应该由谁执行测试
方案测试小组中包括的人数很大程度上取决于设计的复杂性、规定的时限以及潜在的商机。具有公认的、深厚的技术技能的人应该领导小组。理想的情况是,测试小组还应该包括一些人员负责在产品部署后作为产品的技术支持。作为整体的小组应该非常了解本行业、行业目标和部署背后的道理。小组还应该有能力与负责设计的个人进行交流,能够对问题讨论结果交换意见。
如果有可能,操作人员或者实际管理生产环境的生产人员应该有在实验室进行测试的习惯,因为他们将最终接管投入运营的方案。这些人也将成为最了解方案的人,他们知道什么地方最适用,什么地方最不适用。
如何执行测试
测试的最佳方法是开始只测试最少的功能,成功后再逐渐增加复杂度。每次测试完成后,测试结果应该编辑成文档并对照项目要求检验结果。并应该调查和解决任何出现的问题。
要达到其测试目标,MSM 测试小组构建了一个集成的测试环境,用来进行 MSM 方案集成测试。此测试实验室的设计要尽可能地类似于实际的生产环境。MSM 方案随后安装在 Microsoft 系统体系结构(MSA)企业数据中心,数据中心仿真了一个企业的网络并用来验证功能。
对 Microsofts 操作和技术组 (OTG) 以及 MSM 联合开发者程序 (JDP) 的客户反馈的 IT 领域的问题进行了确认后,形成了此测试方案。MSM 测试小组随后按照 管理体系结构指南和产品操作与方案指南来执行前面所述的测试方案中的各个测试用例,并确保涉及到反馈的 IT 领域问题。使用试验程序和自动加载测试客户端来测试这些方案,其揭示了方案中客户提出的问题。
测试用例详细信息电子表格
Microsoft 管理方案为完成 MSM 方案加速器推荐测试提供额外的、特殊的指导。
测试用例详细信息电子表格可以为测试工程师提供特殊的测试用例文档,工程师可以用它来执行推荐的测试程序。有关测试设置、步骤和结果的详细信息,请参阅附带的 MSM 测试用例详细信息电子表格,它可以在以下网址下载 http://go.microsoft.com/fwlink/?LinkId=20211。
在何处执行测试
测试实验室应该严格地模仿,理想情况下应复制出生产环境。能够达到的相似程度取决于生产环境的复杂程度,以及机构准备为测试实验室提供的资金和时间的数量。
如果您的组织使用的是标准的客户端和服务器硬件配置,则在实验室中使用这些配置。要尽可能地使用相同的硬件、软件、网络、登录脚本,随后再将其应用到生产环境中。如果生产环境中的电脑已经几乎没有磁盘空间,塞满废弃的和很少使用的软件,或者各种网络适配器卡各色俱全,那么实验室的电脑也应该与此相同。如果还有路由器或低速连接的生产网络,那么也要在实验室中复制这些情况。
此方法确保了在实验室就把设计相关事宜确定下来,而不是在部署期间才暴露出来。
组织应该任命一位实验室经理或者协调员来监视安装和测试活动。实验室正确配置以后,组织应该执行“更改控制流程”,以防使用实验室的小组发生冲突。此流程确保了使用实验室的小组在更改实验室软、硬件之前要得到实验室经理的批准,而且防止了一个小组更改软、硬件对其他组的测试造成的影响。
“更改控制流程”确保了所有测试小组能够得到实验室软、硬件变更的通知,并同意变更。测试要求相抵触的小组应该向实验室经理预定测试时间。实验室经理应该将软、硬件情况和测试时间表张贴出来,这样测试人员就可以知道实验室的活动情况。实验室经理还应该制订流程以便将实验室还原到其初始状态。
测试的目标是要获得对产品批准(或证明),而此产品将要部署在生产环境中。如果实验室环境对生产环境进行了仿真,那么系统和应用程序就能够得到验证,即实验室测试结果能够准确地反映生产环境中预计的情况。
测试实验室环境
为了验证 MSM 方案,MSM 测试小组设立了以下环境:
•
单元测试环境。 测试实验室中的环境主要是由开发小组在项目开发阶段使用,以便测试组件和证明观点。
此环境一般不是原始环境的大小,经常会按照需要被拆解和重建,同时也不是严密控制的环境。一旦方案开发小组对方案的功能开发完成,并完成单元测试后,会把方案转交给测试小组,测试小组将在集成的测试环境中对其进行进一步测试。
