无服务器办公室架构方法

文档序号：6656542阅读：1029来源：国知局

专利名称：无服务器办公室架构方法
技术领域：
本发明涉及一种定义无服务器办公室架构的方法，通过在任意地点、任意时间为用户提供合适的IT资源来满足预定的商业目标和商业约束。
背景技术：
25年前，信息技术(IT)行业的特征可以做如下描述；没有个人计算；大型机是主流；处理和存储很昂贵；软件在机构内部开发或者只有很少的销售商；用户访问有限且受严格控制。
5年前，情形有所改变个人计算机普遍存在，组织机构的普遍目标是要将所有的桌面配置上个人计算机；处理和存储便宜且快速；成千的供应商销售软件；病毒、蠕虫、间谍软件以及网络入侵开始变得普遍；数据存储需求成几何级数增长；IT工业经历硬件和软件的快速淘汰。
更近时间，每个办公室都有数个服务器；n层架构包括数据库服务器、网页服务器以及应用服务器；技术支持(即，在该处用户可以访问或电话询问得到多方面与IT相关的问题帮助，比如硬件、软件、通信、网络、应用软件的使用等)支持数以百计的台式机用户；非标准配置需要支持人员和用户不断增加他们的技能；不兼容的配置维护增加了 IT支持的工作量；软件许可侵犯在增长；防火墙、 cookie、垃圾邮件激增；安全已成为IT头号考虑的问题；并且好象 IT人员生产力的增长在减速。因此，经常出现部门派系现象，表现为阻碍效率的政治和预算混战，以获得优势来实现非独立架构，来满足各组独自的需求，而不优先考虑该组织机构的整体需求。

发明内容
在下面的描述中，数个第三方产品名字会出现。这些第三方产品只是作为举例而被包含，每个只是作为本发明的方法中提供的某种功能类型的代表，本发明的方法使用至少一个所有权产品和第三方产品。
本发明为一种无服务器办公室，其根据商业目标驱动的预定性能改进和成本削减，使用交互的、定制的方法，对组织机构提供给职员的多个IT构件进行确定、评估，并集成到无服务器办公室中，以改善他们信息资源的管理。
在组织机构内部，下述工作人员能够从本发明中的无服务器办公室受益
- 科乂>、川/ i
技术支持人员；
IT软件工程师；
IT硬件工程师；以及
IT经理；
组织机构能够通过实现根据本发明的无服务器办公室受益，其中包括
通过虚拟私有网(VPN)、防火墙、DMZ (非军事区)改善安全性，DMZ为位于受信任内部网络，比如公司私有区域网 (LAN)与不可信的外部网络(比如公共因特网)之间的计算机或小型子网；
在资产生命期内改善资产管理各方面的控制；改善硬件和软件的标准；
改善备份能力；改善病毒和垃圾邮件的控制；改善软件版权证书的控制；改善数据存储和获取；
改善网络性能、可扩展性和可靠性；
减少网络、硬件和软件组件采购、管理和总体持有成本；
因减少的空间需求而节约成本；
因增加IP电话的使用而减少电话成本；
减少或消除数据冗余；
因硬件、软件和实现过程的标准化，从而改进生产力，为IT
支持人员减少培训成本和时间；因故障切换(fail over)的改进、受控数据冗余、减少故障单点、
改善数据吞吐、减少系统停机时间、改进备份功能和增加灾难
恢复功能，从而改善商业运营的连续性；改善分散在不同地理位置工程人员的协作；因通信的改善，例如视频会议和内部基于网页的会议，而减少
旅行支出；因共享构件而减少硬件成本；
因使用存储区域网络(SAN)构件而改善带宽和处理速度；增加灵活性来高效有力的应对快速改变的商业需求；通过共享系统构件的受控冗余而减少系统停工和数据丢失的风险；以及
使用可替换设备和过程改善病毒的检测和控制。本发明的方法为无服务器办公室提供一种架构，其中包括IT构件的集合，这些构件经选择、测试和集成，以一种预定义方式合作，达到预定的商业需求。本发明能达到的商业目标包括
在任意地点、任意时间提供多地点、多会话计算；
减少资金投入和IT运营成本；
集中、简单的控制访问和内容；
最大化服务和工作时间的连续性；
提供对数据的存储和获取，无论数据的来源和类型；
提供安全数据、数据存储和数据传输；以及
7 提供对应用程序、证书和任意附合需求的管理。
本发明的无服务器办公室对高性价比服务的集中化和标准化进行平衡，同时为广大IT用户提供灵活、个性化的支持和定制的应用程序。
决定实现无服务器办公室有着重要的战略和战术上的意义。部门派系和预算权力将被改变，前任工程职权将被重新任命，选择的功能和服务将会集中，支持和开发资源将被重新任命，优先级会基于全局而不是远程来指派，很多用户将会被要求使用标准设备。决
定实现无服务器办公室需要集中化的IT框架，使用该框架组织机构
的商业目标和商业约束得到满足。该框架确定组成总体架构的元素。这些元素的确定，部分基于商业目标和约束，部分基于无服务器办公室实现的内部需求。该框架元素包括反映组织结构的商业目
标和商业约束；预算和资源职权；集中管理；集中计算、存储、备份、灾难恢复和安全；硬件和软件的标准化；避免单点故障的冗余；互相依赖性或独立性之间的权衡；还有组织机构独有的其它元素。该框架提供统一标准来选择代表整个组织机构的目标和约束的备选IT构件，来完成任意地点、任意时间的计算支持，而且该框架推大对标准无服务器办公室的选择。该框架是为支持集中计算而必需的架构，经过对组织机构商业目标和商业约束的分析，本发明提供比现有支持结构更好的框架以寻求获得在任意地点、任意时间的计算支持。
本发明附加了通用商业约束，包括
移除用户级的所有与计算相关的构件；
集中所有计算、安全、管理和存储；
连接用户和集中的IT资源；以及
创建冗余以避免单点故障。采用此方法，本发明的无服务器办公室与典型的IT合并努力不同，典型的IT有如下特征
并不是所有与计算相关的构件都从用户处移除；
环境不具扩展性，当IT环境增长时投资回报(ROI)减少；由于环境的原因，冗余成本昂贵；以及
由于不同构件的不兼容，提供的计算支持不具完全控制性。本发明包含一套步骤，其中无服务器办公室的一般商业目标和商业约束首先要根据个别的组织机构确定，做法是需求分析和根据全局商业目标和商业约束定义至少一个全局IT过程，以实现集中的任意地点、任意时间的计算支持。一旦这些全局商业目标和商业约束被确定，以本地商业目标和商业约束为目的，处理本地需求的IT 过程也就确定了。有了这些IT过程，选择和性能标准就确定了，备选TI构件为满足区段标准而被评估和排名，然后与其它构件联合进行测试来创建无服务器办公室。如果备选IT构件有任何无法解决的集成问题，该IT构件被它的可选备件替换，直至得到工作最佳的无服务器办公室架构。
优选方法包括如下步骤
指定至少一个至少要部分由无服务器办公室完成的商业功能；
对于每个商业功能，定义无服务器办公室必须满足的至少一个商业目标以及至少一个商业约束；
将至少一个商业目标和商业约束映射到至少一个备选IT构件选择标准和至少一个备选IT构件性能标准，这些标准与预定无服务器办公室架构的多个备选IT构件相关；
根据IT构件与映射的选择标准的满足程度，对每个备选IT构件进行排名；以及
选择满足映射的性能标准的包含最好排名的备选IT构件组成的无服务器办公室架构。
这些标准由组织机构定义的商业目标和约束得到，为实现无服务器办公室这些标准必须被满足。
这些标准被配以权重，这些权重定义了它们对于组织机构的相对重要性，这些重要性根据组织机构定义的商业目标和商业约束得到。
然后根据每个备选IT构件满足带权重的标准的程度来评分。每个构件根据每个标准的评分乘以相应的标准权重，全部所得标准分数相加，得到备选IT构件的总分。
单一选项构件满足度分数总和(tcss)=每个标准的总和(标准
权重(cw) x标准满足度(csr))。 tcss = m o、 esq 其中11=用于评估备选IT构件的标准个数
过程中得分最高的构件被包含在无服务器办公室架构中进行测试。测试结果被用于修订标准、标准权重和备选IT构件分数。
过程持续直至得到无服务器办公室"最佳"架构一最佳架构基于给定的标准、权重、评分和性能测试。
每个备选IT构件的所得性能、权重、标准和分数数据被保存在标准数据库中以备将来再使用。
如果提供记录有之前的无服务器架构的备选IT构件和它们特性的数据库(包括备选IT构件)，那么架构过程可以通过寻找数据库中和新的无服务器办公室中使用的备选IT构件类似的备选IT构件，并且重用映射、加权以及性能度量来得到更快实现。这样成本效益更好。
在优选实施例中，无服务器办公室架构包含如下集成到网络化的体系中的IT构件组，其为组织机构的目标和约束提供安全、高可用性以及易访问的无服务器办公室，通常包括
组l 一中心主机设施一采用现有办公室的体系结构并将其重新部署到主机设施可以获得很多益处，别的实现可能不具如此的成本效益。益处包括物理安全；
使用发电机达到超过72小时的电源备份；冗余网络连接；以及适当的通风和冷却。通常，中心主机设施包含在单一地点的无服务器办公室架构的所有构件。
