够进行网络驱动器映射，使用户不管登录哪台计算机均可访问自己共享目录； 1、共享文件计划 设置4类共享文件夹，以下表所表示： 共享名称文件夹名称说明Public公用文件夹存放企业公用文档及公布公用文档Departme

18、nt部门文件夹存放各部门文档Users个人文件夹存放个人文档Temp临时文件夹存放多种临时文档2、文件夹权限分配 管理层能够浏览全部文件夹 各个部门能浏览自己所属部门，并可修改自己所属文件夹，部门经理能浏览并修改自己部门全部文件夹 公共文件夹由行政部或IT部修改，其它全部些人全部能浏览 临时文件夹全部用户全部有读取权限，创建者有修改权限 3.4系统补丁管理实施有效安全策略对全部企业全部十分关键。补丁管理是成功安全策略最关键组成部分之一。补丁管理是一个步骤，为组织提供对中间软件公布到生产环境中布署和维护控制。它有利于组织保持运行效率和效力，填补安全漏洞并保持生产环境稳定性。无法在其操作系统和应用

19、程序软件内确定和维护已知信任等级组织可能存在很多安全漏洞。假如这些安全漏洞被利用，则可能会造成收益和知识产权受到损害。最低程度降低这些威胁要求企业： 正确配置 IT（信息技术）环境中计算机。 使用最新软件。 安装推荐安全更新。经过在内部网络中配置WSUS服务器，全部Windows更新全部能集中下载到这个服务器中，内部网络中用户机就能够经过WSUS服务器得到更新。配合瑞星前瞻性漏洞评定，能够抢在病毒和蠕虫之前首先发觉系统中安全缺口，它不仅能够对安全策略一致性进行扫描（包含 Microsoft 安全补丁），而且能够立即发觉系统中隐藏设备、未受到保护设备和轻易受到攻击设备。而且升级操作系统补丁时间能

20、够缩短到几分钟，效果十分显著，且只要一台WSUS服务器就可确保全网络内操作系统自动升级。这既节省了资源，又避免了资源浪费，而且提升了效率。3.5邮件平台设计3.5.1邮件需求概述新邮件系统需支持500用户，个人存放空间1G，VIP用户存放空间10G，在每封邮件限制附件大小20M，收发单封邮件对应时间不超出5秒，邮件递送时间（内部）不超出2分钟。当企业网络不能访问Internet网时，应确保内部邮件能够互收发。访问方法提供多个访问方法如常见用户端Outlook、Fox mail，Web（主流浏览器），移动设备PUSHMAIL；支持SMTP、POP3、IMAP4等协议。备份及恢复功效支持传统流备份

21、和卷复制备份。备份方法应支持完全备份、副本备份、差异备份和增量备份。 防垃圾邮件功效支持连接筛选、收件人和发件人筛选、发件人ID、内容筛选、附件筛选、用户端规则聚集到服务器端、发件人信誉等多个方法防犯垃圾邮件。 防病毒功效能够内置或引用第三方多引擎防病毒软件，防病毒软件应能针对文件头对邮件附件进行过滤，不仅对邮箱存放进行查杀，还应能够对SMTP进行病毒查杀。 管理和监视功效支持多级授权管理功效，支持邮件跟踪和监视。 用户分类功效能够针对特定用户设定用户端访问方法、邮箱存放限制、邮箱传输限制等功效。个人信息管理功效如联络人管理，日程管理，任务管理等日常工作中个人信息管理功效。扩展功效语音邮件,

22、接收传真、短信和即时通信离线消息等统一消息传输功效 3.5.2邮件平台架构设计架构说明： 1、在确保配置达标情况下，服务器可采取物理机也可采取虚拟机。如上述虚拟化平台提议采取两台宿主机构建虚拟化平台（依据需要能够扩充节点数），并针对Exchange场景优化相关模块。2、用户端访问服务器为邮件用户端（Outlook Anywhere模式）和OWA(Outlook Web App)用户提供电子邮件访问。同时它还负责处理用户端和Exchange之间通信。它为用户提供经过HTTP/HTTPS、POP3、IMAP4、ActiveSync等方法访问邮箱服务。Exchange用户访问服务器之间经过配置DNS

23、轮训或NLB实现Exchange用户访问分担负载和高可用性。3、邮箱服务器实现了和邮件存放交互。邮箱服务器经过对邮件存放操作，实现邮件用户邮件收发、日历访问和邮箱系统对邮件存放日常管理维护。邮箱服务器经过Exchange自带高可用性特征DAG实现数据实时备份，邮件存放高可用性。4、目录服务关键实现邮箱用户信息统一管理和身份认证。需要布署目录服务器，是全企业办公网系统管理统一基础架构平台组成部分，实现全企业统一用户信息管理，统一、强制化桌面安全策略管理及实施等。5、垃圾邮件网关（可利用Exchange边缘服务器或硬件反垃圾邮件设备），提供Internet邮件流、反垃圾邮件、防病毒及电子邮件策略等