•
集成的测试环境。 在项目测试阶段,只有测试小组能够使用测试实验室环境,以便执行 BVT、集成、系统、方案、压力和安全测试流程。
此环境一般要尽可能地接近生产环境且要严密控制。同时不会频繁地被拆解和重建。
•
预生产环境 测试实验室中的原始环境在开始生产前需要进行一次测试运行,并且要尽可能地与生产环境相匹配。
此环境的控制要比集成测试环境更加严密,而且应该由生产小组来运行。
单元测试由开发小组在单元测试环境中进行。形态测试和衰退测试在集成的测试环境中执行。最后,预生产测试要在预生产环境中执行。模型企业在集成的测试环境和预生产环境中建立起来。测试小组按照 MSA 推荐的最佳做法来为示例组织设计核心基础结构。组织的核心基础结构的逻辑设计如图 8 显示。
图 8:示例 MSM 逻辑体系结构
正如流程所示,组织由位于西雅图的公司数据中心组成,它带有将其连接到互联网的一个外围网络(也就是 DMZ,网络隔离区,或者屏蔽的子网)。组织在欧洲还有另一个公司数据中心,在亚洲的分支办事处,在华盛顿的塔科马的卫星分部。个别位置请参考附录中的图表。从 管理体系结构指南 和站点管理指南中查阅一些测试方案,此基础企业网络增加了另外一个域(南美)。
不同服务的设计在后面有所说明。
Active Directory
Contoso 组织的 Active Directory 设计如图 9 所示。
图 9: Active Directory 的设计
小组决定为 Active Directory 使用多森林模型。此模型用作在外部服务和内部服务之间隔离服务。通过为外围网络和内部服务使用单独的森林,暴露在内部基础设施中的安全受到限制时,可以通过 Active Directory 进行管理。这符合 MSA Active Directory 的设计。
为了独占地管理森林基础设施,内部 Active Directory 的设计可以执行单一的森林根域(有时称为空森林根域)。森林内域的数量和组织受许多因素影响,包括管理结构,安全策略,网络带宽和商业/政治原因:由于考虑到这些因素,所以决定把北美、亚洲和欧洲划分为 3 个单独的域。
从以上搜集的信息来看,推荐的做法是实现根域 (corp.contoso.com) 和 3 个子域(na.corp.contoso.com、asia.corp.contoso.com 和 europe.corp.contoso.com)。
规划外围 Active Directory 需要一个单一的,且非空的森林根区。此外部 Active Directory 单独存在以便用于外围管理和服务器宿主。因为要求不高,所以外围网络只需要规划单一的域就足够了。
下一步是为组织创建一个组织单元 (OU) 设计。组织单元是作为其他目录对象容器的目录对象。OU 可以在单一的域中包括用户、组、计算机、打印机、共享文件夹和其他组织单元。OU 为域中的对象提供逻辑容器。
建议组织单元结构基本上是按照管理需求构建的,但是为了更明确、方便地使用组策略,进行了一些修改。此设计推动了以下内容:
•
集中式用户和组管理。
•
能够方便地在站点和部门间移动资源。
•
组策略的应用。
•
软件发布。
OU 设计如图 10 所示
图 10:组织单元设计
域名服务器
Active Directory 的高效运行取决于计算机能否快速地识别、定位关键服务的能力。例如,当域成员的计算机重新启动后,它必须与域控制器联系以获得它所在域的信息,如果第一个域控制器没有提供全局目录服务,可能还要与另外一个域控制器联系。这些服务的位置包含在 DNS 中,因此,DNS 的设计与实现对于成功部署 Windows Server 2003 是至关重要的。
MSM 实验室设计
要简化 MSM 测试模型,DNS 体系结构会假定企业中还没有设置 DNS 体系结构。DNS 体系结构设计成分离的 DNS 服务。在这种类型的配置中,体系结构由提供名称解析服务的外部 DNS 服务器组成,此服务器为 Internet 客户端以及内部的 DNS 服务器提供内部命名空间解析服务。
