Implementarea Unei Infrastructuri Microsoft Exchange Server 2010

CUPRINS

1. INTRODUCERE…………………………………………………………………………………….3

1.1 Context…………………………………………………………………………………………………………….3

1.2 Tema proiectului………………………………………………………………………………………………..5

2. FUNDAMENTAREA TEORETICĂ……………………………………………………….6

2.1 Sistemul de operare Windows Server 2008 R2………………………………………………………6

2.1.1 Prezentare generală……………………………………………………………………………….6

2.1.2 Versiunile sistemului de operare Windows Server 2008……………………………7

2.2 Active Directory………………………………………………………………………………………………10

2.2.1 Introducere în Active Directory……………………………………………………………10

2.2.2 Rezolvare de nume……………………………………………………………………………..11

2.2.3 Infrastructura Active Directory…………………………………………………………….13

2.2.4 Accesul la resurse……………………………………………………………………………….15

2.3 Microsoft Exchange 2010…………………………………………………………………………………18

2.3.1 Fundamentele Exchange 2010……………………………………………………………..18

2.3.2 Arhitectura Exchange 2010 și rolurile de server……………………………………..19

2.3.3 Managementul recipientelor Exchange 2010………………………………………….23

3. IMPLEMENTAREA PROIECTULUI…………………………………………………25

3.1 Analiza companiei…………………………………………………………………………………………..25

3.2 Analiza topologiei de rețea………………………………………………………………………………26

3.3 Instalarea și configurarea Active Directory………………………………………………………..27

3.3.1 Instalarea domeniilor…………………………………………………………………………27

3.3.2 Proiectarea structurii de unități organizaționale…………………………………….34

3.4 Planificarea și instalarea serviciului de Exchange 2010………………………………………37

3.4.1 Planificarea organizației de Exchange 2010…………………………………………37

3.4.2 Managementul recipientelor……………………………………………………………….41

3.5 Securizarea serverelor Windows de infrastructură……………………………………………..43

4. CONCLUZII………………………………………………………………………………………46

BIBIOGRAFIE……………………………………………………………………………………….47

INTRODUCERE

1.1. CONTEXT

În prezent, informatica și-a găsit aplicabilitatea într-o gamă foarte largă de domenii ale vieții noastre. Deasemenea Internetul a avut un impact foarte puternic în dezvoltarea informaticii la scară mondială. Rețeaua a dezvoltat foarte mult comunicarea la nivel modial dintre companii, mass media, logistică, dar nu în ultimul rând a vieții private a fiecărui individ. Mai puțin vizibilă, dar omniprezentă, informatica și-a gasit un loc foarte stabil în aparatele casnice, având un rol foarte important aici prin ușurarea muncii manuale a individului.

Funcțiile unui computer s-au dezvoltat foarte mult și într-un timp scurt, putând administra, transmite, proteja și prelucra o cantitate mare de date într-un timp foarte scurt. Pentru a ajunge la astfel de performanțe și operații efectuate de un computer a fost nevoie de un studiu amănunțit la nivelul interacțiuniilor dintre software și hardware, ceea ce reprezintă domeniile fundamentale în Informatică.

Serverele, în momentul de față au ajuns să ocupe un loc foarte important în tehnologia informației. Un server este o aplicație pe computer, deseori folosindu-se un computer în totalitate, care operează continuu în rețeaua sa, așteptând solicitări din partea altor computere, numite clienți, care sunt incluse tot în aceeași rețea.

Principalele tipuri de servere și funcțiile lor într-o rețea:

Domain controller – deține funcțiile de memorare a bazei de date din domeniu și managementul comunicației între utilizatori și domeniu, incluzând procesele de logon, autentificare și căutare în domeniu. Când se instalează Active Directory pe un computer pe care rulează Windows Server 2008 R2, computerul devine domain controller.

Server de fișiere – oferă o locație centrală în rețea unde se pot stoca și publica fișiere pentru utilizatorii din rețea. Când utilizatorii solicită un fișier important ca de exemplu planul unui proiect, ei pot accesa fișierul de pe server în loc să transmită fișierele între calculatoare.

Server de DNS (Domain Name System) – Este un standard TCP/IP. Serviciul de DNS permite calculatoarelor client din rețea să se înregistreze și să-și mapeze numele de domeniu DNS. Un calculator configurat să ofere servicii de DNS în rețea se numește server de DNS. Trebuie să avem un server de DNS în rețea pentru a putea implementa Active Directory.

Server de aplicații – un server de aplicații oferă serviciile și infrastructura pentru aplicațiile rulate pe un sistem.

Terminal Server – permite instalarea unei aplicații pe un singur server. Mai mulți utilizatori pot accesa aplicația făra să o instaleze pe calculatoarele lor. Utilizatorii pot rula programe, salva fișiere și utiliza resursele din rețea dintr-o locație la distanță ca și cum acestea ar fi instalate pe calculatorele lor.

1.2. TEMA PROIECTULUI

Fig.1. Schema infrastructurii

Se cere proiectarea și implementarea unei infrastructuri de tip server-client în cadrul unei companii. Ca și cerințe enumerăm : Server DNS propriu, Active Directory, Database Availability Group, Server de Date, serviciul de e-mail bazat pe Exchange 2010. Pentru a susține dezvoltarea, fiabilitatea și flexibilitatea serviciului, vom avea nevoie de o infrastructură stabilă, care să funcționeze 24 de ore din 24 și care să respecte standarde performante de securitate. Una dintre cele mai importante cerințe ale serviciului este aceea ca timpul cât serviciul de e-mail este offline sa fie cât mai aproape de zero pentru a nu perturba activitatea utilizatorilor.

Infrastructura de e-mail este simulată pe mașini virtuale pe un singur calculator fizic. Mașinile virtuale care simulează serverele vor avea instalate ca sistem de operare Windows Server 2008 R2 Enterprise Edition with Service Pack 1 (x64), iar serverele dedicate serviciului de e-mail vor avea instalat Microsoft Exchange Server 2010 Enterprise Edition (x64) cu toate programele necesare pentru a putea fi instalat.

FUNDAMENTAREA TEORETICĂ

SISTEMUL DE OPERARE WINDOWS SERVER 2008 R2

Prezentare generală

Windows Server 2008 R2 este un sistem de operare server produs de Microsoft. Introdus în producție în 22 Iulie 2009, este primul sistem de operare de acest gen pe 64 biți fiind orientat pentru clienți cu Windows 7. Versiunea îmbunătățită are multe noi funcționalități pentru Active Directory, noi caracteristici pentru virtualizare și management, cuprinde o versiune nouă pentru Microsoft IIS Web Server și suportă până la 256 de procesoare logice.[5]

Windows Server 2008 este lansat în mai multe ediții, fiecare având o anumită țintă în funcție de tipul de business. În general toate variantele de Windows Server 2008 oferă facilități de sharing de fișiere și imprimante, pot fi folosite ca server de aplicații, e-mail.

Iată cele mai importante beneficii pe care Windows Server 2008 le aduce în plus pentru organizații:

– Ușor de implementat și administrat. Cu interfața sa familiară, Windows Server 2008 este ușor de utilizat. Cu ajutorul asistenților de tip wizard setarea diferitelor roluri de server se simplifică și fluentizează sarcinile de administrare, încât până și serverele fără administratori pot fi gestionate la nivel de bază.

– Windows Server hyper-V, tehnologia de virtualizare a serverului de generație următoare, permite utilizarea optimă a investițiilor hardware în server, consolidând mai multe roluri de server ca mașini virtuale separate, care rulează pe o singură mașină fizică. Se poate de asemenea rularea a mai multor sisteme de operare – Windows, Linux si altele – în paralel, pe un singur server.

– Windows Server 2008 integrează Internet Information Services 7.0 (IIS 7.0), un server Web și o platformă ușor de administrat, cu securitate îmbunătățită, pentru dezvoltarea și găzduirea aplicațiilor și serviciilor Web. O îmbunătățire majoră adusă aici este includerea unei arhitecturi având componente pentru flexibilitate și control sporit. IIS 7.0 asigură de asemenea, administrare simplificată, funcționalități puternice de diagnosticare și depanare care economisesc timp și capacitate completă de extindere.

– Cel mai sigur server Windows, sistemul de operare fiind consolidat pentru a asigura protecția împotriva eșecurilor și câteva tehnologii noi ajută la stoparea conexiunilor neautorizate la rețele, servere, date și conturi de utilizatori. Network Access Protection(NAP) vă ajută să vă asigurați că PC-urile care încearcă să se conecteze la rețea respectă politicile de securitate ale companiei. Integrarea tehnologiei și alte îmbunătățiri fac din serviciul Active Directory o soluție puternic unificată și integrată Identity and Access (IDA). În plus, Read-Only Domain Controller (RODC) și Bitlocker Drive Encryption permite implementarea mai sigură a bazei de date AD la alte sucursale.

– Beneficiile și economiile aduse de Windows Server 2008 au fost extinse la Windows HPC Server 2008, pentru a garanta un mediu de calcul de înaltă performanță. Windows HPC Server 2008 este dezvoltat pe tehnologia pe 64 de biți și poate fi scalat eficient la mii de nuclee de procesare cu ajutorul funcționalității integrate. Acest lucru crește productivitatea și reduce complexitatea mediului HPC. Acest mediu permite o adoptare la nivel extins, oferind utilizatorilor finali o experiență vastă și integrată, scalabilă de la aplicații desktop la clustere și include și un set complet de instrumente de implementare, administrare și monitorizare.

