Проектирование АСУ "Управления Здравоохранения Администрации Ленинского муниципального района"

Семейство Windows 2003 включает следующие продукты:

? Windows Server 2003 Standard Edition -- это относительно надежная сетевая операционная система для быстрого создания надежных бизнес-решений. Эта гибкая платформа является возможным выбором для предприятий малого бизнеса и отдельных подразделений организации.

? Windows Server 2003 Enterprise Edition разработана для удовлетворения общих ИТ-требований предприятий любого размера. Данная платформа предназначена для приложений, веб-служб и инфраструктур и обеспечивает высокую надежность, производительность и превосходные экономические показатели. Windows Server 2003 Enterprise Edition основана на функциональности Windows Server 2003 Standard Edition, с добавлением средств обеспечения надежности, необходимых для ответственных бизнес-приложений.

? Windows Server 2003 Datacenter Edition разработана для ответственных бизнес-приложений и для приложений, используемых для выполнения важных задач, требующих масштабируемости и доступности высокого уровня. Windows Server 2003 Datacenter Edition наиболее мощная и функциональная серверная операционная система из всех, когда либо предлагаемых корпорацией Microsoft.

? Windows Server 2003 Web Edition -- предназначена для использования в качестве веб-сервера. Windows Server 2003 Web Edition используется для разработки и хостинга веб-приложений, веб-страниц и веб-служб XML.

На основании изложенного можно заключить, что для установки на сервер подойдут системы Windows Server 2003 Standard Edition и Windows Server 2003 Enterprise Edition.

Второй из этих вариантов обладает более широким спектром средств обеспечения надежности, но ориентирован на крупные организации и предприятия. Стоит отметить, что данный вариант операционной системы имеет очень высокую стоимость. В данной организации этот вариант операционной сиcтемы использовать нецелесообразно. Следовательно, в качестве серверной операционной системы выбираем Windows 2003 Server Standard Edition.

Поскольку в качестве серверной операционной системы была выбрана операционная система от Microsoft, то в качестве для рабочей станции стоит выбирать систему этого же производителя.

Выбор ОС для рабочих станций будет проводиться среди следующих операционных систем:

- Windows 2000 Professional;

- Windows XP;

- Windows Vista

Первый вариант является хорошим примером сетевой операционной системы, но к сожалению устарел. В настоящее время на рынке нельзя приобрести эту версию ОС.

Windows Vista - явялется молодой операционной системой. Несколько непривычный интерфейс, излишние сообщение от ОС, и чрезмерное использование ресурсов ПК, не возможность поддержки некоторых дейвайсов (нет драйверов) делают крайне проблематичным использование Windows Vista в офисе. Поэтому от этой ОС откажемся.

Таким образом, наиболее целесообразно выбрать именно Windows XP в качестве операционной системы для рабочей станции.

Эта операционная система в достаточной степени приспособлена для работы в сети, обладает достаточной надежностью и производительностью, а также, что немаловажно при работе с системой пользователя, не являющегося специалистом в данной области, обладает дружественным интерфейсом, удобным и понятным пользователю с начальной подготовкой.

Среди двух версий операционной системы Windows XP - Professional Edition и Home Edition - наиболее целесообразно выбирать первый вариант, поскольку второй этой системы является более «облегченным» и не обладает рядом возможностей, которые присутствуют в первом варианте.

6.3.8 Выбор принтеров

Важным моментом при проектировании сети является выбор принтеров и их места в сетевой структуре.

При выборе принтеров необходимо определить, сколько будет сетевых принтеров и на какую группу будет выделен каждый сетевой принтер. Также необходимо определить потребность в цветной печати. Выбор принтера, также как и выбор всего аппаратного обеспечения должен вестись с учётом соотношения «цена/качество».

Печать в организации проходит достаточно интенсивно, поэтому будет установка сетевого одного принтера с подключением к коммутатору. Данный принтер будет использоваться как страховочный, на случай выхода из строя или отсутствия расходных материалов для принтеров уставновленных на рабочих местах.

Принтеры буду устанавливаться в расчете один принтер на 2 рабочих места, кроме начальника управления, зам. начальников и их секретарей. Принтеры подключенные на 2 рабочих места - будут иместь подключения через перключатель (switch) TrendNet TK-209K, 2 ports, USB. Где каждый специалист при необходимости будет переключать принтер на свой компьютер.

Т.к. сетевой принтер является необходимой страховочной заменой, он должен иметь высокую скорость печати. Так же он должен быть цветным (на случай необходимости цветной печать) и быть заменой копиру. Т.е. это должен быть цветное лазерное многофункциональное устройство с большим ресурсом печати в месяц и высокой скоростью печати. Под данное требование подходит МФУ:

HP Color LaserJet 2840:

Нагрузка (месяц): 30000 страниц

Процессор: 264 МГц 

Память: 96 Мб

Скорость копирования (чёрный/цветной): 19 копий в минуту

Совместимость с OC: Microsoft Windows XP, 2000 / 98 SE, Me / NT 4.0 / Apple Mac OS 9.2.2, OS 10.2.8, OS 10.3.x 

Ресурс картриджа при 5% заполнения: 5000 страниц 

6.3.9 Выбор дополнительных сетевых сервисов

Дополнительные сетевые сервисы должны обеспечить выполнение общих требований предъявляемых предприятием к вычислительной системе. К таким требованиям относятся предоставление определённым машинам доступа в Интернет (а значит, разрешение имён), предоставление IP-адресов в сети.

Для удовлетворения этих требований необходимо установить следующие сетевые службы:

- DMZ cервер;

- NAT сервер;

- VPN сервер;

- DHCP сервер;

- DNS-сервер.

DMZ (демилитаризованная зона) -- технология обеспечения защиты информационного периметра, при которой сервера, отвечающие на запросы из внешней сети, или направляющие туда запросы, находятся в особом сегменте сети (который и называется DMZ).

