IT 體系結構:IT 的新面貌
在虛擬伺服器的網路上運行的基於雲計算的框架是現代的新看基礎設施。
Paul Yu
考慮到主要的行業發展趨勢和技術的迅速變化景觀、 首席資訊官和技術領導人有機會重新考慮它在其組織的戰略中發揮的作用。 與 Microsoft 事務司的工作,他們可以通過一個基於雲計算的基礎架構,最大化的投資。 Microsoft 服務需要戰略,敏捷,和經濟發展和部署這種框架的方法。
作為其他安全意識組織建築參考,我們來看一個微軟聯邦文職政府客戶服務為導向的部署。 值得一提這種 IT 體系結構方面包括專注于微軟的平臺戰略,它雲第一個辦法、 最小的資料中心伺服器占地面積、 服務的可靠性和端到端安全。 所有的建築規劃、 部署和此處所述的元件由接生微軟顧問和工程師。
捕獲雲
這位客戶的體系結構策略的一個主要方面涉及到微軟雲服務,特別是 Office 365 企業和系統中心顧問。 這些服務提供熟悉企業生產率和管理工具,同時減少 IT 管理和成本並增加靈活性和可靠性。 線上交流和辦公室專業加部署了全組織。
客戶使用所有一般性交流線上功能,如訪問電子郵件、 日曆和連絡人的電腦和設備上。 它還使用關鍵功能來促進遵守安全和審計準則,並與其他企業平臺集成。 這些功能包括郵件保留原則和電子發現、 託管加密加密消息與外部收件者,允許/阻止/檢疫 (ABQ) 顆粒 ActiveSync 啟用裝置管理,發現服務及與客戶的整合通訊集成樓宇 Lync 基礎設施。
顧問是客戶使用從房地上 Microsoft 伺服器收集資料的另一個關鍵的雲服務。 客戶還可以生成警報,以識別問題或配置和使用方面的偏差。 關於房地顧問閘道服務,這是所需的服務,駐留在運行Windows Server 2008R2 SP1 的多用途系統中心 2012年應用程式伺服器上。
顧問用戶端的所有伺服器上安裝。 這讓公司顯示器作業系統、 Active Directory、 HYPER-V 主機、SQL Server2008 R2 和 Lync Server 2010 的工作負載。 客戶可以查看警報,並通過 Web 瀏覽器連接到線上顧問入口網站獲得補救指導。
除了基於雲的服務,還有大量的處所上服務虛擬化、 目錄和聯邦,公開金鑰基礎結構 (PKI),網路、 統一的通信和系統管理。 該客戶已有這些服務實現跨物理和虛擬伺服器,所有這一切都標準化的Windows Server 2008R2 SP1 資料中心版和企業版的混合體。
虛擬化服務
伺服器虛擬化大大提高了可用的計算資源的效率,並減少了物理伺服器維護的管理開銷。 這是客戶的處所對基礎設施的大量元素。 有兩個成對的專用 HYPER-V 主機,每個正在運行的Windows Server 2008R2 SP1 資料中心版。
兩個伺服器主機僅內部虛擬機器 (Vm) 和提供關鍵功能,如群集共用卷 (CSV) 與 VM 即時移轉。 其他兩個是獨立伺服器和主機周邊網路虛擬機器。 環境中的所有 HYPER-V 主機都使用群集的 SAN 存儲。
Active Directory 域服務
與大多陣列織中,如處所對 Active Directory 服務存在提供大量與身份相關的功能。 這些功能的核心是 Active Directory 域服務 (AD DS),其中為 Office 365 身份驗證提供當地語系化的目錄服務和關鍵單一登入 (SSO) 方式。 有兩個專用的 AD DS 網域控制站提供目錄和整個組織的 DNS 服務。 其中一個是物理伺服器和另一種是 VM。
Active Directory 識別身分同盟服務
在 AD DS 中,活動目錄驗證服務 (AD FS) 結合 2.0 由 Microsoft 聯合會閘道與聯盟為 Office 365 提供 SSO 的辦法。 這讓所有客戶的使用者,其身份基於聯盟域,使用其處所 AD DS 自動線上服務進行身份驗證的憑據。
