制播系統(tǒng)外部網(wǎng)絡(luò)的管理

1、文檔供參考，可復(fù)制、編制，期待您的好評與關(guān)注！ 制播分離系統(tǒng)外部網(wǎng)絡(luò)的管理與控制昆明廣播電視臺網(wǎng)絡(luò)工程師柳晴摘要：本文介紹昆明廣播電視臺制播分離系統(tǒng)（一期）核心基礎(chǔ)架構(gòu)優(yōu)化項(xiàng)目的實(shí)施和部署，通過一系列軟件的組合應(yīng)用，達(dá)到對客戶端權(quán)限及軟件的管理和控制，以保證外網(wǎng)的穩(wěn)定性、規(guī)范性和安全性。關(guān)鍵詞： 微軟核心基礎(chǔ)架構(gòu)優(yōu)化 虛擬化 Windows server 2012 Active Directory域 桌面管理 SCCM2012 0引言由于互聯(lián)網(wǎng)的飛速發(fā)展，其海量音視頻信息、高速的傳輸手段，已成為廣播和電視行業(yè)獲取素材、素材共享與傳輸?shù)闹匾侄危瑢ζ涞囊蕾囆栽絹碓綇?qiáng)；與此需求關(guān)系相對應(yīng)，傳統(tǒng)的數(shù)

2、字化制播系統(tǒng)，往往因?yàn)閷Π踩缘母咭蠛图夹g(shù)上的局限性，而采取封閉內(nèi)網(wǎng)（物理隔絕）的辦法，即稱為制播一體的做法；這種做法雖然最大限度地保證了安全性，但由于隔離了互聯(lián)網(wǎng)，導(dǎo)致很多來源于互聯(lián)網(wǎng)的素材無法第一時(shí)間導(dǎo)入，在導(dǎo)入時(shí)，往往需要中間過渡和轉(zhuǎn)碼，不僅效率低下，而且反而帶來了新的安全性問題。隨著技術(shù)的發(fā)展，新一代制播分離體系被廣電行業(yè)所推崇，其核心設(shè)備是以“網(wǎng)閘”為代表的內(nèi)外網(wǎng)安全傳輸系統(tǒng)，它不僅僅可以進(jìn)行音視頻文件的文件級傳輸，還可以通過XML等數(shù)據(jù)文件，達(dá)到數(shù)據(jù)級的傳輸，使內(nèi)外網(wǎng)協(xié)作達(dá)到制播一體的使用效果，但實(shí)際制作分離到外部網(wǎng)絡(luò)，可以連接互聯(lián)網(wǎng)，最大限度的利用共享資源，還可以在外部進(jìn)行創(chuàng)作

3、和加工。而播出則置于安全的內(nèi)網(wǎng)之中，保證了播出的絕對安全；在這個(gè)系統(tǒng)中，外網(wǎng)既要保證互聯(lián)性，又要保證其穩(wěn)定和安全性，故而，外部網(wǎng)絡(luò)的管控技術(shù)難度比內(nèi)網(wǎng)要高，本文將介紹如何運(yùn)用Microsoft的核心基礎(chǔ)架構(gòu)優(yōu)化（Core IO）方案，完成對外部網(wǎng)絡(luò)的管理與控制。1 Microsoft核心基礎(chǔ)架構(gòu)優(yōu)化（Core IO）自從Windows server 2008推出之后，針對虛擬化、云服務(wù)等技術(shù)新浪潮，微軟面向企業(yè)級用戶，推出完整解決方案核心基礎(chǔ)架構(gòu)優(yōu)化（Core IO）。核心基礎(chǔ)架構(gòu)優(yōu)化是一種深受企業(yè)信賴的IT運(yùn)維框架，能推動企業(yè)IT架構(gòu)成長為更加靈活、更加安全、更易于管理的基礎(chǔ)架構(gòu)，同時(shí)能夠降

