Администрирование корпоративной сети на основе Windows Server
ФЕДЕРАЛЬНОЕ АГЕНСТВО ЖЕЛЕЗНОДОРОЖНОГО ТРАНСПОРТА
Федеральное государственное бюджетное образовательное учреждение
высшего профессионального образования
«Уральский государственные университет путей сообщения»
(ФГБОУ ВПО УрГУПС)
КАФЕДРА: «Информационные технологии и защита информации»
КУРСОВАЯ РАБОТА
По дисциплине: «Администрирование в
информационных системах»
Тема: «Администрирование
корпоративной сети на основе Windows Server»
Студента
Бирюкова
Николая Анатольевичакурса
группы ИТ-410
факультет ЭТФ
Специальности
(шифр) 230201
Руководитель:
ассистент Гузенкова Елена Алексеевна
Екатеринбург
2014г.
ЗАДАНИЕ НА КУРСОВУЮ РАБОТУ
Студент: Бирюков Николай Анатольевич, Электротехнический факультет,
группа ИТ-410
Тема работы «Администрирование корпоративной сети на основе
WindowsServer»
Срок сдачи работы: 30.04.14
Перечень вопросов, подлежащих исследованию или разработке:
а) Проектирование корпоративной сети на предприятии;
б) Проектирование доменных служб предприятия;
в) Планирование управления данными;
г)
Разработка централизованной системы хранения данных на предприятии;
д)
Аспекты администрирования: Установка, настройка и сопровождение серверных
технологий на предприятии;
е)
Анализ политики безопасности на предприятии;
Исходные данные прилагаются.
Руководитель
Задание принял к исполнению
ИСХОДНЫЕ ДАННЫЕ
. Предметная область: предприятие по предоставлению сетевых услуг.
. Количество подразделений в головном предприятии: ≥5.
. Количество филиалов: 3.
. Расстояние между головным подразделением и филиалами: ≥10.
. Количество подразделений в филиалах: ≥2.
. Число рабочих станций в организации - min/ max: 1400.
. Наличие беспроводной связи в головном офисе: нет.
. Количество серверов: 5+n.
. Сервера:
.1. Файловые: 2.
.2. Базы данных: 2.
.3. Терминальные: 1.
.4. Proxy: 4.
.5. Лицензирования: 1.
.6. Приложений: 1.
.7. Мультимедийные: 1.
. Индивидуальное задание: разработка стратегии виртуализации операционных
систем.
ВВЕДЕНИЕ
Интернет-провайдер «Сети Тагила» - довольной крупная организация с
большим количеством сотрудников и небольшим числом филиалов, однако, в связи с
обширной клиентской базой и необходимостью ведения отчетности и круглосуточного
контроля за состоянием предоставления сетевых услуг возникает нужда в создании
корпоративной сети предприятия.
Создание корпоративной сети в организации «Сети Тагила» позволит повысить
эффективность управления компанией, создать эффективную систему
документооборота, контролировать информационно-финансовые потоки организации.
Целью данной курсовой работы является разработка корпоративной сети
предприятия на основе WindowsServer. Для достижения поставленной цели
необходимо рассмотреть основные этапы создания корпоративной сети, произвести
анализ структуры административной организации, составить проектный план в
соответствии с родом деятельности предприятия, произвести выбор необходимого
оборудования и обосновать этот выбор.
1. ПРОЕКТИРОВАНИЕ КОРПОРАТИВНОЙ СЕТИ НА ПРЕДПРИЯТИИ
1.1 Цели и задачи разработки корпоративной сети на уровне
предприятия
Наша организация «Сети Тагила» является одним из наиболее популярных
интернет-провайдеров в городе Нижнем Тагиле. Естественно, так было не всегда,
вначале компания была небольшая и предоставляла услуги лишь в одном районе,
однако, с ростом популярности из-за высокого качества обслуживания, компания
динамично развивалась, росла и обзавелась несколькими филиалами (а именно,
тремя) в разных частях города. Темпы заявок на подключение услуг продолжают
расти, поэтому, в связи с обширной клиентской базой и необходимостью ведения
отчетности и круглосуточного контроля за состоянием предоставления сетевых
услуг, необходимо организовать корпоративную сеть.
Современные IT-технологии позволяют создавать корпоративные сети на
основе высоко надежных и защищенных сетей передачи данных.
Что получит предприятие при создании корпоративной сети или объединении
офисных площадок:
· Единое информационное пространство;
· Оперативность получения информации и возможность формирования
консолидированных отчетов уровня предприятия;
· Централизация финансовых и информационных потоков данных;
· Возможность оперативного сбора и обработки информации;
· Снижение затрат при использовании серверных решений. Переход
от решений для рабочих групп на решения уровня предприятия;
· Возможность обработки мультимедиа потоков данных между
офисными площадками;
· Снижение затрат на связь между подразделениями фирмы,
организация единого номерного пространства.
1.2 Структура административных подразделений предприятия
Первоочередной задачей в проектировании корпоративной сети предприятия
является анализ структурных подразделений предприятия. Для компании «Сети
Тагила» необходимо построить схему распределения головного офиса и филиалов
предприятия с точки зрения административного устройства предприятия.
