Выбор серверного оборудования

На предприятии установить сервер, работающий под управлением операционной системой Microsoft Windows 2008 server.

В основу Windows Server 2008 положена успешная и мощная операционная система Windows Server 2003, а также усовершенствования, реализованные в пакете обновления 1 (SP1) и выпуске Windows Server 2003 R2. Тем не менее ОС Windows Server 2008 - не просто усовершенствование предшествующей операционной системы. Она разработана для того, чтобы обеспечить организации наиболее производительной платформой, позволяющей расширить функциональность приложений, сетей и веб-служб, от рабочих групп до центров данных, и значительно улучшить качество базовой операционной системы.

В Windows Server 2008 не только добавлены новые функции, но и значительно усовершенствованы многие возможности базовой ОС Windows Server 2003. Среди них следует отметить работу с сетью, расширенные функции безопасности, удаленный доступ к приложениям, централизованное управление ролями сервера, средства мониторинга производительности и надежности, отказоустойчивость кластеров, развертывание и файловую систему. Эти и многие другие улучшения помогают вывести серверы на максимальный уровень гибкости, безотказности и управляемости.

Серверные роли.

Серверные роли описывают первичную функцию сервера. Администраторы могут выделить для каждой роли по отдельному серверу или же совместить несколько ролей на одном сервере. Каждая роль может включать один или более сервисов, называемых под элементами роли. В Windows Server 2008 существуют следующие серверные роли, которые могут быть установлены и управляются через Server Manager.

Active Directory Certificate Services - Active Directory Certificate Services (AD CS) обеспечивает настраиваемый сервис для создания и управления сертификатами публичных ключей, используемых в системах безопасности ПО. Организации могут использовать Active Directory Certificate Services для повышения безопасности, используя привязку к пользователю, устройству или сервису к соответствующему частному ключу. В Active Directory Certificate Services также включены возможности, которые позволяют управлять выдачей сертификатов и их обновлением, в разнообразном масштабируемом окружении.

Приложения поддерживаемые Active Directory Certificate Services включают в себя: Secure/Multipurpose Internet Mail Extensions (S/MIME), безопасные беспроводные сети, Виртуальные Частные Сети (VPN), протокол IPsec, Шифрованную Файловую Систему (EFS), смарт карты, протоколы Secure Socket Layer/Transport Layer Security (SSL/TLS), и цифровые подписи.

Active Directory Domain Services - Active Directory Domain Services хранит информацию о пользователях, компьютерах, и других устройствах сети. AD DS помогает администраторам безопасно управлять этой информацией и распределением ресурсов и совместной работой между пользователями. AD DS также необходима для установки приложений использующих Active Directory (например Microsoft Exchange Server) и для применения других технологий Windows Server, таких как Групповые политики.

Active Directory Federation Services - Active Directory Federation Services (AD FS) обеспечивает функционирование технологии Web single-sign-on (SSO), которая позволяет аутентифицироваться пользователям к Web приложениям используя единый аккаунт. AD FS это законченное решения для безопасного объединения, идентификации пользователей между организациями партнерами.

Active Directory Lightweight Directory Services – организации которые используют приложения, которые требуют наличия каталога для хранения информации, могут использовать Active Directory Lightweight Directory Services (AD LDS), в качестве хранилища. AD LDS запускается как отдельный сервис, не являющийся частью операционной системы, что позволяет использовать несколько копий сервиса на одном сервере. Каждая из копий сервиса может быть сконфигурирована независимо от других копий, и использоваться разными приложениями.

Active Directory Rights Management Services (AD RMS) – AD RMS технология защиты информации, которая работает с приложениями поддерживающими эту функцию (Например Outlook 2007), и помогает защитить информацию от несанкционированного использования. Владелец информации может указать, как именно получатель может использовать информацию, например, открывать, модифицировать, печатать, пересылать, или производить другие действия с информацией. Организации могут создавать темплейты прав, такие как «Конфиденциально – Только чтение», которые могут применяться к необходимым объектам защиты (например почтовые сообщения, финансовые отчеты и т.д.)

Application Server - Application Server комплексное решение для хостинга и управления высокопроизводительными распределенными бизнес приложениями. Включая такие сервисы как .NET Framework, поддержка Web сервера, очереди сообщений, COM+, Windows Communication Foundation, и поддержку отказоустойчивых кластеров, ускоряя производительность, на всем протяжении жизненного цикла приложения, начиная от проектирования и разработки, до внедрения , и промышленной эксплуатации.

