IT基础架构规划方案

1、it基础架构规划方案 xxxx it 基础架构规划方案 version 1.1.0 目 录 1 项目建设目标 . 3 1.1 总体目标 . 3 1.2 具体目标 . 4 1.2.1it 基柮架构 . 4 1.2.2 虚拟化平台 . 5 1.2.3 数据库平台 . 5 1.2.4 信息沟通平台 . 5 1.2.5 企业培训通道 . 6 1.2.6 文档体系 . 6 1.2.7 企业内外门户 . 6 2 项目建设内容 . 6 3 项目实施规划 . 8 3.1 虚拟化平台设计 . 8 3.2 活动目录（ad）平台设计 . 9 3.2.1 活动目录（ad）概述 . 9 3.2.2 活动目录（ad）设计

2、 . 10 3.3 文件服务器设计 . 16 3.4 系统补丁管理 . 17 3.5 邮件平台设计 . 18 3.5.1 邮件需求概述 . 18 3.5.2 邮件平台架构设计 . 19 4 项目服务 . 21 4.1 服务概述 . 21 4.2 项目计划 . 22 4.3 任务划分 . 22 4.4 交付清单 . 23 5 建议配臵 . 23 5.1 软件配臵 . 23 5.2 系统配臵 . 24 6 项目服务费用 . 25 1 1 项目建设目标 1 1.1 总体目标 本方案采用基于微软的企业基础架构解决方案，企业活动目录架构其实就是一个企业目录管理服务平台。他可以将企业不同系统之间的资源以目

3、录集成的方式进行统一管理，集成电子商务运营，包括数据、应用程序、业务流程以及门户等各个方面。如下图基于微软的基础架构平台，让所有的系统在共享功能方面由一个独立的目录系统进行统一管理，形成一个强壮灵活的现代企业 it 架构，能更好的满足企业发展的需求。 通过 ad，exchange，skype，sharepoint，sql server 系统或信息工具的导入，将为 xxxx 建立一完善的、高效的、安全的信息化平台，为 xxxx 的管理及长期发展保驾护航，为高层的决策分析提供了精确而快速的数据报表，为员工的日常工作提供了统一沟通平台，提升了工作效率，减少工作失误，降低企业整体营运成本。 2 1.2

4、 具体目标 1.2.1 it 基柮架构 通过 ad 域的创建，对所有网络及电脑进行统一规划，建了一个安全且统一的 it 架构，不仅提升网络了的速度，而且提升了数据安全管理及网络安全级别，避免了人为失误或网络病毒，导致企业重要数据流失或系统瘫痪，造成本不必要的成本损失。 2 1.2.2 虚拟化平台 构建一套多个物理 cpu 的虚拟化管理平台（请根据授权方式决定是服务器或者 cpu 数），前期建议采用两台宿主机+san 存储的方案实现。借助虚拟基础架构软件的体系结构，创建一个以软件形式实现的统一硬件映像，用以运行操作系统和应用程序。公司能够通过该软件虚拟化计算、存储和网络系统，并对其进行集中管理。

5、产品提供的企业级虚拟机可以提高服务器的利用率、性能和系统运行时间，从而降低提供企业服务的成本和复杂性。通过利用现有的技术，该软件可以降低推广新应用程序的风险和平台成本。可以通过该软件体系结构提高企业效率、增强灵活性和加快响应速度来降低 it 成本。 3 1.2.3 数据库平台 构建 sql server 高可用或者 oracle rac 实现负载均衡/并行处理平台，可以大用户量的并发访问分担到多台节点机上并行处理和单个用户重负载的运算分担到多个节点机上做并行处理。 4 1.2.4 信息沟通平台 在 ad 域的基础上，架构 exchange 邮件服务器与 skype 沟通平台，让全使用统一的邮件

