XXX集团IT基础架构规划方案

帮助顾客成功企业IT基础架构规划方案XXX集IT基础架构规划方案（简）金蝶软件（华南区）系统集成部2011年03月金蝶ERP个性化管理软件领导者0

录目录目项目背景方案整体介绍TOC\o"1-5"\h\z\o"CurrentDocument"企业IT架构 4\o"CurrentDocument"网络系统规划 4\o"CurrentDocument"安全基础网络规划方案 6\o"CurrentDocument"安全无线网络规划方案 9\o"CurrentDocument"广域网互联VPN规划方案 11\o"CurrentDocument"网络性能指标要求 13\o"CurrentDocument"网络安全规划 13\o"CurrentDocument"计算机系统规划 17\o"CurrentDocument"服务器硬件选型规划方案 17\o"CurrentDocument"磁盘存储系统选型规划方案 18\o"CurrentDocument"IT基础软件和系统规划 21\o"CurrentDocument"操作系统选型规划方案 21\o"CurrentDocument"虚拟化规划方案 21\o"CurrentDocument"数据库选型规划方案 22\o"CurrentDocument"数据安全和备份规划 25\o"CurrentDocument"统一身份安全认证规划 29\o"CurrentDocument"企业计算机和用户管理方案 34

\o"CurrentDocument"企业邮件系统选型规划方案 38\o"CurrentDocument"企业内部通信系统选型规划方案 39\o"CurrentDocument"企业IT机房和系统集成环境规划 40\o"CurrentDocument"机房规划要求 40\o"CurrentDocument"供电系统规划要求 41\o"CurrentDocument"机柜规划要求 42\o"CurrentDocument"硬件设备安装要求 45三、 实际案例设计 47\o"CurrentDocument"总体网络拓扑设计 47\o"CurrentDocument"店面远程接入设计 51店面管理系统设计 5356投资预五、 ^蝶系56\o"CurrentDocument"金蝶技术支持与服务体系介绍 56\o"CurrentDocument"售后技术支持与服务的方式 57XXX集团经过多年的经营，公司业务和规模在不断发展，公司管理层和IT部门也认识到通过信息化手段可以更好地支撑公司业务运营、提高企业生产和管理效率。同时随着新建办公大楼、研发大楼和厂房的落成，IT部门也需要对整个集团的信息化和企业IT基础架构进行规划和建设。目前主要分为以下两部分：楼宇智能化规划和建设方案:主要包括视频监控、门禁系统、语音和数据节点规划和布线、CATV、大屏幕电子显示屏、机房建设等。企业IT基础架构规划和解决方案：主要包括企业局域网基础网络拓扑规划和网络设备选型、互联网接入和VPN接入、IT硬件部署和选型、企业IT信息化基础软件系统规划和选型等。本方案主要是针对XXX集团企业IT基础架构进行规划，并提出解决方案和进行投资预算。而关于楼宇智能化规划和建设的方案参见其它相关方案。企业IT基础架构规划方案Kingdee企业IT基础架构规划方案企业门架构下图是一般企业的IT架构情况，本方案主要针对IT基础架构部分进行规划，并提供选型和部署参考，关于企业IT业务应用系统部分的规划和建设请参考其它方案。： 企业IT架构应用系统（ERP系统/企业门户/商业智能）基础软件系统（/数据库/数据仓库/中间件）TT基础架构操作系统（操作系统/虚拟化软件）计算机系统（服务器/磁盘存储系统/桌面PC）应用系统（ERP系统/企业门户/商业智能）基础软件系统（/数据库/数据仓库/中间件）TT基础架构操作系统（操作系统/虚拟化软件）计算机系统（服务器/磁盘存储系统/桌面PC）网络系统（局域网/广域网/互联网/无线网）设备管理网络系统规划当前，企业一般能给信息化方面投入有限。除了人力有限，还缺少专业人才，应用能力、维护能力、开发能力、实施能力等都普遍较弱，这就要求网络架构成熟、稳定安全、高可靠、高可用，尽可能少投入人力和金钱进行维护。其次，由于企业首要解决的是生存问题，根本没办法做到“先信息化，再做业务”，因此网络建设实施要求必须容易，实施时间必须极短。企业的组网方案主要要素包括：局域网、广域网连接、网络管理和安全性。具体来说企业组网

需求:需求:建立安全的网络架构，总部与分支机构的网络连接;安全网络部署，确保企业正常运行；为出差的人员提供IPSec或者SSL的VPN方式；提供智能管理特性，支持浏览器图形管理；网络设计便于升级，有利于投资保护。企业一般的组网结构如下图，大企业网络核心层一般采用冗余节点和冗余线路的拓扑结构，小企业则单线路的连接方式。通过对一般企业的信息化情况和网络规划要素进行分析，从总体上看，规划方案必须具有以下特点：>网络管理简单，采用基于易用的浏览器方式，以直观的图形化界面管理网络。用户可以采用多种的广域网连接方式，从而降低广域网链路费用。无线接入点覆盖范围广、配置灵活，方便移动办公。便捷、简单的统一通信系统，轻松实现交互式工作环境。带宽压缩技术，高级QoS的应用，有效降低广域网链路流量。随着公司业务的发展，所有网络设备均可在升级原有网络后继续使用，有效实现投资保护。系统安全，保密性高，应用了适合企业的低成本网络安全解决方案。2.2.1安全基础网络规划方案根据对XXX集团的实际调研，获取了企业的网络需求，以此来制定企业基础网络建设规划方案和网络设备选型参考；以下提供基础版和企业版两种规划方案1）网络需求：企业规划的网络节点为500个，主要的网络需求首先是资源共享，网络内的各个桌面用户可共享文件服务器/数据库、共享打印机，实现办公自动化系统中的各项功能；其次是通信服务，最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问；还有就是公司门户网站和网络通信系统（企业邮箱、企业即时通信和企业短信平台等）的建立。2）基础版规划方案本方案适用于200〜300台电脑联网，核心采用H3CS5500-28C-SI或S5500-20TP-SI交换机，以千兆双绞线/光纤与接入交换机及服务器连接；用户接入口3cS3100-26TP-SI或S3100-52TP-SI交换机，千兆铜缆/光纤上连核心交换机。Internet出口采用H3CMSR20-1X多业务路由器作为Internet出口路由、SecpathF1000-C或者UTM作为安全网关和移动用户的VPN接入网关。网络拓扑图如下：

Kingdee企业IT基础架构规划方案企业IT基础架构规划方案业务需求设备选型参考配置说明数量部署位置数据核心交换机H3CS5500-28C-SI或H3cS5500-20TP-SI全千兆三层核心1核心机房接入层交换机H3CS3100-26TP-SI或H3cS3100-52TP-SI接入层支持光电复用千兆上行，支持混合堆叠26TP：15台52TP：8台各楼层或机房路由器H3CMSR20-1x路由器转发率160Kpps，256M内存，支持GE/FE交换模块，同异步串口模块，E1/PRI模块，语音模块，加密模块1~2核心机房安全防火墙H3CSecPathF1000-C或H3CSecPathU200支持应用层报文过滤1核心机房VPN支持DVPN互联网接入10M光纤接入电信10M光纤接入配静态IP地址1~2核心机房方案特点：高性价比：能够让中小企业低投资拥有高性能、经济的网络；简易性：结构简单、安装快速、简单，维护无需配置专职人员;

