IT基础架构规划实施方案

1、IT基础架构规划实施方案作者:日期:2 / 25个人收集整理，勿做商业用途XXXXIT基础架构规划方案Version 1.1.0目录1 项目建设目标 51.1 总体目标 51.2 具体目标 61.2.11 T基棉架构 61.2.12 拟化平台 61.2.13 据库平台 61.2.14 息沟通平台 71.2.15 业培训通道 71.2.16 档体系 71.2.17 业内外门户 72项目建设内容 83项目实施规划 93.1 虚拟化平台设计 93.2 活动目录（AD平台设计 103.2.1 活动目录（AD概述 103.2.2 活动目录（AD设计 113.3 文件服务器设计 163.4 系统补丁管理

2、163.5 邮件平台设计 173.5.1 邮件需求概述 173.5.2 邮件平台架构设计 184项目服务 194.1 服务概述 194.2 项目计划 204.3 任务划分 214.4 交付清单 215建议配置 225.1 软件配置 225.2 系统配置 236项目服务费用 241项目建设目标1.1 总体目标本方案采用基于微软的企业基础架构解决方案， 企业活动目录架构其实就是 一个企业目录管理服务平台。他可以将企业不同系统之间的资源以目录集成的方 式进行统一管理，集成电子商务运营，包括数据、应用程序、业务流程以及门户 等各个方面。如下图基于微软的基础架构平台，让所有的系统在共享功能方面由 一个独

3、立的目录系统进行统一管理，形成一个强壮灵活的现代企业IT架构，能更好的满足企业发展的需求。个人桌面：IE、CAD类，计算类、MS Office,其他专业软件企业信息门户(EIP)协同办公I管理运营I项日运营I决策支持其他企业开发工邮件人力曳源的会议客户美事项目管理Pm用M公文管理财器管理图档管理工作日程其他业和系统：.:|1 :，£暹挖在经百分所ST J-t方包管行甲堂主根业务系统OLAP服务管理系统维护管理0A系统通过 AD Exchange, Skype, SharePoint , SQLServer 系统或信息工具的导入，将为XXXXS立一完善的、高效的、安全的信息化平台，为

4、XXXX勺管理及长 期发展保驾护航，为高层的决策分析提供了精确而快速的数据报表，为员工的日常工作提供了统一沟通平台，提升了工作效率，减少工作失误，降低企业整体营 运成本。1.2 具体目标1.2.11 T 基棚架构通过AD域的创建，对所有网络及电脑进行统一规划，建了一个安全且统一 的IT架构，不仅提升网络了的速度，而且提升了数据安全管理及网络安全级别， 避免了人为失误或网络病毒，导致企业重要数据流失或系统瘫痪， 造成本不必要 的成本损失。1.2.12 拟化平台构建一套多个物理CPU勺虚拟化管理平台（请根据授权方式决定是服务器或 者CP吸），前期建议采用两台宿主机+SAN#储的方案实现。借助虚拟基

5、础架构 软件的体系结构，创建一个以软件形式实现的统一硬件映像， 用以运行操作系统 和应用程序。公司能够通过该软件虚拟化计算、存储和网络系统，并对其进行集 中管理。产品提供的企业级虚拟机可以提高服务器的利用率、性能和系统运行时问，从而降低提供企业服务的成本和复杂性。 通过利用现有的技术，该软件可以 降低推广新应用程序的风险和平台成本。可以通过该软件体系结构提高企业效 率、增强灵活性和加快响应速度来降低 IT成本。1.2.13 据库平台构建SQL Server高可用或者Oracle RAC实现负载均衡/并行处理平台，可以 大用户量的并发访问分担到多台节点机上并行处理和单个用户重负载的运算分 担到多

6、个节点机上做并行处理。1.2.14 息沟通平台在AD域的基础上，架构Exchange邮件服务器与Skype沟通平台，让全使用 统一的邮件平台，对内不仅可以对所有邮件进行管理，同时也统一 了企业对外形象；而通过Skype的使用，为XXXXS立了一个的内部沟通平台，而且可以对外 沟通，不仅可以提升沟通速度，更是降低了分公司之间及与总部问的所有电话沟 通成本，以及对外的部分电话沟通成本。1.2.15 业培训通道企业培训对一个公司的长期有力的发展至关重要， 但因为分公司或办事处分 布在全国或全球各地，导致无法做到统一培训，或企业文化不能有效传承，而通 过Skype的相关功能，建立远程培训体系，不仅培训

