Architecture informatique : Le nouveau visage de l'informatique
Un cadre basé sur un nuage, fonctionnant sur un réseau de serveurs virtuels est que le new look de la modernité il infrastructure.
Paul Yu
Compte tenu des tendances de l'industrie et la technologie évolue rapidement le paysage, les DPI et les leaders de la technologie ont l'occasion de repenser le rôle qu'elle joue dans leur stratégie organisationnelle. En collaboration avec la Division des Services Microsoft, ils peuvent adopter une infrastructure de cloud computing qui elle maximise les investissements. Microsoft Services prend une stratégique, agile et économique approche pour le développement et le déploiement de ces cadres.
Comme une référence architecturale pour d'autres organisations soucieux de la sécurité, nous allons examiner un Microsoft axée sur les Services de déploiement pour un client du gouvernement civil fédéral. Aspects remarquables de cette architecture IT comprennent une stratégie plateforme axée sur le Microsoft, une approche du nuage d'abord à elle, une empreinte de serveur de datacenter minime, fiabilité du service et sécurisation end-to-end. Toute l'architecture de planification, déploiement et composants décrits ici ont été livrés par des ingénieurs et des consultants de Microsoft.
Capturer le nuage
Un aspect central de la stratégie d'architecture de ce client implique des services cloud de Microsoft, notamment Office 365 pour les entreprises et System Center Advisor. Ces services fournissent la productivité de l'entreprise familière et outils de gestion, tout en réduisant les coûts de gestion et et en augmentant la souplesse et la fiabilité. Exchange Online et Office Professionnel Plus, ont été déployés pour toute l'organisation.
Le client utilise toutes les capacités générales Exchange Online, comme un accès aux e-mails, calendrier et contacts sur les ordinateurs et périphériques. Il utilise également des caractéristiques essentielles de faciliter le respect de la sécurité et des directives de vérification et d'intégrer avec d'autres plates-formes de l'entreprise. Ces fonctionnalités incluent des règles de rétention des messages et des services de découverte pour découverte électronique, chiffrement hébergé de messagerie cryptée avec des destinataires externes, autoriser/bloquer/quarantaine (ABQ) pour la gestion de périphérique ActiveSync granulaire, et intégration de la messagerie unifiée avec du client local infrastructure Lync.
Conseiller est un autre service de cloud clés, que le client utilise pour recueillir des données de serveurs de Microsoft local. Le client peut également générer des alertes pour identifier les problèmes ou les écarts en ce qui concerne la configuration et l'utilisation. Le service de passerelle de conseiller local, qui est un service nécessaire, réside sur un serveur d'application System Center 2012 polyvalent exécute Windows Server 2008 R2 SP1.
Conseiller clients sont installés sur tous les serveurs. Cela permet le moniteur le système d'exploitation de la compagnie, Active Directory, hôte Hyper-V, SQL Server 2008 R2 et charges de travail de Lync Server 2010. Le client peut afficher les alertes et bénéficier du guidage de l'assainissement en vous connectant sur le portail de conseiller en ligne par navigateur Web.
En plus des services axés sur les nuages, il y a un certain nombre de services de locaux pour la virtualisation, répertoire et la Fédération, infrastructure à clé publique (PKI), réseau, systèmes de communication et une gestion unifiée. Le client a eu ces services mis en oeuvre dans un hybride de serveurs physiques et virtuels, qui sont normalisés sur Windows Server 2008 R2 SP1 Datacenter Edition et Enterprise Edition.
Services de virtualisation
Virtualisation des serveurs considérablement améliore l'efficacité des ressources informatiques disponibles et réduit la charge administrative de la maintenance des serveurs physiques. Il s'agit d'un élément considérable de l'infrastructure du client local. Il y a deux paires de dédié hôtes Hyper-V, chaque course Windows Server 2008 R2 SP1, Datacenter Edition.
Deux des serveurs hébergent uniquement internes machines virtuelles (VM) et fournissent des fonctionnalités clées telles que le Cluster Shared Volumes (CSV) avec VM live migration. Les deux autres sont des serveurs autonomes et le réseau de périmètre hôte VMs. Tous les hôtes Hyper-V dans l'environnement utilisent SAN de stockage en cluster.