>高性能：最低投资做到千兆骨干、百兆接入；可扩展性：灵活的网络架构，能根据用户需要随时扩展，并保护已有投资。3）高级版规划方案：本方案适用于500~800台电脑联网，三层网络结构，万兆骨干，百兆接入；网络核心层采用H3cS7500交换机，同时配置相应数量的千兆端口分别连接应用服务器、接入交换机及其他设备；网络汇聚层采用H3cS5500-28C-SI，独有智能堆叠系统可实现高密度千兆端口接入，拥有96Gbps的全双工堆叠带宽，消除网络瓶颈，提供优于传统中继聚合配置的更好的可用性和弹性；接入层可选择H3CS3100-26TP-SI或S3100-52TP-SI交换机，千兆铜缆/光纤上连核心交换机，或H3CS5100-16/24/48P-SI全千兆交换机，千兆到桌面。网络拓扑图如下：设备选型和部署参考如下:Kingdee 企业IT基础架构规划方案业务需求设备选型参考配置说明数量部署位置数据核心交换机H3CS7500(E)系列核心支持双引擎双电源，性价比最高1核心机房汇聚层交换机H3CS5500-28C-SI汇聚支持全千兆高速转发，消除网络瓶颈，同时支持万兆扩展3各楼层或机房接入层交换机H3CS3100-26/52TP-SI或H3CS5100-16/24/48P-SI接入层根据不同业务需求提供百兆和千兆接入两种选择52TP：10台各楼层或机房路由器H3CMSR50-06路由器H3C新一代安全路由器1~2核心机房安全防火墙H3CSecPathF1000-C支持应用层报文过滤11VPN支持DVPN互联网接入20M~50M光纤接入电信20M~50M光纤接入配静态IP地址1~2核心机房方案特点：高性能，全分布式交换网络；高可靠，无间断的通信环境；灵活弹性的网络扩展能力；高效率的网络带宽利用率；全面的QOS部署，多业务融合；完善的网络安全策略，实现深度安全检测，抵御未知风险。2.2.2安全无线网络规划方案无线网络的部署，能够增大员工接入网络的范围，提供更大的上网便利性一无论是在办公室、会议室还是在空间复杂的车间，员工都能与网络保持连接，随时随地访问企业资源，而且可以简化场所的网络布线。安全无线网络解决方案不但能提高员工的生产效率和协作能力，也能为合作伙伴/客户提供方便的上网服务。根据企业情况，可以采用FATAP方案：1）无线网络需求：9

能够获得较高的用户接入速率，构建便利的移动办公环境，实现企业的移动网络办公，成本投入不高，适合简单、小规模的无线部署。2）规划方案：采用WA1208E+iMC+CAMS进行组网，配合CAMS实现802.1x的认证，可以实现基于时长、流量和包月的计费；整网通过iMC统一管理。网络拓扑图如下：设备选型和部署参考如下:业务需求设备选型参考配置说明数量部署位置无线无线接入WA1208E双802.1里无线模块8各楼层无线安全H3CCAMS满足用户管理、身份认证、权限控制和计费的要求1核心机房无线管理H3CiMC网管系统支持与HPOpenview、SNMPc等通用网管平台的集成1核心机房10方案特点：全面支持802.11i安全机制、802.11eQoS机制、802.11fL2切换机制;大范围覆盖：高接收灵敏度，达到-97dBm（普通AP-95dBm），保证更远覆盖；多VLAN支持：虚拟AP方式支持多VLAN，最多支持8个虚拟SSID的VLAN划分，每个VLAN用户可以独立认证；兼作网桥使用：WDS模式支持PTP、PTMP工作模式；支持连接速率锁定、传输报文整合，提高传输效率；负载均衡：支持基于用户数的负载均衡、基于流量的负载均衡；针对各类室外、特殊室内应用如仓库等复杂环境，可以提供专门的型号。.2.3广域网互联VPN规划方案伴随企业和公司的不断扩张，公司分支机构及客户群分布日益分散，合作伙伴日益增多，越来越多的现代企业迫切需要利用公共Internet资源来进行促销、销售、售后服务、培训、合作及其它咨询活动，这为VPN的应用奠定了广阔市场。在VPN方式下，VPN客户端和设置在内部网络边界的VPN网关使用隧道协议，利用Internet或公用网络建立一条“隧道”作为传输通道，同时VPN连接采用身份认证和数据加密等技术避免数据在传输过程中受到侦听和篡改，从而保证数据的完整性、机密性和合法性。通过VPN方式，企业可以利用现有的网络资源实现远程用户和分支机构对内部网络资源的访问，不但节省了大量的资金，而且具有很高的安全性。另外，随着企业规模的扩大，分散办公也越来越普遍，如何实现小型分支、出差员工、合作伙伴的远程网络访问也被越来越多的企业关注。从成本、易用性、易管理等多方面综合考虑，SSLVPN无疑是一种最合适的方案：只需要在总部部署一台设备，成本更低，管理维护也很容易；无需安装客户端、无需配置，登陆网页就能使用。1）网络需求1IPSecVPN和SSLVPN各有所长，功能互补，对企业来说都是需要的：IPSecVPN用于总部和中大型分支互连，SSLVPN用于为小型分支、合作伙伴、出差人员提供远程网络访问。但传统方法下，企业总部需要采购两台设备来支持两种VPN，不仅成本更高，而且可能存在VPN策略冲突，导致性能下降、管理困难。11

