微软优化企业IT基础架构.ppt

核心基础架构优化 程尊华MCT MVP CIO2006年度最关心的10个问题 StateoftheCIO 自然形成的IT架构 东拼西凑非端到端基础结构需要大量人工干预不确定是否安全 增长客户服务法规遵从设备管理多种知识和技能移动性 PC维护服务器的散乱旧有平台部署和维护身份管理软件更新 恶意攻击 病毒 垃圾邮件等不断发展变化的威胁补丁管理 VPN等 安全访问 员工 合作伙伴和客户 成本中心救火队 不统一 手动管理的基础架构 更高效的成本中心逐渐得到控制权 可管理的IT基础架构 有限的自动化 可管理且整和的IT基础架构 最大限度的自动化 完全自动化的管理 动态使用资源 与业务联系在一起的SLA 服务品质协议 业务助推器 战略性资产 BasedontheGartnerITMaturityModel 应对型 头疼医头 问题驱动型 避免宕机 应对型稳定的IT请求驱动型变更管理和规划 保持系统持续运行 预见型责任到人更强的监视能力正规的变更管理SLA 服务品质协议 改进可预测性 质量驱动型 预见型优化成本及品质敏捷自我评估并不断改进 领先一步 您的IT环境的动态性如何 降低了复杂性和成本 保护基础架构的安全 提高业务收入 手动管理 未整合的桌面系统 完全自动化与业务联系在一起的SLA 基本 动态 标准化 合理化 集中管理某种程度的自动化 管理良好经过整合的基础结构 硬件 软件 总直接成本 最终用户的生产力以及宕机 间接成本 总TCO 管理 运营 1 258 394 366 2 017 1 306 3 323 1 406 734 428 2 568 2 952 5 520 1 366 617 373 2 356 2 450 4 806 16 36 13 31 8 14 集中管理各种异类系统中的用户供应 备份 恢复所有服务器和桌面数据以及SLA 服务器和桌面系统上的防火墙安全的无线网络桌面系统的服务水平监视 自动管理服务器补丁自动测试应用程序的兼容性自动引用映像系统 有限的基础架构 仅仅包括桌面系统 仅用于身份验证的ActiveDirectory 其他目录无法满足此需要 自动化的补丁管理 例如 用于安装补丁的WU SUS SMS或其他第三方补丁管理解决方案定义的标准简单映像集 用于集中管理配置和安全性的目录工具 GPO或第三方工具 主要的桌面操作系统为XP或2K自动分发 管理和跟踪硬件 软件手动执行应用程序的兼容性测试手动引用映像系统 桌面系统上的AV集中式的FW内部DNS DHCP 远程访问 VPN或TS IPSec服务器隔离服务器监视 备份 恢复关键服务器 备份 恢复所有服务器和SLA 身份及访问管理 桌面系统设计 安全性 网络及监视 灾难恢复 没有集中的身份管理 每个用户存在于工作小组环境中 没有集中的用户验证和共享资源授权 IT管理员能够实施并管理用户和系统身份 并管理共享网络资源授权 如文档 网络和打印共享 确保单一登录功能 存储和管理账户的集中存储 身份信息和安全验证 能够以单一管理点在连接目录上管理身份信息和密码 整合并同步运行多个用户数据库不同系统环境和多个应用的单一登录功能组策略的深入应用 确保用户在整个安全域能够获取资源 有助于内部网和外部网的高效共享简化流程 在整个Windows和Unix环境下管理用户身份 保护密码 增加基础设施成本 在单一网络上的不同身份管理系统数量上升 增加了工作量和基础设施成本 员工必须记住不同身份管理系统的多个密码 如果员工忘记及时更改密码就会造成安全问题 人工任务 人工设立 升级和取消用户帐户效率不高 增加了系统维护成本 没有将企业的管理策略和IT资源访问及使用控制结合 异种系统的管理仍然复杂 不同系统之间身份信息不能同步 活动目录 AD 的定义 规模的扩展采用DNS层次性的结构理论上40亿对象功能的扩展面向对象的设计理念修改架构增加新功能 网络资源集中存储保存在目录数据库中受到严格的安全保护网络资源快速搜索完善的索引系统便捷的搜索界面 Directory 目录 Active 活动 活动目录是微软WindowsServer中提供的目录服务将网络资源集中存放于目录数据库中便于管理 基于LDAP的目录数据库比传统的关系型数据库更适合存放层次型 