2.1.2 Versiunile sistemului de operare Windows Server 2008

Familia de servere Windows Server 2008 oferă o gamă largă de soluții care să satisfacă diversitatea de cerințe ale cliențiilor:

Windows Server 2008 Standard

Windows Server 2008 este cel mai robust sistem de operare Windows Server în prezent. Cu ajutorul funcționalitățiilor integrate, îmbunătățite pentru Web și virtualizare, acest sistem de operare are scopul de a crește fiabilitatea și flexibilitatea infrastructurii serverului, economisind timp și reducând costurile. Instrumentele oferă control îmbunătățit asupra serverelor și optimizează sarcinile de configurare și administrare. În plus, caracteristicile de securitate consolidează sistemul de operare, ajutând la protejarea datelor, rețelei și oferind o fundație solidă și sigură pentru companie.

Windows Server 2008 Enterprise

Windows Server 2008 Enterprise oferă o platformă de clasă Enterprise pentru implementarea aplicațiilor de business critice. Acesta ajută la îmbunătățirea disponibilității cu ajutorul funcționalitățiilor pentru clustering și procesoare, îmbunătățește securitatea cu ajutorul caracteristicilor de administrare consolidată a identităților și reduce costurile infrastructurii prin consolidarea aplicațiilor cu drepturi de licențiere pentru virtualizare, asigurând fundația pentru o infrastructura IT dinamică și scalabilă.

Windows Server 2008 Datacenter

Windows Server 2008 Datacenter oferă o platformă enterprise-class pentru implementarea aplicațiilor de business critice și virtualizarea la scară largă pe servere mici de orice dimensiuni. Acesta îmbunătățește disponibilitatea cu ajutorul funcționalitățiilor pentru clustering și partiționare dinamică a hardware-ului, reduce costurile infrastructurii prin consolidarea aplicațiilor cu drepturi de licențiere pentru virtualizare nelimitată și permite scalarea de la 2 la 64 de procesoare. În plus, oferă o fundație pe care pot fi dezvoltate soluții de scalare și virtualizare enterprise-class.

Windows Web Server 2008

Conceput pentru a fi utilizat ca server Web individual, Windows Web Server 2008 oferă o fundație solidă de funcționalității pentru infrastructura Web, integrate în soluția de generație viitoare Windows Server 2008. Integrat cu noul IIS 7.0, ASP.NET și cu Microsoft .NET Framework, Windows Web Server 2008 permite oricărei organizații să implementeze rapid pagini, site-uri, aplicații și servicii Web.

Windows Server 2008 for Itanium-Based Systems

Windows Server 2008 for Itanium-Based Systems este optimizat pentru baze de date mari, aplicații de tip line of business și aplicații personalizate, oferind disponibilitate și scalabilitate extinse pentru până la 64 de procesoare, pentru a satisface nevoile de soluții complexe, critice pentru afacere.

Versiunile prezentate mai sus: Standard, Enterprise și Datacenter se regăsesc pe piață și într-o altă versiune, fiind fară Hyper-V.

Specificații hardware pentru Windows Server 2008[4] :

Pentru toate computerele cu memorie RAM mai mare de 16 GB este nevoie de mai mult spatiu pe disc decât este recomandat in tabelul de mai sus, pentru fișierele care stau în așteptare pentru procesare, pentru modul hibernare și pentru fișierele care au fost șterse și care se pot recupera din "tomberon".

ACTIVE DIRECTORY

Introducere în Active Directory

Active Directory este un director de servicii integrat și distribuit începând din anul 1995, sub numele de Lightweight Directory Access Protocol (LDAP), iar apoi din anul 1999 a fost inclus sub numele Active Directory în Windows 2000 Server. Active Directory oferă mijloacele de coordonare a resurselor existente într-o rețea și prezentarea lor ca o sursă centralizată de informații. Întâlnim directoare peste tot; când căutăm după un număr de telefon în agendă, folosim directoare; când organizăm fișierele și folderele din calculator folosim, de asemenea directoare. La fel ca și acestea, Active Directory este o colecție de informații, în acest caz, despre resursele disponibile într-o rețea bazată pe Windows Server 2008.[3]

Metoda tradițională pentru păstrarea unor cantități enorme de infromații despre resursele dintr-o rețea era aceea de păstrare în directoare separate care sunt, de obicei accesate din interiorul unei aplicații sau sistem de operare care utilizeaza informațiile respective. Un exemplu perfect în acest sens se întâlnea la versiunile Windows anterioare Windows 2000. Într-o rețea Windows NT 4.0, de exemplu, s-ar putea găsi mai multe directoare de informații împrăștiate pe mai multe servere într-o rețea.

Utilizatorii și listele de control-acces au fost păstrate într-un director numit Security Accounts Manager (SAM). Cutiile poștale Exchange Server și asociațiile de utilizatori au fost depozitate in Directorul Exchange. Alte servicii și aplicații erau menținute în directoare proprii. Deși au existat unele interacțiuni între aceste directoare, au fost în mare măsură separate. Directoarele au fost cel mai adesea dezvoltate pentru o anumită aplicație. Dezvoltatorii acestor directoare nu au avut nici un stimulent real pentru a oferi integrarea cu alte sisteme. Cu toate acestea, administratorii și utilizatorii care s-au confruntat cu un volum tot mai mare de muncă au avut o nevoie reală pentru ca toate aceste baze de date separate sa fie capabile să lucreze împreună și să fie administrate ca o singură unitate.

Active Directory nu este primul director de servicii. De fapt, există mai multe directoroare de servicii și standarde utilizate în rețelele de astăzi. Acestea includ (dar nu sunt limitate la):

■ X.500 Directory Access Protocol (DAP) X.500 este un Standard Internet Organization (ISO), care definește la nivel mondial cum ar trebui să fie structurat modelul director. X.500 specifică utilizarea de DAP pentru a asigura comunicare între clienți și servere.

■ Lightweight Directory Access Protocol (LDAP) LDAP a fost dezvoltat ca răspuns la criticile aduse DAP care era considerat pur și simplu prea complicat pentru a fi utilizat in implementarea celor mai multe directoare de servicii. LDAP a devenit rapid protocolul director standard folosit pe Internet.

■ Novell Directory Services (SND) NDS este serviciul directorului utilizat pentru Rețelele Novell Netware și e în conformitate cu standardul X.500.

■ Active Directory este parte integrantă rețelelor bazate pe Windows 2000, Windows Server 2003 și Windows Server 2008. Acesta a fost proiectat pentru a fi conform cu standardul LDAP.

Pentru o rețea complexă, un director de servicii ar trebui să ofere o modalitate eficientă de a gestiona, găsi și garanta acces la toate resursele dintr-o rețea, cum ar fi calculatoare, utilizatori, imprimante, folderele partajate și multe altele.

2.2.2 Rezolvarea de nume

Rezolvarea de nume este procesul de transformare automată a numelor în adrese IP de către un software specializat. Un serviciu de rezolvare de nume este un serviciu care este oferit de Windows Internet Name Service (WINS) și Domain Name System (DNS).

Domain Name System (DNS) este o bază de date ierarhizată, distribuită care conține maparea numelor de host DNS cu adrese de IP. DNS permite localizarea calculatoarelor și serviciilor utilizând nume care sunt mai ușor de reținut decât adresele de IP. DNS-ul reprezintă fundația schemei de nume al Internetului și este de asemenea baza domeniilor de Active Directory. Fără DNS nu s-ar putea localiza adresele de IP a resurselor. Dacă adresele de IP s-ar putea schimba ar fi foarte dificil să se mențină o listă cu toate adresele de IP a tuturor resurselor dintr-o rețea.[3]

Un query este o solicitare trimisă unui server de DNS pentru rezolvarea unui nume. Există două tipuri de query-uri: recursive și iterative.

Un query recursiv este o solicitare făcută unui server de DNS în care clientul de DNS întreabă server-ul de DNS să-i ofere un răspuns complet la solicitare. Singurul răspuns acceptat este ori întregul răspuns ori că rezolvarea nu s-a putut face. Un query nu poate fi redirecționat unui alt server de DNS. Query-urile recursive pot fi inițiate ori de către un client DNS ori de către un server care este configurat ca forwarder.

Un query iterativ este o solicitare făcută unui server de DNS în care clientul de DNS cere cel mai bun răspuns pe care server-ul îl poate oferi fără să caute ajutor mai departe de la alte servere de DNS. Rezultatul unui query iterativ este de obicei o referință către un alt server de DNS care este mai jos în ierarhie.

Când se configurează un server de DNS el se poate configura ori ca și mai multe tipuri de zone, depinzând de rolul pe care server-ul îl are în rețea. În mod normal serverele de DNS includ 3 zone:

– zona primară;

– zona secundară;

– zona stub (ciot).

