系列文章:
实战某小型企业项目系列一:需求描述
实战某小型企业项目系列二:方案设计
实战某小型企业项目系列三:项目实施规划_网络部分
实战某小型企业项目系列四:项目实施规划_系统部分
实战某小型企业项目系列五:项目验收及培训
------------------------------------------------------------
注:本项目案例来源于真实企业的实际网络环境,为避免权益纠纷,以下项目已经过适当调整,可适合于大多数以Windows服务器应用为主的小型企业。
------------------------------------------------------------

前言:

由于yye1.com公司网络设备仅有不到100台,且使用的服务器系统也不是很多,大部分应用服务不需要对Internet开放。为了便于管理和应用,使用的服务器操作系统为Windows Server 2008 R2。客户端使用Windows 7 操作系统,内部员工通过拨号路由连接Internet,具体网络拓扑如下图所示:

p_w_picpath

网络总体设计:

1)局域网环境设计:

公司局域网采用有线域无线技术相结合的方式提供互联。无线网络不仅可以作为有线网络的补充及延伸,还可以与有线网络互为备份。

对有线区域进行综合布线,安装信息模块,配线架等。采用三台交换机互联。

使用两台AP完成无线区域覆盖。设置信道,防止信号干扰。使用户轻松实现AP间漫游。

2)互联网接入设计:

公司申请8M ADSL线路接入,采用固定IP地址。在路由器的WAN接口配置ISP分配的公网IP,LAN接口配置IP地址192.168.88.1/24,为局域网提供网关功能,并开启DHCP功能,为客户端分配IP地址。

3)局域网安全设计:

为了提高局域网的安全性,必须强制关闭交换机上不使用的端口,以防止用户非法接入,配置无线AP,启用无线加密功能,并使用WPA2-PSK算法进行加密,开启隐藏SSID功能,保护无线网络安全。

系统总体设计:

根据yye1.com公司的系统设计要求(实战某小型企业项目系列一:需求描述 http://minitoo.blog.51cto.com/4201040/877978),IT项目组专门为yye1.com公司规划设计了整个公司范围内的办公自动化系统方案,本方案将从系统架构、文件服务器和打印服务器三方面做设计规划的具体介绍。

1)系统架构设计:

根据yye1.com公司的管理结构,本方案采用Windows系统提供的域模式来组织和管理全部系统资源。

(1)域设计内容:
1.基于技术层面管理Windows资源。
2.提供验证(登录)和授权(资源方向)服务。

详细内容如下:
1.企业组织内用户的登录账户和密码。
2.Windows资源对象、组、计算机对象、组织单位。
3.对域中所有用户账户应用密码策略。

(2)域命名空间:
1.基于单域结构设计,所以不存在子域名设计。
2.单域可以更加灵活地通过OU来体现组织结构的改变。
3.域名的设计方案:yye1.com 。

(3)站点拓扑:
在单域模式当中,yye1.com公司放置了两台DC,提供域控制器的容错功能,提高用户验证的效率。

(4)合理使用企业管理员和域管理的权限。。
Enterprise Admins(企业管理员组)和Domain Admins(域管理员组)是活动目录林中内置的两个管理员组,它们分别拥有管理整个活动目录林和域的权限。
把企业管理员和域管理员的数量限制在一个比较小的范围内,以便于:
1.减少来自误操作的风险。
2.只要授予IT管理团队对特定资源必要和足够的管理权限即可。
3.增强对IT操作的审核。

(5)账户策略:
默认域策略定义域中所有用户的密码策略和账户策略,不支持在同一个域中使用不同的密码策略和账户锁定策略。
1.密码复杂性。
“密码必须符合复杂性要求的设置”被启动时,必须遵守下列规则。
*不能包含用户账户名的全部或部分。
*长度至少为6个字符。
*至少包含下面四类字符中的三类。
   !至少大写字符(从A到Z)。
   !英文小写字符(从a到z)。
   !10个基本数字(从0到9)。
   !非字母字符(如?!@#¥%&*)。
2.账户锁定。
通过设置账户锁定时间来保护企业免受密码猜测***,并减少密码锁定带来的管理员负担。设置账户锁定阈值和复位账户锁定计数器,使用户只需等待指定时间,账户便会自动解锁,无需呼叫桌面维护人员执行解锁工作。

域控制器的具体配置见下表:

 公司域控制器
服务器名称DC
IP地址192.168.8.10
首选DNS服务器IP地址192.168.8.10
备用DNS服务器IP地址192.168.8.11
FQDNdc.yye1.com
文件系统NTFS
操作系统Windows Server2008 R2

额外域控制器的具体配置见下表:

 公司额外域控制器
服务器名称BDC
IP地址192.168.8.11
首选DNS服务器IP地址192.168.8.10
备用DNS服务器IP地址192.168.8.11
FQDNbdc.yye1.com
文件系统NTFS
操作系统Windows Server 2008 R2

2)文件服务器设计:

将企业中的文件分类,统一存放到一台或多台文件服务器上,客户端不再存放企业的重要文件,并且所有文件共享操作都要在服务器完成,禁止用户自行共享文件。

yye1.com公司的文件服务器解决方案将使用Windows Server 2008 R2来做文件服务器,它在文件服务器管理方面具有以下优势:

1.良好的管理特性。
在Windows Server 2008 R2文件服务器上的资源可以进行有效的管理,根据需要,分配不等的存储空间。另外为了保障企业投资,文件服务器必须支持对文件类型的存储限制,不符合企业规定的文件不允许存放在文件服务器上。

2.安全性。
配合Windows域环境使用文件服务器,并在此基础上有效划分用户的操作权限,不同权限的人访问不同的文件,保证文件服务器的数据安全。

3.备份和还原特定。
作为企业中最重要的信息资源,文件服务器必须具备良好、快速的备份恢复功能,当出现文件丢失或物理设备损坏时,通过Windows Server Backup可以有效地恢复文件数据。

4.用户体验。
新的文件服务器部署完成后,结合Windows域的组策略,用户可以非常便捷地访问到个人的文件及公司内部共享的文件。

5.提供报表、修改追踪功能。
Windows文件服务器针对文件存储区域提供数据报表,可以让管理员了解文件存储区域的空间利用率、存储空间占用排行、存储空间占用文件类型数据统计,另外通过审核功能,管理员可以对用户操作行为进行有效控制。

文件服务器的具体配置见下表:

 公司文件服务器
服务器名称Files
IP地址192.168.8.20
首选DNS服务器IP地址192.168.8.10
备用DNS服务器IP地址192.168.8.11
FQDNfiles.yye1.com
访问权限授权用户访问
访问方式远程访问
存储空间远程不少于500G
文件系统NTFS
操作系统Windows Server 2008 R2

3)打印服务器设计。

文件打印是企业办公的基本需求,但在企业中,一般出于成本的考虑,不会为每个用户单独配置打印机,而是通过采取一些解决方案,使打印机成为办公网络中的独立节点,yye1.com公司原有一台打印机,为了节约成本,不在重新购买新的打印机,而是将原来的打印机连接到网络中的打印服务器,计算机用户通过网络远程进行打印。

打印服务器的具体配置见下表:

 公司打印服务器
服务器名称Printer
IP地址192.168.8.21
首选DNS服务器IP地址192.168.8.10
备用DNS服务器IP地址192.168.8.11
FQDNprinter.yye1.com
访问方式共享远程打印
文件系统NTFS
操作系统Windows Server 2008 R2
打印机型号HP LaserJet 2100