四川汽车工业集团有限公司IT基础架构解决方案

《四川汽车工业集团有限公司IT基础架构解决方案》由会员分享，可在线阅读，更多相关《四川汽车工业集团有限公司IT基础架构解决方案（66页珍藏版）》请在装配图网上搜索。

1、编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第66页 共66页四川汽车工业集团有限公司IT基础架构解决方案一、概述1.1 项目背景四川汽车工业集团有限公司经过多年的IT建设，计算机系统在公司的生产活动中发挥了越来越重要的作用。四川汽车工业集团有限公司通过搭建的计算机应用系统，将企业业务活动中存在的大量、复杂的计算需求，和计算机自身所具有的高效、准确、全天候运转特性充分的集合在一起，从而使得企业竞争能力得到了最大化的提升。本解决方案将从四川汽车工业集团有限公司的IT环境现状出发，分析现有环境，提出四川汽车工业集团有限公司关心的关键问题及未来的挑战，并根据相关问题详细阐述对应

2、解决方案，帮助四川汽车工业集团有限公司快速解决问题，以信息技术提升企业生产力。1.2 现状描述当前四川汽车工业集团有限公司内部网络环境多数仍为松散的管理状态，IT环境中硬件设备伴随着组织中人员数量的增加每年都在增长，大力的信息化建设使硬件和应用软件单纯从技术层面上讲都达到了较高的水平，但实际环境中无论是工作用桌面计算机还是服务器都是采用工作组模型，各自独立。IT环境中的软硬件资源都无法实现充分利用。经历了大规模网络和硬件投资建设之后，四川汽车工业集团有限公司的信息技术部门开始转向关心信息化建设投资的“效益”，究竟过去投入建成的这些设备，能够形成哪些应用，带来什么效益？这已经成为信息技术部门与企

3、业管理人员最为关心的重点问题。从信息技术部门人员来说，如何整合现有IT环境中的资源，将IT环境的管理由松散方式变为集中管理的方式，减轻日常管理维护负担，提升IT生产力。从最终用户来说，如何能够实现单一的身份验证，快速的访问企业内部的各种资源，较少的宕机时间也是最大的愿望。另外，用户通过Office等办公软件，完成自己日常办公作业，通过专业的设计软件来完成产品的设计，用户的这些操作都会以文件的形式保存下来，随着企业的发展，用户不仅自己需要使用和保存好这些文件，团队之间的协作需要这些文件的共享、交互。与厂商客户交流等也需要这些文件的共享、交互。文件可能是一个Word格式的.doc文件或者Power

4、Point格式的PPT文件，总之它是企业最重要的信息资源。用户对IT建设的不断投入，使企业的IT环境得到了飞跃性的提高。企业的网络环境越来越安全、高效、稳定；各种应用系统通过不断的规划、建设、完善、丰富，更加贴近业务活动的需求。文件作为企业最重要的信息资源，越来越多，应用也越来越频繁。用户经常要把自己的文件共享给团队的人员或企业外部的合作伙伴，如何安全、高效管理好这些宝贵的信息资源成为企业IT部门的重点。同时，由于网络中安全事件的不断发生,企业内部的文件数据安全性已经成为网络安全领域比较受关注的课题之一。网络中安全的威胁通常来自于Internet和局域网络内部，而来自企业内部的网络攻击往往是最

5、致命的。遭受攻击的结果通常会导致企业内部敏感数据的大量泄漏，从而会对企业造成巨大的经济损失。1.3 问题分析由于历史和技术发展方面的原因，现有四川汽车工业集团有限公司企业内部的IT环境是逐步建立起来的，而且在早期建立时由于没有整体架构的科学指导，导致目前的松散型IT环境越来越“臃肿”，客户端、服务器各自独立，形成一个个信息“孤岛”，无法统一管理。在松散型管理的系统网络环境中，一旦某个节点出现问题需要定位出现问题的位置，并需要繁琐费时的恢复过程来实现修复。生产系统应用软件的大规模部署需要相关人员在各个计算机上逐一手工安装，极大耗费人力与时间。企业内部的各种资源存在于员工的客户端桌面计算机，服务器

6、，以及其他各种设备之中，用户需要获取相关资源需要首先确定资源在哪一台计算机中，并且要针对不同资源提供不同的登录凭据（如用户名/密码等）来访问。另外存在数据资源重复现象，造成硬件资源的不合理占用。信息技术部门制定的IT管理规范无法完全被最终用户执行，IT管理规范的制订是为了防止信息系统出现如安全问题等不稳定状况，但松散型管理模式的IT环境中由于信息技术人员无法监控与统一管理企业内部的桌面计算机与服务器等，该规范变为一纸空文,无法被贯彻实施。现阶段，部分企业对IT环境的发展仍然缺乏整体和长远考虑，还是按照老思路，简单考虑硬件及应用软件的采购与建设，照此建设思路走下去，将会使目前的IT环境更加“臃肿

7、”，更难于管理，最终导致生产力的降低。同时，目前四川汽车工业集团有限公司在文件管理方面主要面临以下挑战：1、 大量的文件存放在用户客户端计算机中。用户在编辑完文件之后，文件被保存在客户端计算机中。这样大量的企业信息资源被存放在用户客户端计算机中，首先不利于文件的共享，另外如果客户端遭遇病毒、电脑丢失、硬件损坏等情况，由于没有副本备份会导致企业信息资源丢失，带来不可估量的后果。第三方数据统计，便携式电脑成为企业机要信息丢失的主要杀手，如果便携式计算机存有大量的客户资料，企业专利信息等，会给企业带来巨大的损失。更有数据表明由于机密资料丢失而导致企业破产率在70%以上。2、 用户自行备份文件。在目前

