проектирование структуры единой службы каталога
advertisement
Real Estate Data Bank Выполнили: Горошков Игорь Мясоедов Алексей Куратор: Digital Design 2010 Гутников Кирилл ВВЕДЕНИЕ В данной пояснительной записке представлен проект создания единой инфраструктуры для компании Real Estate Data Bank – риэлтерской компании. Проект включает в себя создание единой службы каталогов, службы разрешения имен, почтовой системы и системы инвентаризации оборудования. Заказчик имеет два офиса в городах Торонто и Отава. В Торонто работает 150 пользователей, а в Отаве – 120. В офисе в Торонто была внедрена служба каталогов AD, но должностного проектирования службы произведено не было. На данный момент структура Active Directory представляет собой домен realestate.com, работоспособность которого обеспечивают два контроллера под управление Windows 2000 в режиме 2000 native mode. Клиентские ПК работают под управлением операционных систем Windows 2000 Professional и Windows XP Professional. Офис в Оттаве был открыт недавно и вообще не имеет сетевой инфраструктуры. Внедрение службы каталогов позволит улучшить выполнение бизнес-процессов компании, а также создаст единую базу данных о ресурсах компании и позволит безболезненно масштабировать IT-инфраструктуру в случае роста компании. ПРОЕКТИРОВАНИЕ СТРУКТУРЫ ЕДИНОЙ СЛУЖБЫ КАТАЛОГА АНАЛИЗ ВЫБРАННОЙ КОНЦЕПЦИИ ЕДИНОЙ СЛУЖБЫ КАТАЛОГА. В разрабатываемом проекте внедряется служба каталогов фирмы Microsoft – Active Directory. Единая служба каталогов способствует централизованному управлению информационными ресурсами. Также она позволит разграничить полномочия пользователей в зависимости от их должностных обязанностей, что, несомненно, влияет на информационную безопасность компании в целом. ПРОЕКТИРОВАНИЕ ЛОГИЧЕСКОЙ СТРУКТУРЫ ACTIVE DIRECTORY. МОДЕЛЬ ЛЕСА. Логическая структура Active Directory будет состоять из двух независимо администрируемых лесов redatabank.com (для сети периметра) и realestate.com (для корпоративной сети), принимая во внимание тот факт, что в корпоративной сети будут внедрены приложения, такие как Exchange и SCCM, которые вносят изменения в схему 2 Active Directory, Сети периметра данные изменения схемы не требуется из-за соображений безопасности. ДОМЕННАЯ СТРУКТУРА. Леса redatabank.com и realestate.com будут включать по одному домену: redatabank.com и realestate.com соответственно. Между доменами устанавливаются односторонние доверительные отношения, а именно: домен redatabank.com доверяет домену realestate.com. Для обеспечения отказоустойчивости в корпоративной сети создаются два сайта: в Торонто и в Отаве. В сети периметра один сайт по умолчанию– Default Site. Toronto Site Ottawa Site Диапазон IP 192.168.1.1 - 192.168.1.254 192.168.2.1 - 192.168.2.254 Репликация Репликация между сайтами происходит во внерабочее время по расписанию. СТРУКТУРА ОРГАНИЗАЦИОННЫХ ЕДИНИЦ. Структура организационных единиц домена redatabank.com будет состоять из 5 организационных единиц: External Users, которые будут содержать пользователей ресурсов DMZ (вебсайта, БД, VPN) Internal Users. Здесь будут находиться внутренние пользователи сети (администраторы и обычные пользователи домена) Computers Servers Printers Структура организационных единиц домена realestate.com аналогична, но дополнительно разделена по географическому положению: o o o o o Toronto Users Computers Servers Printers Ottawa Users 3 o o o Computers Servers Printers Такая структура организационных единиц удобна для управления, т.к. на каждую организационную единицу можно установить свою групповую политику. Каждую организационную единицу для домена realestate.com можно дополнительно разделить на отделы (маркетинг, отдел кадров, бухгалтерия и т.п.) для более гибкого управления пользователями и ПК. ГРУППЫ БЕЗОПАСНОСТИ Домен redatabank.com помимо встроенных доменных групп будет содержать доменные локальные группы ResourcesUsers и VPNUsers. В домене realestate.com будут группы, связанные с организационной структурой компании: начальники отделов, бухгалтеры, сотрудники отдела кадров, программисты, менеджеры по учёту времени и т.