4、低總體IT成本并更好地利用資源，從而實(shí)現(xiàn)最終目標(biāo)IT成為企業(yè)中更為重要的戰(zhàn)略資產(chǎn)（摘自微軟官方說明）。簡而言之，就是利用Windows Sever、SQL Server、hyper-V、System Center、ForeFront等核心軟件，合理搭配使用、合理選擇版本，組建適合本企業(yè)情況的IT基礎(chǔ)架構(gòu)，它的核心功能見下圖模型：圖1 微軟基礎(chǔ)架構(gòu)優(yōu)化模型由圖1可以看出，微軟為整個(gè)基礎(chǔ)架構(gòu)劃分了16種優(yōu)化模型，可以根據(jù)具體使用需求和級別來決定使用哪一種軟件和哪一種版本，以達(dá)到物盡其用、節(jié)約成本的目的。根據(jù)實(shí)際情況，我們一期工程中，選擇了微軟“身份認(rèn)證和訪問控制管理”、“桌面、設(shè)備和服務(wù)器管理”2

5、個(gè)模塊，級別都選擇了“合理化”；“安全和網(wǎng)絡(luò)”由已有硬件和殺毒軟件來做；“數(shù)據(jù)保護(hù)和恢復(fù)”外網(wǎng)相對要求低（內(nèi)網(wǎng)則相反），使用磁盤陣列RAID5冗余。下表是2個(gè)模塊“合理化”級別的功能要求：模塊合理化級別要求身份認(rèn)證和訪問控制管理l 使用目錄工具集中管理桌面和服務(wù)器配置與安全l 信息保護(hù)基礎(chǔ)架構(gòu)l 基于角色的管理桌面、設(shè)備和服務(wù)器管理l 主要操作系統(tǒng)是Windows 7、Windows XPl 硬件和軟件的自動化管理和跟蹤l 自動化操作系統(tǒng)鏡像桌面部署l 自動化應(yīng)用程序部署分發(fā)表1 合理化功能要求2 服務(wù)器虛擬化作為微軟基礎(chǔ)架構(gòu)優(yōu)化的核心產(chǎn)品Windows server 2012，是最新版的服務(wù)

6、器操作系統(tǒng)，它比前代產(chǎn)品Windows server 2008 R2最大的變化除了Win8界面風(fēng)格，最大亮點(diǎn)就是針對云計(jì)算進(jìn)行了大量優(yōu)化，雖然前代版本已經(jīng)包含了實(shí)施不同云計(jì)算場景所需的很多功能，Windows Server 2012 讓這些功能更進(jìn)一步，提供了構(gòu)建動態(tài)多租戶云環(huán)境的基礎(chǔ)，并可通過擴(kuò)展?jié)M足最高級的業(yè)務(wù)需求，同時(shí)有助于降低基礎(chǔ)架構(gòu)成本。Windows Server 2008 R2中的Hyper-V已經(jīng)幫助很多企業(yè)通過整合服務(wù)器降低運(yùn)營成本。下一代Hyper-V配合Windows Server 2012的其他主要功能，讓您能夠做得更多，通過高效率的隔離保護(hù)虛擬化的服務(wù)，不停機(jī)，甚至不

7、借助群集直接遷移運(yùn)行中的虛擬機(jī)，對虛擬化的負(fù)載創(chuàng)建副本實(shí)現(xiàn)離場恢復(fù)，此外還有更多功能。Windows Server 2012有四個(gè)版本，詳細(xì)情況參見下表：版本功能Essentials面向中小企業(yè)，用戶限定在25位以內(nèi)，該版本簡化了界面，預(yù)先配置云服務(wù)連接，不支持虛擬化Standard完整的Windows Server功能，限制使用兩臺虛擬主機(jī)DataCenter供完整的Windows Server功能，不限制虛擬主機(jī)數(shù)量Foundation版本僅提供給OEM廠商，限定用戶15位，提供通用服務(wù)器功能，不支持虛擬化表2 Windows server 2012四大版本對比 下圖為一期工程的Windo

