制播系統(tǒng)外部網(wǎng)絡(luò)的管理

1、制播分離系統(tǒng)外部網(wǎng)絡(luò)的管理與控制昆明廣播電視臺(tái)網(wǎng)絡(luò)工程師柳晴摘要：本文介紹昆明廣播電視臺(tái)制播分離系統(tǒng)（一期）核心基礎(chǔ)架構(gòu)優(yōu)化項(xiàng)目的實(shí) 施和部署，通過一系列軟件的組合應(yīng)用，達(dá)到對(duì)客戶端權(quán)限及軟件的管理和控制, 以保證外網(wǎng)的穩(wěn)定性、規(guī)范性和安全性。關(guān)鍵詞：微軟核心基礎(chǔ)架構(gòu)優(yōu)化 虛擬化 windows server 2012active directory 域 桌面管理 sccm20120引言由于互聯(lián)網(wǎng)的飛速發(fā)展，其海量音視頻信息、高速的傳輸手段，己成為廣播 和電視行業(yè)獲取素材、素材共享與傳輸?shù)闹匾侄危瑢?duì)其的依賴性越來越強(qiáng)；與 此需求關(guān)系相對(duì)應(yīng)，傳統(tǒng)的數(shù)字化制播系統(tǒng)，往往因?yàn)閷?duì)安全性的高要求和技術(shù)

2、 上的局限性，而采取封閉內(nèi)網(wǎng)（物理隔絕）的辦法，即稱為制播一體的做法；這 種做法雖然最大限度地保證了安全性，但由于隔離了互聯(lián)網(wǎng)，導(dǎo)致很多來源于互 聯(lián)網(wǎng)的素材無法笫一時(shí)間導(dǎo)入，在導(dǎo)入時(shí)，往往需要中間過渡和轉(zhuǎn)碼，不僅效率 低下，而且反而帶來了新的安全性問題。隨著技術(shù)的發(fā)展，新-代制播分離體系 被廣電行業(yè)所推崇，其核心設(shè)備是以“網(wǎng)閘”為代表的內(nèi)外網(wǎng)安全傳輸系統(tǒng)，它 不僅僅可以進(jìn)行咅視頻文件的文件級(jí)傳輸，還可以通過xml等數(shù)據(jù)文件，達(dá)到數(shù) 據(jù)級(jí)的傳輸，使內(nèi)外網(wǎng)協(xié)作達(dá)到制播一體的使用效果，但實(shí)際制作分離到外部網(wǎng) 絡(luò)，可以連接互聯(lián)網(wǎng)，最大限度的利用共享資源，還可以在外部進(jìn)行創(chuàng)作和加工。 而播出則置于安全的

3、內(nèi)網(wǎng)之屮，保證了播出的絕對(duì)安全；在這個(gè)系統(tǒng)屮，外網(wǎng)既 要保證互聯(lián)性，又要保證其穩(wěn)定和安全性，故而，外部網(wǎng)絡(luò)的管控技術(shù)難度比內(nèi) 網(wǎng)要高，本文將介紹如何運(yùn)用microsoft的核心基礎(chǔ)架構(gòu)優(yōu)化（core 10）方案, 完成對(duì)外部網(wǎng)絡(luò)的管理與控制。1 microsoft核心基礎(chǔ)架構(gòu)優(yōu)化（core 10）自從windows server 2008推出之后，針對(duì)虛擬化、云服務(wù)等技術(shù)新浪潮， 微軟面向企業(yè)級(jí)用戶，推出完整解決方案核心基礎(chǔ)架構(gòu)優(yōu)化（core t0）o核心基礎(chǔ)架構(gòu)優(yōu)化是一種深受企業(yè)信賴的it運(yùn)維框架，能推動(dòng)企業(yè)it架構(gòu) 成長(zhǎng)為更加靈活、更加安全、更易于管理的基礎(chǔ)架構(gòu)，同時(shí)能夠降低總體1t成 本