7、方便，加强了培训体制，更 是节约了不少的培训成本。1.2.16 档体系每个企业皆有非常重要的数据或资料需要做分类归档，不仅要方便查看，而 且在规定时间内绝不允丢失，而通过 Sharepoint的文档管理功能，可以对企业 所有重要文档进行分类管控，配合权限管理，形成一个完善文档管理体系，同时 也可以通过关键字或模糊查询等功能，对所需文档快速调取。1.2.17 业内外门户企业的对外门户或网站，是企业形象最重要的表现形式之一， 企业门户的专 业与否，直接影响到顾客对企业实力与品牌的认可，同时零售顾客可以通过企业 的商务网站直接进行订购或得到相应服务，而企业内部门户，是企业员工的重要 工作平台，同时也

8、是企业向员工展现企业文化、制度、新闻等，能让员工对企业 更有认同感与归属感，而通过 SharePoint的建立企业门户强功能，完成可以达 成这一目标。2项目建设内容IT构架犹如建楼，基础是重中之重，从硬件层面构架之后，需要进行关键 性维护的是活动目录系统，这个是用户账户，企业安全，信息安全的基础，在此 之上，是用户经常能够涉及到的邮件系统， 内部沟通系统，再上端的就是信息化 IT所能够面临的，应用/业务平台的关联，数据，信息的一致，多种应用之间信 息的交互。所以规范的企业IT信息架构应如下表所示：根据我们初步评估及调研，针对 XXXXIT基础架建设建议分为三个阶段，本 方案主要讨论第一阶段建设

9、内容。如下：第一阶段：AD活动目录、文件服务器、企业邮件和服务器平台创建，初步 完成构建IT基础架构构建，实现企业信息化规范管理。第二阶段：企业内部日常办公的应用系统规划和部署， 构建统一沟通平台和 企业内部知识库体系，以保障企业内部的基础架构的完善性和高效性。第三阶段：进行企业内部信息和业务的整合， 完善企业内部信息管理，项目 管理体系。3项目实施规划3.1 虚拟化平台设计XXXX、部数据中心整体规划2个集群节点+存储的架构，将所有的虚拟机VHD 文件放在存储中。为了满足高可用的需求，可以将两个物理宿主机配置成故障转 移群集的模式，实现运行在宿主机器上的虚拟机可以自动切换， 以防止其中一台

10、宿主机发生故障影响业务应用系统。如下图是群集部署架构图：群集节点服务器1,运行Hyper-v 虚拟机群集节点服务器2,运行Hyper-v 虚拟机ISICS存储，存储虚拟机配置文 件及VH取据域控制器、DNS艮务器通过彳软Hyper-V技术实现的包括管理服务器，生产服务器，存储，管理网 络，生产网络，和存储网络平台。如下图应用程序虚拟化架构平台：生产服务器系统资源池根据上述设计架构，可以满足企业日后扩展需求，可以任意增加服务器虚拟化群集节点，来满足服务器应用增长的需求3.2 活动目录（AD平台设计3.2.1 活动目录（AD）概述活动目录（AD为我们提供了一个安全的边界，它为我们企业的用户、设备、

11、 提供了统一的身份认证，只有合法被许可的用户和设备才能与我企业的网络和资 源进行通讯、共享企业资源。和州h海客户 Mgmt配置文件梅格信息 M册KH恸6用户餐号倡息将程配置文件且£刊1眦立蝌展募器 Mgmt配文件 网络信息 务 打印机 文件共享XMS*. Whitey mwnnwrw 配置 量寿质策略安9 User registry b Security Polky电子部件及塞4邮箱信息通讯舞的火火善>£f安全策略1虚拟专用网珞策略应用恸眼头舞配n用于程序专用的月朵信息策略活动目录（AD）主要提供以下功能：基础网络服务、服务器及客户端计算 机管理、用户服务、资源管理、

12、桌面配置、应用系统支撑。3.2.2 活动目录（AD）设计根据AD物理结构主要是规划站点拓扑，考虑到XXXX勺地理分布情况，应该 使用单域多站点拓扑来规划AD物理结构。由于单域结构，域中DC直接要进行数据复制，所以如集团总体AD架构和邮 件系统规划把北京、长沙和上海三个地方把设置为分站点，这样做的的好处：1、优化AD的复制；DC之间要同步AD数据，假如不划分站点，这个同步每 时每刻都在进行，而且数据是不压缩的。如果划分了站点就可以控制站点到站点 间的AD复制。2、优化客户端的登录，当划分了站点以后，DN8替客户端找本站点内的DC这样就加快了身份验证过程。经过上面的规划和配置后用户的身份验证都会