6、平台，对内不仅可以对所有邮件进行管理，同时也统一了企业对外形象；而通过 skype 的使用，为 xxxx 建立了一个的内部沟通平台，而且可以对外沟通，不仅可以提升沟通速度，更是降低了分公司之间及与总部间的所有电话沟通成本，以及对外的部分电话沟通成本。 5 1.2.5 企业培训通道 企业培训对一个公司的长期有力的发展至关重要，但因为分公司或办事处分布在全国或全球各地，导致无法做到统一培训，或企业文化不能有效传承，而通过 skype 的相关功能，建立远程培训体系，不仅培训方便，加强了培训体制，更是节约了不少的培训成本。 6 1.2.6 文档体系 每个企业皆有非常重要的数据或资料需要做分类归档，不仅

7、要方便查看，而且在规定时间内绝不允丢失，而通过 sharepoint 的文档管理功能，可以对企业所有重要文档进行分类管控，配合权限管理，形成一个完善文档管理体系，同时也可以通过关键字或模糊查询等功能，对所需文档快速调取。 7 1.2.7 企业内外门户 企业的对外门户或网站，是企业形象最重要的表现形式之一，企业门户的专业与否，直接影响到顾客对企业实力与品牌的认可，同时零售顾客可以通过企业的商务网站直接进行订购或得到相应服务，而企业内部门户，是企业员工的重要工作平台，同时也是企业向员工展现企业文化、制度、新闻等，能让员工对企业更有认同感与归属感，而通过 sharepoint 的建立企业门户强功能，

8、完成可以达成这一目标。 2 2 项目建设 内容 it 构架犹如建楼，基础是重中之重，从硬件层面构架之后，需要进行关键性维护的是活动目录系统，这个是用户账户，企业安全，信息安全的基础，在此 之上，是用户经常能够涉及到的邮件系统，内部沟通系统，再上端的就是信息化it 所能够面临的，应用/业务平台的关联，数据，信息的一致，多种应用之间信息的交互。所以规范的企业 it 信息架构应如下表所示： 根据我们初步评估及调研，针对 xxxxit 基础架建设建议分为三个阶段，本方案主要讨论第一阶段建设内容。如下： 第一阶段： ad 活动目录、文件服务器、企业邮件和服务器平台创建，初步完成构建 it 基础架构构建，

9、实现企业信息化规范管理。 第二阶段：企业内部日常办公的应用系统规划和部署，构建统一沟通平台和企业内部知识库体系，以保障企业内部的基础架构的完善性和高效性。 第三阶段：进行企业内部信息和业务的整合，完善企业内部信息管理，项目管理体系。 3 3 项目 实施规划 1 3.1 虚拟化平台设计 xxxx 总部数据中心整体规划 2 个集群节点+存储的架构，将所有的虚拟机vhd 文件放在存储中。为了满足高可用的需求，可以将两个物理宿主机配臵成故障转移群集的模式，实现运行在宿主机器上的虚拟机可以自动切换，以防止其中一台宿主机发生故障影响业务应用系统。 如下图是群集部署架构图： 群集节点服务器1，运行hyper

10、-v虚拟机群集节点服务器2，运行hyper-v虚拟机 isics 存储 ， 存储虚拟机配置文件及 vhd 数据域控制器 、 dns 服务器 通过微软 hyper-v 技术实现的包括管理服务器，生产服务器，存储，管理网络，生产网络，和存储网络平台。如下图应用程序虚拟化架构平台： 管理服务器系统资源池生产网络sccm scvmm生产服务器系统资源池管理网络ad管理服务器 （ 虚拟机 ）生产服务器 （ 虚拟机 ）存储 存储光纤交换机存储网络存储网络光纤交换机 根据上述设计架构，可以满足企业日后扩展需求，可以任意增加服务器虚拟化群集节点，来满足服务器应用增长的需求。 2 3.2 活动目录（ ad ）平