Kingdee企业IT基础架构规划方案Kingdee企业IT基础架构规划方案2）规划方案融合VPN针对企业的实际需要，一台设备融合IPSec/SSL两种VPN,只需部署在总部，既可以用于为合作伙伴、出差人员提供远程网络访问，也可以和分支机构进行IPSecVPN互连，帮助企业降低采购、部署、维护三方面成本。VPN网关选择方面，H3c的防火墙、路由器都能够实现融合VPN，提供给企业更加灵活的选择。例如，如果企业非常强调网络安全、VPN性能，就选择防火墙；如果企业更注重多业务处理能力，如IP语音通信、3G上网、无线接入等，推荐选择路由器。在总部局域网Internet边界防火墙后面配置一台或两台双机热备的VPN网关，在分支机构Internet边界防火墙后面配置一台VPN网关，由此两端的VPN网关建立IPSecVPN隧道，进行数据封装、加密和传输；另外，通过总部的VPN网关提供SSLVPN接入业务；在总部局域网数据中心部署H3CVPNManager组件，实现对VPN网关的部署管理和监控；在总部局域网内部或Internet边界部署H3cBIMS系统，实现对分支机构VPN网关设备的自动配置和策略部署。如下图：业离军瞬电毙ME帘仙再冽4SAJ5由辨4星外主节后VFNManagerRIMS中里方女茄直中壁牙叁心森环中办生小道方受节疝业离军瞬电毙ME帘仙再冽4SAJ5由辨4星外主节后VFNManagerRIMS中里方女茄直中壁牙叁心森环中办生小道方受节疝干判解地圈是“百拈VPN西美lnt«rnet设备选型和部署参考如下:业务需求设备选型参考配置说明数量部署位置网络互连VPN网关H3CSecPathF1000VPN网关总部和大型机构配置F1000型号总部1台分支机构按核心机房12Kingde企 企业IT基础架构规划方案H3CSecPathF100VPN网关或H3CMSR50路由器H3CMSR20-1X路由器中小型机构配置F100型号需求配置网络管理H3CVPNManagerH3CBIMS帮助用户部署、管理VPN网络1核心机房如果省内分支机构较多、较分散，但对速率要求不高的连锁型单位，也可以选用电信或ISP商的VPDN服务；如果多个分支机构间有多点对多点通信需求的企业、商业机构，也可以直接选用电信或ISP商的MPLSVPN服务。.2.4网络性能指标要求类型带宽要求线路质量要求局域网客户端到服务器：10Mb以上，推荐100Mb各服务器之间：200M以上，推荐1000Mb丢包率小于0.1%延迟小于20ms广域网分支机构带宽：每客户端128Kb总部出口带宽：（最大并发数/3）X128Kb总部服务器之间：200M以上，推荐1000Mb丢包率小于2%延迟小于50ms.2.5网络安全规划网络安全是整个系统安全运行的基础，是保证系统安全运行的关键。网络系统的安全需求包括以下几个方面：网络边界安全需求入侵监测与实时监控需求安全事件的响应和处理需求分析这些需求在各个应用系统上的不同组合就要求把网络分成不同的安全层次。我们针对企业网络层的安全策略采用硬件保护与软件保护，静态防护与动态防护相结合，由外13向内多级防护的总体策略。根据安全需求和应用系统的目的，整个网络可划分为六个不同的安全层次。具体是：＞核心层：核心数据库；＞安全层：应用信息系统中间件服务器等应用；＞基本安全层：内部局域网用户；＞可信任层：公司本部与营业部网络访问接口；＞危险层：Interneto信息系统各安全域中的安全需求和安全级别不同，网络层的安全主要是在各安全区域间建立有效的安全控制措施，使网间的访问具有可控性。具体的安全策略如下：核心数据库采用物理隔离策略应用系统采用分层架构方式，客户端只需要访问中间件服务器即可进行日常业务处理，从物理上不能直接访问数据库服务器，保障了核心层数据的高度安全。应用系统中间件服务器采取综合安全策略：应用系统中间件的安全隐患主要来自局域网内部，为了保障应用系统中间件服务的安全，在局域网中可通过划分虚拟子网对各安全区域、用户和安全域间实施安全隔离，提供子网间的访问控制能力。同时，中间件服务器本身可以通过配置相应的安全策略，限定经过授权的工作站、用户方能访问系统服务，保障了中间件服务器的安全性；内部局域网采取信息安全策略：公司本部及营业部内部局域网处于基本安全层的网络，主要是对于安全防护能力较弱的终端用户在使用，因此考虑的重点在于两个方面，一个是客户端的病毒防护，另一个是防止内部敏感信息的对外泄露。因此，通过选用网络杀毒软件达到内部局域网的病毒防护，同时，使用专用网络安全设备（如硬件防火墙）建立起有效的安全防护，通过访问控制ACL等安全策略的配置，有效地控制内部终端用户和外部网络的信息交换，实现内部局域网的信息安全。公司本部与下属机构之间网络接口采取通讯安全策略：处于可信任层的网络，其安全主要考虑各下属单位上传的业务数据的保密安全，因此，可采用数据层加密方式，通过硬件防火墙提供的VPN隧道进行加密，实现关键敏感性信息在广域网通信信道上的安全传输。Internet采取通讯加密策略：Internet属于非安全层和危险层，由于Internet存在着大量的恶意攻击，因此考虑的重点是要避14免涉密信息在该层次中的流动。通过硬件防火墙提供专业的网络防护能力，并对所有访问请求进行严格控制，对所有的数据通讯进行加密后传输。同时，建议设置严格的机房管理制度，严禁非授权的人员进入机房，也能够进一步提升整个网络系统的安全。1）广域网安全规划企业广域网安全，主要是通过防火墙和VPN等设备或技术来保障。防火墙对流经它的网络通信进行扫描，能够过滤掉一些攻击，防火墙还可以关闭不使用的端口，防火墙具有很好的保护作用，入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机，所以出于安全考虑，企业必须购置防火墙以保证其服务器安全，将应用系统服务器放置在防火墙内部专门区域。一般硬件防火墙比软件防火墙的性能更好，建议选择企业级的硬件防火墙，硬件防火墙市场知名度高的品牌有CISCO、CheckPoint、Juniper、H3C、天融信、华为赛门铁克、联想网御等，用户应根据应用情况选择合适的防火墙。VPN即虚拟专用网（VirtualPrivateNetworks）提供了一种通过公共非安全介质（如Internet）建立安全专用连接的技术。使用VPN技术，甚至机密信息都可以通过公共非安全的介质进行安全传送。VPN技术的发展与成熟，可为企业的商业运作提供一个无处不在的、可靠的、安全的数据传输网络。VPN通过安全隧道建立一个安全的连接通道，将分支机构、远程用户、合作伙伴等和企业网络互联，形成一个扩展的企业网络。VPN基本特征：使企业享受到在专用网中可获得的相同安全性、可靠性和可管理性。网络架构弹性大一一无缝地将Intranet延伸到远端办事处、移动用户和远程工作者。可以通过Extranet连接企业合作伙伴、供应商和主要客户（建立绿色信息通道）以提高客户满意度、降低经营成本。15VPN实现方式：硬件设备：带VPN功能模块的路由器、防火墙、专用VPN硬件设备等，如Cisco、H3C、深信服、天融信等。软件实现：Windows自带PPTP或L2TP、第三方软件（如Checkpoint、深信服等）。服务提供商（ISP）：中国电信、联通、网通等。目前一些ISP推出了MPLSVPN，线路质量更有保证，推荐使用。2）内网安全规划企业内网安全系统包括防病毒系统、内网安全管理系统，上网行为管理系统等。防病毒系统可以采用网络版防病毒系统或防毒墙等产品（比如金山、瑞星、卡巴斯基等解决方案）。内网安全系统和上网行为管理系统可以选择深信服、任子行、IP-guard等解决方案，企业可以通过部署内网安全系统实现研发网和商业信息的信息安全防范工作。对于研发网的信息安全、数据集中存储和计算资源的统一协调配置，可以通过部署企业桌面虚拟化解决方案来实现。16企业IT基础架构规划方案Kingdee企业IT基础架构规划方案2.3计算机系统规划服务器硬件选型规划方案根据对XXX集团的实际调研，获取了企业业务应用系统的建设情况，随着企业信息化建设的推进，需要对各种信息化管理系统和应用系统的服务器选型进行选型规划，根据不同的系统对服务器硬件的性能指标要求不同，比如企业网站服务器、邮件服务器、域控制服务器、文件和打印服务器、业务系统服务器等，通过结合系统在线用户数、业务请求数和业务产生的事物数等参数来计算tpmC值，从而估算出服务器硬件的性能要求。tpmC定义为TPC-C的吞吐量（TPC-CThroughput），按有效TPC-C配置期间每分钟处理的平均交易次数测量。TPC-C是一种旨在衡量联机事务处理（OLTP）系统性能与可伸缩性的行业标准基准测试项目。这种基准测试项目将对包括查询、更新及队列式小批量事务在内的广泛数据库功能进行测试。许多IT专业人员将TPC-C视为衡量“真实”OLTP系统性能的有效指示器。1）对于最大并发用户数（一般认为最大并发用户数=预估用户规模*15%）在80以下的系统，推荐使用以下两种配置的服务器：IBMX系列的服务器；HPProliant系列服务器。2）对于最大并发用户数在80以上的系统，推荐使用以下两种配置的服务器：IBMPower系列的服务器；IBMBLADE系列刀片服务器。设备选型和部署参考如下:类型设备选型参考配置说明数量部署说明域服务器IBMX3650M3双4核CPU/8G内存/300G硬盘Raid01~2可配置成主备域服务器邮件服务器IBMX3650M3双4核CPU/16G内存/2T硬盘Raid51~3可以根据负载情况进行集中部署或分布式部署打印/文件服务器IBMX3650M3双4核CPU/8G内存1可连接NAS或SAN17企业IT基础架构规划方案/2T硬盘Raid5存储网站服务器IBMX3650M3双4核CPU/16G内存/600G硬盘Raid51~2可以部署为双机热备小型应用系统服务器IBMX3650M3IBMX3850X5IBMX3690X5根据应用情况配置可以部署为双机热备小型应用系统服务器IBMPower系列服务器根据应用情况配置可以部署为集群模式磁盘存储系统选型规划方案磁盘阵列已经成为企业信息系统不可缺少的基础组成部分，当前的主流厂商有EMC、IBM、HDS、HP等。RAID是英文RedundantArrayofInexpensiveDisks的缩写，中文译作廉价冗余磁盘阵列，简称磁盘阵列。简单地说，磁盘阵列是一种把多块独立的硬盘（物理硬盘）按不同方式组合起来形成一个硬盘组（逻辑硬盘），从而提供比单个硬盘更高的存储性能和提供数据冗余的技术。在这一组硬盘中，数据按照不同的算法分别存储于每块硬盘上从而达到不同的效果，这样就形成了不同的RAID级别（RAIDLEVEL）。按照RAID级别划分，常见的有RAID0，RAID1，RAID3，RAID5，RAID10，RAID50等，以及硬件厂商自己定义的RAID。客户可以根据实际情况选择RAID级别，RAID10和RAID5比较常见，采用RAID10，可以获得较好的磁盘IO性能和可靠性。使用磁盘阵列的好处：提高数据的安全性；提高数据存取的速度，提升EAS性能；提供超大的存储容量。针对应用系统而言，并发数低于100时可以采用服务器内置RAID卡，连接三块以上的硬盘，配置成RAID-5模式；并发数超过100个用户就应该考虑独立的硬件磁盘阵列；超过200个并发用户数规模时，建议采用光纤通道磁盘阵列技术，如果有多台服务器（如集群配置）时，建议使用光纤通道存储局域网（SAN）技术来实现高性能的共享存储系统。18以下是一般集团ERP系统对磁盘阵列的指标要求:应用规模IOPS最大带宽磁盘配置选型参考并发数小于400至少12万至少335MB/s容量至少500GIBMDS5020/DS5100并发数大于400至少20万至少1500MB/s容量至少1TIBMDS5300磁盘存储性能是是选型的重要原则之一，存储的性能应能够满足应用系统峰值的需求，并有进一步扩展的空间，包括容量和性能的扩展。从计算机的发展历史来看，计算机的芯片发展速度按照摩尔定律，已经提高了成千上万倍，而计算机I/O速度，即磁盘系统接口速度，则从SCSI的每秒5MB到目前业界最快的FC-2协议每秒200MB，只提高了四十倍。因此选择性能最佳的磁盘系统，可以有效地提高计算机系统的I/O性能，从而提高计算机的整体性能。扩展性由于企业数据的增长已经呈几何级数的增长，企业每年数据成倍地增长早已经不是新闻了。为了保证磁盘系统的增长满足企业今后发展的需要，对磁盘系统的扩展性应从以下几个方面进行准备：磁盘系统的容量扩展性。磁盘系统本身设计会有一定的局限，其容量最大可扩展能力是否满足企业今后数据发展的需要，是选择磁盘系统时应当考虑的一个方面。磁盘系统的扩展兼容性。由于磁盘系统的发展也是日新月异，用户在存储扩容时还要考虑新磁盘系统与旧设备之间的兼容性，即产品系列有连续性。可靠性数据是企业最重要的资产，数据的可靠性很大程度上依靠存储设备，主要是磁盘系统的可靠性。