《微软优化企业IT基础架构》由会员分享,可在线阅读,更多相关《微软优化企业IT基础架构(29页珍藏版)》请在金锄头文库上搜索。
1、核心基础架构优化核心基础架构优化程尊华程尊华 MCT/MVPMCT/MVPCIO 2006 年度最关心的10个问题State of the CIO 2006 自然形成的自然形成的ITIT架构架构 东拼西凑东拼西凑 非端到端基础结构非端到端基础结构 需要大量人工干预需要大量人工干预 不确定是否安全不确定是否安全增长 客户服务 法规遵从 设备管理 多种知识和技能 移动性PC 维护 服务器的散乱 旧有平台 部署和维护 身份管理 软件更新恶意攻击、病毒、 垃圾邮件等 不断发展变化的威 胁 补丁管理、VPN 等. 安全访问(员工、 合作伙伴和客户)成本中心成本中心救火队救火队 不统一、手动管理不统一、
2、手动管理 的基础架构的基础架构更高效的 成本中心逐渐得到控制权 可管理的可管理的 IT IT 基础基础 架构架构 (有限的自动化)(有限的自动化)可管理且整和可管理且整和 的的 IT IT 基础架构基础架构 (最大限度的自动化)(最大限度的自动化)完全自动化的管理,完全自动化的管理, 动态使用资源,动态使用资源,与业与业 务联系在一起务联系在一起 的的 SLASLA ( (服务品质协服务品质协 议议) )业务助推器业务助推器战略性资产战略性资产* * Based on the Gartner IT Maturity ModelBased on the Gartner IT Maturity M
3、odel应对型应对型 “ “头疼医头头疼医头” ” 问题驱动型问题驱动型 “ “避免宕机避免宕机” ”应对型应对型 稳定的稳定的 ITIT 请求驱动型请求驱动型 变更管理和规划变更管理和规划 “ “保持系统持续运保持系统持续运 行行” ”预见型预见型 责任到人责任到人 更强的监视能力更强的监视能力 正规的变更管理正规的变更管理 SLA(SLA(服务品质协服务品质协 议议) ) 改进改进 可预测性可预测性 “ “质量驱动型质量驱动型” ”预见型预见型 优化成本及品质优化成本及品质 敏捷敏捷 自我评估并不断自我评估并不断 改进改进 “ “领先一步领先一步” ”您的 IT 环境的动态性如何?降低了复
4、杂性和成本,保护基础架构的安全,提高业务收入手动管理, 未整合的桌面系统完全自动化 与业务联系在一起 的 SLA基本动态标准化合理化集中管理 某种程度的自 动化管理良好 经过整合的基 础结构硬件/软件总直接成本最终用户的生产力 以及宕机 (间接成本)总 TCO管理运营$1,258$1,258$394$394$366$366$2,017$2,017$1,306$1,306$3,323$3,323$1,406$1,406$734$734$428$428$2,568$2,568$2,952$2,952$5,520$5,520$1,366$1,366$617$617$373$373$2,356$2,3
5、56$2,450$2,450$4,806$4,80616%36%13%31%8%14%集中管理各种异类系 统中的用户供应备份/恢复所有服务器 和桌面数据以及 SLA服务器和桌面系统上的 防火墙 安全的无线网络 桌面系统的服务水平监 视自动管理服务器补丁 自动测试应用程序的 兼容性 自动引用映像系统有限的基础架构/ 仅 仅包括桌面系统仅用于身份验证的 Active Directory (其 他目录无法满足此需 要)自动化的补丁管理(例 如,用于安装补丁的 WU、SUS、SMS 或其 他第三方补丁管理解决 方案 定义的标准简单映像集用于集中管理配置和安 全性的目录工具( GPO 或第三方工具)主要
6、的桌面操作系统为 XP 或 2K 自动分发、管理和跟踪 硬件/软件 手动执行应用程序的兼 容性测试 手动引用映像系统桌面系统上的 AV 集中式的 FW 内部 DNS、DHCP远程访问(VPN 或 TS ) IPSec 服务器隔离 服务器监视备份/恢复关键服务器备份/恢复所有服务器 和SLA身份及访问管理桌面系统设计安全性、网络 及监视灾难恢复 没有集中的身份管理没有集中的身份管理 ,每个用户存在于工,每个用户存在于工 作小组环境中作小组环境中. . 没有集中的用户验证没有集中的用户验证 和共享资源授权和共享资源授权 ITIT管理员能够实施并管理员能够实施并 管理用户和系统身份管理用户和系统身份
7、 ,并管理共享网络资,并管理共享网络资 源授权,如文档,网源授权,如文档,网 络和打印共享络和打印共享. . 确保单一登录功能,确保单一登录功能, 存储和管理账户的集存储和管理账户的集 中存储,身份信息和中存储,身份信息和 安全验证安全验证 能够以单一管理点在能够以单一管理点在 连接目录上管理身份连接目录上管理身份 信息和密码,整合并信息和密码,整合并 同步运行多个用户数同步运行多个用户数 据库据库 不同系统环境和多个不同系统环境和多个 应用的单一登录功能应用的单一登录功能 组策略的深入应用组策略的深入应用 确保用户在整个安确保用户在整个安 全域能够获取资源全域能够获取资源 ,有助于内部网和,
8、有助于内部网和 外部网的高效共享外部网的高效共享 简化流程,在整个简化流程,在整个 WindowsWindows和和UnixUnix 环境下管理用户身环境下管理用户身 份,保护密码份,保护密码 增加基础设施成本增加基础设施成本 : 在单一网络上的在单一网络上的 不同身份管理系统不同身份管理系统 数量上升,增加了数量上升,增加了 工作量和基础设施工作量和基础设施 成本。成本。 员工必须记住不同员工必须记住不同 身份管理系统的多身份管理系统的多 个密码,如果员工个密码,如果员工 忘记及时更改密码忘记及时更改密码 就会造成安全问题就会造成安全问题 。 人工任务:人工任务: 人工设人工设 立、升级和取