При этом для DMZ осуществляется раздельная защита файрволами соединения со внешней средой и с основной внутренней сетью.

Основное назначение DMZ -- минимизировать последствия взлома сети (единственным методом взлома сети является взлом оборудования), при этом взломщик получает (полный или частичный) контроль над серверами DMZ, но не имеет доступа к внутренним серверам или рабочим станциям (его доступ ограничивает внутренний файрвол).

Одной из ключевых особенностей DMZ является не только фильтрация трафика на внутреннем файрволе, но и требование обязательной сильной криптографии при взаимодействии между активным оборудованием внутренней сети и DMZ. В частности, не должно быть ситуаций, в которых возможна обработка запроса от сервера в DMZ без авторизации. В случае, если DMZ используется для обеспечения защиты информации внутри периметра от утечки изнутри, аналогичные требования предъявляются для обработки запросов пользователей из внутренней сети.

NAT сервер (Network Address Translation, NAT) - механизм трансляции сетевых адресов, осуществляет преобразование IP-адресов и номеров портов пакетов TCP и датаграмм UDP, которыми обмениваются локальная и внешняя сети. Сервер NAT позволяет для организации доступа в Интернет для локальной сети использовать один действительный IP-адрес, который имеет NAT-сервер, а остальные узлы сети будут иметь частные адреса из специального диапазона зарезервированных IP-адресов. Механизм NAT осуществляет трансляцию частных адресов в действительные адреса Интернета. Пакеты, исходящие из локальной сети, имеют частные адреса, которые NAT транслирует в действительные адреса. Поступающие из Интернета пакеты имеют, соответственно, действительные адреса, и механизм NAT выполняет их трансляцию в частные адреса.

Аналогичные функции предоставляет прокси-сервер (соединение внутренней локальной сети и внешней сети через один IP-адрес) и протокол ICS (Internet Connection Sharing), однако прокси-сервер требует установку специальных программ, а установка службы NAT происходит без использования специальных программ силами самой операционной системы, а служба ICS является менее функциональной, чем NAT. Поэтому для установки связи с Интернетом будет применяться именно служба NAT.

Помимо своей прямой функции, служба NAT позволяет ограничить доступ к ресурсам Интернета или фильтровать определенный тип IP-трафика, обеспечивает защиту от внешних атак во внутреннем адресном пространстве, скрывает, какой узел устанавливает через него соединение, позволяет, можно выбирать использовать или нет сервера DHCP сети, а также позволяет осуществлять разрешение запросов DNS, если это требуется, через функцию DNS-Proxy.

Настройка сервера DMZ и NAT (PAT) для PIX 515

nameif ethernet0 outside security0 (приписываем уровень security на e0 интерфейс)

nameif ethernet1 inside security100 (приписываем уровень security на e1 интерфейс)

interface ethernet0 auto (обозначаем скорость)

interface ethernet1 100full (обозначаем скорость)

ip address outside 192.168.200.35 255.255.255.0 (прописываем внешний ip)

ip address inside 192.168.1.1 255.255.255.0 (прописываем внутренний ip)

hostname PIX1 (имя файрволла)

nat (inside) 1 192.168.1.1 255.255.255.0 (делаем нат на е1 интерфейсе)

global (outside) 1 213.247.170.77 (делаем для нат адресов внешний ip, можно написать еще так global (outside) interface)

route outside 0.0.0.0 0.0.0.0 192.168.200.1 1 (делаем роутинг на сервер провайдера)

VPN (англ. Virtual Private Network -- виртуальная частная сеть) -- логическая сеть, создаваемая поверх другой сети, например, интернет. Несмотря на то, что коммуникации осуществляются по публичным сетям, с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией. VPN позволяет объединить, например, несколько офисов организации в единую сеть с использованием для связи между ними неподконтрольных каналов.

Пользователи Microsoft Windows обозначают термином «VPN» одну из реализаций виртуальной сети -- PPTP, причём используемую зачастую как раз не для создания частных сетей.

Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол -- IP (такой способ использует реализация PPTP -- Point-to-Point Tunneling Protocol) или Ethernet([ (PPPoE)([хотя и они имеют различия). Технология VPN последнее время используется не только для создания собственно частных сетей, но и некоторыми провайдерами «последней мили» для предоставления выхода в Интернет.

В нашем случае VPN используется для подключения через интернет внешних учреждений в нашу сеть, для связи с сервером.

Настройка файрволла PIX для удаленного доступа в локальную сеть, с использованием Cisco VPN Clien (4.8.02.0010):

1. Выделяем пул адресов для доступа:

ip local pool RA_POOL 192.168.1.200-192.168.1.255 mask 255.255.255.0

2. Отменяем трансляцию адресов для сети удаленного доступа.

object-group network NET_RA network-object 192.168.1.200-192.168.1.255 255.255.255.0 access-list ACL_NO_NAT extended permit ip any object-group NET_RA nat (lan) 0 access-list ACL_NO_NAT

3. Создаем групповую политику:

group-policy RA_GROUP internal group-policy RA_GROUP attributes dns-server value 192.168.1.2 192.168.1.4 vpn-simultaneous-logins 1 vpn-tunnel-protocol IPSec В команде dns-server value нужно указать адрес (-а) локальных DNS серверов. При работе с PIX она не используется. 4. Создаем пользователя и назначаем его в группу:

username RA_User password PWD_1234 privilege 7 username RA_User attributes vpn-group-policy RA_GROUP 5. Создаем политику isakmp и разрешаем ее на интерфейсе:

isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash sha isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 isakmp enable wan isakmp nat-traversal 20

