XXX科技有限公司
信息化规划方案
2013.4
一.前言
经过多年经营,公司业务和规模在不断发展,公司管理层和IT相关同事也认识到通过信息化手段可以更好地支撑公司业务运营、提高企业生产和管理效率。同时随着新建办公大楼的落成,IT也需要对整个集团的信息化和企业IT基础架构进行规划和建设。目前主要分为以下两部分:
企业IT基础架构规划:主要包括企业局域网基础网络拓扑规划和企业IT信息化基础软件系统规划等。
企业信息安全架构规划:信息安全体系的总体方针和策略、技术体系架构、管理体系、培训体系等。
本方案主要是针对企业IT基础架构进行规划、信息安全架构规划。
1.1.信息系统建设目标
XXX企业信息系统,它以大数据中心为主体,连接人力资源管理、生产管理、销售管理、研发管理、财务管理等各子系统,是以公司日常业务为中心,辅助公司领导决策的计算机信息系统。
目标解析:
1.构造一个既能覆盖本地又能与外界进行网络互通、共享信息、既能保证安全,又能展示企业的计算机企业网。
设备选型上必须在技术上具有先进性,通用性,必须便于管理、维护,具有较好的可扩展性,为今后的网络扩容作好准备。
2.采用信息化办公平台,提高企业管理效率、降低企业信息传递成本,提高员工工作效率,通过自主开发、购买等手段,将业界优秀的产品集成于该综合网络平台之中。
二.企业信息化总体规划
下图是企业信息化总体规划总览图,主要分为:IT基础架构、信息安全管理、信息系统实施三个方面。
三.IT基础架构规划拓扑图 3.1集团整体架构设计
3.2分公司基础架构设计
四.系统设计方案 4.1系统设计总体需求
本项目的实施目的是在旭日集团内部建立稳定,高效的办公自动化网络,通过项目的实施,为所有员工配桌面PC,使所有员工能够通过总部网络进入internet,从而提高所有员工的工作效率和加快企业内部信息的传递。同时需要建立WEB服务器,用于在互联网上发布企业信息。在总部和子公司均设立专用发服务器,使集团内所有员工能够利用服务器方便的访问公共文件资源,并能够完成企业内部邮件的收发。系统建立完成后,要求能满足企业个方面的应用需求,包括办公自动化,邮件收发,信息共享和发布,员工帐户管理,系统安全管理等。
4.2系统设计原则
随着集团近年来的高速发展,集团的业务已经涉及到各个商业领域,集团及公司内部的组织结构也日益复杂,在本项目的设计实施过程中,要求工程实施方案在规划系统设计时充分考虑到企业管理的需求,设计合理的系统管理结构,能够很大程度的降低集团在系统管理上的成本,并能满足各种商务工作的需求,具体设计应依据以下原则:
清晰的逻辑结构:要求集团范围内的系统管理结构清晰,层次分明,能够充分的与集团的管理结构相吻合。集团总部和各个分公司应是相互独立的管理单元,各个单位在自己公司范围内实现用户账户及网络安全的管理。总部管理员有权管理各个子公司的系统
便于管理:整个系统设计要便于网络管理员的管理,在系统中提供便于管理员管理的各种有效方式。使管理员在任何一个位置均能对服务器进行维护和管理。集团总部及各分公司都有专职系统管理员,应保障管理员只对本公司具有管理权限。总部管理员对集团所有系统有管理权限。
简单的设计:在保障满足需求的前提下,设计方案应简单为佳,避免由于复杂的设计增加工程实施难度和增加集团系统管理的复杂性。
合理的用户管理:所有的用户采用统一的命名规则,每个单位对本单位员工帐户进行独立的管理,并按不同部门管理账
号。 4.3系统设计方案 4.3.1 系统的构价
⑴根据集团的管理结构。本方案采用Windows系统提供的域模式来组织和管理全部系统资源,采用域的模式,不仅可以集中存储网络对象,并且管理简单,即实现了集中管理,又可以满足不同公司自身的安全需求。方案中将集团按公司单位划分不同的模块,集团总部作为域林的根,每个子公司为一个独立的域或者域树,形成一个完整的树状结构。采用这种结构,可以将网络中的全部资源,分散到每个域的域控制器中存储,减少了每台域控制器的信息存储,从而减少复制流量和网络对象的查询时间。具体的实现如下图:
根域:xuri.com 森林 同一个站点 集团总部 北京分公司:xuribeijing.com 子公司1:one.xuri.com 子公司2:two.xuri.com 上海分公司:shanghai.com 子公司3:three.xuri.com 子公司4:four.xuri.com
在此构架设计中,旭日集团需要自己的独立的域名,所以在设计林中
树,武汉的4个子公司作为总部的子域,北京和上海分公司作为一单独的域树, 由于所有的资源都位于园区网内,具有高速的网络连接,因此所有的域均在一个站点内。即使域中的一台域控制器发生故障,仍然能保障系统的正常运行。并且提高了用户身份验证的速度。 操作主机分配:操作主机域中扮演着重要的角色,直接影响到域是否能够正常工作,在Windows2003的域中,一共有五种操作主机,分别是构架主机,域名主机,RID主机,PDC仿真器,结构主机。其中前面2种在林范围内起作用,后面3种在域范围内起作用,为了使用所有的操作主机更好的工作,保障正常的工作并且不产生大的复制流量,方案采用了Windows系统默认的设置,根域中第一台DC承担了五种操作主机的角色,每个子域中的 第一台DC承担了域范围内的三种操作主机角色。 4.3.2系统管理设计
在系统设计时包括三个部分,分别是OU,用户及组的设计,为了更好的满足集团的需要,便于系统管理员方便管理企业中的所有用户,系统管理结构与集团的管理结构相匹配,方案中采用了如下所述的设计。
OU的设计
集团的OU设计目的是为了使用用户管理更有效率,结构更加清晰,并能够使系统的管理结构与集团的商业模型相匹配。在本方案中按部门划分OU的方法,将每个公司中以部门为单位创建OU,并在部门OU中保存该部门的用户帐户,
计算机帐户及组采用这种设计的方法,可以在系统管理中清楚的体现公司的管理结构,一般情况下,一个部门内部中的用户常常有相似的安全需求,利用这样的设计方法,也可以方便的将安全策略应用到某个部门。 拥护管理
为了规范用户帐户的管理,系统中所有的用户采用统一的命名规范,每个用户在网络中拥有唯一的登陆名。用户帐户在所属的部门的OU中创建。 组的管理
为了满足集团用户管理的需求,更好的在网络中管理用户权限的分配,使系统的管理得到最大的简化,方案中采用AGDLP策略及AGUDLP策略。在每个域中创建全局组,用与组织本域的帐户,在没个域中创建域本地组,用于完成权限的指派。在本域内的权限的分配,可以使用AGDLP策略,在域间的权限分配,使得AGDLP策略,依次将用户加入全局组,将全局组加入通用组,在将通用组加入域本地组,最后可以根据需要将权限授予指定的域本地组,采用这样的方式,不仅可以使用户的组织和权限分配简单,也可以减少域间的复制流量,从而提高系统的性能。如图所示: 全局组
用户 用户 通用组 域本地组 通用组 全局组 分配权限
4.3.3系统的安全设计
在设计方案中,安全的设计主要分2个部分,首先是ISA Server的应用,通过ISA Server的配置,建立软件防火墙,保护集团内部网络不受外部用户的攻击,同时利用ISA Server提供的网站过滤功能和服务器发布功能,对企业内部用户的上网行为进行规范,并能保障服务器的安全使用。其次,在方案设计中,充分应用Window系统提供的组策略功能,利用组策略,可以在每个公司的域中设计安全策略。防止用户进行非授权的访问,保护用户在工作环境不受破坏。具体的设计方案如下:
ISA Server:ISA Server是微软公司出品的软件防火墙代理服务器产品,它不仅可以起到代理服务器的缓存作用,也能实现防火墙的功能,通过软件防火墙上设置过滤规则,可以控制内部用户对网站的访问,同时利用其提供的服务器发布功能,也可以将企业内部的服务器发布到Internet上,提供互联网的访问,在本方案的设计中,主要利用了网站过滤和服务器发布的功能,在集团中心即房安装和配置ISA服务器,继承防火墙功能和代理服务器的功能,将集团总部及子公司的WEB服务器及MAIL服务器发布到互联网上。集团中所有的客户端做为ISA的客户端,所有的互联网的访问均通过ISA服务器转发,这样,就可以在ISA服务器上对所有网络流量进行监控并对实现网络访问的过滤。具体部署如图:
xuri.com 对外发布WEB MAIL ISA Server 森林 树 ISA Client ISA Client