4、并更好地利用資源，從而實(shí)現(xiàn)最終目標(biāo)一一it成為企業(yè)中更為重要的戰(zhàn)略資 產(chǎn)（摘自微軟官方說明）。簡(jiǎn)而言之，就是利用 windows seversql server> hyper-v、system center> forefront等核心軟件，合理搭配使用、合理選擇版本，組建適合本企業(yè)情況的 1t基礎(chǔ)架構(gòu)，它的核心功能見下圖模型：圖1微軟基礎(chǔ)架構(gòu)優(yōu)化模型由圖1可以看出，微軟為整個(gè)基礎(chǔ)架構(gòu)劃分了 16種優(yōu)化模型，可以根據(jù)具 體使用需求和級(jí)別來決定使用哪一種軟件和哪一種版木，以達(dá)到物盡其用、節(jié)約 成本的廿的。根據(jù)實(shí)際情況，我們一期工程中，選擇了微軟“身份認(rèn)證和訪問控制管理”、 “桌而、設(shè)備

5、和服務(wù)器管理”2個(gè)模塊，級(jí)別都選擇了 “合理化安全和網(wǎng)絡(luò)” 由已有碩件和殺毒軟件來做'數(shù)據(jù)保護(hù)和恢復(fù)”外網(wǎng)相對(duì)要求低（內(nèi)網(wǎng)則相反）, 使用磁盤陣列raid5冗余。下表是2個(gè)模塊“合理化”級(jí)別的功能要求:模塊合理化級(jí)別要求身份認(rèn)證和訪問控制管理 使用冃錄工具集中管理桌而和服務(wù)器配置與安全 信息保護(hù)基礎(chǔ)架構(gòu) 基于角色的管理桌而、設(shè)備和服務(wù)器管理 主要操作系統(tǒng)是windows 7、windows xp 碩件和軟件的h動(dòng)化管理和跟蹤 白動(dòng)化操作系統(tǒng)鏡像桌面部署 自動(dòng)化應(yīng)用程序部署分發(fā)表1合理化功能要求2服務(wù)器虛擬化作為微軟基礎(chǔ)架構(gòu)優(yōu)化的核心產(chǎn)品 windows server 2012,是最新版

6、的 服務(wù)器操作系統(tǒng)，它比前代產(chǎn)品windows server 2008 r2最大的變化除了 win8 界面風(fēng)格，最大亮點(diǎn)就是針對(duì)云計(jì)算進(jìn)行了大量?jī)?yōu)化，雖然前代版本已經(jīng)包含了 實(shí)施不同云計(jì)算場(chǎng)景所需的很多功能，windows server 2012讓這些功能更進(jìn)一 步，提供了構(gòu)建動(dòng)態(tài)多租戶云環(huán)境的基礎(chǔ)，并可通過擴(kuò)展?jié)M足最高級(jí)的業(yè)務(wù)需求, 同時(shí)有助丁降低基礎(chǔ)架構(gòu)成木。windows server 2008 r2中的ilypcr-v已經(jīng)幫 助很多企業(yè)通過整合服務(wù)器降低運(yùn)營(yíng)成本。下一代hyper-v配合windows server 2012的其他主要功能，讓您能夠做得更多，通過高效率的隔離保護(hù)虛擬化的

7、服 務(wù)，不停機(jī)，甚至不借助群集直接遷移運(yùn)行屮的虛擬機(jī)，對(duì)虛擬化的負(fù)載創(chuàng)建副 本實(shí)現(xiàn)離場(chǎng)恢復(fù)，此外還有更多功能。windows server 2012有四個(gè)版本,詳細(xì)情況參見卜'表：版本功能essentials面向中小企業(yè),用戶限定在25位以內(nèi),該版 木簡(jiǎn)化了界面，預(yù)先配置云服務(wù)連接，不支 持虛擬化standard完整的windows server功能,限制使用兩臺(tái) 虛擬主機(jī)datacenter供完整的windows server功能，不限制虛擬 主機(jī)數(shù)量foundation版本僅提供給oem廠商，限定用戶15位，提 供通用服務(wù)器功能，不支持虛擬化表2 windows server 20