Последняя команда нужна для доступа в сеть за NAT'ом. Если ее не ввести, то туннель будет устанавливаться, но трафик в сеть ходить не будет. 6. Определяем шифрование и хеширование IPSec:

crypto ipsec transform-set 3DESSHA esp-3des esp-sha-hmac

7. Настраиваем динамическую карту для удаленного доступа:

access-list WAN_RA_DYN extended permit ip any object-group NET_RA crypto dynamic-map WAN_DYN_MAP 20 match address WAN_RA_DYN crypto dynamic-map WAN_DYN_MAP 20 set transform-set 3DESSHA crypto dynamic-map WAN_DYN_MAP 20 set reverse-route

8. Активируем эту карту для интерфейса:

crypto map WAN_MAP 10 ipsec-isakmp dynamic WAN_DYN_MAP crypto map WAN_MAP interface wan

9. В завершении настраиваем туннельную группу:

tunnel-group RA_GROUP type ipsec-ra tunnel-group RA_GROUP general-attributes address-pool RA_POOL tunnel-group RA_GROUP ipsec-attributes pre-shared-key PSK_1234

DHCP сервер (Dynamic Host Configuration Protocol), протокол динамической конфигурации хоста) -- открытый промышленный стандарт, который позволяет каждому компьютеру, подключенному к сети, назначить уникальный IP-адрес. Протокол DHCP освобождает сетевых администраторов от необходимости настраивать все компьютеры вручную. Применение DHCP сервера является необходимостью в современных сетях.

DHCP сервер позволяет:

- автоматически назначать компьютеру уникальный IP-адрес;

- автоматически конфигурировать настройки TCP/IP во время загрузки компьютера, такие как IP-адрес компьютера, маску подсети, адрес шлюза и адрес сервера DNS;

- хранить все доступные IP-адреса в центральной базе данных вместе с соответствующей информацией о конфигурации, такой как маска подсети, адрес шлюза и адрес сервера DNS.

- задавать диапазон исключений, то есть те адреса из допустимого диапазона адресов, которые не могут быть назначены компьютеру;

- задавать клиенту постоянный адрес;

- чтобы адрес не "простаивал", сервер DHCP предоставляет его на определенный администратором срок (арендный договор). По истечении половины срока арендного договора клиент DHCP запрашивает его возобновление, и сервер DHCP продлевает арендный договор.

Настройка параметров сервера DHCP происходит с помощью оснастки DHCP, которая позволяет администратору настраивать все необходимые параметры работы службы.

Для установки и настройки сервера DHCP:

1. Изучение требований к серверу DHCP и планирование его конфигурации: области, арендные договоры и опции.

2. Определение диапазона IP-адресов или диапазонов, для которых необходим DHCP, для поддержки службы конфигурации сети.

3. Ручная настройка TCP/IP для компьютера, на котором будет располагаться сервер DHCP.

4. Установка службы DHCP.

После этого необходимо настроить все требуемые для функционирования службы параметры.

В Управлении Здравоохраенения необходимо установить следующие параметры работы службы DHCP:

IP-адрес сервера DHCP: 192.168.1.2

Маска подсети: 255.255.255.0

Область DHCP - идентифицирует полные последовательные диапазоны возможных IP-адресов для всех клиентов DHCP в физической подсети.

Начальный IP-адрес области: 192.168.1.1

Конечный IP-адрес области: 192.168.1.200

Маска подсети: 255.255.255.0

IP-адрес DNS сервера: 192.168.1.2

Шлюз по умолчанию: 192.168.1.1

Диапазон исключений 1 (включает адреса всех серверов, которые задаются статически): 192.168.1.1 - 192.168.1.4 Диапазон исключений 2 (включает адреса всех сетевых принтеров, которые задаются статически): 192.168.1.199. МФУ на случай непредвиденной ситуации: 192.168.1.199.

Зарезервированные IP-адреса: нет.

Время арендного адреса: 15 минут.

DNS (Domain Name System) - это распределенная база данных в сетях TCP/IP для преобразования имен компьютеров (имен узлов) в IP-адреса. Служба DNS осуществляет разрешение, или преобразование, символьных имен (Fully Qualified Domain Name, FQDN) в IP-адреса и используется для поиска компьютеров в ЛВС или Интернете.

Сервер DNS активно применяется в частных сетях для разрешения имён узлов и определения местоположения компьютеров в ЛВС и Интернете.

Для разрешения имён служба DNS использует модель клиент-сервер. Клиент передаёт прямой запрос на поиск имени локальному серверу. Этот сервер разрешает запрос сам или предаёт его другому серверу имён.

Используемые в зоне привязки «IP-адрес/имя» хранятся в файле БД зоны. Каждая зона прикреплена к определенному домену - корневому домену зоны. Файл БД зоны может содержать сведения не обо всех поддоменах корневого домена зоны.

Настройка службы DNS

После установки службы DNS можно перейти к ее настройке и обслуживанию. Настройка осуществляется из оснастки DNS.

Так как создаваемая сеть будет основана на службе каталогов Active Directory, то сервер DNS должен быть интегрированный в Active Directory сервером DNS. Для этого сервера файл зоны хранится как объект в Active Directory, а не как несколько файлов на жестком диске.

Фактически процедура начальной настройки DNS-сервера сводится к созданию необходимых зон, которые будут использоваться для хранения ресурсных записей. Как уже отмечалось, создаваемая сеть основана на службе каталогов Active Directory, поэтому создаваемые зоны должны быть интегрированными в Active Directory.

В первую очередь необходимо создать основную зону прямого просмотра, интегрированную в AD. Зона прямого просмотра позволяет генерировать прямые запросы поиска имени.

После этого можно создать зону обратного просмотра, интегрированную в AD. Зона обратного просмотра позволяет генерировать обратные запросы на поиск имени. Эта зона не обязательна, однако она нужна для работы утилит устранения неполадок, а также потому, что многие приложения используют обратный обзор как инструмент безопасности.

Имя файла зоны прямого просмотра определяется названием корневого домена зоны. Имя домена - ypr.ru, поэтому имя файла зоны будет ypr.ru.dns.