8、的企业环境中，部分用户对比较重要的文件使用移动存储介质或者光盘等存储设备备份，但是由于用户对计算机管理能力的不同，如何更好的备份文件显然超出了用户的操作技能范围，而且用户自行备份文件行为不受管理制度控制，用户是否备份，用户备份文件的周期等都不在管理员的可控范围内。3、 用户文件共享不便。在目前的企业环境中，用户之间需要共享文件通常在自己的客户端电脑上开放共享文件夹供其它用户访问，或者使用移动存储设备复制共享文件。这种文件的交换方式显然有很多弊端，用户的共享文件可能会被没有权限的用户查看到，另外在客户端上启用共享文件或者移动存储设备交换文件都容易受病毒的侵害。另外用户在访问文件时还要记住多个共享

9、路径，不方便使用。4、 文件版本不一致由于文件存放在多个客户端电脑上，导致某些文件在企业环境出现了不同的发行版本，有些已经废止的文档格式还在使用，由于这些文档的版本不一致，已经给企业员工在文件协作方面带来困扰。5、 文档安全性由于四川汽车工业集团有限公司正处于发展阶段，企业内部研发部更是企业未来发展命脉，如何安全，稳定的保护公司研发资料成果，防止泄密，已成为企业日益关注的重点难题。任何规模的组织都需要保护重要的数字信息，以避免由于疏忽引起误操作以及被恶意利用。此外，信息窃取行为的不断增多以及对保护数据的立法呼声的高涨，使得如何更好地保护数字信息这一需求变得更为强烈。现在，使用计算机来创建和处理

10、以上类型的敏感信息的情况越来越多，通过专用网络和公共网络（包括 Internet）扩大连接也日益普及，而计算设备的功能正愈来愈强大，这一切都使得保护组织数据成为必需的安全事项。再者，四川汽车工业集团有限公司由于IT原有历史遗留问题，导致企业内部网络安全危险日益严重，当今企业面临的最大挑战之一就是客户端设备越来越多地暴露给诸如病毒和蠕虫等恶意软件。这些程序可以进入未受保护或配置不当的主机系统，并且可以使用该系统作为暂存点以传播到企业网络上的其他设备。针对现有四川汽车工业集团有限公司初步研究发现，企业内部并未部署有效的实时监控、互联网访问策略管理、上网行为管理的安全平台，随着内部用户网络应用的进一

11、步深入，原防火墙的处理能力力不从心。二、总体功能需求结合四川汽车工业集团有限公司的企业应用实际情况，随着以上阐述的问题在企业内部IT环境中越来越突出，四川汽车工业集团有限公司存在以下需求：2.1 集中的组织与管理网络内的服务器及客户端通过对网络内的服务器与客户端计算机进行集中式的管理，有助于消除早期“松散型”管理带来的安全漏洞及其他影响IT系统稳健运行问题，能够保证企业制订的IT管理规范可以通过计算机的逻辑方式派发给各个被管理的节点，并且通过集中管理的模式可以有效降低客户端的维护工作量。2.2 统一的数据组织与资源管理实现统一的数据组织，如共享文件夹的发布，共享打印机的发布等等，并且能够提供较

12、为简单的信息检索方式，快速查询并定为所需的各种资源，实现资源的高效利用。另外统一的数据组织与资源管理可以有效减少数据冗余与资源浪费，减轻IT环境的维护难度，提升企业生产力。2.3 单一登录的网络环境企业内的普通员工计算机应用能力有限，如何使员工一次登录计算机后就可以访问其有权限访问的各种资源是提升生产效率，对于普通员工来说更能感受到应用信息技术能够带来更加快捷的工作效率，有助于提升信息系统的使用率。2.4 集中化的软件部署与运行限制企业希望在大规模部署某个应用软件时可以避免手工逐一安装的低效率模式，而采用服务器/客户端的网络分发模式，并能对软件的版本更新做到一定控制，并且可以制定哪些软件可以被

13、安装在哪些用户的计算机上。通过对软件的运行限制，限制客户端计算机上所运行的应用软件，使工作用计算机仅可以运行特定应用程序，与工作无关的应用程序将会被禁止运行，提升系统安全性与最大化企业IT系统效能。2.5 功能强大并易于扩展的IT基础架构企业希望现有的IT基础架构能够提供较强的功能，如安全的身份验证，资源整合，软硬件集中监控、管理等，并且希望该基础架构支持较多的上层应用，具有较强的可扩展性，在未来的几年中可以在现有底层IT架构上实现更多的价值。实现IT投资的保值。2.6 文件的集中管理将企业中的文件分类，统一存放到一台或多台文件服务器上。用户客户端不再允许存放企业重要文件，并且所有文件共享操作

14、都要在服务器上完成，禁止用户自行共享文件。2.7 文件服务器良好的管理特性企业计划对文件服务器上的资源的有效利用进行管理，比如企业会根据用户工作性质的不同，分配容量不等的存储空间。另外为了保障企业投资，文件服务器解决方案必须支持对文件类型的存储限制，不符合企业规定的文件不允许存放在文件服务器上。2.8 文件服务器的安全性企业文件服务器上的资源可以划分用户的操作权限，根据用户权限的不同展现不同的视图。另外需要确保文件在传输的过程中是安全的。2.9 文件服务器备份和还原特性作为企业中最重要的信息资源，文件服务器解决方案必须具备良好、快速的备份恢复功能，当出现文件丢失、损坏或者物理设备损毁时能够快速

15、恢复服务器。2.10 用户体验文件服务器按照预期方案部署完毕后 ，用户可以非常便捷的访问到自己的文件以及团队共享的文件，尽量减少用户培训的成本，尽量给用户以熟悉的界面。另外如果用户在多个办公地点切换，也都可以方便的访问到自己的文件和团队共享文件。用户在无法连接到企业网络时允许用户使用脱机形式访问文件服务器上的文件。2.11 提供报表、修改追踪功能文件服务器解决方案可以针对文件存储区域提供数据报表，可以让管理员了解文件存储区的空间利用率、存储空间占用排行、存储空间占用文件类型等数据统计。另外在文件服务器上可以追踪文件的修改记录，便于管理员对用户操作行为进行有效监控。2.12 有效的文档加密系统企