因此，作为磁盘系统的选择，可靠性永远是用户的第一考虑。虽然所有的磁盘厂商都声称自己的磁盘系统是可靠的，但是还是可以下几点来进行考察：冗余电源和风扇。由于硬件失效的大部分原因是由于电源问题，因此，采用冗余电源设计可以有效地防止这一故障的出现；风扇（或者冷却系统）则是在机房环境温度过高时保护磁盘系统的一种手段，采用冗余风扇设计，必要时可以加大冷却效果，保护磁盘系统的正常工作。写缓存的数据保护。由于在磁盘系统的设计中越来越多地采用了控制器（卡）缓存的设计，而读写缓存可以提高读写数据的速度（由于写磁盘是机械动作，通常为秒级；而写缓存是电子动作，通常为纳秒级）。但是，由于有了缓存设计，主机（服务器）写数据时，只要将数据写入磁盘系统的写缓19存内，主机就认为写操作结束，如果此时写缓存发生故障（掉电、硬件故障、人为故障等），数据因为没有写入物理磁盘而导致数据丢失。为防止这种情况的出现，通常应当在写缓存采用NVS（非掉电式存储缓存，即有单独电池保护的缓存，电池通常可以保护数据在缓存中几天不丢失）以防止电源失效；另外，对写缓存还应采用诸如镜像等的保护措施，以防止写缓存的故障。RAID数据保护。采用RAID方式对数据进行保护，是提高数据可靠性最常用的方法。RAID方式有许多种，其编号只是代表某一种保护方式而已，并不是数字越大或者越小越好。应当说明的是，RAID0不具有数据保护功能，它只是将数据打散分布在不同的磁盘。至于采用何种RAID形式，则应于客户的数据重要程度、性能的要求，以及经费情况等总体考虑。只有支持多种RAID形式，并且支持不同RAID组的混合才能够满足用户对于不同分区的要求。总线（包括内部总线和外部总线）。外部总线通常会配置为冗余配置，一方面可以提高可靠性；另一方面，还可以提高性能。外部总线一般可以根据用户的需要进行选配。而内部总线通常是磁盘阵列已经设计好，用户无法选择配置。而内部总线的单点故障常常会被许多用户所忽略，由于SCSI总线是单向单I/O,如果总线发生故障，则导致数据无法访问。因此，选择没有单点故障的内部总线设计，这是用户需要注意的一点。功能随着计算机的发展，服务器集中、存储集中的思想越来越受到关注。为了实现存储集中，存储区域网乃至灾难备份等要求，需要磁盘系统不仅仅是简单的磁盘阵列，而是具有一定功能，如：远程数据自动拷贝、快速磁盘镜像、多重镜像等功能的存储服务器，来满足用户不断提高的需求。厂商的售后服务数据是企业最重要的资产，数据的可靠性很大程度上依靠存储设备，主要是磁盘系统的可靠性。存储设备安全性至关重要，厂商的服务与技术支持能力十分重要。目前，业界普遍采用存储区域网（SAN）的方案，主服务器通过以太网连接到以太网上，每台服务器同时另外配置两块光纤通道卡，每块光纤通道卡分别连接到两台光纤交换机上。IBM的光纤交换机作为SAN的核心部件，也采用双配置，作为高可靠的冗余配置。磁盘阵列采用双光纤通道与光纤交换机分别相连。这样，任一台服务器、服务器上的通道卡、交换机出现故障，都不会影响对存储设备的访问。20企 企业IT基础架构规划方案2.4IT基础软件和系统规划操作系统选型规划方案根据对XXX集团的实际调研，获取了企业业务应用系统的建设情况，随着企业信息化建设的推进，需要对各种信息化管理系统和应用系统的服务器选型进行选型规划，根据不同的系统对服务XXX集团信息化应用目标是：搭建集成、统一平台，规避流程、规避风险，实现高效协作，有效支撑决策、实现多维度矩阵管控、实现无边界的信息应用。操作系统选型参考和说明：类型操作系统选型参考选型说明域服务器/邮件服务器等企业IT管理系统WindowsServer系列操作系统建议选用最新版WindowsServer2008R2，Windows管理和使用方便，管理功能丰富中小型业务应用系统和数据库系统RedHatLinux系列操作系统建议选用RedHatLinux企业高级平台版，Linux操作系统可靠性和安全性相对较高大型业务应用系统和数据库系统IBMUnix系列操作系统IBMUnix可靠性、安全性和性能是目前企业级服务器操作系统最高的。虚拟化规划方案目前虚拟化技术主要包括服务器虚拟化、桌面虚拟化和应用虚拟化等技术。服务器虚拟化技术让一台物理服务器可以同时支持多个运行虚拟机的工作负载。管理员可利用虚拟机将工作负载（包括一个操作系统、应用组和配置）从物理计算平台中分离出去，这样就可以实现一些重要功能，如隔离（在一个计算平台上安全地运行多个工作负载）和工作负载可移植性（在不同的物理计算平台之间迁移工作负载）。采用更先进的服务器虚拟化平台，就可跨物理服务器快21企业IT基础架构规划方案Kingdee企业IT基础架构规划方案速迁移正在运行的工作负载。这样一来，就可在整个物理计算资源池中迁移工作负载，让IT部门可以最大限度地使用可用的计算资源，降低成本，并将应用有效、可靠地交付给用户。桌面虚拟化方案提供一种端到端的桌面管理解决方案。可动态按需产生虚拟桌面，该桌面所有的运行都发生在远程数据中心的机房里,不用再担心数据驻留在客户端导致的安全漏洞。用户每次登录时都能获得一个干净的、个性化的全新桌面—一从而确保性能不会下降。虚拟桌面是一个桌面的操作系统，是运行在服务器上的虚拟操作系统。在虚拟桌面模式下，每个人独享自己的操作系统。将桌面操作系统虚拟化带来很多好处，包括：信息保存在数据中心保证了数据的安全性；桌面的性能能够得到提升，因为它和应用后端的服务器都运行在数据中心；桌面可以分享最新最强大的服务器硬件；可以从任何地点远程访问桌面；维护桌面的费用大大降低。应用虚拟化技术是一种可将应用与底层系统隔离的技术。采用应用虚拟化技术，应用可直接在用户桌面系统上隔离运行或通过在用户桌面上显示应用界面而在服务器上远程运行，而不管用户采用的是哪种底层平台或操作系统。目前主流的虚拟化解决方案厂商有IBM、VmWare、微软、Citrix等，选型时主要考虑产品的可靠性、性能指标、功能性和兼容性等。IBM和VmWare在服务器虚拟化方面比较知名，而Citrix在桌面虚拟化和应用虚拟化（远程接入）方面的解决方案相对其他厂商比较成熟。2.4.3数据库选型规划方案数据库作为企业IT集成架构的重要组成部分，在数据库的选择上通过开放性、可伸缩怀和并行性、安全认证、性能、操作简易程度以及使用风险来选择数据库。、开放性SQLServer只能在windows上运行，没有丝毫的开放性，操作系统的系统的稳定对数据库是十分重要的。Windows9X系列产品是偏重于桌面应用，NTserver只适合中小型企业。而且windows平台的可靠性，安全性和伸缩性是非常有限的。它不像Unix那样久经考验，尤其是在处理大数据库。22企业IT基础架构规划方案Kingdee企业IT基础架构规划方案Oracle能在所有主流平台上运行（包括windows）。完全支持所有的工业标准。采用完全开放策略。可以使客户选择最适合的解决方案。对开发商全力支持。SybaseASE能在所有主流平台上运行（包括windows）。但由于早期Sybase与OS集成度不高，因此VERSION11.9.2以下版本需要较多OS和DB级补丁。在多平台的混合环境中，会有一定问题。DB2能在所有主流平台上运行（包括windows）。最适于海量数据。DB2在企业级的应用最为广泛二、可伸缩性，并行性SQLserver并行实施和共存模型并不成熟，很难处理日益增多的用户数和数据卷，伸缩性有限。Oracle并行服务器通过使一组结点共享同一簇中的工作来扩展window的能力，提供高可用性和高伸缩性的簇的解决方案。如果windows不能满足需要，用户可以把数据库移植到Unix/Linux中。Oracle的并行服务器对各种Unix/Linux平台的集群机制都有着相当高的集成度。SybaseASE虽然有DBSWITCH来支持其并行服务器，但DBSWITCH在技术层面还未成熟，且只支持版本12.5以上的ASESERVERoDBSWITCH技术需要一台服务器充当SWITCH，从而在硬件上带来一些麻烦。DB2具有很好的并行性。DB2把数据库管理扩充到了并行的、多节点的环境。数据库分区是数据库的一部分，包含自己的数据、索引、配置文件、和事务日志。数据库分区有时被称为节点安全性。三、安全认证SQLserver没有获得任何安全证书。OracleServer获得最高认证级别的ISO标准认证。SybaseASE23获得最高认证级别的ISO标准认证。DB2获得最高认证级别的ISO标准认证。四、性能SQLServer多用户时性能不佳Oracle性能最高，保持开放平台下的TPC-D和TPC-C的世界记录。SybaseASE性能接近于SQLServer，但在UNIX平台下的并发性要优与SQLServer。DB2性能较高适用于数据仓库和在线事物处理。五、客户端支持及应用模式SQLServerC/S结构，只支持windows客户，可以用ADO、DAO、OLEDB、ODBC连接。Oracle多层次网络计算，支持多种工业标准，可以用ODBC、JDBC、OCI等网络客户连接。SybaseASEC/S结构，可以用ODBC、Jconnect、Ct-library等网络客户连接。DB2跨平台，多层结构，支持ODBC、JDBC等客户。六、操作简便SQLServer操作简单，但只有图形界面。Oracle较复杂，同时提供GUI和命令行，在Windows和Unix/Linux下操作相同。SybaseASE24较复杂，同时提供GUI和命令行。但GUI较差，常常无法及时状态，建议使用命令行。DB2操作简单，同时提供GUI和命令行，在windows和unix下操作相同。七、使用风险SQLserver完全重写的代码，经历了长期的测试，不断延迟，许多功能需要时间来证明。并不十分兼容。Oracle长时间的开发经验，完全向下兼容。得到广泛的应用。完全没有风险。SybaseASE向下兼容，但是ct-library程序不益移植。DB2在巨型企业得到广泛的应用，向下兼容性好。风险小。综合以上分析，企业业务应用系统数据库建议采用最新版Oracle11G数据库。2.4.4数据安全和备份规划数据安全主要包含两部分，一是数据本身的安全，主要是指采用现代密码算法对数据进行主动保护，如数据保密、数据完整性、双向强身份认证等，二是数据防护的安全，主要是采用现代信息存储手段对数据进行主动防护，如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全。）数据安全认证规划企业对应用系统数据安全认证需求主要有以下几方面：身份认证和访问控制：身份认证分为两个方面，一方面是对应用系统站点的认证，确保用户访问的是真实的应用服务器；另一方面是对应用系统客户端的身份证，必须严格控制并识别应用系统用户的身份，登录到业务网络系统的人必须是相关业务人员，凡非相关人员，系统拒绝其访问；机密性：在应用系统客户端与服务器端交换的信息必须是经过加密后才传输的，不能被窃取；数据完整性：在应用系统传输的数据必须有必要的完整性校验机制，不能被恶意窜改；比25如不能将原本为10万元的支付数据篡改成1万元或100万元再对外支付；不可抵赖性：必须确保支付或其它在应用系统提交的请求是不允许抵赖的，同时必须有相应的技术保证数据的源发性，出现越轨操作，系统能提供事后追踪、审核及统计的手段。针对以上的数据安全认证需求，推荐基于智能钥匙认证（PKI技术）的解决方案，金蝶合作伙伴天威诚信的产品和服务都是基于PKI技术构建，天威诚信安全认证及数字签名综合解决方案可以解决以下四个方面的安全问题：数字签名对关键业务数据进行签名，保证机密性、完整性和不可抵赖性；安全访问用于登录应用系统，替换掉原有安全级别较低的“用户名/口令”方式，防止非授权用户的恶意攻击，同时不能破坏应用系统原有的权限管理机制。安全访问就是让企业的员工能方便的在任何地方通过互联网安全地访问企业的内部网和内部机密数据；信息加密通过高强度的加密算法形成安全的SSL加密通道，使在网络上传输的敏感信息不能被第三方窃取；>技术和法律层面的双重保障抗抵赖性天威诚信数字证书实现的数字签名技术可以通过目前最安全的PKI技术上实现抗抵赖的功能。但是，在现时生活中，真正能够裁决是否发生了抵赖行为，只有法院的仲裁才能够最终定性。在2005年中华人民共和国《电子签名法》颁布以后，法律上规定：只有得到信息产业部颁发的《电子认证服务许可证》的数字认证机构，其所颁发的数字证书在电子商务中的数字签名才能够得到法律的认可和保护。天威诚信率先从信息产业部获得该资质，因此，应用系统用户使用天威诚信提供的数字证书实现的电子签名是合乎法律要求的抗抵赖证据，从而使应用系统的电子化签名和手写签名一样得到法律的认可，可以作为法律上有效的证据，结束了电子化信息系统重要数据的“无据可依”，“无法可依”的现状。因此，通过此方式，用户能够实现技术和法律层面的双重保障。2）数据存储安全数据存储的安全是指数据库在系统运行之外的可读性，企业对应用系统数据存储安全的需求主要有以下几方面：26