24、服务。6、归档服务平台，提供邮件数据归档查询和审计功效等（提议采取硬件或专业软件归档）。7、数据备份平台，提供邮件系统平台自动备份和恢复功效等（可选模块）。4项目服务4.1 服务概述服务范围1. XXXXIT基础架构所包含系统平台布署和维护服务。此次项目包含底层虚拟化平台布署、AD基础架构搭建、文件服务器、补丁服务器、Exchange高可用平台布署、邮件归档及备份和整体运维服务。2.除了对现有虚拟化服务器产品和平台提供技术支持服务外，还将为XXXX提供微软AD邮件系统虚拟化管理系统顾问、咨询等增值附加服务，提升贵单位IT运维管理质量。3.提供生产环境基础架构和邮件系统管理员运维管理培训，和对一

25、般用户就某一应用使用提供用户操作使用培训。以提升贵单位对于信息化技术平台了解和掌握、使用，愈加好提升工作效率。4.目前生产环境进行系统运行状态健康性检验，对于发觉已存在问题双方进行确定，依据问题数量和处理难易程度确定调试、维护时间。服务方法服务方以服务问题为电话和邮件关键工具，经过现场、远程、电话、邮件等方法，为用户提供立即有效应用指导、故障排除等服务。服务标准现场服务：星期一至星期五，8:00-18:00热线服务：星期一至星期五，8:00-18:00星期六和星期日：提供紧急电话服务（特殊情况可提供现场服务）。4.2项目计划项目计划于从开启开始建设，估计需要50-60工作日个完成交付。时间进度

26、计划大致以下：4.3任务划分项目标实施方法是结合多年积累项目实施经验和行业用户业务需求而制订。下面是每个阶段中提议相关活动和阶段工作内容说明。（按2个自然月项目周期进行计划，可依据用户要求灵活调整）各阶段任务细则划分以下：阶段工作概述时限开启阶段访谈、调研、现实状况梳理、问题分析、制订团体分工计划计划阶段具体需求分析，系统架构方案设计、实施方案设计、测试方案设计、实施及接管资源环境准备等实施阶段依据设计阶段文档指导进行相关功效模块开发、软件布署、周围系统联调、平台测试等割接上线工作交付阶段系统试运行跟踪，对用户进行知识转移培训，移交系统及文档、介质等交付物4.4交付清单项目任务交付物说明开启阶

27、段初步需求说明书项目责任人在该阶段制订需求调研汇总。计划阶段需求规格说明书项目责任人在该阶段制订项目具体需求汇总。技术方案项目组制订技术实现方案。项目周报、月报项目计划阶段日常项目内活动总结、工作计划等。实施阶段安装配置文档项目实施阶段各功效组件安装布署操作文档，指导实施布署规范操作。集成实施方案项目总体实施计划方案，由项目组员共同制订完成。项目周报、月报项目实施阶段日常项目内活动总结、工作计划等。交付阶段运维手册项目运维阶供段甲方运维人员参考文档，可作为日常基础运维操作规范指导及简单排障参考手册。培训文档培训阶段提供用户对Hyper-V、AD和Exchange功效使用操作手册，指导乙方IT管

28、理员进行日常管理操作。 项目周报、月报项目交付阶段日常项目内活动总结、工作计划等。5提议配置5.1软件配置实现本方案中提议高可用基础结构和邮件系统平台，软件配置具体列表：项目安装软件配置数量作用邮箱存放服务器Windows R2 标准版Exchange Server标准版2邮箱存放服务，每台支持500用户，按高可用配置前端访问服务器Windows R2 标准版Exchange Server标准版2用户端访问支持，支持外网用户访问，手持设备访问;提供邮件流、分类、路由、传输处理服务。DC服务器Windows R2 标准版4提供域服务、用户账户管理、域内计算机管理、组策略及域内地址解析服务。服务器

29、分布：北京2台，长沙1台，上海1台归档服务器Windows R2 标准版Exchange Server企业版或专业归档软件1提供邮件归档功效，后端归档容量依据实际需求选配文件服务器Windows R2 标准版3提供文件共享和管理服务，服务器分布：北京1台，长沙1台，上海1台备份服务器Windows R2 标准版SCDPM1提供对虚拟平台、邮件系统平台及AD自动备份和恢复功效宿主机Windows 数据中心版 2提供底层虚拟化服务5.2系统配置实现本方案中提议高可用基础结构和邮件系统平台，硬件配置具体列表：项目硬件配置数量备注邮箱存放服务器2四核CPU，16G2可使用虚拟机前端访问服务器2四核CP

30、U，8G2可使用虚拟机DC服务器2四核CPU，4G4可使用虚拟机（提议北京总部提议采取1台物理+1台虚拟机方案）归档服务器2四核CPU，12G1可使用虚拟机文件服务器2四核CPU，8G3可使用虚拟机（若从节省资金投入考虑，长沙和上海和DC服务器合并在一起）备份服务器2四核CPU，12G1可使用虚拟机宿主机2八核CPU，128G2反垃圾邮件设备1预算充足提议采取硬件设备归档设备1预算充足提议采取硬件设备网络现有数据中心基础协商增补存放现有数据中心基础协商增补6项目服务费用项目说明服务费用（元）AD服务器计划布署AD服务计划设计和服务器端布署实施用户端加域布署用户端加域清理实施文件服务器计划布署文件服务器+WSUS服务器和用户端布署实施虚拟化平台计划布署虚拟化平台计划设计和布署实施邮件服务计划布署邮件系统架构建设和布署实施备份服务器计划布署基础架构平台系统自动备份计划和布署实施培训费用整个布署实施过程培训和后期维护培训 累计： 万元整