尽管通常无服务器办公室的优选实施例由支持浏览器的工作站、台式电脑或膝上电脑通过网络(内部用户)或因特网(内部或外部用户)访问，该实施例同样可以被支持所需通信协议(例如无线、手持以及远程访问设备)的任意其它设备访问。
在优选实施例中，一个重要的目标是消除用户级的计算，以及数据和数据管理。一旦处理不再发生在用户级，就可能为用户提供更低(也更便宜)的处理速度而不会影响他们整体的生产力。
网络体系结构一在这种中心主机环境中，组织机构网络体系结构的性能、可扩展性、安全以及可用性是很关键的。 #縱稱潜"葡
SAN提供了许多益处，其中包括容量_百万兆字节；
性能一每秒千兆字节(Gbs)点对点光纤通道。跨多柱
分布的RAID阵列；可靠性和容错性一经得起多盘故障的能力；冗余光纤通信交换机能够提供从主机到存储的冗余路径；
以及
通过合适的镜像策略做到数据的瞬时恢复。这些特性允许组织机构将多个文件服务器联合到一个集群中。这样允许组织机构将具有多个独立共享存储的集群联合在一个集中管理的存储设备。通过使用例如快照和瞬时克隆技术，对于存储在
SAN中的数据，普通备份窗口被消除了。结果，组织机构拥有了瞬时创建SAN上资源副本的能力，于是能够不影响产品数据而备份数据。
网络化一如今网络是许多组织机构的核心。关键的商业功能依赖于IT体系的完整运作。对于许多组织机构来说，没有网络就意味着无法产生收入。本发明的无服务器办公室提供了一个架构，通过提供连接、带宽、服务质量和冗余来满足或者超越组织机构的商业目标和商业约束。
组II _安全设施一为了支持关键商业功能，网络必/#安全。本发明的无服务器办公室能够提供由商业目标和商业约束在安全、访问控制以及认证方面定义的安全。服务器和应用程序一服务器，包括数据库、网页、消息和应用程序服务器，以及支持它们的软件，是驱动当今商业的引擎。无服务器办公室使得用户能够设计满足所有商业需求的平台，包括从性能和可靠性到容量和扩展性。
存储_无服务器办公室使用户能够实现企业备份以保护关键数据，使用户能够联合服务器和存储，更有效的利用管理资源。无服务器办公室使用户能够为存储体系开发蓝图，令商业控制他们的存储环境；允许他们控制复杂度、不确定性以及风险。有了这些控制，商业获得高效、保密、有效以及最终的商业灵活性。
优选实施例包含数据备份和恢复IT构件来创建商业持续性，其中包括
提供集中数据存储的SAN;
创建如下的新模式
数据实时保存在SAN中；
如果存在第二数据中心，数据在第二个SAN中实时复制。复制使用BIT级别，使得其与平台无关；
每小时的数据映像也保存在SAN中；
每天结束时，数据被写到远距离存储的磁带中；以及结果是数据实时的有双份备份，每周中每天每小时的数据都可得到。
交付/呈现一在无服务器办公室中，用户能够产生更大的生产力，因为他们需要的资源和应用以稳定一致的方式呈现。考虑到当今移动办公以及不间断的需求，无论用户的位置、连接的类型或者硬件平台，都能够交付应用对于维持高效和生产率来说十分必要。
用户界面-当今科技为用户的连接设备提供了多种选择。在优选实施例中，无服务器办公室通过使用瘦客户端从而降低了成本和管理开销。不再需要为网络的主流商业应用提供高性能的个人电
脑、工作站或者膝上电脑。瘦客户端或者终端提供所有必须的连接，降低了成本。合理部署瘦客户端，只允许访问规定的资源以及防止用户安装未授权的应用，也能够增强安全。组lll 一通信设施一使用由组1和组2提供的体系结构，则
使用由多种媒介支持的通信就成为可能。尤其对于包括会议、IP语
音(VOIP)、工作流程、文档管理以及其它类型的协作支持的组件更是如此。
从下面的图示以及对本发明的详细描述，本发明的方法中的这些以及其它特性就更好理解了。
组IV —本地设施一本组不是预定义的，包含它为满足组织机构独特需求提供了灵活性。

图1示出将构件集成到无服务器办公室，以满足商业目标和商业约束。
图2示出本发明中的决策过程；图3示出使用本发明构建的台式计算机的例子；图4示出根据本发明构建的无服务器办公室的例子；图5示出根据本发明构建的通用无服务器办公室；以及图6示出与图5相同的无服务器办公室构件配置，但将通用框图元素替换成硬件图标。
应该理解的是，这些图只是为了展示本发明的概念，而不是定义本发明的限制范围。此处图中示出的实施例和附上的详细描述被用于展示实施例，但不应该被认为本发明实施的唯一方式。同样的，相同的参考数字以及参考符号可能在合适的时候可能会在不同图中标示类似元素。
具体实施例方式
本领域的普通技术人员应该理解下面提供的描述是为了展示目的，而不是限定范围。熟练技术人员应该了解，在本发明的精神内以及附加的权利要求的范围中存在很多种变体。在本描述中可能忽略了已知功能和操作中的非必要细节，避免使本发明更难理解。
下面公开的是优选实施例的框架指导方法的例子，其应用于一
13组假设的商业目标和商业约束。选择一组备选IT构件以达到这些目标，满足这些约束。然后，应用本发明优选实施例构建基于这组备选IT构件的体系结构，来"最好地"达到该商业目标和商业约束。
图1示出了商业目标和商业约束110、迭代方法115和得到的本发明中无服务器办公室体系结构118之间相互关系。全局级别和本地级别的商业目标和商业约束被转换成本发明中的选择和性能标准，它们被用于得出"最好的"无服务器办公室体系结构，该体系结构包含被选的、测试过的和集成好的IT构件，这些构件从备选IT构件中根据满足度的加权分数选出。结果被保存在标准数据库160 中。优选实施例的体系结构总是包含集中的数据中心120、远程和本地用户125、合适配置的瘦客户工作站130、商业相关应用135、存储和备份能力140、访问不具网页功能的应用145、与因特网的连接 150，安全功能和能力155。本发明偏爱选择备选IT构件以包含这些体系构件，但不偏爱其中任何特定备选构件。
图2示出的是本发明中的迭代决策方法。商业功能205与商业目标和商业约束210相关。
需要确定IT商业功能中的过程215，并且为每个过程定义目标和约束220。商业目标表示该商业想要完成的状态。商业约束表示施加于为完成该商业目标使用的过程上的限制，表现为过程中必须要做或者不能做的事情。
在过程中，必须要评估备选IT构件，然后选择最好的构件 225。必须确定备选IT构件230，要确定至少一个决策标准231，每个标准配以相关的权重232。在功能235和过程240级别上的商业目标和商业约束，加上备选IT构件的属性、益处以及交互需求，提供了确定至少一个决策标准以及给每个过程配以权重的基础。该至少一个的决策标准进一步以满意度定义，图3示出了满意度并进行了概况说明。
每个备选IT构件依据该至少一个标准进行评估，就满足度进行评分，以显示出该备选IT构件满足该至少一个标准的程度。标准乘以与之相配的权重值，得到加权分。备选IT构件可能在给定的功能和某个构件过程中能够满足多个商业目标和约束。针对每个备选IT 构件对于所有其满足的商业目标和约束以及其它项目，例如益处和
交互性求过程总分。为那个过程选择得分更高的构件，参看图3。
本发明期望使用相同的非定制的IT构件来满足所有类似的商业目标和约束，例如数据库。但这不总是可能的，因为有些需求很特殊只能由特殊的构件满足，例如，图形终端而不是瘦终端。如果有多个备选IT构件得到相同的满足度分数，有三种方法来选择备选IT 构件。第一种方法是重新查看权重和满足度等级，根据新的信息做合理的修改，然后重新计算选项分数。第二种方法是在构建步骤中考虑这几个构件选项，评估每个构件在构建的无服务器办公室中的性能，选择性能最好的构件。第三种方法是基于独特的目标包括所有构件，这些目标在初始的商业目标和商业约束中没有表述出来。
然后测试包含最高得分的IT构件的无服务器办公室结构245。用于评价备选IT构件的标准基于商业功能252和过程254还有交互需求获得，它们关注构件与其它构件的集成度。
图3示出了在IT工作站过程中可能要构建的台式计算机305。图3显示了两种选项310，一种是计算能力放在服务器上，另一种是计算能力放在台式机上。决策者选择的决策标准315基于商业和处理级别的目标和约束、备选IT构件级别的属性和益处、以及体系结构级别的交互需求。
为每个所有标准创造了主观5点满意度量320。这个度量表示的是对所有标准的满意范围，表达了用户的看法，包括对标准非常满意(+ + )、满意(+ )、尚可(0)、不满意(一)和非常不满意(一一)。为了简化决策表，图3中展示了只针对一个标准的满意度。
每个标准都有权重325，从高(10)到低(1)，其表明该标准相对其它标准对决策者的重要性。当赋与权值时，决策者要考虑基于功能和处理级别的目标和约束、构件属性和益处、还有体系结构的交互性要求来决定相对重要性。
对于每个功能的每个过程，每个备选IT构件基于满足度被评级 330，该备选IT构件的加权满意分数被计算出来。备选IT构件的所有评级加起来得到该备选IT构件的总分340。