Имя файла зоны обратного просмотра определяется идентификатором сети и суффиксом in-addr.arpa. Тогда, имя зоны обратного просмотра (адрес DNS-сервера - 192.168.1.2) - 1.168.192.in-addr.arpa, а имя файла зоны - 1.168.192.in-addr.arpa.dns.

Настройка сервера

Сервер DNS имеет следующие основные настройки:

- DNS сервер интегрированный в Active Directory server, имеет IP-адрес: 192.168.1.2.

- Прямая зона облуживания: ypr.ru

- Обратная зона облуживания: 1.168.192.in-addr.arpa.

После создания зон необходимо настроить саму службу DNS на сервере. Основные настройки могут заключаться в следующем:

- в зонах прямого просмотра DNS-сервера следует удалить зону «.», если она там есть. После этого перезапустить службу DNS-сервер. Иначе DNS-сервер будет считать себя вышестоящим доменом, и организовать сообщение с Интернетом будет невозможно.

- добавление и удаление записей о ресурсах. Каждая запись идентифицирует в БД конкретный ресурс в зависимости от типа записи. Существует множество типов записей ресурса. При создании зоны DNS автоматически добавляет две: Start of Authority (SOA) и Name Server (NS). SOA определяет сервер имен, являющийся в этом домене полномочным источником данных, а также предоставляет информацию о зоне. NS представляет собой список серверов имен, выделенных конкретному домену. Основной тип записей - A - адресная запись - хранит информацию о преобразовании доменного имени в IP-адрес.

- в настройках сервера DHCP необходимо задать DNS-сервера, чтобы DNS-сервер постоянно обновлял свою базу, основываясь на данных, получаемых от DHCP-сервера.

- DNS-сервер может производить очистку списка, удаляя из него данные о тех хостах, которые удалены из сети.

- задание автоматического обновления («Dynamic Updates»). Динамическое обновление - клиенты имеют возможность автоматически обновлять свои записи, которые главным образом используются в среде, где клиенты подключаются к серверу DHCP для получения IP-адресов. Динамическая DNS также очень удобна для контроллеров домена, которые также могут автоматически регистрировать записи своих сервисов.

- на контроллере домена, на котором работает DNS-сервер, в "Свойствах TCP/IP" следует указать первым сервером DNS - самих себя (192.168.1.2), вторым сервером DNS - не указывать ничего.

- на всех рабочих станциях домена в "Свойствах TCP/IP" "Предпочитаемым сервером DNS" следует указывать IP-адрес ближайшего контроллера домена (192.168.1.2), "Альтернативным DNS-сервером" - ничего.

- для подключения к Интернету и корректного разрешения имён в глобальной сети необходимо соответствующим образом настроить DNS-сервер. Для этого необходимо настроить пересылку запросов с DNS-сервера на сервер интернет-провайдера (закладка "Пересылка" - "Forwarding") путём указания вышестоящего домена или перечисления DNS-серверов, к которым будет обращаться DNS-сервер.

6.3.10 Определение механизма развертывания

При развертывании сети необходимо произвести следующие действия:

- смонтировать аппаратное обеспечение;

- проложить кабельную систему;

- установить ОС на сервера;

- установить ОС на рабочие станции.

Монтаж аппаратного обеспечения производится в каждом рабочем помещении: устанавливаются сетевые розетки, прокладываются кабельные каналы, устанавливаются сами рабочие станции. Все компьютеры соединяются в сеть.

При прокладке кабеля необходимо учитывать следующие основные моменты:

- иногда высокий уровень помех вызван всего лишь неправильным размещением кабеля сети. Например, при прокладке кабеля вдоль силовых проводов 220 вольт или вдоль рядов светильников с лампами дневного света количество ошибок передачи резко возрастает;

- кабельная система должна быть защищена от механических повреждений.

Для прокладки кабеля между комнатами или этажами обычно пробиваются отверстия в стенах или перекрытиях. По сравнению с прокладкой кабеля через двери комнат и стены коридоров это позволяет существенно сократить общую длину кабелей. Кабели ни в коем случае не должны самостоятельно удерживать свой вес, так как со временем это может вызвать их обрыв. Их следует подвешивать на стальных тросах.

- кабельная система должна иметь "прозрачную" и документировано оформленную структуру. Это необходимо как для обеспечения возможности внесения изменений в эту структуру, так и для поиска неисправностей.

Установка ОС Windows 2003 на сервера

Установка будет производиться с компакт-диска Windows 2003. Установка производиться на сервера, не имеющие операционных систем. В первую очередь необходимо разбить жёсткие диски на разделы. На каждой машине будет создано по два раздела, один из которых будет системным, а второй - для пользовательских данных. На одной из машин может также быть выделен один раздел для хранения образа ОС при использовании сервера RIS. Размер этого раздела должен быть не менее 4 Гбайт. Такой машиной будет сервер AD/DHCP/DNS. После этого начнётся установка системы. Необходимо выполнять все указания мастера и отвечать на его вопросы, периодически задавая необходимы параметры.

После установки системы необходимо произвести установку дополнительных сетевых сервисов, установить и настроить службу каталогов Active Directory.

Установка ОС на рабочие станции

Установка ОС на рабочие станции будет производиться автоматически с использованием службы RIS. Установку с использованием службы RIS удобно производить в организации, так как большинство пользовательских компьютеров имеют одинаковые характеристики аппаратного обеспечения, а остальные компьютеры - схожие характеристики.

RIS (Remote Installation Services) - служба удалённой установки, предназначен для удалённой установки на сетевые машины готовых образов операционных систем (Windows 2000 Professional, Windows 2000 Server, Windows XP и др.) из сети. Использование RIS предполагает:

- DHCP - выделяет клиенту IP адрес;

- DNS - позволяет доступиться к контроллеру домена;

- Поднятый Active Directory - сообщает клиенту, где находится RIS-сервер;

- ОС - Windows XP Professional.