>诸如、格翰姆―布莱利法和巴塞尔协议II等法规要求企业内部要有强健的内部控制和职责分离；针对当今非常关心的内部威胁要求强制执行操作安全策略一一规范何人、何时、何地能够处理数据；数据库整合策略要求防止数据库管理员访问应用程序的数据。针对以上的数据存储安全需求，推荐OracleDatabaseVault解决方案，解决方案的要点如下：对授权用户的控制限制数据库管理员访问应用程序的数据提供职责分离的功能保证数据库和信息整合的安全性执行数据访问的安全策略控制何人、何时、何地以及如何访问数据可根据IP地址、时间或授权等情况作出访问决定已通过针对PeopleSoft的认证IjJfiiiSQLTIus的访问IjJfiiiSQLTIus的访问数据库管理员授权的应用程序 屈用程序用户■所有者■ FDataVault安全性保护数据库和应用程序273）数据备份规划一个完整的数据备份和灾难恢复方案，应包括备份硬件，备份软件，备份计划和灾难恢复计划四个部分。备份硬件目前比较流行的解决方法包括硬盘介质存储，光学介质和磁带/磁带机存储技术。硬盘存储费用比较高，光学介质的访问速度慢，且容量较小。通常情况下，大容量网络备份用户主要使用磁带设备进行备份。磁带备份具有如下优势：容量大并可灵活配置，速度适中，介质保存周期长，成本低，数据安全性高，可实现无人操作的自动备份等。备份软件目前主流的备份软件有，IBM的Tivoli（TSM），HP的OpenView，Veritas公司的NetBackup，Legato公司的NetWorker，CA的ARCserve等。客户可以根据实际情况选择合适的备份软件。备份计划/策略从备份策略来讲，现在的备份可分为三种：完全备份、增量备份、差异备份、累加备份策略。下面来讨论以下这几种备份方式：完全备份就是拷贝指定计算机或文件系统上的所有文件，而不管它是否被改变。增量备份就是只备份在上一次备份后增加、改动的部分数据。增量备份可分为多级，每一次增量都源自上一次备份后的改动部分。差异备份就是只备份在上一次完全备份后有变化的部分数据。如果只存在两次备份，则增量备份和差异备份内容一样。累加备份采用数据库的管理方式，记录累积每个时间点的变化，并把变化后的值备份到相应的数组中，这种备份方式可恢复到指定的时间点。一般在使用过程中，这几种策略常结合使用，常用的方法有：完全备份、完全备份加增量备份、完全备份加差异备份、完全备份加累加备份。用户根据自身业务和灾难恢复的要求，选择备份策略。原则上建议至少每周对关键数据做一次完全备份，一周其它时间每天做增量备份或差异备份，备份每天数据。如果数据丢失，可以恢复到前一天的数据状态，否则有丢失数据的危险。灾难恢复灾难恢复在整个备份中占有重要地位。因为它关系到系统、软件与数据在经历灾难后能否快速、28准确地恢复。全盘恢复一般应用在服务器发生意外灾难，导致数据全部丢失，也称为系统恢复。有些厂商还推出了拥有单键恢复功能的磁带机，只需用系统盘引导机器启动，将磁带插入磁带机，按动一个键即可恢复整个系统。为了应用系统的数据安全，建议购买专业的备份软件和硬件，并要求客户必须对每天的应用系统数据进行备份。2.4.5统一身份安全认证规划随着企业的迅速发展，各种应用系统和用户数量的不断增加，信息安全问题愈见突出，原有分散在各应用系统中的账号、权限、认证、审计方面的安全措施已不能满足企业目前及未来业务系统发展的要求。如下图所示，主要问题表现在以下方面：最终用户：需要记忆各系统的访问账号和口令;在各系统间切换时需要再次输入用户名和口令。给用户的工作带来不便，影响了工作效率；管理员：各系统的账号需要单独维护，工作量大，维护麻烦，工作效率不高，而且容易出错，导致用户无法正常访问或出现后门账号导致安全问题；不便于统一安全策略的实施；审计员：各系统独立维护，不便于做关联分析，不便于及时发现安全问题；最终用户 管理员 审计员根据现状分析，一方面增加了各个应用系统的维护和管理人员的工作负担，工作效率不高；另一方面无法对各业务系统实施统一的安全策略，增大了安全漏洞存在的几率，降低了业务系统的安全性。统一身份安全认证平台通过对账号、授权、认证和审计的集中管理，达到对安全运维过程进29行集中统一的控制，使操作行为和维护行为可以审计。如下图所示，主要达成了如下目标:将各应用系统中的账号进行统一管理和控制；提供统一的安全访问入口，实现系统间单点登陆；实施统一的安全策略，进行集中控制和管理，可对接第三方认证组件；对关键数据和操作行为进行统一管理和审计，及时发现安全隐患。最终用户管理员审计员最终用户管理员审计员针对企业对各信息系统实现统一身份安全认证的需求，推荐采用基于金蝶BOS或金蝶中间件的统一身份安全认证解决方案。统一身份安全认证解决方案主要实现以下几点：1）建设企业门户Portal，主要实现各信息系统相关数据的整合展示和企业用户统一登录入口。Portal即企业门户，是一个基于web的应用程序，它主要提供个性化、单点登录、不同来源的内容整合以及存放信息系统的表示层。Portal是组织的信息、应用、服务的统一访问平台，它为员工、客户、合作伙伴提供个性化、集成化的信息访问服务。同时，对于组织的IT架构，Portal是一个标准的、可扩展的Web应用基础框架，它提供面向服务的界面开发思想及标准化、可重用的界面开发方法，是组织应用的快速接入平台，也是完整SOA支持平台不可或缺的重要构件。金蝶BOSPortal提供了一个全面的平台,用于创建包括组织内部门户、移动门户。BOSPortal建立于业界领先的金蝶BusinessOperatingSystem（简称BOS）平台上，继承了金蝶BOS优秀的跨30