为了确定总分的功效，它与理想分数345 (所有权值乘2的总和一因为理想分数被分配了非常满足的评分)进行比较。例如，备选 IT构件1得到标准350的80%,比加权得分340为一16的备选IT 构件2更优，备选IT构件2的得分占标准350的_17%。
在图3的例子中，根据评估的备选IT构件和使用的标准、权重以及满意度，备选IT构件1拥有最高的评分，获得超过50%的理想值，被选入优选实施例(例子中的工作站)。工作站结构随之的测试可能会导致对备选IT构件进行修改，因而得到不同的结构。
图4展示了使用本发明方法构建的无服务器办公室。该无服务器办公室将现有的技术结合到统一的IT环境中。
本发明期望使用非定制的IT构件。使用本发明的这些构件来构建无服务器办公室在下面的部分介绍。图4展示的无服务器办公室例子选择的备选IT构件在下面的部分描述。该例子被用于发展本发明，结果得到本发明中的无服务器办公室组织框图中的3个组。在图4中，该例子的无服务器办公室构件被组织在这3个组中。组/分组I _中心主机设施410
采用现有办公室中的体系并将其重新部署到主机设施可能得到很多益处，用其它的实现可能就没有如此的成本效果。这些益处包
括
物理安全；
使用发电机达到超过72小时的电源备份；冗余网络连接；以及适当的通风和冷却。中心主机设施包括
主高速访问，至少是T3到OC3 (45Mbps到55Mbps); 第二高速访问，至少是T3到OC3 (45Mbps至lJ155Mbps); 所有设备都有冗余备份，从接入点到数据处理点；高容量的100V和200V电源，以允许扩展性；用不间断电源UPS调节和提供不间断电源供给；独立发电机提供服务的连续性；
环境控制以维持设备操作范围的温度和湿度；物理安全，在提供授权访问的同时保证数据的安全；以及建造安全特性，以保护人员和设备免受本地环境因素的破坏。中心主机设施的数量的决定依赖于商业目标，例如
当选择单一中心主机设施时，它必须与载体独立无关，以提供
多个载体的访问，在服务中实现冗余；当选择两个中心主机设施时，载体独立需求的重要性就降低，
其它因素的重要性增加；优选的，多个中心主机设施在地理上互相分开，以保护它们免
受本地或区域自然或人为事件的破坏；优选的，多个中心主机设施被不同的公司拥有和运营，以提供
保护防止不利的经济条件的破坏；以及第二和接着的中心主机设施可以是第一或主要中心主机设施的
复制或更小的版本。在后一种情况下，该第二中心主机设施从
合同上和物理上来讲可以提供将来的扩展成为主要设施的复制
是很重要的。
通常中心主机设施包含位于单一地点的无服务器办公室体系中所有的构件。
在替代实施例中，中心主机设施是"联邦化"环境。联邦是协调共享和计算信息交换的方式，强调数据在独立的主机设施间数据局部、受控的共享，其中每个主机设施都有至少一个数据库。办公信息系统为这种信息共享方式提供特定合适的环境。联邦化的数据共享结构是独立数据库系统的集合，它们联合成一个松耦合联邦以共享信息。联邦包含多个数据库构件以及描述每个独立数据库系统构件的单个联邦字典。构件代表单个用户、应用程序、工作站或者办公信息系统中的其它构件。联邦字典是特殊的构件，由每个独立的构件数据库系统共享，维持联邦的拓扑结构以及控制字典中新构件的加入。联邦中的每个构件使用输出模式和输入模式控制它与其它构件的交互。输出模式说明了构件共享给其它构件的信息，输入模式说明了构件希望操纵的非本地信息。该联邦体系结构提供了共享数据、共享事务处理(通过消息类型)、从多个构件联合信息、在自治构件之间协调活动(通过协商)的机制。
尽管无服务器办公室通常由支持网络浏览器(内部用户)或者因特网(内部或外部用户)的工作站、台式机或者膝上计算机访问，它还能被其它能支持所要求通信协议的设备访问，例如无线、手持和远程访问设备。
在优选实施例中，一个重要的目标就是消除用户级别的计算，即数据和数据管理。
一旦处理不再发生在用户级，就可能为用户提供更低(也更便宜)的处理速度而不用影响他们整体的生产力。
活动目录T""416
微软活动目录頂(Active Directory)和Windows⑧2000服务器版，
提供以下能力
接受标准化的用户名和名字约定的框架；
单一登录一用户记住、管理员管理一个用户名和密码；
标准化的密码策略；
通过组策略增加安全性一为安全的访问适当的资源；和VPN集成_增加了宽区域和远程访问的安全性；以及集中管理_提供一致的方法管理整体网络体系结构，因此最大化IT效率。
Windows 2000服务器版操作系统和活动目录TM服务将应用、用户、数据和其它资源集成到统一的环境。将Windows 2000服务器版和应用程序服务的集成允许公司在平台上建造更强大的体系结构，通过利用可用的特性而无需增加复杂度、延长开发时间或者增加管理成本。
Windows 2000平台，包括Windows 2000专业版，Windows 2000 服务器版，Windows 2000高级服务器版以及Windows 2000数据中心服务器版。尽管消费者可以部署不带活动目录的Windows 2000，但 Windows 2000的许多高级特性只有部署了活动目录，才可用。
需要活动目录，或者说活动目录TM能增强的特性简单概括如
18下
需要活动目录的能力
Windows 2000服务器版为组织提供了重要的高级体系结构一只有活动目录使之成为可能。下述能力只有安装了活动目录才能实
现
智能镜像(IntelliMirror)—智能镜像⑧管理科技使用基于策
略的改变和配置管理来使用户数据、软件和配置在分布计算环
境中跟随用户，不管他们是在线还是离线；远程OS安装服务(RIS)—管理员可以在多个计算机上远程
安装Windows 2000专业版，该益处可以使物理访问各个客户
计算机不再必须；管理代理一管理员可以将管理部分网络的责任赋与其它用户
或组；
对象可以颗粒性的管理，比如可以重置密码的能力；多主复制—任意域控制器能够接受及复制任意其它域控制器的变化；
域可以扩展到百万用户；以及
全局目录(GC) —对于目录中的所有对象提供统一的视图，给用户强大和有效率的检索能力。活动目录TM站点
活动目录站点使客户的计算机定位和登录到离它们最近的域控制器中。 Kerberos认证
Kerberos是用于处理用户或系统身体认证的因特网标准安全协议。
Kerberos允许UNIX客户和服务器拥有活动目录TM帐号，以及
从域控制器处获得验证；以及模仿用户的服务，允许中间层服务验证验证用户身份对后台数
据服务器的访问。域信任当新的子域被创建的时候，双向可转移的信任被自动创建，这样就无需手工创建以及维持了域信任关系。
管理员可以在复杂的活动目录tm森林中创建信任捷径，以縮短信任路径；以及
管理员可以在Windows 2000域控制器和MIT Kerberos V5领域
间创建信任关系。服务质量(OoS)
QoS策略被存储在活动目录中，它提供安全、有副本和一致的存储。
在活动目录tm中公布的QOS访问控制配置(ACS)对象被活
动目录tm安全配置保护；以及使用因特网标准Kerberos协议执行用户认证。文件复制服务(FRS)
存储在SYSVOL中的系统策略和登录脚本被自动复制到所有的域控制中。(SYSVOL是自动复制目录，被同一域的域控制器使用。)多主复制允许任意域将改变传播至其它任意域控制器中。FRS可以同时将共享文件的目录复制及维护到多服务器。当改
变发生时，内容在站点内被立刻同步，以及安排站点间的同
止少；
存储在活动目录TM中配置数据和FRS自动轮询活动目录中的改变，比如增加/删减副本、增加/删减连接、日程表的改变以及文件或目录过滤器的改变；以及安全通信使用认证过的远程过程调用(RPC)，使用Kerberos 加密。活动目录增强的能力
尽管Windows 2000中的某些特性可以不用活动目录而部署，但可以集成活动目录来增加功能
*组策略一组策略是为组织机构中的用户和计算机定义和控制程序、网络资源和操作系统的主要管理工具。在活动目录tm 环境中，组策略基于用户或计算机在站点、域或组织单元(OU)中的成员资格应用于它们。
通用组可以包含森林中任意域的成员，可以在整个活动目录TM
的森林中使用；
域的本地组可以包含森林中任意域的成员，还可以包含森林外
信任域的用户。域本地组可以在域内有定义的任何地方使用；以及
管理员可以使用嵌套组(将组作为成员加入到另一个组中)，以简化组管理。域名系统(DNS)
安全动态更新安使访问控制列表(ACL)可以指定允许DNS区域修改的组或用户。
多主区域复制允许DNS的更新写在任意集成了活动目录的
DNS服务器，数据会自动复制到所有的域控制器中；DNS使活动目录TM和DNS使用单个复本拓扑结构，消除了对
单独的DNS复本拓扑结构手工配置、维护；以及注意为了部署活动目录，需要域名服务器(DNS)支持目录名字空间。动态主机配置协议(DHCP)
