HT公司网络架构解决方案.docxVIP

介绍此方案的目的是为HT公司设计全新网络架构，为了使方案得到审评后能尽快上线，方案中将基于现有最成熟的微软技术来满足公司的各种需求。在介绍完企业的完整网络架构后，方案将会详细说明哪些系统的角色、功能和软件会被使用。这些组件将会被划分至数个服务中详细说明，这样做的目的不是将组件独立化，而是将他们按功能分类，使方案更具条理。解决方案简介网络架构公司与Internet的接入方式是百兆带宽，局域网为千兆网络，为了方便公司员工上班时接入公司网络，便携式计算机不仅可以使用有线接入物理网络，也可以通过架设在公司各处的无线AP连入公司网络。员工在外出差或在家时，可以通过VPN（方案中未定义）或Web access两种方式访问内部资源。图表1网络分割从企业的最佳安全实践和其他方面角度考虑，我们需要将公司的内网划分成三个区域，分别存放服务器、员工客户端以及测试用计算机，这三个区域通过使用路由器来连接。对于拥有1500名员工与50名临时员工的客户端网络，我们必须进行网络分割，以避免网络内部产生过多的广播数据包。在每一办公室设一台交换机，每一楼层设置一台路由器，每一幢楼再有一台核心路由器连接这些楼层路由器（实际情况应该是用楼层交换机划分VLAN的方式连接各办公室交换机）。图表2其他在本方案中，由于未涉及群集与负载均衡等高级功能，所以除非特别注明，则服务器的操作系统均使用windows server 2008 R2 标准版。服务设计基础结构服务DNS服务企业内部的资源访问需要名称解析服务即将IP地址与域名进行转换，我们选择使用Windows Server 2008 R2中的DNS角色。DNS服务器将会在搭建活动目录时安装到域控制器上。其名称空间将与活动目录名称空间相同。随后在第二台DC上我们将再次安装DNS角色，以服务提供冗余。DHCP服务为了简化企业内便携式计算机的网络通信问题，DHCP服务可以提供动态的地址分配机制，让计算机自动获得IP地址以实现通信，从而简化客户端网络配置。但对于服务器应该手动分配固定IP。由于两台DC的负载并不重，所以DHCP角色将会被分别安装在两台DC上，并且需要得到活动目录授权。随后我们会在两台服务器上分别配置DHCP 地址池，实现服务的冗余。图表3目录服务目录服务是所有服务中最重要的，因为它是所有其他服务的基础。公司采用域的网络架构可以实现企业内部共享资源的集中管理与控制，从而可以有效节省员工查找资源的时间。在此解决方案中我们使用活动目录来创建一个Windows Server 2008 的域,域名为: HT.com。由于公司的地理位置，以及多域架构将会增加企业IT环境维护成本等原因，故整个公司将采用单域、单森林的网络架构。活动目录物理结构鉴于活动目录对企业的重要性，方案中将采用两台DC，同时为公司内员工提供服务，这样不仅仅提高活动目录的可靠性，同时也提升了员工查找资源的效率。图表4活动目录逻辑结构一旦AD被搭建，我们就需要依据企业的管理模型开始创建OU和组，实现对企业内的不同用户和计算机的管理。图表5方案中，我们在活动目录用户和计算机控制台中创建一个“根”OU，命名为：HT。在“HT”OU中，我们将依据部门来创建二级OU，再依据二级OU中存放的对象类型来创建三级OU。创建的原则为：分别为不同部门创建一个OU，临时员工账户均归入到“临时部门”OU；计算机账户与用户账户需要分开存放；服务器的计算机账户应该单独一个OU，两台DC除外。组策略域组策略可以帮助简化企业IT管理，实现客户端配置的自动化。当相应的OU被创建出来后，组策略对象（GPOs）将会被链接到OU上，来实现：用户配置文件中的主文件夹与文件夹重定向集中的软件分发软件限制策略客户端自动配置补丁更新源为本地WSUS服务器客户端脱机文件的启用账户安全策略客户端防火墙自动配置BitLocker配置…桌面服务新引进的计算机需要统一安装最新的windows 7 专业版系统，在部署客户端系统时应该同时把相应的软件全部安装完毕。为了满足企业部署客户端的要求，我们采用windows server 2008 R2中的windows 部署服务（WDS）WDS两个组件将被安装在一台单独的服务器上，WDS服务器被配置为需要管理员批准后才能部署系统，并且在大规模部署客户端完成后，也可以随时接受客户端安装系统的请求。在部署windows 7专业版之前，我们需要单独安装一台样机（所有软件安装完毕），使用捕获映像将其捕获为wim映像，随后再部署给客户端计算机。同时为了让用户第一次登录时的计算机桌面使用公司logo，以及要求临时员工的账户配置文件应该存储在公司服务器上，在此我们将采用以下技术：域默认配置文件：在其中一台DC的netlogon文件夹下放置预置好的配置文件，两台DC间会同步netlogon文