制播系统外部网络的管理.doc

制播分离系统外部网络的管理与控制昆明广播电视台网络工程师柳晴摘要：本文介绍昆明广播电视台制播分离系统（一期）核心基础架构优化项目的实施和部署，通过一系列软件的组合应用，达到对客户端权限及软件的管理和控制，以保证外网的稳定性、规范性和安全性。关键词： 微软核心基础架构优化 虚拟化 Windows server 2012 Active Directory域 桌面管理 SCCM2012 0引言由于互联网的飞速发展，其海量音视频信息、高速的传输手段，已成为广播和电视行业获取素材、素材共享与传输的重要手段，对其的依赖性越来越强；与此需求关系相对应，传统的数字化制播系统，往往因为对安全性的高要求和技术上的局限性，而采取封闭内网（物理隔绝）的办法，即称为制播一体的做法；这种做法虽然最大限度地保证了安全性，但由于隔离了互联网，导致很多来源于互联网的素材无法第一时间导入，在导入时，往往需要中间过渡和转码，不仅效率低下，而且反而带来了新的安全性问题。随着技术的发展，新一代制播分离体系被广电行业所推崇，其核心设备是以“网闸”为代表的内外网安全传输系统，它不仅仅可以进行音视频文件的文件级传输，还可以通过XML等数据文件，达到数据级的传输，使内外网协作达到制播一体的使用效果，但实际制作分离到外部网络，可以连接互联网，最大限度的利用共享资源，还可以在外部进行创作和加工。而播出则置于安全的内网之中，保证了播出的绝对安全；在这个系统中，外网既要保证互联性，又要保证其稳定和安全性，故而，外部网络的管控技术难度比内网要高，本文将介绍如何运用Microsoft的核心基础架构优化（Core IO）方案，完成对外部网络的管理与控制。1 Microsoft核心基础架构优化（Core IO）自从Windows server 2008推出之后，针对虚拟化、云服务等技术新浪潮，微软面向企业级用户，推出完整解决方案核心基础架构优化（Core IO）。核心基础架构优化是一种深受企业信赖的IT运维框架，能推动企业IT架构成长为更加灵活、更加安全、更易于管理的基础架构，同时能够降低总体IT成本并更好地利用资源，从而实现最终目标IT成为企业中更为重要的战略资产（摘自微软官方说明）。简而言之，就是利用Windows Sever、SQL Server、hyper-V、System Center、ForeFront等核心软件，合理搭配使用、合理选择版本，组建适合本企业情况的IT基础架构，它的核心功能见下图模型：图1 微软基础架构优化模型由图1可以看出，微软为整个基础架构划分了16种优化模型，可以根据具体使用需求和级别来决定使用哪一种软件和哪一种版本，以达到物尽其用、节约成本的目的。根据实际情况，我们一期工程中，选择了微软“身份认证和访问控制管理”、“桌面、设备和服务器管理”2个模块，级别都选择了“合理化”；“安全和网络”由已有硬件和杀毒软件来做；“数据保护和恢复”外网相对要求低（内网则相反），使用磁盘阵列RAID5冗余。下表是2个模块“合理化”级别的功能要求：模块合理化级别要求身份认证和访问控制管理l 使用目录工具集中管理桌面和服务器配置与安全l 信息保护基础架构l 基于角色的管理桌面、设备和服务器管理l 主要操作系统是Windows 7、Windows XPl 硬件和软件的自动化管理和跟踪l 自动化操作系统镜像桌面部署l 自动化应用程序部署分发表1 合理化功能要求2 服务器虚拟化作为微软基础架构优化的核心产品Windows server 2012，是最新版的服务器操作系统，它比前代产品Windows server 2008 R2最大的变化除了Win8界面风格，最大亮点就是针对云计算进行了大量优化，虽然前代版本已经包含了实施不同云计算场景所需的很多功能，Windows Server 2012 让这些功能更进一步，提供了构建动态多租户云环境的基础，并可通过扩展满足最高级的业务需求，同时有助于降低基础架构成本。Windows Server 2008 R2中的Hyper-V已经帮助很多企业通过整合服务器降低运营成本。下一代Hyper-V配合Windows Server 2012的其他主要功能，让您能够做得更多，通过高效率的隔离保护虚拟化的服务，不停机，甚至不借助群集直接迁移运行中的虚拟机，对虚拟化的负载创建副本实现离场恢复，此外还有更多功能。