п. Для информационных ресурсов в сети настраивается доступ на основании этих групп, например, доступ к папке, хранящей персональные данные работников имеют только группа «Сотрудники отдела кадров». ПРОЕКТИРОВАНИЕ ФИЗИЧЕСКОЙ СТРУКТУРЫ. Можно выделить две сети – сеть периметра и корпоративную, которые администрируются независимо друг от друга. Корпоративная сеть соединяет через WAN (155Mbps) два офиса. Выход в интернет имеет только сеть периметра. В целях обеспечения отказоустойчивости канала WAN было принято решение купить еще один резервный канал такой же скорости, но у другого провайдера. Сеть периметра (DMZ) защищена от интернета и корпоративной сети двумя сетевыми экранами. Доступ со стороны DMZ в корпоративную сеть разрешён только для контроллеров домена (для авторизации пользователей и разрешения имён DNS). Со стороны корпоративной сети в зону DMZ доступ разрешён для всех компьютеров и пользователей. РАСПОЛОЖЕНИЕ КОНТРОЛЕРОВ ДОМЕНА Контроллеры домена располагаются как в сети периметра (dc1.redatabank.com и dc2.redatabank.com), так и в корпоративной сети (toronto-dc1.realestate.com, torontodc2.realestate.com, ottawa-dc1.realestate.com и ottawa-dc2.realestate.com). В каждом 4 сайте установлено по 2 контроллера домена с целью обеспечения отказоустойчивости. Связь между офисами (WAN) достаточно быстрая, и если вдруг один контроллер выйдет из строя, то скорости WAN будет достаточно для обеспечения функционирования компании, и офис будет работать с другим контроллером домена через WAN. (по умолчанию, каждый офис работает со своим контроллером домена). РАСПРЕДЕЛЕНИЕ РОЛЕЙ КОНТРОЛЛЕРОВ ДОМЕНОВ Контроллеры dc1.redatabank.com и dc1.realestate.com выполняют все 5 ролей. В случае отказа контроллера администратор вручную может переназначить роли на резервный контроллер. Лес Домен Контроллер Роли redatabank.com redatabank.com dc1.redatabank.com Schema Master Domain Naming Master Relative ID Master PDC Emulator Infrastructure Master - redatabank.com redatabank.com dc2.redatabank.com realestate.com realestate.com toronto-dc1.realestate.com realestate.com realestate.com toronto-dc2.realestate.com Schema Master Domain Naming Master Relative ID Master PDC Emulator Infrastructure Master - realestate.com realestate.com ottawa-dc1.realestate.com - realestate.com realestate.com ottawa-dc2.realestate.com - Глобальный каталог нет да нет да да да В домене redatabank.com контроллер dc1 является держателем всех ролей. Контроллер dc2 является серверов глобального каталога. В домене realestate.com все роли расположены на контроллере toronto-dc1, а остальные контроллеры являются серверами глобального каталога. РЕЖИМЫ РАБОТЫ ЛЕСА И ДОМЕНА Режимы работы лесов и доменов – Windows 2008. Необходимо предусмотреть возможность поднятия режима работы домена. Подробнее об этом будет написано в разделе 5 «Миграция». 5 ПРОЕКТИРОВАНИЕ ДОПОЛНИТЕЛЬНЫХ СЕТЕВЫХ СЛУЖБ. ИНФРАСТРУКТУРА DNS На каждом контроллере домена совместно установлен DNS-сервер (причём каждый AD-контроллер в настройках сети ссылается не на свой DNS-сервер, а на DNS-сервер сопряженного контроллера). DNS-сервер корпоративной сети будет содержать зону realestate.com и перенаправлять запросы вида *.redatabank.com на DNS-сервер сети периметра. DNS-сервер сети периметра будет содержать зону redatabank.com. Для увеличения безопасности доступ из интернета к DNS-серверу сети периметра будет запрещён. Функция разрешения имён для интернет-пользователей будет возложена на ISP (записи A: www.redatabank.com, vpn.redatabank.com; запись MX – redatabank.com). Для обеспечения функционирования доверительных отношений и разрешения имен серверов в сети периметра настроены условные серверы пересылки. Через групповые политики настроить "DNS suffix search list" в нужном порядке: redatabank.com realestate.com Требование Отказоустойчивость. Решение При выходе из строя одного из DNS серверов запросы разрешаются другим DNS сервером, адрес которого получен по DHCP. Требование Безопасность. Решение В свойствах зоны разрешить регистрироваться в DNS только авторизованным компьютерам. DNS сервера провайдера Записи в