Организационная структура предприятия:
· Головной офис предприятия, находящийся в центре города;
· Распределенные по разным районам города три филиала (филиал
№1, филиал №2, филиал №3).
Подразделения головного офиса:
· Бухгалтерия;
· Рекламный отдел;
· Отдел кадров;
· Отдел приема платежей;
· Отдел технической поддержки.
Подразделения филиалов:
· Отдел работы с клиентами;
· Отдел приема платежей.
Рис.1 Структура предприятия «Сети Тагила»
1.3 Анализ требований к сетевой инфраструктуре
С точки зрения организационной структуры предприятия связи головной офис
и филиалы должны представлять единую организацию. Клиент может обратиться в
любой филиал или головной офис для совершения необходимых операций. Даже при
переезде в другой район, информация об пользователе должна быть доступна по
всей территории распространения предприятия. Таким образом доступ к информации
пользователей должна быть в любом филиале и головном офисе.
В сети обеспечивается надежность ее функционирования и мощные системы
защиты информации. То есть, гарантируется безотказная работа системы как при
ошибках персонала, так и в случае попытки несанкционированного доступа.
Функционально сетевая структура должна представлять собой единую закрытую сеть,
в которой будут передаваться данные. Любой доступ в сеть должен блокироваться,
так как данные передаваемые внутри организации носят конфиденциальный характер
и не должны быть доступны другим лицам. Филиалы и головной офис будут связаны
LAN-сетью.
Для управления сетью «Сети Тагила» необходимо определить ответственных
лиц отвечающих за: администрирование сети предприятия, администрирование
серверов, отвечать за организацию политик безопасности.
Сетевая инфраструктура будет представлять единую сеть передачи данных
между головным офисом и филиалами, и для этого будет созданы: базы данных,
содержащие информацию о пользователях, файловые сервера, терминальный сервер,
proxy-сервера, мультимедийный сервер, сервер лицензирования, сервер приложений.
2.
ПРОЕКТИРОВАНИЕ ДОМЕННЫХ СЛУЖБ ПРЕДПРИЯТИЯ
2.1 Определение роли ADDS в организации, сбор требований к сети на
предприятии, безопасность сети
Проектирование ADDS на основе Windows Server начинается с лесов и
доменов, которые играют роль границы безопасности, администрирования и репликации
ADDS. Их следует проектировать до начала разработки физической топологии.может
применяться для решения самых разных задач. Например, ADDS можно использовать в
качестве сетевой ОС (NOS), как каталог предприятия или Интернет-каталог. ADDS
может служить нескольким целям сразу: как каталог NOS и предприятия. От того,
как будет использоваться ADDS на предприятии, зависит структура леса.
В нашем случае ADDS планируется использовать в качестве каталога
предприятия, в котором будут храниться только данные клиентов.
Администрирование ADDS будет вестись из головного офиса учреждения. Контроллер
NOS будет располагаться в головном офисе.
Доступ ко всем серверам учреждения будет разрешён только для сотрудников
компании.
2.2 Проектирование структуры лесов
Лес - это группа из одного или нескольких деревьев доменов, которые не
образуют единое пространство имен, но используют общие схему, конфигурацию
каталогов, глобальный каталог и автоматически устанавливают двусторонние
транзитивные доверительные отношения между доменами.
Модель одного леса является простейшей моделью леса и считается
низкоуровневой, так как все объекты каталога принадлежат одному лесу и все
сетевые ресурсы контролирует одна централизованная ИТ-группа. Такой проект
требует минимальных административных расходов и считается самым рентабельным
среди всех моделей. Модель одного леса является удачным выбором для малых и
средних организаций, где действует лишь одна ИТ-группа и все ее филиалы
управляются этой группой из центрального офиса.
Мы будем использовать вышеописанную модель леса на нашем предприятии.
Рис. 2 Модель одного леса
2.3 Проектирование доменной структуры
Домены ADDS используются для разбиения больших лесов на меньшие
составляющие, чтобы облегчить администрирование и репликацию.
В нашем случае целесообразно будут использовать модель с одиночным
доменом. Любой контроллер домена сможет выполнить проверку подлинности любого
пользователя и все контроллеры могут быть серверами глобального каталога. В
данной модели все данные каталога будут реплицироваться на добавочный
контроллер домена, расположенный в головном офисе компании.
Рис. 3 Модель с одиночным доменом
.4 Разработка структуры IPv4-адресов предприятия
В соответствии с заданием необходимо определить адресное пространство
предприятия и разбить его на подсети, количество подсетей будет определять
количеством подразделений в головном офисе и филиалах, контроллер домена и
сервера должны входить в группу адресов с масками подсети, которые будут видеть
весь диапазон своих адресов.
· Подразделений в головном офисе - 6; рабочих станций - 934∙1,5
≈ 1400;
· Подразделений в филиалах - по 2 в каждом; рабочих станций -
467∙1,5 ≈ 700;
· Число филиалов - 3;
Необходимо создать для головного офиса 6 подсетей со 234 узлами, для
филиалов 6 подсетей с 117 узлами, выделить адреса с маской подсети,
охватывающей весь диапазон своих адресов для 12 серверов. Распределение
IP-адресов локальной сети компании представлено в таблице 1.