Dynamic Host Configuration Protocol (DHCP) Server– DHCP позволяет назначать или выдавать IP адреса компьютерам и другим устройствам, которые могут функционировать, как DHCP клиенты. Развернутые DHCP серверы в сети, автоматически сообщают компьютерам и другим устройствам использующим стэк протоколов TCP/IP, правильный IP адрес и другие параметры (Опции DHCP), которые позволяют устройствам соединяться с другими ресурсами, такими как DNS серверы, WINS серверы, маршрутизаторы и др.

DNS Server - Domain Name System (DNS) предоставляет стандартный метод ассоциации названий устройств, с IP адресами. Это позволяет пользователям обращаться к ресурсам, используя легко запоминающиеся имена ресурсов, а не IP адреса. Windows DNS сервер можно интегрировать с DHCP сервером, для автоматического обновления информации на DNS сервере.

Fax Server - Fax Server позволяет получать и отправлять факсимильные сообщения, управлять ресурсами факсов, такими как настройки, задания, факсы.

File Services - File Services предоставляют технологии для управления хранилищами, файловой репликацией, распределенной файловой системой, быстрый поиск файлов и ускоренный доступ клиентов к файлам.

Network Policy and Access Services - Network Policy and Access Services предоставляет различные методы для доступа к локальным и удаленным сетевым ресурсам, и позволяет сетевым администраторам централизованно управлять сетевым доступом и клиентскими политиками. Совместно с сервисом Network Access Services, вы можете развернуть серверы VPN, серверы dial-up, маршрутизаторы, и защищенные беспроводные сети (802.11). Также вы можете развернуть RADIUS серверы, прокси, использовать Connection Manager Administration Kit для создания профилей удаленного доступа, которые позволят клиентским компьютерам соединяться с вашей сетью.

Print Services - Print Services позволяют управлять принт серверами и принтерами. Принт серверы снижают управляющую нагрузку на администраторов, за счет централизованного управления принтерами.

Terminal Services- Terminal Services предоставляют возможность пользователям использовать программное обеспечение, установленное на терминальном сервере, или же получить удаленный доступ к своему рабочему столу с любого компьютера. Пользователи могут соединяться с терминальными серверами, для запуска приложений и для использования сетевых ресурсов (сетевые диски, печать и т.д.).

Universal Description, Discovery, and Integration Services - Universal Description, Discovery, and Integration (UDDI) Services предоставляют возможности для распределения информации с использованием Web сервисов внутри сети (Интранет), между бизнес партнерами (Экстранет), или же в Интернет. UDDI Services может помочь увеличить производительность разработчиков и IT профессионалов с более надежными и управляемыми приложениями. С UDDI Services вы можете сократить возможное дублирование работы коллегами и снизить накладные расходы.

Web Server (IIS) - Web Server (IIS) предоставляет информацию в Интернет, Интранет, Экстранет. Это объединенная Web платформа на базе IIS 7.0, ASP.NET, Windows Communication Foundation, и Windows SharePoint Services. В IIS 7.0 увеличена безопасность, упрощена диагностика и администрирование.

Windows Deployment Services – Вы можете использовать Windows Deployment Services для инсталляции и конфигурирования операционных систем семейства Microsoft Windows, с использованием образов Pre-boot Execution Environment (PXE) boot ROMs. Администрирование упрощается с использованием ММС оснастки WdsMgmt, который управляет всеми аспектами Windows Deployment Services. Windows Deployment Services также позволяет пользователям получить опыт в развертывании Windows.

Windows SharePoint Services - Windows SharePoint Services позволяет организациям увеличить производительность, путем создания Web сайтов для совместной работы над документами, задачами и событиями, распространения контактов и другой информации. Окружение, спроектированное для гибкого развертывания, администрирования, и разработки приложений.

В Windows Server 2008, администраторы могут инсталлировать минимально необходимое окружение для работы определенных ролей. Также это повышает безопасность сервера (уменьшая поверхность атаки), снижает затраты на управление, и требования к ресурсам. Для установки в режиме Server Core Installation на жестком диске достаточно 2Гб свободного места! Уверен, в ближайшем будущем, во многих компаниях будут стоять двухпроцессорные серверы (4х или 8ми ядерные), с ПО Virtual Server, на которых будет крутиться два-четыре Windows Server 2008 в режиме Server Core Installation, каждый, со своей ролью.

Улучшение свойств надежности в Windows Server 2008

Как утверждает Microsoft, Windows Server 2008 является «самой надежной» серверной операционной системой из когда-либо ими созданных.

Свойства безопасности в Windows Server 2008:

1. Active Directory Federation Service (Служба объединения Active Directory) – позволяет администраторам легко устанавливать отношения с партнерами по объединению.

2. Read-Only Domain Controllers(Доменные контроллеры только для чтения) – эти доменные контроллеры будут использованы в средах, где вам требуется доменный контроллер, но вы не можете гарантировать физическую сохранность сервера.

