IT-Architektur: Der neue Look der IT
Eine Cloud-basierte Framework auf ein Netzwerk von virtuellen Servern ausgeführt wird ist die neue der moderne IT Infrastruktur aussehen.
Paul Yu
In Anbetracht der wichtigen Branchentrends und die sich schnell ändernden Technologie haben Landschaft, CIOs und Technologieführer die Möglichkeit, die Rolle zu überdenken, die sie in ihre Unternehmensstrategie spielt. Mit der Microsoft-Services-Abteilung arbeiten, können sie eine Cloud-basierte Infrastruktur erlassen, die es Investitionen maximiert. Microsoft Services nimmt eine strategische, agile und ökonomische Konzept für die Entwicklung und Bereitstellung von solchen Rahmenbedingungen.
Als architektonisches Referenz für andere sicherheitsbewusste Organisationen betrachten wir eine Microsoft Services durchgeführten Bereitstellung für einen zivilen Bundesregierung-Kunden. Bemerkenswerte Facetten dieser IT-Architektur sind eine Microsoft ausgerichtete Plattform-Strategie, eine Wolke-First-Ansatz darauf, eine minimale Datacenter Server Fußabdruck, Dienst Zuverlässigkeit und Ende-zu-Ende Sicherheit. Alle Architektur-, Planungs-, wurden Bereitstellungs- und hier beschriebenen Komponenten von Microsoft-Berater und Ingenieure geliefert.
Erfassen der Wolke
Ein zentraler Aspekt dieser Architektur Kundenstrategie umfasst Microsoft Cloud-Diensten, insbesondere Office 365 für Unternehmen und System Center Advisor. Diese Dienste bieten Produktivität der bekannten Unternehmen und Management-Tools, Management und Kosten reduzieren und gleichzeitig Flexibilität und Zuverlässigkeit. Exchange Online und Office Professional Plus wurden organisationsweit eingesetzt.
Der Kunde nutzt die allgemeinen Exchange Online Funktionen wie den Zugriff auf e-Mails, Kalender und Kontakte auf Computern und Geräten. Es verwendet auch kritische Funktionen zur Erleichterung der Einhaltung der Sicherheit und Überwachung und Integration mit anderen Enterprise-Plattformen. Diese Features umfassen Nachricht Aufbewahrungsrichtlinien und Suchdienste für elektronischen Entdeckung, Hosted Encryption für verschlüsselte messaging mit externen Empfängern, zulassen/Block/Quarantine (ABQ) für die Verwaltung der granulare ActiveSync aktivierte Geräte, und Unified Messaging-Integration mit des Kunden lokalen Lync Infrastruktur.
Advisor ist ein weiterer wichtiger Cloud-Service, die der Kunde verwendet Daten von lokalen Microsoft-Servern erfassen. Der Kunde kann auch Warnungen, um Probleme oder Abweichungen hinsichtlich Konfiguration und Verwendung identifizieren generieren. Der lokalen Berater-Gateway-Dienst, der ein erforderlicher Dienst ist, befindet sich auf einem Mehrzweck System Center 2012-Anwendungsserver Windows Server 2008 R2 SP1 ausgeführt.
Berater-Clients sind auf allen Servern installiert. Auf diese Weise können die Firma Monitor die OS, Active Directory, Hyper-V-Host, SQL Server 2008 R2 und Lync Server 2010-Arbeitslasten. Der Kunde kann Warnungen anzeigen und Korrekturempfehlungen durch den Anschluss an das online-Berater-Portal von Web-Browser zu erhalten.
Neben Cloud-basierte Services gibt es eine Reihe von lokalen Diensten für Virtualisierung, Verzeichnis und Föderation, public-Key-Infrastruktur (PKI), Netzwerk, einheitliche Kommunikation und System-Management. Der Kunde hat diese Dienste implementiert über eine Mischung aus physischen und virtuellen Servern, die auf Windows Server 2008 R2 SP1, Datacenter Edition und Enterprise Edition standardisiert sind.
Virtualisierungs-services
Server-Virtualisierung verbessert die Effizienz der verfügbaren Computerressourcen erheblich und reduziert den Verwaltungsaufwand der physischen Serverwartung. Dies ist ein erheblicher Element der lokalen Infrastruktur des Kunden. Es gibt zwei Paare von dedizierten Hyper-V-Hosts jeweils laufenden Windows Server 2008 R2 SP1 Datacenter Edition.
Zwei der Server hosten ausschließlich internen virtuellen Maschinen (VMs), und bieten wichtige Funktionen, wie z. B. Cluster freigegebene Volumes (CSV) mit VM-live-Migration. Die anderen beiden sind Standalone-Server und Host-Umkreisnetzwerk VMs. Alle Hyper-V-Hosts in der Umgebung verwenden clustered SAN-Storage.