16、业必须对数字内容进行更好的保护。没有任何信息可以避免未经授权的使用，也没有哪一种方法能够确保数据万无一失，最佳的防御战略是实施信息保护综合解决方案。更好地保护信息的解决方案作为组织安全战略的基本组成部分，不应仅仅是访问控制，而是能提供控制使用和分发内容的方法。能够更好地保护信息的解决方案应当有助于： 保护公司 Intranet 中的组织记录与文档，不允许未授权用户访问这些记录与文档。 确保内容安全并防止篡改。 如果需要，根据时间要求终止内容使用，即使是通过 Extranet 发送给其他组织的内容。 要求提供审计线索，以便跟踪曾访问和使用过该内容的用户。2.13 企业网络访问保护当客户端计算机尝

17、试连接网络或在网络上通信时，通过监视和评估客户端计算机的健康状况来强制实施健康要求。如果确定客户端计算机不符合健康要求，则可以将其置于包含资源的受限网络上，以帮助更新客户端系统使其符合健康策略。例如，可能要求计算机安装具有最新签名的防病毒软件，安装当前操作系统的更新并且启用基于主机的防火墙。通过强制符合健康要求，可以帮助网络管理员降低因客户端计算机配置不当所导致的一些风险，这些不当配置可使计算机暴露给病毒和其他恶意软件。三、解决方案建议根据上述四川汽车工业集团有限公司对于IT建设需求分析，我们详细的为四川汽车工业集团有限公司提供活动目录及文件服务器解决方案，帮助四川汽车工业集团有限公司消除现有

18、IT问题，提高四川汽车工业集团有限公司企业成长效率。3.1四川汽车工业集团有限公司活动目录解决方案建议3.1.1 概念描述活动目录是 Windows Server网络体系结构中一个基础且不可分割的部分。它提供了一套为分布式网络环境设计的目录服务，使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时，它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设

19、备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值，同时，降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。今天，对于在商业运作中保持竞争力而言，网络化计算变得比以往任何时候都更为重要。为此，就要求现代化的操作系统具有管理存在于构成网络环境所需分布式资源中的一致性和关联性的机制。“基于活动目录的网络基础架构”建设方案中，不仅要建设一系列丰富的，互联的底层基础架构，同时还将构建集中统一的软件基础设施、完整互通的基础数据库，无缝整合现有

20、信息应用系统，并建立“企业信息技术基础架构活动目录”与外部信息系统的互联互通机制。活动目录可以实现用户管理，提供对用户、应用程序和设备的单一、一致性的管理点；加强终端安全性。并且向用户提供单一的网络资源登录，为管理员提供强大、一致性的工具以使他们能够管理为内部计算机用户、远程拨号用户以及外部客户提供的安全服务。活动域管理是实施服务器管理、终端管理的基础，也为财务、人事、电子邮件、企业信息门户、办公自动化、防病毒系统等各种应用系统提供支持，是安全体系建设的基础。活动目录(Active Directory)主要提供以下功能：l 基础网络服务：包括DNS、WINS、DHCP、证书服务等。l 服务器及

21、客户端计算机管理：管理服务器及客户端计算机帐户，所有服务器及客户端计算机加入域管理并实施组策略。l 用户服务：管理用户域帐户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。l 资源管理：管理打印机、文件共享服务等网络资源。l 桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。l 应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。3.1.2 活动目录功能及优势1 集中管理用户/密码，实现统一身份认证活动目录是集成

22、式、分布式的目录服务，可以将分布的资源集中管理，提高资源的利用率以及节省工作时间，提高工作效率。活动目录集中的管理所有客户端的用户/密码，增强网络安全性的同时实现单点登录。企业管理员只需要为用户添加一个帐号，通过一次登录就可以实现诸如：访问网络资源、Exchange邮箱应用、lync即时协作应用、Sharepoint门户协作平台，数据库访问、客户关系管理以及其它应用程序应用。2 提高信息的安全性保障应用活动目录后，信息的安全性完全域活动目录集成，用户授权管理和目录访问控制已经整合在活动目录中。活动目录可以集中控制用户授权，限制对特定域资源的访问权限。通过向网络资源提供单一的集成、高性能且对终端

23、用户透明的安全服务。通过根据终端用户角色锁定桌面系统配置来防止对特定客户主机操作进行访问，例如软件安装或注册表编辑。通过提供对安全的Internet标准协议和身份验证机制的内建支持，如Kerberos, 公开密钥基础设施（PKI）和安全套接字协议层（SSL）之上的轻便目录访问协议（LDAP）。通过对目录对象和构成他们的单独数据元素设置访问控制特权。Windows Server 2008R2活动目录当中一共有4600多条策略，通过策略我们可以对系统的各个组件进行精确控制。我们将在前期的IT环境细节调研确认阶段结束后，针对四川汽车工业集团有限公司不同保密级别的部门规划并配置相应级别的组策略。3 基

24、于策略的管理组策略设置可以决定指定的对象集合的资源访问权限，什么样的资源可以被用户使用以及怎样使用。比如，限制用户在客户端可以使用的应用程序是哪些，不能使用的应用程序是哪些等。4 信息复制能力信息复制能力为目录提供了信息可用性、容错、负载平衡和性能优势，活动目录使用多主机复制，使得域中所有域控制器上的信息达到同步。活动目录强大的信息复制能力使得网络可用性、容错性大大提升。5 与其它目录服务的互操作性由于活动目录是基于标准的目录访问协议的，所以许多应用程序界面（API）都允许开发者进入这些协议，例如活动目录服务界面（ADSI）、轻型目录访问协议（LDAP）等，便于后期的开发应用。活动目录可以应对