13、点本地站点内的DC完成，比如说，长沙分公司的用户会去长沙站点内的 DC去做 身份验证，上海分公司的用户会去上海站点内的DC去做身份验证。注：其实AD站点的划分就是通过IP子网来实现的，所以在划分 AD站点之 前首先要规划好公司的网络地址o'OU 设计OU设计以地理、组织、对象、项目或管理为基础。我们选择的OU设计主要基于单位组织结构。OU的主要功能就是为了管理而划分组织；管理员可以使 用OU为组织创建层级管理结构。 总部综合参考行政部门划分和组织架构、岗位级别划分。 按区域划分和人员级别和特殊部门（如财务等）划分。 方便统一部署组策略，原则：组策略尽量应用在最高级别的 O

14、U单元，组 策略的数量在满足需求的前提下越少越好。 所有服务器另外建一个单独的 OU 具体结构如下图二组策略设计A、全域安全性策略默认域管理员账户将默认域管理员账户administrator 改名，分配强口令。在日常管理工作 中不使用该账户。同时禁用 Guest帐户。域和企业管理员组严格控制Domain Admins和Enterprise Admins组成员。 域管理员组 审 慎分配域管理员权限，对于并非需要域管理员才能完成的操作， 通过权限委派来 实现。日志策略在域控制器上配置日志文件足够的尺寸，根据需要调整/关闭日志覆盖。身份鉴别 通过口令/ USB等方式验证用户，用户身份具

15、有唯一标识符。口令策略建议建立强壮口令策略，包括至少 6位以上的口令，口令复杂性（大写，小 写，字母和特殊字符至少包含其中的三类），定期口令修改等。绑定用户IP地址使用的静态IP,分部门和区域划分 VLAN关闭管理工具为了避免用户自己使用管理工具误操作对系统安全和稳定造成的损害，可以通过组策略，关闭用户对一些管理工具的访问。建议关闭： 控制面板（全部控制工具或者一部分）； 对网络配置的修改（IP配置）； 管理控制台（MMC; 注册表编辑器； 其他需要关闭或者限制的工具。酉己置 Windows update所有计算机的自动更新都指向企业内部的 WSU服务器。对打印设备进行权限控制可以针对用户进行

16、打印设备的权限控制。IE设置可以通过组策略对用户的Internet Explorer进行集中式设置，建议设置项 为： 设置代理服务器； 修改收藏夹； 调整安全设置（如禁止ActiveX控件和JavaScript脚本运行）。通过以 上设置，可以配置用户使用代理服务器访问Internet ,限制用户访问某 些网站，避免用户受到网页蠕虫的攻击等，极大地提高安全性。控制应用程序通过组策略，还可以限制特定用户运行指定的应用程序，或者只能运行制定 的应用程序。外观管理根据企业形象的需要，可以对用户的壁纸进行统一管理，自动使用指定的壁 纸。类似的，可以对用户的桌面外观，风格进行统一配置。审核策略开启对用户账

17、户登录，用户账户管理和管理权限使用等事件的审核。禁止外部人员访问服务器对于可能有外部人员访问企业网络（比如供应商的雇员），为了提高安全性， 可以通过设置安全策略，调整： 关闭GUES怵户； 设置”从网络上访问此计算机”的权限； 来限制未加入域的计算机和未登录到域的用户，对指定服务器的访问， 如在访问服务器时，需要输入有效域用户账户和口令，或者直接提示不 允许访问。这将消除潜在威胁。控制对重要服务器的访问对某些非常重要的服务器，可以通过安全策略，对“从网路访问”、“本地登 录”、“匿名访问”进行限制，只允许经过授权的合法用户访问。备份和恢复策略建立定期备份Active Directory数据的机

18、制。B、应用在严格管理部门的策略最小化权限为普通用户授予Users权限，为需要完成某些管理工作的用户账户委派完成 工作所需的最小范围内的最小权限。 该权限用户即使中毒后，病毒获得的也是受 限账户的权限，即使它可以运行，如果不能提升权限，就难以对系统造成大的破 坏。限制用户安装、卸载程序及设备User权限无法装载和卸载设备及软件禁止用户本地登录收回本地管理员用户密码，组策略限制用户交互式登录禁止USB®口使用通过脚本限制用户使用US储设备，1是不影响USB鼠标键盘的使用。限制网络用户在本地的权限。高级的权限为高级用户授予Power User权限，为需要完成某些管理工作的用户账户委 派完