活动目录TM被用于存储认证过的DHCP服务器记录，忽略恶意服务器。恶意DHCP服务器是没有认证的，如果没有接收到确认，它们不会响应DHCP请求。DHCP使用安全更新允许代理注册和更新较早版本的Windows。路由和远程访问服务
远程访问策略和远程访问授权可以使用活动目录为用户设置。虚拟私有网络(VPN)
VPN是私有网络的扩展，它将跨越共享或如因特网的公共网络中的逻辑链接围起来。Windows 2000中支持的VPN是隧道技术、认证方法、授权策略和加密技术的联合，保护VPN连接中的通信。活动目录TM通过允许指定用户或组(包括域本地和通用组)的授权来增强Windows 2000中的VPN。
21IP安全(IPsec)
IPSec组策略可以应用于本地计算机、组织单元和域。因为策略存储安全动作，一个策略可能会应用于多台计算机；以及
计算机的公开密钥可以为了简单获取而在活动目录TM中发布。
电话通讯API (TAPI)
TAPI H.323 TSP使用活动目录，执行用户至IP地址的解析。用户至IP的映射信息的存储和更新要使用因特网定位服务
(ILS)动态目录，它是活动目录中的实时服务器构件。
TAPI使用活动目录TM将用户与特定的ILS服务器关联。用户对象中的电话通讯容器中包含用户站点中ILS服务器的名字，该服务器被用来查询IP地址。这样就无需将ILS服务器的位置
rC ~r" tik， t a tt t工口 t=j I 、 I TX
t丄曰匚且s口 i/iri枉rr;
TAPI 3.0使用活动目录，的安全特性和轻量级目录访问协议
(LDAP)，以提供在因特网中使用NetMeeting⑧软件进行安全会议。每个活动目录TM对象有基于用户或组指定对象访问的权利的访问控制列表(ACL)。通过将ACL和SDP会议描述字关联起来，会议创建者能够指定谁可以列席和査看会议声明。
文件服务
磁盘配额可以基于活动目录中的用户身份来定义；以及
文件共享可以在活动目录TM中发布，以简化对网络资源的浏
IIAr 见。
分布文件系统(DFS)
DFS允许管理员将联合和分布的共享组织到单一的层次结构中，提供多种优势，例如使用户轻松的找到离他们位置最近的打印机；以及
DFS使用活动目录TM来自动地将请求转给最近可用的服务器。
加密文件系统(EFS)200580025473.6
说明书第19/38页
与证书服务联合使用，EFS能够在活动目录TM中启用自动注
册、公开密钥的发布，以简化获取和公布，并支持活动目录TM中的证书撤销列表，用于验证证书。
组策略恢复代理提供域范围内的一致性。加入域的计算机不能回避恢复策略；
通过在活动目录中存储用户私有密钥，管理员可以使能漫游的用户概图，给用户在网络中访问特定用户的配置的好处，比如程序项、屏幕颜色、网络连接、打印机连接、鼠标配置、窗口
尺寸和位置；以及管理员可以在网络文件共享中存储EFS文件。安全组
通用组可以包含森林中任意域中的成员，并在整个活动目录TM
森林中使用；
域本地组可以包含森林中任意域中的成员，也可以包含森林之外的信任域的用户。域本地组可以在定义他们的域中任何地方使用；以及
管理员可以使用嵌套组，将组作为成员加入到另一个组中，从而简化组管理。打印服务
打印机可以在活动目录中自动公布；
用户可以通过属性搜索打印机，比如彩色打印机；以及使用组策略，管理员可以控制增加/删除打印机，还可以控制对因特网打印的访问。因特网信息服务(IIS)
IIS支持高级验证方法，包括基本、摘要、集成窗口、证书和简单FTP;
ns可以使用目录服务将用户证书映射到活动目录TM用户帐号
上；以及
通过使用活动目录TM安全组，ns提供控制网页资源访问的能力。智能卡
智能卡是一种防篡改、便携为任务提供安全能力的方法，例如
客户验证、登录到Windows 2000域、代码签名和保护电子邮件。在
环境中，智能卡用户在域中只有单一的登录。
终端服务
在活动目录中，可以为每个用户创建终端服务概图。然后管理员可以创建适于终端服务环境的用户概图。通过将应用程序从用户 Start菜单中移除，终端服务概图可以被用于限制访问应用程序。管理员还可以创建和存储对打印机和其它资源的网络连接，以便在会话中使用。服务器412
组织机构可以遵照商业目标的要求用单独的服务器负责独特的
目的。一些专用的服务器例子包括微软证书服务器
使用微软证书服务器和活动目录，管理员可以自动登记计算机来接收机器证书，该证书用于远程访问验证；根据所请求证书的策略和安全许可集自动发布或拒绝证书请求；
发布可以在智能卡中使用的证书，用于登录Windows 2000 域'，
在活动目录TM中发布用户证书，用于便于获得支持公共密钥
的应用程序
在活动目录TM中发布证书撤回列表，用于确定该证书是否有
效；以及
使用证书模板来强制证书注册时对用户的凭证检查，自动生成证书主题名字，以及给发布的证书增加预定义的证书扩展列表，这样就减少了必须提供的信息数量。 NetWare服务
微软目录同步服务器同步从NetWare 二进制内容或DNS到活动目录的信息。搜索助理
它支持基于属性对目录中打印机和人的搜索。
Exchange 2000
微软Exchange 2000服务器TM在三个方面严重依赖Windows 2000:目录、传输和名字解析。想要更多关于如何将微软Exchange 2000与Windows 2000集成在一起的信息，参看微软Exchange服务器网站。网络418
组织机构可以为他们的分支办公室和其它远程地点指定商业目标，以能够与主机中心建立私有连接。
VPN技术允许公司通过公共的网络(比如因特网)连接分支办公室或其它站点，同时维持安全通信。存储区域网络的存储414
更好的应用程序可用性_因为SAN存储是外部化的；它可以
轻易通过另一数据路径访问，(集群)消除了单点故障问题
更好的应用程序性能一挂接服务器的存储性能受CPU速度和服务器活动限制。从直接挂接的服务器中脱离出去，SAN存储不再受它的主机限制。与传统子网络类似，SAN为主LAN增加了带宽却没有增加更多的额外开销存储区域网络(SAN)
实用数据移动一 SAN使得有可能实现高可用性、灾难保护配
置、远程集群、镜像和保险库；集中存储_通过提供联合存储的方法，SAN提供更好的扩
展性、可靠性和灵活性；以及容错一冗余磁盘机壳电源、风扇、控制器、缓存电池备份、分散的热空余磁盘和多级V-RAID体系结构确保了对系统出错和数据丢失的容错。 Exchange 2000
集成进入活动目录(AD)，为信息系统提供单一管理点；
即时消息(IM)，在公司内部或商业对商业中提供安全的即时消息服务；
会议和协作，提供共享应用程序和文件、进行讨论和交换白板
图示的能力；以及使用中继服务器定制控制。在消息到达信息存储(IS — Exchange的"数据库")前扫瞄所有接收的邮件。本发明以典型的第三方构件方式提供此功能或接口，例如微软 Exchange 2000服务器TM，它提供如下能力 Exchange 2000服务器TM420
Exchange 2000服务器，提供了大量的特性和功能。重点包括消息和协作；
与Windows 2000活动目录TM集成，降低了拥有成本；使用MMC进行单点管理；无限数据库大小提供最大化的扩展能力；多消息数据库，提供快速存储和灵活数据管理；双向活动/活动集群(需要Windows 2000高级服务器)；为百万用户提供的分布式服务；快速改变大范围对象(例如信箱)的策略；容错SMTP路由，提供可靠和快速消息传递服务；使用Windows 2000 ACL提供安全的电子邮件和轻松的协作；以及
本地MIME内容存储，增加因特网邮件性能。协作和应用程序
从宽范围的客户软件轻松访问信息，包括Windows文件浏览器；
使用标准对话框从微软Office直接保存和读取数据；
使用相同的工具在相同的目录管理文档和电子邮件；
将属性保存在文档中，便于轻松信息管理；
内置内容索引和检索，目的是快速定位文档；
通过用户友好的URL浏览访问所有网页存储系统；
使用协作数据对象建造高性能应用程序；内置对因特网标准的支持，例如HTTP和XML; 支持OLEDB和ADO，进行标准化信息访问；安全、集成的工作流引擎和可视化设计工具；集成FrontPage 2000，使网页应用程序的建造更容易；可重用的网页构件和数据表格，目的是快速的应用程序设计；以及
为定制应用程序的同步和异步事件。
任意时间、任意地点的通信增强的Outlook网页访问，目的是从任何地点访问信息；即时消息提供轻松、自发的通信；呈现信息以维护"伙伴列表"；增强的聊天服务提供更好的协作；统一的消息平台以联合语音和数据；因特邮件的语音概图，目的是邮件系统的互操作性；增强的聊天服务特性增加扩展性和控制；数据、音频和视频会议(需要Exchange 2000会议服务器)；限制带宽消耗的会议管理(需要Exchange 2000会议服务器)；以及