防火墙功能:ISA服务器位于企业网络和外网之间,采用三网卡分别连接内网和外网和DZM区,充分利用防火墙的角色,并利用网站和内容规则来限制用户能够访问的网站 服务器发布:利用ISA服务器将企业中的邮件和WEB服务器发布到互联网上,保证外部用户可以访问公司的WEB服务器,并将公司用户可以与外部客户利用邮件交换信息。 客户端:在所有用户计算机上安装ISA客户端软件,并配置浏览器使用ISA Server作为代理服务器上网。
安全策略:在Windows系统中的域模式下,安全策略是保
护系统及用户在工作环境不被破坏的重要工具,在本方案中采用了组策略这个工具对全部系统提供安全保护,由于集团各个子公司采用独立的管理模式,所以在每个域中单独设置组策略,并使组策略应用到每个域中的用户和计算机。各个子公司的系统管理员可以独立的管理子公司的域,并可以在以后修改和编辑组策略,以适应公司未来的需求。在本方案中,根据集团的目前的需求,建立了基本的组策略 ⑴ 密码长度最小值为7 ⑵ 密码最长存留期为30天 ⑶ 密码过期期限为50天 ⑷ 帐户锁定阀值为5次无效登陆 ⑸ 启动密码必须符合复杂性需求策略 五、Windows服务器解决方案 5.1. WEB服务器
微软Windows Server 2003中的IIS 6.0为用户提供了集成的、可靠的、可扩展的、安全的及可管理的内联网、外联网和互联网Web服务器解决方案。IIS 6.0经过改善的结构可以完全满足全球客户的需求。 优点
IIS 6.0 和 Windows Server 2003在网络应用服务器的管理、可用性、可靠性、安全性、性能与可扩展性方面提供了许多新的
功能。IIS 6.0同样增强了网络应用的开发与国际性支持。IIS 6.0和 Windows Server 2003提供了最可靠的、高效的、连接的、完整的网络服务器解决方案。
特点 可靠性与可伸缩性 描述 IIS 6.0提供了更智能的、更可靠的Web服务器环境,新的环境包括应用程序健康监测、应用程序自动地循环利用。其可靠的性能提高了网络服务的可用性并且节省了管理员用于重新启动网络服务所花费的时间,IIS 6.0将提供最佳的扩展性和强大的性能从而充分发挥每一台Web服务器的最大功效。 更安全、易于管理 IIS 6.0在安全与管理方面做出了重大的改进。安全性能的增强包括技术与需求处理变化两方面。另外,增强了在安全方面的认证和授权。IIS 6.0的默认安装是被全面锁定的,这意味着默认系统的安全系数就被设为最大,它提供的增强的管理性能改善了XML metabase的管理及新的命令行工具。 服务器合并 IIS 6.0是一个具有高伸缩性的Web服务器,它为Web服务器的合并提供了新的机遇。通过将可靠的体系结构和内核模式驱动程序完美结合在一起,IIS 6.0允许您在单台服务器上托管更多的应用程序。服务器合并还可以降低企业与人工、硬件以及站点管理相关的成本。 增强的开发与国际通过Windows Server 2003 与IIS 6.0支持的先进功能如内核模式缓存,应用程序开发人化支持 员将从Windows Server 2003 与IIS 6.0 单一的、完整的应用平台环境中受益。基于IIS 6.0,Windows Server 2003为开发者提供高标准的附加功能,包括快速应用程序开发以及广泛的语言选择,同时也提供了国际化支持和支持最新的Web标准。 更高的安全性 IIS 6.0显著改进了Web服务器的安全性。IIS 6.0在默认情况下处于锁定状态,从而减少了暴露在攻击者面前的攻击表面积。此外,IIS 6.0的身份验证和授权功能也得到了改进。IIS 6.0还提供了更多更强大的管理功能,改善了对XML元数据库(metabase)的管理,并且提供了新的命令行工具。IIS 6.0在降低系统管理成本的同时,大大提高了信息系统的安全性。 Web服务器更高的可靠性和可用性
IIS 6.0已经经过了广泛的重新设计,以提高Web服务器的可靠性和可用性。新的容错进程架构和其它功能特性可以帮助用户减少不必要的停机时间,并提高应用程序的可用性。 功能特性 容错进程架构 描述 IIS 6.0的容错式进程架构将Web站点和应用程序隔离到一个自包含的单元之中(又称应用程序池)。应用程序池为管理员管理一组Web站点和应用程序提供了便利,同时提高了系统的可靠性,因为一个应用程序池中的错误不会引起另外一个应用程序池或者服务器本身发生故障。 健康状况监视 IIS 6.0定期检查应用程序池的状态,并自动重新启动应用程序池中发生故障的Web站点或应用程序,从而提高了应用程序的可用性。通过自动禁用在短时间内频繁发生故障的Web站点和应用程序,IIS 6.0可以保护服务器和其它应用程序的安全。 自动进程回收 IIS 6.0可以根据一组灵活的标准和条件——例如CPU利用率和内存占用情况,自动停止和重新启动发生故障的Web站点和应用程序,同时将请求放入队列。IIS 6.0还可以在回收一个工作进程时对客户机的TCP/IP连接加以维护,将Web服务客户端应用程序与后端不稳定的Web应用程序隔离开来。 快速的故障保护 如果某个应用程序在短时间内频繁发生故障,IIS 6.0将自动禁用该程序,并且向所有新发出和排入队列的针对该应用程序的请求返回一个“503服务不可用”错误信息。例如,此外,还可以触发某些定制操作,例如触发一个调试操作或者向管理员发出通知。快速故障保护可以保护Web服务器免遭拒绝服务攻击。 更加轻松的服务器管理
借助IIS 6.0,Web基础结构的管理工作变得比以往更加轻松和灵活,从而为企业节约IT管理成本带来了新的机遇。 功能特性 基于XML的配置文件 描述 IIS 6.0中XML格式的纯文本元数据库(metabase)为发生故障的服务器带来了经过改进的备份和恢复功能。此外,它还提供了得到改进的故障处理和元数据库损坏恢复。使用常见的文本编辑工具对其进行直接编辑提供了更为出色的可管理性。 运行程序的同时对其进行编辑 在服务器保持运行的同时,IIS 6.0允许管理员对服务器配置做出各种修改。例如,管理员可以使用该特性添加一个新的站点,创建虚拟目录,或者修改应用程序池和工作进程的配置——所有这些都是在IIS 6.0继续处理请求的同时发生的,并且无需进行重新编译或者重新启动服务器。 基于命令行和脚本的管理 IIS 6.0的管理员可以使用Windows Server 2003的命令行工具完成很多常见的管理工作。利用一个简单的命令,管理员即可管理多个本地或远程计算机。IIS 6.0还提供了一个完整的脚本环境,以在不使用图形用户界面的情况下,从命令行自动完成多种常见的管理任务。 对WMI的支持 IIS 6.0全面支持Windows Management Instrumentation(Windows管理规范,WMI), Web管理员可以通过它获取重要的企业管理数据,例如性能计数器和配置文件。WMI的接口从本质上说类似于继续享受支持的Microsoft Active Directory® Service Interfaces(ADSI),可以在管理脚本中使用,并且可以用来修改基于XML的配置元数据库。 服务器合并
和先前版本相比,IIS 6.0的性能已经得到了极大的提高,现在,单台服务器即可托管更多的站点和应用程序。
功能特性 站点伸缩性 描述 IIS 6.0改进了操作系统使用内部资源的方法。例如,在初始化过程中,IIS 6.0不会预先分配资源。通过运行IIS 6.0,您可以在单台服务器上管理更多的站点和并发执行更多的工作进程。和IIS的先前版本相比,服务器的启动和关闭过程更加快捷。所有这些改进都使得IIS 6.0能够以更大的伸缩性对站点进行管理. 新的内核模式驱动程序,HTTP.sys Windows Server 2003引入了一种新的内核模式驱动程序,即HTTP协议堆栈(HTTP.sys),并使用它进行HTTP的解析和缓存,从而大大提高了系统的伸缩性和性能表现。IIS 6.0便建立在HTTP.sys的基础之上,并且针对提高Web服务器的吞吐量这一目的进行了特别的优化和调整。 Web园 IIS 6.0的工作进程隔离模式还允许多个工作进程被配置到针对某个给定应用程序池的服务请求上,这种配置又被称作Web园(Web garden)。 处理器关联 如果设置了处理器关联,IIS 6.0的工作进程便可以运行在指定的 微处理器或CPU上。处理器关联还可以和运行在多处理器计算机之上的Web园配合使用,在这些计算机上,CPU群集专门共指定的应用程序池使用。 更快捷的应用程序开发