8、ws server 2012服務(wù)器虛擬化規(guī)劃圖。軟件版本為DataCenter。圖2 虛擬機(jī)群集規(guī)劃圖在上圖中，使用2臺DELL R910機(jī)架式服務(wù)器作為物理機(jī)，擁有4個(gè)6核心CPU、32G內(nèi)存，并共享一部RADI5光纖磁盤陣列柜；雙物理機(jī)建立故障群集轉(zhuǎn)移，主要用于共享存儲和虛擬機(jī)遷移，共有5臺虛擬機(jī)，分別為主域控制器、SCCM服務(wù)器、SQLserver服務(wù)器、SCVM服務(wù)器、殺毒軟件服務(wù)器，平時(shí)，進(jìn)行負(fù)載均衡分別將負(fù)載平衡于2臺物理機(jī)中，在設(shè)備維護(hù)或故障發(fā)生時(shí)，可以實(shí)時(shí)做虛擬機(jī)遷移，業(yè)務(wù)不中斷，不用停機(jī)。SQLserver服務(wù)器是微軟基礎(chǔ)架構(gòu)優(yōu)化的必選基礎(chǔ)產(chǎn)品，是運(yùn)行架構(gòu)底層數(shù)據(jù)交換和數(shù)據(jù)存

9、儲的中心，版本為最新的2012版；SCVMM，全稱System Center Vitual Machine Manager，是微軟提供的虛擬服務(wù)器管理平臺。它支持不僅僅是Hyper-V的虛擬服務(wù)器，也包括VMware ESXi的支持，它的功能包括創(chuàng)建、刪除、備份任何虛擬機(jī)，給虛擬機(jī)創(chuàng)建快照，進(jìn)行P2V（物理機(jī)到虛擬機(jī)）、P2P（物理機(jī)到物理機(jī)）、V2P（虛擬機(jī)到物理機(jī)）的遷移，對多個(gè)虛擬機(jī)、虛擬機(jī)平臺服務(wù)器同時(shí)進(jìn)行監(jiān)控等。殺毒軟件服務(wù)器，安裝了諾頓V12企業(yè)版，負(fù)責(zé)進(jìn)行域內(nèi)客戶端殺毒軟件的統(tǒng)一安裝、升級和掃描。主域控制器、SCCM服務(wù)器將是下文介紹的重點(diǎn)。3 Active Directory域

10、的管理與用戶權(quán)限劃分主域控制器運(yùn)行的主要組件是Active Directory域，Active Directory（活動目錄）域內(nèi)的Directory是用來存儲用戶帳戶、計(jì)算機(jī)帳戶、打印機(jī)與共享文件夾等對象，我們把這些對象的存儲位置稱為目錄數(shù)據(jù)庫（Directory Database） 域內(nèi)提供目錄服務(wù)的組件是域服務(wù)（AD DS）,它負(fù)責(zé)目錄數(shù)據(jù)庫的存儲、添加、刪除，修改與查詢等工作。域的用途非常廣泛，它可以使我們集中管理各類帳戶，管理外設(shè)和共享文件夾，超強(qiáng)的帳戶化管理加上超強(qiáng)的組策略分發(fā)機(jī)制，可以精確到每一個(gè)人可以使用那些資源，極大限度的保障了域內(nèi)的安全性和資源分配合理性。微軟核心架構(gòu)優(yōu)化必

11、須以域?yàn)榛A(chǔ)。域是如何對客戶端進(jìn)行管理的？這就要使用到組策略。組策略（Group Policy）是管理員為用戶和計(jì)算機(jī)定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具。通過使用組策略可以設(shè)置各種軟件、計(jì)算機(jī)和用戶策略。其實(shí)簡單地說，組策略設(shè)置就是在修改注冊表中的配置。當(dāng)然，組策略使用了更完善的管理組織方法，可以對各種對象中的設(shè)置進(jìn)行管理和配置，遠(yuǎn)比手工修改注冊表方便、靈活，功能也更加強(qiáng)大。既然叫組策略，所以分組和制定策略一樣重要，一個(gè)好的分組規(guī)劃將會對日后的策略制定和下發(fā)起到非常重要的作用，在實(shí)際運(yùn)用中，分組應(yīng)該簡潔明了，盡量復(fù)用策略，比如修改一個(gè)策略，可以好幾個(gè)組同時(shí)受用。在一期工程中，我們

