中国 变更 | 所有的 Microsoft 网站
微软首页 | Servers 和 Tools
很多组织都有分支办公室,这些办公室在地理上相隔很远,对基于分布式架构的资源进行管理,以及对通信通道进行优化,都是一个难度非常大的挑战。通过Windows Server 2008 R2,我们可以克服这些困难,更好地管理混合了分支和全球办公室的环境,为这些办公室提供更优的性能、可用性和生产效率。
服务的位置决定了服务宿主在何处。服务的启动位置可以是中央的数据中心、分布在每个分支办公室的分布式,也可以是两者的混合模式,也就是部分服务使用集中式,另外一部分则分布在各个分支位置。
每个组织都有各自的考虑和偏好。这对于分支架构的设计影响很大,决定了我们应该选择哪种服务提供模式。没有一个万能的解决方案可以满足所有组织或各种分支办公室。因此微软提供了一组产品和功能,让各种组织根据自己的要求来灵活地选择。
这种场景中,所有提供给分支办公室的服务都位于中央站点或数据中心。这种方式是分支服务提供方式中的一个极端,服务是高度统一管理的,在分支位置的投入最少。这种方式对于WAN的使用和依赖是非常高的,因为大量的服务都是集中式的,延时容错能力可能很低,因为对资源和程序的访问都依赖于WAN架构。
这种场景中,所有服务都通过缓存机制或本地副本进行加速。有些服务很难使用集中的方式,而又不想在分支位置投入太多,因此只有部分服务使用集中式,这种情况下就会使用混合模式。这种场景对于WAN的使用和依赖程度属于中等,延时容错能力也是中等。
在这种场景中,所有服务都宿主在分支机构处,服务很少或不依赖于中央位置或远程数据中心。这种方式代表了分支服务提供方式中的另一个极端,所有服务都分布在分支位置。虽然分支位置处的基础架构投入更高,但稳定性更高,对WAN连接的依赖也更少。
服务提供方式决定了使用什么方式来提供服务。分支办公室可以使用提供服务的服务器方法。这些方法涵盖了从完全集中的基于客户端的方式,到混合的基于设备的方式。许多组织还利用多台虚拟主机服务器来提供分布式服务。
许多因素都可能影响组织选择使用何种方法来提供服务。每个分支办公室的情况可能都不一样,可能每个位置都要使用不同的方法。
有三种将服务提供给分支办公室的基本方式:Server-Less、基于设备,以及基于服务器。
Server-Less方式是通过中央数据中心或集线器位置来提供服务。
基于设备的方式通过特殊的硬件设备,或者是预配置好的缺乏灵活性的专用目的服务器来提供服务。不过相对于Server-Less方式来说,使用设备可以减少基础架构的成本投入,还可以降低将来的管理成本,同时给分支机构的用户提供更优的性能。
基于服务器的方式在分支办公室使用多功能的服务器来向分支办公室客户端提供服务。这种方式比Server-Less或基于设备的方式灵活性都高,因为多功能服务器可以向分支办公室用户提供多种服务和应用,同时又可以降低对WAN连接的依赖和负载。
了解更多
Server-less架构没有远程架构,只有简单的集线器和交换机,它们连接到路由或通过调制解调器连接到拨号VPN,然后再连接到中央资源。本地Windows Vista机器可以利用像BitLocker驱动器加密、Windows防火墙、改进的组策略发现、TCP/IP优化、NAP(Network Access Protection,网络访问保护),以及UAC(User Access Control,用户访问控制)等功能来确保本地办公室的可靠性。组织还可以利用远程服务来集中管理所有程序。
Windows Server 2008 R2中的远程服务可以提供对应用程序的集中访问,而不需要提供整个远程桌面:对于最终用户来说,应用程序就像在本地桌面上运行一样,而实际上,用户只是看到程序的展现,因为程序是远程运行的。利用Windows Server 2008 R2中的远程服务,组织可以为集中管理的程序提供更为安全的访问,而不需要建立VPN(Virtual Private Network),也不用在防火墙上开启不必要的端口。这就使得将程序和数据提供远程访问变得更为简单。而在多台服务器上部署,则可以利用新增的负载均衡特性,将会话请求分配到负载最少的资源上,这样就可以保证性能最佳。要了解更多,请访问利用远程服务提供Presentation虚拟化页面。
分支办公室Box架构通过设备来提供IT服务。
可能使用到的软件和功能包括有:
通过本地Windows服务实现的WAN最佳控制器
虚拟化分支办公室Box架构提供IT服务的方式完全不同,它用一台独立的基于设备的虚拟主机驱动器来提供IT服务。
Windows Server 2008 R2
Hyper-V Server Core角色
只读域控制器
改进的管理
TCP-IP优化
单服务器架构由一台多功能的物理服务器组成,它将IT服务提供给分支办公室客户端。
多服务器架构由多台非虚拟化的服务器组成,它们将IT服务提供给分支办公室客户端。
Server Core角色
单虚拟化服务器架构由一台多用的物理服务器组成,它将IT服务提供给分支办公室的客户端。
Hyper-V Server Core 角色