为会议集成活动目录TM (需要Exchange会议服务器)。组/分组I I 一安全设施440 Cisco安全代理(CSA) 446
CisCO安全代理提供了如下能力
Cisco安全代理为服务器和台式机计算系统(也叫端点)提供威胁保护。它识别以及防止恶意行为，因此消除己知和未知("零天")
的安全风险，帮助减少操作成本。Cisco安全代理通过提供主机入侵
防御、分布式防火墙能力、恶意移动代码保护、操作系统完整性保证和审査日志加强而聚焦和扩展多个端点安全功能，所有这些都在单
一产品内。因为Cisco安全代理分析行为而不是依赖对比签名，因此
它以更少的操作成本提供强壮的保护。
病毒保护452
27Trend Micro,提供如下能力 InterScanrTM消息安全套件
Trend Micro InterScanr 消息安全套件是可扩展的、基于策略的针对网关的消息安全平台，它通过反病毒、反垃圾以及内容过滤的协作策略对付混合威胁攻击。InterScanr 消息安全套件帮助IT经理最小化为多个消息安全系统进行费时的安装和配置。它的可扩展消息安全平台降低了总体拥有成本，提供了对混合威胁攻击的多重、积极的战术的增强保护，以防御对网络入侵。当与Trend Micro Control Manager —起部署时，InterScanr 消息安全套件能提供企业级可见的消息安全平台，允许集中报告和配置、模式文件和搜索引擎升级，以及管理Trend Micro 防止爆发服务一所有这些都能够通过远程管理访问垃圾邮件预防(456)
Trend MicroTM垃圾邮件预防是高性能的反垃圾邮件应用程序，设计在网关保护企业避免垃圾邮件。它与获奖的Trend Micro InterScanr 消息安全套件集成在一起，后者在一个可轻松管理的平台提供全面的消息安全一反病毒、内容过滤和反垃圾邮件。垃圾邮件预防被设计用于抵御垃圾邮件，它使用正在进行专利审査的启发式规则技术_该技术提供对战术不断变化的垃圾邮件可适应以及 "预先防御"性保护的能力。基于策略的配置选项允许管理员根据垃圾邮件类型和用户组赋与不同的命中率敏感度，同时配合灵活的过滤动作，为消息设置合适的处理选项。垃圾邮件预防能够根据垃圾邮件相似级别进行删除、隔离、标记以及更多的动作。当使用最终用户隔离(EUQ)特性实现时，垃圾邮件预防还能够在邮件服务器上将可疑的"灰色邮件"消息转移到特定目录中，供最终用户査看，还可以在网关和邮件服务器上创建"授权发送者"列表，以帮助管理员曰积月累的改进垃圾过滤的准确性和有效性，还给最终用户提供更多的定制过滤选择。微软Exchange上的ScanMail
为微软TMEXChange设计的ScanMail 对邮件和附件在到达台式机之前提供病毒的实时检测和删除。通过网页或基于窗口的管理终
端，它很容易部署和配置。配以ScanMailTM eManagerTM插件，它为大量的非商业邮件提供全面的内容过滤，对电子邮件和附件中不合适的内容进行过滤。ScanMailTM集成了最新的微软API，支持微软 Exchange 5.5、微软Exchange 2000和现在的Exchange 2003服务器版。
'微软Windows/Novell Net"Ware上的ServerProtect
ServerProtect 为服务器提供全面的病毒扫瞄能力，在到达最终用户之前，实时的从文件和压縮文件中检测和去除病毒。管理员可以使用基于窗口的终端集中管理病毒爆发、病毒扫瞄、病毒模式文件更新、通知和远程安装。ServerProtect 支持微软TM Windows 服务器版2003、微软Windows 2000、微软Windows NT 4，以及 Novel NetWare 服务器版。 OfficeScan企业版
Trend Micro OfficeScan 企业版是集成客户端/服务器的安全系统，设计用于保护免受基于文件和网络病毒的日常威胁，同时防止入侵者、间谍软件和其它威胁造成的不安全访问。在Cisco网络访问设备上或通过网络VimsWall强制使用安全策略，支持网络准入控制(NAC)。它强大的基于网页的管理终端使管理员能够透明的访问网络上的每台台式计算机和移动客户端，以协调、自动的部署安全策略和更新软件。 RSA安全ID 444
安全、简单的防范Windows 环境的方法。
通过将易受攻击的密码换成业界领先的二因子验证码，RSA安全和微软⑧使客户在将贵重的企业资源给用户访问前能够确认用户的真实性，通过Windows 桌面系统和网络访问资源的同时为用户提供简单、一致的登录体验。
微软 Windows 上的RSA SecurlD 被设计提供如下功能安全访问Windows⑧网络和桌面
运行于微软⑧Windows 上的RSA SecurlD软件帮助提供更大安全性取代安全性弱、静态的密码。通过将某些用户知道的内容
(即，秘密的PIN)和某些用户拥有的东西(g卩，唯一的RSASecurID
令牌，它每60秒会生成一个一次有效的密码)合起来，微软⑧ Windows 客户获得一种安全的方法使用户访问贵重的公司资源。简单、一致的用户登录体验_在线和下线一样
当今的用户通常要求记住不同的密码，其依赖于用户登录微软网络的方式与地点。微软⑧Windows 上的RSA SecurlD被设计提供简单、一致的用户登录体验，而无论用户是在线还是下线状态，是在企业内部还是远程登录。更好的遵循工业和政府规定
因为公开的公司致力于寻找到有效、可管理的过程以遵循工业和政府的规定，微软⑧Windows 上的RSA SecurlD软件帮助提供全局审计能力，帮助公司达到这些严格的要求，避免可观的罚金和可能的因不合规造成的司法成本。 Cisco PIX防火墙442
Cisco PIX防火墙提供如下能力
Cisco PIX安全产品在使用集成安全构建自我防御网络的Cisco
策略中扮演了关键的角色。
从适合小的和家庭办公室的小型"即插即用"产品到适合企业和
服务提供商环境的模块化的、大型的千兆比特产品，Cisco PIX安全
产品提供强大的、企业级的集成的网络安全服务，为快速改变的网
络环境创建强大的多层防御系统。
安全和网络服务包括虚拟LAN (S02.1q标记)支持；开放最短
距离优先动态路由；网络地址解析；端口地址解析；内容过滤 (Java/ActiveX ) ; URL 过滤；验证，授权和记费 (RADIUS/TACACS+)集成；支持领先的X.509公开密钥体系系统；
和动态主机配置协议客户端、服务器、中继器和以太网上点对点协
议的支持。
Cisco PIX安全产品支持多种远程访问VPN客户端，包括Cisco 软件VPN客户端(多种平台版本，包括微软Windows, Linux，Solaris和Mac OS X) ， Cisco硬件VPN客户端(例如Cisco PIX 501 和PIX506E安全产品，VPN 3002硬件客户端，和Cisco 800或1700
系列路由器)，还有微软Windows操作系统下的点对点隧道协议和第二层隧道协议客户端。Cisco PIX安全产品使用56位数据加密标准 (DES)、 168位三重DES (3DES)或者256位高级加密标准(AES) 加密对数据进行加密。许多Cisco PIX安全产品模型支持模块升级，拥有集成硬件VPN加速的能力，提供高扩展性、高性能的VPN服务。
Cisco PIX安全产品还为媒体和声音标准提供高级安全服务，包括R323版本4、会话启动协议、Cisco瘦客户控制协议、实时流协议和媒体网关控制协议，允许商业安全地利用这些益处，集合数据、语音和视频在网络上传播。 VPN集中器450
Cisco VPN集中器提供如下能力
Cisco VPN 3000系列集中器是为特定目的而造的远程访问虚拟网络(VPN)平台，它将高可用性、高性能、高扩展性与当今最高级的加密和验证技术集于一身。支持的连接机制包括IP安全(IPSec)、点对点隧道协议(PPTP)、IPSec上的第二层隧道协议(L2TP)和Cisco WebVPN (无客户安全套接字层[SSL]基于网页的连接)。
使用VPN 3000系列，组织机构能够利用最新的VPN科技减少通信成本。本工业唯一的这款可扩展平台提供领域可换、客户可升级的构件。这些被称为可扩展加密处理(SEP)模块的构件使用户可以轻松增加容量和吞吐量。
为Cisco VPN客户端软件提供了所有版本的Cisco VPN 3000系列，它包括无限分发授权。还提供了无附加授权费的WebVPN，使得能够访问关键的企业应用程序，包括网页、文件共享、电子邮件和基于传输控制协议(TCP)的应用程序，例如Telnet和安全外壳协议(SSH)。为WebVPN用户提供了有粒度的访问控制和日志记录。
Cisco VPN 3000系列集中器即可以使用无冗余配置和冗余配置，允许客户有可能建造最鲁棒、可靠和性价比高的网络。无线LAN (454)
Cisco无线LAN提供如下能力