Prin utlizarea mai multor tipuri de zone, se pot configura soluțiile care să se potrivească cel mai mult nevoilor. De exemplu este recomandat să se configureze o zonă primară și una secundară pe serverele de DNS separate pentru a oferi redundanță în cazul în care unul cade.

– Zona primară – conține o copie autoritativă a zonei de DNS în care resursele sunt create și manevrate. Când se setează serverele de DNS să dețina zona pentru un domeniu, server-ul principal este localizat acolo unde este accesibil pentru a putea fi administrat.

– Zona secundară – conține o copie read-only a zonei de DNS. Înregistrările din zona secundară nu pot fi modificate, se pot modifica doar cele din zona principală.

– Zona stub(ciot) – conține copii a unei zone care conține la rândul său numai înregistrările care sunt necesare pentru identificarea serverului de DNS autoritativ pentru zona respectivă.

După ce se decide ce zonă este primară, secundară, stub trebuie să se decidă ce tip de înregistrări vor conține zonele respective: forward lookup zone sau reverse lookup zone. În DNS, forward lookup este un proces de interogare în care numele de DNS al unui calculator este căutat pentru a i se găsi adresa IP corespunzătoare. Reverse lookup este o interogare prin care IP-ul unui calculator este căutat pentru a i se afla numele de DNS.

Transferul de zone.

Există două tipuri de transferuri de zone: un transfer complet al zonei și un transfer incremental. Scopul unui transfer de zonă este acela de a asigura că ambele servere de DNS care țin zona au aceleași informații. Fără transferul de zone, datele de pe serverul principal vor fi cele curente iar cele de pe serverul secundar nu vor fi modificate.

2.2.3 Infrastructura Active Directory

Structura organizațională de bază în Active Directory o reprezintă domeniul. Un domeniu poate fi considerat ca o graniță administrativă. Calculatoarele, utilizatorii și alte obiecte dintr-un domeniu împart o bază de date de securitate comună. Utilizarea domeniilor permite administratorilor să împartă rețeaua în granițe de securitate. Organizațiile destul de mari, pentru a avea mai mult decât un domeniu, au de obicei divizii care sunt responsabile pentru managementul propriilor resurse. Un domeniu de Windows Server 2008 R2 reprezintă de asemenea un spațiu de nume care corespunde unei structuri de nume.

Mai multe domenii sunt organizate într-o structură ierarhică numită arbore. De fapt chiar daca ai un singur domeniu într-o organizație, ai un arbore. Primul domeniu pe care îl creezi se numește rădăcina domeniului. Următorul domeniu pe care îl adaugi devine domeniu copil al rădăcinii. Toate domeniile dintr-un arbore împart o schemă comună și un spațiu de nume comun.

Unitățile organizaționale (OU) oferă un mod de a creea granițe administrative într-un domeniu. Aceasta permite delegarea de taskuri administrative în domeniu. Înaintea introducerii Active Directory domeniul era cea mai mică unitate administrativă pe care se puteau seta permisiuni. Unitățile organizationale servesc ca și containere în care resursele din domeniu pot fi plasate. Se pot apoi atribui permisiuni administrative.

Structura fizică a unei rețele bazate pe Active Directory este mult mai simplă decât structura logică. Structura fizică o reprezintă domain controllerele și locațiile.

Domain controllerul este un server pe care ruleaza Windows Server 2008 R2 care are Active Directory instalat. Se pot creea oricâte domain controllere într-un domeniu. Fiecare domain controller dintr-un domeniu are o copie completă a partiției de domeniu. Domain controllerele rezolvă local toate solicitările de informații despre obiectele din domeniu și trimit cereri despre obiectele care nu le dețin către domain controllere din alte domenii. Din moment ce fiecare domain controller ține o replica a partiției de directory pentru domeniul ei, domain controller-ele urmează ceea ce se numește model multimaster. Aceasta înseamnă că fiecare domain controller ține o copie master a partiției ce poate fi utilizată pentru modificarea de informații.

Există însa câteva roluri care pot fi luate doar de către un singur domain controller în forest. Aceste domain controllere formează așa numitele roluri master pentru operațiuni.

Roluri unice pe forest. Există două roluri master care sunt ținute doar de căre un domain controller din forest. Aceste roluri includ:

– Schema master – primul domain controller din forest ține rolul de schemă master și este responsabil pentru menținerea și distribuția schemei în restul forestului. El ține o listă la toate clasele de obiecte posibile și atribute care definesc obiectele găsite în Active Directory. Dacă schema trebuie modificată Schema master trebuie sa fie accesibil.

– Masterul numirii în domeniu – acest domain controller înregistrează adăugarea sau ștergerea domeniului din forest și este vital pentru integritatea domeniului. Masterul numirii în domeniu este solicitat atunci când un nou domeniu este adăugat în forest, iar dacă nu este accesibil nu se poate adăuga un nou domeniu. Roluri unice în domeniu. Există trei tipuri de servere master care pot fi preluate doar de către un singur domain controller din fiecare domeniu.

Server Catalog Global

O altă funcție care poate fi atribuită unui domain controller este aceea de catalog global. Catalogul global ține un subset de atribute din Active Directory care se regăsesc cel mai mult în căutările efectuate de clienți, de exemplu numele de logon. Catalogul global oferă două funcții importante. Permite userilor să se logheze în rețea și să localizeze obiecte oriunde în forest.

Catalogul global conține un subset de informații din fiecare partiție din domeniu și este replicată la fiecare catalog global din domeniu. Când un user încearcă să se logheze în domeniu sau să acceseze o resursă din rețea de oriunde din forest, Catalogul Global este consultat pentru rezolvarea cererii. Fără un catalog global cererea de acces ar trebui transmisă fiecărui domain controller din forest până când cererea este rezolvată. Dacă rețeaua cuprinde un singur domeniu, rolul unui Catalog Global nu este nesesar pentru ca toate domain controllerele din domeniu au informații despre toți userii și obiectele din domeniu. Primul domain controller instalat în domeniu devine Catalog Global default. Rolul de Catalog Global, spre deosebire de rolurile master se poate atribui mai multor domain controllere dintr-un domeniu.

Replicarea în Active Directory

Procesul de replicare în Active Directory este unul fascinant. Toate obiectele și atributele trebuie să fie replicate în domeniu către toate domain controllerele pentru a asigura că fiecare are o copie la zi a partiției de domeniu. Windows Server 2008 folosește un model de replicare numit replicare multimaster în care toare replicile bazei de date de Active Directory, sunt considerate egale. Poți efectua schimbări ale bazei de date pe orice domain controller și schimbările vor fi replicate către celelalte domain controllere din domeniu. Când se fac schimbări pe un domain controller din domeniu, el notifică partenerii de replicare (celelalte domain controllere din locație); partenerii solicită apoi schimbările și are loc replicarea. Dacă nu se configurează locații particulare, toate domain controllerele fac parte automat dintr-o singură locație. Pentru a controla felul cum are loc replicarea pe legături mai slabe trebuie create locații adiționale.

Un serviciu numit knowledge consistence checker (KCC) creează automat o conexiune web necesară pentru ca domain controllerele să se replice unul cu celălalt. Se poate creea această conexiune și manual dacă este necesar. KCC creează diferite topologii de replicare: în interiorul locațiilor și între acestea. După ce s-a creeat legătura între site-uri, KCC desemnează automat unul sau mai multe domain controller pentru fiecare domeniu din locație ca bridgehead server. Replicarea are loc între aceste bridgehead server în loc să aibe loc între toate domain controllerele.

2.2.4 Accesul la resurse

Grupurile sunt o colecție de conturi de utilizatori și calculatoare care se pot manipula ca o singură unitate. Grupurile simplifică administrarea prin garantarea de permisiuni la resurse pentru un grup care este mult mai util decât pentru acordarea de pemisiuni pentru fiecare utilizator în parte. Grupurile pot fi locale sau pot fi localizate în Active Directory. Mărimea grupului definește dacă grupul se împarte în mai multe domenii sau este limitat la un singur domeniu. Mărimea grupului specifică de asemenea cine sunt membrii grupului. Pentru a asigna corect membrii unui grup trebuie să înțelegem corect caracteristicile mărimii grupului. Tipurile de mărimi pentru grupuri în Active Directory sunt următoarele:

– Global

– Domain local

– Universal

Lucrul cu grupuri în loc de utilizatori individuali ajută la simplificarea managementului și administrației. Tipurile de grupuri din Active Directory sunt:

– Grupuri de securitate- Se folosesc grupurile de securitate pentru a asigna drepturi pentru grupuri de utilizatori și calculatoare. Drepturile specifică ce pot face membrii unui grup de securitate și permisiunile specifică ce resurse pot accesa. Se pot folosi grupurile de securitate și pentru a trimite e-mailuri mai multor utilizatori. Trimiterea unui e-mail unui grup duce la trimiterea mesajului tuturor membrilor din acel grup. De aceea grupurile de securitate au proprietățile celor de distribuție.

– Grupuri de distribuție- Se folosesc grupuri de distribuție cu aplicațiile de e-mail ca de exemplu Microsoft Exchange pentru a trimite mesaje de e-mail unei colecții de useri. Principalul scop al unui astfel de grup este de a ține obiecte apropiate și nu de a acorda permisiuni. Grupurile de distribuție nu sunt activate din punct de vedere al securității însemnând ca utilizatorii dintr-un astfel de grup nu pot accesa resurse.