25、复杂的网络环境，并且可以与基于标准开发的业务系统做集成应用。6 灵活、便捷的查询功能任何用户可以使用“开始”菜单、“网上邻居”、“活动目录用户和计算机”上的“搜索”命令，通过名字、姓氏、电子邮件名、办公室位置等属性来查找网络上的对象。诸如：应用程序、文件、打印机和人员等。7 简化管理提供对Windows用户账号、客户、服务器和应用程序以及现存目录同步能力进行单一点管理。降低桌面系统的行程针对用户在公司中所担当的角色自动向其分发软件，以减少或消除系统管理员为软件安装和配置而安排的多次行程。更好的实现IT资源的最大化安全地将管理功能分派到组织机构的所有层次上。降低总体拥有成本（TCO）通过使网络资

26、源容易被定位、配置和使用来简化对文件和打印服务的管理和使用。8 安全、标准化管理客户端活动目录的一大功能就是更加安全、标准化的管理客户端，活动目录通过组策略可以严格控制客户端应用程序的安装和使用，明确哪些程序是可以安装、使用的，哪些是被禁止的。另外，管理员还可以通过组策略的设置，统一密码策略、IE设置、桌面设置等，起到标准化管理的效果。9 集中管理网络资源活动目录所提供的目录服务可以统一、集中的管理网络上的所有资源。相当于把网络上所有资源放在一张目录表中，用户通过目录表的检索可以很轻松的找到所需资源。10 集中管理帐户密码用户的帐户、密码将被集中存放在域控制器的活动目录数据库中。这样做的好处就

27、在于帐户、密码这些敏感信息得到更好的保护，实现统一身份认证。11 微软产品的基础平台活动目录作为Windows Server 2008R2标准版本、Windows Server 2008R2企业版和Windows Server 2008R2 Datacenter版上应用的目录服务，更重要的一点，它是微软其它产品应用的基础平台。微软所研发的OCS、MOSS、EXCHANGE等产品应用的前提就是要具有活动目录架构。3.1.3 四川汽车工业集团有限公司活动目录总体框架设计我们在规划四川汽车工业集团有限公司目录林模式时，综合统一身份认证实现、方便管理集中系统方面考虑，最后与四川汽车工业集团进行确认后决

28、定采用单森模式的活动目录框架设计。3.1.3.1 建立单一森林环境单一目录林环境易于建立和维护。所有的用户都通过全局编录看到单一的目录，而无需知道任何目录结构。当将目标域添加到目录林时，不要求其它的信任配置。只需应用一次配置更改即可影响所有域。3.1.3.2四川汽车工业集团有限公司森林环境选型根据四川汽车工业集团有限公司网络状况、业务系统应用、以及集中化、高安全的管理需求，所有客户端和服务器均由中心域服务器统一集中管理，所以这里我们最终确定采用单一森林。所有加入域的计算机都可以在“AD用户和计算机”控制面版中查看到，我们可能通过“AD用户和计算机”面版对域中所有计算机进行统一管理，大大简化了I

29、T管理的工作复杂程序，提高管理的工作效率。3.1.3.3四川汽车工业集团有限公司活动目录域设计由于四川汽车工业集团有限公司地理位置相对集中，客户端几乎都同属于一个办公园区，因此，与客户沟通确认后，决定采用单域多OU结构。OUOUOU3.1.3.4四川汽车工业集团有限公司组织单元设计1) 组织单元的概念一个组织单元（OU）是一个容器对象，用于管理域中的对象，例如：用户账号、组、计算机、打印机和其他的组织单位。可以使用组织单位在一个逻辑层次中组织各种对象，这样能够体现企业基于部门的或基于地理分界的结构，网络管理模式是基于行政的管理架构。活动目录可以根据员工所在部门，针对员工的不同工作岗位或工作职责

30、对员工进行分组，以“组织单元”的形式分级进行管理。在我们的方案中，针对整个部门分部环境对不同部门分组也进行了细致规划。组织单位可包含用户、组、计算机、打印机、共享文件夹以及其他组织单位。组织单位是目录容器对象。它们表现为“活动目录用户和计算机”中的文件夹。组织单位简化了域中目录对象的视图以及这些对象的管理。可将每个组织单位的管理控制权委派给特定的人。这样，就可以在管理员中分配域的管理工作，以更接近指派的单位职责的方式来管理这些管理性职责工作。OU命名方式：城市简称，部门简（全）称。为了提高对将来系统集成的兼容性，建议所有名称中只使用英文字母和数字。2) 四川汽车工业集团有限公司组织单元的设计我

31、们将在组建的域控制器上为四川汽车工业集团有限公司多个业务部门以部门名称创建相应的OU，并将部门所属的所有客户机PC都加入到所属部门的OU。3) OU管理权利委派在 Windows 2000 之前的 Windows NT 版本中，域的管理委派仅限于使用内建的本地组，例如帐户管理组。这些组有预先定义的功能，在某些情况下这些功能并不符合特殊情况的要求。结果，在某些情况下，单位中的管理员需要高级的管理访问（例如域管理员）权限。 在现在的Windows server 中，管理委派功能更强并更具灵活性。这种灵活性是通过部门、每个属性访问控制和访问控制继承的组合来实现的。管理可以任意委派，其方法是通过授予一

32、组用户创建特定类别的对象、或修改特定类别的对象的特定属性的能力来实现。 例如，可以授权人力资源部门在特定的 OU 中创建用户对象，而不在其他地方。可以授权帮助中心技术人员重新设置该 OU 中的用户的密码，但不能创建用户。可以授权其他的目录管理员修改用户对象的通讯簿属性，但不允许创建用户或重新设置密码。 在单位中委派管理有一些好处。委派特定的权限使您可以将必须有高级访问权限的用户的数量降到最少。权限受到限制的管理员所发生的事故或错误所产生的影响只限于他们负责的范围。以前，在单位中除了 IT 之外的组可能必须将更改请求提交到高级管理员，高级管理员代表他们进行更改。通过管理委派，可以将责任分散到单位