Таблица 1 Распределение IP-адресов
|
Необходимое число адресов
|
Размер блока
|
Первый адрес
|
Последний адрес
|
Маска подсети
|
|
Все адресное пространство
|
п/а
|
1024
|
192.168.0.0
|
192.168.9.255
|
/22 255.255.252.0
|
|
Головной офис
|
|
Контр. домена
|
2
|
-
|
192.168.0.1
|
192.168.0.2
|
/22 255.255.252.0
|
|
Файловый сервер
|
2
|
-
|
192.168.0.3
|
192.168.0.4
|
/22 255.255.252.0
|
|
База данных
|
2
|
-
|
192.168.0.5
|
192.168.0.6
|
/22 255.255.252.0
|
|
Лицензирования
|
1
|
-
|
192.168.0.7
|
-
|
/22 255.255.252.0
|
|
Терминальный
|
1
|
-
|
192.168.0.8
|
-
|
|
Proxy
|
4
|
-
|
192.168.0.9
|
192.168.0.12
|
/22 255.255.252.0
|
|
Мультимедийный
|
1
|
-
|
192.168.0.13
|
-
|
/22 255.255.252.0
|
|
Приложений
|
1
|
-
|
192.168.0.14
|
-
|
/22 255.255.252.0
|
|
Бухгалтерия
|
234
|
256
|
192.168.1.0
|
192.168.1.255
|
/26 255.255.255.192
|
|
Рекламный отдел
|
234
|
256
|
192.168.2.0
|
192.168.2.255
|
/26 255.255.255.192
|
|
Отдел кадров
|
234
|
256
|
192.168.3.0
|
192.168.3.255
|
/26 255.255.255.192
|
|
Отдел тех. поддержки
|
234
|
256
|
192.168.4.0
|
192.168.4.255
|
/26 255.255.255.192
|
|
Отдел работы с клиентами
|
234
|
256
|
192.168.5.0
|
192.168.5.255
|
/26 255.255.255.192
|
|
Отдел приема платежей
|
234
|
256
|
192.168.6.0
|
192.168.6.255
|
/26 255.255.255.192
|
|
Филиал №1
|
|
Отдел приема платежей
|
84
|
128
|
192.168.7.0
|
192.168.7.127
|
/26 255.255.255.192
|
|
Отдел работы с клиентами
|
84
|
128
|
192.168.7.128
|
192.168.7.255
|
/26 255.255.255.192
|
|
Филиал №2
|
|
Отдел приема платежей
|
84
|
192.168.8.0
|
192.168.8.127
|
/26 255.255.255.192
|
|
Отдел работы с клиентами
|
84
|
128
|
192.168.8.128
|
192.168.8.255
|
/26 255.255.255.192
|
|
Филиал №3
|
|
Отдел приема платежей
|
84
|
128
|
192.168.9.0
|
192.168.9.127
|
/26 255.255.255.192
|
|
Отдел работы с клиентами
|
84
|
128
|
192.168.9.128
|
192.168.9.255
|
/26 255.255.255.192
|
2.5 Планирование DNS
Так как защита данных сотрудников и клиентов является приоритетной
задачей, пространство имён DNS будет использоваться только для внутренних нужд
компании. В компании используются следующие виды сервисов:
· FTP-сервер;
· MSQL;
· Proxy;
· терминальный сервер;
· сервер приложений;
· сервер лицензирования;
· мультимедийный сервер.
База данных внутренней зоны setitagila.ru представлена в таблице 2:
Таблица 2 База данных внутренней зоны
|
Имя узла
|
Тип записи ресурсов
|
Разрешение
|
|
pdc
|
CNAME
|
pdc.setitagila.ru
|
|
sdc
|
CNAME
|
sdc.setitagila.ru
|
|
ftp1
|
CNAME
|
ftpserver1.setitagila.ru
|
|
aplication
|
|
ap.setitagila.ru
|
|
proxy1
|
CNAME
|
proxy1.setitagila.ru
|
|
proxy2
|
CNAME
|
proxy2.setitagila.ru
|
|
proxy3
|
CNAME
|
proxy3.setitagila.ru
|
|
proxy4
|
CNAME
|
proxy4.setitagila.ru
|
|
terminal
|
|
term.setitagila.ru
|
|
db1
|
CNAME
|
db1.setitagila.ru
|
|
db2
|
CNAME
|
db2.setitagila.ru
|
|
multi
|
CNAME
|
multi.setitagila.ru
|
|
licenz
|
licenz.setitagila.ru
|
|
pdc
|
A
|
192.168.0.1
|
|
sdc
|
A
|
192.168.0.2
|
|
ftp1
|
A
|
192.168.0.3
|
|
aplication
|
А
|
192.168.0.14
|
|
proxy1
|
A
|
192.168.0.9
|
|
proxy2
|
A
|
192.168.0.10
|
|
proxy3
|
A
|
192.168.0.11
|
|
proxy4
|
A
|
192.168.0.12
|
|
terminal
|
A
|
192.168.0.8
|
|
db1
|
A
|
192.168.0.5
|
|
db2
|
A
|
192.168.0.6
|
|
multi
|
A
|
192.168.0.13
|
|
licenz
|
А
|
192.168.0.7
|
Таблица 3 База данных внешней зоны
|
Имя узла
|
Тип записи ресурсов
|
Разрешение
|
|
ftp2
|
CNAME
|
ftp2.setitagila.ru
|
|
ftp2
|
A
|
192.168.0.4
|
2.6 Визуализация структуры предприятия
Рис. 4 Организационная структура предприятия со схемой расположения
филиалов и каналов, связывающих их, а также распределение IP-адресов и DNS
3. ПРОЕКТИРОВАНИЕ МОДЕЛИ АДМИНИСТРИРОВАНИЯ ГРУППОВЫХ ПОЛИТИК
3.1 Требования к организационной структуре
Так как провайдер «Сети Тагила» является большой организацией с малым
количеством удаленных филиалов, то требования по администрированию ADDS
каталога будут следующие:
· Администратору головного офиса будут предоставлены полные
права на независимое управление всеми службами и данными ADDS.