зоне redatabank.com на DNS сервере провайдера Тип Имя A www IP адрес Приоритет 200.100.50.1 6 MX @redatabank.com 200.100.50.2 10 MX @redatabank.com 200.100.50.3 10 A mail1 200.100.50.2 A mail2 200.100.50.3 A vpn 200.100.50.4 A vpn 200.100.50.5 ИНФРАСТРУКТУРА DHCP В каждом сайте установлен DCHP-сервер, возвращающий помимо IP, адреса шлюзов, DNS и WINS. DCHP-сервер в каждом сайте хранит резервный пул адресов для подсети другого сайта на случай отказа DCHP сервер в этом сайте. Для перенаправления широковещательных запросов на маршрутизаторах настроены DHCP Relay агенты с таймаутом. Торонто (150 пользователей) Адрес DCHP сервера Отава (120 пользователей) 192.168.1.1 192.168.2.1 (контроллер домена) Главный пул адресов Резервный пул адресов 192.168.1.2-170 192.168.2.141 – 240 /24 192.168.2.2 – 140 /24 /24 192.168.1.171 – 240 /24 Адрес маршрутизатора в Торонто Адрес маршрутизатора в Отаве 192.168.1.241 192.168.2.241 192.168.1.1 192.168.2.1 192.168.2.1 192.168.1.1 realestate.com realestate.com Опции (уровень сервера) Шлюз по умолчанию DNS серверы DNS суффикс ИНФРАСТРУКТУРА IIS Требование 7 Сотрудники агентств должны получать доступ к данным через безопасный веб-сайт, используя свои учетные записи. Сторонние пользователи должны иметь доступ к публичному сайту. Решение Создать два различных сайта. Публичный - на 80 порту с разрешенным анонимным доступом. Корпоративный - привязка к 443 порту (по протоколу https, чтобы учетные данные не передавались в открытом виде). Для сотрудников агентств разрешить как сквозную аутентификацию Single Sign On (Windows authentication), так и Basic Autentication на основании их доменных учетных записей. ИНФРАСТРУКТУРА WINS Сервера WINS устанавливаются совместно с DHCP-серверами. Между серверами WINS в корпоративной сети установлена связь и репликация записей БД. ИНФРАСТРУКТУРА VPN Было принято решение использовать OpenVPN Access Server, т.к. он поддерживает подключения от гетерогенных клиентов по TCP порту 443 (HTTPS), который чаще всего открыт в публичных местах – интернет-кафе и т.п. К тому же данный у данного сервера есть реализация в виде VMware virtual appliance, что позволяет запускать его непосредственно на гипервизоре. Для обеспечения отказоустойчивости было принято решение создать два виртуальных сервера с OpenVPN (т.е. два VMware virtual appliance) и разместить их на двух физических серверах в сети периметра. В зоне redatabank.com у провайдера необходимо создать две A-записи vpn.redatabank.com с IP адресами VPN серверов. Балансировать нагрузку между ними механизмом round robin. Подключившиеся клиенты получают адреса от существующего DHCP сервера в Торонто. ИНФРАСТРУКТУРА EXCHANGE В компании будет установлена почтовая система MS Exchange 2010, настроенная на приём почты @redatabank.com. Система будет состоять из 6 физических серверов и 10 виртуальных. Такое количество серверов связано с выполнением требования отказоустойчивости основных бизнес-служб компании. В каждом из трёх сайтов (Default Site сети периметра, Toronto Site и Ottawa Site) каждая роль MS Exchange будет 8 дублироваться и объединяться в кластер (см. табл. и рис.). Для того, чтобы не покупать много физических серверов, было решено использовать технологию виртуализации серверов (а именно Vmware ESX): На серверах установлены следующие роли MS Exchange (одинаковым цветом выделены виртуальные сервера, которые работают на одном физическом сервере): Имя сервера Месторасположен ие Роли mx1.redatabank.com Сеть периметра Edge Server Кластер Default Site NLB mx2.redatabank.com Сеть периметра Edge Server Default Site torontocas1.realestate.com Toronto Site Client Access Server torontocas2.realestate.com Toronto Site Client Access Server ottawacas1.realestate.com Ottawa Site Client Access Server ottawacas2.realestate.com Ottawa Site Client Access Server torontohts1.realestate.com Toronto Site Hub Transport torontohts2.realestate.com Toronto Site ottawahts1.realestate.com Ottawa Site ottawahts2.realestate.com Ottawa Site NLB NLB Mailbox Hub Transport Data Availability Group Mailbox Hub Transport Mailbox Hub Transport Mailbox 9 