1. Розгортання active directory в компанії «antlers&hoofs»

1. Вибір концепції лісу для компанії «ANTLERS&HOOFS»

Ліс – це група з одного або декількох дерев доменів, які не утворюють єдиний простір імен, але використовують загальні схему, конфігурацію каталогів, глобальний каталог і автоматично встановлюють двосторонні транзитивні довірчі відносини між доменами [2].

Модель єдиного лісу є найпростішою моделлю лісу і вважається низькорівневою, оскільки всі об'єкти каталогу належать одному лісу і всі мережеві ресурси контролює одна централізована ІТ-група. Такий проект вимагає мінімальних адміністративних витрат і вважається найбільш рентабельним серед усіх моделей. Модель єдиного лісу є вдалим вибором для малих і середніх організацій, де діє лише одна ІТ-група і всі її філії управляються цією групою з центрального офісу. Відрізняються три схеми побудови лісу [2]:

– єдиний ліс, кожен регіон – окреме дерево;

– єдиний ліс, кожен регіон – домен;

– єдиний ліс, кожен регіон є дочірнім доменом центрального домену.

У деяких випадках, модель побудови єдиного лісу не здатна задовольнити всіх запропонованих в організації вимог і необхідно використовувати схему побудови декількох лісів.

Однак, перш ніж приступити до планування структури декількох лісів, необхідно взяти до відома, що більша частина функціональності, доступної в межах одного лісу, недоступна між лісами. Крім того, підтримка декількох лісів вимагає значно більше зусиль в адмініструванні, ніж підтримка одного лісу.

Для кожного лісу використовуються окремі контейнери конфігурації. Зміни в топології необхідно реплікувати в інші ліси. Будь-яку реплікацію інформації між лісами доводиться налаштовувати вручну.

У відповідність з даними завдання компанія «ANTLERS&HOOFS» здійснює свою діяльність на території України і має деревоподібну топологію об'єднуюча центральний офіс, що знаходиться у м Києві, з регіональними центрами: західний (Львів), східний (Харків), центральний (Чернігів), південний (Одеса), а регіональні центри – з обласними підрозділами. При цьому у відповідність з основними завданнями центрального підрозділу компанії головний офіс повинен забезпечувати і організовувати виробничу діяльність компанії, вести фінансово-комерційну діяльність і координувати та організовувати роботи регіональних центрів. Очевидно, що для виконання даних цільових завдань, структурна схема каталогу «Active Directory» повинна надавати можливості централізованого управління всією діяльністю компанії, включаючи віддалені філії. Крім того, комерційна компанія «ANTLERS&HOOFS» має єдиний центр управління, а регіональні центри є підзвітними центральному офісу організації і не потребують адміністративної автономії або ізоляції. На основі аналізу наведених моделей побудови лісу для розглянутої компанії «ANTLERS&HOOFS» найбільш доцільною представляється модель єдиного лісу, в якому кожен регіон є дочірнім доменом центрального домену.

2. Порядок поділу лісів на домени та планування доменів

Процес планування доменів [4], як і при плануванні лісу, починається так само з аналізу компанії і формулювання вимог доцільності побудови плану доменів.

Домен – єдина область, в межах якої забезпечується безпека даних в комп'ютерній мережі [2]. Це найважливіша частина в ієрархічній структурі корпоративної мережі. Їй підпорядковані абсолютно всі інші структурні одиниці, такі як сервери, додатки, призначені для користувача пристрої і навіть мережні принтери.

Найпростіша модель «Active Directory» – єдиний домен [2]. У моделі з єдиним доменом всі об'єкти знаходяться в одній зоні безпеки, тому не доводиться займатися плануванням довірчих відносин з іншими доменами. Крім того, при використанні єдиного домену простіше забезпечити централізоване управління мережею. Модель з єдиним доменом спрощує управління користувачами і групами, а також реалізацію групових політик. Стає легше виконувати операції з управління мережею.

Хоча модель єдиного домену дає суттєву перевагу – простоту, іноді доводиться використовувати декілька доменів. Використання кількох доменів[3] є кращим у тих випадках, якщо:

1) Трафік реплікації повинен бути обмеженим.

2) Між офісами компанії існують повільні мережеві підключення або в офісах є багато користувачів.

