跨国公司典型的IT管理架构 - Net55独立完成架构建立与运营

近期，Net55根据客户（某跨国公司）要求，与客户沟通协作，成功为其在国内的两个办公室建立了完整的IT管理架构，并已进入日常运营阶段。

项目背景

客户为一家总部在澳洲的国际运货代理公司，在国内有两个办公室，分别在深圳和厦门，两个办公室的规模不大，用户人数分别为20和10人左右。两个办公室独立运营，其有线无线网络、员工电脑、企业邮箱和文件存储协作均没有统一管理，因此客户总部IT部门急需将这两个办公室纳入IT统一管理的范围，以保证稳定、安全与业务持续性。

项目设计思路与方案

1. 办公室网络

稳定 - 网络架构和网络设备要最大限度保证网络稳定运行，保障员工高效办公。

安全 - 过滤存在安全风险的网站、应用、以及DNS请求等，防范钓鱼攻击等网络威胁，保障员工上网安全。

性价比 - 采用符合要求的高性价比品牌，尽量减少在IT硬件设备上的投入。

多站点（两个办公室）- 网络架构要满足两个办公室的IT设备统一管理与资源共享。

Net55建议使用FortiGate(飞塔)防火墙和UniFi的交换机、AP，利用FortiGate防火墙将两个办公室的网络连通，从而实现两个办公室共用一套IT管理系统，包括UniFi网络控制器、AD域控制器以及文件服务器。

网络拓扑图

2. 用户账户和终端（用户电脑）管理

经过与客户沟通，客户明确地要求使用基于Windows Server 2022的AD进行员工账户和电脑管理，这也是外企中很典型的一种方案，但由于两个办公室都没有独立机房的条件，因此无法使用标准机架式服务器。

Net55建议使用阿里云、Azure等公有云建立AD域控服务器，再利用点对点VPN将公有云网络和办公室网络打通，从而实现用户电脑与AD域控服务器的通信，该方案经Net55验证，非常成熟和可靠，但客户感觉该方案需要每年付费，成本稍高，最终还是采用了Synology桌面级NAS上虚拟机的方式，该方案成本低廉，但伴随的低可靠性是一个风险。

3. 文件存储与协作

客户数以几TB级别的文件存储量，直接让我们放弃了Sharepoint和Teams(其实也是Sharepoint的一种方式)，而选择了本地存储。之前提到用Synology NAS的虚拟机建立AD的域控，因此我们自然就考虑用该NAS作为本地存储服务器。我们将该NAS加入域，从而使用域用户账户、域用户组等控制文件访问权限，用户则能轻松地使用单点登录来访问该文件服务器。

在备份上，我们考虑了3-2-1方式，即本地使用硬盘进行备份，并在云端使用阿里云冷存储进行备份，该方案不仅成本低，而且有效避免数据的丢失。

4. 终端（用户电脑）安全

除了飞塔防火墙自带的带有AI识别和沙箱功能的反病毒功能，Net55建议客户使用企业级EDR保护终端安全，以防止勒索病毒等造成企业不可挽回的损失。考虑到国内实际的采购情况，总部IT部门同意Net55的建议，选择了Symantec作为终端安全方案。

5. 企业邮箱和内部日常沟通

微软MS365套件是很多国际公司用于邮件服务(Exchange Online)、日常沟通(Teams)、办公软件(Office软件)、文件存储协同(Sharepoint和One Drive)的典型方案，该客户也不例外，其除了中国区以外的办公室都统一使用总部IT部门提供的MS365套件和license。此次，客户要求将邮件服务迁移至其总部统一管理的MS365账户，并提供Office软件和Teams。迁移之前，Net55仔细检查了每个用户现有邮件账户的容量，发现好几个用户的邮件容量都很大，甚至超过了Exchange标准版的最大容量50G，而总部IT又不想单独购买扩容的license。因此，我们与总部IT反复沟通后达成一致，将邮件进行下载存档，在需要查询旧邮件的时候再挂载到Outlook中进行读取。准备工作完成后，我们选择了一个周末(考虑到服务中断时间最小化)，将邮件域名解析进行相应更改，成功将邮件服务迁移至其总部的MS365账户中。

到现在为止，两个办公室已经稳定运营了一个多月，除了日常桌面技术支持外（安装软件、打印机驱动等），暂未发现其他问题。客户对于Net55的沟通和实施都非常满意，因此Net55也顺理成章地成为了该公司的IT运营部门，以保障其国内公司IT环境的稳定运营。

附上设备配置截图，供参考

基于Synology NAS虚拟机创建的AD域控制器