Un grup global este un grup de securitate sau distribuție care poate conține utilizatori, grupuri și calculatoare care se găsesc în același domeniu ca și grupul global. Se pot folosi grupuri de securitate globale pentru a atribui permisiuni utilizatorilor, delega autoritatea la obiecte din AD sau asigna permisiuni la resurse în orice domeniu din forest sau orice alt domeniu cu relație de trust.

Grupurile globale pot conține conturi de utilizatori, conturi ca un calculator și grupuri globale din același domeniu ca și grupul global. Pot fi membre a grupurilor universale, locale și domain local din orice domeniu de trust.

Un grup universal este un grup de securitate sau de distribuție care poate conține utilizatori, grupuri și calculatoare din orice domeniu din forest. Se pot folosi grupuri de securitate universale pentru a asigna drepturi și permisiuni pentru resurse din orice domeniu din forest.

Grupurile universale pot include conturi de utilizatori, conturi de calculator, grupuri globale, și alte grupuri universale din orice domeniu din forest. Ele pot fi membre din grupuri domain local, locale sau grupuri universale din orice domeniu de trust.

Un grup domain local este un grup de securitate sau distribuție care poate conține alte grupuri domain local din domeniul propriu. Poate conține de asemenea grupuri universale, grupuri globale și conturi din orice domeniu din forest sau orice domeniu cu relație de trust.

Grupurile domain local pot include conturi de utilizator, conturi de calculator, grupuri globale și grupuri universale din orice domeniu din forest sau orice domeniu cu relație de trust. Pot fi membre din grupuri domain local din același domeniu.

Un grup local este o colecție de conturi de calculator sau grupuri din domeniu create pe un server membru. Se pot creea grupuri locale pentru a garanta permisiuni la resurse care se găsesc pe calculatorul local.

Pentru a consolida managementul grupurilor se poate adăuga un grup ca membru al altui grup. Pentru a utiliza grupurile efectiv este nevoie de strategii pentru a fi aplicate diferitelor mărimi de grupuri. Strategia care se alege depinde de mediul de rețea al organizației. Într-un singur domeniu o practică comună este a utiliza grupuri globale și domain local pentru garantarea de permisiuni asupra resurselor din rețea.

Cu A G P se plasează conturi (A) în grupuri globale (G) și apoi se atribuie permisiuni (P) grupurilor globale. Limitarea acestei strategii este că ea complică administrarea atunci când se administrează mai multe domenii. Dacă grupurile globale din mai multe domenii au nevoie de aceleași permisiuni trebuie atribuite permisiuni fiecărui grup local individual.

Cu A G DL P se plasează conturi de utilizator (A) în grupuri globale (G), se plasează grupurile globale în grupuri domain local (DL) și apoi se atribuie permisiuni (P) grupurilor domain local. Această strategie oferă flexibilitate pentru creșterea rețelelor și reduce numărul de ore pentru atribuirea de permisiuni. Se utilizează A G DL P într-un forest care constă în mai multe domenii și la care se vor adăuga alte domenii în viitor.

Cu A G U DL P se plasează conturi de utilizator (A) în grupuri globale (G), se plasează grupurile globale în grupuri universale (U), se plasează grupurile universal în grupuri domain local (DL) și apoi se atribuie permisiuni (P). Se utilizează A G U DL P într-un forest cu mai mult de un domeniu astfel încât administratorii pot consolida grupurile globale din mai multe domenii într-un grup universal. Grupul universal poate fi apoi plasat în orice grup domain local din orice domeniu cu relație de trust și apoi garantarea de permisiuni și drepturi.

Utilizăm strategia A G L P pentru a plasa contul de utilizator în grupuri globale și apoi garantarea de permisiuni unor grupuri locale. O limitare a acestei strategii este că nu se pot garanta permisiuni pentru resurse din afara calculatorului.

2.3 MICROSOFT EXCHANGE 2010

2.3.1 Fundamentele Exchange 2010

Microsoft a introdus platforma de colaborare și mesagerie Exchange Server, mai mult cu un deceniu în urmă. Popularitatea sa și cota de piață au crescut cu fiecare nouă versiune. Astăzi, Exchange Server și clientul său nativ Outlook se bucură de o bază mai mare în toată lumea decât oricând înainte. Pe drum schimbarea savârșită de Exchange Directory Service, care a evoluat ca o parte esențială a sistemului de operare Windows Server și Active Directory este imensă. A cochetat pentru scurt timp cu mesageria instant și conferințe. A continuat să facă progrese în scalabilitate, fiabilitate, disponibilitate ridicată și de securitate, menținând în același timp ușurința de utilizare și implementare. Exchange Server 2010 a fost lansat 9 noiembrie 2009. Acesta pune la dispoziția companiilor care depind de Exchange ca o platform critică de comunicare și colaborare un produs scris nativ pentru a profita de puterea platformei de server pe 64 de biți.[5]

Exchange Server 2010 oferă un nou nivel de caracteristici de securitate sporită, care să permită unei organizații de orice dimensiune condiții de siguranță și fiabilitate stabilind comunicații de e-mail cu alte sisteme de mesagerie. Noile caracteristici de securitate oferă organizațiilor un control mai mare asupra comunicațiilor electronice, inclusiv capacitatea de a reglementa comunicații de e-mail.

Exchange Server 2010 marchează intrarea Microsoft în Unified Communications. Rolul Unified Messaging server permite organizațiilor să livreze un Inbox unificat pentru voicemail, e-mail, fax și de asemenea permițând interacțiunea cu Exchange prin telefon. A avea un e-mail citit de către un asistent, numirile reprogramate la telefon, sau numere de telefon apelate, fără a fi nevoie să amintesc de ele, nu mai este doar o aspirație.

Dintre toate caracteristicile Exchange Server 2010, niciunul nu generează entuziasm la fel de mult ca și funcționalitate de management în linie de comandă. Construit pe Windows Powershell, Exchange Managemet Shell (EMS), prevede capabilități noi și puternice de management și automatizare al serviciului de Exchange.

2.3.2 Arhitectura Exchange 2010 și rolurile de server

Fundația arhitecturii sistemului de mesagerie Exchange Server 2010 este acela de stocare și manipulare a mesajelor. Caracteristicile care sunt construite în, pe și în jurul Exchange Server 2010 sporesc sau se bazează pe aceste două componente arhitecturale cheie. Acolo s-au facut numeroase progrese în arhitectura de la Exchange Server 4.0 la Exchange Server 2010. Unele dintre cele mai mari schimbări pentru arhitectura Exchange Server sunt datorate arhitecturii de calcul pe 64 de biți.[1]

Încă de la prima versiune de Exchange 4.0 s-a încercat separarea serverelor și împărțirea pentru o anumită funcție sau rol.

Arhitectura Exchange 2000 Server și Exchange Server 2003, ulterior, a introdus front-end și rolurile back-end server. Acest lucru a reprezentat mai mult decât activarea și dezactivarea unor roluri; cu toate acestea, arhitectura a fost împărțit în două. Store.exe și serviciile asociate cuprindeau back-end. Inetinfo.exe și serviciile asociate cuprindeau front-end. Stratul de comunicare inter-procese (EXIPC) stabilea o legătura între partea frontală și capăt permițându-le să coopereze. Începând cu Exchange Server 2007 a început ca fiecare rol să prindă contur ca și un rol independent din Exchange, aici apărând cele 5 roluri care se regăsesc și la Exchange Server 2010: Mailbox, Client Access Server, Hub Transport, Edge Transport și Unified Messaging. Această nouă abordare modulară la roluri de server va face implementarea Exchange Server în fiecare mediu unic mai ușor (în special pentru organizațiile care au topologii complexe).

În cele din urmă, fiecare comunicare la orice rol de Exchange Server 2010 duce la citirea din (sau scrierea) în baza de date (e) cu privire la rolul de Mailbox Server. Microsoft nu încurajeaza organizațiile să utilizeze Public Folder în Exchange Server 2010, dar acestea vor fi disponibile pentru organizațiile care au nevoie de ele. Ele pot fi instalate pe rolul Mailbox Server.

Rolul de Mailbox Server

Rolul de Mailbox server este responsabil de stocarea și managementul mailbox-urilor și public folderelor. Aceste servere conțin storage group-uri și baze de date și suportă clustering pentru o disponibilitate cât mai mare a serviciului. Pentru că acest rol necesită acces la serviciul de Active Directory el trebuie atribuit unui server membru al domeniului. Rolul de Server ce se află în centrul arhitecturii de stocare pentru Exchange Server 2010 este rolul de Mailbox. Se pot crea până la 100 baze de date, cu câte 16 copii pentru fiecare bază de date. De asemenea storage group-urile au fost eliminate la Exchange Server 2010, deoarece costurile erau prea mari. Având mai multe baze de date oferă mai multă flexibilitate administrativă, o întreținere mai ușoară și o tranzacție de logare mai eficientă. Bazele de date sunt montate sau demontate în paralel unele cu altele. Acest lucru va îmbunătăți timpii sistemului de pornire și oprire. Perioada de retenție a elementelor șterse pentru căsuțe poștale a fost extinsă la 14 zile. Prin creșterea retenției, Microsoft speră să scadă probabilitatea că va trebui să se recurgă la recuperarea din backup.