· Политикой безопасности компании на некоторые каталоги и
службы будут налагаться ограничения прав доступа и управления.
Сеть периметра - это частично защищенная брандмауэром периметра область,
в которой располагаются следующие службы: общедоступные web-серверы, способные
обращаться к внутренним SQL-серверам и другим серверам приложений.
Рис. 5 Сеть периметра компании
3.2 Определение модели администрирования
На предприятии будет определена централизованная модель
администрирования. Все критически важные сервера расположены в одном месте, что
обеспечивает централизованное резервное копирование, и доступность
IT-специалистов в случае возникновения неполадок.
3.3 Планирование управления данными
В сети предприятия будут циркулировать следующие виды данных: отчётная
документация, данные содержащие личную информацию сотрудников, данные по
клиентской базе. Доступ к просмотру и/или управлению каждого из типа данных
будет определяться в зависимости от групп пользователей и их прав доступа.
Таблица 4 Доступ к данным
|
Бухгалтерия
|
Рекламный отдел
|
Отдел кадров
|
Отдел тех. поддержки
|
Отдел приема платежей
|
Отдел по работе с клиентами
|
|
Данные клиентов
|
-
|
-
|
ALL
|
RW
|
ALL
|
|
Данные сотрудников
|
RW
|
-
|
RW
|
-
|
-
|
R
|
|
Документация
|
ALL
|
-
|
ALL
|
-
|
-
|
RW
|
|
Пиар-кампании
|
R
|
ALL
|
-
|
-
|
-
|
R
|
3.4 Стратегии групповых политик предприятия
Чтобы сократить время, необходимое для обработки объекта групповой
политики, можно воспользоваться одной из приведенных ниже стратегий.
Если в объекте групповой политики содержатся только параметры
конфигурации компьютера или параметры конфигурации пользователя, можно
отключить неиспользуемые параметры политики. После этого конечный компьютер не
будет сканировать отключенные разделы объекта групповой политики, а время
обработки сократится. Если возможно, объединить несколько маленьких объектов
групповой политики в один большой. При этом уменьшится количество объектов
групповой политики, применяемых к пользователю или компьютеру. Чем меньше
объектов групповой политики применяется к пользователю или компьютеру, тем
меньше время запуска и входа в систему и тем проще устранять неполадки,
связанные со структурой политики. Изменения, вносимые в объекты групповой
политики, реплицируются на контроллеры домена, что приводит к необходимости
загрузки новых данных на клиентские и иные компьютеры. При наличии больших или
сложных объектов групповой политики, требующих частых изменений, необходимо
рассмотреть возможность создания нового объекта групповой политики, содержащего
только постоянно обновляемые разделы. Внедрить процесс управления изменениями
групповой политики и записывать в журнал все изменения, вносимые в объекты
групповой политики. Это позволит выявлять и устранять проблемы, связанные с
объектами групповой политики. Это также позволит обеспечить соответствие
соглашениям об уровне обслуживания, в рамках которых требуется вести журналы.
Основные рекомендации по настройке групповой политики:
. Отключить автозапуск;
. Запретить изменение пароля;
. Запретить изменение параметров панели задач и меню «Пуск»;
. Запретить доступ к контекстному меню для панели задач;
. Зафиксировать положение панели задач;
. Запретить пользователям играть в стандартные игры.
3.5 Защита серверного и клиентского ПО посредством групповой
политики безопасности
Групповая политика обеспечивает инфраструктуру, в которой можно
централизованно определять и развертывать пользователей и компьютеры на
предприятии. Вся конфигурация определяется, внедряется и обновляется с помощью
параметров объектов групповой политики GPO (Group Policy Object), которые
управляют структурами предприятия, как, например, сайты, домены, а также
отдельные подразделения и группы.
Групповая политика также может применяться для выполнения конкретных
задач управления, таких как настройка безопасности, развертывание программного
обеспечения, политика паролей, аудит.
Параметры политики определяют конкретную конфигурацию для применения.
Например, существует параметр политики, запрещающий пользователю доступ к
средствам редактирования реестра. Если определить этот параметр политики и
применить его к пользователю, то пользователь не сможет запускать такие
инструменты, как редактор реестра Regedit.exe.
Некоторые политики влияют на пользователя независимо от компьютера, на
котором пользователь входит в сеть, а другие параметры политики влияют на
компьютер независимо от пользователя, который входит на этот компьютер. Запрет
доступа к редактированию реестра относится к параметрам конфигурации
пользователей, а отключение локальной записи администратора к параметрам
конфигурации компьютеров.