33、中的各个组，这样可以节省将请求发送到高级管理组的开销。 可控性权利委派 可以部分的、选择性的将某一个OU的权利委派给管理员；将权利委派给管理员后是可以收回的。 权利委派作用域 被委派权利的管理员只会作用于所指定的OU，对其它OU是无效的。根据四川汽车工业集团有限公司的情况，将每个部门的OU完全控制的权限委派给部门主管。从安全的角度考虑，OU以及域的最大控制权限应该由信息中心控制。3.1.3.5四川汽车工业集团有限公司DNS设计由于活动目录中许多功能对DNS的依赖性，DNS 服务器的可用性直接影响活动目录的可用性。客户端依赖 DNS 来查找域控制器，而域控制器依赖 DNS 查找其他的域控制器来进

34、行复制。即使目前您的网络上已部署了 DNS 服务器，仍可能需要调整服务器的数量和布置，以满足活动目录客户端和域控制器对DNS的需求。活动目录使用域名系统（ Domain Name System ，简称 DNS ）。这使得运行在 TCP/IP 网络上的计算机可以识别和连接另一台计算机。 DNS 域和 Windows Server 2003 R2的域自然而有机的结合在一起，使得整个目录结构成树型分布，具有了 DNS 的层次感觉，也使得 Windows Serever 2008 R2 系统能够支撑庞大的目录结构，是的目录对象涵盖了整个网络元素：用户，计算机，打印机，共享文件夹，应用程序，管理策略等。

35、 1) DNS 和活动目录目录林中的每个域控制器都注册了两组定位器记录：一组是域特定的记录，如以结尾；另一组是目录林范围的记录，以 结尾。目录林范围的记录是客户端以及目录林各部份的域控制器都感兴趣的记录。例如，全局编录服务器定位器记录以及复制系统用来查找复制伙伴所用的记录，都包含在目录林范围的记录中。 任意两个域控制器要想能够彼此复制（包括同一域的两个域控制器），必须能够查找目录林范围的定位器记录。刚创建的域控制器要想参与复制，必须能够在 DNS 中注册其目录林范围的记录，而其他域控制器必须能够查找这些记录。因此，目录林范围的定位器记录必须对每个站点的每个 DNS 服务器可用。 客户端使用站点

36、特定的域控制器定位器记录，来搜索附近的域控制器。只有在客户端站点没有域控制器项时，客户端才会查询并接受其他的域控制器。默认情况下，每个域控制器都会发布其站点特定的 SRV 记录和通用 SRV 记录。2) DNS 名称解析方案为了确保每个域控制器都能成功注册其两组定位器记录，并确保每个域控制器和客户端能通过DNS得到其所需的定位器记录，我们要在域控制器和客户端上配置使得其首选和备用的DNS服务器都指向域内的DNS服务器。通过 DNS 服务中的 Service Resource Record （ SRV RR ）记录公布提供目录服务的服务器地址， SRV RR 中的附加信息指出了服务器的优先权及重

37、要度，使得客户可以选择他们所需要的最好的服务器。 DNS 记录也可以集成到目录中，随着目录复制而达到 DNS 复制的目的。3) 活动目录集成的DNS正向搜索区域DNS正向搜索区域分为主搜索区域，副搜索区域和活动目录集成的搜索区域。为了实现多台DNS服务器间搜索区域内的同步，我们可以通过一台拥有主搜索区域，和多台拥有副搜索区域DNS服务器实现，或通过多台拥有活动目录集成的搜索区域的DNS服务器实现。而后者有以下优点：l 活动目录集成的搜索区域的DNS服务器可以实现多更新主机协同工作，避免一台服务器由于大量的DNS注册负载过重。l 活动目录集成的搜索区域的DNS服务器可以使用安全的注册方式，从而可

38、以避免服务器的定位器记录被非授权主机更改。3.1.3.6 四川汽车工业集团有限公司DNS设计规划l 活动目录DNS正向搜索区域设置在控制器上创建一个活动目录集成，在所有域内的DNS服务器上复制的正向搜索区域，并允许安全的动态更新。在控制器上创建一个活动目录集成，在的所有森林内的DNS服务器上复制正向搜索区域，并允许安全的动态更新。l DNS 客户端配置规划域中的客户机决定采用固定IP地址，则主DNS指向本站点的10.10.150.4DNS服务器，辅助DNS指向10.10.150.5 DNS服务器。3.1.3.7 活动目录方案成效成都时代加华软件技术有限公司的活动目录技术服务，提供统一用户身份管

39、理和认证，统一网络资源实体的管理，同时也为后续的各种应用的统一认证和授权管理奠定了坚实的基础。其应用成效主要表现在以下几点：1) 实现身份统一认证服务用户可以通过多种方式在目录结构中查询自己所需要的网络资源。尤其是对个人而言，用户可以实现单点登陆，用户每次只需要登陆到域中，当访问后台应用时，就不再需要重复输入用户名和密码。这样一方面可减轻用户记住多套用户名和密码的负担，同时也可避免每次访问应用时都要再重复输入一遍用户名和密码。寻找打印机也更加方便。用户甚至不必记住打印机服务器的名字，利用“寻找打印机”就可以迅速找到离自己位置最近的打印机，极大的方便工作。其次，每次不再需要重复输入用户名和密码即

40、可进入系统；寻找文件更加方便，用户不必记住文件服务器的IP地址，只需要记住服务器名称即可，利用分布式文件系统，统一到一个地方去存取文件，而不用担心文件物理放在哪台文件服务器上；设立文件共享不再需要特别设定共享密码。缺省只有域用户才可以访问，文件共享者也可以通过设定特定的域用户组和特定用户，只允许他们才可以访问改文件。当用户去访问文件服务器，不再需要输入用户名和密码。Windows 会利用域帐户自动去验证。另外，关于远程操作系统的安装、委托管理、远程桌面协助等各种功能也能在统一的管理下轻松实现。同时，活动目录充当管理用户身份和网络资源控制访问验证的统一认证机构，支持业界标准协议Kerberos认