Windows Server 2012有四个版本，详细情况参见下表：版本功能Essentials面向中小企业，用户限定在25位以内，该版本简化了界面，预先配置云服务连接，不支持虚拟化Standard完整的Windows Server功能，限制使用两台虚拟主机DataCenter供完整的Windows Server功能，不限制虚拟主机数量Foundation版本仅提供给OEM厂商，限定用户15位，提供通用服务器功能，不支持虚拟化表2 Windows server 2012四大版本对比 下图为一期工程的Windows server 2012服务器虚拟化规划图。软件版本为DataCenter。图2 虚拟机群集规划图在上图中，使用2台DELL R910机架式服务器作为物理机，拥有4个6核心CPU、32G内存，并共享一部RADI5光纤磁盘阵列柜；双物理机建立故障群集转移，主要用于共享存储和虚拟机迁移，共有5台虚拟机，分别为主域控制器、SCCM服务器、SQLserver服务器、SCVM服务器、杀毒软件服务器，平时，进行负载均衡分别将负载平衡于2台物理机中，在设备维护或故障发生时，可以实时做虚拟机迁移，业务不中断，不用停机。SQLserver服务器是微软基础架构优化的必选基础产品，是运行架构底层数据交换和数据存储的中心，版本为最新的2012版；SCVMM，全称System Center Vitual Machine Manager，是微软提供的虚拟服务器管理平台。它支持不仅仅是Hyper-V的虚拟服务器，也包括VMware ESXi的支持，它的功能包括创建、删除、备份任何虚拟机，给虚拟机创建快照，进行P2V（物理机到虚拟机）、P2P（物理机到物理机）、V2P（虚拟机到物理机）的迁移，对多个虚拟机、虚拟机平台服务器同时进行监控等。杀毒软件服务器，安装了诺顿V12企业版，负责进行域内客户端杀毒软件的统一安装、升级和扫描。主域控制器、SCCM服务器将是下文介绍的重点。3 Active Directory域的管理与用户权限划分主域控制器运行的主要组件是Active Directory域，Active Directory（活动目录）域内的Directory是用来存储用户帐户、计算机帐户、打印机与共享文件夹等对象，我们把这些对象的存储位置称为目录数据库（Directory Database） 域内提供目录服务的组件是域服务（AD DS）,它负责目录数据库的存储、添加、删除，修改与查询等工作。域的用途非常广泛，它可以使我们集中管理各类帐户，管理外设和共享文件夹，超强的帐户化管理加上超强的组策略分发机制，可以精确到每一个人可以使用那些资源，极大限度的保障了域内的安全性和资源分配合理性。微软核心架构优化必须以域为基础。域是如何对客户端进行管理的？这就要使用到组策略。组策略（Group Policy）是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。既然叫组策略，所以分组和制定策略一样重要，一个好的分组规划将会对日后的策略制定和下发起到非常重要的作用，在实际运用中，分组应该简洁明了，尽量复用策略，比如修改一个策略，可以好几个组同时受用。在一期工程中，我们将各个部门分在“组织单位”分组中，便于区分；由于每一个部门对于计算机使用的权限基本相同，故而，我们只需再做2个组（作用域为：全局，组类型为：安全组），用于下发安全策略，一个名为“高权限”，一个名为“低权限”。我们是这样规划的，每一个用户都同时隶属于2个组：一个为内置帐户Domain User，另一个为安全组“高/低权限” （详见下图）图3 账户权限分组高权限组应用于拥有PC独立使用权的帐户，需要频繁与外界交流，需要安装使用大量第三方软件的工作人员，比如：广告营销、策划等，本组用户必须授予“本地管理员”的权限，以使他们可以进行大部分操作，比如增删软件，但对于修改网络设置（如IP地址）等核心设置还是要禁用。低权限组应用于公用计算机、专用工作站，这类设备往往只需担负固定的工作，不需要频繁改动软件，甚至不允许修改软件设置，比如音频工作站、非编工作站等，只需授予最基本的权限，无法增删修改软件，无法修改计算机任何设置。