12、將各個(gè)部門分在“組織單位”分組中，便于區(qū)分；由于每一個(gè)部門對于計(jì)算機(jī)使用的權(quán)限基本相同，故而，我們只需再做2個(gè)組（作用域?yàn)椋喝?，組類型為：安全組），用于下發(fā)安全策略，一個(gè)名為“高權(quán)限”，一個(gè)名為“低權(quán)限”。我們是這樣規(guī)劃的，每一個(gè)用戶都同時(shí)隸屬于2個(gè)組：一個(gè)為內(nèi)置帳戶Domain User，另一個(gè)為安全組“高/低權(quán)限” （詳見下圖）圖3 賬戶權(quán)限分組高權(quán)限組應(yīng)用于擁有PC獨(dú)立使用權(quán)的帳戶，需要頻繁與外界交流，需要安裝使用大量第三方軟件的工作人員，比如：廣告營銷、策劃等，本組用戶必須授予“本地管理員”的權(quán)限，以使他們可以進(jìn)行大部分操作，比如增刪軟件，但對于修改網(wǎng)絡(luò)設(shè)置（如IP地址）等核心設(shè)置還

13、是要禁用。低權(quán)限組應(yīng)用于公用計(jì)算機(jī)、專用工作站，這類設(shè)備往往只需擔(dān)負(fù)固定的工作，不需要頻繁改動軟件，甚至不允許修改軟件設(shè)置，比如音頻工作站、非編工作站等，只需授予最基本的權(quán)限，無法增刪修改軟件，無法修改計(jì)算機(jī)任何設(shè)置。4 桌面管理SCCM(System Center Configuration Manager)是桌面管理的重要組件，最新版本：2012。它調(diào)查并發(fā)現(xiàn)通過 Active Directory 連接到您的網(wǎng)絡(luò)的任何設(shè)備（服務(wù)器、客戶端 PC 和智能手機(jī)），并在每個(gè)節(jié)點(diǎn)上安裝客戶端軟件。它構(gòu)建一個(gè)清單數(shù)據(jù)庫，其中包含針對每項(xiàng)資產(chǎn)和已安裝軟件和硬件規(guī)格的記錄。它使用此數(shù)據(jù)讓應(yīng)用程序部署以成

14、組的設(shè)備或用戶為目標(biāo)。完成資產(chǎn)發(fā)現(xiàn)后，管理實(shí)質(zhì)上已自動化。修補(bǔ)程序管理基于 Windows Server Update Services (WSUS) 并且已內(nèi)置。您可以自動讓新安裝的硬件接收操作系統(tǒng)部署，也可以讓現(xiàn)有計(jì)算機(jī)成為操作系統(tǒng)升級目標(biāo)。您可以通過設(shè)置管理強(qiáng)制執(zhí)行公司策略。SCCM 可與Network Access Policy (NAP) 集成，以在允許完全網(wǎng)絡(luò)訪問權(quán)限之前確?？蛻舳诉\(yùn)行狀況良好。 SCCM的主要功能如下：3.1 軟件分發(fā)與管理SCCM2012的軟件分發(fā)功能顯得更為人性化。msi的安裝包可以支持靜默安裝，而大多數(shù)exe的安裝包，則只能支持手工安裝。每一臺被SCCM發(fā)現(xiàn)