Cisco Works WLSE是为管理整个Cisco Aironet无线LAN (WLAN)体系结构的集中的系统级别架构。Cisco Works WLSE的高级无线电频率(RF)和设备管理特性简化了 WLAN的日常工作，保证顺利部署，增强安全性并使网络可用性最大，同时减少了部署和运营费用。CiscoWorks WLSE使管理员能够检测、定位和减少恶意访问点和RF干扰。辅助站点调查特性使以前需手工操作、昂贵费时的决定最优访问点设置的处理自动化，访问点设置包括传输能量和通道选择。CiscoWorks WLSE自动配置访问点和桥，确保一致的安全策略的应用和主动监测故障和性能。CiscoWorks WLSE是Cisco结构化无线网络的核心构件。
加在该IT构件权重中的益处包括减少部署和运营费用；
简化中、大规模无线LAN的日常操作和管理；
通过检测、定位和减轻恶意访问点，通过保证一致的安全策略
的应用，通过监测802.1X性能以增强安全性；通过检测RF干扰和监测故障以改进WLAN性能；以及通过对重复、费时的管理任务的自动化和集中化以节省时间和
资源。入侵检测448
CisCO网络入侵检测提供如下能力
Cisco网络入侵检测系统(IDS) 4200探测器是市场领先的Cisco IDS系列产品中的一员，它提供对网络的普遍保护。它们是为特定目的而造的、高性能网络安全"产品"，用于保护防止网络中未授权、恶意的活动，比如黑客的攻击。Cisco IDS探测器实时分析通信，使用户能对安全漏洞快速反应。
Cisco反制研究团队(C-CRT)使用富有创新和复杂的探测技术的结合，其中包括状态模式识别、协议解析、启发式探测和异常探测，提供全面保护抵抗各种己知和未知的网络威胁。此外，Cisco
32T.A.M.E (威胁分析微引擎)技术允许探测器签名粒度定制，产生精
确调校的探测器，最小化误报的发生。
当检测到未授权的活动时，探测器能够给管理终端发送包含活
动细节的警告。此外，Cisco IDS活动反应系统同时通过控制其它系统，例如路由器、防火墙和交换机，以终止未授权的会话，从而提供了无可匹敌的保护。使用多种管理系统，这些安全产品的安装和管理很容易，管理系统包括网页用户界面、命令行接口 (CLI)，或者 Cisco高扩展性的Cisco Works VPN/安全管理系统(VMS)。
Cisco IDS 4200系列产品探测器包括四个产品Cisco IDS 4215、 IDS 4235、 IDS 4250和IDS 4250-XL。 Cisco IDS产品全系列提供了宽范围系统，很容易与多种不同的环境集成，包括企业和服务提供商环境。每种产品探测器满足不同性能标尺中的一种带宽要求，从 80Mbps到千兆比特。此外还支持不同的接口选项，包括提供多探测接口和铜轴/光纤接口选项。
用于Cisco IDS探测器的Cisco IDS探测器软件提供最新技术的入侵探测系统(IDS)特性，包括主动更新签名分发机制、可定制签名语言、扩展主动反应能力和安全管理。
用于Cisco IDS探测器的Cisco IDS探测器软件是业界领先的 Cisco入侵检测系统的构件，它通过Cisco主动防御系统为客户提供了无法匹敌的入侵保护技术。集成的硬件和软件为外围和内部资源提供了最好的保护。
IDS探测器的CiscoWorks管理中心是为配置网络IDS、交换机 IDS探测器和路由器IDS网络模块的管理软件。该工具是VPN/安全管理系统(VMS)中的特色构件。该软件允许你通过创建探测器组同时管理多个探测器，因此为管理员节省时间。该软件还提供易用的网页接口和向导以减少学习时间。IDS探测器管理中心同时提供创建新签名的能力，这样管理员能够更精确的发现威胁，还提供编辑签名的能力以减少误报。组/分组I I I通信设施470 V3VPN -支持语音和视频的VPN 474Cisco V3PN产品提供如下能力。
支持语音和视频的VPN (V3PN)系统集成了性价比好、安全的连接，该连接由使用AVVID架构的站点对站点IPSecVPN提供，以满足语音、视频和数据IP网络的集合。对这两个网络系统的集成提供了高性价比、灵活的宽区域连接，同时提供了支持最新聚合网络应用程序的网络体系结构，例如IP电话和视频。提供收费质量的多服务IPSec VPN
虚拟私有网络(VPN)使用租用的线路、帧中继、或ATM提供了替换或扩大专用的私有网络的低成本、高灵活的选择。VPN通过使用加密VPN通道加密的共享网络，为企业数据网络节省了大量费用。然而，网络合并的趋势对VPN提出了新的要求。使用由Cisco 提供的支持语音和视频的VPN (V3PN)，企业可以调整VPN的性价比，将语音和视频加入到他们的数据网络而无需牺牲质量和可靠性。
Cisco V3PN系统集成了由站点对站点的VPN提供的高性价比、安全的连接，它使用Cisco AVVID架构提供对IP网络上的语音、视频和数据的集合。V3PN提供了高性价比、灵活宽区域连接，同时提供网络体系结构，支持最新聚合网络应用程序，例如IP电话和视频。
会增加该IT构件权重的益处，以及Cisco V3PN系统的应用包
括
在地理分散地点提供性价比好的语音、视频和数据连接一客
户可以使用V3PN的多服务能力连接分散的办公室环境，例如远程办公室/家庭办公室连接，用PBX扩展完成。此外，企业还可以提供视频培训，在这些地点利用统一消息应用程序的优势减少商业运营成本；当今应用的VPN体系结构一 V3PN提供能够在安全IPSec网络上传输合并的语音、视频和数据业务的VPN体系结构。与市场上的许多VPN设备不同，Cisco VPN平台能适应以多服务 IPSec VPN为特性的多种网络拓扑和通信类型，因此可以保证VPN体系结构不打破现在或将来部署的多服务应用程序；点对点网络架构一 Cisco为多服务VPN的所有方面提供产品，从带有Cisco 10S⑧软件的Cisco VPN路由器到Cisco CallManager和IP电话。此外，Cisco通过用于集合网络的 Cisco AVVID体系结构和用于VPN的安全蓝图，为这些产品提供起全面的部署模型。这些部署模型确保安全、可互操作、可靠的支持点对点产品支持的网络系统；保证整体多服务网络的安全一 Cisco网络安全系统在VPN中提供的不仅是多服务业务的加密；它们还确保与负责周边安全的Cisco PIX防火墙以及保护网络攻击检测的Cisco入侵检测系统的相互操作；以及服务提供合作伙伴一服务提供商VPN操作的带宽。通过 Cisco强力网络程序，企业可以选择能够提供低延迟的网络结构的服务提供商，该结构对于在VPN中传输高质量语音和视频至关重要，或者选择全面管理的V3PN服务。 GaI I Manager 478
Cisco通话提供了如下能力
Cisco IP通信一强大、企业级的全面系统，包括IP电话、统一通信、IP视频和音频会议，以及客户联系一通过改善运营效率、增加组织生产率和增强客户满意度，帮助组织机构实现商业营利。
Cisco CallManager — Cisco IP通信系统的集成构件，是基于软件的 Cisco企业IP电话系统通话处理构件；它被Cisco AVVID支持(语音、视频和集中数据架构)。
Cisco CallManager软件将企业电话特性和能力扩展到分组电话网络设备，如IP电话、媒体处理设备、IP语音(VoIP)网关和媒体应用程序。其它数据、语音和视频服务，如统一消息、多媒体会议、协作联络中心和交互多媒体响应系统与IP电话系统通过Cisco CallManager开放电话应用程序接口 (API)交互。Cisco CallManager 被安装在Cisco媒体合并服务器(MCS)和选择的第三方服务器上。 Cisco CallManager软件与集成语音的应用程序和工具套件一起出货，这些工具包括Cisco CallManager助理终端一只是基于软件的手工助理终端；只基于软件的即时会议应用程序；批量管理工具
(BAT) ; CDR分析和报告(CAR)工具；实时监测工具(RTMT); 简单、低密度的Cisco CaiiManager自动助理(CM-AA);自动注册电话支持(TAPS)工具；以及IP管理助手(IPMA)应用程序。该IT构件的关键特性和优势
Cisco CallManager 4.0版提供了可扩展、可分发，以及高可用性的企业IP电话通话处理系统。多个Cisco CallManager服务器作为集群以单一实体进行管理。将多个电话处理服务器集群在IP网络上在业界是独一无二的功能，突出了由Cisco AVVID提供的领先架构。 Cisco CallManager集群有好的扩展性，每个集群容纳1到30,000个 IP电话，提供负载平衡和电话处理服务冗余。将多集群互连，系统容量在100多个站点的系统中能够增加至1百万用户。集群聚焦了多个分布的Cisco CallManager的能量，为电话、网关和应用的服务器增强了扩展性和可访问性。三个通话处理服务器冗余改进了整体系统可用性。