41、证协议，并可集成证书服务, CA和 智能卡(Smart Card)认证。用户的访问便可以根据企业的统一认证服务被准许或拒绝。同时，从用户使用来看，一套用户认证系统建立了Single-Sign On SSO(单点登录)的基础，增加用户的便利性和安全性。2) 设备的管理加强终端管理，降低运维费用建立企业目录管理系统，通过活动目录组策略推送的方式，将终端使用策略主动的推送到各个终端。只要用户登录进入域，域管理服务器就会自动推送该用户所需要的终端设置。这样就可以实现约束业务人员终端使用，加强企业终端管理、维护手段的主动性，降低终端人为导致软件故障的发生率，从而降低运维费用。而且在这种统一管理下，用户还

42、能实现多种远程管理。比如用户可以不必在Windows 客户机上安装打印机驱动程序就能够使用打印机，可以很容易地进行网络打印以及管理打印机服务器了。再比如委托管理，各事业部可自行管理，包括创建本部门用户，计算机，打印机，文件服务器等。组策略设置可以让管理员以逻辑单元（例如部门或办公地点）的形式组织用户和对象，然后给这些逻辑单元分配相同的设置，包括安全、外观和管理选项，这个过程可以简化相应的管理任务。另外，在活动目录的支持下，当用户需要重新安装操作系统，可以利用“远程OS安装”的特性在不到半小时里自行安装一个新的操作系，而且对于使用Windows XP Professional的机器而言，当软件出

43、现问题时，可以不必等待IT维护人员亲自跑到机器面前维护，用户可以发出远程邀请桌面协助，这样用户和IT人员可以立即共享Windows桌面诊断问题，加快问题的响应速度，提高用户的满意度。3) 提升系统安全管理水平作为安全管理中心，活动目录服务利用安全组策略技术进行服务器和桌面机器的安全控制。通过有效的企业级或者部门级安全策略设定，在企业内部桌面系统加强安全约束，提供整体安全性，从而提升系统安全管理水平。4) 后续增值效益活动目录技术作为企业目录建设的基石，其本身的作用主要有三： 它可以成为一个管理中心。通过对网络中的元素，如用户账户、计算机账户等信息进行收集、保存，作为其管理的对象。通过其本身提供

44、的组策略等技术作为管理的手段，从而实现管理中心的功能； 它可以成为一个安全中心。通过域环境的搭建，使其成为域中资源的安全边界。同时，可以扮演身份认证和授权中心的角色； 它是一个开放的平台。活动目录是可扩展的，就是说管理员可以向模式中添加新的对象类，也可以向已经存在的对象类添加新的属性。模式包括每一个对象类和对象类属性的定义，它们可以存储在目录中。例如，可以向用户对象添加购买机构属性，然后可以将用户的购买机构范围做为用户帐号的一部分进行存储。通过对目录服务标准的支持，使得在其基础架构上，进行应用的开发、与其它应用和服务进行整合成为可能，从而不断扩展其功能。3.2四川汽车工业集团有限公司文件服务器

45、解决方案3.2.1解决方案的设计原则我们在设计系统的同时重点突出以下设计原则：1、 总体规划、分阶段实施。系统要在长远规划、逐步完善的思想指导下，统一规划、统一管理，有序实施。2、 先进性与适用性原则。在系统的设计中，首先要考虑的是实用性和易于操作性、易于管理和维护，易于掌握和学习使用。3、 开放性与标准化原则。在总体设计中应用开放式、模块化设计体系，使系统有适应外界环境变化的能力，易于调整、扩充和组合，最大限度满足业务要求。4、 可靠性与安全性原则。安全可靠的运行是整个系统建设的基础。信息的重要性，要求网络系统要有较高的安全性。系统要具备容错、备份及自诊断模块，便于快速判断故障点并排除。要配

46、置严密的数据安全体系，避免非法入侵，确保系统数据的准确性、数据传输的正确性，防止异常情况的发生。5、 经济性与可扩充性原则。系统的建设，要从经济性着眼，在完成系统目标的基础上，尽量采用技术成熟的网络技术及通信技术，充分考虑对现有信息平台及资源的充分利用，保护原有投资，减少重复建设。6、 接入广泛性及接口标准化原则。在总体设计中，应采用开放式的体系结构，使系统易于扩充，使相对独立的分系统易于进行组合调整。有适应外界环境变化的能力，即在外界环境改变时，系统可以不作修改或仅作小量修改就能在新环境下运行。网络选用的通信协议和设备符合国际标准，将不同应用环境和不同结构优势有机地结合起来。同时，要保证网络

47、的互联，为信息的互通和应用创造有利的条件，从而满足不同的需求。3.2.2 文件服务器解决方案文件服务器建议采用Windows Server 2008 R2操作系统，Windows Server 2008R2在文件服务器管理方面具有以下更新和特性：功能说明卷影副本（以前版本）恢复卷影副本（以前版本）恢复为网络文件夹提供了时间点副本。用户通过右键单击 Windows 资源管理器中的文件或文件夹，可以非常方便地访问其以前版本的文件。基于 Windows Server 2008R2的文件服务器会使用卷影副本功能为该文件服务器上的所有文件维护一组它们的以前版本。增强的分布式文件系统 (DFS)DFS 有

48、助于商业机构以较低的总拥有成本提供高度可用的文件服务。借助 DFS，您可以从多个物理系统创建一个逻辑文件系统，从而使您的环境更易于为用户所使用并且在设备利用方面更为有效。通过 DFS，您可以创建一个包含部门、分支机构或企业中的多个文件服务器和文件共享的目录树，从而允许用户方便地查找分布在网络中的文件或文件夹。这个目录树（逻辑命名空间）可以容纳 5000 多个位于企业内不同服务器上的共享文件夹。另外，还可以使用 Active Directory 服务将 DFS 共享作为卷对象进行发布，并且可以委派管理任务。在Windows Server 2008R2中，DFS 现在提供了最近站点选择功能。该功能