Объекты GPO можно создавать в Active Directory с помощью консоли
«Управление групповой политикой». Они отображаются в контейнере «Объекты
групповой политики». Параметр групповой политики может пребывать в трех
состояниях: «Не задан», «Включен», «Отключен».
Если указан параметр «Не задан» - это означает, что объект GPO не
модифицирует существующую конфигурацию данного конкретного параметра
пользователя или компьютера. Если указан параметр «Включен» или «Отключен», в
конфигурацию пользователей и компьютеров, к которым применяется GPO может быть
внесено изменение.
3.6 Разработка стратегии сетевого доступа
Информация касательно сотрудников и клиентов компании будет храниться непосредственно
на сервере головного офиса, доступ к ней будет ограничен в соответствии с
политикой безопасности компании.
Данные по сотрудникам будут доступны только отелу кадров, а данные по
клиентам операторам, бухгалтерам, и рекламному отделу.
4. РАЗРАБОТКА
ЦЕНТРАЛИЗОВАННОЙ СИСТЕМЫ ХРАНЕНИЯ ДАННЫХ НА ПРЕДПРИЯТИИ
Для централизованной системы хранения данных на предприятии будем
использовать систему хранения данных подключенных к сети (NAS). Данный выбор
обоснован тем, что основным видом данных используемых в сети предприятия
являются различные виды отчётности, большие объёмы таких данных требуют
обеспечения большого объема памяти для клиентов и серверов локальной сети, но
не высокая скорость доступа к которым не является критичной.
Неотъемлемой частью централизованной системы хранения данных является
технология RAID - это использование наборов (два и более) жестких дисков,
доступных операционной системе как один том.
В нашем случае мы будем использовать RAID-5 - дисковый массив с
чередованием данных и вычислением контрольных сумм для записываемых данных.
Основным достоинством данной технологии является высокая скорость чтения и
записи данных, высокий коэффициент использования дискового пространства. К
недостаткам можно отнести высокое влияние, оказываемое на производительность,
выхода из строя одного из дисков.
Рис. 6 Модель хранения данных с использованием RAID-5
У нашей компании имеется 2 файловых сервера. На файловом сервере
локальной сети хранятся рабочие столы пользователей, файлы установки
разрешённого ПО, методические материалы.
Так как провайдер «Сети Тагила» является довольно крупной организацией,
соответственно необходимо подобрать такое аппаратное обеспечение, чтобы оно
полностью удовлетворяло запросам организации. Аппаратным обеспечением файлового
сервера будет являться SL1500/4U24R. Сервер выполнен в 4U корпусе глубиной 660
мм. Эти серверы основаны на многоядерных процессорах линейки Xeon E5,
обладающих высокой производительностью. Сервер поддерживает до 128 GB
оперативной памяти с коррекцией ошибок, двадцать четыре жестких диска SAS/SATA
форм-фактора 3,5", 4 полнопрофильных слота PCI-E 8x и 3 полнопрофильных
PCI-E 4x для установки аппаратных Raid-контроллеров, дополнительных сетевых
адаптеров и прочих карт расширений. Сервер предусматривает расширение дисковой
системы с помощью дисковых полок. Штатно установлен блок питания с
резервированием, так же имеет встроенный мониторинг с поддержкой IP-KVM, что
позволяет управлять сервером в любой точке мира.
5. АСПЕКТЫ
АДМИНИСТРИРОВАНИЯ: УСТАНОВКА, НАСТРОЙКА И СОПРОВОЖДЕНИЕ СЕРВЕРНЫХ ТЕХНОЛОГИЙ НА
ПРЕДПРИЯТИИ
5.1 Планирование внедрения баз данных
База данных - совокупность данных, организованных в соответствии с
концептуальной структурой, описывающей характеристики этих данных и
взаимоотношения между ними, причём такое собрание данных, которое поддерживает
одну или более областей применения.
На предприятии будут использоваться база данных, в которой будут
храниться данные о клиентах компании.
Клиентская баз данных будет содержать в себе наименование клиентов
компании, оказываемые им услуги и их стоимость.
Аппаратно база данных будет располагаться на файловом сервере компании.
В качестве программного обеспечения базы данных будет использоваться SQL
Server 2008 и технологическая платформа «1С:Предприятие» разработанная под
потребности компании .
5.2 Развертывание служб терминалов и приложений
Терминальный сервер - сервер, предоставляющий клиентам вычислительные
ресурсы (процессорное время, память, дисковое пространство) для решения задач.
Технически, терминальный сервер представляет собой очень мощный компьютер (либо
кластер или "терминальную ферму"), соединенный по сети с
терминальными клиентами - которые, как правило, представляют собой маломощные
или устаревшие рабочие станции или специализированные терминалы для доступа к
терминальному серверу.
В нашей компании в качестве тонкого клиента будет использоваться
терминальный доступ, доступ к информационной системе организованный так, что
локальная машина-терминал не выполняет вычислительной работы, а лишь
осуществляет перенаправление ввода информации (от мыши и клавиатуры) на
центральную машину (терминальный сервер) и отображает графическую информацию на
монитор. Причем вся вычислительная работа в терминальной системе выполняется на
центральной машине. На терминальном сервере будут храниться рабочие столы
сотрудников.