这种分布架构的好处就是增强了系统可用性、负载平衡和可扩展性。通话准入控制(CAC)确保在整个受限WAN链接中保持语音质量服务(QoS)，且在WAN带宽不够时自动将电话转接到替代的公共交换电话网络(PSTN)路由。对配置数据库的网页可浏览接口使得可以进行远程设备和系统配置。基于HTML的在线帮助提供给用户和管理员。
4.0版的改进提供了改进的安全性、交互性、功能性、支持能力和生产率，还有新的视频电话功能。CallManager 4.0有许多安全特性给CallManager用户验证与他们通信的设备或服务器的身份，确保接收到的数据的完整性，通过加密提供通信的保密性。CallManager Q.SIG信令接口的改进扩展了功能的范围，Cisco CallManager使用它能够连接其它兼容Q.SIG的系统。CallManager API (AXL， JTAPI， TSP)的改进给用户和第三方销售商提供增强的能力以开发将 CallManager和IP电话集成在一起的更好的应用。CallManager 4.0引
36入了视频电话，包括支持SCCP和I1323视频，给管理员和用户以相同的语音和视频体验。公共系统管理和与现有语音电话通话行为帮助实现语音和视频的真正合并。新的CallManager 4.0特性，例如单线上的多通话、通话加入、直接转接、即时转移和临时会议列表以及断线任意成员，改进了电话的使用。 Unity —统一的通信472
Cisco Unity提供如下能力
Cisco Unity是强大的统一通信系统，在平台上提供高级的、基于合并的通信服务，该平台提供可靠性、扩展性和性能的极致。
Cisco Unity与桌面应用程序的集成一例如微软Outlook和 Lotus Notes,这些你每天使用，在组织机构中改进通信、提升生产率和增强客户服务能力。使用Cisco Unity你能够在电话上听到你的电子邮件，从因特网上査收语音信息，(当与支持第三方传真服务器集成时)转发传真到任意本地传真机上一增加组织机构的生产率的同时改善客户服务和反应能力。
作为Cisco AVVID (语音、视频和集成数据)环境中的一部分， Cisco Unity补足了 Cisco基于IP语音系统全系列一包括Cisco CallManager, Cisco IP联系中心和Cisco个人助理。Cisco个人助理是新的电话应用，它与Cisco Unity和流通信一起运行，帮助用户管理他们想如何连续以联系地点。
Cisco Unity是强大的统一通信系统，在平台提供高级、基于汇聚的通信服务，该平台提供可靠性、扩展性和性能的极致。
Cisco Unity与桌面应用程序的集成一例如微软Outlook和 Lotus Notes,这些你每天使用，在组织机构中改进通信、提升生产率和增强客户服务能力。使用Cisco Unity你能够在电话上听到你的电子邮件，从因特网上查收语音信息，(当与支持第三方传真服务器集成时)转发传真到任意本地传真机上一增加组织机构的生产率的同时改善客户服务和反应能力。 Meeting Place —々某体会议476
Cisco Meeting Place提供如下能力Cisco MeetingPlace提供完全集成的富媒体会议系统，包括语音和网页会议能力。Cisco MeetingPlace处于"网络上"一在防火墙后面的内部语音和数据网络上，它提供了无与伦比的安全性、可靠性、扩展性、应用集成和高性价比。
Cisco MeetingPlace比传统的服务办公系统有巨大的成本节省，它作为Cisco IP通信系统的一部分，利用现有的公司IP和电路交换公共交换电话网络(PSTN)的语音和数据网络，大大节省和消除了传输费用，重用了会议费用。
当会议应用在公司桌面系统变得无所不在时，它们增加了涉及远程与会者参与的会议的生产力。Cisco MeetingPlace 8106系统集成语音、视频和网页会议，以及网络安全、富媒体会议的企业组件应用。Cisco MeetingPlace 8106使这些远程会议就像面对面会议一样自然和有效。企业级会议
Cisco MeetingPlace为公司提供强大的语音和网页会议平台，它能与他们的私有网络集成。当Cisco MeetingPlace 8106使用大型硬件和高级系统软件时，它提供IT组织机构需要的扩展性、可靠性、简化的管理、安全和性价比。
Cisco MeetingPlace 8106架构提供了额外的增长和扩展性。用户使用单一系统可以支持大型部署，其中全局和分布的服务器通过 Cisco MeetingPlace 8106网络连接能力互连。此外，高可靠性和构件冗余帮助确保Cisco MeetingPlace 8106为关键的通信提供稳定一致的可用性。通过自动系统工具、全面报告、和高度可配置，管理变得简单有效。
Cisco MeetingPlace 8106提供高安全会议系统。使用应用安全和分段的网页会议，用户能够确保他们会议的私密性。作为网上部署，Cisco MeetingPlace 8106与公司网络策略合作，而不是规避。工业领先创新
通过充分利用熟悉的桌面界面，客户能够轻松快速的采用Cisco MeetingPlace。集成了微软Outlook和Lotus Notes,用户能够在他们现存的日历中观看Cisco MeetingPlace会议，就像他们每天开会一样。用户还可以使用微软NetMeeting, Lotus SameTime，或者操作合乎直觉的Cisco MeetingPlace网页会议应用程序，以共享演示、应用程序或者共享桌面。Cisco MeetingPlace还与公司体系结构透明配合，合乎直觉的提供IT支持。公司范围部署
Cisco MeetingPlace作为应急系统和外包服务已经成功部署及使用。大型企业使用Cisco MeetingPlace共享培训内容、销售演示、客户支持以及日常商业会议和通信。语音会议
会议进行中(in-session)会议特性；
宣布进入/离开；
点名；
中断会话；
静音；
往外拨号；
锁住会议；
秘密(screened)进入；
无需预约一使用户使用个人会议ID进行语音和网页会议，无需安排；
记录自动记录和回放会议会话；以及
使用问答方式的讲课风格会议有帮助问题和回答会话的只听会议。会议用户接口
发言者ID:标识在任意时刻发言者是谁；参与者列表列出所有与会者；
会议控制允许会议组织者静音/解除静音、改变发言能力、记
录、锁住、驱逐和终止会议；寻找参与者允许会议组织者呼叫主电话、备用电话和寻呼号
码序列以搜索用户；会议消息用户能够预先录制消息，在其他与会者进入会议之前收听；以及
多语言支持个人语音提示有英语、英式英语、日语和加拿大法语。网页会议
应用程序/桌面共享用户能够共享Windows (浏览器或T.120)
或UNIX (T.120)下任意应用程序或者桌面；附加音频会议终端特性；
记录和回放通过流媒体或下载，从你的桌面记录和回放会议录首；
远程控制共享组织者能够允许任意用户控制控制桌面、应用
程序、文档或网站；聊天会议中与会者之间的文字消息，这样防止中断；投票与会者可以在会议期间就问题投票和发表反馈意见；附件在会议网页上发布任意文档；以及多语言支持网页会议接口有英语和日语支持。安全
加密Cisco MeetingPlace使用HTTPS和SSL协议，支持加密
网页和网页会议通信；封闭因特网控制用户可以指定会议完全在公司防火墙内部举
行；
参加者认证会议组织者可以要求与会者拥有系统概况以便参加会议；
自动帐号管理Cisco MeetingPlace与公司目录集成，自动将
离开公司的雇员概况删除；黑客防御自动封闭多次登录失败的用户，并通知系统管理
员；以及
会议期间控制会议组织者可以指定宣布进入和离开、要求密码、锁住会议，以及拒绝不希望的与会者。专用服务器每个客户收到他们自己专用的Cisco MeetingPlace服务器负责提供服务系统管理
配置设置使用、日程、访问和会议首选项参数的系统选项。
定制可定制的语音提示和数据域；
报告标准配置、使用和帐单报告。详细的原始数据报告以跟
踪会议和与会者详细信息；容量管理系统参数优化端口使用和会议流量表；系统经理代理会议通过电子邮件警告用户和系统经理；系统状态使用简单网络管理协议(SNMP)陷井的远程管理
和监视。外拨电话或呼叫机来警告；以及灾难恢复自动磁带备份和导入/导出会议数据库的能力。
视频会议482
TANDBERTG视频会议使用户无需办公室而完成更多。它和电话通话一样快，就像接通电话一样容易。它提供面对面会议的所有优点，但更容易安排。在组织机构中的任意层次，TANDBERG视频会议都允许人们比其它任何技术更快、更有效的连接以及共享信息。会议更动人。会议更有价值。对话更有启发性。它的技术如此自然，你会忘记你实际不在那。
