終端系統
終端系統
中國建設銀行山西省分行(以下簡稱山西建行)下轄十個地市行和300多個網點,由於日常業務繁忙,且企業機構的地理位置分散,各地市行IT人員很缺乏。現有模式下大量分散的客戶端對整個信息系統造成了極大的安全隱患。例如:一台客戶端被病毒感染就可能在整個系統中傳播,從而感染其它客戶端和伺服器。而省行的維護人員很難及時了解地市行的系統狀況並進行支持。
山西建行考慮在全省範圍內採用創新的Windows 2003 終端服務模式向全省建行用戶提供日常辦公服務,員工的客戶端全部採用WBT(Windows Based Terminal,網路視窗終端,又稱為瘦終端)。這種模式的採用大大減輕了企業信息系統所面臨的安全風險,提高了系統的安全性。終端服務模式下,因為WBT的存儲為只讀模式,終端被病毒感染的機率大大減少,IT人員只需要集中精力對系統伺服器進行安全管理就可以了。
終端模式也存在一些風險。由於終端伺服器支持大量的終端用戶,一台終端伺服器出了問題,就會大面積影響到用戶的正常辦公;終端用戶的數據文件都存放在伺服器上,這台伺服器如果出現故障,所有存儲在這台伺服器上的數據就會全部丟失,造成的損失將是難以彌補的。
山西建行考慮到這些風險的存在。2004年,他們決定和微軟企業服務部合作,希望通過微軟專家的諮詢和建議制定出最佳的技術方案。創新同時也伴隨著風險,為了避免潛在風險,微軟企業服務部和山西建行通力合作,共同設計和部署了一個“最小風險”的Windows 2003終端信息系統架構。
終端模式=技術+管理微軟企業服務部對山西建行系統進行了廣泛深入的調查和分析,以微軟的技術和產品為基礎,制定和部署了適合山西建行系統狀況的解決方案,從技術和管理兩方面避免了這些風險的發生。
一套完整的信息系統架構不僅需要技術方案,同時,流程和管理也是至關重要的。山西建行的這套Windows 2003 終端架構正是技術和管理全面結合的成果。
該方案系統架構使省行和地市行部署在同一個域環境內和網路架構中。在終端伺服器群組方面,除省行和個別地市行採用硬體負載均衡外,其餘地市行均採用Windows 2003 Server內嵌的負載均衡;省行和地市行文件伺服器均採用Windows 2003群集;文件伺服器採用光纖存儲。在這種情況下,終端用戶的漫遊配置文件(Roaming Profile)和數據文件都存放在文件伺服器上。終端用戶通過負載均衡連接到終端伺服器的時候,會輸入用戶名和密碼進行域驗證。驗證成功后,系統會從文件伺服器上下載該用戶的配置文件。這樣用戶就可以在終端伺服器上操作了。用戶數據文件通過組策略重定向到文件伺服器上,用戶的數據文件不存在終端伺服器本地。
上述方案採用了微軟的域管理、 Windows 2003負載均衡和群集技術。這些技術的應用具有以下的優勢:
首先,Windows 域環境具有以下安全和管理方面的優勢:
1. 通過域用戶賬號統一驗證;
2. 通過組策略實現終端伺服器和用戶的標準化管理;
3. 通過安全組策略實現伺服器和用戶的安全管理;
4. 用戶統一驗證保證了用戶終端會話的唯一性。
負載均衡技術的應用還提高了系統的可用性。
終端伺服器群組採用網路負載均衡。Windows 2003網路負載均衡使用一種分佈演演算法,將負載平均分佈到多台伺服器上。同時,負載均衡技術還可以檢測伺服器的故障並自動將負載流量重新分配給其它伺服器。終端伺服器群組因此提高了終端服務的可伸縮性和可用性。另外,群集技術有效提高了系統的安全性。
文件伺服器群集採用雙機熱備。如果群集中的某一台伺服器由於故障或維護需要而無法使用時,該伺服器上的資源和應用程序將轉移到可用的其他群集節點上。那麼,如果一台文件服務出現了故障,終端用戶仍然能夠從群集中的另一台文件伺服器上讀取配置文件,而用戶的數據文件也不會丟失。
另外,這套方案以微軟操作框架(Microsoft Operation Frame Work)為理論基礎,在流程和管理方面保證了系統的穩定和安全運行。