通过提供一组全面完善的集成化应用程序服务和领先于业界的工具,Windows Server 2003应用程序环境大大改善了开发人员的工作效率和生产力。 功能特性 ASP.NET和IIS的集成 描述 通过将ASP.NET和IIS集成在一起,Windows Server 2003提供了更为美妙的开发体验。Windows Server 2003的各种增强建立在IIS 6.0的基础之上,为开发人员提供了高水平的功能特性,例如快速应用程序开发(RAD)和广泛灵活的语言选择。在Windows Server 2003中,使用ASP.NET和.NET Framework的得到了进一步优化,因为用来处理请求的体系架构与IIS 6.0紧密集成在一起。 Microsoft .NET Microsoft .NET Framework允许开发人Framework 员在ASP.NET和其它技术的帮助下创建优秀的Web应用程序。此外,它还可以帮助他们开发与他们目前正在设计和开发的应用程序完全相同的程序。.NET Framework和语言无关;实际上您可以使用任何语言为它开发程序。开发人员可以使用各种语言构建基于.NET的应用程序和服务,包括: Microsoft Visual C++® .NET、Visual Basic® .NET、JScript®以及Visual C# .NET。 XML Web 服务 IIS 6.0提供了一个高性能的XML Web服务平台。XML Web服务为用户远程访问服务器功能提供了手段。通过使用Web服务,企业可以将编程接口暴露给他们的数据或业务逻辑,也可以通过客户端和服务器应用程序获得和操纵这些数据和业务逻辑。 跨越组织地理边界的信息共享 跨越组织的地理边界使用各种语言进行信息共享正在经济全球化浪潮中发挥越来越大的作用。过去,HTTP协议的非Unicode结构将开发人员限制在系统代码页上。现在,利用经过UTF-8(UCS Transformation Format 8)编码的URL ,Unicode成为了可能,它带来的好处之一便是:人们可以支持更复杂的语言了,例如中文。IIS 6.0允许用户使用Unicode访问服务器变量。此外,它还添加了新的服务器支持函数,允许开发人员访问以Unicode形式表述的URL地址,因此改善了产品的国际化支持能力。 更高的安全性 IIS 6.0远比能特性,能够在默认状况下最为可靠的超功能特性 锁定服务器 IIS 4x 或 IIS 5x安全,它拥有很多新的功大大提高您的Web基础结构的安全性。此外,,IIS 6.0即处于“锁定”状态,同时具有时设置和内容限制。
描述 IIS 6.0在安全性方面进行了很大的加强。为了减少系统向外界暴露的攻击表面积,IIS 6.0默认情况下不会安装在Windows Server 2003之中——管理员必须明确地选择该组件并安装它。IIS 6.0缺省即处于锁定状态下,并仅仅能够为用户提供静态内容。通过使用Web服务扩展节点,Web站点的管理员可以根据组织的特殊需要,启用或禁用某些IIS功能。 Web服务扩展列表 默认情况下的IIS安装不会编译、执行或者提交任何动态页面。为了向用户提供这些文件,您必须在Web服务扩展列表中添加每个允许提交的文件扩展名。这种做法可以防止某些人调用一些不够安全的动态页面。 默认的低权限账户 所有IIS 6.0的工作进程默认情况下都使用“网络服务”用户账户运行,这个在Windows Server 2003中新增加的账户类型是一种拥有有限操作系统权限的内置账户。所有的ASP内置功能都使用低权限账户(匿名用户)在系统中运行。 授权 IIS 6.0对Windows Server 2003内置的新的授权框架进行了进一步的扩展。此外,Web应用程序可以使用URL授权——以及授权管理器(Authorization Manager)——对用户的访问加以控制。现在,受约束的委派授权使得域管理员只能向特定的计算机和服务进行委派操作。 web应用服务器集群系统,是由一群同时运行同一个web应用的服务器组成的集群系统,在外界看来,就像是一个服务器一样。为了均衡集群服务器的负载,达到优化系统性能的目的,集群服务器将众多的访问请求,分散到系统中的不同节点进行处理。从而实现了更高的有效性和稳定性,而这也正是基于Web的企业应用所必须具备的
特性。
高可靠性可以看作为系统的一种冗余设定。对于一个特定的请求,如果所申请的服务器不能进行处理的话,那么其他的服务器能不能对之进行有效的处理呢?对于一个高效的系统,如果一个Web服务器失败的话,其他的服务器可以马上取代它的位置,对所申请的请求进行处理,而且这一过程对用户来说,要尽可能的透明,使用户察觉不到!
稳定性决定了应用程序能否支持不断增长的用户请求数量,它是应用程序自身的一种能力。稳定性是影响系统性能的众多因素的一种有效的测量手段,包括机群系统所能支持的同时访问系统的最大用户数目以及处理一个请求所需要的时间。
在现有众多的均衡服务器负载的方法中,广泛研究并使用的是以下两个方法:
DNS负载平衡的方法RR-DNS(Round-Robin Domain Name System) 负载均衡器
DNS轮流排程 RR-DNS(Round-Robin Domain Name System) 域名服务器(Domain Name Server)中的数据文件将主机名字映射到其IP地址。当你在浏览器中键入一个URL时(例如:www.loadbalancedsite.com),浏览器则将请求发送到DNS,要求其返回相应站点的IP地址,这被称为DNS查询。当浏览器获得该站点的IP地址后,便通过该IP地址连接到所要访问的站点,将页面展现在用户面前。
域名服务器(DNS)通常包含一个单一的IP地址与该IP地址所映射的站点的名称的列表。在我们上面所假象的例子中,www.loadbalancedsite.com 这个站点的映射IP地址为203.24.23.3。
为了利用DNS均衡服务器的负载,对于同一个站点来讲,在DNS服务器中同时拥有几个不同的IP地址。这几个IP地址代表集群中不同的机器,并在逻辑上映射到同一个站点名。通过我们的例子可以更好的理解这一点,www.loadbalancedsite.com将通过下面的三个IP地址发布到一个集群中的三台机器上: 203.34.23.3 203.34.23.4 203.34.23.5
在本例中,DNS服务器中包含下面的映射表: www.loadbalancedsite.com 203.34.23.3 www.loadbalancedsite.com 203.34.23.4 www.loadbalancedsite.com 203.34.23.5
当第一个请求到达DNS服务器时,返回的是第一台机器的IP地址203.34.23.3;当第二个请求到达时,返回的是第二台机器的IP地址203.34.23.4,以此类推。当第四个请求到达时,第一台机器的IP地址将被再次返回,循环调用。
利用上述的DNS Round Robin技术,对于某一个站点的所有请求将被平均的分配到及群中的机器上。因此,在这种技术中,集群中的所有的节点对于网络来说都是可见的。
DNS 轮流排程的优势
DNS Round Robin的最大的优点就是易于实现和代价低廉: 代价低,易于建立。 为了支持轮流排程,系统管理员只需要在DNS服务器上作一些改动,而且在许多比较新的版本的DNS服务器上已经增加了这种功能。对于Web应用来说,不需要对代码作任何的修改;事实上,Web应用本身并不会意识到负载均衡配置,即使在它面前。
简单. 不需要网络专家来对之进行设定,或在出现问题时对之进行维护。
DNS 轮流排程的缺点
这种基于软件的负载均衡方法主要存在两处不足,一是不实时支持服务期间的关联,一是不具有高可靠性。
不支持服务器间的一致性。服务器一致性是负载均衡系统所应具备的一种能力,通过它,系统可以根据会话信息是属于服务器端的,还是底层数据库级别的,继而将用户的请求导向相应的服务器。而DNS轮流排程则不具备这种智能化的特性。它是通过cookie、隐藏域、重写URL三种方法中的一种来进行相似的判断的。当用户通过上述基于文本标志的方法与服务器建立连接之后,其所有的后续访问均是连接到同一个服务器上。问题是,服务器的IP是被浏览器暂时存放在缓存中,一旦记录过期,则需要重新建立连接,那么同一个用户的请求很可能被不同的服务器进行处理,则先前的所有会话信息便会丢失。
不支持高可靠性。设想一个具有N个节点的集群。如果其中的一个节点毁坏,那么所有的访问该节点的请求将不会有所回应,这是任何人都不愿意看到的。比较先进的路由器可以通过每隔一定的时间间隔,对节点检查,如果有毁坏的节点,则将之从列表中去除的方法,解决这个问题。但是,由于在Internet上,ISPs将众多的DNS存放在缓存中,以节省访问时间,因此,DNS的更新就会变得非常缓慢,以至于有的用户可能会访问一些已经不存在的站点,或者一些新的站点得不到访问。所以,尽管DNS轮流排程在一定程度上解决了负载均衡问题,但这种状况的改变并不是十分乐观和有效的。