15、的PC，都會被要求安裝Configuration Manager客戶端，被審批后，會自動安裝入客戶端，在控制面板中會多一個(gè)Configuration Manager選項(xiàng)，它最大的好處是，在客戶端會產(chǎn)生一個(gè)“軟件中心”；當(dāng)我們在SCCM控制臺中，制作好分發(fā)包后，可以制定每個(gè)軟件是必須安裝，還是可選安裝，并指定計(jì)算機(jī)；必須安裝的話，程序會自動安裝到客戶端，而無須提示用戶，比如音頻編輯器、非編工具等；而可選安裝就為前面所提到的“低權(quán)限”用戶安裝程序提供了便利，管理員可以選擇一些可能用到的軟件，放在可選軟件組中。用戶打開“軟件中心”就可以看到可選軟件，點(diǎn)擊安裝，就可以了安裝到本地了。這些軟件是經(jīng)過管理

16、員授權(quán)的，即使是“低權(quán)限”用戶也可以安裝了，這就解決了“低權(quán)限”易用性的問題。（如下圖所示）圖4 客戶端的軟件中心3.2 操作系統(tǒng)的分發(fā)與管理支持分發(fā)32位和64位的Windows操作系統(tǒng)，在分發(fā)之前，需要做以下準(zhǔn)備工作：l 配置分發(fā)點(diǎn)；l 捕獲操作系統(tǒng)映像；l 收集驅(qū)動程序；l 新建任務(wù)序列；l 配置DHCP；須部署操作系統(tǒng)的客戶端設(shè)備，在BIOS里設(shè)置從網(wǎng)卡啟動進(jìn)行引導(dǎo)，從網(wǎng)卡啟動獲取到IP以后開始連接SCCM服務(wù)器地址，接著屏幕出現(xiàn)“Press F12 for network service boot”按F12進(jìn)行網(wǎng)絡(luò)啟動，這時(shí)需要用戶按F12。開始從網(wǎng)絡(luò)引導(dǎo)啟動Win PE，進(jìn)入Con

17、figuration Manager控制臺，如果在設(shè)置主站點(diǎn)的時(shí)候設(shè)置了密碼，則這里必須輸入密碼才可以進(jìn)行下一步，選擇播發(fā)的任務(wù)序列之后，就開始自動進(jìn)行分區(qū)，格式化和安裝操作系統(tǒng)了。如果在建任務(wù)序列的時(shí)候足夠認(rèn)真，還可以自動加域和安裝軟件了。（如下圖）圖5 客戶端按F12后進(jìn)入win7自動下載和安裝3.3 補(bǔ)丁分發(fā)與管理補(bǔ)丁分發(fā)與管理依靠的組件是WSUS(Windows Server Update Services)，眾所周知，微軟系統(tǒng)最大的安全隱患來源于自身的漏洞，每個(gè)月第二個(gè)星期的星期二，微軟都會公布已發(fā)現(xiàn)的漏洞和修補(bǔ)程序，也就是我們俗稱的補(bǔ)丁。第一時(shí)間打補(bǔ)丁，是Windows安全防范的第

18、一要素，WSUS支持微軟公司全部產(chǎn)品的更新，包括Windows、Office、SQL Server和Exchange Server等內(nèi)容。通過WSUS這個(gè)內(nèi)部網(wǎng)絡(luò)中的Windows升級服務(wù)，所有Windows更新都集中下載到內(nèi)部網(wǎng)的WSUS服務(wù)器中，而網(wǎng)絡(luò)中的客戶機(jī)通過WSUS服務(wù)器來得到更新。這在很大程度上節(jié)省了網(wǎng)絡(luò)資源，避免了外部網(wǎng)絡(luò)流量的浪費(fèi)并且提高了內(nèi)部網(wǎng)絡(luò)中計(jì)算機(jī)更新的效率。強(qiáng)烈建議把SCCM和WSUS裝在同一臺服務(wù)器里，這樣可以省去很多不必要的麻煩，安裝好WSUS以后都不用去配置WSUS，因?yàn)镾CCM會接管WSUS，利用SCCM控制臺去配置WSUS。需要注意在安裝WSUS時(shí)請選擇WSUS的端口為8530，避免和SCCM客戶端的默認(rèn)80端口沖突。管理員在控制臺中，可以看到哪些設(shè)備沒有安裝最新補(bǔ)丁，