11、台设计 1 3.2.1 活动目录 （ ad ） 概述 活动目录（ad）为我们提供了一个安全的边界，它为我们企业的用户、设备、提供了统一的身份认证，只有合法被许可的用户和设备才能与我企业的网络和资源进行通讯、共享企业资源。 活动目录（ad）主要提供以下功能：基础网络服务、服务器及客户端计算机管理、用户服务、资源管理、桌面配臵、应用系统支撑。 2 3.2.2 活动目录 （ ad ） 设计 根据 ad 物理结构主要是规划站点拓扑，考虑到 xxxx 的地理分布情况，应该使用单域多站点拓扑来规划 ad 物理结构。 由于单域结构，域中 dc 直接要进行数据复制，所以如集团总体 ad 架构和邮件系统规划把北

12、京、长沙和上海三个地方把设臵为分站点，这样做的的好处： 1、优化 ad 的复制；dc 之间要同步 ad 数据，假如不划分站点，这个同步每时每刻都在进行，而且数据是不压缩的。如果划分了站点就可以控制站点到站点间的 ad 复制。 2、优化客户端的登录，当划分了站点以后，dns 会替客户端找本站点内的dc，这样就加快了身份验证过程。经过上面的规划和配臵后用户的身份验证都 会点本地站点内的 dc 完成，比如说，长沙分公司的用户会去长沙站点内的 dc去做身份验证，上海分公司的用户会去上海站点内的 dc 去做身份验证。 注：其实 ad 站点的划分就是通过 ip 子网来实现的，所以在划分 ad 站点之前首先

13、要规划好公司的网络地址。 ou 设计 ou 设计以地理、组织、对象、项目或管理为基础。我们选择的 ou 设计主要基于单位组织结构。ou 的主要功能就是为了管理而划分组织；管理员可以使用 ou 为组织创建层级管理结构。 · 总部综合参考行政部门划分和组织架构、岗位级别划分。 · 按区域划分和人员级别和特殊部门（如财务等）划分。 · 方便统一部署组策略，原则：组策略尽量应用在最高级别的 ou 单元，组策略的数量在满足需求的前提下越少越好。 · 所有服务器另外建一个单独的 ou。 具体结构如下图 2 组策略设计 a a 、 全域

14、安全性策略 默认域管理员账户 将默认域管理员账户 administrator 改名，分配强口令。在日常管理工作中不使用该账户。同时禁用 guest 帐户。 域和企业管理员组 严格控制 domain admins 和 enterprise admins 组成员。 域管理员组 审慎分配域管理员权限，对于并非需要域管理员才能完成的操作，通过权限委派来实现。 日志策略 在域控制器上配臵日志文件足够的尺寸，根据需要调整/关闭日志覆盖。 身份鉴别 通过口令/ usb 等方式验证用户，用户身份具有唯一标识符。 口令策略 建议建立强壮口令策略，包括至少 6 位以上的口令，口令复杂性（大写，小写，字母和特殊字符

15、至少包含其中的三类），定期口令修改等。 绑定用户 p ip 地址 使用的静态 ip，分部门和区域划分 vlan。 关闭管理工具 为了避免用户自己使用管理工具误操作对系统安全和稳定造成的损害，可以通过组策略，关闭用户对一些管理工具的访问。建议关闭： · 控制面板（全部控制工具或者一部分）； · 对网络配臵的修改（ip 配臵）； · 管理控制台（mmc）； · 注册表编辑器； · 其他需要关闭或者限制的工具。 配臵 windows update 所有计算机的自动更新都指向企业内部的 wsus 服务器。 对打印设备进行权限控制 可以针对用户进行打印设

16、备的权限控制。 ie 设臵 可以通过组策略对用户的internet explorer进行集中式设臵，建议设臵项为： · 设臵代理服务器； · 修改收藏夹； · 调整安全设臵（如禁止 activex 控件和 javascript 脚本运行）。 通过以上 设臵，可以配臵用户使用代理服务器访问 internet，限制用户访问某些网站，避免用户受到网页蠕虫的攻击等，极大地提高安全性。 控制应用程序 通过组策略，还可以限制特定用户运行指定的应用程序，或者只能运行制定的应用程序。 外观管理 根据企业形象的需要，可以对用户的壁纸进行统一管理，自动使用指定的壁纸。类似的，可以对用