除了上面介绍的轮流排程方法外,还有三种DNS负载均衡处理分配方法,将这四种方法列出如下:
Ø Round robin (RRS): 将工作平均的分配到服务器 (用于实际服务主机性能一致)
Ø Least-connections (LCS): 向较少连接的服务器分配较多的工作(IPVS 表存储了所有的活动的连接。用于实际服务主机性能一致。) Ø Weighted round robin (WRRS): 向较大容量的服务器分配较多的工作。可以根据负载信息动态的向上或向下调整。 (用于实际服务主机性能不一致时)
Ø Weighted least-connections (WLC): 考虑它们的容量向较少连接的服务器分配较多的工作。容量通过用户指定的砝码来说明,可以根据装载信息动态的向上或向下调整。(用于实际服务主机性能不一致时)
负载均衡器
负载均衡器通过虚拟IP地址方法,解决了轮流排程所面临的许多问题。使用了负载均衡器集群系统,在外部看来,像是具有一个IP地址的单一服务器一样,当然,这个IP地址是虚拟的,它映射了集群中的每一台机器的地址。所以,在某种程度上,负载均衡器是将整个集群的IP地址报漏给外部网络。
当请求到达负载均衡器时,它会重写该请求的头文件,并将之指定到集群中的机器上。如果某台机器被从集群中移除了,请求不会别发往已经不存在的服务器上,因为所有的机器表面上都具有同一个IP地址,即使集群中的某个节点被移除了,该地址也不会发生变化。而且,internet上缓存的DNS条目也不再是问题了。当返回一个应答时,客户端看到的只是从负载均衡器上所返回的结果。也就是说,客户端操作的对象是负载均衡器,对于其更后端的操作,对客户端来讲,是完全透明的。
负载均衡器的优点
服务器一致性. 负载均衡器读取客户端发出的每一个请求中所包含的cookies或url解释。基于所读出的这些信息,负载均衡器就可以重写报头并将请求发往集群中合适的节点上,该节点维护着相应客户端请求的会话信息。在HTTP通信中,负载均衡器可以提供服务器一致性,但并不是通过一个安全的途径(例如:HTTPS)来提供这种服务。当消息被加密后(SSL),负载均衡器就不能读出隐藏在其中的会话信息。
通过故障恢复机制获得高可靠性. 故障恢复发生在当集群中某个节点不能处理请求,需将请求重新导向到其他节点时。主要有两种故障恢复:
请求级故障恢复。当集群中的一个节点不能处理请求时(通常是由于down机),请求被发送到其他节点。当然,在导向到其他节点的同时,保存在原节点上的会话信息将会丢失。
透明会话故障恢复。当一个引用失败后,负载均衡器会将之发送到集群中其他的节点上,以完成操作,这一点对用户来说是透明的。由于透明会话故障恢复需要节点具备相应的操作信息,因此为了实现该功能,集群中的所有节点必须具有公共存储区域或通用数据库,存储会话信息数据,以提供每个节点在进行单独进程会话故障恢复时所需要的操作信息。
统计计量。既然所有的Web应用请求都必须经过负载均衡系统,那么系统就可以确定活动会话的数量,在任何实例访问中的活动会话的数目,应答的次数,高峰负载次数,以及在高峰期和低谷期的会话的数目,还有其他更多的。所有的这些统计信息都可以被很好的用来调整整个系统的性能。 负载均衡器的缺点
硬件路由的缺点在于费用、复杂性以及单点失败的。由于所有的请求均是通过一个单一的硬件负载均衡器来传递,因此,负载均衡器上的任何故障都将导致整个站点的崩溃。 HTTPS请求的负载均衡
正如上面所提到的,很难在那些来自HTTPS的请求上进行负载均衡和会话信息维护处理。因为,这些请求中的信息已经被加密了。负载均衡器没有能力处理这类请求。不过,这里有两种方法可以解决这一问题:
代理网络服务器 硬件SSL解码器
代理服务器位于服务器集群之前,首先由它接受所有的请求并对之进行解密,然后将这些处理后的请求根据头信息重新发往相应的节点上,这种方式不需要硬件上的支持,但会增加代理服务器的额外的负担。
硬件SSL解码器,则是在请求到达负载均衡器之前,先经由它进行解密处理。这种方式比代理服务器的处理速度要快捷一些。但代价也高,而且实现比较复杂。
5.2 FTP服务器角色:配置文件服务器
文件服务器提供网络上的中心位置,可供您存储文件并通过网络与用户共享文件。当用户需要重要文件(比如项目计划)时,他们可以访问文件服务器上的文件,而不必在各自独立的计算机之间传送文件。如果您的网络用户需要对相同文件和可通过网络访问的应用程序的访问权限,就要将该计算机配置为文件服务器。 开始之前将计算机配置为文件服务器之前,请验证是否:
• 正确配置了操作系统。在 Windows Server 2003 家族产品中,文件服务依赖于操作系统及其服务的适当配置。
如果您的 Windows Server 2003 操作系统采用的是全新安装,则可以使用默认服务设置。没有必要执行进一步的操作。如果您的 Windows Server 2003 操作系统采用的是升级安装,或者如果您要确认是否已正确配置了服务以获得最佳的性能与安全性,请使用服务的默认设置中的表来验证您的服务设置。
• 计算机作为成员服务器加入 Active Directory 域中。如果您希望验证客户端的身份,或者将共享文件夹发布到 Active Directory,文件服务器就必须加入域中。如果您不需要执行这两个任务,文件服务器就不需要加入域中。
• 分配所有可用磁盘空间。可以使用“磁盘管理”或 DiskPart.exe 从未分配的空间中创建新分区。详细信息,请参阅创建分区或逻辑驱动器。
• 现有的所有磁盘卷都使用 NTFS 文件系统。FAT32 卷安全性不好,而且不支持文件和文件夹压缩、磁盘配额、文件加密或单个文件权限。
• Windows 防火墙已启用。详细信息,请参阅在不允许例外的情况下启用 Windows 防火墙。 如果启用了 Windows 防火墙,则必须选择 Windows 防火墙中的“例外”选项卡上的“文件和打印机共享”,以便让“文件服务器角色”正确地发挥作用。
• “安全配置向导”已安装和启用。有关“安全配置向导”的信息,请参阅安全配置向导概述。 下表列出了在添加文件服务器角色之前必须了解的信息。
在添加文件服务器角色之前 确定是否要配置磁盘配额。 使用磁盘配额跟踪和控制 NTFS 卷的以卷为单位的磁盘空间使用情况。配额可防止用户由于在超过指定的磁盘空间限制值时记录事件而超出设定的磁盘空间。 确定是否要使用“索引服务”。 索引服务可以创建本地硬盘驱动器以及共享网络驱动器上的文档的内容和属性索引。这些索引可允许用户执行更快速、更注释 在添加文件服务器角色之前 便捷的搜索。索引服务可能会降低服务器的运行速度,因此,只有在用户要经常搜索该服务器上的文件内容时才使用它。 确定要在计算机上共享的文件夹,并指定文件夹名称和说明。 用户根据文件名查看该文件服务器上的共享资源。建议您创建容易记住并能说明文件夹内容的共享名称。例如,假设向用户各自提供 2 GB 的空间,用于在文件服务器上存储其私有信息。可以将文件服务器上的顶层文件夹命名为 Personal Folders,然后根据用户的域名来命名每个子文件夹。 决定要在文件夹上设置什么类型的权限。 指派最具限制的权限,该权限仍允许用户执行需要的任务。NTFS 文件系统上的访问控制比起单独的共享权限要提供更多的安全性。 注释 要配置文件服务器,请通过完成下面的任一操作来启动
“配置您的服务器向导”: • 从默动和的• 要和的
“认。“服打“服
管情要控务开控务
理况打制器“制器
您下开面”配面向
的,“板。置板导
服务“管管理”, 您的”,”。
器理您双
”您的击
中的服“
,服务管
单务器理
击器”工
“”,具
添会请”
加在依,
或您次再
删登单双
除录击击
角时““
色自开管
”动始理
。启”您
服务器向导”,请依次单击“开始”双击“管理工具”,再双击“配置您
在“服务器角色”页面上,单击“文件服务器”,然后单击“下一步”。
本部分包含:
文件服务器磁盘配额 文件服务器索引服务 选择摘要
使用“共享文件夹向导” 完成“配置您的服务器向导” 删除文件服务器角色
文件服务器磁盘配额