Для использования службы RIS для удалённой установки необходимо:

- установить службу;

- указать директории, где будет храниться образ ОС, где расположен дистрибутив ОС и папку установки, а также имя и описание образа;

- Установить флажок «Не отвечать неизвестным клиентским компьютерам»;

- авторизовать RIS в DHCP;

- установить Windows ХР Pro и все необходимые приложения на один из компьютеров. Система и все приложения должны храниться в одном разделе. Установка может производиться с диска. Все приложения и саму операционную систему следует настроить необходимым образом. Помимо ОС необходима установка следующих приложений:

- MS Office XP/2003;

- MS Visio 2003;

- Антивирусное программное обеспечение;

- Архиваторы;

- Файл-менеджеры;

- Программное обеспечение АСУ.

Также необходимо удалить с этого компьютера все конфиденциальные сведения. Кроме того, рекомендуется остановить все программы на исходном компьютере.

- запустить Riprep.exe на данной машине для создания ее образа. Riprep.exe удаляет все индивидуальные настройки машины для создания образа. Программа запускается путем ввода команды \\имя_сервера(AD/DHCP/DNS)\REMINST\Admin\I386\RIPrep.exe.

- для того, чтобы на конечных компьютерах образ копировался только в один раздел, равный по размеру аналогичному разделу исходного компьютера, необходимо в файле Riprep.sif на сервере параметру UseWholeDisk присвоить значение NO. При установке такого образа на клиентский компьютер будет отформатирована только часть диска, соответствующая по размеру емкости диска исходного компьютера.

- ввести имя сервера, на который будет скопирован образ. По умолчанию образ будет копироваться на текущий сервер RIS, с которого запущен мастер.

- ввести имя папки на сервере RIS, в которую образ установки будет скопирован (F:\RemoteInstall).

- после этого образ будет реплицирован на сервер RIS. После завершения репликации образ установки автоматически добавляется к списку возможных вариантов установки операционных систем и становится доступным компьютерам-клиентам, использующим технологию удаленной загрузки. Мастер создания образа приводит исходный компьютер к универсальному состоянию, т. е. удаляет уникальные параметры установки клиента, например уникальный код безопасности компьютера (SID), имя компьютера и любые параметры реестра, уникальные для исходного компьютера. Оборудование компьютера-клиента, для которого разрешена удаленная загрузка, не обязательно должно совпадать с оборудованием исходного компьютера, на котором создавался образ. Мастер подготовки удаленной установки использует возможность Plug and Play для выявления различий в оборудовании исходного компьютера и компьютера-приемника при установке образа. Таким образом, проверяется, что для каждого из устройств Plug and Play установлен нужный драйвер.

- также необходимо провести настройку для компьютеров, на которые будет производиться установка ОС. Для этих компьютеров необходимо задать учётную запись в AD, сопоставив эту учётную запись глобальному однозначному идентификатору (globally unique identifier, GUID). GUID можно посмотреть в BIOS или использовать МАС адрес клиента, расширенный добавлением нулей впереди него. После этого RIS сервер позволяет получать доступ к образу только тем компьютерам, которые были предустановленны в AD.

- необходимо убедиться, что все клиенты поддерживают загрузку по сети. Для клиентов, не поддерживающих её, создать загрузочную дискету для загрузки по сети: \\имя_сервера (AD/DHCP/DNS) \REMINST\Admin\I386\RBFG.exe, и выбрать Создать диск.

- после этого можно начать запускать машины. В начале сервер DHCP назначает клиенту IP-адрес. Кроме того, клиент получает IP-адрес сервера RIS. Затем регистрируется пользователь, осуществляющий инициализацию этого ПК. Установку будут производить администраторы домена. Служба AD проверяет полномочия пользователя и предоставляет ему список образов операционной системы и вариантов установки. Используется Автоматическая установка.

6.4 Планирование внедрения Active Directory

Active Directory - это служба каталога в Windows 2003. Служба каталога является хранилищем информации, которая используется для целей как доступа к информации об объектах (таких как пользователи, компьютеры, домены и т.д.), так и для обеспечения служб аутентификации (проверки подлинности) и безопасности.

Active Directory позволяет проектировать структуру каталогов, отвечающую потребностям организации. Прежде чем внедрять Active Directory, необходимо изучить структуру организации и спланировать структуру домена, пространства имен домена, организационных подразделений и сайта. Гибкость Active Directory позволяет создать структуру сети, оптимизированную для организации.

Установка Active Directory будет производиться на компьютер с сетевым адресом 192.168.1.2. Этот сервер будет являться первичным сервером и хранителем глобального каталога. После установки Active Directory необходимо правильно произвести настройки во всех необходимых оснастках.

Также необходимо иметь второй сервер Active Directory для обеспечения отказоустойчивости сети. Установка дублирующего сервера AD будет производиться на компьютер с сетевым адресом 192.168.1.4.

6.4.1 Выбор доменной модели

При выборе доменной модели необходимо ответить на следующие вопросы:

- внутреннее и внешнее имя пространства имен;

- определить структуру доменной модели.

При выборе доменной модели необходимо учитывать следующее:

- учреждение Управление Здравоохарения расположена в одном здании, но имеются Лечебно Профилактические учреждения (ЛПУ), которые разбросаны географически по району.

- так как количество компьютеров не велико, то в организации может быть установлено централизованное администрирование, то есть функционирование сети поддерживается одной группой администраторов.

- в организации имеются 29 компьютеров и 4 сервера. Возможно небольшое увеличение количества компьютеров.

- подключение к Интернету происходит при помощи сервера DMZ/NAT.

- доменное имя ypr.ru выбрано по организационному признаку.

- ко всем компьютерам предъявляются единые требования к политике безопасности.