3. Server Core Installation(Установка серверного ядра) – новый тип установки Windows Server 2008, который позволит вам установить только обычные сетевые службы инфраструктуры Windows - DHCP, DNS, разделяемые файлы и функции контроллера домена. Для большинства администраторов большим изменением будет то, что если вы выберете использовать установку “server core”, там не будет локального GUI интерфейса для ОС.

4. Password and account lockout policy improvements(улучшения политики паролей и блокировки аккаунтов) – предлагает возможность иметь множество политик паролей и блокировки аккаунтов в одном домене.

5. Windows BitLocker Drive Encryption– позволяет вам зашифровать все жесткие диски на сервере. Это предотвратит возможность просмотра данных в случае кражи диска или сервера.

Сервер Active Directory

Active Directory («Активный каталог», AD) — LDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows NT. Active Directory позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики. Объекты могут быть хранилищами для других объектов (группы безопасности и распространения). Объект уникально определяется своим именем и имеет набор атрибутов — характеристик и данных, которые он может содержать; последние, в свою очередь, зависят от типа объекта. Атрибуты являются составляющей базой структуры объекта и определяются в схеме. Схема определяет, какие типы объектов могут существовать.

Сама схема состоит из двух типов объектов: объекты классов схемы и объекты атрибутов схемы. Один объект класса схемы определяет один тип объекта Active Directory (например, объект «Пользователь»), а один объект атрибута схемы определяет атрибут, который объект может иметь.

Каждый объект атрибута может быть использован в нескольких разных объектах классов схемы. Эти объекты называются объектами схемы (или метаданными) и позволяют изменять и дополнять схему, когда это необходимо и возможно. Однако каждый объект схемы является частью определений объектов Active Directory, поэтому отключение или изменение этих объектов могут иметь серьёзные последствия, так как в результате этих действий будет изменена структура Active Directory. Изменение объекта схемы автоматически распространяется в Active Directory. Будучи однажды созданным, объект схемы не может быть удалён, он может быть только отключён. Обычно все изменения схемы тщательно планируются.

Контейнер аналогичен объекту в том смысле, что он также имеет атрибуты и принадлежит пространству имён, но, в отличие от объекта, контейнер не обозначает ничего конкретного: он может содержать группу объектов или другие контейнеры.

Верхним уровнем структуры является лес — совокупность всех объектов, атрибутов и правил (синтаксиса атрибутов) в Active Directory. Лес содержит одно или несколько деревьев, связанных транзитивными отношениями доверия. Дерево содержит один или несколько доменов, также связанных в иерархию транзитивными отношениями доверия. Домены идентифицируются своими структурами имён DNS — пространствами имён.

Объекты в домене могут быть сгруппированы в контейнеры — подразделения. Подразделения позволяют создавать иерархию внутри домена, упрощают его администрирование и позволяют моделировать организационную и/или географическую структуры компании в Active Directory. Подразделения могут содержать другие подразделения. Корпорация Microsoft рекомендует использовать как можно меньше доменов в Active Directory, а для структурирования и политик использовать подразделения. Часто групповые политики применяются именно к подразделениям. Групповые политики сами являются объектами. Подразделение является самым низким уровнем, на котором могут делегироваться административные полномочия.

Другим способом деления Active Directory являются сайты, которые являются способом физической (а не логической) группировки на основе сегментов сети. Сайты подразделяются на имеющие подключения по низкоскоростным каналам (например по каналам глобальных сетей, с помощью виртуальных частных сетей) и по высокоскоростным каналам (например через локальную сеть). Сайт может содержать один или несколько доменов, а домен может содержать один или несколько сайтов. При проектировании Active Directory важно учитывать сетевой трафик, создающийся при синхронизации данных между сайтами.

Ключевым решением при проектировании Active Directory является решение о разделении информационной инфраструктуры на иерархические домены и подразделения верхнего уровня. Типичными моделями, используемыми для такого разделения, являются модели разделения по функциональным подразделениям компании, по географическому положению и по ролям в информационной инфраструктуре компании. Часто используются комбинации этих моделей.

AD позволяет разграничивать права пользователей. Также контроллер домена позволяет просмотреть сервер и увидеть, какие ресурсы он использует; увидеть пользователей, подключенных к настоящему времени к серверу и увидеть, какие файлы у них открыты; проверить данные в журнале безопасности; записи в журнале событий; и указать, о каких ошибках администратор должен быть предупрежден, если они произойдут.