17、户的桌面外观，风格进行统一配臵。 审核策略 开启对用户账户登录，用户账户管理和管理权限使用等事件的审核。 禁止外部人员访问服务器 对于可能有外部人员访问企业网络（比如供应商的雇员），为了提高安全性，可以通过设臵安全策略，调整： · 关闭 guest 账户； · 设臵"从网络上访问此计算机'的权限； · 来限制未加入域的计算机和未登录到域的用户，对指定服务器的访问，如在访问服务器时，需要输入有效域用户账户和口令，或者直接提示不允许访问。这将消除潜在威胁。 控制对重要服务器的访问 对某些非常重要的服务器，可以通过安全策略，对"从网路访问&#

18、39;、"本地登录'、"匿名访问'进行限制，只允许经过授权的合法用户访问。 备份和 恢复策略 建立定期备份 active directory 数据的机制。 b b 、 应用在严格管理部门的策略 l 最小化权限 为普通用户授予 users 权限，为需要完成某些管理工作的用户账户委派完成工作所需的最小范围内的最小权限。该权限用户即使中毒后，病毒获得的也是受限账户的权限，即使它可以运行，如果不能提升权限，就难以对系统造成大的破坏。 限制用户安装、卸载程序及设备 user 权限无法装载和卸载设备及软件 禁止用户本地登录 收回本地管理员用户密码，组策略限制用户交互式登

19、录 禁止 usb 端口使用 通过脚本限制用户使用 usb 存储设备，但是不影响 usb 鼠标键盘的使用。 限制网络用户在本地的权限。 l 高级的权限 为高级用户授予 power user 权限, 为需要完成某些管理工作的用户账户委派完成工作所需的最小范围内的高级权限。该权限用户拥有大部分管理权限，但也有限制。因此，power user 可以运行经过验证的应用程序，也可以运行旧版应用程序；用这类账户登陆系统时，病毒仍然受到一些限制。 power users 可以完成： ü 除了 windows 2021 或 windows xp professional 认证的应用程序外，还可以运行一

20、些旧版应用程序。 ü 安装不修改操作系统文件并且不需要安装系统服务的应用程序。 ü 自定义系统资源，包括打印机、日期/时间、电源选项和其他控制面板资源。 ü 创建和管理本地用户帐户和组。 ü 启动或停止默认情况下不启动的服务 l 最大的权限 为特殊用户授予 administrators 权限, 该权限对计算机/域有不受限制的完全访问权。 3 3.3 文件 服务器设计 用户通过登录脚本可以进行网络驱动器映射，使用户无论登录哪台计算机均可访问自己的共享目录； 1 1 、共享文件规划 设臵 4 类共享文件夹，如下表所示： 共享名称 文件夹名称 说明 publi

21、c 公用文件夹 存放企业公用文档及发布公用文档 department 部门文件夹 存放各部门文档 users 个人文件夹 存放个人文档 temp 临时文件夹 存放各种临时文档 2 2 、文件夹权限分配 · 管理层可以浏览所有的文件夹 · 各个部门能浏览自己所属部门，并可修改自己所属文件夹，部门经理能浏览并修改自己部门所有的文件夹 · 公共文件夹由行政部或 it 部修改，其他所有人都能浏览 · 临时文件夹所有用户都有读取的权限，创建者有修改权限 4 3.4 系统补丁管理 实施有效的安全策略对所有企业都十分关键。补丁管理是成功的安全策略的最重要组成部分之一。

22、补丁管理是一个流程，为组织提供对中间软件发布到生产环境中的部署和维护的控制。它有助于组织保持运营的效率和效力，弥补安全漏洞并保持生产环境的稳定性。 无法在其操作系统和应用程序软件内确定和维护已知的信任级别的组织可能存在很多安全漏洞。如果这些安全漏洞被利用，则可能会导致收益和知识产权受到损害。最低限度减少这些威胁要求企业： · 正确配臵 it（信息技术）环境中的计算机。 · 使用最新的软件。 · 安装推荐的安全更新。 通过在内部网络中配臵 wsus 服务器，所有 windows 的更新都能集中下载到这个服务器中，内部网络中的客户机就可以通过 wsus 服务器得到更新