3) Необхідність мати різну політику паролів, політику блокування облікових записів і політику квитків «Kerberos».

4) Необхідно обмежувати доступ до ресурсів і мати адміністративні дозволу.

Важливі характеристики домену яких слід враховувати при проектуванні і розгортанню «Active Directory» [4]:

1. Кордон реплікації. У межах домену реплікується каталог домену, який знаходиться в папці «SYSVOL». Дані зберігаються в «SYSVOL» – це загальнодоступні файли, реплікуємі між усіма контролерами даного домену. Зокрема в ньому зберігаються сценарії реєстрації та деякі об'єкти групової політики.

2. Кордон доступу до ресурсів. Саме кордону домену визначають межі доступу до ресурсів мережі. Межі домену є навіть межами для доступу до ресурсів. За замовчуванням користувачі одного домену не можуть звертатися до ресурсів, розташованим в іншому домені, якщо тільки їм не будуть явно дано відповідні дозволи.

3. Кордон політики безпеки. Ці політики, такі як політика паролів, політика блокування облікових записів і політика квитків Kerberos, застосовуються до всіх облікових записів домену. Ці політики можуть бути змінні на трьох рівнях, а саме:

• на рівні домену;

• на рівні сайту;

• на рівні підрозділів.

При цьому варто відзначити, що краще планувати домени так, щоб всі вони входили в одне дерево доменів. Під доменним деревом розуміється набір доменів, що мають загальну логічну структуру і конфігурацію, і утворюють безперервний простір імен. Так як всі домени в одному дереві ділять один простір імен, адміністративні витрати будуть значно нижчими, ніж при використанні декількох дерев .

Оскільки виробничо-комерційна компанія «ANTLERS&HOOFS» має територіально-розподілену організаційну структуру кращою моделлю розбиття лісу представляється проектування декількох доменів у відповідність з територіальним ознакою.

Також, регіональні домени є дочірніми, між ними і центральним офісом автоматично створюються транзитивні довірчі відносини, що позбавляє адміністратора від ручного конфігурування довіри між доменами.

3. Порядок призначення доменних імен

Наступним етапом планування розгортання служби каталогів є проектування інфраструктури «DNS» [4].

Доменне ім'я – символьне ім'я [4], що служить для ідентифікації областей – одиниць адміністративної автономії в мережі Інтернет – у складі вищестоящої по ієрархії такої області.

«Active Directory» підтримує кілька типів імен:

• складені імена;

• відносні складові імена;

• основні імена користувачів;

• канонічні імена.

Доменне ім'я складається з символьних полів, розділених крапками. Крайнє праве поле позначає домен верхнього рівня, далі, справа наліво, слідують піддомени в порядку ієрархічної вкладеності, крайнє ліве поле позначає ім'я хосту.

Однак, оскільки в службі «Active Directory» всі домени мають DNS-імена, перш ніж використовувати дану службу в мережі, необхідно спланувати простір імен «DNS». Ключове рішення проекту полягає в тому, щоб визначити, де розташувати домени «Active Directory» в межах цього простору імен. Проектування інфраструктури «DNS» складається з декількох етапів.

При налаштуванні DNS-серверів спочатку обирається і реєструється унікальне батьківське ім'я «DNS», яке буде представляти організацію в Інтернеті. Це ім'я є доменом другого рівня всередині одного з доменів верхнього рівня, використовуваних в Інтернеті. Батьківське ім'я «DNS» можна з'єднати з ім'ям розташування або підрозділи всередині організації для формування інших імен доменів наступних рівнів.

Для впровадження «Active Directory» існують два види просторів імен (внутрішній та зовнішній), при цьому простір імен Active Directory збігається із заданим зареєстрованим простором імен DNS або відрізняється від нього.