49、中，DFS 会使用 Active Directory 站点信息将客户端路由到对指定路径而言最近的可用文件服务器上。另外，一个Windows Server 2008R2系统还可以容纳多个 DFS 根。DFS 文件复制服务 (FRS)就如同 DFS 一样，FRS 也允许商业机构实现较低的 TCO，方法是确保数据的始终同步。FRS 与 DFS配合起工作，它可以复制文件共享中的数据，并自动保持分布在多个服务器上的副本的同步性。通过Windows Server 2008R2的一个新功能即 DFS Microsoft 管理控制台 (MMC) 用户界面，用户可以对复制拓扑结构进行配置。FRS 服务自身也具有

50、新功能它可以压缩复制流量以及减少不必要的复制流量。增强的加密文件系统 (EFS)Windows Server 2008R2通过增强的 EFS 加强了文件服务的安全性。EFS 是其它访问控制方法的补充，它为您的数据提供了附加保护。由于 EFS 作为一种集成的系统服务运行，因此它方便了您的管理、增加了攻击难度，而且对用户而言是透明的。卷影复制服务存储卷的卷影副本是原始文件在某个具体时间点的副本。备份应用程序通常使用卷影副本来备份那些使之看起来呈静态（实际上是不断变化的）的文件。如果在存储区域网络（SAN）中创建了卷影副本，可将该卷影副本传输到另外的服务器进行备份、测试或数据挖掘。虚拟磁盘服务 (V

51、DS)VDS 采用一个标准接口进行磁盘管理。每个硬件供应商都会编写 VDS 提供程序，以便将通用的 VDS API 解释成用于各自硬件的特定指令。借助 VDS 提供的这种抽象层，Windows Server 2008R2可以为用户提供更为强大的解决方案组合，以便在您在作出有关 SAN 和其它存储方法的长期投资决定时具有更大的灵活性。命令行接口管理员在Windows Server 2008R2中可以获得新提供的强大新命令行实用程序来执行多种磁盘管理任务，包括：扩充基本磁盘、执行各种磁盘配置和 RAID 配置、管理卷影副本以及调整文件系统。提高了 CHKDSK 操作的性能由于 NTFS 文件系统完

52、全是一种真正日志化的文件系统，因此很少会要求 CHKDSK 操作。即使确实需要检查磁盘（基本上不存在这种可能，因为在意外停机中，要求这种检查的低于 1%），CHKDSK 的执行速度也会比在 Windows 2008中快 20% 到 38%。性能更高的碎片整理工具Windows 磁盘碎片整理工具可优化卷中的文件，从而提高磁盘的可用性和性能。Windows Server 2008R2中的磁盘碎片整理比在 Windows 2008中更快，而且更为有效。另外，它还支持以联机方式对主控文件表（Master File Table，MFT）进行碎片整理，并且可整理任何簇大小的 NTFS 卷。内容索引内容索引

53、为用户搜索本地或网络上的信息提供了一个方便快捷而且安全的方法。用户可以通过“开始”菜单中的“搜索”命令或通过在浏览器中查看的网页来搜索使用了不同格式和语言的文件。自动系统恢复 (ASR)它使得在灾难恢复情况下通过一个步骤即可恢复操作系统、系统状态和硬件配置，从而提高了效率。远程文档共享 (WebDAV)作为Windows Server 2008R2的一个新功能，远程文档共享提高了通过 WebDAV 重定向程序连接业务的能力。借助 WebDAV 重定向程序，客户端可以通过文件系统调用来访问 Web 资源库中的文件。GUID 分区表 (GPT)Windows XP、vista、7的 64 位版本和

54、 64 位版本的Windows Server 2008R2企业版和 Datacenter 版都支持 GPT 这种新的磁盘分区格式。与通过主引导记录（MBR）分区的磁盘不同，此时的关键性平台操作数据都位于分区中，而不是位于未分区的扇区或隐藏的扇区中。另外，通过 GPT 分区的磁盘都具有冗余的主分区表和备用分区表，这提高了分区数据结构的完整性。为防病毒产品提供了新支持保护资源免遭病毒产生的恶意代码的侵袭，是提供安全可靠的文件服务的关键一环。Windows Server 2008R2新提供了可为第三方防病毒产品提供更高性能和可靠性的内核 API，增强了当前对防病毒产品的不懈支持。此外，我们当前还为防

55、病毒文件系统的过滤驱动程序提供了 Windows 硬件质量实验室 (WHQL) 测试套件和驱动程序认证过程。3.2.2.1分布式文件系统Windows Server 2008R2中的分布式文件系统 (DFS) 技术为广域网（WAN）的复制提供了方便，并对位置分散的文件提供了简化和容错的访问。DFS 中的两项技术分别为：1. DFS 复制。全新的基于状态的，多宿主的复制引擎在针对广域网环境方面进行了优化。DFS 复制支持复制的计划安排，降低带宽占用，以及全新的比特级压缩运算规则，即众所周知的远程差异压缩 (RDC)。用户存储在分布文件系统上的数据可以被同步到多个DFS复制点，但是用户在访问的时候

56、不会觉察到有什么异样，DFS会根据用户连接速度自动连接到最近的文件服务器供用户访问。这样即便企业组织内部有多个办公地点，也可以保障用户可以在任意一处都可以访问到自己存储在服务器上的资源。非常重要的一点，DFS的复制只对差异部分进行复制，当用户在某台DFS站点上修改了文件之后，DFS会自动将修改后的文件更新到各个站点上，但是在这个过程中DFS只复制用户修改的差异部分，而不是整个文件都进行复制，这样就可以节省站点之间文件复制的成本。2. DFS 命名空间。这项技术有助于管理员将分布在不同服务器上的共享文件夹进行分组，并且将这些文件夹以虚拟的树型机构提供给用户，即众所周知的命名空间。DFS 的命名空