在“文件服务器磁盘配额”页面上,可以设置磁盘配额,来跟踪和控制各个用户在 NTFS 卷上以卷为单位的磁盘空间使用情况。“配置您的服务器向导”会自动将磁盘配额应用到所有 NTFS 文件系统的新用户,使用的是磁盘空间配置已经应用的。只有在您想防止服务器占用的磁盘空间超过某一特定数量或者您的磁盘空间数量有限的情况下,才需要更改“文件服务器磁盘配额”页面上的信息。大多数情况下,可以接受默认系统设置。
如果您想在用户超过指定的磁盘空间限制值或者当用户超过指定的磁盘空间警告级别(即,用户接近其配额限制值时)时记录事件,可以在该页面上对其进行指定。 下表描述了手动配置选项。
设置 为此服务器的新用户设置默认磁盘空间配额 注释 如果您想启用磁盘配额,以便限制和跟踪该文件服务器上的磁盘空间使用情况,请选中该复选框。 如果您选择启用磁盘配额,就需要设置磁盘空间限制值。建议为所有用户帐户设置适当限制的默认限度,然后修改此限度允许使用大文件的用户占有更多的磁盘空间。例如,处理扫描照片或艺术作品的用户可能会要求大量的磁盘空间。 另外,也可以设置警告级别,以便用户在超过指定的磁盘空间限制值时得到通知。如果您不想使用警告级别,就将该数字设置为高于磁盘空间限制值。 拒绝将磁盘空间给超过配额限制的用户 当用户超过了下列之一,记录一如果您想在用户超过指定的磁盘空间限制值或警告级别时记录系统事件,请配置这些设置。可以使用事件查看器查看系统事件。要打如果您想限制文件服务器上磁盘空间的使用,请配置该设置。如果您只想跟踪每个用户的磁盘空间使用情况,就请将该设置留空。 个日志事件 开“事件查看器”,请依次单击“开始”、“控制面板”,双击“管理工具”,然后双击“事件查看器”。 完成后,请单击“下一步”。 ⑴ 文件服务器索引服务
在“文件服务器索引服务”页面上,完成下列操作之一: • 如“• 如索
果是果引
用,您服
户启想务
定用保”
期索留。
对服务引服务 CPU 索引服
器”和务
上。内可
的文件内容进行搜索,请单击
存资源,请单击“不,不启用能会降低服务器的性能。
索引服务为用户提供了搜索本地或网络上的信息的快速、方便和安全的方式。用户可以通过“开始”菜单上的“搜索”命令或者浏览器上的 HTML 页面搜索不同格式和语言的文件。 完成后,请单击“下一步”。 ⑵ 选择摘要
请在“选择摘要”页面上查看和确认已经选择的选项。如果您在“服务器角色”页面上选择了“文件服务器”,就会出现以下内容:
• 安装文件服务器管理
• 运行共享文件夹向导来添加一个新的共享文件夹或共享已有文件夹
要应用“选择摘要”页面上显示的选择,请单击“下一步”。 使用“共享文件夹向导”
单击“下一步”后,“配置您的服务器向导”会自动启动“共享文件夹向导”,您可以使用它来配置共享文件夹。将资源共享后,网络上的其他用户就可以使用了。 文件夹路径
在“文件夹路径”页面上,指定希望共享的文件夹的路径。要搜索文件夹,请单击“浏览”。 完成后,请单击“下一步”。 名称、描述和设置
在“名称、描述和设置”页面上,指定有关共享文件夹的以
• 在是户• 在的织器• 在与望若中 脱机设置 只定程脱可用享有序脱可有的序机用户打文将机用用文才状 从开件自状 户件能态指和在下注释 如果您希望由用户来控制哪些文件可以脱机使用,请单击该选项。 “必识“。和管“网由要的共需别描如标理脱络用更信享的。述果识和机连户改息名”。请 ”框您要这些共享设置接时哪些脱机来决下信息:
中,键入要用于共享资源的名称。共享名选择简短且具有说明性的名称,以便于用中共资文”能文设定,享源件中够件置要键若。夹,使可,用入干您”指用以请于对个所的定共脱单脱共资键“您享机击机享源入描希文使“文资,的述望件用更件源的说明。描述是可选说明就可能有助于您组说明显示在“文件服务”列中。
以何种方式让用户在不夹中的内容。如果您希,就可以接受默认设置。改”。请使用以下表格的设置。 该的和动态共所程在下如的击复户程网果所该选能序络您有选框在的流希文项,本文量望件。则地件并允都如所运服改许自果有行务进用动您程它器服户在选序们特务从脱择都。别器共机“会该有的享状已自选用可文态进动项,伸件下行缓对因缩夹可性存于为性中用能,宿它。打,优以主会 开请化便应减单”用用少该共享上的文件或程序如果您希望防止用户在脱机状态下存储文件,请单击该选项。 脱机设置 将在脱机状态下不可用 注释 完成后,请单击“下一步”。 权限
在“权限”页面上,指定共享文件夹的共享权限。为确保只有授权用户可以访问文件夹中的信息,您必须对已创建的文件夹进行权限设置。共享权限仅应用于通过网络访问资源的用户。它们不应用于那些能够访问在存储资源计算机上的资源的用户。请使用以下表格来决定适当的共享权
共享权限 注释 所有用户有只读访问权限 管理员有完全访问权限;其他用户有只读访问权限 管理员有完全访问权限;其他若要将所有访问权限都限制为只读的,请单击该选项。 限。
如果您希望用户查看位于共享资源中的文件和运行其中的程序,请单击该选项。只有 Administrators 组的成员可以更改、添加或删除文件。此外,只有 Administrators 组的成员可以更改共享资源上的 NTFS 文件权限。 如果您希望将访问权限限制为对 Administrators 组成员以外的所有用户是可以读和写的,请单击该选项。 共享权限 注释 用户有读写访问权限 使用自定义共享和文件夹权限 如果您希望对指定用户或组授予或拒绝访问权限,请单击该选项。应指派限制性最强但又允许用户执行必要功能的权限。 完成后请单击“完成”。 共享成功
在“共享成功”页面上,“共享文件夹向导”会显示选定内容的状态和总结。如果您希望将另一个文件夹共享,请单击“当单击„关闭‟时,再次运行该向导来共享另一个文件夹”复选框。完成文件夹的共享后,单击“关闭”。
完成“配置您的服务器向导”
完成“共享文件夹向导”后,“配置您的服务器向导”会显示“此服务器现在是一个文件服务器”页面。要复查由“配置您的服务器向导”对服务器所做的所有更改,或者要确保新的角色已成功安装,请单击“配置您的服务器日志”。“配置您的服务器向导”日志位于
systemroot\\Debug\\Configure Your Server.log 中。要关闭“配置您的服务器向导”,请单击“完成”。
完成“配置您的服务器向导”后,必须访问“Windows Update”以下载任何可用的附加更新。详细信息,请参阅 Windows Update。 另外,还必须运行“安全配置向导”以加强文件服务器的安全。有关详细信息,请参阅安全配置向导。 删除文件服务器角色
如果需要将服务器重新配置为另外一个角色,则可删除现有服务器角色。如果您删除文件服务器角色,该服务器上的文件和文件夹就不再共享,依赖于这些共享资源的网络用户、程序或宿主都将无法与它们连接。
若要删除文件服务器角色,请通过完成下面的任一操作来重新启动“配置您的服务器向导”:
• 从默动和的• 要和的
“认。“服打“服
管情要控务开控务
理况打制器“制器
您下开面”配面向
的,“板。置板导
服务“管管理”, 您的”,”。
器理您双
”您的击
中的服“
,服务管
单务器理
击器”工
“”,具
添会请”
加在依,
或您次再
删登单双
除录击击
角时““
色自开管
”动始理
。启”您
服务器向导”,请依次单击“开始”双击“管理工具”,再双击“配置您
在“服务器角色”页面上,单击“文件服务器”,然后单击“下一步”。在“角色删除确认”页面上,检查“总结”下所列的项目,选择“删除文件服务器角色”复选框,然后单击“下一步”。在“删除了文件服务器角色”页面上,单击“完成”。
接下来的步骤:完成其他任务
完成“配置您的服务器向导”并在计算机上创建共享资源后,计算机就可以用作基本文件服务器,可以存储、管理和共享诸如文件和可通过网络访问的应用程序等信息。至此,您已经完成了以下任务:
• (如果必要)已通过启用磁盘配额建立磁盘空间限制值。 • (如果必要)已开启索引服务。
• 已创建共享文件夹并为每个文件夹设置了共享权限。
“
配置您的服务器向导”会自动安装“文件服务器管理”,可供您管理
文件服务器。要打开“文件服务器管理”,请依次单击“开始”和“控制面板”,双击“管理工具”,再双击“文件服务器管理”。 下面的表格列出了可以在文件服务器上执行的一些其他任务。
任务 任务目的 参考 最佳操作 保护文件服确保文件服务器是安全的。 务器的安全。 实施加密文件系统 (EFS)。 配置端口以允许远程管理。 增强文件服务器上的文件和资源的安全性。 加密或解密数据 从网络上的其他计算机中管理“文件服务器角色”。 Windows 防火墙设置 在共享文件保护文和文件夹上止非授设置权限。 统上的共享权性。 让共享资源在脱机状态件权访限服访问要务问控提器。制供上的资源,防NTFS 文件系比起单独的更多的安全设置共享资源的权限 允许用户存储共享资源的本地副本,以便他们可以在不与配置共享资源的脱机设 任务 下可用。 启用共享文件夹的卷影副本。 设置分布式文件系统 (DFS)。 确保文件服务器的备份正确。 使用文件压缩。
