DiSoft

реклама
Горошков И. А.
1
ПРОЕКТИРОВАНИЕ СТРУКТУРЫ ЕДИНОЙ СЛУЖБЫ КАТАЛОГА
1.1 Анализ выбранной концепции единой службы каталога.
В разрабатываемом проекте внедряется служба каталогов фирмы Microsoft – Active Directory
Заказчиком выступает Real Estate Data Bank. Заказчик имеет два офиса в городах Торонто и Оттава. В
офисе в Торонто была внедрена служба каталогов AD, но должностного проектирования службы
произведено не было. Офис в Оттаве был открыт недавно и вообще не имеет сетевой
инфраструктуры. Внедрение службы каталогов позволит улучшить выполнение бизнес-процессов
компании, а также создаст единую базу данных о пользователях и ресурсах компании. Всё это
способствует увеличению прибыли компании.
Единая служба каталогов позволит разграничить полномочия пользователей в зависимости от их
должностных обязанностей, что, несомненно, влияет на информационную безопасность компании
в целом.
1.2 Проектирование логической структуры Active Directory.
1.2.1
Модель леса.
Разрабатываемая структура Active Directory будет состоять из двух независимо администрируемых
лесов redatabank.com и redatabank.local, т.к. в компании предусматривается использование двух
сетей: внешней (для предоставления доступа к ресурсам из Интернета, она представляет зону DMZ
и является защищённой) и внутренней (для работы компании в целом).
Еще одним аргументом создания двух лесов является тот факт, что во внутренней сети будут
внедрены приложения, такие как Exchange и SCMM, которые расширяют AD-схему. Внешней сети не
требуется данное расширение из-за соображений безопасности.
1.2.2
Доменная структура.
Леса redatabank.com и redatabank.local будут включать по одному домену: redatabank.com и
redatabank.local соответственно. Между доменами устанавливаются доверительные отношения, а
именно: домен redatabank.com доверяет домену redatabank.local (одностороннее).
Структура организационных единиц.
Структура организационных единиц домена redatabank.com будет состоять из 5 юнитов (см.
рисунок):
1.2.3


External Users. Здесь будут находиться пользователи ресурсов DMZ (веб-сайта, БД, VPN)
Internal Users. Здесь будут находиться внутренние пользователи сети (администраторы и
обычные пользователи домена)
 Computers
 Servers
 Printers
Структура организационных единиц домена redatabank.local аналогична, но дополнительно
разделена по географическому положению:

Toronto
o
Users
o
Computers
o
Servers
o
Printers

Ottawa
o
Users
o
Computers
o
Servers
o
Printers
Такая структура организационных единиц удобна для управления, т.к. на каждый юнит можно
установить свою групповую политику.
отношение доверия
redatabank.com
redatabank.local
Toronto
Extrenal
Users
Internal
Users
Computers
Servers
Ottawa
Printers
Users
Computers
Users
Computers
Servers
Printers
Servers
Printers
Группы безопасности
Домен redatabank.com помимо встроенных доменных групп будет содержать доменные локальные
группы ResourcesUsers и VPNUsers.
1.2.4
В домене redatabank.local, возможно, будут группы, связанные с организационной структурой
компании (начальники, бухгалтеры и т.п.)
1.3 Проектирование физической структуры.
Можно выделить две сети – внешнюю и внутреннюю, которые администрируются независимо друг
от друга. Внутренняя сеть соединяет через WAN (155Mbps) два офиса. Выход в интернет имеет только
внешняя сеть. Внешняя сеть представляет собой демилитаризованную зону (DMZ), которая защищена от
интернета и внутренней сети двумя сетевыми экранами. Доступ со стороны DMZ во внутреннюю сеть
разрешён только для контроллеров домена (для авторизации пользователей и разрешения имён DNS). Со
стороны внутренней сети в зону DMZ доступ разрешён для всех компьютеров и пользователей.
1) Transport Hub
2) Mailbox
репликация
Internet
Exchange Server
mail2redatabank.local
DC2/DNS
dc2.redatabank.com
8 Mbps
DC1/DNS
dc1.redatabank.com
DB
db.redatabank.com
ия
ац
ик
пл
ре
Web
www.redatabank.com
80 и 443 TCP порт
ия
ац
ик
пл
ре
пул VPN портов
VPN
vpn.redatabank.com
DHCP/WINS
wins.redatabank.com
DC1/DNS
dc1.redatabank.local
AppServer
app.redatabank.com
Exchange Server
edge.redatabank.com
Одна роль - Edge
Server
DHCP/WINS
wins1.redatabank.local
в
с
по
е
че
бо
ра
ле
я
ем
вр
DHCP/WINS
wins2.redatabank.local
s
bp
5M
15
в
ее
оч
аб
ер
сл
о
п
я
ем
вр
Exchange Server
mail1.redatabank.local
10.0.1.0/24
1) Transport Hub
2) Mailbox
25 TCP порт
2
DC1/DNS
dc2.redatabank.local
10.0.2.0/24
1.3.1 Расположение контролеров домена
Контроллеры домена располагаются как во внутренней сети (dc1.redatabank.com и
dc2.redatabank.com), так и во внутренней (dc1.redatabank.local и dc2.redatabank.local). Во внешней
сети установлено 2 контроллера домена с целью увеличения отказоустойчивости. Во внутренней
сети также установлено 2 контроллера домена. Связь между офисами (WAN) достаточно быстрая, и
если вдруг один контроллер сломается, то скорости WAN будет достаточно для обеспечения
функционирования компании, и офис будет работать с другим контроллером домена через WAN.
(по умолчанию, каждый офис работает со своим контроллером домена). Репликация между
доменами во внутренней сети будет происходить внерабочее время по расписанию.
1.3.2 Распределение ролей контроллеров доменов
Контроллеры dc1.redatabank.com и dc1.redatabank.local выполняют все 5 ролей. В случае отказа
контроллера администратор вручную может переназначить роли на резервный контроллер.
1.3.3 Режимы работы леса и домена
Режимы работы лесов и доменов – Windows 2008. Т.к. в старой инфраструктуре режим работы
домена ниже, то необходимо предусмотреть возможность поднятия режима работы контроллера.
Подробнее об этом будет написано в разделе 5 «Миграция».
доверительное отношение
redatabank.com
Уровень домена W2008
redatabank.local
Уровень домена W2008
DC1
DC2
Ottawa Site
10.0.2.0/24
Default Site
200.100.50.0/24
1) Контроллер хранит
глобальный каталог
2) Контроллер выполняет все 5
ролей FSMO
репликация
мя
в пос лерабочее вре
DC1
Контроллер хранит глобальный
каталог
1) Контроллер хранит
глобальный каталог
2) Контроллер выполняет все 5
ролей FSMO
DC1
Toronto Site
10.0.1.0/24
2 Проектирование дополнительных сетевых служб.
2.1 Инфраструктура DNS
На каждом контроллере домена совместно установлен DNS-сервер (причём каждый AD-контроллер в
настройках сети ссылается не на свой DNS-сервер, а на DNS-сервер сопряженного контроллера). DNSсервер внутренней сети будет хостить зону redatabank.local и форвардировать запросы вида
*.redatabank.com на DNS-сервер во внешней сети. DNS-сервер внешней сети будет хостить зону
redatabank.com. Для увеличения безопасности доступ из интернета к DNS-серверу внешней сети
будет запрещён. Функция разрешения имён для интернет-пользователей будет возложена на ISP
(записи A: www.redatabank.com, vpn.redatabank.com; запись MX – redatabank.com).
2.2 Инфраструктура DHCP
В каждом сайте установлен DCHP-сервер, возвращающий помимо IP, адреса шлюзов, DNS и WINS.
3
2.3 Инфраструктура WINS
Сервера WINS устанавливаются совместно с DHCP-серверами. Между серверами WINS во внутренней
сети установлена связь и репликация записей БД.
3 Инфраструктура Exchange.
4 Инфраструктура Configuration Manager.
5 Миграция
4
Скачать