MSM 体系结构中的 DNS 服务器是以 Active Directory 集成区域的方式工作的。Active Directory 集成 DNS 区域赋予数据中心标准的基本区域以外,还有额外的空间。通过使用 Active Directory 集成区域,DNS 将其记录存储在 Active Directory 中,执行多主机更新和复制,并使用安全动态更新。
图 11:域名服务器的设计
内部森林根 DNS 服务器(SEA-RDC-01 和 SEA-RDC-02)设计了 2 个 Active Directory 集成区域。corp.contoso.com 命名空间位于 Active Directory 森林 DNS 区域中。此区域包含用于在根域范围内定位服务器和服务的信息。msdcs.corp.contoso.com 命名空间包含用于在整个 Active Directory 森林中定位域控制器的记录。客户端大量地访问_msdcs.corp.contoso.com 区域以便定位森林中的域控制器。通过在森林中的所有 DNS 服务器创建次级文件,森林根的运行负载会降低,客户端对于此区域的问询响应时间也会缩短。所有 Internet 网站和服务的请求都通过 Internet 代理来路由的。
sitesna.corp.contoso.com、europe.corp.contoso.com 和 asia.corp.contoso.com 是由 corp.contoso.com 委派的,并且包含用于在子域中定位服务器和服务的信息。北美域的子域控制器 SEA-CDC-01 除了宿主 na.corp.contoso.com 以外,同时还有 msdcs.corp.contoso.com 次级的和只读的副本。欧洲和亚洲域的配置也类似。
安全动态更新
在安全动态更新中,授权的名称服务器只接受得到授权进行 DNS 区域和 DNS 节点对象安全更新的客户端和服务器的更新,注意只有 Active Directory 集成区域才能配置成为安全动态更新。
区域文件维护
在 MSM 中,实验室清理可以在 Windows Server 2003 维护的区域中进行所有正向和反向区域查询。刷新间隔和不刷新间隔设置成为 14 天,也就是推荐的 DHCP 的租约时间。
动态主机配置协议
动态主机配置协议 (DHCP) 以自动化的方式集中管理客户端 IP 地址分配。
MSM 实验室设计
尽管 MSA 的设计规定 DHCP 配置为群集式,因为可用性并不是关键的测试目标之一,MSM 测试小组决定不把 DHCP 服务设计成群集式。所有的服务器都分配了静态的 IP 地址,而所有站点的客户端计算机都从各自的 DHCP 服务器获取 IP 地址。每个站点都有其自己的 DHCP 服务器。
配置选项
为了方便管理,配置选项可以划分为全局范围和本地范围两个选项。全局范围选项是基于每服务器的设置,并且应该包括在所有的 DHCP 作用域内都可以使用的选项。本地范围选项包括在特定子网内使用的选项。
DHCP 作用域按照如下进行定义:
•
西雅图:10.1.201.x/24
•
塔科马:10.1.211.0/27
•
新德里:10.2.201.x/24
•
伦敦:10.3.201.x/24
表 6 列出了在 MSM 网络中配置的 DHCP 选项。
表 6 DHCP 作用域选项
DHCP 选项
说明
推荐值
租约间隔
在主机系统中 TCP/IP 地址的有效时长。
14 天。
IP 地址
指定将要分配给客户端的 IP 地址租约间隔时长。
作用域属性中的数值。
子网掩码
指定客户端计算机所属网段的子网掩码。
作用域属性中的值。
003 路由器
指定客户端网段中路由器使用的一列 IP 地址。此值就是通常所知的默认网关。
每个网段中的此值将会不同。
006 DNS 服务器
指定可供客户端使用的 DNS 服务器的一列 IP 地址。