任务目的 网络连接时访问这些资源。 启用共享文件夹的卷影副本,以提供网络共享上的文件的适时副本。 使用户更容易访问和管理以物理方式分布在网络上的文件。 保护数据,以防在系统遇到硬件或存储媒体故障时意外丢失。 通过压缩文件、文件夹和程序来节省存储空间。 参考 置 启用共享文件夹的卷影副本 清单:创建分布式文件系统 备份数据 文件压缩概述 5.3 Exchange Server 2003 产品概述
若想在当今充满挑战的商业环境中成功竞争,企业必须运用更高效的方法供信息工作者进行沟通和协作。电子邮件是当前使用最广泛的协作技术。在各种基于电子邮件进行协作的产品中,更多的企业选择使用 Exchange。Exchange 2003 使信息工作者几乎能够在需要时随时随地进行重要的业务通信,它具有更高的安全性、可用性和可靠性。Exchange 2003 通过帮助信息技术 (IT) 员工利用改进的管理工具以较少的资源做更多工作,从而使拥有总成本 (TCO) 达到更低的水平。
与 Exchange Server 5.5 环境中相比,Exchange 2003 通过在较少的服务器上运行,能够使成本大幅度降低。利用新的资源和工具,可以使到 Exchange 2003 的升级和迁移过程变得平滑、快速和经济。
Exchange 2003 推出了两种版本:
Exchange 2003 Standard Edition 是为满足中小型公司的消息服务和协作需要而设计的。Exchange 2003 Standard Edition 提供的功能:
⑴可配置为 Microsoft Outlook® Web Access 前端服务器的灵活
性。
⑵最大 16 GB 数据的存储区。 ⑶恢复存储组。
Exchange 2003 Enterprise Edition 是专门为大型企业设计的,可让您创建多个存储组和多个数据库。Exchange 2003 Enterprise Edition 提供一个不受限制的消息存储区,该存储区摆脱了对单个服务器可管理的数据量的限制。Exchange 2003 Enterprise Edition 提供的功能:
⑴Exchange 2003 Standard Edition 中包括的所有功能和产品。 数据库大小仅受硬件限制(最大大小为 16 TB)。 ⑵一个服务器上可有多个数据库。
⑶在 Microsoft Windows® 2000 Advanced Server 上支持四节点群集,在 Microsoft Windows Server™ 2003 Enterprise Edition 上支持八节点群集。
若要判定哪个版本最适合您的业务需要,请查看“选择您的版本”页上的表。
功能一览 技术
Active
Directory 集成
功能
与 Windows Server 2003 或 Windows 2000 Active Directory® 目录服务集成降低了 TCO 使用 Microsoft 管理控制台 (MMC) 实行单客户管理
用于快速更改大量对象(例如邮箱)的策略
使用 Windows Server 2003 系统访问控制列表 (SACL) 使安全的电子邮件消息服务和协作变得容易 Windows Active Directory 迁移工具 (ADMT) 2.0 可帮助简化 Microsoft Windows NT®
Server 4.0 帐户向 Active
Directory 的迁移(连同密码一起迁移)
每个邮箱数据库可达 16 GB,每个服务器最多可有 20 个邮箱数据库 每可有快地数据
个多备管
运个份理
行消和并
Exchange 的服务器上息数据库,从而可以更还原数据、灵活地进行可提高可靠性
可缩放的数据库结构
共存
组织不需要进行突然地升级或迁移,因为 Exchange 2003 可以和 Windows 2000 或 Windows
Server 2003 一起运行,并且可以与 Exchange 5.5 和 Exchange 2000 在一个拓扑结构内共存。
Exchange 2003 还可以与 Microsoft Office Outlook 2003、Outlook 2002 (Office XP) 和 Outlook 2000 一起运行。通过浏览器,Outlook Web Access 可以在其他客户平台上使用。
增强的安全性
件议问关
安全的默认设置(例如,简单邮传输协议 [SMTP] 中继、邮局协 3 [POP3] 和 Internet 消息访协议 [IMAP] 在默认情况下处于闭状态)
更强的限制连接和电子邮件的能力
支持 Outlook Web Access 自动注销、安全/多用途网际邮件扩充协议 (S/MIME)、HTML 和附件阻止功能
新的防垃圾邮件功能以及与
Office Outlook 2003 的安全与阻止发件人列表的集成
新的 Virus Scanning API 2.5,可改进防病毒解决方案
支持 Windows Server 2003
Internet 信息服务 (IIS) 6.0,它可以隔离应用程序
多数据库结构为 Exchange 5.5 的用户带来了新的整合机会
用于邮箱管理的增强的管理工具 新的客户端日志记录工具和错误报告工具,利用这些工具可更快地解决问题
与 Windows Server 2003 卷影像复制服务集成,从而可快速可靠地进行备份和还原
低 TCO 的消息服务和协作环境
Outlook Web 新的、增强的 Outlook Web Access 可
Access
用来快速安全地从 Internet 访问 Exchange。新的用户界面 (UI) 进行了更新,以模仿 Outlook 2003 UI,并且包括新的功能(例如拼写检查器、任务列表,以及用于加强安全性的 S/MIME 支持和 HTML 内容阻止功能)。
集成的对移动设备的支持
采用 Windows 技术的移动设备可直接与 Exchange 2003 同步以增强安全性
集成的对 HTML、可扩展 HTML (XHTML)、无线应用程序协议 (WAP) 2.x 和压缩的 HTML (CHTML) 移动微浏览器的支持
增强的性能和 Exchange 缓存模式使用户能够使用低带宽网络连接以及暂停且性能欠佳的网络连接 改进的 UI 使用户能够优先处理超载的收件箱
改进的虚拟内存管理 改进的、在服务器上记录的 Outlook 性能日志
使用 Windows Server 2003 可更快地进行群集故障转移
支持四节点和八节点群集 支持 Windows Server 2003 IIS 6.0,它可以隔离应用程序
关于部署的新资源和指导说明 新的预迁移分析工具和报告工具 新的 Active Directory 迁移工具 (ADMT 2.0)
Active Directory 连接器向导 Internet Mail 安装向导 邮箱和公用文件夹迁移工具 八路群集(需要 Windows
与
Outlook 2003 的集成
高可用性
更快地部署
群集支持
Server 2003 Enterprise Edition)
用于更安全地进行客户端访问的技术组件 Exchange 2003 能
够与多个客户端进行交互操作。
在
图 1 中,每个客户端都显示为通过 Internet 访问 Exchange 2003,
并且处于一些防火墙的联合保护之下,在此特定情况下,Microsoft Internet Security and Acceleration Server (ISA Server) 充当网关,为 Exchange 和其他服务器基础结构提供更高安全性。 Outlook 兼容性
Outlook 2003、Outlook 2002 和 Outlook 2000 都可以连接到 Exchange 2003*。Outlook 2003 和 Exchange 2003 能够通过慢速的、暂停的或性能欠佳的网络连接运行。例如,拨号线路和无线数据链接(如 1xRTT 和通用分组无线业务 (GPRS))就属于这类情况。新的 Outlook 2003 功能包括:
⑴
Exchange 缓存模式。
在 Outlook 2003 中的 HTTPS 功能上使用新的远程过程调用 (RPC) 的无 VPN 连接。
⑵
远程访问