企业IT企业IT基础架构规划方案平台技术体系，向下支持Apusic、WebLogic和WebSphere等多种应用服务器，Oracle、DB2和SqlServer等多种数据库。BOSPortal简化用户对应用的访问，提高用户对信息的使用效率，改善用户的使用体验；并为组织提供一个标准的、可扩展的应用接入平台，帮助组织快速构建应用，以提升组织的IT应变能力，快速适应组织业务和战略需求。简言之，就是要使信息、应用的访问和构建都更简单、高效、轻松、愉悦。集成服务展示引擎基础服务协同应用短信商业分析HR应用整合里务色彩方案WEB设计工具Portlet管理页签管理管理门户角色门户移动门户供应商门户即时梢息开发服务管理服务内容管理门户管理集成服务展示引擎基础服务协同应用短信商业分析HR应用整合里务色彩方案WEB设计工具Portlet管理页签管理管理门户角色门户移动门户供应商门户即时梢息开发服务管理服务内容管理门户管理EASPortalServer企业领搜索引擎单点登录BOSPortal架构图BOSPortal完全遵循/支持JAAS、LDAP等国际标准和规范，具有良好的扩展性和延续性，同时，也让产品与其他系统的交互更加简便，尤其有利于跨组织的业务协同和信息集成。2）实现企业各信息系统的单点登录。SSO即所谓单点登录，用户在一处登录后访问其他相互信任的应用系统时不需要再次输入用户名和口令，即可完成身份验证。金蝶BOSPortalSSO是基于CASSSO的扩展，继承YCASSSO的所有特性和优点，如N层资源保护、支持多种资源保护。31