Active Directory-Domänendienste
Wie bei den meisten Unternehmen existieren lokale Active Directory-Dienste um eine Reihe von identitätsbezogenen Funktionen bereitzustellen. Für diese Funktionen sind Active Directory-Domänendienste (AD DS), die lokalisierte Verzeichnisdienste und einem kritischen einzigen anmelden (SSO)-Konzept für die Office-365-Authentifizierung bereitstellen. Es gibt zwei dedizierte AD DS-Domänencontrollern, die Directory- und DNS-Dienste für die gesamte Organisation bereitstellen. Eine ist ein physischer Server und der andere ist eine VM.
Active Directory-Verbunddienste
In Verbindung mit AD DS, Active Directory-Verbunddienste (ADFS) 2.0 bietet einen SSO-Ansatz für Office 365 durch die Föderation mit Microsoft Federation Gateway. Auf diese Weise können alle Benutzer des Kunden, deren Identitäten auf einer Verbunddomäne basieren, verwenden Sie ihre lokalen AD DS-Anmeldeinformationen, um automatisch auf online-Dienste zu authentifizieren.
Ein weiterer wichtiger Aspekt von AD FS 2.0 ist der Satz von Client-Zugriffsrichtlinienregeln, die den Zugriff basierend auf dem Speicherort des Computers oder des Geräts, die die Anforderung einschränken. Dadurch wird sichergestellt, dass kein Computer — mit Ausnahme von Geräten, die Zugriff auf Exchange Online für Exchange ActiveSync— kann jemals Zugriff Office 365 Dienstleistungen, wenn diese Dienste auf dem Netzwerk des Unternehmens befinden.
Föderation-Dienste bereitstellen, wird AD FS auf zwei getrennten Paare von dedizierten Servern ausgeführt. Ein paar verfügt über zwei virtuelle Föderation-Server konfiguriert mit den Netzwerklastenausgleich (Network Load Balancing, NLB). Der andere ist ein Standalone-Paar, mit virtuellen Proxy-Server befindet sich im Umkreisnetzwerk, auch in einer NLB-Konfiguration.
Verzeichnissynchronisierung
Arbeiten mit AD DS und AD FS, gibt es auch Directory Synchronisation-Dienste lokal zur Unterstützung von SSO für Office 365. Der Kunde nutzt das Microsoft Online Services -Verzeichnissynchronisierung-Tool, um die lokale Active Directory-Daten zu synchronisieren – einschließlich Benutzer, Gruppen und Kontakte — mit Office 365-Directory-Infrastruktur. Identitäten sind maßgebend, verwaltet und nur lokale gemeistert. Verzeichnissynchronisierungsdienste werden auf einem einzigen, dedizierte und virtuelle Server installiert.
Active Directory-Zertifikatdienste
Da dieser Kunde eine zivile Bundesbehörde ist, muss es mit logische Zugriffskontrollen für alle seine Domäne beigetretenen Computer Homeland Security Presidential Directive 12 (HSPD12) unterstützen. Mit Ausnahme von ein paar hochsicheren Konten werden alle Active Directory-Zertifikatdienste (AD CS)-Administrator-Accounts, die zum Verwalten von routinemäßig die Unternehmens-Infrastruktur mit persönlichen Identität Überprüfung (PIV) Smartcard-Anmeldung nur erzwungen.
Alle Workstations sind auch mit nur PIV Smartcardanmeldung durchgesetzt. Alle Computer in dieser Agentur ist Federal Information Processing Standard (FIPS) 201-konformen Dritter PIV Middleware Software installiert.
Es gibt auch ein Drittanbieter-Hardware-Sicherheitsmodul (HSM), die FIPS 201-kompatible Hardware basierende kryptografische Dienste bereitstellt. Der Kunde nutzt dies in Verbindung mit mehreren dedizierten VMs, um die PKI-Server-Topologie zu unterstützen. AD CS-Root-Zertifikat Zertifizierungsstelle (CA) Dienste befinden sich auf einem offline, Standalone-CA-Server. Die AD-CS, die CA-Dienstleistungen ausstellt ist auf einem virtuellen CA-Server. Schließlich sind die Zertifikatsdienste Revocation List (CRL) Verteilung Punkt (CDP) auf einem virtuellen Webserver.
Netzwerkdienste
Es gibt ein paar Mehrzweck virtuellen Servern verwendet, um gemeinsame Netzwerkdienste wie Dynamic Host Configuration Protocol (DHCP), File und Druck- und Dokumentenmanagement-Services bereitzustellen. DHCP-Server auf jedem Server, die erhöhte Fehlertoleranz bereitgestellt wird, und nutzt eine 80/20-Konfiguration für Lastenausgleich Bereich Verteilung der Adressen.