Services de domaine Active Directory
Comme avec la plupart des organisations, les services Active Directory local existent pour fournir un certain nombre de fonctionnalités liées à l'identité. Centrale à ces capacités sont les Services de domaine Active Directory (AD DS), qui fournissent des services d'annuaire localisé et une single sign-on (SSO) approche critique pour l'authentification Office 365. Il y a deux contrôleurs de domaine AD DS dédiés qui fournissent des services d'annuaire et DNS pour l'ensemble de l'organisation. L'un est un serveur physique et l'autre est une machine virtuelle.
Services de fédération Active Directory
En collaboration avec les services AD DS, Active Directory Federation Services (ADFS) 2.0 fournit une approche de l'authentification unique pour Office 365 en fédérant avec Microsoft Federation Gateway. Cela permet à tous les utilisateurs du client, dont les identités sont basées sur un domaine fédéré, utiliser leurs locaux les informations d'identification de domaine Active Directory pour authentifier automatiquement aux services en ligne.
Un autre aspect clé des services AD FS 2.0 est l'ensemble des règles de stratégie d'accès client qui limitent l'accès basé sur l'emplacement de l'ordinateur ou le périphérique à la demande. De cette manière, pas d'ordinateur — à l'exception des dispositifs d'accès à Exchange Online pour Exchange ActiveSync— peut jamais accès à moins que ces services sont situés sur le réseau de l'Organisation des services Office 365.
Pour fournir des services de la Fédération, AD FS fonctionne sur deux paires distinctes de serveurs dédiés. Une paire a deux serveurs de Fédération virtuel configurés avec l'équilibrage de la charge réseau (NLB). L'autre est une paire d'autonome, avec des serveurs de proxy virtuel situé dans le réseau de périmètre, également dans une configuration d'équilibrage de charge réseau.
Synchronisation d'annuaire
En collaboration avec les services AD DS et AD FS, il y a aussi directory synchronization services localement pour soutenir l'authentification unique pour Office 365. Le client utilise l'outil de synchronisation d'annuaires Microsoft Online Services pour synchroniser les données de Active Directory local — y compris les utilisateurs, les groupes et les contacts — avec l'infrastructure d'annuaire Office 365. Identités font autoritées, gérés et maîtrisé local uniquement. Services de synchronisation d'annuaire sont installés sur un serveur unique, dédié et virtuel.
Services de certificats Active Directory
Parce que ce client est un organisme civil fédéral, il doit prendre en charge Homeland Security Presidential Directive 12 (HSPD12) avec des contrôles d'accès logiques pour tous ses ordinateurs joints à un domaine. À l'exception de quelques comptes hautement sécurisées, tous les comptes administrateurs de Services de certificats Active Directory (AD CS) utilisés pour administrer systématiquement les infrastructures de l'organisation sont appliquées avec une identité personnelle vérification (PIV) smart card logon seulement.
Tous les postes de travail sont également appliqués avec seulement PIV smart card logon. Tous les ordinateurs de cette Agence ont Federal Information Processing Standard (FIPS) 201-compatible PIV middleware logiciel tiers installé.
Il y a également un module de sécurité matériel tiers (HSM), qui fournit des services cryptographiques basés sur le matériel 201-compatibles FIPS. Le client utilise conjointement avec plusieurs ordinateurs dédiés virtuels pour soutenir sa topologie de serveur d'infrastructure à clé publique. AD CS root certificate authority (CA) services résident sur un serveur en mode hors connexion, du CA virtuel autonome. Les services AD CS qui délivre des services de l'AC est sur un serveur virtuel de CA. Enfin, les services de certificats révocation liste (CRL) distribution point (CDP) existe sur un serveur Web virtuel.
Services de réseau
Il y a une paire de multi-rôle serveurs virtuels déployés pour fournir des services de réseau communs tels que DHCP Dynamic Host Configuration Protocol (), fichiers et services d'impression et de document. DHCP Server est déployé sur chaque serveur pour fournir la tolérance de pannes accrue et s'appuie sur une configuration de 80/20 pour équilibrer la distribution étendue d'adresses.