KmgdeeI/用厂凭证远程校曲企业IT基础架构规划方案.4委行第二方 >第三方认证庄户数据

同步和映射12重定.：,3.到聋口KBOS认记'IKmgdeeI/用厂凭证远程校曲企业IT基础架构规划方案.4委行第二方 >第三方认证庄户数据

同步和映射12重定.：,3.到聋口KBOS认记'I访向BCSPortaBOSPorta和应用八BOSPORTALSSO认证体系结构在用户数据存储上，BOSPortal支持LDAP（轻量级目录访问协议）和关系型数据库两种存储方式，集中存放、管理和获取用户身份基础数据信息。BOSPORTAL缺省提供用户数据导入导出管理工具，可以通过后台事务自动定期从DirectoryServer/DB单行同步到BOSPORTAL，或者通过界面导入导出手工实现同步。BOSPORTAL充分考虑到各个组织对安全性及认证灵活性上的要求提供了多种单点登录认证方案,包括如下认证方案：传统用户认证方案域认证方案微软域认证方案LTPA认证方案CAS集成方案委托第三方系统认证3）实现企业各信息系统用户的安全认证。32

Kingdee安全认证是指信息系统的用户在进入系统或访问系统资源时，系统确认该用户的身份是否真实、合法和唯一的过程。企业ITKingdee安全认证是指信息系统的用户在进入系统或访问系统资源时，系统确认该用户的身份是否真实、合法和唯一的过程。企业IT基础架构规划方案目前，安全认证的方法和形式多种多样，通常在实际应用中常用的安全认证的方式主要有口令密码、动态密码卡、智能钥匙、指纹、数字证书、条码卡等。而且，很多系统为了提高安全性，其采用的安全认证方式是上述多种方法的组合，以下主要推荐动态密码卡安全认证解决方案。日常的工作中越来越依靠各种软件系统，内部系统的登录主要依靠静态密码，由于静态密码基本上固定不变，存在着如下的安全隐患：（1）用户在输入密码时容易被人偷看或者摄像机记录；（2）用户的密码容易在传输的过程中被软件截取；（3）用户的密码一般有一定的规律性，容易被猜测；（4）用户的密码长期不变，容易泄漏；（5）病毒，木马程序的恶意盗取；（6）内部的防范意识不强，内部员工的恶意操作；（7）因为工作需要，告诉同事密码，事后忘记修改。虽然在一个单位内部的系统相对比较安全，但一旦密码被盗，特别是一些重要的用户密码被盗，如单位的领导，财务等，那么造成的损失将是巨大的，这样的情况并不少见。使用动态密码的投入不大，可以有效的防范因为静态密码泄漏造成的风险，保证系统的安全。认证流程如下图所示。3333认证流程图4）实现移动门户。随着手机等移动终端设备的普及应用，越来越多的日常事务要求直接通过手机等移动终端完成，在这种应用趋势下，移动门户诞生。用户可以通过移动终端设备登录Portal，处理待处理审批流程。2.4.6企业计算机和用户管理方案企业计算机和用户管理，采用WindowsServer2008的ActiveDirectory活动目录方案是最佳选择，ActiveDirectory提供了一种方式，用于管理组成组织网络的标识和关系。ActiveDirectory与WindowsServer2008R2的集成，为我们带来了开箱即用的功能，通过这些功能我们可以集中配置和管理系统、用户和应用程序设置。ActiveDirectory域服务（ADDS，ActiveDirectoryDomainServices）存储目录数据，管理用户和域之间的通信，包括用户登录过程、身份验证，以及目录搜索。此外还集成其它角色，为我们带来了标识和访问控制特性和技术，这些特性提供了一种集中管理身份信息的方式，以及只允许合法用户访问设备、程序和数据的技术。活动目录是Windows网络体系结构中一个基本且不可分割的部分，它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。总的来说，活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中，同时，无需管理员来维护各种不同的专用目录。活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时，它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值，同时，降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软34件的中心。WindowsClients—■Mgmrtprofile■Networkinfo■Policy* ■Accountinfo■Priuleges■Profile,Policy啊ndnws"ru日「事iMhdcwBWindowsUsers■Printers■Fileshares■PolicyOtherNOS■Umwrregistry件的中心。WindowsClients—■Mgmrtprofile■Networkinfo■Policy* ■Accountinfo■Priuleges■Profile,Policy啊ndnws"ru日「事iMhdcwBWindowsUsers■Printers■Fileshares■PolicyOtherNOS■Umwrregistry■Security■PolityE-MailServers■Mailboxinfo■Addressbook制ActiveDirectoryAFocalPointror:■Manageability■Securit/.InteroperabilitvFi「cwYISEruiccw■VPNpolicy■Configuration■SecurityPolicy■■..InternetNetworkDeul收w-Configurartion-QnSpolicy■SecuritypelityRpclicartimm■Serverconfig■SingleSign-On■App-specificdirectoryinfo■PolicyOther□ircctoriE3■Whitepages■E-Corimerce通过上图，可见Windows2008Server的核心是一组基于ActiveDirectory（目录服务，简称企业IT基础架构规划方案Kingdee企业IT基础架构规划方案“AD”）的基础结构服务。Windows2008AD简化了管理，加强了安全性，扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。应用Windows2008AD之后，企业信息化建设者和网络管理员可以从中获得如下好处:> 系统平台基础架构基于Windows2008AD规划网络基础架构，使企业获得一个稳定、可扩充的网络基础平台。不单单是满足当前的网络需要，更关键的是预计了今后3-5年内可能的发展需要，使得将来的网络规划建设无需再次重复投资。>单一登录可以统一用户帐户设置和用户身份验证，实现用户单一登录，用户访问网络中的资源不再需要反复输入用户名称和口令。同时，它还是企业应用集成的基础。基于AD的单一登录功能，便于实现在不同程序之间的协作和集成应用。>网络安全可以基于AD，集中设置和统一管理用户、组、资源的操作权限，方便维护管理。35＞ 集中管理和委派授权基于Windows2008活动目录OU实施委派授权管理，未来向下属企业推广时，分级维护，集团各部门、下属公司可以对所辖范围内的部分参数进行维护，如增加用户、设置权限、增加栏目、自定义流程等。＞用户桌面管理通过规划部署Windows2008OU和组策略，可以统一规划用户桌面和用户操作环境，实现对客户计算机的集中控制管理，加强信息管理的安全可靠性。＞软件自动分发通过规划部署Windows2008OU和组策略，还可以实现应用程序的自动分发、升级和删除，不但可以实现客户机软件的统一安装管理，而且大大减轻了软件安装配置的工作量。根据一般集团公司的管理结构。本方案采用Windows系统提供的域模式来组织和管理全部系统资源，采用域的模式，不仅可以集中存储网络对象，并且管理简单，即实现了集中管理，又可以满足不同公司自身的安全需求。方案中将集团按公司单位划分不同的模块，集团总部作为域林的根，每个子公司为一个独立的域或者域树，形成一个完整的树状结构。采用这种结构，可以将网络中的全部资源，分散到每个域的域控制器中存储，减少了每台域控制器的信息存储，从而减少复制流量和网络对象的查询时间。具体的实现如下图：36企业IT基础架构规划方案Kingdee企业IT基础架构规划方案根域:a子公司1:团总部分公司:同一个站个司:森林子公司3:子公司4:在此构架设计中，集团需要自己的独立的域名，所以在设计林中树，子公司作为总部的子域，分公司可以考虑作为一单独的域树，由于所有的资源都位于局域网内，具有高速的网络连接，因此所有的域均在一个站点内。即使域中的一台域控制器发生故障，仍然能保障系统的正常运行。并且提高了用户身份验证的速度。操作主机分配：操作主机域中扮演着重要的角色，直接影响到域是否能够正常工作，在Windows2008的域中，一共有五种操作主机，分别是构架主机，域名主机，RID主机，PDC仿真器，结构主机。其中前面2种在林范围内起作用，后面3种在域范围内起作用，为了使用所有的操作主机更好的工作，保障正常的工作并且不产生大的复制流量，方案采用YWindows系统默认的设置，根域中第两台DC承担了五种操作主机的角色，每个子域中的第一台DC承担了域范围内的三种操作主机角色。系统管理设计：在系统设计时包括三个部分，分别是OU，用户及组的设计，为了更好的满足集团的需要，便于系统管理员方便管理企业中的所有用户，系统管理结构与集团的管理结构相匹配，方案中采用了如下所述的设计。OU的设计：集团的OU设计目的是为了使用用户管理更有效率，结构更加清晰，并能够使系统的管理结构与集团的商业模型相匹配。在本方案中按部门划分OU的方法，将每个公司中以部门为单37位创建OU,并在部门OU中保存该部门的用户帐户，计算机帐户及组采用这种设计的方法，可以在系统管理中清楚的体现公司的管理结构，一般情况下，一个部门内部中的用户常常有相似的安全需求，利用这样的设计方法，也可以方便的将安全策略应用到某个部门。用户管理：为了规范用户帐户的管理，系统中所有的用户采用统一的命名规范，每个用户在网络中拥有唯一的登陆名。用户帐户在所属的部门的OU中创建。组的管理：为了满足集团用户管理的需求，更好的在网络中管理用户权限的分配，使系统的管理得到最大的简化，方案中采用AGDLP策略及AGUDLP策略。在每个域中创建全局组，用与组织本域的帐户，在没个域中创建域本地组，用于完成权限的指派。在本域内的权限的分配，可以使用AGDLP策略，在域间的权限分配，使得AGDLP策略，依次将用户加入全局组，将全局组加入通用组，在将通用组加入域本地组，最后可以根据需要将权限授予指定的域本地组，采用这样的方式，不仅可以企业邮件系统选型规划方案目前企业邮箱的建设一般有两种途径可以选择：1）企业内部自建邮件服务器，然后通过互联网域名进行发布。选型参考：MicrosoftExchange系统，MicrosoftExchange是微软出品的电子邮件和协作系统，它通过电子邮件来交换信息，实现工作组成员间的相互协作。MicrosoftExchange支持SMTP、POP3、IMAP4等多种协议，是被众多国内企业采用的一种流行的电子邮件系统。能够与WindowsAD域完美的结合，并支持Http访问、简单的图形化管理工具。部署方案参考：如下图38