При выборе, будут ли совпадать внешнее (ypr.ru) и внутренне пространство имен, необходимо учитывать следующее:

- при использовании одинаковых внутренних и внешних имен требуется более сложная конфигурация NAT-сервера, однако обеспечивает согласованность внутренних и внешних имен и регистрацию по единому имени.

- при использовании разных внутренних и внешних имен сразу видно, какой ресурс внутренний, а какой - внешний, что позволяет пользователям легче понимать разницу между внутренним и внешним пространством имён, а также более простое управление и конфигурация NAT-сервера. Однако в этом случае требуется регистрация двух имен (чтобы не было внутреннего имени с каким-либо внешним именем), а также имена учетных записей пользователей будут отличаться от адресов электронной почты.

Таким образом, чтобы не создавать для каждого пользователя по два имени, будет использоваться одно пространство имен.

6.4.2 Планирование структуры домена

После того, как вы разработан общий план пространства имен, для его поддержки необходимо спланировать доменную структуру. При этом важно ответить решить следующий вопрос: будет создаваться один домен или несколько?

При планировании структуры домена изначально она будет состоять из одного домена. Потом необходимо добавлять другие домены. Нет необходимости создавать отдельные домены специально для каждого имеющегося в организации подразделения. Внутри каждого домена можно моделировать иерархию управления организацией для делегирования или администрирования с использованием организационных единиц, которые будут выступать в роли логических контейнеров для других объектов.

Организационная единица не требует отдельного контроллера домена и не участвует в репликации. Для её реализации требуется меньший объём ресурсов, чем для домена.

Для Управления Здравоохранения не имеет смысла создавать более одного домена, так как:

- применяется централизованное администрирование, а для каждого домена, как правило, следует назначать своего администратора (то есть децентрализованное управление);

- внутри организации будет использоваться единая политика безопасности, а домен является единицей безопасности (то есть в разных доменах, как правило, разные политики безопасности);

- организация находится в одной подсети.

Несколько доменов усложняют структуру AD, поэтому нет смысла создавать несколько доменов, если в этом действительно нет необходимости. Как было показано, в этом необходимости нет, поэтому для Управления Здравоохранения будет использоваться один домен.

При создании организационных единиц важно выделить три основных критерия: географическое размещение подразделений компании, их организационная структура или характер работы и объем полномочий сотрудников. Для Управление здравоохарнения, будет достаточно выделить одну организационную единицу.

Сервер Глобального каталога

Глобальный каталог (global catalog) представляет собой базу данных, содержащую информацию обо всех объектах дерева или леса AD. Глобальный каталог создаётся на первом контроллере домена (то есть на сервере AD/DHCP/DNS - 192.168.1.2). Глобальный каталог хранит не все объекты целиком, а только подмножество их атрибутов. Выбираются те атрибуты, которые чаще всего присутствуют в запросах пользователей.

Сервер глобального каталога выполняет две функции.

· Поиск объектов. Клиенты могут обращаться к глобальному каталогу с запросами на поиск объектов, основываясь на известных значениях атрибутов. Фактически использование сервера глобального каталога является единственным способом осуществлять поиск объектов по всему лесу доменов.

· Регистрация пользователей. Сервер глобального каталога необходим в том случае, если для регистрации в системе пользователь использует свое основное имя. Разрешение основного имени осуществляется непосредственно сервером глобального каталога.

6.4.3 Планирование учетных записей пользователей

Учётные записи пользователей необходимы для аутентификации пользователя, то есть для того, чтобы только аутентифицированный пользователь смог работать за машиной. Так как в системе создаётся домен, то будут созданы учётные записи пользователей домена. Локальные учётные записи создаются на отдельной машине и могут использоваться лишь для входа на эту машину, а доменные учётные записи создаются централизованно и могут использоваться для входа в систему и использования ресурсов по всему создаваемому домену.

При создании доменных учётных записей необходимо указать следующую информацию:

- имя, фамилия, отчество пользователя;

- имя для входа в систему - уникальное имя в пределах домена, является производным от фамилии, имени, отчества (например, IvanIvanov или IvanovI);

- пароль. При первом входе в систему пароль должен быть изменен (User must change password at next logon - Да). Кроме того, необходимо установить, чтобы пароль устаревал (Password never expires - Нет).

- User Cannot Change Password - Да - Пользователю разрешено изменять пароль

- Account Disable - Нет - учётная запись включена;

- дополнительная информация. Здесь потребуется указать более полные сведения о пользователе, такие как, его адрес, телефон, e-mail и прочее. Здесь важным оказывается указать часы входа в систему Logon Hours, то есть те часы, когда пользователю разрешено подключаться к домену. Так как рабочий день для сотрудников Управления Здравоохранения установлен с 8:00-17:00 с понедельника по пятницу, то разрешать подключение необходимо только в эти часы (исходя из характера работы организации нет надобности выходить в выходные дни на работу). При этом, когда время работы истекло, то необходимо не блокировать доступ, а разрешать сотруднику продолжить работу - так как вполне возможно, что кому нужно задержаться на работе. Также здесь определяются компьютеры, с которых может произойти подключение к системе. Логично предоставить пользователям возможность подключаться со всех компьютеров отдела, в котором они работают, а администраторам или программистам - с любого компьютера системы.

6.4.4 Планирование учетных записей групп

Группа (group) - это набор учетных записей пользователей. Группы упрощают администрирование, позволяя назначать разрешения и права группе пользователей, а не каждой отдельной учетной записи. Назначая разрешения, пользователям предоставляется доступ к определенным ресурсам, и определяются права доступа.

Создаваемые группы пользователей должны по возможности совпадать с реальными группами сотрудников организации (отделами). Каждой группе системный администратор может установить свои права доступа к сетевым ресурсам. Причём, каждая группа должна иметь столько прав доступа, сколько ей действительно нужно. Если прав меньше, чем нужно, это мешает работе пользователей группы, требует постоянного вмешательства администратора. Если же прав больше, чем необходимо, то пользователи может вольно или невольно уничтожить или исказить ценную информацию.