Внутрішній і зовнішній простори імен бувають наступних типів:

1. Співпадаючі внутрішній і зовнішній простори імен. Згідно з цим сценарієм, організація використовує одне і те ж ім'я для внутрішнього і зовнішнього просторів імен – ім'я компанії застосовується як всередині, так і поза організацією. При реалізації цього сценарію користувачі внутрішньої приватної мережі компанії повинні мати доступ як до внутрішніх, так і до зовнішніх серверів. Для захисту конфіденційної інформації клієнти, що здійснюють доступ зовні, не повинні мати доступ до внутрішніх ресурсів компанії або мати можливість вирішувати свої імена. Крім того, необхідні дві роздільні зони DNS, одна з яких, за межами брандмауера, забезпечує дозвіл імен для загальнодоступних ресурсів. Вона не налаштована для дозволу імен внутрішніх ресурсів, тому доступ до них ззовні отримати не можна.

2. Відмінні внутрішній і зовнішній простори імен. У цьому випадку компанія використовує різні внутрішнє і зовнішнє простору імен – спочатку в зонах по різні сторони брандмауера імена різняться. Для цього необхідно зареєструвати два простори імен в DNS Інтернету. Якщо ім'я не зарезервовано, внутрішні клієнти не зможуть відрізнити внутрішнє ім'я від імені, зареєстрованого в загальнодоступній мережі простору імен DNS. Таким чином, встановлюються дві зони: один відповідає за дозвіл імен у зовнішньому просторі, інша – у внутрішньому. Користувачам не складе труднощів розрізняти внутрішні і зовнішні ресурси.

Для розглянутої в даній роботі виробничої компанії «ANTLERS&HOOFS», основним завданням якої є здійснення виробничо-комерційної діяльності на території України, що автоматично передбачає надання авторизованим клієнтам доступу до певних виділеним ресурсів компанії було вирішено обрати модель співпадаючих внутрішнього і зовнішнього простору імен. Вибір даної моделі передбачається економічно більш доцільним, оскільки не вимагає додаткових витрат на реєстрацію іншого простору імен.

4. Стратегія для управління обліковими записами користувачів

Облікові записи користувачів являють собою фізичні об'єкти, в основному людей, які є співробітниками організації, але бувають винятки, коли облікові записи користувачів створюються для деяких додатків в якості служб. Облікові записи користувачів відіграють найважливішу роль в адмініструванні підприємстві.

Облікові записи користувачів дозволяють ідентифікувати користувачів, що входять в мережу, задавати, до яких ресурсів вони вправі звертатися, і вказувати про них всіляку інформацію. Адміністратори також є користувачами, але з більш широкими правами доступу до ресурсів, пов'язаних з управлінням мережею. Облікові записи користувачів надають користувачам можливість входити в домен або на локальний комп'ютер і звертатися до ресурсів. Об'єкти облікових записів користувачів містять інформацію про користувачів і пов'язують з ними певні привілеї чи обмеження. Кожен об'єкт «Active Directory» пов'язаний зі списком управління доступом, який являє собою список дозволів на доступ до об'єкта, заданих для користувачів і груп.

Ретельне планування схеми іменування облікових записів користувачів дозволяє стандартизувати ідентифікацію користувачів домену. Єдина угода також полегшує розпізнавання і запам'ятовування імен користувачів.

Контролери домену повинні перевіряти ідентифікацію користувача або комп'ютера, перш ніж надати доступ до системних і мережевих ресурсів. Така перевірка називається аутентифікацією і виконується щоразу при вході в мережу.

При плануванні стратегії аутентифікації з метою виключення вразливостей мережі, пов'язаних з політикою управління обліковими записами користувачів, необхідно дотримуватися ряд нижчевикладених правил:

• політика блокування облікових записів;

• обмеження часу, в який дозволено вхід;

• політика закінчення термінів квитків;

• не використовувати адміністративні облікові записи для звичайної роботи.

• перейменувати або відключити вбудовані облікові записи.

Ще одним найважливішим аспектом, на якому будується мережева безпека є паролі, оскільки при аутентифікації користувач засвідчує свою особистість введенням свого логіна і пароля. У зв'язку з цим політику визначення паролів користувачів необхідно ретельно продумати і жорстко регламентувати, програмно обмеживши пересічному користувачеві будь-які можливості невідповідності пропонованим політикою паролів вимогам.

Таким чином, ґрунтується на аналізі існуючої організаційний структури розглянутого в роботі підприємства, а також на базі вищезазначених правил і рекомендацій з розробки стратегії управління обліковими записами користувачами, були розроблені та впровадженні основні елементи механізму управління обліковими записами для підприємства.