A nu se confunda rolul Mailbox Server cu serverul de back-end Exchange, din versiunile 2000 și 2003. Spre deosebire de un server de back-end, Mailbox server nu este implicat în transportul de e-mail. Componentele arhitecturale care alcătuiesc un Mailbox server sunt:

Procesul Store.exe

Motorul de stocare extensibil (ESE)

Indexarea conținutului

Calendarul

Politica de organizație

Replicarea continuă (LCR si CCR)

Baza de date Microsoft Exchange este o bază de date bazată pe tranzacții. Acest lucru înseamnă că toate datele memorate în baza de date trebuie mai întâi să fie scrise în log-ul de tranzacții. Scopul primar al unui log de tranzacții este de a reduce cantitatea de timp pentru ca tranzacțiile sa fie scrise în memorie și pentru a elibera memoria pentru ca tranzacțiile noi să apară. Din perspectiva recuperării după dezastre, tranzacțiile pot fi redate într-o bază de date. Modificări semnificative au fost făcute la tranzacții încă de la Exchange Server 2007, începând cu numele de fișiere. Până la Exchange Server 2003, numele de fișiere de tranzacții au fost numerotate secvențial de la 00001.log la 99999.log. Exchange Server 2000, anexa prefixe de la E00 la E03 la început pentu a distinge grupurile de stocare. Multe organizații au ajuns la 99999.log și a trebuit să înceapă o nouă metodă de numerotare. Pentru a prelungi durata de viață a unui set de tranzacții, numele de fișiere au fost crescut la seturi de cate 8 zecimale (E0012345678.log), permițând astfel stocarea a miliarde de fișiere de log-uri. Mărimea reală a fișierului jurnal este schimbat de la 5MB la 1MB. Acest lucru facilitează transferul log-urilor tranzacționale, care apar în timpul Local Cluster Replication (LCR) și Cluster Continuous Replication (CCR).

Așa cum am menționat mai devreme, Exchange Server 2010 poate avea până la 100 baze de date și storage group-urile au fost eliminate. Motivul pentru schimbarea de logica este, dată din nou de arhitectura de calcul pe 64-bit. Acum, că alocarea de memorie nu mai reprezintă o constrângere, putem avea o abordare diferită pentru optimizarea rețelelor bazate pe Exchange 2010.

Rolul de Hub Transport

Acest rol este responsabil pentru rutarea mesajelor. Rolul de Hub transport oferă sevicii de categorizare și rutare a mesajelor și de asemenea manevrează toate mesajele care pătrund în organizație. Trebuie configurat cel puțin un Hub transport în fiecare site de Active Directory care conține un Mailbox server. De asemenea Rolul de Hub transport trebuie atribuit unui server membru al domeniului.

Manipularea mesajelor din organizația de Exchange Server se bazează pe protocolul Simple Mail Transport Protocol (SMTP). Două roluri rulează serviciul de SMTP și anume rolul de Hub Transport și cel de Edge Transport. Dar, spre deosebire de rolul de Edge, rolul de Hub Transport este desemnat să comunice cu toate rolurile Exchange 2010 .

Rolul de Hub Transport are următoarele componente :

MAPI Submit – primește conexiunile Exchange Remote Procedure Call (ExRPC) și pune mesajele în cozile de transport;

Agenții de rutare și transport – adaugă regulile, jurnalul și managementul drepturilor în Active Directory(AD RMS) pentru categorizare;

Conectori străini – pot adăuga X.400, FAX, VOICE, Lotus Notes și alți conectori;

Store Driver – trimite mesajele catre Mailbox Server cu ajutorul conexiunilor ExRPC;

Rolul de Edge Transport

Rolul de Edge Transport este desemnat să ofere transportul și rutarea bazată pe SMTP între organizația de Exchange și internet. Pentru a asigura securitatea, computerul care rulează acest rol nu trebuie să fie membru al domeniului de Active Directory. Un Edge transport server oferă următoarele sevicii:

Filtrează conexiunile, recipientele și expeditorii

Identitatea expeditorilor și analiza reputației expeditorului

Filtrează atașamentele

Antivirus (prin utilizarea altor tipuri de software specializat sau Microsoft Forefront Security for Exchange Server)

Nu se poate combina rolul de Edge Transport cu nici un alt rol pe același computer. Deși atât rolul de Hub Transport cât și Edge oferă rutarea mesajelor și au posibilități de rutare din și înspre Internet, rolul de Edge oferă posibilități suplimentare și avansate de securitate.

Rolul de Client Access

Rolul de Client Access permite conectarea la Mailbox Server a unei varietăți de protocoale. Va trebui atribuit cel puțin un server cu rol de Client Access în fiecare locație care conține un Mailbox server. Protocolele și clienții care se connecteaza prin intermediul rolului de Client Access sunt:

Clienții de OWA

Clienții care folosesc Post Office Protocol (POP) și Internet Message Access Protocol (IMAP)

Outlook Anywhere

Exchange ActiveSync

Rolul de Unified Messaging

Acest rol oferă serviciile care integrează mesajele de fax și voce în interiorul organizației de Exchange. Acest rol necesită existența în organizație a rolurilor de Mailbox Server, Hub Transport și Client Access.

2.3.3 Managementul recipientelor Exchange 2010

Termenul “recipient” este folosit în documentația Exchange Server și se referă la un obiect Exchange care poate primi un e-mail. Cu alte cuvinte, obiectul este "mail-enabled". În multe organizații administratorii petrec o bună parte a timpului gestionării obiectelor. Aceasta include sarcini de creare și modificare a conturilor de utilizator și căsuțe poștale, adrese de e-mail, liste de distribuție, precum și parametrii aferenți acestora.

Înainte de a începe crearea unei căsuțe poștale sau o unei căsuțe poștale-utilizator activat, trebuie să înțelegeți diferența dintre un utilizator care are cutie poștală sau este mailbox-enabled și una care nu are mailbox, precum și alte tipuri de beneficii.

Utilizator Mailbox-enabled – este un obiect în Active Directory care are o cutie poștală stocata pe un server de Exchange. Căsuța poștală în sine reprezinta un pointer la un set de foldere dintr-un information store și este desemnat de un Global Unique Identifier(GUID).

Mailbox Resursa – acest termen este folosit pentru o cutie poștală folosită pentru o resursă, cum ar fi o sală de conferințe sau resurse cum ar fi proiectarea și alte echipament. Crearea unei astfel de cutii poștale face ca acele resurse sa fie vizibile în Address Book-ul din Outlook și pentru că resursele sunt mailbox-enabled au propriul lor calendar și informații despre disponibilitate (liber / ocupat). Utilizatorii din organizație pot "rezerva" resursele trimițându-le un e-mail.

Cutie poștală link-uita – este utilizat în topologii cross-forest. În astfel de topologii, serverul de Exchange se află într-un forest AD, cunoscut ca forest resursă. O cutie poștală este creata pentru un cont de utilizator dezactivat în această pădure. Contul activ accesează căsuța poștală dintr-un alt forest, denumit în mod obișnuit forest utilizator.

Mail-user – reprezintă un utilizator care nu are o cutie poștală creată pe un server de Exchange (cel puțin nu în aceeași organizație de Exchange), dar are totuși o adresă de e-mail definită. Această adresă e-mail are mailboxul într-un sistem de mail pe care este extern organizației, poate fi o altă organizație de Exchange, un cont de e-mail găzduit de un ISP, sau chiar sistem de e-mail bazat pe Web cum ar fi Hotmail, Yahoo, sau Gmail. Cel mai important lucru de reținut despre mail-users este acela că au conturi în domeniul de Active Directory și prin urmare, capacitatea a se inregistra în domeniu.

Contact de E-mail – exact ca utilizatorii mail-enabled, contactele de mail sunt obiecte în Active Director care au mailbox-ul găzduit în afara organizație. Cu toate acestea, spre deosebire de utilizatorii mail-enabled, contactele de e-mail nu se pot conecta nici pe domeniu pentru a fi autentificate, nici nu pot avea atribuite permisiuni la resurse.

Grupuri de distribuție – sunt grupuri care sunt mail-enabled adică au o adresă de e-mail. Trimiterea unui mesaj către un grup are ca efect "extinderea" grupului, iar mesajul este livrat la toți membrii grupului. La fel ca și contactele, grupurile de distribuție nu pot avea permisiuni de acces resurse.

Grup de distribuție dynamic – una dintre problemele cu grupuri de distribuție a fost mult timp costurile de administrare care au fost aduse împreună cu ele. Utilizatorii sau procesele de business necesită adăugarea sau îndepărtarea de destinatari din grupuri de distribuție pe baza statutului lor de muncă actual, departament, locație sa fie automatizată. O soluție pentru reducerea sarcinilor de management a astfel de grupuri o reprezintă grupuri de distribuție dinamice. Mai degrabă decât definirea manuală a fiecărui membru în grup, membrii grupurilor de distribuție dinamice sunt controlate cu ajutorul atributelor conturilor de utilizator, definit prin filtre LDAP și filtre OPATH.