Прежде чем определять группы и их состав, необходимо определить тип группы, а также область действия группы пользователей, которая позволяет по-разному использовать группы для назначения разрешений и определяет, в каких сегментах сети группу можно использовать.

Существуют группы двух типов: группы безопасности (security groups) и группы рассылки (distributed groups). Группы безопасности рассматриваются подсистемой безопасности в качестве своих субъектов. Другими словами, они могут использоваться для разграничения доступа к ресурсам сети. Выдавая разрешение на доступ к объекту определенной группе, администратор автоматически разрешает доступ к данному объекту всем членам данной группы. Группы рассылки ориентированы на использование почтовой системы, как средства одновременной передачи сообщения некоторому коллективу пользователей.

Очевидно, что для разграничения прав на ресурсы необходимо создавать группы безопасности.

Область действия групп:

- локальные группы домена могут использоваться на любой системе в домене, а не только на той, где группа существует. Этот тип групп применяется обычно для назначения разрешений на доступ к ресурсам только в своём домене. Локальные доменные группы могут включать пользователей из любого домена леса, глобальные группы из любого домена, универсальные группы, локальные группы из того же домена.

- глобальные группы состоят из пользователей с одинаковыми потребностями. Могут быть использованы для доступа к ресурсам в любом домене леса. Глобальные группы включают пользователей или глобальные группы из того же домена

- универсальные группы могут использоваться для доступа к ресурсам в любом домене леса. Обычно применяются для доступа к связанным ресурсам, расположенным в нескольких доменах. Как и в глобальных группах, они используются для объединения пользователей со схожими потребностями или характеристиками. Универсальные группы могут создаваться только в основном режиме домена. Универсальные группы могут содержать пользователей из любого домена, глобальные группы из любого домена, универсальные группы.

В организации будет применяться следующая стратегия для организации групп:

- при создании групп в первую очередь рекомендуется объединять в группу пользователей со схожими потребностями. Исходя из определения групп, пользователи по такому признаку будут объединены в глобальную группу. Для организации это удобнее всего будет применить для отделов, то есть пользователи каждого отдела будут объединены в свою группу.

- далее, для удобства назначения разрешений, необходимо определить ресурс (например, приложение), и создать для этого ресурса локальную группу.

- для организации печати необходимо создать и опубликовать в Active Directory все сетевые принтеры. Так как принтер является общим ресурсом, то необходимо создать для каждого принтера свою группу.

- после этого все глобальные группы, обращающихся к одним и тем же ресурсам, следует включить в соответствующую локальную группу и назначить локальной группе соответствующие разрешения.

Такая стратегия называется AGLP - Accounts - учетные записи (помещаются в…) Global Groups - глобальные группы (которые затем помещаются в…) Local Groups - локальные группы (которым, в конечном счете, назначаются…) Permissions - разрешения.

Данная стратегия обеспечивает наибольшую гибкость при росте численности сотрудников и облегчает администратору назначение разрешений.

6.4.5 Планирование внедрения групповой политики

Групповая политика применяется для управления безопасностью сети.

Групповые политики могут быть применены на трех уровнях Active Directory: сайте, домене, организационной единице).

Так как в Управлении Здравоохранения создан только один домен, то групповые политики будут применяться на уровне этого домена.

Однако, с учетом того, что требования к безопасности обычных компьютеров, входящих в состав домена, и контроллера домена будут различаться, то необходимо контроллер домена (сервер AD/DHCP/DNS) поместить во встроенное подразделение «Контроллеры домена». После этого будет возможность применить к контроллеру домена Default Domain Controllers Policy. Тогда к остальным компьютерам организации будет применен объект групповой политики Default Domain Policy.

Таким образом, в домене действуют две групповые политики:

1. Default Domain Policy

Параметры безопасности (Security Settings). Служат для настройки параметров системы безопасности компьютеров, на которые воздействует данный объект групповой политики. С помощью групповых политик можно настроить безопасность локального компьютера, домена и целой сети.

Политики учетных записей

Политики учетных записей определяются на компьютерах и определяют взаимодействие учетных записей пользователей с компьютером или доменом.

Политика паролей - определяют параметры паролей:

1. Максимальный срок действия пароля - 90 дней.

2. Минимальная длина пароля - 6 символов.

3. Минимальный срок действия пароля - 10 дней.

4. Одновременно можно хранить не более 24 паролей.

5. Остальные параметры (хранить пароли всех пользователей в домене, используя обратное шифрование; пароли должны отвечать требованиям сложности) - по умолчанию.

Политика блокировки учётной записи - определяют условия и время блокировки учётной записи:

1. Блокировка учётной записи на 15 минут.

2. Пороговое значение блокировки: 5 ошибки входа в систему.

3. Сброс счётчика блокировки через 3 часа.

Локальные политики

Политика аудита - определяет события (вход к систему, перезагрузка компьютера, добавление или удаление пользователей или групп, доступ пользователя к объектам компьютера и прочее) и результат этих событий (успех или отказ или и то и другое), на которые будет осуществляться аудит. Путем определения параметров аудита для различных категорий событий можно создавать политику аудита, удовлетворяющую всем требованиям безопасности организации.

· Аудит событий входа в систему: Нет аудита

· Аудит управления учетными записями: Нет аудита

· Аудит входа в систему: Успех, Отказ

· Аудит доступа к объектам: Нет аудита

· Аудит изменения политики: Нет аудита

· Аудит использования привилегий: Нет аудита

· Аудит отслеживания процессов: Отказ

· Аудит системных событий: Успех, Отказ

Назначение прав пользователя - определяет, какие пользователи и группы обладают правами на вход в систему и выполнение различных задач. Существует множество различных задач. Следующие основные задачи будут изменены, для остальных параметры останутся по умолчанию:

1. Доступ к компьютеру из сети - все.