根据网络中客户端的位置不同,数值也会不同。
044 WINS 服务器
指定用于 NBT 名称注册和解析的 WINS 服务器的一列 IP 地址。
根据网络中客户端位置的不同,数值也将不同。
046 WINS 节点类型
指定客户端使用的 NBT 名称解析方式。
跨广域网的名称解析位置也是可用的,此值将设置成 0x8 (hybrid)。对于其他站点,此值应该设置成为 0x4 (mixed)。
与 DNS 集成
通过只允许 DHCP 服务器修改区域资料,DNS 服务器可以限制客户端 IP 地址的动态更新。默认情况下,DHCP 服务器负责分配 IP 地址,所以它被看成是拥有 IP 地址的,而且 DHCP 服务器会更新 DNS 中的反向查询记录(PTR)。因为客户端被看作是拥有代表自己身份的名称,所以客户端会正常更新 DNS 中的地址 (A) 记录。 这就是推荐的配置。
安全
在 Windows Server 2003 服务器中部署的 DHCP 服务并不是作为域控制器工作的,因为 DHCP 服务在域控制器上运行时,它能够覆盖任何现存的 DNS 记录。这样会导致 DHCP 将其他计算机拥有的 DNS 记录覆盖掉,包括静态的记录。详细信息请参见知识库文章 255134。
管理
DHCP 服务安装在独立的成员服务器上。DHCP 服务器在为客户端提供服务之前,首先要在 Active Directory 中获得授权。在 Windows Server 2003 域森林中创建新的 DHCP 服务器需要默认的企业管理员权限。
私有地址自动分配 (APIPA)
默认情况下,Windows Server 2003 客户端会自动地分配处于 169.254 范围内的地址。x.y (此处 x.y 是唯一由客户端生成的标识符)即 DHCP 服务器无法使用的情况下,此功能用于小型的局域网环境,但是在此环境中会导致连通性问题。
在网络断开期间,要确保客户端能够继续存取本地资源,则应该通过更改所有 DHCP 客户端的注册表子键来禁用此功能,如以下所示:
HKEY_LOCALMACHINE\System\CurrentControlSet\Services\Tcpip\ Parameters\IPAutoConfigurationEnabled
REG_DWORD 项的数值应该设置为 0,以禁用自动寻址功能。
WINS
尽管 Windows Server 2003 的成功部署不再需要 WINS 名称解析服务,但是还有一些较老的软件产品和网络服务依赖 NetBIOS。在此情况下,所有这些应用程序都更新(或替换)为优先使用 DNS 的应用程序之前,有必要提供 WINS 服务。
MSM 实验室设计
在 MSM 实验室中,使用了轮轴和轮辐的设计,因为它容易管理并减少了聚合所需的时间。因为聚合时间较短,所以对于客户端来说复制伙伴之间出现连接断开的情况也较少。
每个提供 WINS 名称服务的站点中,都有一个站点轮轴的 WINS 服务器,它与其他轮轴 WINS 服务器间进行推/拉复制。企业的轮轴 WINS 服务器位于西雅图站点。轮轴 WINS 服务器负责维护站点内部的复制链接,以及聚合数据库条目。
要管理复制流量,每个 WINS 服务器应该配置成向各自的伙伴 1000 条记录进行拉更改和每 60 分钟进行推更改。注意根据网络带宽和可用性以及数据库连贯性的需要,这些数值可能需要改变。
文件服务
分布式文件系统(DFS)的功能允许开发统一的文件系统命名空间,它掩盖了来自最终用户的潜在共享的物理位置。
MSM 实验室设计
MSM 存储需求的分类在以下章节进行说明。
本地信息存储区
本地信息,就像其名字提示的那样,存在于单一的站点并且由本站点的用户进行更新和维护,而管理员创建的文件除外。尽管在其他位置的用户对于特定的文件和文件夹拥有只读权限,站点之间信息的共享将通过使用中央信息存储区实现。在 MSM 测试环境中每个站点都有其自己本地的存储区。它们是:
•
\\na\Root\Seattle
•