Il y a des fois la réplication de système de fichiers distribués (DFS) (DFS-R) et les espaces de noms DFS déployées sur les deux serveurs d'accéder aux fichiers hautement disponible et simplifiée. Pour améliorer les performances et la disponibilité, la Redirection de dossiers et de fichiers hors connexion sont également déployés par stratégie de groupe de travail. Cela redirige le chemin d'accès des dossiers locaux, tels que Documents, vers une cible de dossier DFS Namespace, tandis que la mise en cache de contenu local.
Enfin, imprimer et Document Services sont configurés sur un serveur unique pour partager des imprimantes sur le réseau, de configurer les serveurs d'impression et de centraliser les tâches de gestion des imprimantes réseau.
Communications unifiées
L'Agence a créé un réseau de communication l'échelle de l'Organisation unifiée basé sur Lync Server 2010. Il a déployé ces services dans six serveurs virtuels dédiés, chacun avec des rôles spécifiques. Deux serveurs virtuels de Standard Edition fournissent des fonctionnalités IM, de présence, de conférence et de voix. Ces serveurs sont hébergés sur les ordinateurs hôtes en cluster Hyper-V afin d'assurer la résilience de la voix.
Fonctionnalités de conférence Enterprise Voice et accès à exécutent sur un seul serveur virtuel de la médiation. Cela se traduit par la signalisation et le fournisseur de services de médias sur un tronc de protocole SIP (Session Initiation) de téléphonie par Internet de l'organisation. Une tierce partie, contrôleur de limite de session local prend également en charge les connectivité de trunk SIP sur le serveur de médiation dans le cadre de l'infrastructure de trunk SIP.
Il y a des tiers fonds et commun zone que téléphones IP optimisé pour Lync déployé dans l'ensemble de l'Agence. Ces téléphones exécuter le client Lync Phone Edition et sont directement attachées à des postes de travail pour fournir des capacités d'intégration de Lync.
Un quatrième serveur virtuel de surveillance fournit des services de surveillance. Ce serveur recueille des données sur la qualité des supports réseau, ainsi qu'erreur dossiers d'enregistrements de détail des appels. Ces informations sont utilisées pour résoudre les appels ayant échouées et de mesurer les niveaux d'utilisation pour les différentes fonctionnalités de Lync Server. Pour les services SQL nécessaires, le serveur de surveillance utilise une instance de R2 SP1 Enterprise Edition SQL Server 2008 distante, dédiée, en cours d'exécution sur un serveur physique multi-rôle.
La dernière série de serveurs Lync sont une paire de standalone, serveurs de bord virtuel qui résident dans le réseau de périmètre. Ces serveurs exécuter les fonctionnalités en ligne Exchange Unified Messaging, comme appellent les notifications et les voix des services d'accès (y comprennent messagerie vocale).
Gestion intégrée
Pour une plate-forme de gestion intégrée couvrant le datacenter serveurs et les périphériques clients, le client utilise System Center 2012. Les composants de gestion des infrastructures essentielles et les ensembles d'outils aident avec configuration, surveillance et opérations. Ces composants sont déployés sur trois serveurs virtuels dédiés, chacune utilisant une instance distante de SQL Server 2008 R2 Enterprise Edition exécuté sur un serveur multirôle, physique.
System Center 2012 Configuration Manager et System Center 2012 Endpoint Protection fournissent une infrastructure unifiée pour gérer et protéger les environnements physiques et virtuels de client de l'organisation. Configuration Manager gère centralement toutes les mises à jour logicielles, le déploiement d'applications, la sécurité de reporting et de point de terminaison. Tous les ordinateurs de l'environnement ont les clients Configuration Manager et Endpoint Protection installés, y compris les réseaux de périmètre.
L'Agence utilise également les paramètres de conformité ainsi que les bases de sécurité Security Compliance Manager (SCM) 2.5. Tous les serveurs dans l'environnement sont durcies avec la base de serveurs membres SCM. Parce que le SCM propose des packs de configuration de paramètre conformité, Configuration Manager évalue régulièrement et des rapports sur la conformité sécurité SCM pour tous les serveurs.