AD FS 2.0 另一個關鍵方面是限制訪問基於位置的電腦或設備發出請求的用戶端存取策略規則集。 這可以確保沒有電腦 — 除了訪問 Exchange OnlineExchange ActiveSync的設備 — 以往任何時候都可以的訪問 Office 365 服務除非這些服務都位於組織的網路。
要提供聯邦服務,AD FS 運行在兩個單獨成對的專用伺服器上。 一對有兩個虛擬的聯邦伺服器配置與網路負載平衡 (NLB)。 另一種是獨立對,虛擬代理伺服器位於周邊網路中,還在 NLB 配置的伺服器。
目錄同步
使用 AD DS 和 AD FS,還有目錄同步服務部署 Office 365 支援 SSO。 客戶使用 Microsoft 聯機服務目錄同步工具來同步對處所 Active Directory 資料 — 其中包括使用者、 組和連絡人 — 與 Office 365 目錄基礎結構。 標識是權威性的管理和掌握了只有處所。 目錄同步服務安裝在一個單獨的、 專用的、 虛擬的伺服器上。
Active Directory 憑證服務
因為這個客戶是一個聯邦的文職機構,它必須與為其加入域的電腦的所有邏輯訪問控制項支援國土安全總統指令 12 (HSPD12)。 除了幾個高度安全帳戶,所有 Active Directory 憑證服務 (AD CS) 管理員帳戶,用來經常管理本組織的基礎設施與個人身份核查 (PIV) 智慧卡登錄只強制執行。
所有工作站也只有 PIV 智慧卡登錄將強制都執行。 在該機構中的所有電腦都都聯邦資訊處理標準 (FIPS) 201 相容協力廠商應用 PIV 中介軟體軟體安裝。
也是協力廠商硬體安全模組 (HSM),提供 FIPS 201 相容的基於硬體的加密服務。 客戶使用這幾個專用虛擬機器結合來支援其 PKI 伺服器拓撲結構。 AD CS 根憑證授權單位 (CA) 服務駐留在離線,獨立虛擬 CA 伺服器上。 AD CS 的頒發 CA 服務是虛擬的 CA 伺服器上。 最後,虛擬 Web 服務器上的憑證撤銷清單 (CRL) 發佈點 (CDP) 服務。
網路服務
有一對的多用途虛擬伺服器部署提供通用的網路服務,如動態主機設定通訊協定 (DHCP)、 檔和列印和文件服務。 DHCP 伺服器部署在每個伺服器,以提供增強的容錯能力,並利用了 80/20 平衡位址範圍分佈的配置。
有分散式檔案系統 (DFS) 複製 (DFS-R) 和跨兩個伺服器來提供高可用性和簡化訪問檔部署 DFS 命名空間。 對於更高的性能和可用性,資料夾重定向和離線檔通過工作站群組原則都還能再部署。 這同時緩存本地內容重的本地資料夾如文檔,路徑定向到 DFS Namespace 資料夾目標。
最後,列印和文件服務配置一台伺服器來共用網路上的印表機,列印伺服器的設置和集中執行網路印表機管理工作上。
統一的通信
原子能機構已建立基於 Lync Server 2010 全組織的、 統一的通信網路。 它具有跨六個專用的虛擬伺服器,每個都有特定的角色部署這些服務。 標準版的兩個虛擬伺服器提供的 IM、 存在、 會議和語音功能。 這些伺服器承載跨群集 HYPER-V 主機,以確保語音彈性。
Enterprise Voice和撥入會議功能單一的虛擬調解伺服器上運行。 這意味著信號和媒體在會話初始協定 (SIP) 主幹從本組織的互聯網電話語音供應商。 協力廠商,房地上會話邊界控制器還支援 SIP 主幹連接到中繼伺服器作為 SIP 主幹基礎設施的一部分。
有 IP 電話為整個工程處部署 Lync 優化的協力廠商桌面和共同領域。 這些手機運行 Lync 手機版用戶端,並直接被栓到工作站提供增強的 Lync 集成功能。
第四屆虛擬監測伺服器提供監測服務。 此伺服器收集有關網路媒體,以及調用錯誤記錄和呼叫詳細記錄的品質資料。 此資訊用於診斷失敗的調用並衡量各種 Lync Server 功能的使用水準。 所需的 SQL 服務,監測伺服器使用多用途的物理伺服器上運行遠端、 專用SQL Server2008 R2 SP1 企業版實例。
Lync 伺服器最後一組是獨立,虛擬的邊緣伺服器駐留在周邊網路中的一對。 這些伺服器運行的 Exchange 線上整合通訊功能,如呼叫通知和聲音訪問服務 (其中包括語音信箱)。