2. Разрешение локального входа в систему - администраторы, опытные пользователи, пользователи своего отдела, операторы архива.

3. Архивирование файлов и каталогов - администраторы и операторы архива.

4. Принудительное удаленное завершение работы - администраторы, операторы сервера, опытные пользователи.

5. Загрузка и выгрузка драйверов устройств - администраторы, опытные пользователи.

6. Выполнение задач по обслуживанию томов - администраторы.

7. Профилирование одного процесса - администраторы, опытные пользователи, операторы сервера (на серверах).

8. Профилирование загруженности - системы администраторы, опытные пользователи, операторы сервера (на серверах).

9. Восстановление файлов и каталогов - администраторы, операторы архива.

10. Завершение работы системы - администраторы, операторы архива, опытные пользователи, пользователи.

11. Смена владельца файлов или иных объектов - администраторы.

Параметры безопасности. Включение или отключение параметров безопасности, таких как цифровая подпись данных, имена учетных записей администратора и гостя, доступ к дисководам гибких и компакт-дисков, установка драйверов и приглашения на вход в систему. Большинство этих параметров останется без изменений (настройки по умолчанию).

· Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности - включен.

· Устройства: разрешено форматировать и извлекать съемные носители - администраторы.

· Устройства: запретить пользователям установку драйверов принтера - включен.

· Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям - включен.

· Устройства: разрешить доступ к дисководам гибких дисков только локальным пользователям - включен.

· Член домена: максимальный срок действия пароля учетных записей компьютера - 90 дней.

· Интерактивный вход в систему: напоминать пользователям об истечении срока действия пароля заранее - 5 дней.

· Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL - Отключен.

· Интерактивный вход в систему: не отображать последнего имени пользователя - Включен.

· Сервер сети Microsoft: длительность простоя перед отключением сеанса - 15 минут для всех.

· Сетевой доступ: разрешать анонимный доступ к общим ресурсам - Отключен.

· Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей - Классическая.

· Завершение работы: очистка страничного файла виртуальной памяти - Включен.

Установка программ

Необходимо также произвести назначение ПО пользователям. Назначение ПО предназначено для организации централизованного управления установкой программного обеспечения на компьютеры сети. Назначение ПО группе пользователей или компьютеров предполагает, что все пользователи, которым необходима данная программа, будут автоматически получать ее без привлечения администраторов или технического персонала. Если для приложения установлен принудительный режим, ярлык, соответствующий данной программе, появляется в меню Пуск, а в реестр заносится информация о данном приложении, включая местоположение пакета и других файлов, необходимых для установки данного ПО. При первом обращении пользователя к ярлыку соответствующее программное обеспечение устанавливается и запускается. Необходимо назначение следующего программного обеспечения на уровне компьютеров:

- архиваторы;

- Total Commander (или другие файл-менеджеры);

- антивирусное программное обеспечение;

- ПО АСУ.

Конфигурация компьютера

1. Интервал обновления групповой политики: 3 часа

2. Действия при отключении от сервера: Работать автономно.

Конфигурация пользователя

1. Запретить изменение параметров панели задач и меню «Пуск».

2. Отключить Active Desktop.

3. Запретить пользователям изменять путь к папке «Мои документы».

4. Запретить удаление принтеров.

5. Запрашивать пароль при выходе из спящего или ждущего режима.

6. Не запускать автоматически Windows Messenger при входе.

7. Запретить выполнение Windows Messenger.

Перенаправление папки (Folder Redirection)

Оснастка Перенаправление папки позволяет перенаправить некоторые папки профиля пользователя в другое место (как правило, на общий ресурс сети). Перенаправление папки на общий ресурс сети позволяет, например, обеспечить доступ к информации перечисленных папок для различных компьютеров сети, а также повысить отказоустойчивость и упростить создание резервных копий информации.

Необходимо осуществить перенаправление папок пользователей Мои документы (My Documents) на сервер БД: SERVER_BD\\HOME\\USERS\\%username%

2. Default Controllers Domain Policy

Политики учетных записей

Контроллер домена всегда получает политику учетных записей от объекта групповой политики «Default Domain Policy», даже если имеется другая политика учетных записей, примененная к организационному подразделению, которое содержит контроллер домена.

Локальные политики

Политика аудита

Аудит событий входа в систему: Успех, Отказ

Аудит управления учетными записями: Успех, Отказ

Аудит доступа к службе каталогов: Отказ

Аудит входа в систему: Успех, Отказ

Аудит доступа к объектам: Нет аудита

Аудит изменения политики: Успех, Отказ

Аудит использования привилегий: Нет аудита

Аудит отслеживания процессов: Нет аудита

Аудит системных событий: Успех, Отказ

Назначение прав пользователя

1. Доступ к компьютеру из сети: Администраторы.

2. Разрешение локального входа в систему: Администраторы.

3. Принудительное удаленное завершение работы: Администраторы

4. Восстановление файлов и каталогов: Администраторы, Операторы Архива

5. Завершение работы системы: Администраторы

Параметры безопасности

Для данной политики могут быть применены параметры по умолчанию, а также параметры для групповой политики Default Domain Policy.

Конфигурация компьютера

1. Отключить автозапуск.

2. Максимальный размер файла журнала: 10 Мбайт.

3. Интервал обновления групповой политики для контроллеров домена: 10 минут.

Конфигурация пользователя

1. Отключить Active Desktop.

2. Запрашивать пароль при выходе из спящего или ждущего режима.

3. Запретить появление сообщения Вы знаете.

4. Не запускать автоматически Windows Messenger при входе.

5. Запретить выполнение Windows Messenger.

6.4.6 Планирование общих папок

Также разрешается сделать папку общей для нескольких пользователей, которые смогут получать к ней и ее содержимому со своих компьютеров. Общая папка может содержать приложения, данные или личную папку пользователя. Каждый тип данных требует различных разрешений доступа.