5. Конфігурація сайтів

Сайт – це група контролерів домену, які розташовані в одній або декількох IP-підмереж, пов'язаних швидким і надійним мережевим з'єднанням [6]. Оскільки сайти засновані на IP-підмережах, вони зазвичай відповідають топології мережі, а значить відповідають і географічній структурі компанії. Сайти з'єднуються з іншими сайтами WAN-каналами. Якщо домени «Active Directory» – основні елементи логічної структури Служби каталогів, то сайти є елементами фізичної структури.

Таким чином, структура сайту пов'язана з фізичним середовищем і підтримується окремо від логічної середовища і структури домену, дозволяючи відокремити логічну організацію структури каталогів від фізичної структури мережі. Варто відзначити, що оскільки сайти не залежать від структури доменів, в один домен може входити кілька сайтів, або, навпаки, один сайт може містити декілька доменів або частин кількох доменів. Сайти містять об'єкти тільки двох типів: контролери доменів, що входять в сайт, і зв'язку сайтів, настроюються для з'єднання з іншими сайтами. В цілому сайти служать для управління трафіком по WAN-каналах. Основне завдання сайту – забезпечувати гарне мережеве з'єднання.

З вищезазначених даних очевидно, що завдання планування структури сайтів підприємства зводитися головним чином до оптимізації трафіку, що породжується роботою розгортання Служби каталогів, а саме: реєстрації робочої станцій і реплікації каталогів. При цьому слід враховувати, що щоб задати реєстрацію робочої станції тільки на певних контролерах доменів, необхідно спланувати сайти так, щоб тільки ці контролери доменів розташовувалися в тій же підмережі, що і робоча станція.

Як тільки інформація про мережу компанії зібрана, можна приступати до проектування сайту. Після визначення кількості сайтів для «Active Directory» здійснюється проектування кожного сайту. Кожен сайт в «ActiveDirectory» пов'язаний з однією або більше підмережами IP, тому потрібно визначити, які підмережі будуть включені в кожен сайт.

Ґрунтуючись на аналізі існуючої географічної топології підприємства, а також на базі вищенаведених теоретичних відомостей і рекомендацій були запропоновані нижченаведені аспекти планування сайтів:

1) З метою оптимізації трафіку реєстрації робочих станцій в кожному філіалі передбачається розмістити власний контролер домену і виділити його в окремий сайт.

2) DNS-сервер також буде розташовуватися в кожному філіалі.

3) Оскільки всі домени планованого лісу працюватимуть на функціональному рівні «Windows 2008» від розміщення сервера глобального каталогу в кожному філіалі прийнято рішення відмовитися.

4) Сервери господарів операцій, що діють в межах лісу, пропонується встановити в центральному офісі компанії, відповідному центральному домену.

Далі буде здійснена настройка атрибутів зв'язків сайтів для даного підприємства на основі схеми зв’язків сайтів, що зображено на рис.1.1.

Рисунок 1.1 – Схема зв’язків сайтів

Вартість зв’язків, графік реплікації та інтервал реплікації для зв’язків сайтів зазначені в таблиці 1.1.

Таблиця 1.1 – Переваги використання одного і кількох доменів

Зв’язок сайту	1	2	3	4	5	6	7	8
Вартість	300	200	400	400	450	500	500	450
Графік	01:00-05:00	01:00-05:00	01:00-05:00	01:00-05:00	01:00-05:00	01:00-05:00	01:00-05:00	01:00-05:00
Інтервал	45 хвилин	30 хвилин	30 хвилин	45 хвилин	60 хвилин	60 хвилин	45 хвилин	45 хвилин

Вартість зв'язків сайту визначає шлях, по якому буде відбуватися трафік реплікації по мережі. Коли трафік реплікації проходить по декількох зв'язках сайту, графіки зв'язків сайту і інтервали реплікації об'єднуються для визначення ефективного вікна реплікації й інтервалу.