3. implementarea proiectului

3.1 ANALIZA COMPANIEI

O veche zicală spune: "Măsoară de două ori și taie o dată". Această zicală se aplică în majoritatea task-urilor de proiectare și configurare a rețetelor dar și mai mult în instalarea Active Directory și Exchange Server 2010.

Primul pas în analiza implementării constă în analiza nevoilor organizației. Primul task este identificarea locațiilor fizice și departamentelor, diviziilor sau funcțiilor companiei. Din perspectiva rețelei, unul dintre cele mai mari costuri îl reprezintă conexiunile dintre locațiile fizice. O legătură WAN (wide area netork) între orașe nu numai că are o lungime de bandă mult mai mică dar este de asemenea foarte scumpă.

Într-un model centralizat, un staff de IT separat oferă servicii administrative pentru rețea. Managerii IT au control pe orice porțiune de rețea, inclusive în structura de Active Directory. Sunt două avantaje majore în utilizarea modelului centralizat. Prima este că structura este mai puțin complicată. Aceasta înseamnă că deciziile sunt mai ușor de luat și se pot utiliza mai puține unităti organizaționale în proiectarea structurii de Active Directory. Al doilea avantaj este acela de a avea un grup mai mic de persoane la conducere.

3.2 ANALIZA TOPOLOGIEI DE REȚEA

Când se creează o hartă geografică a unei companii, se identifică locațiile principale și informațiile de bază despre conexiunile de rețea dintre aceste locații. Vom începe să colectăm informații mai detaliate despre structura existentă de rețea. Pe hartă trebuie să identificăm următoarele:

– dacă LAN-ul este împărțit în subrețele;

– locația routerelor;

– tipurile de cabluri folosite și unde;

– locația echipamentelor de acces la distanță.

După ce ai descris locația fizică a rețelei trebuie să te concentrezi asupra schemei de adresare IP. În primul rând trebuie să găsești limitele adreselor pe care compania le-a primit de la provider-ul de internet, apoi trebuie să determini dacă rețeaua folosește adrese publice sau adrese private.

Din punct de vedere al infrastructurii de rețea în cazul de față avem o singură rețea de tip LAN. Pentru serverele cu scop administrativ care găzduiesc unul dintre următoarele servicii: Domain Controller, Exchange Servers, File se va stabili în prealabil o convenție de adrese de rețea pentru localizarea mai ușoară a acestora în infrastructură.

Tabel 1. Distribuirea manuală a IP-urilor serverelor din domeniul "licență"

3.3 INSTALAREA ȘI CONFIGURAREA ACTIVE DIRECTORY

3.3.1 Instalarea domeniilor

După ce s-au strâns informații destre companie și rețea este timpul să ne îndreptăm atenția asupra designului unei structuri de active directory care să îndeplinească nevoile proiectului. Crearea unei structuri solide de active directory este esențială pentru construirea unei rețele care îndeplinesc nevoile curente și cele viitoare. Alegerile pe care le faci în timpul fazei de design se pot modifica foarte greu mai târziu așa că trebuie creat un plan foarte bun și revizuit ori de câte ori este necesar.[2]

Crearea unui plan implică determinarea numărului de domenii pe care trebuie sa le folosești și dacă trebuie să păstrezi acele domenii într-un arbore sau într-un forest. Trebuie decisă de asemenea o strategie de nume pentru domenii și alte elemente ale serviciului director active directory.

Utilizarea unui singur domeniu

Cel mai simplu model active directory este un singur domeniu. Marea majoritate a rețelelor sunt capabile să utilizeze un singur domeniu și deși nu pare la fel de sofisticat ca alte modele ar trebui luat în considerare implementarea unui astfel de model.

Într-un model de rețea cu un singur domeniu există aceleiași granițe de securitate deci nu trebuie să ne facem griji pentru planificarea relațiilor de încredere cu alte domenii sau implementarea autentificărilor și permisiunilor între domenii. Când utilizăm un singur domeniu planificarea utilizatorilor și grupurilor de utilizatori este mai simplă la fel ca și implementarea politicilor de grup. Structura de unități organizaționale urmărește businessul sau structura funcțională. De exemplu sa pot creea unități organizaționale pentru fiecare locație geografică majoră astfel încât administratorii locali pot controla resursele din acele locații.

Utilizarea mai multor domenii

Deși utilizarea unui singur domeniu oferă reale avantaje datorită simplității există cazuri când este nevoie folosirea mai multor domenii. Când trebuie să creezi mai multe domenii cel mai bine este să le planifici astfel încât ele să se găsească în același arbore de domeniu. Când definim mai multe domenii este indicat să definim granițele domeniului corespunzător cu granițele companiei care cel mai probabil se pot schimba. De exemplu, crearea de domenii corespunzătoare cu granițele geografice este de obicei mai sigură decât crearea de domenii specifice diferitelor departamente care se pot schimba.

Definirea unei strategii de nume

După ce s-a decis structura forestului și a domeniilor trebuie să ne îndreptăm atenția în numirea elementelor din acea structulă. LDAP este un protocol standard utilizat de clienți pentru căutarea de informații într-un director.

Fiecare obiect în Active Directory este o instanță a unei clase definită în schema de Active Directory. Fiecare clasă are atribute care asigură identificarea unică a fiecărui obiect din director. Pentru a realiza aceasta Active Directory se bazează pe o convenție de nume care permite obiectelor să fie memorate logic și accesate logic printr-o metodă standard. Active Directory suportă mai multe tipuri de nume pentru diferite formate care pot accesa Active Directory. Aceste nume sunt:

– numele identificate relativ;

– numele identificate;

– nume principal de utilizator;

– nume canonice.

Clienții utilizează DNS pentru rezolvarea adreselor IP a serverelor care oferă servicii importante în rețea. În DNS numele sunt aranjate ierarhic și construite pe măsură ce se trece de la părinte la copil. Active Directory urmărește convenția de nume DNS. Când creezi primul domeniu Active Directory el devine domeniul rădăcină pentru forest și domeniul rădăcină pentru primul arbore din acel forest.

Toate numele de domenii din Active Director sunt identificate printr-un nume de DNS la fel și prin alt nume numit Network Basic Input/Output System (NetBIOS), un standard de nume folosit la versiunile mai vechi de Windows care încă mai este deportat în Windows Server 2008. Spre deosebire de structura ierarhică de nume a DNS, NetBIOS utilizează un spațiu de nume plat, fiecare resursă din rețea (domeniu, computer, etc) are un singur nume care poate fi rezolvat cu o adresă IP. Când instalăm Windows și numim un computer, numele pe care îl completăm este numele de NetBIOS.

După ce s-au definit granițele locale pentru o rețea, următorul pas în crearea unui plan de locație îl constituie determinarea numărului și plasamentului domain controlerelor în acele locații. Trebuie determinat de asemenea dacă fiecare domain controller îndeplinește cerințele hardware pentru rularea Windows Server 2008. Domain controllerele sunt responsabile pentru autentificarea userilor, menținerea politicilor de securitate pentru un domeniu și replicarea bazei de date de Active Directory într-un domeniu. O parte foarte importantă în planul de design a unei locații este crearea unui plan de plasare a domain controller.

Următoarea listă cuprinde condițiile necesare instalării Active Directory[2]:

Un computer care rulează una din următoarele versiuni ale sistemului de operare

Windows Server 2008: Standard Edition, Enterprise Edition sau Datacenter Edition. Windows Server 2008 Web Edition nu suportă aplicația de Active Directory.

Un spațiu minim de 250 de MB liberi pe harddisk: 200 de MB pentru baza de date

de Active Directory și minim 50 de MB pentru fișierele care conțin log-urile tranzacționale. Acest spațiu minim necesar depinde de numărul și tipul obiectelor din baza de date de Active Directory. În cazul în care domain controller-ul îndeplinește și funcția de Global Catalog server, spațiul minim necesar crește semnificativ.

O partiție NTFS, necesară pentru folder-ul SYSVOL.

Privilegii administrative pentru crearea de domenii.

Protocolul TCP/IP instalat și configurat să utilizeze serviciul de DNS.

Un server de DNS care este autoritativ pentru zona respectivă și care suportă

SRV resource records, Dynamic updates și Incremental zone transfers.

Procesul de instalare a Active Directory realizează mai multe schimbări asupra server-ului pe care va fii instalată baza de date de Active Directory:

Pornește protocolul de autentificare Kerberos.

Setează politica locală de calculator LSA (Local Security Authority policy).

Crează partițiile de Active Directory.

Crează baza de date de Active Directory, precum și fișierele pentru log-uri. Locația acestora va fii folder-ul NTDS.

Crează forest root domain-ul. Dacă server-ul respectiv este primul domain controller

din domeniu, procesul de instalare va crea forest root domain-ul și îi va atribui domain controller-ului rolurile de operations master.

Crează următoarele foldere: SYSVOL, care conține informațiile referitoare la

politicile de grup (Group Policies) și Net Logon, care conține script-urile de logare pentru calculatoarele pe care nu rulează Windows Server 2008.

Configurează site-ul în care va fii plasat respectivul domain controller.

Securizează serviciul de directory, precum și replicarea de Active Directory.