多虚拟化服务器架构由一台单独的物理Hyper-V服务器组成,它宿主了多台虚拟机客户端,由这些客户端将IT服务提供给分支客户端。
在分支办公室位置使用虚拟化技术,组织可以以较少的部署代价提供各种服务和冗余。这就意味着部署、基础架构和管理成本都比传统方式要低,因为传统方式需要在每台服务器上都安装一个独立的操作系统,而每台服务器只提供一种服务。
不过,有些组织在分支位置已经有现有的服务器,这些服务器的硬件无法达到承载多台虚拟化服务器实例的要求,而购买新的服务器却不一定有充足的理由。还有一些关于恢复、可测量性、性能,以及应用程序不支持虚拟化服务器等因素需要考虑,它们都可能需要一台独立的服务器来提供服务。
还可以使用混合方式,在分支位置同时放置虚拟化服务器和独立的操作系统服务器。这种方式下,它们既可以支持那些要求专用服务器的程序和服务,同时又将一些服务器角色合并到虚拟化服务器主机上,这样也可以节省成本。这种组合很灵活,组织可以根据每个分支办公室的需求和情况,选择最恰当的方式。
访问分支办公室技术中心,了解更多关于分支办公室解决方案和部署的知识。
提高分支办公室的性能
组织为了减少成本,降低分支IT的复杂度,都在寻找一种集中管理的程序。不过,集中管理程序对WAN(Wide-Area Network)连接的可用性和质量的依赖增加了。WAN连接使用的增加是集中管理的结果,同样带来的结果是应用程序性能的降低。最近的研究表明,尽管WAN连接的成本有所降低,但WAN成本仍然是企业运营成本的一个主要组成部分。
Windows 7和Windows Server 2008 R2操作系统中的BranchCache可以帮助提高网络的响应,当用户从远程办公室访问时,它可以使这些用户的体验就像在本地网络中一样,它将常用的内容缓存在分支办公室的网络中。当远程分支客户端试图从位于公司数据中心的服务器上获取数据时,它们将获取到的内容拷贝一份存储在本地分支办公室网络中。后面对于同一内容的请求则是由这个位于分支办公室的本地缓存来响应的,因此这样就可以降低访问时间,减少分支与总部之间的通信,从而降低对WAN带宽的占用。BranchCache可以缓存HTTP和SMB内容,当然,只将数据提供给通过授权的用户,因为身份验证过程是由位于数据中心的服务器执行的。BranchCache还可以在SSL或IPSEC加密内容下正常工作,对这些内容同样可以起缓存和加速作用。
BranchCache可以用以下两种方式实施:
第一种是在本地办公室使用一台专用的BranchCache服务器,由它来缓存内容。这种场景很可能是最常用的,适用于稍大型的分支办公室,因为会有许多并发用户请求访问BranchCache功能。远程站点上的BranchCache服务器可以保证内容总是可用的,同时还可以确保所有内容请求端到端的安全性。
第二种部署场景则以对等内容请求为中心,只适用于非常小型的远程办公室,这种办公室通常只有5到10位用户,不需要一个专用的本地服务器。在这种场景中,位于总部的BranchCache服务器收到了客户端对内容的请求,如果内容之前已经被这个远程站点请求过,那么就返回一套哈希值,指向远程网络中这个内容的位置,这个位置通常是同一分支中另外一位用户的计算机。然后就可以从这个位置获取内容。如果内容从未被请求过,又或者之前请求过这一内容的用户已经离线了,那么这个请求就会按照正常流程通过WAN来完成。
提高分支办公室的安全性
Windows Server 2008 R2加入了只读域控制器特性,利用这个特性,我们可以将一台拥有只读拷贝的Active Directory域控制器放置在安全性较差的环境中,例如分支办公室。Windows Server 2008 R2通过DFS(Distributed File System,分布式文件系统)副本来提供这种只读拷贝的支持,将信息存储在DFS副本中即可。只读的DFS副本可以保护我们的数字资产,我们利用DFS将信息复制到分支办公室,然后只允许分支办公室读取其中的信息。由于信息是只读的,用户不能修改只读DFS副本中的内容,因此就可以防止DFS副本中的数据在分支办公室被意外删除。
改进的虚拟化桌面集成
Windows 7引入了RAD(RemoteApp and Desktop,远程应用和桌面)特性,它可以将那些通过远程桌面服务虚拟化的桌面和应用程序,与Windows 7用户界面集成起来。这样用户在运行虚拟化的程序或桌面时,他的用户体验与运行本地程序的体验是一样的。
站点之间的连接容错能力更强
组织现在面临的最常见的场景之一,就是站点和位置之间的连接。许多组织使用基于公共网络(如Internet)的VPN通道,将他们的站点和位置连接起来了。现有VPN方案有一个问题,那就是它们在连接失败或设备停运时无法恢复。一旦出现设备断电或停运,VPN通道就终止了,这时就必须重建VPN通道,这就意味着连接会断开一小段时间。Windows Server 2008 R2中的Agile VPN特性可以使VPN在VPN通道中各点之间拥有多条网络路径。在连接失败出现时,Agile VPN会自动使用另外一条网络路径来维持现有的VPN通道,这样就不会中断连接。
分支办公室
了解更多关于此技术: