Горошков И. А. 1 ПРОЕКТИРОВАНИЕ СТРУКТУРЫ ЕДИНОЙ СЛУЖБЫ КАТАЛОГА 1.1 Анализ выбранной концепции единой службы каталога. В разрабатываемом проекте внедряется служба каталогов фирмы Microsoft – Active Directory Заказчиком выступает Real Estate Data Bank. Заказчик имеет два офиса в городах Торонто и Оттава. В офисе в Торонто была внедрена служба каталогов AD, но должностного проектирования службы произведено не было. Офис в Оттаве был открыт недавно и вообще не имеет сетевой инфраструктуры. Внедрение службы каталогов позволит улучшить выполнение бизнес-процессов компании, а также создаст единую базу данных о пользователях и ресурсах компании. Всё это способствует увеличению прибыли компании. Единая служба каталогов позволит разграничить полномочия пользователей в зависимости от их должностных обязанностей, что, несомненно, влияет на информационную безопасность компании в целом. 1.2 Проектирование логической структуры Active Directory. 1.2.1 Модель леса. Разрабатываемая структура Active Directory будет состоять из двух независимо администрируемых лесов redatabank.com и redatabank.local, т.к. в компании предусматривается использование двух сетей: внешней (для предоставления доступа к ресурсам из Интернета, она представляет зону DMZ и является защищённой) и внутренней (для работы компании в целом). Еще одним аргументом создания двух лесов является тот факт, что во внутренней сети будут внедрены приложения, такие как Exchange и SCMM, которые расширяют AD-схему. Внешней сети не требуется данное расширение из-за соображений безопасности. 1.2.2 Доменная структура. Леса redatabank.com и redatabank.local будут включать по одному домену: redatabank.com и redatabank.local соответственно. Между доменами устанавливаются доверительные отношения, а именно: домен redatabank.com доверяет домену redatabank.local (одностороннее). Структура организационных единиц. Структура организационных единиц домена redatabank.com будет состоять из 5 юнитов (см. рисунок): 1.2.3 External Users. Здесь будут находиться пользователи ресурсов DMZ (веб-сайта, БД, VPN) Internal Users. Здесь будут находиться внутренние пользователи сети (администраторы и обычные пользователи домена) Computers Servers Printers Структура организационных единиц домена redatabank.local аналогична, но дополнительно разделена по географическому положению: Toronto o Users o Computers o Servers o Printers Ottawa o Users o Computers o Servers o Printers Такая структура организационных единиц удобна для управления, т.к. на каждый юнит можно установить свою групповую политику. отношение доверия redatabank.com redatabank.local Toronto Extrenal Users Internal Users Computers Servers Ottawa Printers Users Computers Users Computers Servers Printers Servers Printers Группы безопасности Домен redatabank.com помимо встроенных доменных групп будет содержать доменные локальные группы ResourcesUsers и VPNUsers. 1.2.4 В домене redatabank.local, возможно, будут группы, связанные с организационной структурой компании (начальники, бухгалтеры и т.п.) 1.3 Проектирование физической структуры. Можно выделить две сети – внешнюю и внутреннюю, которые администрируются независимо друг от друга. Внутренняя сеть соединяет через WAN (155Mbps) два офиса. Выход в интернет имеет только внешняя сеть. Внешняя сеть представляет собой демилитаризованную зону (DMZ), которая защищена от интернета и внутренней сети двумя сетевыми экранами. Доступ со стороны DMZ во внутреннюю сеть разрешён только для контроллеров домена (для авторизации пользователей и разрешения имён DNS). Со стороны внутренней сети в зону DMZ доступ разрешён для всех компьютеров и пользователей. 1) Transport Hub 2) Mailbox репликация Internet Exchange Server mail2redatabank.local DC2/DNS dc2.redatabank.com 8 Mbps DC1/DNS dc1.redatabank.com DB db.redatabank.com ия ац ик пл ре Web www.redatabank.com 80 и 443 TCP порт ия ац ик пл ре пул VPN портов VPN vpn.redatabank.com DHCP/WINS wins.redatabank.com DC1/DNS dc1.redatabank.local AppServer app.redatabank.com Exchange Server edge.redatabank.com Одна роль - Edge Server DHCP/WINS wins1.redatabank.local в с по е че бо ра ле я ем вр DHCP/WINS wins2.redatabank.local s bp 5M 15 в ее оч аб ер сл о п я ем вр Exchange Server mail1.redatabank.local 10.0.1.0/24 1) Transport Hub 2) Mailbox 25 TCP порт 2 DC1/DNS dc2.redatabank.local 10.0.2.0/24 1.3.1 Расположение контролеров домена Контроллеры домена располагаются как во внутренней сети (dc1.redatabank.com и dc2.redatabank.com), так и во внутренней (dc1.redatabank.local и dc2.redatabank.local). Во внешней сети установлено 2 контроллера домена с целью увеличения отказоустойчивости. Во внутренней сети также установлено 2 контроллера домена. Связь между офисами (WAN) достаточно быстрая, и если вдруг один контроллер сломается, то скорости WAN будет достаточно для обеспечения функционирования компании, и офис будет работать с другим контроллером домена через WAN. (по умолчанию, каждый офис работает со своим контроллером домена). Репликация между доменами во внутренней сети будет происходить внерабочее время по расписанию. 1.3.2 Распределение ролей контроллеров доменов Контроллеры dc1.redatabank.com и dc1.redatabank.local выполняют все 5 ролей. В случае отказа контроллера администратор вручную может переназначить роли на резервный контроллер. 1.3.3 Режимы работы леса и домена Режимы работы лесов и доменов – Windows 2008. Т.к. в старой инфраструктуре режим работы домена ниже, то необходимо предусмотреть возможность поднятия режима работы контроллера. Подробнее об этом будет написано в разделе 5 «Миграция». доверительное отношение redatabank.com Уровень домена W2008 redatabank.local Уровень домена W2008 DC1 DC2 Ottawa Site 10.0.2.0/24 Default Site 200.100.50.0/24 1) Контроллер хранит глобальный каталог 2) Контроллер выполняет все 5 ролей FSMO репликация мя в пос лерабочее вре DC1 Контроллер хранит глобальный каталог 1) Контроллер хранит глобальный каталог 2) Контроллер выполняет все 5 ролей FSMO DC1 Toronto Site 10.0.1.0/24 2 Проектирование дополнительных сетевых служб. 2.1 Инфраструктура DNS На каждом контроллере домена совместно установлен DNS-сервер (причём каждый AD-контроллер в настройках сети ссылается не на свой DNS-сервер, а на DNS-сервер сопряженного контроллера). DNSсервер внутренней сети будет хостить зону redatabank.local и форвардировать запросы вида *.redatabank.com на DNS-сервер во внешней сети. DNS-сервер внешней сети будет хостить зону redatabank.com. Для увеличения безопасности доступ из интернета к DNS-серверу внешней сети будет запрещён. Функция разрешения имён для интернет-пользователей будет возложена на ISP (записи A: www.redatabank.com, vpn.redatabank.com; запись MX – redatabank.com). 2.2 Инфраструктура DHCP В каждом сайте установлен DCHP-сервер, возвращающий помимо IP, адреса шлюзов, DNS и WINS. 3 2.3 Инфраструктура WINS Сервера WINS устанавливаются совместно с DHCP-серверами. Между серверами WINS во внутренней сети установлена связь и репликация записей БД. 3 Инфраструктура Exchange. 4 Инфраструктура Configuration Manager. 5 Миграция 4