Data Availability Group Вся почта приходит на Edge сервер, где она фильтруется от спама и перенаправляется в нужный почтовый ящик. IP-адрес NLB кластера регистрируется провайдером в DNS, а именно создаётся MX запись redatabank.com – 200.100.50.5. Исходящая почта также уходит только через Edge сервер. Это позволит контролировать проходящую в обоих направлениях корреспонденцию в единой точке, защититься от спама, а главное, увеличит уровень безопасности, так как сервер пограничного транспорта не является членом Active Directory. На каждом Edge сервере необходимо создать подписку, импортировать ее на любой из Hub Transport серверов в сайте Toronto и убедиться, что коннекторы создались корректно. Для приема почты следует добавить в список обслуживаемых доменов домен redatabank.com, и с помощью политик адресов электронной почты создать каждому пользователю дополнительный адрес электронной почты. Так же следует задействовать функцию переопределения адресов. Для доступа к почте через Интернет на межсетевом экране должны быть открыты необходимые порты. 10 Отказоустойчивость ролей Транспортный сервер (Hub Transport Server) Для обеспечения отказоустойчивости транспортного сервера эта роль продублирована в каждом сайте. Распределение нагрузки осуществляется средствами Exchange. Роли Hub Transport и MailBox совмещены на одном сервере. Сервер почтовых ящиков (MailBox) Отказоустойчивость MailBox сервера обеспечивается с помощью технологии групп доступности баз данных (Data Availability Group). На каждом из серверов располагается одна активная база данных пользователей и одна резервная, которая в режиме реального времени реплицируется с другого сервера через heartbeat интерфейс. Для функционирования требуется третий сервер-свидетель (witness), не входящий в группу DAG. Его роль будет выполнять запасной контроллер домена в сайте. Следует создать как минимум две базы – например, для VIP пользователей и для рядовых сотрудников, так как почтовые ящики в одной базе должны иметь одинаковые параметры. Сервер клиентского доступа (Client Access Server) Отказоустойчивость роли сервера клиентского доступа реализуется следующим образом: в каждом сайте развертывается по два CAS сервера. На соответствующей паре серверов сначала настраивается служба Windows Network Load Balancing. Для этого следует убедиться, что локальный сетевой интерфейс первый в списке порядка привязки, выбрать одноадресный режим, определить нужный диапазон портов. Только затем приступать к созданию CAS массива. После этого оба сервера будут доступны по одному FQDN имени. В нормальном состоянии сетевая нагрузка распределяется между ними, а при выходе из строя одного из серверов непрерывность работы обеспечивает второй функционирующий сервер. Пограничный транспортный сервер (Edge Transport Server) В сети периметра расположено два сервера пограничной обработки. Каждый сервер имеет свой публичный IP адрес. На DNS сервере провайдера в зоне redatabank.com создано две MX записи, указывающие на данные сервера. Приоритет записей одинаков, балансировка нагрузки осуществляется при помощи механизма round robin. Определение сервера для отправки корреспонденции в интернет выполняется средствами Exchange. 11 При выходе из строя какого-либо сервера почтовая система будет продолжать работать, т.к. все серверы, используемые почтовой службой, продублированы. При выходе из строя канала связи между офисами работа почтовой система будет прекращена на время восстановления связи при помощи резервного канала (~15 мин). ИНФРАСТРУКТУРА CONFIGURATION MANAGER В компании будет развёрнут System Center Configuration Manager (SCCM) 2007. Он будет установлен в корпоративной сети на двух серверах, находящихся в разных сайтах. В сайте Toronto будет создан Primary Site, в сайте Ottawa – Secondary (см. таблицу). Создание двух сайтов обосновано тем, чтобы не загружать канал между офисами, т.