树状 数据 活动目录 系统管理的核心 用户和计算机的集中管理中心网络资源的安全授权中心企业应用系统的整合中心 实现应用系统的单点登录 AccountInformationPrivilegesProfilesPoliciesSingleSign On 用户帐号 NetworkResourcesFileSharesPrintersPolicies 服务器 ConfigurationSecurityQuarantinePolicies 计算机帐号 DirectoriesDatabasesMainframesUNIX 其他服务 ProductInformationPrivilegesProfilesPoliciesAutomateddeployment 微软产品 ConfigurationQualityofServiceSecurityPoliciesSingleSign On 网络设备 ConfigurationSecurityPolicyVPN RemoteAccessQuarantineSingleSign On 防火墙 SingleSign OnAutomateddeploymentConfigurationApp specificdirectorydata 应用程序 OperationalEfficiencyImprovedSecurityImprovedProductivityInteroperability 活动目录 活动目录的价值 自动锁住操作系统防止恶意攻击强制用户使用严格的密码策略简化网络资源的安全访问 Windows操作系统的管理效率提高30 减少企业的用户目录和密码数量实现服务器和客户端的集中管理 快速查找人员 应用和网络资源提供更加方便的协同工作环境整合应用程序实现单点登录SSO 强化安全 提高效率 简化管理 HRSystem InfraApplication LotusNotesApps In HouseApplication COTSApplication ContractorSystem In HouseApplication IdentityIntegration Identityintegration EnterpriseDirectory Authentication Authorization Identitydata MIIS 用户身份信息中心 各种场景下的单点登陆实现方案 Intranet活动目录MIISMicrosoftOfficeSharePointServer2007InternetPassPortActiveDirectoryFederationServiceCardSpace NETFramework3 0基于WS 标准 公司规范化统一管理 管理桌面系统的补丁及时升级对公司整体规范至关重要 但是难以在整个组织内部实施 安全管理 如何预防和有效管理 解决整个计算环境的病毒 垃圾邮件或威胁到信息安全方面的隐患 无需人工干预的部署反恶意软件保护 例如 间谍软件 Bot和Rootkit等 台式计算机上的服务级别监视客户端的防火墙保护 掌握IT资产信息的难度企业发现很难监测企业内部硬件和软件资产的信息情况 人工软件部署 大型人工软件部署不可行 因为此类项目的复杂程度和支持成本太高 移动办公 管理 资产管理 补丁和更新部署很难对漫游和不经常上线的移动用户实施 自动化 集中管理 OS自动软件分配 桌面的大部分具备补丁配置 界定大多数台式机和笔记本的系列标准 无法自动进行软件分配 人工安装所有软件和桌面升级 自动监督桌面至少80 的硬件和软件资产 至少桌面的80 运行最新版本的操作系统 IT服务管理 DataProtectionManager ServiceDesk CapacityPlanner ReportingManager OperationsManager 数据存储与恢复 问题管理 容量管理 IT报告 操作管理 SystemsManagementServer OperationsManager 性能与可用性监视 软件更新与部署 微软的SystemCenter 行业支持与认可近9 000多家客户IDC表示MOM的增长速度是市场增长速率的5倍年增长近70 TechTarget2005 