19、成工作所需的最小范围内的高级权限。该权限用户拥有大部分管理权限，但也有限制。因此，Power User可以运行经过验证的应用程序，也可以运行旧版 应用程序；用这类账户登陆系统时，病毒仍然受到一些限制。Power Users可以完成：除了 Windows 2000 或 Windows XP Professional 认证的 应用程序外，还可以运行一些旧版应用程序。安装不修改操作系统文件并且不需要安装系统服务的应用 程序。自定义系统资源，包括打印机、日期/时间、电源选项和其 他控制面板资源。创建和管理本地用户帐户和组。启动或停止默认情况下不启动的服务最大的权限为特殊用户授予Administrato

20、rs 权限，该权限对计算机/域有不受限制的完 全访问权。3.3 文件服务器设计用户通过登录脚本可以进行网络驱动器映射，使用户无论登录哪台计算机均 可访问自己的共享目录；1、共享文件规划设置4类共享文件夹，如下表所示:共享名称文件夹名称说明Public公用文件夹存放企业公用文档及发布公用文档Department部门文件夹存放各部门文档Users个人文件夹存放个人文档Temp临时文件夹存放各种临时文档2、文件夹权限分配 管理层可以浏览所有的文件夹 各个部门能浏览自己所属部门，并可修改自己所属文件夹，部门经理能浏览并修改自己部门所有的文件夹 公共文件夹由行政部或IT部修改，其他所有人都能浏览 临时文

21、件夹所有用户都有读取的权限，创建者有修改权限3.4 系统补丁管理实施有效的安全策略对所有企业都十分关键。补丁管理是成功的安全策略的 最重要组成部分之一。补丁管理是一个流程，为组织提供对中间软件发布到生产 环境中的部署和维护的控制。它有助于组织保持运营的效率和效力，弥补安全漏 洞并保持生产环境的稳定性。无法在其操作系统和应用程序软件内确定和维护已知的信任级别的组织可 能存在很多安全漏洞。如果这些安全漏洞被利用，则可能会导致收益和知识产权 受到损害。最低限度减少这些威胁要求企业： 正确配置IT （信息技术）环境中的计算机。 使用最新的软件。 安装推荐的安全更新。通过在内部网络中配置 WSUSi务器

22、，所有 Windows的更新都能集中下载到 这个服务器中，内部网络中的客户机就可以通过 WSUSg务器得到更新。配合瑞 星前瞻性漏洞评估，能够抢在病毒和蠕虫之前首先发现系统中的安全缺口，它不仅能够对安全策略的一致性进行扫描（包括 Microsoft 安全补丁），而且能够 及时发现系统中隐藏的设备、未受到保护的设备以及容易受到攻击的设备。而且 升级操作系统补丁的时间可以缩短到几分钟，效果十分明显，且只要一台WSUS服务器就可保证全网络内操作系统的自动升级。这既节省了资源，又避免了资源浪费，并且提高了效率。3.5 邮件平台设计3.5.1 邮件需求概述新邮件系统需支持500用户，个人存储空间1G,

23、VIP用户存储空间10G在 每封邮件限制附件大小20M收发单封邮件的相应时间不超过 5秒，邮件递送时 问（内部）不超过2分钟。当公司网络不能访问Internet网时，应保证内部的 邮件能够互收发。访问方式提供多种访问方式如常用客户端 Outlook、Fox mail , Web（主流浏览器）， 移动设备PUSHMAIL支持SMTP POP3 IMAP4等协议。备份及恢复功能支持传统流备份和卷复制备份。备份方式应支持完全备份、副本备份、差异 备份和增量备份。防垃圾邮件功能支持连接筛选、收件人和发件人筛选、发件人 ID、内容筛选、附件筛选、客 户端规则汇集到服务器端、发件人信誉等多种方式防犯垃圾邮

24、件。防病毒功能可以内置或引用第三方多引擎防病毒软件，防病毒软件应能针对文件头对邮件附件进行过滤，不但对邮箱存储进行查杀，还应可以对SMTP®行病毒查杀。管理与监视功能支持多级授权管理功能，支持邮件的跟踪和监视。用户分类功能可以针对特定用户设定客户端访问方式、邮箱存储限制、邮箱传递限制等功能。个人信息管理功能如联系人管理，日程管理，任务管理等日常工作中的个人信息管理功能。扩展功能语音邮件，接收传真、短信和即时通信的离线消息等统一消息传递功能3.5.2 邮件平台架构设计CAS VM01MailBox VM01Win2012 VM DC02文件服务VMCAS VM02MailBox VM0

25、2邮件归档VM备份VM邮件系统存储邮件归档存储28 / 25架构说明:1、在保证配置达标的情况下，服务器可采用物理机也可采用虚拟机。如上 述虚拟化平台建议采用两台宿主机构建虚拟化平台（根据需要可以扩充节点数）， 并针对Exchange场景优化相关模块。2、客户端访问服务器为邮件客户端（Outlook Anywhere模式）和OWA（Outlook Web App）用户提供电子邮件的访问。同时它还负责处理客户端和Exchange之间的通信。它为用户提供通过 HTTP/HTTPSPOP3 IMAP4 ActiveSync等方式访问 邮箱的服务。Exchange客户访问服务器之间通过配置 DN曜训或