Es gibt verteilten Dateisystem (Distributed File System, DFS) Replication (DFS-R) und DFS-Namespaces, die über beide Server hochverfügbare und vereinfachten Zugriff auf Dateien bereitgestellt. Für erhöhte Performance und Verfügbarkeit Ordnerumleitung und Offlinedateien auch durch Arbeitsstation mithilfe von Gruppenrichtlinien bereitgestellt. Dies leitet den Pfad der lokalen Ordner, beispielsweise Dokumente, zu einem DFS-Namespace-Ordner-Ziel, während der Inhalt lokal zwischenspeichern.
Schließlich drucken und Document Services konfiguriert sind, auf einem einzigen Server und Drucker im Netzwerk freigeben, Druckerserver einrichten und Netzwerk-Drucker-Management-Aufgaben zu zentralisieren.
Unified communications
Die Agentur hat eine organisationsweite, einheitlichen Kommunikationsnetzes basierend auf Lync Server 2010 etabliert. Es hat diese Dienste über sechs dedizierte virtuelle Server, jeweils mit spezifischen Rollen bereitgestellt. Zwei virtuelle Standard Edition-Server bieten IM, Präsenz, Konferenzen und Stimme. Diesen Servern gehostet werden für geclusterte Hyper-V-Hosts zu Stimme Ausfallsicherheit zu gewährleisten.
Enterprise Voice und DFÜ-Konferenzfunktionen ausführen auf einem virtuellen Mediation Server. Dazu müssen signalisieren und Media über eine Session Initiation Protocol (SIP)-Stamm aus der Organisation Internet-Telefonie-Dienste-Anbieter. Dritte, lokalen Session Border Controller unterstützt auch SIP-Stamm-Konnektivität zu Mediation Server als Teil der SIP-Trunk-Infrastruktur.
Es gibt Drittanbieter-desktop und gemeinsamen Bereich, den IP-Telefone für Lync bereitgestellt, während die Agentur optimiert. Diese Handys führen Sie den Client Lync Phone Edition und sind direkt angebunden an Arbeitsstationen zu Lync Integrationsfunktionen bereitstellen.
Eine vierte virtueller Monitoring Server bietet monitoring-Dienste. Dieser Server sammelt Daten über die Qualität von Netzwerkmedien, sowie Fehler Anrufdaten und Aufruf Detaildatensätze. Diese Informationen wird verwendet, um die Problembehandlung bei fehlgeschlagenen Aufrufe und Auslastungsgrade für verschiedene Lync Server-Features zu messen. Erforderlichen SQL-Dienste verwendet der Monitoring-Server eine entfernte, dedizierte SQL Server 2008 R2 SP1 Enterprise Edition Instanz auf einem Mehrzweck physischen Server ausgeführt.
Die letzte Gruppe der Lync-Server sind zwei eigenständige, virtuelle Edge-Servern, die sich im Umkreisnetzwerk befinden. Diese Server, führen Sie die Exchange Online Unified Messaging-Funktionen, wie z. B. Benachrichtigungen und Stimme rufen Zugriffsdienste (die Voicemail enthalten).
Integriertes management
Für ein integriertes Management-Plattform für Datacenter Server und Clientgeräte verwendet der Kunde System Center 2012. Die Kern-Infrastruktur-Management-Komponenten und Toolsets helfen mit Konfiguration, Überwachung und Operationen. Diese Komponenten werden über drei dedizierte virtuelle Server, jeder mit eine Remoteinstanz des SQL Server 2008 R2 Enterprise Edition auf einem Multi-Role, physische Server bereitgestellt.
System Center 2012-Konfigurations-Manager und System Center 2012 Endpoint Protection bieten einheitliche Infrastruktur zur Verwaltung und zum Schutz des Unternehmens Client von physischen und virtuellen Umgebungen. Konfigurations-Manager verwaltet zentral alle Softwareupdates, Anwendungsbereitstellung, reporting und Endpunkt-Sicherheit. Alle Computer in der Umgebung haben die Kunden Configuration Manager und Endpoint Protection installiert, einschließlich Umkreisnetzwerke.
Die Agentur verwendet auch die Compliance-Einstellungen zusammen mit Security Compliance Manager (SCM) 2.5 Sicherheitsbaselines. Alle Server in der Umgebung sind mit dem SCM-Mitgliedsserverbaseline gehärtet. Da SCM Kompatibilität Einstellung-Konfigurationspaketen bietet Configuration Manager regelmäßig bewertet und berichtet über SCM-Konformität für alle Server.