Aplică parola pentru contul de administrator necesar la pornirea domain controller-

ului in Directory Services Restore Mode.

La prima instalare a Active Directory într-o rețea se crează forest root domain-ul. După crearea acestuia, se trece la crearea de domenii child și a tree-urilor. Procesul de instalare a Active Directory și de creare a forest root domain-ului va fii pornit doar dacă sunt îndeplinite toate condițiile enumerate anterior și va cuprinde următorii pași:

Click Start-Run, iar în fereastra Run se scrie dcpromo și se apasă tasta Enter:

Fig.2. Instalare dcpromo

Se deschide un Wizzard, se apasă Next:

Fig.3.Wizzard instalare dcpromo

În fereastra Operating System Compatibility se apasă Next:

Fig.4.Instalare dcpromo: Operating System Compatibility

În fereastra Domain Controller Type se alege Create a new domain in a new forest și se apasă Next:

Fig.5. Instalare dcpromo: alegerea forestului

În fereastra Name the Forest Root Domain se setează numele forestului, în cazul nostru "licenta.ro" și se apasă Next:

Fig.6. Instalare dcpromo: denumirea forestului

În fereastra Set Forest Functional Level se alege, în cazul nostru opțiunea Windows Server 2008 R2 și se apasă Next:

Fig.7. Instalare dcpromo: alegerea sistemului de operare

În continuare se vor alege opțiunile default, iar apoi se va apăsa Next pentru a începe instalarea propriu-zisă.

După restartarea calculatorului observăm că putem face Log-in direct pe domeniul care l-am definit în cadrul instalării de Active Directory , în cazul nostru LICENTA (licenta.ro).

Fig.8. Imagine logare în domeniul "licenta"

3.3.2 Proiectarea structurii de unități organizaționale

Primul pas în designul securității administrative este crearea unui plan pentru utilizarea unităților organizaționale în interiorul fiecărui domeniu. Acesta include determinarea celui mai bun mod de a delega controlul administrativ a resurselor din fiecare domeniu. Trebuie să se determine de asemenea cum afectează designul cerințele politicii de grup.

Unitățile organizaționale sunt în primul rând unelte administrative. Ele nu apar în structura DNS de nume pentru o organizație. Aceasta înseamnă că structura de OU este planificată în principal pentru a ușura munca administratorului în rețea. În principal se folosesc OU pentru organizarea conturilor și resurselor într-un domeniu dar și pentru a facilita managementul acestor resurse și de a le face ușor de găsit. Adesea designerii creează o structură de OU care sunt bazate pe diviziile departamentelor sau locații geografice deoarece este mai evidentă o astfel de împărțire.

Pentru a avea acces la resurse precum Share, Aplicații, E-mail este necesar creearea de conturi de utilizatori. Conturile de utilizatori se vor grupa în unități organizaționale în funcție de rolul sau funcția pe care o dețin în cadrul universității. În cazul nostru se vor creea patru unități organizaționale : Profesori, Studenți.

Drepturile la resurse se vor aloca direct pe unitățile organizaționale. Rolul lor în structura de Active Directory a fost descrisă în capitolul precedent.

Pentru crearea unui cont de utilizator în baza de date de Active Directory, este necesară parcurgerea următorilor pași:

Click Start –> Administrative Tools –> Active Directory Users and Computers:

Click-dreapta pe organizational unit-ul în care se dorește crearea contului de utilizator, click New –> User:

Fig.9. Opțiune creare user

Se completează datele utilizatorului: numele, prenumele și numele utilizat pentru logare, iar apoi se apasă Next:

Fig.10. Completare date user

Se introduce o parolă cunoscută și se specifică normele administrative impuse de administrator referitor la parola utilizatorului:

Fig.11. Configurare parolă pentru user

Pentru crearea contului de utilizator cu datele introduse anterior se apasă Finish

Contul de utilizator a fost creat și permite logarea în domeniu. La prima logare, utilizatorul va primi o notificare din partea sistemului și va fi obligat să își schimbe parola.

Pentru crearea unitațiilor organizaționale se procedează la fel doar că se va selecta opțiunea „Organizational Units”.

3.4 PLANIFICAREA ȘI CONFIGURAREA SERVICIULUI DE

EXCHANGE 2010

3.4.1 Planificarea organizației de Exchange

Instalarea Exchange 2010 nu se referă doar la plasarea DVD-ului de instalare în cel mai apropiat DVD-ROM și trecerea prin wizard. Infrastructura de rețea în care va fi instalat Exchange este nevoie de a fi pregătită. Anumite modificări și extensii trebuie făcute în Active Directory inainte ca Exchange să fie instalat. Aceste modificări sunt semnificative și după cum bine putem trage concluzia că odată efectuate aceste modificări este imposibil de revenit la starea inițială în cazul unei erori.

Schema de Active Directory reprezintă un set de definiții pentru toate clasele de obiecte care pot exista în domeniu. Pentru ca Exchange 2010 să utilizeze noi clase de obiecte care nu au fost definite în domeniul de AD este absolut necesar ca schema să fie extinsă în orice primă instalare a Exchange 2010 în domeniu. Acest proces se rulează cu următoarele comenzi în Command Prompt cu drepturi de administrator:

– cd D:\ [Enter]

– setup.com /prepareschema

Fig.12. Extindere schemă AD

Următorul pas în instalarea Exchange îl reprezintă determinarea cerințelor software necesare instalării serverului de Exchange. Un computer care să ruleze Exchange 2010 trebuie să aibă :

– .NET Framework 3.5 Sevice Pack 1

– .NET Framework 3.5 Family Update

– Windows Remote Management and Windows Powershell 2.0

– 2007 Office System Convertor: Microsoft Filter Pack x64

Dacă ce aceste cerințe sunt îndeplinite putem să ne indreptăm atenția asupra proiectării infrastructurii de Exchange și a rolurilor de server. Rolurile care se instalează pe un computer care rulează Exchange 2010 sunt determinate de o serie de condiții. De asemenea trebuie avut în vedere că fiecare locație de Active Directory necesită un Mailbox Server, un Hub Transport și un Client Access.

După ce domeniul de Active Directory a fost pregătit în prealabil urmează instalarea Exchange 2010. Instalarea se va face din wizard-ul de instalare prin rularea executabilului setup.exe .

Fig.13. Instalare Exchange 2010: Introduction

După ce trecem de License Agreement și Error Reporting, având opțiunile Default selectate, ajungem la Installation Type unde selectăm Custom Exchange Server Installation și Next.

Fig.14. Alegerea tipului de instalare

Apoi avem posibilitatea de a ne selecta rolurile de Exchange care să fie instalate pe acel server.

Fig.15. Selectarea rolurilor dorite pentru instalare

La opțiunea Exchange Organization se scrie un nume reprezentativ pentru organizație. După selectarea acestei opțiuni instalarea va decurge automat urmând ca la final să fie oferit un raport complet privitor la rezultatul instalării. După instalarea serviciului pe primul server de Exchange, se repetă și pentru al doilea server aceeași pași.

Instalare HUB transport

Exchange 2010 are definite două roluri pentru funcția de transport a e-mailurilor – Hub Transport (HT) și Edge Transport (ET). Scopul unui Hub Transport este să ruteze traficul între locațiile de Active Directory. Cel puțin un server Hub Transport este necesar să fie instalat în fiecare locație Active Directory. În cazul proiectului nostru deoarece nu vom avea instalat un Edge Transport server, serverul cu rol de Hub Transport poate fi utilizat pentru primirea și trimiterea e-mailurilor spre și dinspre Internet. De obicei toate organizațiile mici și medii vor avea configurat un Hub Transport server pentru a asigura acest tip de trafic. La fel ca și un Edge Transport un server având rolul de Hub poate fi configurat să examineze traficul și să blocheze virusurile și spamul. Rolul de Hub transport poate coexista cu rolurile de Client Acess, Unified Messaging și Mailbox Server.

Pentru instalarea unui Hub Tranport în cadrul inftrastructurii noastre se rulează comanda : setup /mode:install /roles:HubTransport .

Serverele Hub Transport sunt configurate atât la nivel de server cât și la nivel de organizație. La nivel de organizație configurațiile includ setările la nivel de serviciu de DNS, domain controller și configurațiile privitoare la limitele mesajelor. Domeniile pentru care organizația de exchange va accepta e-mailuri este configurată la nivel de server. Wizard-ul privitor la adăugarea de noi domenii acceptate permite configurarea serverului de Exchange 2010 să fie autoritativ pentru un anumit domeniu. Acest lucru permite organizației de Exchange să accepte e-mailuri trimise doar unui anumit tip de adresă de e-mail, de exemplu @aut.upt.ro sau de asemenea să blocheze toate e-mailurile venite de la un domeniu care nu este inclus în lista de domenii acceptate. Se poate configura un domeniu acceptat prin intermediul wizard-ului sau prin intermediul Exchange Power Shell cu ajutorul comenzii :

New-AcceptedDomain –Name ‘yahoo.com’ –domaintype ‘autorithative’

3.4.2 Managementul recipientelor

Managementul recipientelor reprezintă unul dintre taskurile principale pe care administratorii de Exchange le efectuează. Pentru a ne asigura că organizația este configurată corespunzător și nevoile utilizatorilor sunt îndeplinite, pentru fiecare cont de utilizator va fi configurat un mailbox.