к. Secondary сервер сам управляет сбором информации (тем самым уменьшается количество запросов к Primary серверу SCCM) и при отправке также сжимает информацию. SCCM будет использоваться компанией в целях инвентаризации оборудования и ПО, централизованной установки ПО и ОС, а также обновлений ПО и сбора сведений о частоте запуска определённых приложений. МестоИмя расположение Toronto Site toronto-sccm.realestate.com Primary Site Secondary Ottawa Site Site ottawa-sccm.realestate.com Настройка адресов клиентов по Active-Directory сайту Toronto Site по Active-Directory сайту Ottawa Site На Primary сервер будут установлены следующие роли: Site Server. Говорит, что этот сервер является владельцем сайта Site Database Server. Необходима для связи с MSSQL сервером, ставится только на primary сайты. Configuration Manager Console. Устанавливает консоль управления SCCM. SMS Provider. Обеспечивает взаимодействие с WMI. Ставится только на primary сайты Distribution Point. Необходима для задачи централизованной установки ПО. Management Point. Данная роль обязательна – она является посредником между клиентами и SCCM. Fallback Status Point. Отвечает за протоколирование ошибок при установке клиентов SCCM PXE Service Point. Отвечает за задачу централизованной установки ОС Reporting Point. Роль необходима для построения отчётов 12 Software Update Point. Отвечает за задачу обновления ПО. State Migration Point. Отвечает за сохранение профилей пользователей при миграции ОС На Secondary-сервер будут установлены следующие роли: Site Server Distribution Point Fallback Status Point Management Point PXE Service Point Software Update Point State Migration Point Все роли устанавливаются на этот же сервер, на котором запущен SCCM. Установка клиентов будет происходить Push-методом, а поиск компьютеров – по Active Directory каталогу. На клиентов будут установлены следующие агенты: Hardware Inventory Client Agent. Отвечает за инвентаризацию оборудования, т.е. предоставляет список оборудования, установленного на компьютере. Использует базу данных WMI Software Inventory Client Agent. Отвечает за инвентаризацию ПО. По умолчанию отслеживает размещение *.exe файлов на жестком диске. Remote Tools Client Agent. Необходим для возможности удалённого подключения к компьютеру (например, для помощи сотруднику) Software Updates Client Agent. Устанавливает обновления к программам. Advertised Programs Client Agent. Устанавливает программное обеспечение Software Metering Client Agent. Отвечает за сбор статистики о количестве запусков определённых программ. Предлагается перед процессом миграции клиентских ОС, провести инвентаризацию оборудования пользователей, проанализировать её и прийти к какому-либо единому стандарту для оборудования. Это необходимо сделать для того, чтобы легче создавать образы Windows 7 с предустановленным набором ПО и драйверов, которые в дальнейшем будут устанавливаться с помощью SCCM для клиентские рабочие станции. Т.к. это не критичная служба, то было принято решение не резервировать SCCM установкой дублирующих серверов. 13 МИГРАЦИЯ Миграция клиентских рабочих станций (на Windows 7) На всех клиентских компьютерах будет установлена ОС Windows 7, причём процесс миграции должен быть максимально прозрачным для пользователя, т.е.: 1) Процесс миграции не должен отнимать много времени 2) Должны быть сохранены все документы пользователя (т.е. профиль) SCCM 2007 поддерживает централизованную установку операционных систем с сохранением профилей пользователей. Для этого: 1) Создаются образы Windows 7 с предустановленным набором ПО и драйверов 2) На SCCM разворачиваются роли Distribution Point, PXE Service Point и State Migration Point 3) Создаётся необходимая коллекция из компьютеров, на которые будет устанавливаться ОС. Для разных коллекций возможны разные варианты предустановленного ПО и драйверов 4) На сервере SCCM запускается процесс установки. Миграция контроллеров домена (на Windows 2008 R2) 1) 2) 3) 4) 5) 6) 7) Добавление контроллера домена под управлением Windows 2008 R2. Проверка работоспособности нового контроллера. Перемещение всех ролей. Вывод старых контроллеров из домена. Смена IP адреса нового контроллера. Повышение режима работы домена и леса до уровня Windows 2008 R2. Создание сайтов, подсетей, настройка правил репликации. 14 ПРИЛОЖЕНИЕ 15