8、12四大版本對(duì)比下圖為一期工程的windows server 2012服務(wù)器虛擬化規(guī)劃圖。軟件版本為sqlserver（虛擬機(jī)）datacentero。iisccm桌面管理服務(wù)器| （虛擬機(jī)）|0賽門鐵克服務(wù)器（虛擬機(jī)）0群集1iraid5共享存儲(chǔ)|0域控（虛擬機(jī)）sc vmm服務(wù)器 （虛擬機(jī)）server1 （物理機(jī)）server2 （物理機(jī)）圖2虛擬機(jī)群集規(guī)劃圖在上圖小，使用2臺(tái)dell r910機(jī)架式服務(wù)器作為物理機(jī)，擁有4個(gè)6核心 cpu、32g內(nèi)存，并共享一部rad15光纖磁盤陣列柜；雙物理機(jī)建立故障群集轉(zhuǎn)移，主要用于共享存儲(chǔ)和虛擬機(jī)遷移，共有5臺(tái)虛擬機(jī),分別為主域控制器、sccm服

9、務(wù)器、sqlserver服務(wù)器、scvm服務(wù)器、殺毒軟件服務(wù)器，平時(shí)，進(jìn)行負(fù)載均衡分別將負(fù)載平衡于2臺(tái)物理機(jī)中，在設(shè)備維護(hù)或故障發(fā)生時(shí)，可以實(shí)時(shí)做虛擬機(jī)遷移，業(yè)務(wù)不中斷，不用停機(jī)。sqlserver服務(wù)器是微軟基礎(chǔ)架構(gòu)優(yōu)化的必選基礎(chǔ)產(chǎn)品，是運(yùn)行架構(gòu)底層數(shù) 據(jù)交換和數(shù)據(jù)存儲(chǔ)的中心，版本為最新的2012版；scvmm,全稱 system center vitual machine manager,是微軟提供的虛擬 服務(wù)器管理平臺(tái)。它支持不僅僅是hyper-v的虛擬服務(wù)器，也包括vmware esxi 的支持，它的功能包括創(chuàng)建、刪除、備份任何虛擬機(jī)，給虛擬機(jī)創(chuàng)建快照，進(jìn)行 p2v （物理機(jī)到虛擬機(jī)）

10、、p2p （物理機(jī)到物理機(jī)）、v2p （虛擬機(jī)到物理機(jī)）的遷 移，對(duì)多個(gè)虛擬機(jī)、虛擬機(jī)平臺(tái)服務(wù)器同時(shí)進(jìn)行監(jiān)控等。殺毒軟件服務(wù)器，安裝了諾頓v12企業(yè)版，負(fù)責(zé)進(jìn)行域內(nèi)客戶端殺毒軟件 的統(tǒng)一安裝、升級(jí)和掃描。主域控制器、sccm服務(wù)器將是下文介紹的重點(diǎn)。3 active directory域的管理與用戶權(quán)限劃分主域控制器運(yùn)行的主要組件是active directory域，active directory （活 動(dòng)目錄）域內(nèi)的directory是用來存儲(chǔ)用戶帳戶、計(jì)算機(jī)帳戶、打印機(jī)與共享文 件夾等對(duì)象，我們把這些對(duì)象的存儲(chǔ)位置稱為冃錄數(shù)據(jù)庫（directory database） 域內(nèi)提供口錄服務(wù)的

11、組件是域服務(wù)（ad ds）,它負(fù)責(zé)口錄數(shù)據(jù)庫的存儲(chǔ)、添加、 冊(cè)0除，修改與杏詢等工作。域矗用途箱常廣泛，它可以使我們集中管理各類帳戶，管理外設(shè)和共享文件 夾，超強(qiáng)的帳戶化管理加上超強(qiáng)的組策略分發(fā)機(jī)制，可以精確到每一個(gè)人可以使 用那些資源，極大限度的保障了域內(nèi)的安全性和資源分配合理性。微軟核心架構(gòu) 優(yōu)化必須以域?yàn)榛A(chǔ)。域是如何對(duì)客戶端進(jìn)行管理的？這就要使用到組策略。組策略（group policy）是管理員為用戶和計(jì)算機(jī)定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的 主耍工具。通過使用組策略可以設(shè)置各種軟件、計(jì)算機(jī)和用戶策略。其實(shí)簡(jiǎn)單地 說，組策略設(shè)置就是在修改注冊(cè)表中的配置。當(dāng)然，組策略使用了更完善