4 桌面管理SCCM(System Center Configuration Manager)是桌面管理的重要组件，最新版本：2012。它调查并发现通过 Active Directory 连接到您的网络的任何设备（服务器、客户端 PC 和智能手机），并在每个节点上安装客户端软件。它构建一个清单数据库，其中包含针对每项资产和已安装软件和硬件规格的记录。它使用此数据让应用程序部署以成组的设备或用户为目标。完成资产发现后，管理实质上已自动化。修补程序管理基于 Windows Server Update Services (WSUS) 并且已内置。您可以自动让新安装的硬件接收操作系统部署，也可以让现有计算机成为操作系统升级目标。您可以通过设置管理强制执行公司策略。SCCM 可与Network Access Policy (NAP) 集成，以在允许完全网络访问权限之前确保客户端运行状况良好。 SCCM的主要功能如下：3.1 软件分发与管理SCCM2012的软件分发功能显得更为人性化。msi的安装包可以支持静默安装，而大多数exe的安装包，则只能支持手工安装。每一台被SCCM发现的PC，都会被要求安装Configuration Manager客户端，被审批后，会自动安装入客户端，在控制面板中会多一个Configuration Manager选项，它最大的好处是，在客户端会产生一个“软件中心”；当我们在SCCM控制台中，制作好分发包后，可以制定每个软件是必须安装，还是可选安装，并指定计算机；必须安装的话，程序会自动安装到客户端，而无须提示用户，比如音频编辑器、非编工具等；而可选安装就为前面所提到的“低权限”用户安装程序提供了便利，管理员可以选择一些可能用到的软件，放在可选软件组中。用户打开“软件中心”就可以看到可选软件，点击安装，就可以了安装到本地了。这些软件是经过管理员授权的，即使是“低权限”用户也可以安装了，这就解决了“低权限”易用性的问题。（如下图所示）图4 客户端的软件中心3.2 操作系统的分发与管理支持分发32位和64位的Windows操作系统，在分发之前，需要做以下准备工作：l 配置分发点；l 捕获操作系统映像；l 收集驱动程序；l 新建任务序列；l 配置DHCP；须部署操作系统的客户端设备，在BIOS里设置从网卡启动进行引导，从网卡启动获取到IP以后开始连接SCCM服务器地址，接着屏幕出现“Press F12 for network service boot”按F12进行网络启动，这时需要用户按F12。开始从网络引导启动Win PE，进入Configuration Manager控制台，如果在设置主站点的时候设置了密码，则这里必须输入密码才可以进行下一步，选择播发的任务序列之后，就开始自动进行分区，格式化和安装操作系统了。如果在建任务序列的时候足够认真，还可以自动加域和安装软件了。（如下图）图5 客户端按F12后进入win7自动下载和安装3.3 补丁分发与管理补丁分发与管理依靠的组件是WSUS(Windows Server Update Services)，众所周知，微软系统最大的安全隐患来源于自身的漏洞，每个月第二个星期的星期二，微软都会公布已发现的漏洞和修补程序，也就是我们俗称的补丁。第一时间打补丁，是Windows安全防范的第一要素，WSUS支持微软公司全部产品的更新，包括Windows、Office、SQL Server和Exchange Server等内容。通过WSUS这个内部网络中的Windows升级服务，所有Windows更新都集中下载到内部网的WSUS服务器中，而网络中的客户机通过WSUS服务器来得到更新。这在很大程度上节省了网络资源，避免了外部网络流量的浪费并且提高了内部网络中计算机更新的效率。强烈建议把SCCM和WSUS装在同一台服务器里，这样可以省去很多不必要的麻烦，安装好WSUS以后都不用去配置WSUS，因为SCCM会接管WSUS，利用SCCM控制台去配置WSUS。需要注意在安装WSUS时请选择WSUS的端口为8530，避免和SCCM客户端的默认80端口冲突。管理员在控制台中，可以看到哪些设备没有安装最新补丁