Сервер приложений будет использоваться для работы со специализированным
ПО, предназначенным для учета денежных средств, отслеживании предоставления
услуг и работы с клиентами.
Рис. 7 Работа терминального сервера предприятия
5.3 Организация доступа в сеть Internet на базе сервисного
оборудования
Доступ в сеть интернет будет производиться через ISA Server - Forefront
Threat Management Gateway (TMG) 2010.Server за свою долгую историю завоевал
широкую популярность среди IT-специалистов и стал стандартом де-факто как
решение для предоставления безопасного доступа к ресурсам Интернет сотрудникам
организации и публикации бизнес-приложений (Exchange, SharePoint и т.д.). Но
жизнь не стоит на месте и предъявляет новые требования к продуктам
информационной безопасности. Вот и для ISA Server пришло время меняться. На
смену ISA Server 2006 приходит Forefront Threat Management Gateway (TMG) 2010 -
новое поколение решений для комплексной защиты периметра сети.
Возможности Forefront TMG:
· Скрытие расположения серверов Exchange. При публикации
приложения с помощью ISA Server сервер защищается от прямого внешнего доступа,
так как пользователи не могут узнать имя и IP-адрес сервера. Пользователи
получают доступ к компьютеру с ISA Server. Этот сервер переадресует запрос
серверу в соответствии с условиями правила публикации сервера.
· Мост SSL и проверка.Мост SSL защищает от атак, которые скрыты
в подключениях с шифрованием SSL. Если веб-приложение поддерживает SSL, после
того как ISA Server получает запрос клиента, он расшифровывает и проверяет его,
а затем завершает SSL-подключение к клиентскому компьютеру. Правило
веб-публикации определяет, как ISA Server передает запрос объекта
опубликованному веб-серверу. Если настроено правило безопасной веб-публикации
для переадресации запроса с использованием HTTPS, ISA Server инициирует новое
SSL-подключение к опубликованному серверу. Так как компьютер с ISA Server
теперь является SSL-клиентом, он требует от опубликованного веб-сервера
предоставления сертификата сервера.
· Категоризация веб-ресурсов: Позволяет контролировать доступ
пользователей к ресурсам Интернет на основе непрерывно обновляемой категоризированной
базы URL (свыше 80 категорий). Например, одним махом запретить всем сотрудникам
организации посещать сайты социальных сетей и разрешить только определенным
пользователям.
· Защита от вредоносного кода: Фильтрация всего входящего
HTTP/HTTPS траффика “на лету” на периметре еще до того, как он достигнет
конечного компьютера пользователя.
· Система предотвращения сетевых вторжений (Network Inspection
System, NIS): Обнаруживает и предотвращает сетевые атаки, использующие
определенные уязвимости, тем самым сужая окно с момента обнаружения уязвимости
до установки “заплатки”.
А так же масса других:
· Проверка почтового трафика;
· Проверка зашифрованного траффика;
· Поддержка работы с двумя интернет-каналами в режиме
отказоустойчивости и балансировки сетевой нагрузки;
· Интеграция с Network Access Protection (NAP);
· Поддержка 64-разрядных ОС Windows Server 2008 SR2 и Windows
Server 2008 R2.
Сервер лицензий будет размещён на одном сервере с файловым сервером.
5.4 Организация управления лицензиями
Управление лицензиями - это технология, позволяющая компаниям эффективно
управлять программным обеспечением.
При всей важности качества программного обеспечения, недостаточно
внимания уделяется управлению им. Управление лицензиями на ПО (Software Asset
Management - SAM) как активами защищает программное обеспечение вашей
организации и позволяет вам определять наличие программного обеспечения и места
его использования, а также возможные избытки лицензий на него. SAM необходим в
сегодняшнем мире бизнеса.помогает вам определить какое программное обеспечение
есть в организации, где именно оно установлено, как наиболее оптимально его
можно использовать, есть ли излишки в лицензиях и что необходимо для
подтверждения лицензионности используемого ПО.
Управление лицензиями помогает определить, насколько выгодны те или иные
вложения в программное обеспечение, а также выявить потребности в модернизации
и в приобретении новых продуктов.
Нарушение условий использования программного обеспечения (незаконное
копирование) чревато штрафами и расходами на возмещение ущерба правообладателю.
Кроме того, руководители могут нести персональную гражданскую и даже уголовную
ответственность за нарушение авторских и смежных прав в своей компании.
Управление лицензиями поможет компании пользоваться только подлинными
продуктами и правильно за это платить. И руководство, и сотрудники, и акционеры
могут быть абсолютно уверены - работа организации не будет неожиданно
парализована проверкой правоохранительных органов.
Отсутствие управления лицензиями в организации часто приводит к
самостоятельной, хаотичной и несанкционированной установке сотрудниками
произвольных программ с компакт-дисков или прямо из Интернета. Это один из
путей проникновения в информационную систему вирусов, которые могут повредить
отдельные компьютеры или всю локальную сеть. Вирусы могут привести к частичной
или полной потере данных, а также проникнуть к партнерам и клиентам, что
нанесет прямой ущерб вашей деловой репутации. Лицензионное ПО, распространяемое
по авторизованным каналам, не содержит вирусов, работает надежно и обеспечивает
безопасность и секретность данных.