年度优质产品 MicrosoftOperationsManager 功能监视 标识IT运行状况防患于未然指导 通过可控的最佳操作提高IT效率知识 通过信息共享支持IT操作 现在多亏有了MicrosoftOperationsManager 我们才没有在检查各处问题中浪费时间和受到影响 我们可以实时监视问题 并立即采取相应的措施 ShaneLine 公司基础结构和体系结构经理 ebay 未来特性面向服务知识驱动 启用SDM 企业就绪 可伸缩性和基于角色的特性 SystemsManagementServer 行业支持与认可20 000多家客户被业界广泛采用在GartnerGroup调查的更改和配置管理中排名第一WindowsITPro2005Reader的市场优胜者 功能应用程序部署资产管理安全修补程序管理移动设备管理 管理着12 000多台生产用便携电脑和桌面已从SMS2 0全部升级到SMS2003 未来特性精简的用户界面知识驱动 基于系统定义模型 SDM 的所需配置管理所需配置管理 MicrosoftIT使用SMS的成功经验 部署了108 000多个客户端 通过使用SMS2003 微软的IT部门可以获得 修补过程的精确性4小时内达到97 的遵从度100 得到统计可伸缩性与性能5 500多台托管Windows服务器仅在7个小时便完成了所有部署 2003年7月开始软件分发350 000个安装 配置 全球范围内有5 500多台托管服务器 微软使用此工具来确保微软内部安全修补程序的一致性 在基本的文档服务器系统上没有或只建立了基本的防火墙系统 没有标准的杀毒系统或Spyware所有安全监督工作都是人工进行 远程接入内部资源 不仅仅是电子邮件 还包括VPN或终端服务对服务器的大部分实施中央监控广泛部署的深度防御安全措施台式计算机 便携式计算机和服务器支持的防火墙用于隔离关键系统的IPSec 整个企业采用中央防火墙 包括spam阻挡功能 具备系列内部服务器提供基本网络服务 如DNS DHCP 包括针对关键服务器的备份和恢复解决方案 即时通讯服务器和桌面的大部分都运行杀毒软件 具备安全的无线网络 对移动设施进行验证和授权 对服务器的大部分实施自动化补丁管理 对没有补丁 感染的计算机提供检疫解决方案明确全部服务器和桌面的80 的恢复时间 无法应对日益增长的安全需求 缺乏对企业当前面临风险的全面了解 难以回应业务部门的需求 缺乏实时监控 不能在问题威胁到系统之前发现问题 没有共享信息储存库来记录信息 常见问题的解决方案不能被适当地记录下来 导致知识极易丢失 没有明确的服务器和客户端的服务级别和恢复时间对移动设备的接入没有控制 NetworkAccessProtection NAP 本地用户随机存储数据 且并不备份至网络在本机备份没有可用于部署的用户状态迁移未测试的恢复每台服务器备份至磁带 本地存储的标准位置是 我的文档 并未重定向或备份在工作组级备份备份 还原关键服务器可用于部署的 部分自动化用户状态迁移经测试的关键任务恢复 用户将数据存储至 我的文档 并同步至服务器公司级的备份管理使用SLA备份 还原所有服务器保留和还原用于部署的用户状态经测试的关键任务和应用程序数据恢复基于LAN备份 使用SLA自管理所有服务器和台式计算机数据的备份和还原使用快照的 基于SAN的备份D2D技术DPM技术 DataProtectionManager 行业支持与认可服务器备份 恢复已分发12 8万张beta版拷贝于2005年9月27日启动 功能集中备份 分支机构支持由最终用户发起还原操作 无需IT介入 快速 可靠的恢复近乎连续的数据保护 在用户需要还原文件时 无需再提交工作订单或联系服务台 他们可以随时还原他们自己的文件 RobertBledsoe 网络架构师 DesMoines公立学校 AD 用于公共身份验证SUS SMS WU 用于补丁管理AV合作伙伴ISAWindows 用于基本网络服务 DNS DHCP MIIS自动测试或认证应用程序的兼容性启用 部署防火墙 Win2k XP Win2k3或第三方 安全的无线网络 使用IAS和AD 桌面监视 Windows桌面部署 减少n 2 基于AD的应用程序和基于GPO的管理丰富的SMS使用