Crearea unui mailbox- acest task se poate realiza atât grafic prin intermediul grafic Exchange Management Console cât și prin intermediul unei comenzi Power Shell.

În partea dreaptă a consolei de Exchange se selectează opțiunea de creare mailbox

Se selectează User mailbox

Fig.16. Alegere opțiune creare User Mailbox

Alegem contul de utilizator din toate conturile existente în forest

Fig.17. Alegere user existent pentru mailbox-ul creat

Comanda Power Shell este următoarea :

New-Mailbox –UserPrincipalName “[anonimizat]” –Database “MBX1” -Organizationl Unit "Studenti" –DisplayName “Andrei Borza”

Aproape în aceiași manieră pot fi create și grupuri de distribuție care pot fi folosite pentru trimiterea unui e-mail simultan la mai mulți utilizatori.

3.5 Securizarea serverelor Windows de infrastructură

Pentru a reduce riscurile de securitate în utilizarea și administrarea sistemelor IT, cea mai bună strategie este cea pe ansamblu (security in depth). Trebuie pornit de la lucrurile elementare: uniformitatea infrastructurii din punct de vedere al sistemelor folosite, administrarea centralizată, menținerea la zi a sistemelor din punct de vedere al patch-urilor și fix-urilor, aplicarea unor configurări standard de securitate pe toate serverele și stațiile de lucru în funcție de rolul funcțional al acestora, proceduri standard de utilizare și administrare.

Procesul de securizare al unei rețele parcurge de obicei 3 faze:

identificarea resurselor și analiza riscurilor;

dezvoltarea și implementarea planurilor de securitate;

monitorizarea proceselor în operarea de zi cu zi a rețelei.

Analiza riscurilor este necesară pentru a putea aloca în mod corect investiția de timp și resurse necesare, în funcție de importanța resurselor protejate.

Pe baza listei de riscuri prioritizate se realizează planurile de măsuri necesare. Acestea pot fi:

• proactive – pentru reducerea expunerii la riscuri;

• reactive – planuri ce sunt aplicate după producerea incidentului de securitate și care au drept scop minimizarea efectelor .

Planurile de măsuri proactive sunt implementate după o planificare de timp bine definită. Măsurile reactive sunt declanșate odată cu producerea incidentului de securitate.

Securitatea este o preocupare continuă. Chiar și după aplicarea planului de măsuri proactive și atingerea nivelulului de securitate dorit al rețelei, pentru că acest nivel trebuie menținut. Din acest motiv, trebuie făcută o reevaluare periodică a riscurilor de securitate și modificate planurile de securitate, dacă este nevoie. Pe tot parcursul duratei de viață a unei infrastructuri IT, perfomanțele acesteia trebuie monitorizate iar măsurile de securitate trebuie optimizate.

Domain controller

Domain Controllerele sunt o categorie specială de servere de infrastructură. Acestea conțin informații despre conturile utilizator și calculatoarele din rețea, politicile aplicate și oferă servicii de autentificare pentru clienții din rețea. Active Directory poate fi privit ca sistemul de management al securității în întreg domeniul.

Din acest motiv securizarea serverelor Domain Controller este critică. Acestea sunt susceptibile la atacuri de tip Denial of Service sau acces neautorizat la informațiile de directory. Dacă un atacator reușește să capete controlul asupra unui Domain Controller, atunci securitatea întregii rețele este compromisă.

Securitatea fizică este prima măsură ce trebuie luată. Apoi trebuie aplicate patch-urile de securitate la zi. Urmează aplicarea unor template-uri de securitate speciale pentru Domain Controllere, recomandat fiind HiSecDC.

Este recomandat ca utilizatorii din domeniu să aibă privilegii limitate asupra serverelor Domain Controller. De exemplu, doar grupul Administrators să aibă permisiuni administrative. Nu se recomandă utilizarea grupului Power Users.

Securizarea stațiilor de lucru

Securizarea stațiilor de lucru trebuie să se bazeze pe o analiză detaliată a riscurilor, deoarece trebuie să avem o imagine completă a resurselor pe care le accesează utilizatorii, a informațiilor care sunt stocate fie și temporar pe stațiile de lucru și al gradului de confidențialitate al acestora, a aplicațiilor folosite de utilizatori și a mediului de lucru în care sunt utilizate calculatoarele (gradul de securitate fizică).

Abordare

Oricâte investiții de securitate s-ar face în celelalte domenii (servere, perimetru, autentificare, securizarea comunicației etc) acestea pot fi cu ușurință negate de o securitate slabă pentru stațiile de lucru. Să nu uităm că la stațiile de lucru se află utilizatorii și nu trebuie să trecem cu vederea utilizatorii potențial rău intenționați. Conform studiilor, majoritatea acceselor neautorizate la informații au loc din interior. Din acest punct de vedere, securizarea stațiilor de lucru reprezintă prima barieră împotriva atacurilor.

Abordarea cea mai bună pentru securizarea stațiilor de lucru este una bazată pe analiza riscurilor, pe scurt “Threat Modeling”. Pentru asta trebuie să ne întrebăm două lucruri:

– Mai întâi trebuie să examinăm care sunt amenințările posibile. Acestea pot consta în infecția cu viruși/viermi/troieni, angajați rău intenționați, scurgeri de informații, pierderi de date din cauza defecțiunilor hardware sau software sau erorilor umane etc. O bună sursă de informații este ghidul Threats and Countermeasures, în care sunt detaliate posibile amenințări de securitate și contramăsurile adecvate pentru minimizarea sau îndepărtarea lor.

– A doua perspectivă este oferită de mediul de lucru existent și inventarierea resurselor care trebuie protejate. Trebuie luate în considerare structura rețelei, securitatea fizică, procedurile operaționale precum și numărul de stații de lucru, sistemele de operare și aplicațiile folosite, categoriile de utilizatori, informațiile care sunt accesate de pe stații, informațiile care sunt stocate (fie și temporar) pe acestea.

Recomandare

Dacă mai este nevoie să spunem, sistemul de operare recomandat este Windows XP sau în cel mai rău caz Windows 2000 cu ultimele Service Pack-uri și fix-uri precum și cu un template de măsuri de securitate de bază aplicat de la instalare.

Nu se poate asigura un nivel de securitate de bază folosind sisteme de operare mai vechi cum ar fi Windows 95, 98 sau Me. Aceste sisteme nu folosesc Group Policy și nu posedă măsuri de securitate de bază, cum ar fi securitatea accesului la logon. Iar permisiunile de acces la resurse pot fi configurate la un nivel rudimentar (share level versus user level). Aceste sisteme de operare au fost gândite pentru utilizare acasă și nu fac față cerințelor de securitate impuse pentru mediul de rețea al unei companii.

4. CONCLUZII

În ziua de azi, orice companie și organizație este dependentă de rețeaua proprie, cu ajutorul căreia își indeplinește orice operațiune. Implementarea unei infrastructuri de rețea bazate pe Windows Server și Exchange în cadrul oricărei organizații poate aduce beneficii majore printre care putem să enumerăm :

– acces mai rapid la informații; 

– administrare mai eficientă a sistemului informatic;

  – o securizare mai bună a sistemului informatic;

– creșterea productivității și colaborării în organizație prin accesul mai rapid la e-mail, interfeței utilizator intuitive, dar și facilitățile avansate de calendare sau task-uri;

– costuri reduse pentru utilizarea soluției, diminuarea volumului de muncă de administrare a soluției și oferirea unui grad mare de disponibilitate.

Deși la prima vedere proiectarea și implementarea unei infrastructuri de rețea reprezintă o sarcină facilă, ea reprezintă o operațiune foarte complexă și care necesită foarte multă documentare și testare a soluțiilor. De asemenea acest task nu se rezumă doar la soluția în sine cât și la elaborarea unei documenații corespunzătoare astfel încât orice administrator de rețea să poată să pună în practică configurațiile infrastructurii.

Incepând de la proiectarea domeniilor de Active Directory și până la setarea politicilor pe unități organizaționale, de la instalarea Exchange 2010 și până la configurarea politicilor adreselor de e-mail, va trebui găsită și implementată cea mai bună soluție pentru a satisface nevoile organizației. În cazul de fața s-a dorit proiectarea unei infrastructuri care să ofere atât performanțe din punct de vedere al calității serviciilor cât și simplitate în administrare și minimizare a costurilor. De asemenea s-a dorit o flexibilizare a infrastructurii pentru o eventuală extindere a domeniilor de Active Directory și în cadrul altor departamente.

În viitor, deși se preconizează migrarea către mediul de cloud computing și investițiile companiilor în această tehnologie sunt uriașe, acest serviciu este înca departe de a fi implementat la scară globală.

BIBLIOGRAFIE

[1] *Microsoft Official Course 70-662, Microsoft Exchange Server 2010, Configuring

[2]*Microsoft Official Course 70-642, Windows Server 2008, Network, Infrastructure, Configuring

[3]*Microsoft Official Course 70-640, Windows Server 2008, Active Directory, Configuring

[4]* http://technet.microsoft.com

[5]* http://en.wikipedia.org/