6. Розробка системи зберігання даних на підприємстві

Невід'ємною частиною централізованої системи зберігання даних є технологія «RAID» [8] – це використання наборів (два і більше) жорстких дисків, доступних операційній системі як один том. На «RAID» покладається завдання забезпечення відмовостійкості і підвищення продуктивності. Відмовостійкість досягається за рахунок надмірності. Тобто частину ємності дискового простору відводиться для службових цілей, стаючи недоступною для користувача. Різні типи RAID-масивів мають різні типи доступу, які прийнято характеризувати рівнями «RAID».

Існує кілька рівнів «RAID», одні з них відмовостійкі тобто, якщо ламається деяка кількість жорстких дисків в масиві, то дані не втрачаються, і не відмовостійкі – якщо помирає жорсткий диск разом з ним помирає і інформація яка на ньому зберігалася. Далі будуть розглянуті тільки найбільш популярні рівні масивів [9]:

1) «RAID-0». Цей рівень не надає захисту даних, тобто не є відмовостійким, якщо помирає який-небудь диск в цьому рейді вмирає і вся інформація яка на ньому зберігалася, а так само, можливо, і частина інформації на здоровому диску. Основне призначення цього рівня – підвищення швидкості, для організації такого рейду потрібно мінімум 2 диска. Система бачить ці два диски як один, за рахунок цього відбувається і приріст продуктивності, контролер може записувати наприклад великий файл відразу на два диска, в результаті чисто теоретично швидкість читання і запису може збільшуватися вдвічі, але і надійність також нижче ніж у звичайного диска. Обсяг жорстких дисків складається тобто якщо у вас є чотири диски по 1Tb то об'єднавши їх в масив буде отримано 4Tb

2) «RAID-1» («MIRROR»). Цей рівень також називають «Дзеркало», мінімальна кількість дисків знову два. Вся інформація з одного жорсткого повністю дублюється на другий диск, за рахунок цього досягається відмовостійкість тобто, якщо виходить з ладу один жорсткий диск, інформація не буде втрачена. Швидкість запису зазвичай нижче ніж у одного жорсткого диска, але швидкість читання вище. Обсяг жорстких дисків ділиться навпіл тобто якщо у користувача є чотири диски по 1Tb після об'єднання в масив буде 2Tb.

3) «RAID-10» (1 + 0). Цей тип масиву поєднує в собі переваги 1 і 0 рейдів, тобто забезпечується і відмовостійкість і підвищену швидкодію. Мінімальна кількість дисків – 4. Швидкість вище ніж у «RAID-1» і десь на рівні «RAID-0», але обсяг так само ділиться на два тобто після об'єднання 4х дисків по 1Tb буде доступний обсяг у 4Tb.

4) «RAID-5». Цей тип масиву влаштований не так як перші три, при операції запису і читання контролер виробляє операцію «xor» яка деяким чином напружує контролер. Масив відмовостійкий тобто допускає вихід з ладу деяку кількість дисків, по надійності цей масив менш надійний ніж 10. Мінімальна кількість дисків – 3. Швидкість в середньому вище ніж у одиночного диска, але нижче ніж у 0 і 10 рейдів. Обсяг – 3Tb.

5) «RAID-6». Це найнадійніший масив, але і самий повільний (виключаючи хіба що «Дзеркало»). Тут так само як і в «RAID-5» контролер повинен виробляти деякі розрахунки, але якщо у випадку з 5-м рейдом контролер виробляє тільки одну операцію «xor», то другий рейд виробляє два різних розрахунки. Мінімальна кількість дисків – 4. Що стосується обсягу то тут від доступних дисків треба відняти два, у даному прикладі з 4х дисків по 1Tb, отримано 2Tb доступного обсягу.

Незалежно від рівня «RAID», чим більше задіяно дисків в масиві тим вище його швидкість.

Для центрального офісу, регіональних центрів та обласних підрозділів компанії «ANTLERS & HOOFS» було вирішено використовувати «RAID-5» [8]. Масиви «RAID-5» орієнтовані на напружену роботу з дисками і добре підходять для багатокористувацьких систем. Модель збереження даних з використанням «RAID-5» зазначено на рис.1.1.

Рисунок 1.1 – Модель збереження даних з використанням «RAID-5»

Основною перевагою даної технології є висока швидкість читання і запису даних, високий коефіцієнт використання дискового простору. До недоліків можна віднести високий вплив, який чиниться на продуктивність, виходу з ладу одного з дисків.