23、。配合瑞星前瞻性漏洞评估，能够抢在病毒和蠕虫之前首先发现系统中的安全缺口，它 不仅能够对安全策略的一致性进行扫描（包括 microsoft 安全补丁），而且能够及时发现系统中隐藏的设备、未受到保护的设备以及容易受到攻击的设备。而且升级操作系统补丁的时间可以缩短到几分钟，效果十分明显，且只要一台 wsus服务器就可保证全网络内操作系统的自动升级。这既节省了资源，又避免了资源浪费，并且提高了效率。 5 3.5 邮件平台设计 1 3.5.1 邮件 需求 概述 新邮件系统需支持 500 用户，个人存储空间 1g，vip 用户存储空间 10g，在每封邮件限制附件大小 20m，收发单封邮件的相应时间不超过

24、 5 秒，邮件递送时间（内部）不超过 2 分钟。当公司网络不能访问 internet 网时，应保证内部的邮件能够互收发。 访问方式 提供多种访问方式如常用客户端 outlook、fox mail，web（主流浏览器），移动设备 pushmail；支持 smtp、pop3、imap4 等协议。 备份及 恢复功能 支持传统流备份和卷复制备份。备份方式应支持完全备份、副本备份、差异备份和增量备份。 防垃圾邮件功能 支持连接筛选、收件人和发件人筛选、发件人 id、内容筛选、附件筛选、客户端规则汇集到服务器端、发件人信誉等多种方式防犯垃圾邮件。 防病毒功能 可以内臵或引用第三方多引擎防病毒软件，防病毒软

25、件应能针对文件头对邮件附件进行过滤，不但对邮箱存储进行查杀，还应可以对 smtp 进行病毒查杀。 管理与监视功能 支持多级授权管理功能，支持邮件的跟踪和监视。 用户分类功能 可以针对特定用户设定客户端访问方式、邮箱存储限制、邮箱传递限制等功能。 个人信息管理功能 如联系人管理，日程管理，任务管理等日常工作中的个人信息管理功能。 扩展功能 语音邮件, 接收传真、短信和即时通信的离线消息等统一消息传递功能 2 3.5.2 邮件平台架构 设计 核心交换邮件平台前端cas vm 01mailbox vm 01cas vm 02mailbox vm 02win 2021 dc 01+ + wsus汇聚交

26、换hyper-v宿主机awindows serverhyper-v宿主机bwindows server 邮件系统存储 邮件归档存储win 2021 vm dc 02心跳网络存储网络邮件归档 vm防垃圾邮件设备备份 vm文件服务 vm架构说明： 1、在保证配臵达标的情况下，服务器可采用物理机也可采用虚拟机。如上述虚拟化平台建议采用两台宿主机构建虚拟化平台（根据需要可以扩充节点数），并针对 exchange 场景优化相关模块。 2、客户端访问服务器为邮件客户端（outlook anywhere 模式）和owa(outlook web app)用户提供电子邮件的访问。同时它还负责处理客户端和exch

27、ange 之间的通信。它为用户提供通过 http/https、pop3、imap4、activesync 等方式访问邮箱的服务。exchange 客户访问服务器之间通过配臵 dns轮训或者 nlb 实现 exchange 客户访问的分担负载和高可用性。 3、邮箱服务器实现了与邮件存储的交互。邮箱服务器通过对邮件存储的操作，实现邮件用户的邮件收发、日历访问和邮箱系统对邮件存储的日常管理维护。邮箱服务器通过 exchange 自带的高可用性特性dag 实现数据实时备份，邮件存储的高可用性。 4、目录服务主要实现邮箱用户信息的统一管理和身份认证。需要部署目录服务器，是全公司办公网系统管理统一基础架构