企业IT基础架构规划方案用广电小的时恢■台服务器求担所:行榭件版势角色堂FtEicliunge迎旧服务器担什客户端访问、中央代输、嘏箱存悌三个用色为EMhllLlR”企业IT基础架构规划方案用广电小的时恢■台服务器求担所:行榭件版势角色堂FtEicliunge迎旧服务器担什客户端访问、中央代输、嘏箱存悌三个用色为EMhllLlR”提供身的:公川观黑如大后T把咨户崩访问和中止ft输眼势黯分离出来,共同负氯大量用户kxchun^c2M711,见传输服务器F.tcMn甥知布摭:公川观黑如大后T把咨户崩访问和中止ft输眼势黯分离出来,共同负氯大量用户kxchun^c2M711,见传输服务器F.tcMn甥知布摭Kxch^ii^e2LH17户端访问服务器、'2）通过购买电信运营商或ISP商的企业邮箱服务，不需要企业自建和维护邮箱系统服务器。选型参考：中国万网企业邮箱服务。企业内部通信系统选型规划方案企业通信系统包括企业即时通信工具（如腾讯RTX）、短信平台（如企业自建短信平台、金蝶39企 企业IT基础架构规划方案友商网短信平台或电信运营商提供的短信平台服务）、视频会议系统（比如深圳视高科技、Radvision、H3C企业视频解决方案）等，可以根据企业的实际情况进行规划和选型。2.5企业IT机房和系统集成环境规划企业IT机房工程不仅集建筑、电气、安装、网络等多个专业技术于一体，更需要丰富的工程实施和管理经验。计算机房设计与施工的优劣直接关系到机房内计算机系统是否能稳定可靠地运行，是否能保证各类信息通讯畅通无阻。机房主体部分的规划是在楼宇弱电工程和强电工程规划方案中进行的，本节仅对涉及IT硬件系统集成实施环境的部分进行规划和要求。机房规划要求机房既要保障机房设备安全可靠的正常运行，延长计算机系统使用寿命，又能为系统管理员创造一个舒适的工作环境，能够满足系统管理人员对温度、湿度、洁净度、电磁场强度、噪音干扰、安全保安、防漏、电源质量、振动、防雷和接地等的要求。所以，一个合格的现代化IT机房，应该是一个安全可靠、舒适实用、节能高效和具有可扩充性的机房。1）机房场地要求应避免设在建筑物的高层或地下室以及用水设备的下层。建筑物应有畅通的雨水排水系统。应避开强电磁场干扰。远离产生粉尘、油烟、有害气体以及存放具有腐蚀性、易燃、易爆物品的地方。应建在电力、水源充足，通讯、交通方便，自然环境清洁的地方。楼地面荷载三500kg/m?。建筑梁下高度一般应大于或等于3.1米。为了保证主机系统的物理安全，建议机房安装保安监控系统和门禁系统。2）机房环境要求机房温、湿度应符合下表规定项目级别A级B级40企业IT基础架构规划方案Kingdee企业IT基础架构规划方案温度 23℃±2℃18℃〜28℃湿度 40%〜70% 20%〜80%温度变化率W5℃/h,不结露W10℃/h,不结露本次工程机房温、湿度达到B级即可。主机房内的空气含尘浓度，在空调系统正常运行，室内没有生产人员的情况下测