Exchange 2003 中的 Outlook Web Access 已得到改进,使用更简便,速度更快,安全性更高。Outlook Web Access 之所以受欢迎,部分原因是:它易于支持和使用,而且不需要安装。任何基于浏览器的计算机都能够以更高的安全性、使用新的 UI 访问 Exchange,大多数用户必须仔细查看才能辨别出他们使用的是 Outlook 2003 还是 Outlook Web Access。Outlook Web Access 中的功能包括:
⑴
拼写检查器 任务列表支持
HTML 和附件阻止功能(阻止垃圾邮件和潜在的信号查找代码)
⑵
⑶
⑷
自动注销(您是否忘了注销?不必担心。不活动超时功能将自动注销并关闭您的会话。)
在 Outlook Web Access 中还支持 S/MIME,从而可以为电子邮件添加数字签名和进行加密。
* 较早的版本可能也具有此支持功能,但没有经过充分测试。
Exchange Server ActiveSync
采用 Windows 技术的移动设备(例如 Pocket PC)带有内置的 ActiveSync® 客户端和 Pocket Outlook,可供您用来直接将您的电子邮件、日历和联系人列表与 Exchange 2003 进行同步。Exchange 管理员可以从管理 Exchange 电子邮件帐户的屏幕进行这种同步。 Outlook Mobile Access
与用于桌面浏览器的 Outlook Web Access 类似,Outlook Mobile Access 是专门为从移动设备浏览器更安全地进行访问而设计的。通过 Exchange 2003,用户可以使用带有基于 HTML、XHTML (WAP 2.x) 和 CHTML 的微浏览器的移动设备访问他们的邮箱。 无处不在的提高效率的方案
灵活的信息访问方式和新的连接方式,使得信息工作者能够获得更高的工作效率,并能够更好地控制他们的通信时间和方式。
⑴
移动员工(例如使用便携式计算机并通过无线网络运行 Outlook 2003 的销售人员和服务人员)可以自由地进行漫游和通信。他们已不再受电缆的限制,无论在汽车上、在客户那里还是在飞机场上,只要他们愿意,他们可以随时随地查看他们的电子邮件,查看他们的联系人和日程表,并可不断与客户、合作伙伴和同事进行通信。Outlook 2003 能够在慢速和性能欠佳的网络连接上运行,因此移动员工能够不受网络问题的影响,
能够在 Exchange 和 Outlook 使用可用网络资源时,继续处理他们的 Exchange 信息。
⑵
远程员工可以在家、在远程办公室、在客户处或在 802.11 热点(例如本地网吧)处工作,并可启动 Outlook 或从任何与 Internet 相连的计算机使用 Outlook Web Access 更安全地访问 Exchange。Outlook Web Access 使他们能够在不使用自己的便携式计算机的情况下通过 Exchange 保持联系,从而使他们获得了更大的自由度。Outlook Web Access 将 Exchange 2003 中的最新功能扩展到了任何基于浏览器的计算机,包括非 Microsoft 操作系统。而且因为 Outlook Web Access 不需要安装,所以 IT 部门还可以降低支持费用。
⑶
旅行中的管理人员可在旅馆中或航班间隔时间,通过拨号线路连接运行 Outlook 2003,并同步他们的电子邮件。使用最新同步的 Exchange 数据,他们可以继续脱机工作,直到他们下一次有机会拨入并重新连接到 Exchange。Outlook 2003 和 Exchange 2003 可帮助他们提高联机和脱机时的工作效率。
您是否不想携带便携式计算机?Pocket PC、Pocket PC Phone Edition 和采用 Windows 技术的 Smartphone 使您能够直接将您的无线设备同步到 Exchange。这样电子邮件、联系人、日程和附件就触手可及了。
使用 Exchange 2003 节约成本
Exchange 2003 升级和管理工具可提高您员工的工作效率,并可帮助您强化服务器,从而可节约资金。 强化方案
对于运行 Exchange 5.5 的客户,升级产品后能够简化操作、提高服务器的可用性和可靠性、缩短进行备份和还原的时间和减少 Exchange 所用服务器的数量。这会使 TCO 得到降低。Exchange 2003 领先于 Exchange 2000 之处在于一种多数据库设计,即每个服务器最多 20 个数据库。在典型的 Exchange 5.5 组织中,每个服务器有 1,000–2,000 个用户,这主要受限于单数据库结构和备份与还原操作及管理所需要的时间。但在使用 Exchange 2003 时,受支持的用户和邮箱的数量可以轻松达到 3,000–5,000 或更多,具体数量取决于用户配置文件、消息通讯模式和邮箱大小限制。 管理效率
Exchange 2003 的设计可帮助消息服务 IT 员工提高工作效率。现行的 Exchange 环境管理工作在 Exchange 的 TCO 中大约占
20–25%。常见的任务包括:备份与还原;建立新邮箱;恢复;移动;安装新的硬件、存储区、软件和工具;以及应用更新和修补程序等。新工具和改进的工具可帮助 IT 员工更有效地完成工作。例如,一位管理人员可能需要恢复几个月以前删除的一封非常重要的旧电子邮件。通过使用新的“恢复存储组”功能,管理员可以恢复个人用户的邮箱,以便查找以前删除的重要电子邮件。其他新的管理功能包括:
⑴
行移动多个邮箱。
进的消息跟踪和 Outlook 客户端性能记录功能。
强的队列查看器,它使用户能够从同一控制台同时查看 SMTP 和 X.400 队列。
⑵
⑶
⑷
的基于查询的通讯组列表,它现在支持动态地实时查找成员。
此外,用于 Microsoft Operations Manager 的 Exchange 管理包可自动监视整个 Exchange 环境,从而使用户能够对 Exchange 问题预先采取管理措施并快速予以解决。
示例方案:从 Exchange 5.5 迁移到 Exchange 2003
您可按照您的日程表和预算来安排向 Exchange 2003 的迁移。Exchange 2003 可以在 Windows 2000 或 Windows Server 2003 上运行,并且能够与 Exchange 5.5 和 Exchange 2000 交互操作。 新的工具和资源可帮助您更平滑、更轻松、更快捷地从 Windows NT 4.0 和 Exchange 5.5 环境向 Windows 和 Exchange 2003 环境迁移。
⑴ 您可按照指导说明演练整个迁移过程。在迁移前,可以使用新工具获得有关现有 Exchange 5.5 拓扑结构(包括站点、服务器、邮箱和公用文件夹)的全面报告。Active Directory 迁移工具 2.0 用于将 Windows NT 帐户密码迁移到新的 Windows Active Directory 环境中。您还可以使用工具来检查 Active Directory
是否已实现、它是否能够正常使用,以及 Exchange 组件是否已经正确安装。
⑵ 在实现 Active Directory 连接器(简称 ADC,用于将现有的 Windows NT 4.0 和 Exchange 5.5 目录信息复制到新的 Exchange 和 Windows 环境中)时,新的 ADC 向导可帮助简化和自动化 Exchange 5.5 与新的 Windows 和 Exchange 2003 组织之间的协议的安装和连接过程。
新的邮箱和公用文件夹迁移工具可以使用户快速而高效地将个人邮箱移至 Exchange 2003。您和您的 IT 组织会发现,新的资源和工具可以提高迁移工作的效率和速度,并可减小迁移对数据的损坏。 六.工程实施与项目测试
韩国NEMOVO股份有限公司提供全面的解决方案和工程管理。韩国LENOVO股份有限公司委任一位项目经理负责该项目,统筹全程工程。该项目经理将在与客户协定的工程计划基础上核定实施时间表。客户应指派专人与韩国LENOVO股份有限公司合作沟通、提供信息、给予确认信息,以便更有效地协作。
韩国LENOVO股份有限公司的技术人员将按照合同签署的实施时间表,根据客户要求进行实施、调试,通过集成测试和用户使用测试后交付。
自方案开始,韩国LENOVO股份有限公司将与客户密切合作,请客户提供必要信息,并安排相关协调人员负责。 1.验收基本说明