12、的管理 組織方法，可以對(duì)各種對(duì)象屮的設(shè)置進(jìn)行管理和配置，遠(yuǎn)比手工修改注冊(cè)表方便、 靈活，功能也更加強(qiáng)大。既然叫組策略，所以分組和制定策略一樣重要，一個(gè)好 的分組規(guī)劃將會(huì)對(duì)日后的策略制定和下發(fā)起到非常重要的作用，在實(shí)際運(yùn)用中， 分組應(yīng)該簡(jiǎn)潔明了，盡量復(fù)用策略，比如修改一個(gè)策略，可以好幾個(gè)組同吋受用。在一期工程中，我們將各個(gè)部門分在“組織單位”分組中，便于區(qū)分；由于 每一個(gè)部門對(duì)于計(jì)算機(jī)使用的權(quán)限基本相同，故而，我們只需再做2個(gè)組（作用 域?yàn)椋喝?，組類型為：安全組），用于下發(fā)安全策略，一個(gè)名為“高權(quán)限”，一 個(gè)名為“低權(quán)限”。我們是這樣規(guī)劃的，每一個(gè)用戶都同時(shí)隸屬于2個(gè)組：一個(gè)為內(nèi)置帳戶 dom

13、ain user,另一個(gè)為安全組“高/低權(quán)限”（詳見下圖）臥1對(duì)蠡1安全環(huán)境會(huì)話園1桌面服務(wù)文得 i com+常規(guī)地址帳戶酉匱文件電話組織發(fā)布的證書隸便于隸于(m)：名稱active directory 域0觀文件夾i domain userskmgbdst.iocal/users高權(quán)限kmgbd stjoca 1 /昆明廣摘電視臺(tái)圖3賬戶權(quán)限分組高權(quán)限組應(yīng)用于擁冇pc獨(dú)立使用權(quán)的帳戶，需要頻繁與外界交流，需要安 裝使用大量第三方軟件的工作人員，比如：廣告營(yíng)銷、策劃等，本組用戶必須授 予“本地管理員”的權(quán)限，以使他們可以進(jìn)行大部分操作，比如增刪軟件，但對(duì) 于修改網(wǎng)絡(luò)設(shè)置(如ip地址)等核心設(shè)置

14、還是要禁用。低權(quán)限組應(yīng)用于公用計(jì) 算機(jī)、專用工作站，這類設(shè)備往往只需擔(dān)負(fù)固定的工作，不需要頻繁改動(dòng)軟件, 甚至不允許修改軟件設(shè)置，比如音頻工作站、非編工作站等，只需授予最基本的 權(quán)限，無法增刪修改軟件，無法修改計(jì)算機(jī)任何設(shè)置。4桌面管理sccm(system center configuration manager)是桌面管理的重要組件，最 新版本：2012o它調(diào)查并發(fā)現(xiàn)通過active directory連接到您的網(wǎng)絡(luò)的任何設(shè) 備(服務(wù)器、客戶端pc和智能手機(jī))，并在每個(gè)節(jié)點(diǎn)上安裝客戶端軟件。它構(gòu) 建一個(gè)清單數(shù)據(jù)庫，其屮包含針對(duì)每項(xiàng)資產(chǎn)和已安裝軟件和碩件規(guī)格的記錄。它 使用此數(shù)據(jù)讓應(yīng)用程序部

15、署以成組的設(shè)備或用戶為目標(biāo)。完成資產(chǎn)發(fā)現(xiàn)后，管理實(shí)質(zhì)上已自動(dòng)化。修補(bǔ)程序管理基于windows server update services (wsus)并且已內(nèi)置。您可以自動(dòng)讓新安裝的硬件接收操作系 統(tǒng)部署，也可以讓現(xiàn)有計(jì)算機(jī)成為操作系統(tǒng)升級(jí)目標(biāo)。您可以通過設(shè)置管理強(qiáng)制 執(zhí)行公司策略。sccm可與network access policy (nap)集成，以在允許完全 網(wǎng)絡(luò)訪問權(quán)限之前確?？蛻舳诉\(yùn)行狀況良好。sccm的主要功能如下：3. 1軟件分發(fā)與管理sccm2012的軟件分發(fā)功能顯得更為人性化。msi的安裝包可以支持靜默安 裝，而大多數(shù)exe的安裝包，則只能支持手工安裝。每一臺(tái)被sccm