57、间以前在 Windows 2000 Server 和 Windows Server 2003 中称为分布式文件系统。在分布式文件系统中，共享资源可以是一台计算机上或者多台计算机上，用户只需要访问DFS路径，就可以定位到文件的物理存放位置。当文件存放物理服务器变更时，管理员只需要将DFS路径指到新的物理服务器即可，而不需要通知用户更改访问方式。如下图所示，用户Mary不必访问处于各地的服务器，她只需要在客户端访问DFS路径的共享资源，就会被定位到物理文件物理存放位置。3.2.2.2文件服务器的管理特性Windows Server 2008R2新增的文件服务器管理可以帮助企业对用户的存储行为进行有

58、效的控制。1. 文件存放类型控制Windows Server 2008R2的文件服务器管理中，我们可以将文件的类型归类，设置共享文件夹中是否允许存放某些类型的文件，保障共享文件夹被合理利用。Windows Server 2008R2的文件服务器管理工具预设了5个管理模板，供用户使用，您可以通过自定义设置来修改或者新建模板，如下图所示，可以将“阻止图像文件”这个模板使用在仅允许存放Office档的共享文件夹中。不仅是阻止的策略，你可以设置某个文件夹只允许存放某种类型文件的策略，同时这些文件类型也都是可以自定义。3.2.2.3保障文件的安全Windows Server 2008R2文件服务器使用N

59、TFS权限来划分用户在共享文件夹中的权限Windows Server 2008R2NTFS格式卷上的共享文件夹可以在“安全”选项卡中和共享权限中设置文件夹的操作权限，权限级别分为读取、修改、完全控制三个大类，您可以设置更为具体的权限比如只能新建文件，不能修改文件等等。保障您的文件只被合适的人以合适的方式处理。这里划分权限使用的用户或组既可以使Active Directory的内容，也可以本地计算机上的账号。3.2.2.4文件服务器的备份、还原Windows Server 2008R2的文件备份还原非常便捷，用户和管理员可以通过VSS和备份工具等来进行文件服务器的备份和还原。l 卷影复制服务 (

60、VSS)卷影复制服务 (VSS) 是为卷中的数据创建时间点副本的常用结构。卷影副本通常被称为“快照”(snapshot)。VSS 的目标是为下一代数据管理应用程序提供一种有效、可靠而且有用的机制。由 VSS 实现的应用，当使用卷影复制服务时，您可以实现以下三个关键性应用。1、 使用卷影复制服务进行备份使用 VSS 的应用程序大多是备份应用程序。当使用早期Windows时，您在备份过程中必须停止服务器上的操作，或者必须忍受联机备份带来的副作用：数据不一致，以及无法备份打开的文件。在Windows Server 2008R2中，联机备份可得到一致的数据，在备份期间打开的文件也不会成为问题。VSS

61、解决问题的方法是，通过提供以下三个重要实体之间的通讯来保证备份的高度真实和恢复过程的简便。请求程序这些程序是用来请求时间点数据副本或卷影副本的应用程序，比如备份或存储管理应用程序。写入程序这些是应用程序的组件，它们负责数据通知和数据保护。例如，Active Directory 和其它应用程序服务器都会有用来通知它们的数据、位置以及备份和恢复方法的写入组件。写入程序是 VSS 区别于其它卷影副本或快照解决方案的地方。为了保证卷影副本的高度真实和一致性，在 VSS 的卷影复制过程中会涉及一些应用程序。提供程序提供程序用于暴露基于硬件或软件的卷影副本的机制。许多存储硬件供应商都会为它们的存储阵列编写

62、提供程序。Windows Server 2008R2附带了一个软件提供程序。2、 卷影副本传输借助卷影副本传输，存储管理员可以轻松地在存储区域网络 (SAN) 中传输数据。例如，假定您需要让一个生产数据库可用于数据挖掘、备份或测试。借助 VSS，您只需创建一个卷影副本并将它导出到 SAN 中，然后再将该副本导入这个 SAN 的另一个服务器上。以这种方式，您可以在几分钟内将数 TB 的数据传输到 SAN 中。唯一的要求是，您必须拥有存储阵列供应商提供的提供程序。3、 卷影副本恢复通过卷影副本恢复，用户可以查看网络文件夹内容的时间点副本。l Windows Backup 工具备份除了使用VSS对文

63、件服务器进行备份以外，还可以通Windows Server 2008R2自带的Windows Backup工具将文件服务器备份到其他服务器或者其他物理存储设备，避免因为系统故障而导致的数据丢失。3.2.2.5用户访问的便捷性用户可以通过映射网络驱动器，漫游文件夹，脱机文件夹，WEB等形式访问文件服务器。1、 IIS启用WebDAV发布文件服务器通过启用IIS中的Web 文档创作和版本控制（Web Document Authoring Versioning，WebDAV），您可以将IIS的主目录定位到您的共享文件夹，这样就可以把文件夹以Web的方式发布出去。WebDAV是行业标准的 HTTP 扩

64、展，它允许专用的 Web 发布工具更新 Web 内容。WebDAV 重定向程序为所有 Windows 应用程序提供了该功能。用户可以将 WebDAV 服务器映射为盘符，或者直接使用符合 WebDAV 通用命名约定（UNC）的名称，就像当前使用服务器消息块（SMB）或本地文件那样。WebDAV 重定向程序处理应用程序的文件请求，并通过 WebDAV 协议将它们透明地映射到支持 WebDAV 的服务器。2、 映射网络驱动器用户可以通过映射网络驱动器的形式来访问文件服务器上的共享资源，您可以通过组策略根据不同的用户设置不同的组策略为用户映射网络驱动器。3、 脱机文件夹通过配置共享文件夹的“offline Setting”，可以将共享文件夹离线使用，用户在无法联系文件服务器的时候可以离线浏览、修改文件，待与文件服务器连线后再同步文件。4、 文件夹重定向通过使用组策略，您可以使用“文件夹重定向”，将某些特殊文件夹重定向到网络位置。特殊文件夹是指位于“Documents and S