Начало сеанса на рабочей станции. Всякий раз, когда пользователь начинает сеанс на рабочей станции, экран начала сеанса запрашивает имя пользователя, пароль и домен. Затем рабочая станция посылает имя пользователя и пароль в домен для идентификации. Сервер в домене проверяет имя пользователя и пароль в базе данных учетных карточек пользователей домена. Если имя пользователя и пароль идентичен данным в учетной карточке, сервер уведомляет рабочую станцию о начале сеанса. Сервер также загружает другую информацию при начале сеанса пользователя, как например установки пользователя, свой каталог и переменные среды. Для всех пользователей сети предусмотрено свое имя и пароль.

Файловый сервер

Файловый сервер– данный сервер выполняет обслуживание и управление базой данных и отвечает за целостность и сохранность данных. На данном сервере используется SQL Server для выполнения основных операций манипулирования данными, выполнения простых и сложных запросов, а также создание БД и таблицы с полным описанием их структуры. Содержит данные и информацию об отделах: бухгалтерии, заочного отдела, директора, отдела кадров, кафедр и студентов.

В подразделение «бухгалтерия» входят: сотрудники бухгалтерии, главный бухгалтер и отдел кассы. Доступ данного подразделения позволяет им свободно вносить, изменять и удалять информацию, содержащуюся в 1С сервере, в разделе бухгалтерия, а также просмотр учетных данных всех сотрудников организации, кроме директора и заместителя директора.

В подразделении «кафедры» доступен только просмотр баз данных организации.

В подразделение «отдел кадров» входят: все сотрудники данного отдела. Им доступен просмотр, чтение и добавление записей.

В качестве операционной системы использовать Windows 2007 Professional.

В качестве базовых технических средств по оснащению корпоративной сети применить следующие средства вычислительной техники (СВТ).

Таблица 2.6 - Конфигурация рабочей станции средней производительности

Наименование компьютера Alser Corporative №697
Материнская плата MB LGA-1155 Asus P8H61-M LX3 PLUS R2.0 (H61+7.1 channel HDA+GLAN),1xPCI-Ex16, 1xPCiex1 ,2xDDR3(1333/1066),4xSATA3.Box
Оперативная память DIMM DDR3 2048Mb (1333) Mhz Kingston KVR1333D3S8N9/2G BOX
Жесткий диск Toshiba SATA-III 500Gb (DT01ACA050) 7200 rpm 32Mb 3.5"
Корпус FOXCONN R891 TSAA (TSAA891) ATX , PSU (FOXLINE)
Блок питания Hunt Key CP-400H, 400W,12cm fan,20+4pin,retail box
Монитор Монитор 21,5" HP Pavilion 22xi

Таблица 2.7 - Конфигурация рабочей станции высокой производительности

Наименование компьютера Alser Mega Pro №339
Материнская плата MB LGA-1155 FOXCONN H77M GBOX (H77+SB 5.1ch+GLAN)1*PCI 3.0*16/1*PCI*1/2*PCI/2* SATAIII, 4* SATAII, Supports SATA RAID 0,1,5,10 BOX Rapid Recover
Оперативная память 2xDIMM DDR3 4096Mb1333MHz Crucial (ST51264BA1339) OEM Spectek (PC3-10600) CL9 UDIMM 240pin
Жесткий диск Toshiba 2Tb 3.5 Sata (7200) 64Mb DT01ACA200
Корпус Cooler Master K350 чёрный ( RC-K350-KWN2-EN)
Блок питания HuntKey LW-6500HG Green Star 500W АТX ,TUV, ATX-2/24pin/12см fan
Видеокарта Palit GTX650 1024Mb GDDR5 PCIEx, 128bit, mHDMI/DVI/VGA BOX
Монитор Монитор 21,5" HP Pavilion 22xi

В качестве антивирусной защиты в компании применяется Dr.Web Enterprise Suite. Так же на сервере установлен ISA Server 2006 (firewall прокси).

ISA-сервер – это файервол с перспективой контроля простых пакетов и контроля на уровне приложений. Один из наиболее известных расширений ISA-сервера для проверки на уровне приложений считается спецфильтр web-прокси. Спецфильтр web-прокси предоставляет вероятность ISA-серверу трудиться как механизм web-прокси. Приборы web-прокси (либо серверы) удерживают компьютеры с web-браузерами и иными приложениями с перспективой применения web-прокси при применении web-прокси ISA-сервера с целью допуска в Сеть интернет.

Применение принципа централизованного администрирования.

§ значительно увеличит управляемость ЛВС за счет появления возможности формирования любых наперед заданных рабочих групп на физическом уровне без использования виртуальных соединений;

§ сосредоточит все активное оборудование в одном месте, что влечет за собой увеличение защищенности от несанкционированного доступа к информации, уменьшение потребности в высокоскоростных каналах и упрощение процедур проведения эксплуатационных измерений;

§ значительно сократит выделенные помещения для кроссовых этажей.


Наши рекомендации