\\na\Root\NewDelhi
•
\\europe\Root\London
中央信息存储区
中央信息存储区用来存放可供用户使用的文件和文件夹,而不用考虑用户的物理位置。此信息由管理员创建和维护。每个域都只有一个中央信息存储区:
•
\\na\Root\Central\Department\Common
在 MSM 实验室环境中,文件服务体系结构采取域 DFS 体系结构。DFS 复制是一项集成式的服务`,它通过文件复制服务(FRS)在 DFS 副本之间自动复制内容。
打印服务
在 MSM 实验室体系结构中的打印设计是用来规划打印服务的部署,并搜索客户和管理员的打印服务需求。网络客户端要求能够快速且无缝地查找和安装打印机。他们要求使用一致的和可用的服务进行打印。
为了准确地进行测试,打印服务器必须连接大量的打印机;然而,在打印测试过程中并不使用真正的打印机。测试打印任务发送到端口后,端口可以仿真物理打印机,但只不过是在打印数据转变为打印任务以后就完全将其废弃了。
内部防火墙
在 MSM 实验室,内部防火墙使用了 CISCO PIX 设备。防火墙被配置成 3 腿的防火墙:一条腿在内部网络,第二条腿在外围网络,第三条腿在 Microsoft 代理服务器网段。防火墙允许西雅图内部站点和塔科马分支办事处站点之间进行完全互访。以下是内部防火墙开启的端口:
表 7 内部防火墙开启的端口
来自网络
至网络
开启端口
说明
外围网络
内部网络
389
LDAP
外围网络
内部网络
Netlogon 固定端口
更新注册表键值使其拥有固定端口(MSA 推荐)
外围网络
内部网络
TCP 135
解析
外围网络
内部网络
UDP 88
Kerberos
外围网络
内部网络
TCP,UDP 53
DNS
外围网络
内部网络
TCP 1270
MOM
外围网络
内部网络
TCP 445`
Microsoft SMB
内部网络
外围网络
UDP 88
Kerberos
内部网络
外围网络
www
SUS Windows 更新
内部网络
外围网络
TCP 139 / 445
MBSA Scan
内部网络
外围网络
UDP 137 138
MBSA Scan
SBO
内部网络
所有端口
MSA 设计
内部网络
代理服务器
TCP 8080
Internet Web 服务请求
代理服务器
所有企业面临的一个典型挑战是如何从 Internet 中获益,同时还要维护内部网络的安全性。MSA 的设计提供了代理服务器服务来满足此需要。MSM 实验室按照 MSA 的指导来获得 Internet 的访问权力。这些代理服务器的服务由 Microsoft Internet Security 和 Acceleration Server 2000 (ISA 服务器)提供。
代理服务器并不是外围网络的一部分(MSA 推荐)。按照 MSA 2.0 的指导来设置端口和过滤规则,以便允许入站和出站的 http 访问。
VPN 服务器
VPN 站点至站点的方案(以 Internet 为主干网)是 MSA 规定的连接机制,目的是为了提供西雅图分支办事处至公司数据中心之间远程的访问。
为了实施站点至站点的连接,使用在 IPSec 中封装的 L2TP 通过 Internet 在 VPN 远程服务器和公司数据中心 VPN 服务器之间创建了一条安全通道。在建立站点至站点的通道并进行两个站点间的访问之前,这两个 VPN 服务器在 IPSec 和 L2TP 的基础上互相验证。此设计使用了 Windows Server 2003、RRAS、L2TP/IPSEC 和计算机证书来构成 VPN 方案。
由于站点至站点 VPN 连接使用 L2TP 进行配置,所计算机证书安装在每台 RRAS 服务器上。为了达到此目的,SEA-RDC-02 计算机配置成为独立的根证书颁发机构。服务器身份验证证书颁发给两台 RRAS 服务器。在生产环境中这样做会带来不利影响,但却有利于测试。
每个站点的 IP 地址方案如图 8(MSM 逻辑体系结构图示例)所示。