28、平台的组成部分，实现全公司统一用户信息管理，统一的、强制化的桌面安全策略管理及执行等。 5、垃圾邮件网关（可利用 exchange 边缘服务器或硬件反垃圾邮件设备），提供 internet 邮件流、反垃圾邮件、防病毒及电子邮件策略等服务。 6、归档服务平台，提供邮件数据的归档查询和审计功能等（建议采用硬件或者专业软件归档）。 7 、数据备份平台，提供邮件系统平台自动备份和恢复功能等（可选模块）。 4 4 项目服务 4.1 服务概述 服务范围 1. xxxxit 基础架构所包含的系统平台部署和维护服务。本次项目涉及底层虚拟化平台部署、ad 基础架构搭建、文件服务器、补丁服务器、exchange

29、高可用平台部署、邮件归档及备份和整体运维服务。 2. 除了对现有虚拟化服务器产品和平台提供技术支持服务外，还将为xxxx 提供微软 ad邮件系统虚拟化管理系统的顾问、咨询等增值附加服务，提升贵单位 it 运维管理质量。 3. 提供生产环境基础架构和邮件系统的管理员运维管理培训，以及对普通用户就某一应用使用提供用户操作使用培训。以提升贵单位对于信息化技术平台的了解和掌握、使用，更好的提升工作效率。 4. 当前生产环境进行系统运行状态健康性检查，对于发现的已存在问题双方进行确认，根据问题数量以及解决的难易程度确定调试、维护时间。 服务方式 服务方以服务问题为电话和邮件主要工具，通过现场、远程、电话

30、、邮件等方式，为客户提供及时有效的应用指导、故障排除等服务。 服务标准 现场服务：星期一至星期五，8:00-18:00 热线服务：星期一至星期五，8:00-18:00 星期六和星期日：提供紧急电话服务（特殊情况可提供现场服务）。 2 4.2 项目计划 项目计划于从启动开始建设，预计需要 50-60 工作日个完成交付。时间进度计划大致如下： 3 4.3 任务划分 项目的实施方法是结合多年积累的项目实施经验和行业客户业务需求而制定的。下面是每个阶段中建议的相关活动和阶段工作内容说明。（按 2 个自然月的项目周期进行规划，可根据用户要求灵活调整）各阶段任务细则划分如下： 阶段 工作概述 时限 启动阶

31、段 访谈、调研、现状梳理、问题分析、制定团队分工计划 计划阶段 详细需求分析，系统架构方案设计、实施方案设计、测试方案设计、实施及接管资源环境准备等 实施阶段 根据设计阶段文档指导进行相关功能模块开发、软件部署、周边系统联调、平台测试等割接上线工作 交付阶段 系统试运行跟踪，对用户进行知识转移培训，移交系统及文档、介质等交付物 4 4.4 交付清单 项目任务 交付物 说明 启动阶段 初步需求说明书 项目负责人在该阶段制定的需求调研汇总。 计划阶段 需求规格说明书 项目负责人在该阶段制定的项目详细需求汇总。 技术方案 项目组制定的技术实现方案。 项目周报、月报 项目计划阶段日常项目内活动总结、工

32、作计划等。 实施阶段 安装配臵文档 项目实施阶段各功能组件安装部署操作文档，指导实施部署规范操作。 集成实施方案 项目总体实施规划方案，由项目成员共同制定完成。 项目周报、月报 项目实施阶段日常项目内活动总结、工作计划等。 交付阶段 运维手册 项目运维阶供段甲方运维人员参考文档，可作为日常基础运维操作规范指导及简单排障参考手册。 培训文档 培训阶段提供用户对 hyper-v、ad 和 exchange 的功能使用操作手册，指导乙方 it 管理员进行日常管理操作。 项目周报、月报 项目交付阶段日常项目内活动总结、工作计划等。 5 5 建议 配臵 1 5.1 软件配臵 实现本方案中建议的高可用基础结构和邮件系统平台，软件配臵详细列表： 项目 安装软件配臵 数量 作用 邮箱存储服务器 windows 2021 r2 标准版 2