System Center 2012 Data Protection Manager (DPM) gère la protection des données sur disque et restauration pour tous les serveurs. Similaire à Configuration Manager, le client de la DPM est requis sur tous les serveurs, y compris les réseaux de périmètre.
System Center 2012 Operations Manager gère les services de surveillance critiques. Basé sur des formules personnalisées de règle, il génère des alertes pour des situations particulières de disponibilité, de performance, de configuration et de sécurité. Par exemple, les administrateurs sont envoyé un courriel chaque fois que les comptes et groupes administrateur de service spécifiques AD DS sont modifiées ou lorsque certains services AD DS administrateurs Connectez-vous au réseau de service. Directeur des opérations aussi fournit une notification lorsque des serveurs critiques, tels que les contrôleurs de domaine, sont fermés et redémarrés.
Au bureau ou en déplacement
Pour les postes de travail, le client utilise un ordinateur portable et une solution d'accueil comme un remplacement de bureau traditionnel. Tous les postes de travail exécuter une image personnalisée de Windows 7 SP1 qui inclut des applications de productivité fondamentaux, tels que Office 365 Outlook Professionnel Plus et le client Lync 2010.
Initialement créé sur place, Microsoft Image déploiement Accelerator Solution fournit mises à jour trimestrielles managés. Pour le déploiement de poste de travail, le client utilise de déploiement de système d'exploitation Configuration Manager. De cette façon, il peut déployer des postes de travail n'importe où sur le réseau de l'entreprise.
Il y a un certain nombre de différents contrôles appliqués aux configurations liées à la sécurité. Pour contrôle d'accès, toutes les stations de travail utilisent les lecteurs de carte à puce intégré, FIPS 201-conforme-PIV middleware logiciel tiers et politiques PIV Smartcard logon. Paramètres de stratégie de groupe restreint et des éléments de préférence utilisateur Local et le groupe gérer de manière centralisée tous les utilisateurs locaux, groupes, appartenances et mots de passe.
Pour durcissement général, toutes les stations de travail utilisent les paramètres de National Institute of Standards et Technology (NIST) des États-Unis gouvernement Configuration Baseline (USGCB) groupe politique. Le client est actuellement en attente d'une mise à jour aux Extensions System Center Configuration Manager pour la validation de USGCB Security Content Automation Protocol rapports prenant en charge les versions actuelles de Configuration Manager et le client Windows.
Le client de System Center 2012 Endpoint Protection est installé sur tous les postes de travail, ainsi que tous les autres ordinateurs. Ceci fournit des caractéristiques essentielles, telles que l'intégration du pare-feu Windows, inspection de réseau et un antivirus, moteur de protection anti-malware. Le chiffrement de lecteur BitLocker fournit une protection de données et est obligatoire sur tous les postes de travail. Restriction d'écriture des paramètres de stratégie de groupe de données requièrent tous les lecteurs de stockage amovible à configurer avec BitLocker To Go.
Périphériques mobiles exécutant Windows Phone 7.5 sont délivrés à tous les utilisateurs d'Office. Microsoft Office Mobile inclut des versions mobiles des applications Office familières. Exchange ActiveSync assure la synchronisation sécurisée avec Office 365 Exchange Online et politiques rigoureuses-accès au périphérique, tels que les exigences de mot de passe complexe, alphanumérique, la mise en quarantaine des périphériques et des capacités de gestion des droits relatifs à l'Information (IRM).
Donc, comme vous pouvez le voir, cet organisme gouvernemental a déployé une infrastructure informatique sophistiquée, comprenant des éléments virtuels et de cloud computing depuis le côté serveur et côté client. Il s'agit d'un excellent exemple d'un environnement informatique modern.
.jpg)
Paul Yuest un consultant senior au sein de Services Microsoft et d'une architecture informatique et conseiller en planification. Il a travaillé chez Microsoft depuis 13 ans, fournissant l'architecture de solutions d'entreprise aux sociétés commerciales et des organismes du secteur public. Le contacter au Paul.Yu@microsoft.com.