本发明以典型的第三方构件提供此功能或接口，例如Tandberg 视频会议系统，它提供如下能力
Cisco CallManager 4.0的所有通话功能，包括保持、转移、目录、转信等；
复制IP电话体验的软键设计；
轻松管理。分机号通过CallManager的网页管理工具设置；
与TANDBERG的R323系统或其它销售商的可互操作；以及
PBX功能，呼叫、在H.323端点内以及转信到H.323端点
(H.323系统不能发起这些服务)。
图5示出了无服务器办公室的一个可能配置的基本概要图。用户访问该无服务器办公室可以通过因特网505或者通过内部网络510，其中路由器515与防火墙520协作实现访问。防火墙内的路由器522将通信引导到合适的构件，其中可以包括活动目录，服务 525、网页服务器530、负载平衡服务器535、 exchange服务器540、应用程序服务器545、数据库服务器550或者文件服务器555。中央服务器560协调访问网络存储设备，通过交换机565交互以协调支持在备份服务器570的实时备份，通过网络存储路由器575备份到磁带备份设备580。
图6示出的是图5中无服务器办公室的相同的基本配置，将图5 中的通用图示元素替换成了特定硬件的图标，相同元素使用相同的编号方案来识别图中构件。用户访问无服务器办公室可以通过因特网605或者通过内部网络610，其中路由器615与防火墙620协作实现访问。防火墙内的路由器622将通信引导到合适的构件，其中可以包括活动目录TM服务625、网页服务器630、负载平衡服务器635、 exchange服务器640、应用程序服务器645、数据库服务器650或者文件服务器655。中央服务器660协调访问网络存储设备，通过交换机665交互以协调支持在备份服务器670上实时备份，通过网络存储路由器675备份到磁带备份设备680。
可以期望的是本发明中的方法会在系统中实施，且与其它系统接口。例如，选择标准可以是备选IT构件的"可用性"，标准的满意度可能需要到销售商/供应商处决定实际的可用性，即交货时间。此外，某些部件的可能提供批量折扣，例如痩客户机，同样的，成本标准可能需要本发明的方法与销售商交互。这些功能都要求本发明与源系统接口，而不是直接与销售商接口。
虽然已经展示且描述了本发明的优选实施例，但应该理解，对于本领域的技术人员，其中描述的无服务器办公室架构的例子只是作为演示所用，可以进行不同的改变和修改，其中的元素可以用相当的构件进行替换而不背离本发明的中心范围。因此，本发明不限于作为实现本发明最佳模式而公开的特定实施例，本发明包括由附加的权力要求限定的所有实施例。
4权利要求
1、用于无服务器办公室的方法，包括如下步骤指定至少一个至少由部分无服务器办公室完成的商业功能；对于每个指定的至少一个商业功能，定义该无服务器办公室必须满足的至少一个商业目标以及至少一个商业约束；将该至少一个商业目标和商业约束映射到至少一个备选IT构件选择标准和至少一个IT备选构件性能标准，这些标准与预定的无服务器办公室架构中的多个IT备选构件相关，由此创建一组映射到的标准，其中包括映射到的选择标准和映射到的性能标准；按照该映射到的选择标准的满意程度为该多个备选IT构件中的每一个排序；以及对包括满足该映射到的性能标准的排序最好的备选IT构件的无服务器办公室架构进行验证。
2、根据权利要求1的方法，其中所述排序步骤进一步包括如下步骤，与源系统连接以确定可用性和成本标准的满足度。
3、根据权利要求1的方法，其中所述验证步骤进一步包括如下步骤，只有综合排名超过预先指定的容限的备选IT构件才被包括进无服务器架构中。
4、根据权利要求l的方法，其中多个备选IT构件间的平局通过执行从包括如下步骤的组中选择的步骤来解决，将权重应用到所述选择标准中以反映相应标准的重要性，再进行排序步骤，将所述平局中的每个备选IT构件保留在所述架构中，这样映射到的性能标准的满意度就可以识别出所述平局中的备选IT构件中最适合的构件，以及，将每个所述平局中的备选IT构件保留在所述架构中，而不考虑每个所述平局中的备选IT构件满足所述映射到的性能标准的程度。
5、根据权利要求1的方法，进一步包括下列步骤-提供预选的备选IT构件和相关的选择和性能标准的数据库；以及将所述商业功能和相关商业目标、商业约束及其映射存储到所述提供的数据库。
6、根据权利要求5的方法，其中所述映射步骤进一步包括下列步骤在所述提供的数据库中寻找相似的商业功能；对于每个找到的相似商业功能，决定是否使用或者不使用它的至少部分所述存储的相关商业目标、商业约束及其映射来进行替换或是增加；以及如果决定使用找到的相似商业功能，将至少部分所述相关的商业目标、商业约束及其映射包含进所述映射中。
7、根据权利要求6的方法，进一步包括下列步骤提供所述预定无服务器办公室架构，其包括由中心主机设施、安全设施、通信设施和本地设施组成的至少四个组，每组包括至少一个预选的备选IT构件；以及将预定的选择和性能标准与所述至少四组中的每组中的各个预选备选IT构件相关联。
8、根据权利要求7的方法，进一步包括下列步骤识别所述多个备选IT构件中每个构件的任何属性和益处；以及其中所述排名步骤进一步包括如下步骤，调整所述备选IT构件的排名以反映任何识别的属性和益处。
9、根据权利要求8的方法，其中所述排名步骤进一步包括如下步骤根据所述映射到的选择标准对与所述映射到的选择标准相应的商业功能的重要性，给所述映射到的选择标准配以权重。
10、根据权利要求9的方法，其中所述验证步骤进一步包括如下步骤调整所述排名以反映备选IT构件满足用于该备选IT构件的映射到的性能标准的程度。
11、根据权利要求10的方法，其中所述验证步骤进一步包括如下步骤，根据所述映射到的性能标准对与所述映射到的性能标准相应的商业功能的重要性，给所述映射到的性能标准映射配以权重。
12、根据权利要求11的方法，其中所述中心主机设施的所述至少一个预选备选IT构件从包括活动目录TM、 Windows 2000服务器、微软证书服务器、微软目录同步服务器、搜索助理、消息队列服务、 Exchange 2000和存储区域网络的组中选出。
13、根据权利要求12的方法，其中所述安全设施的所述至少一个预选备选IT构件从包括Cisco安全代理、Trend Micro Intei'Scanr 消息安全套件、Trend Micro 垃圾预防方案、微软TM Exchange上的ScanMailTM、 Trend Micro OfficeScanTM、 ServerProtectTM、 RSA SecurID 、 Cisco PIX防火墙、Cisco VPN 3000系列集中器、Cisco无线LAN、 Cisco入侵检测系统4200和CiscoWorks VPN/安全管理方案的组中选出。
14、根据权利要求13的方法，其中所述通信设施的所述至少一个预选备选IT构件从包括V3VPN—支持语音和视频的VPN、 Call Manager、 Cisco Unity、 Cisco Meeting Place禾卩Tandberg视频会议的组中选出。
全文摘要
提供构设无服务器办公室的一种方法，该无服务器办公室可以在任何地点、任何时间为组织机构提供计算支持。无服务器办公室包含根据与组织机构商业功能相关的商业目标和约束而选择的多个信息技术(IT)构件，这些构件共同合作为多个最终用户提供计算支持功能，最终用户不再拥有本地计算支持，在桌面可以只有瘦客户端。预定的无服务器架构被现有发明所限定，其通过包含至少四组IT构件架构实现，组织机构必须将商业目标和商业约束映射到IT构件的选择上。在该最少构件组中至少要包含本地组，这样能满足预定的无服务器办公室架构组无法满足的独特处理需求。
文档编号G06Q10/00GK101432767SQ200580025473
公开日2009年5月13日申请日期2005年6月28日优先权日2004年6月28日
发明者马吉德·塔布里兹申请人:伊普拉斯资产公司

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：马吉德.塔布里兹
技术所有人：伊普拉斯资产公司
我是此专利的发明人

上一篇：等速万向节及其品质管理方法
上一篇：电子消息收发协议消息中图像内容的变化的制作方法

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、李老师：1.计算力学 2.无损检测
2、毕老师：机构动力学与控制
3、袁老师：1.计算机视觉 2.无线网络及物联网
4、王老师：1.计算机网络安全 2.计算机仿真技术
5、王老师：1.网络安全；物联网安全、大数据安全 2.安全态势感知、舆情分析和控制 3.区块链及应用
如您是高校老师，可以点此联系我们加入专家库。