|
|
Windows 2000因其比以往的Windows系统更可靠、更易于管理和使用,且安装简单、直观等诸多优点,逐渐被企业用户所采用。笔者所在的海关系统于2001年在全国各地数十个直属海关单位内部署和运行了Windows 2000操作系统,投入运行Windows 2000服务器超过百台,建成了一个Windows 2000单域网络平台,联网用户数千人,成功建设了海关系统政务信息网。该系统试运行一年多来,宕机时间少,运行平稳。下面就广域网环境中建设Windows 2000单域模型的规划设计和利弊简要分析如下,以期抛砖引玉。
单域模型的规划和设计
海关系统机构分散在全国各地,因各地发展不平衡,技术管理人员知识层次有较大差异。但海关系统自1998年就实施了国家口岸专网,通过专线方式构建的广域网已联接到各直属海关机构。由于集中管理模式更能充分保障新技术的快速实施和推广应用,为此,我们在规划时选择了Windows 2000的单域模型。
在广域网环境中,为部署Windows 2000单域,如下几方面内容需认真规划和设计:
1. 根域和工作域
单域环境中,可以只建一个域。但考虑域是安全管理的边界,为加强单域中根节点的保护和管理,可建立一个工作域,将众多的分支机构(以下简称为站点)放在工作域中,这有利于屏蔽各站点对根节点的冲击。
海关系统建立了根域和工作域。根域中仅有少量服务器,只负责DNS解析,所有站点的应用服务器均加入到工作域中。
2. 各站点域控制器的设立
在广域网环境中,由于网络通信仅通过电信网络专线维系,一旦专线故障,如果本地没有域控制器(DC),没有全局编目(GC)的用户将无法登录。用户无法登录网络将影响用户使用本地的业务系统。考虑广域网环境,海关系统增加了各站点的域控制器,提高了系统的可使用性。
3. AD目录同步问题
在域中的域控制器(DC)之间要进行频繁的目录复制,根据广域网结构,在总署和各站点(各直属海关单位)之间,要建立一条双向的、有调度(可自由设置复制的周期和频率)的复制通道,以控制目录复制。
4. 明确系统管理员的管理边界
单域模型下,各站点每个DC的作用和功能是相同的。由于每个站点有地域和应用规模的差异,在总署能统一管理的前提下,放权于每个站点的系统管理员,既方便现场用户管理,同时也降低了总署在具体业务上的管理工作量。
通过建立各站点的组织单元(OU),并把每个OU委派给各站点的系统管理员进行管理,可实现广域网单域环境下各单位系统管理员只管理本站点(或OU)的具体用户和应用的目标,将各单位系统管理权限限制在可控范围内。
5. 其他方面
为方便管理,如下内容也应注意:域名、域策略、DNS配置、DHCP配置、站点名(site)、各站点UPN后缀、IP地址、子网(subnet)、主机名、Exchange邮局名、组织单元(OU)命名、OU管理员权限、“组”命名规范、用户名(用户邮箱名)规范、单域中登录名重名冲突解决预案、各应用服务器操作系统组件安装内容等等。
广域网中Win2000单域的利弊分析
经过一年多的实践,我们发现:在单域环境下,各站点的大量工作,如各站点域控制器的提升和日常维护、邮件服务器安装和日常管理、单域中防病毒策略的部署、服务器日常监控与故障排除等,可由总署系统管理员通过远程终端方式直接联接上网操作来完成,这样项目工程建设能快速启动和按计划完成,故障后能快速恢复。Windows 2000单域系统,从整体上讲,部署快、管理方便,降低了整个系统的管理成本。
单域系统中,通过AD的复制,能在全域范围中快速同步各站点用户信息,使得大量基于AD的广域网应用系统变得容易部署和管理。
但由于单域系统大量工作由总署统一实施,总署安装调试工作量成倍增加。广域网中,随着站点的增加,大量工作被机械地重复,批量工作带来安全隐患,使得资源的核查工作日显突出。
另外,已发现无法精确地掌握AD目录同步信息,当某站点增加用户属性时,即使是AD复制被设置成每天24小时,每小时一次的复制,但修改后的用户属性被同步到全国各站点的时间仍无法确定,这将影响时效性强的系统应用。
当广域网不稳定,如某站点与总署的网络中断时间较长时,将对该站点的域控制器(DC)带来很大的影响,如曾发生在域中丢失DC的账号,需在网络恢复后手工处理才能解决该站点用户登录、邮件服务器正常运行等一系列问题。
虽然广域网环境中Windows 2000单域系统存在一些问题,但我们发现Windows 2000单域系统运行稳定,方便易用,且能快速部署。集中管理和故障恢复后的快速恢复,使得海关系统“电子政务”工程建设稳步推进,健康发展,受益匪浅。
Windows 2000系统部署后主要资源检查要点
在广域网环境中,通过统一规划、统一实施,单域系统建成后,大量配置信息需进一步检查,以避免网络系统出现安全漏洞,或者因批量施工造成部分功能遗漏。有关关键内容如下:
1. 域方面
在根域中有以下内容要注意:
站、站内各单位DC全局编目(各地GC)、子网、Inter-site tranports(AD复制通道)、Inter-site tranports IP调度表、根域管理员权限。
工作域中有以下内容要注意:
各站点系统管理员用户账号和权限、邮件系统管理员用户账号和权限、相关的组及其组的属性、工作域策略、域控制器策略、OU、OU的读写权(委派)。
2. Exchange 2000邮件系统
有关工作包括根域Schema扩展、工作域Schema扩展、邮件管理员账号和权限、邮件管理组(Admin group)、邮件管理组权限的委派、路由组、管理员邮箱、各站点地址列表根目录的建立、各站点地址列表根目录条件检查等。
3. 服务
DNS服务、DHCP服务等。
|
|