16、發(fā)現(xiàn)的pc, 都會(huì)被要求安裝configuration manager客戶端，被審批后，會(huì)自動(dòng)安裝入客戶 端，在控制面板中會(huì)多一個(gè)configuration manager選項(xiàng)，它最大的好處是，在 客戶端會(huì)產(chǎn)生一個(gè)“軟件中心”；當(dāng)我們?cè)趕ccm控制臺(tái)中，制作好分發(fā)包后，可 以制定每個(gè)軟件是必須安裝，述是可選安裝，并指定計(jì)算機(jī)；必須安裝的話，程 序會(huì)自動(dòng)安裝到客戶端，而無須提示用戶，比如音頻編輯器、非編工具等；而可 選安裝就為前面所提到的“低權(quán)限”用戶安裝程序提供了便利，管理員可以選擇一些可能用到的軟件，放在可選軟件組中。用戶打開“軟件屮心”就可以看到可選軟件，點(diǎn)擊安裝，就可以了安裝到本 地了。

17、這些軟件是經(jīng)過管理員授權(quán)的，即使是“低權(quán)限”用戶也可以安裝了，這 就解決了 “低權(quán)限”易用性的問題。（如下圖所示）圖4客戶端的軟件中心3. 2操作系統(tǒng)的分發(fā)與管理支持分發(fā)32位和64位的windows操作系統(tǒng)，在分發(fā)之前，需要做以下準(zhǔn)備工作: 配置分發(fā)點(diǎn)；捕獲操作系統(tǒng)映像；收集驅(qū)動(dòng)程序；新建任務(wù)序列； 配置dhcp；須部署操作系統(tǒng)的客戶端設(shè)備，在bios里設(shè)置從網(wǎng)卡啟動(dòng)進(jìn)行引導(dǎo)，從網(wǎng) 卡啟動(dòng)獲取到ip以后開始連接sccm服務(wù)器地址，接著屏幕出現(xiàn)"press f12 for network service boot”按f12進(jìn)行網(wǎng)絡(luò)啟動(dòng)，這吋需要用戶按f12。開始從網(wǎng) 絡(luò)引導(dǎo)啟動(dòng)win

18、 pe,進(jìn)入configuration managcr控制臺(tái),如果在設(shè)置主站點(diǎn) 的時(shí)候設(shè)置了密碼，則這里必須輸入密碼才可以進(jìn)行下一步，選擇播發(fā)的任務(wù)序 列之后，就開始自動(dòng)進(jìn)行分區(qū)，格式化和安裝操作系統(tǒng)了。如果在建任務(wù)序列的 吋候足夠認(rèn)真，述可以自動(dòng)加域和安裝軟件了。（如下圖）mcmor* system center2(»2configuration manager圖5客戶端按f12后進(jìn)入win7自動(dòng)下載和安裝3.3補(bǔ)丁分發(fā)與管理補(bǔ)丁分發(fā)與管理依靠的組件是wsus （windows server update services）, 眾所周知，微軟系統(tǒng)最人的安全隱患來源于自身的漏洞，每個(gè)

19、月第二個(gè)星期的星 期二，微軟都會(huì)公布已發(fā)現(xiàn)的漏洞和修補(bǔ)程序，也就是我們俗稱的補(bǔ)丁。第一時(shí) 間打補(bǔ)丁，是windows安全防范的第一耍素，wsus支持微軟公司全部產(chǎn)品的更 新，包括 windows、off ice sql server exchange server 等內(nèi)容。通過 wsus 這個(gè)內(nèi)部網(wǎng)絡(luò)屮的windows升級(jí)服務(wù)，所有windows更新都集屮下載到內(nèi)部網(wǎng)的 wsus服務(wù)器中，而網(wǎng)絡(luò)中的客戶機(jī)通過wsus服務(wù)器來得到更新。這在很大程度 上節(jié)省了網(wǎng)絡(luò)資源，避免了外部網(wǎng)絡(luò)流量的浪費(fèi)并且提高了內(nèi)部網(wǎng)絡(luò)中計(jì)算機(jī)更 新的效率。強(qiáng)烈建議把sccm和wsus裝在同一臺(tái)服務(wù)器里，這樣可以省去很多不必要的 麻煩，安裝好wsus以后都不用去配置wsus,因?yàn)閟ccm會(huì)接管wsus,利用sccm 控制臺(tái)去配置wsus。需要注意在安裝wsus時(shí)請(qǐng)選擇wsus的端口為8530,避免 和sccm客戶端的默認(rèn)