Правильно поставленное управление лицензиями на ПО увеличивает рыночную
стоимость компании, делает ее более привлекательной для инвесторов, защищает
организацию от многочисленных рисков. Управление лицензиями избавляет
работников от необходимости тратить время на решение множества описанных выше
проблем. В результате они смогут посвятить все свое рабочее время основной
деятельности, что повышает эффективность и продуктивность деятельности
организации.
5.5 Выбор средств для обеспечения мультимедийных технологий в
организации
Медиа-сервер Accustic Arts Streamer ES black
Потоковый плеер премиум класса. Воспроизводимые форматы HD audio files in
WAV and FLAC up to 24 bit/192 kHz. Интуитивно понятный интерфейс для управления
UPnP media player with internet radio (vTuner®). 2 USB порта для подключения
внешних накопителей USB flash drives and certain hard disks. Подключение к сети
Ethernet, Wi-Fi. Дисплей 3.5" TFT colour display. Аудиофильский ЦАП 24
bit/192 kHz technology. Digital input (coaxial): HD audio files up to 24
bit/192 kHz. Digital output (coaxial): HD audio files up to 24 bit/192 kHz.
Высококачественный мощный источник питания емкостью свыше 100,000 µF.
Рис. 8 Медиа-сервер Accustic Arts Streamer ES
О системе DNLA:(Digital Living Network Alliance) - это стандарт, который
предназначен для подключения цифровых устройств (например, компьютеров,
цифровых проигрывателей и телевизоров) к сети и совместного использования
данных от других подключенных и совместимых с DLNA устройств.совместимые
устройства выполняют две различные функции. “Серверы” служат для
распространения мультимедийных данных, например, файлов изображений, аудио- и
видеофайлов, а "клиенты" - для воспроизведения таких данных,
полученных от "серверов". Используя систему PS3™ в качестве клиента,
можно просматривать изображения, а также воспроизводить музыкальные и
видеофайлы, сохраненные в сетевом устройстве с функциями мультимедийного
сервера DLNA.
6. АНАЛИЗ
ПОЛИТИКИ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ
В соответствии с политикой безопасности компании необходимо
спроектировать средства сетевой защиты организации. Входящий трафик должен
проходить пункт контроля, прежде чем попасть в сеть периметра получить доступ к
развернутой в ней службам и безопасной среде. Администратор предприятия должен
определить трафик допустимый в сети периметра и трафик, разрешенный в
защищенной сети.
Наиболее подходящей является архитектура сетевой среды, состоящей из двух
зон, где задействовано два брандмауэра с использованием ISA-сервера. Во
внутренней сети будет располагаться локальная сеть предприятия с локальным
сервером базы данных, терминальным сервером и сервером приложений.
Рис. 9 Организация межсетевого взаимодействия
7. РАЗРАБОТКА СТРАТЕГИИ ВИРТУАЛИЗАЦИИ ОПЕРАЦИОННЫХ СИСТЕМ
В настоящее время все большую популярность набирают технологии
виртуализации. И это не случайно - вычислительные мощности компьютеров растут.
В результате развития технологий, появляются шести-, восьми-,
шестнадцатиядерные процессоры (и это еще не предел). Растет пропускная
способность интерфейсов компьютеров, а также емкость и отзывчивость систем
хранения данных. В результате возникает такая ситуация, что имея такие мощности
на одном физическом сервере, можно перенести в виртуальную среду все серверы,
функционирующие в организации (на предприятии). Это возможно сделать с помощью
современной технологии виртуализации.
Технологии виртуализации в настоящее время становятся одним из ключевых
компонентов современной ИТ-инфраструктуры крупных предприятий (организаций).
Сейчас уже сложно представить построение нового серверного узла компании без
использования технологии виртуализации. Определяющими факторами такой
популярности, несмотря на некоторые недостатки, можно назвать экономию денег и
времени, а также высокий уровень безопасности и обеспечение непрерывности
бизнес-процессов.
В настоящее время существует множество причин использования
виртуализации. Возможно, что самой важной причиной является, так называемая,
серверная консолидация. Проще говоря, возможность виртуализировать множество
систем на отдельном сервере. Это дает возможность предприятию (организации)
сэкономить на мощности, месте, охлаждении и администрировании из-за наличия
меньшего количества серверов. При этом немаловажным фактором является
абстрагирование от оборудования. Например, сервера иногда выходят из строя. При
этом есть возможность перераспределить нагрузку на оборудование. Отсутствие
привязки, к какому либо «железу» существенно облегчает жизнь IT-отделу и
снижает риск простоя предприятия.
Другая возможность использования виртуализации заключается в том, что
бывает изначально трудно определить нагрузку на сервер. При этом процедура
виртуализации поддерживает так называемую живую миграцию (live migration).
Живая миграция позволяет ОС, которая перемещается на новый сервер, и ее
приложениям сбалансировать нагрузку на доступном оборудовании.
Используя возможности современных ПК можно легко развернуть любой
виртуальный сервер даже на домашнем компьютере, а затем легко перенести его на
другое оборудование. Виртуализация также важна для разработчиков. Например,
виртуализация позволяет управлять несколькими операционными системами, и если
одна из них терпит крах из-за ошибки, то гипервизор и другие операционные
системы продолжают работать. Это позволяет сделать отладку ядра подобной
отладке пользовательских приложений.