System Center 2012 Data Protection Manager (DPM) behandelt die festplattenbasierte Datensicherung und-Wiederherstellung für alle Server. Ähnlich zu Configuration Manager, wird der DPM-Client auf allen Servern, einschließlich Perimeternetzwerke benötigt.
System Center 2012 Operations Manager behandelt kritische Überwachungsdienste. Auf der Grundlage angepasste Regel Formeln, generiert es Warnungen für bestimmte Situationen, Verfügbarkeit, Performance, Konfiguration und Sicherheit. Administratoren sind beispielsweise per e-Mail, wenn bestimmte AD DS Dienstadministrator-Gruppen und Konten geändert werden oder wenn bestimmte AD-DS die Netzwerk-Administratoren anmelden Dienst. Betriebsleiter bietet auch Benachrichtigung bei kritische Servern wie DCs, heruntergefahren und neu gestartet werden.
Im Büro und unterwegs
Für Workstations verwendet der Kunde einen Laptop und docking-Lösung als eine herkömmliche desktop-Ersatz. Alle Arbeitsstationen ausführen ein benutzerdefiniertes Abbilds von Windows 7 SP1, die grundlegende Produktivitätsanwendungen, wie Office 365 Outlook Professional Plus und der Lync 2010-Client enthält.
Erstmalig erstellt lokale, bietet Microsoft Image Deployment Accelerator Solution verwaltete Vierteljährliche Aktualisierungen. Der Kunde verwendet für Arbeitsstationsbereitstellung Konfigurationsmanager Betriebssystembereitstellung. Auf diese Weise können Arbeitsplätze überall auf das Unternehmensnetzwerk bereitstellen.
Es gibt eine Reihe von verschiedenen Steuerelementen auf sicherheitsrelevante Konfigurationen angewendet. Für die Zugriffssteuerung beschäftigen alle Arbeitsstationen integrierten Smartcard-Leser, FIPS 201-kompatible Software von Drittanbietern PIV Middleware und PIV Smartcard-Anmeldung-Sicherheitsrichtlinien. Eingeschränkte Gruppenrichtlinieneinstellungen und Voreinstellungselemente für lokale Benutzer und Gruppen verwalten zentral, alle lokalen Benutzer, Gruppen, Gruppenmitgliedschaften und Kennwörter.
Für allgemeine Verhärtung verwenden alle Arbeitsstationen die National Institute of Standards and Technology (NIST) Vereinigte Staaten Regierung Configuration Baseline (USGCB) Gruppenrichtlinien-Einstellungen. Der Kunde wartet derzeit ein Update für die System Center Configuration Manager-Erweiterungen für die USGCB Security Content Automation Protocol-Validierung, die Berichterstattung, dass die aktuellen Versionen von Configuration Manager und dem Windows-Client unterstützt.
Der System Center 2012 Endpoint Protection-Client ist auf allen Arbeitsstationen, wie auch alle anderen Computer installiert. Dies bietet wichtige Funktionen, z. B. Windows-Firewall-Integration, Netzwerk-Inspektion, und ein Antivirus, Anti-Malware-Schutz-Modul. BitLocker-Laufwerkverschlüsselung Datenschutz bietet und ist auf allen Arbeitsplätzen erforderlich. Daten schreiben Beschränkung Gruppenrichtlinieneinstellungen erfordern alle Wechselmedien-Laufwerke mit BitLocker To Go konfiguriert werden.
Mobile Geräte mit Windows Phone 7.5 werden für alle Benutzer der Agentur ausgestellt. Microsoft Office Mobile umfasst mobile Versionen von bekannten Office-Anwendungen. Exchange ActiveSync bietet sichere Synchronisierung mit Office 365 Exchange Online und strenge Gerät-Richtlinien, wie die Anforderungen an komplexe, alphanumerische Kennwörter, Gerät isolieren und Information Rights Management (IRM) Funktionen.
Also, wie Sie sehen können, hat diese Regierungsbehörde eine anspruchsvolle IT-Infrastruktur, bestehend aus Cloud-basierte und virtuelle Elemente aus sowohl serverseitig als auch der Client-Seite bereitgestellt. Dies ist ein ausgezeichnetes Beispiel für eine wirklich moderne IT-Umgebung.
.jpg)
Paul Yuist senior Consultant im Microsoft Services und eine IT-Architektur und Planung Berater. Er arbeitete eine Unternehmensarchitektur Lösungen für kommerzielle Unternehmen und Organisationen des öffentlichen Sektors 13 Jahren bei Microsoft. Sie erreichen ihn unter Paul.Yu@microsoft.com.