26、者NL或现 Exchange客户访问的分担负载和高可用性。3、邮箱服务器实现了与邮件存储的交互。邮箱服务器通过对邮件存储的操 作，实现邮件用户的邮件收发、日历访问和邮箱系统对邮件存储的日常管理维护。 邮箱服务器通过Exchange自带的高可用性特性一DA忒现数据实时备份，邮件 存储的高可用性。4、目录服务主要实现邮箱用户信息的统一管理和身份认证。需要部署目录 服务器，是全公司办公网系统管理统一基础架构平台的组成部分，实现全公司统一用户信息管理，统一的、强制化的桌面安全策略管理及执行等。5、垃圾邮件网关（可利用Exchange边缘服务器或硬件反垃圾邮件设备）， 提供Internet邮件流、反垃圾

27、邮件、防病毒及电子邮件策略等服务。6、归档服务平台，提供邮件数据的归档查询和审计功能等（建议采用硬件 或者专业软件归档）。7、数据备份平台，提供邮件系统平台自动备份和恢复功能等（可选模块）。4项目服务4.1 服务概述服务范围1 . XXXXIT基础架构所包含的系统平台部署和维护服务。本次项目涉及底层 虚拟化平台部署、ADtt础架构搭建、文件服务器、补丁服务器、 Exchange高可 用平台部署、邮件归档及备份和整体运维服务。2 .除了对现有虚拟化服务器产品和平台提供技术支持服务外，还将为XXXX提供微软邮件系统虚拟化管理系统的顾问、咨询等增值附加服务，提升贵单位IT运维管理质量。3 .提供生产

28、环境基础架构和邮件系统的管理员运维管理培训，以及对普通 用户就某一应用使用提供用户操作使用培训。以提升贵单位对于信息化技术平台 的了解和掌握、使用，更好的提升工作效率。4 .当前生产环境进行系统运行状态健康性检查，对于发现的已存在问题双 方进行确认，根据问题数量以及解决的难易程度确定调试、维护时间。服务方式服务方以服务问题为电话和邮件主要工具，通过现场、远程、电话、邮件等 方式，为客户提供及时有效的应用指导、故障排除等服务。服务标准现场服务：星期一至星期五，8:00-18:00热线服务：星期一至星期五，8:00-18:00星期六和星期日：提供紧急电话服务（特殊情况可提供现场服务）。4.2 项目

29、计划项目计划于从启动开始建设，预计需要50-60工作日个完成交付。时间进度 计划大致如下：启动阶届计划阶段实施阶段交付阶段A完成4.3 任务划分项目的实施方法是结合多年积累的项目实施经验和行业客户业务需求而制定的。下面是每个阶段中建议的相关活动和阶段工作内容说明。（按2个自然月的项目周期进行规划，可根据用户要求灵活调整）各阶段任务细则划分如下:阶段工作概述时限启动阶段访谈、调研、现状梳理、问题分析、制定团队分工计划计划阶段详细需求分析，系统架构方案设计、实施方案设计、测试方案设计、实施及接管资源环境准备等实施阶段根据设计阶段文档指导进行相关功能模块开发、软件部署、周边系统联调、平台测试等割接上

30、线工作交付阶段系统试运行跟踪，对用户进行知识转移培训， 移交系统及文档、介质等交付物4.4 交付清单项目任务交付物说明启动阶段初步需求说明书项目负责人在该阶段制定的需求调研汇总。计划阶段需求规格说明书项目负责人在该阶段制定的项目详细需求汇总。技术方家项目组制定的技术实现方案。项目周报、月报项目计划阶段日常项目内活动总结、工作计划等。实施阶段安装配置文档项目实施阶段各功能组件安装部署操作文档，指导实施部署规范操作。集成实施方案项目总体实施规划方案，由项目成员共同制定完成。项目周报、月报项目实施阶段日常项目内活动总结、工作计划等。交付阶段运维手册项目运维阶供段甲方运维人员参考文档，可作为日常基础运维操作规范指导及简单排障参考手册。培训文档培训阶段提供用户对 Hyper-V、AD和Exchange的功能使用操作手册，指导乙方IT管理员进行日常管理操作。项目周报、月报项目交付阶段日常项目内活动总结、工作计划等。5建议配置5.1软件配置实现本方案中建