Условно системы виртуализации можно разделить на два больших семейства -
системы виртуализации на уровне ОС (сюда можно отнести популярный в хостинговой
среде OpenVZ и FreeBSD jail) и системы полной виртуализации (VMWare, Xen, KVM).
Первое семейство характеризуется обычно простотой установки и очень
эффективным использованием памяти физического сервера, но есть у подобных
систем коварные недостатки. Коварные потому, что они проявляются под нагрузкой,
например - когда на разрекламированный продукт пришли десятки и сотни
пользователей, а качество услуг внезапно стало резко снижаться. Происходит
подобное именно из-за ключевой особенности подобных систем - использования
одного ядра для всех виртуальных машин, именуемых “контейнерами” (CT). Именно
высокая нагрузка на сетевую подсистему и функции ввода-вывода приводит к
деградации производительности, а возможность оверселлинга памяти дополнительно
усугубляет проблему. Отдельно стоит заметить невозможность широкого выбора
операционных систем - подобные системы виртуализации дают возможность
использовать, фактически, только пользовательскую часть (userland) - никаких
возможностей по использованию собственного ядра, ключевых библиотек и т.п.
Поэтому системы на базе OpenVZ или jail стоит использовать лишь в том случае,
если требования к производительности невелики, а отказы в получении ресурсов не
являются критичными для приложений.
Системы полной виртуализации (KVM, VMWare, Xen и проч.) эмулируют
аппаратный компьютер - включая BIOS, видеокарту, клавиатуру и жесткий диск. С
одной стороны, появляется дополнительные элементы, влияющие на
производительность - вместо прямого доступа к, например, сетевой подсистеме,
ядро в виртуальной машине обращается к эмулируемому сетевому адаптеру (отложим
в сторону новые технологии типа VT-d). Однако есть несколько аспектов, которые
превращают некоторое снижение абсолютной производительности в идеальных
условиях в существенное повышение эффективности работы нагруженной системы.
Во-первых - все ресурсы выделяются сразу. Это означает, что часть памяти
физического сервера или часть дисковой подсистемы будет выделена сразу, при
запуске виртуальной машины - вероятность отказа в выделении ресурсов в процессе
работы практически отсутствует. То есть виртуальная машина работает, как
настоящий, существующий в реальном мире компьютер.
Во-вторых - разгружается ядро хост-машины. Вместо многих тысяч процессов,
которые обслуживаются одним ядром, виртуальная машина выглядит для ОС
хост-машины как один процесс. Выгода - в огромном снижении затрат на
диспетчеризацию, в минимизации влияния “соседей” по хост-машине друг на друга.
В-третьих - можно выбрать любую операционную систему (или почти любую).
На одной хост-машине могут находится виртуальные серверы с Linux, FreeBSD,
Windows разных версий и разрядности. Потрясающие возможности для массы
применений!
Напоследок - четвертый пункт, взаимная безопасность хост-машины и
виртуальных серверов. Грубо говоря, из хост-машины затруднен простой доступ к
данным, расположенным в памяти или на виртуальном диске (а ведь есть
возможность воспользоваться еще и шифрованием). А сама виртуальная машина
работает в изолированном окружении, на другом аппаратном уровне.
ЗАКЛЮЧЕНИЕ
В данном курсовом проекте была спроектирована сеть предприятия,
соответствующая запросам предметной области данного предприятия.
Корпоративная сеть предприятия была спроектирована в несколько этапов. На
первом этапе были рассмотрены основные требования предметной области и на
основе их анализа спроектирована административная структура предприятия.
На втором этапе производилось проектирование доменных служб предприятия:
определение роли ADDS в организации, сбор требований к сети на предприятии,
безопасность сети; проектирование структуры лесов; проектирование доменной
структуры; разработка структуры IPv4-адресов предприятия; планирование DNS.
На третьем этапе была спроектирована модель администрирования групповых
политик. Были поставлены основные требования к организационной структуре,
определена модель администрирования, спланировано управление данными,
разработаны стратегии групповых политик университета.
На четвёртом этапе производилась разработка централизованной системы
хранения данных на предприятии.
На пятом этапе рассматривались аспекты администрирования серверов
предприятия: установка, настройка и сопровождение серверных технологий.
На шестом этапе был произведён анализ политики безопасности на
предприятии и спроектирована структура средств сетевой защиты.
операционный
система доменный терминал
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ
1. Олифер
В.Г., Олифер Н.А. Компьютерные принципы, технологии, протоколы. СПб.:Изд-во
“Питер”, 1999.-672 с.
. МайклНоэл,
РэндМоримото, КентонГардиньер,ОмарДраубиперевод: Ю. И. Корниенко,А. А.
Моргунов,С. А. ШестаковMicrosoftWindowsServer 2003. Полноеруководство
[2-еиздание], 2006 г.
. Издательство
Microsoft. Администрирование сетей на основе MicrosoftWindows 2000 учебный курс
MCSE. M.: Издательско-торговый дом “Русская редакция”.
ПРИЛОЖЕНИЕ
Схема корпоративной сети компании