验收计划
双方签定合同后,签定一项验收计划,作为验收执行的规范,合同双方共同遵循,验收计划包括以下必备内容: 验收人员组成 验收场所和验收时间 验收内容组成 各项内容的验收标准 验收方式
下面分别就验收计划中的要点进行说明。 验收人员
由业主方指定人员,工程实施方参加项目所有人员配合验收。 验收人员要求:熟悉整个项目的物理设备组成、技术组成和验收标准,具有验收完成之后的签字权。 验收场所和验收时间
设备到现场后3天之内进行相应的设备验收,系统逻辑实现之后在公司提交工程测试资料并提出验收要求后3天之内由业主方组织验收,否则视为验收通过。
具体的时间和验收场所由双方共同确认的验收计划中指定。 验收组成 ⑴设备验收
对整个项目涉及的设备进行物理验收,包括设备型号、设备数量、包装要求等。
⑵系统验收
对项目实施的目标进行相应的逻辑验收,包括功能、性能、文档等。 基本验收标准
物理验收的标准以最终合同指定的设备厂家品牌、型号、数量为标准,设备的物理构成及包装以设备厂家提供的标准为验收标准; 逻辑验收按照最终合同要求进行的各项功能、性能设计相应的可实施的测试方法进行设计验收、测试验收和文档验收。 验收方式
签定合同的同时双方共同确认并签定验收计划;
按照验收计划,以计划规定的验收时间内,由指定的双方收验人员按照验收标准进行验收,并填写验收报告;
在所有验收计划中指定的验收完成后,整个项目的验收结束。 2.设备验收(物理验收) 验收标准
根据双方最终生成的合同,形成物理设备总清单是整个设备验收的基础,按照各个设备厂家对设备到场的验收标准进行其它物理验收。 验收格式
设备验收清单 设备编号 设备名称 设备验收总签字 设备型号 数量 配置明细 验收人 验收时间 签字时间 3.系统验收(逻辑验收) 验收标准
以标书为基本要求,双方最终生成的合同对功能、性能的准确描述并作到可以测试作为验收的标准。 验收格式
逻辑验收测试表 序号 描述 测试方法 结果 验收人 时间 所有网络主节点的划分 综合布线网管软件的调试 1 以及网络 远程访问 路由/连接INTERNET Intranet功能实现 2 网络安全 防火墙网关的实现 网络安全的实现 网管工作站配置 3 服务器 服务器发布以及应用 网络监视,管理 验收签字 4.文档资料验收 文档组成
根据我们在其它网络和应用工程中的实施经验,我们认为文档资料的验收包括以下几个组成及基本内容: 网络设计目标要求:
记录双方共同确认后的整个园区网项目建设的功能、性能列表,在合同签定之前由双方共同商定,并作为验收的标准
项目建设要求列表 项目名 称 类序别 号 功 1 描述及测试指标标准 能 要 求 性 能 要 求 2 3 4 1 2 3 4 用户变更记录
在项目执行过程中用户提出的功能、性能以及环境、结构等方面的要求。
用户变更记录表 变更序号 变更要求描时间 用户签字 集成方签字 述 备注 系统的最终设计方案(物理、逻辑构成设计)
以双方确认的最终的实现为准,反映最新变化的设计方案。 设备配置参数列表包括两个方面的要求: ⑴配置所有非缺省参数的结果; ⑵配置到达这些参数的路径。 测试列表
记录测试路径和测试结果,由集成方填写,业主进行验证性测试认可。 验收总清单
项目序号 1 2 3 4 5 工程验收总清单 验收子项列表 子项总签人 用户目标清单 用户变更记录 系统最终设计方案 配置参数列表 测试列表 备注 6 7 8 设备总清单 工程总验收签字 工程总验收时间 文档验收标准
文档验收主要是准确、清晰地反映设计和实现,并与实际的最终环境状况相吻合。 文档验收清单
序号 文档名称 文档内容 验收结果 验收人 验收时间 七.项目费用
7.1.设备费用 设备品牌 名称 服务器 磁带机 标配 参数 数量 单价(元) 22000 23000 合计(元) 440000 161000 HP Proliant Intel Xeon 3200MHz最大内存容20 ML350 G4P 量12GB内存ECC DDR2 SDRAM 惠普StorageWorks 半高磁带介质上8通道线性螺旋形记录 Ultra2 SCSI (LVDS) 7.5 MB/ultrium 215I 秒(15 MB/秒,压缩率2:1) 存储容量100 GB,压缩后存储容量200 GB 7 交换机 CISCO WS-C2950SX-24 CISCO WS-C3550-48-EMI CISCO CISCO 6509 支持全双工存储-转发 32MB DRAM和8 MB闪存 64MB SRAM and 12MB Flash 千兆级 防火墙 并发连接数 无限制网络吞吐量1000Mpps 入侵检测DoS、IDS 240 40 2 1 8800 15600 100000 75000 2112000 624000 200000 75000 防火墙 华为3Com Eudemon1000 机柜 TOPER Server 配线架 光纤盒 康普 康普 TPS61042 2000x600x1000mm2米 42U 黑色 100对配线架 机柜式光纤收发器 9 480 6 5000 300 850 45000 144000 5100 UPS 山 特 K500 后备式0.5kva输出电压范围220(1+10%)V输出频率范围50Hz ± 1Hz 150 300 45000 山 特 A UPS-24K 5类线 康普 水晶头 总计 电源阵列 24kva输出电压范围215-224V输出频率范围50±0.25Hz 8 6000 27000 300 216000 1800000 26000 200米/箱 RJ-45接口 —— TCL电工 —— 13000 2 —— —— 5293100 7.2项目费用 项目 线路类别 初装 工 程设 备 调 测 小 计 线路租金基本流量费 (元/ 月) (元/ 年 ) 一次性费用(元) 专线使用费(元) (楼外) (楼内)光纤接入 布线施工 类 合 计 20000 30000 50000 11000 11000 5000 3310 3310 28310 41000 69310 10万 10万 5000 合计6113100RMB
八.技术支持服务 8.1售后服务内容
售后服务包括技术培训、技术咨询、维修服务和用户跟踪等服务项目。
质量保证期为12个月,自双方代表在验收单上签字之日起计算 我们承诺为系统集成项目提供的免费售后服务内容为:
保修:质量保证期内设备正常使用下发生的损坏,免费维修;非正常使用的损坏,只收取成本费。 在质量保证期内,争取在72小时内完成业主所提出的维修要求,其中超过24小时不能完成维修,提供一台相同功能的设备应急。
技术支持:3年内提供系统功能扩充的技术咨询服务。 现场技术支持和维护:试运行期及其后1年内,系统运行问题中,对于不能电话(邮件或传真)解决的复杂问题,到现场进行技术支持服务。 现场操作支持:1年内,系统使用过程中,对于不能电话(邮件或传真)解决的复杂问题,到现场进行系统操作方面的技术支持服务。 维护期以优惠的价格提供零配件 定期巡检
8.2保证售后服务质量的措施
⑴.同类工程不定期举办技术讲座或培训班。单项工程在系统设备交付前试运行过程由工程负责人安排为用户培训人员,使其掌握系统性能,会正确操作,排除简单故障。
⑵. 技术咨询服务分电话服务和信函(传真)回复。 电话回复:当用户在使用过程中遇到技术问题或其它问题时,服务人员通过电话耐心解释,一时难以回答的技术问题应及时组织相关人员商量研究,尽量在当日内答复用户,并作记录。
信函(传真)回复:用户用信函反映问题时,收到信函后三日内予以电话或挂号信回复,用户来信要有登记,并交售后服务部门存档。
⑶. 售后服务部门负责售后服务质量信息的收集、整理,每季度召集各相关项目的项目经理开会,探讨不断提高工程质量的有效措施,并付诸实施。
⑷. 系统设备使用过程中出现故障,接到信息后记录信息,内部协调后,立即用电话回复,约定时间,组织力量前往上门服务。保修期内免费,非正常使用的损坏,只收取成本费。
⑸. 维修人员完成任务(排除故障)后与用户共同填写“售后(技术)服务报告”一式两份,交用户和售后服务部门保存。此报告作为维修人员报销、记奖考核的依据。
⑹. 用户跟踪服务,根据工程项目联系卡,建立用户跟踪服务制度。对重点工程重点跟踪。重点工程跟踪在工程验收投入使用后的头一年,每月主动电话咨询一次。第二年,每季度跟踪一次;第三年至第五年,每半年跟踪询问一次,有问题及时沟通及时解决。每次电话内容要有记录。
⑺ .条件成熟时组织用户座谈会,走访用户开展上门服务。
因篇幅问题不能全部显示,请点此查看更多更全内容