9、消用立、升级和取消用 户帐户效率不高,户帐户效率不高, 增加了系统维护成增加了系统维护成 本本 没有将企业的管理没有将企业的管理 策略和策略和ITIT资源访问资源访问 及使用控制结合及使用控制结合 异种系统的管理异种系统的管理 仍然复杂,不同仍然复杂,不同 系统之间身份信系统之间身份信 息不能同步息不能同步活动目录(活动目录(ADAD)的定义)的定义 规模的扩展规模的扩展 采用采用DNSDNS层次性的结构层次性的结构 理论上理论上4040亿对象亿对象 功能的扩展功能的扩展 面向对象的设计理念面向对象的设计理念 修改架构增加新功能修改架构增加新功能 网络资源集中存储网络资源集中存储 保存在目录数
10、据库中保存在目录数据库中 受到严格的安全保护受到严格的安全保护 网络资源快速搜索网络资源快速搜索 完善的索引系统完善的索引系统 便捷的搜索界面便捷的搜索界面DirectoryDirectory:目录:目录ActiveActive:活动:活动活动目录是微软活动目录是微软Windows ServerWindows Server中提供的目录服务中提供的目录服务 将网络资源集中存放于目录数据库中便于管理将网络资源集中存放于目录数据库中便于管理基于基于LDAPLDAP的目录数据库比传统的关系型数据库更适的目录数据库比传统的关系型数据库更适 合存放层次型(树状)数据合存放层次型(树状)数据活动目录活动目录
11、- -系统管理的核心系统管理的核心 用户和计算机的集中管理中心用户和计算机的集中管理中心 网络资源的安全授权中心网络资源的安全授权中心 企业应用系统的整合中心,实现应用系统的单点登录企业应用系统的整合中心,实现应用系统的单点登录Account Information Privileges Profiles Policies Single Sign-On用户帐号 Network Resources File Shares Printers Policies服务器Configuration Security Quarantine Policies计算机帐号Directories Databases
12、 Mainframes UNIX其他服务Product Information Privileges Profiles Policies Automated deployment微软产品Configuration Quality of Service Security Policies Single Sign-On网络设备Configuration Security Policy VPN & Remote Access Quarantine Single Sign-On防火墙Single Sign-On Automated deployment Configuration App-specif
13、ic directory data应用程序Operational Efficiency Improved Security Improved Productivity Interoperability活动目录活动目录的价值自动锁住操作系统防止恶意攻击自动锁住操作系统防止恶意攻击强制用户使用严格的密码策略强制用户使用严格的密码策略简化网络资源的安全访问简化网络资源的安全访问WindowsWindows操作系统的管理效率提高操作系统的管理效率提高30%30%减少企业的用户目录和密码数量减少企业的用户目录和密码数量实现服务器和客户端的集中管理实现服务器和客户端的集中管理快速查找人员、应用和网络资源快
14、速查找人员、应用和网络资源提供更加方便的协同工作环境提供更加方便的协同工作环境整合应用程序实现单点登录整合应用程序实现单点登录SSOSSO强化安全提高效率简化管理HRHR SystemSystemInfraInfra ApplicationApplicationLotusLotus Notes AppsNotes AppsIn-HouseIn-House ApplicationApplicationCOTSCOTS ApplicationApplicationContractorContractor SystemSystemIn-HouseIn-House ApplicationApplica
15、tionAuthentication Authorization Identity DataAuthentication Authorization Identity DataAuthentication Authorization Identity DataAuthentication Authorization Identity DataAuthorization Identity DataAuthenticationAuthentication Authorization Identity DataAuthentication Authorization Identity DataIdentity IntegrationIdentity Integration“Identity integration”Enterprise DirectoryEnterprise DirectoryAuthenticationAuthorizationIdentity dataMIIS: MIIS: 用户身份信息中心用户身份信息中心各种场景下的单点登陆实现方案各种场景下的单点登陆实现方案 IntranetIntranet 活动目录活动目录 MIISMIIS MicrosoftMicrosoft OfficeOffice SharePointSharePo