綜合的管理
用於覆蓋資料中心的伺服器和用戶端設備綜合的管理平臺,客戶使用系統中心 2012年。 核心基礎結構管理元件和工具集説明配置、 監視和操作。 在三個專用的虛擬伺服器,每個使用一個多用途的物理伺服器上運行的遠端SQL Server2008 R2 企業版實例部署這些元件。
系統中心 2012年組態管理員和系統中心 2012年端點保護提供了統一的基礎架構來管理和保護本組織的物理和虛擬用戶端環境。 組態管理員集中管理所有的軟體更新、 應用程式部署、 報告和終結點的安全。 在環境中的所有電腦都都組態管理員和端點保護用戶端安裝,包括周邊網路。
該機構還使用以及安全法規遵從性管理器 (SCM) 2.5 安全基線的法規遵從性設置。 在環境中的所有伺服器都都硬化與供應鏈管理成員伺服器基準。 因為設置配置包,供應鏈管理提供了法規遵從性,組態管理員定期評估,並對供應鏈安全法規遵從性的所有伺服器的報告。
系統中心 2012年Data Protection Manager(DPM) 為所有伺服器處理基於磁片的資料保護和恢復。 到組態管理員類似,DPM 被要求用戶端包括周邊網路的所有伺服器上。
系統中心 2012年運營經理處理監測關鍵服務。 基於自訂的規則的公式,就會生成警報的可用性、 性能、 配置和安全的具體情況。 例如,管理員被電郵只要修改特定的 AD DS 服務管理員組和帳戶,或者當某些 AD DS 服務管理員登錄到網路。 操作管理器還提供通知時關鍵的伺服器,例如區議會,在關閉並重新啟動。
在辦公室和移動
對於工作站,客戶使用可擕式電腦和塢站解決方案作為傳統的桌上型電腦替代品。 所有工作站都運行 Windows 7 SP1 包含基本生產力應用程式如 Office 365 Outlook 專業加和 Lync 2010 用戶端的自訂圖像。
最初創建的處所,Microsoft 映射部署加速器解決方案提供了託管每季度更新。 對於工作站部署,客戶使用組態管理員作業系統部署。 這種方式,它可以部署工作站在商業網路上的任意位置。
有多個不同控制項應用於安全相關的配置。 為存取控制,所有工作站都採用內置的智慧卡讀卡機、 FIPS 201 相容協力廠商應用 PIV 中介軟體軟體和 PIV 智慧卡登錄執法政策。 受限制的群組原則設置和本地使用者和組首選項組中管理所有的本地使用者、 組、 組成員身份和密碼。
對於一般的硬化,所有工作站都使用的國家標準和技術研究院 (NIST) 美國政府配置基線 (USGCB) 群組原則設置。 客戶目前正在等待系統中心組態管理員擴展為 USGCB 安全內容自動化協定驗證報告,支援其當前版本的組態管理員和 Windows 用戶端的更新。
所有的工作站,以及所有其他電腦上安裝了系統中心 2012年端點保護用戶端。 這提供了關鍵功能,如 Windows 防火牆集成、 網路檢測和防毒軟體、 反惡意軟體保護引擎。 BitLocker 磁碟機加密提供了資料保護,在所有的工作站上,需要。 資料寫入的群組原則設置的限制要求所有卸除式存放裝置磁碟機使用 BitLocker To Go 來配置。
運行 Windows Phone 7.5 的行動裝置被發給所有機構使用者。 Microsoft Office移動包括熟悉 Office 應用程式的移動版本。 Exchange ActiveSync提供擔保的同步與 Office 365 網上交流和嚴格的設備訪問策略,如複雜的字母數位密碼要求、 設備隔離和資訊版權管理 (IRM) 功能。
所以,正如您所看到的這一政府機構部署了由從伺服器端和用戶端的基於雲計算和虛擬元素組成的複雜的 IT 基礎結構。 這是一個真正現代的 IT 環境的傑出典範。
.jpg)
Paul Yu是 Microsoft 服務和 IT 體系結構內的一名高級顧問和策劃顧問。 他曾在微軟 13 年,向商業公司和公共部門組織提供企業解決方案體系結構。 他在聯繫Paul。Yu@microsoft.com。