Migrácia na Windows 2000/XP Migrácia na Windows 2000/XP
INFOENERGO 2004 INFOENERGO 2004
Juraj Gál
AITEN, a. s., Trnava
AITEN, a. s., Trnava
• zameranie
– koncepcia budovania informatiky
– systémová integrácia (od roku 1998) – riadenie projektov
– procesné modelovanie
– centrálna správa systémov
Projekt „Migrácia na Windows 2000/XP“
• migrácia serverov a PC na novú systémovú platformu
• realizácia v podnikoch:
– Slovenské elektrárne (cca 4000 PC)
– Slovenská elektrizačná prenosová sústava (viac ako 200 PC)
– Tepláreň Košice (cca 300 PC)
– Výskumný ústav jadrových elektrární (cca 350 PC)
– a samozrejme AITEN (cca 40 PC)
Dôvody Migrácie
• vysoké náklady na správu
• nedostatočná úroveň bezpečnosti
• nedostatočná úroveň dostupnosti systémov
• prílišná heterogenita systémového prostredia
• nestabilita starších opera čných systémov
• ...
Cieľ Migrácie
• na novej technologickej platforme zavies ť jednotný a zdokumentovaný systém
v oblasti súborových, tlačových a malých aplikačných serverov a PC, ktorý umožní zlepšiť integráciu, zvýšiť bezpečnosť,
spoľahlivosť a dostupnosť systémov, znížiť
celkové náklady na správu a prevádzku a
vytvoriť stabilné a produktívne prostredie
pre prácu užívateľov s aplikáciami
Zníženie nákladov na správu
• konsolidácia prostredia
• centralizácia správy (jedna Active Directory doména)
• klonovanie PC
• automatická distribúcia aplikácií
• automatická inštalácia tlačiarní
• skripty (inštalačné, štartovacie, jednorazovo vykonávané)
• vzdialená správa PC a serverov
• ...
Konsolidácia – stav pred - servery
Aplikačné služby File&Print služby
Aplikačné služby File&Print služby
Aplikačné služby Adresárové služby
File&Print služby
Windows NT 4.0
Windows NT 4.0
Windows 2000
Unix NetWare
NetWare
Unix
Admin NetWare Admin WNT 4.0 Admin W2000 Admin Unix
Konsolidácia – stav pred - PC
Windows 95
Windows 95 Windows 98
Windows Me
Windows NT
Windows NT
Windows 2000
Windows 2000
Windows XP
Technik W9x Technik WNT
Technik W2k/XP APP (W9x)
APP (WNT)
APP (W2k/XP)
Správca APP
Printer
W 9x drive
rs
WNT drivers
W2k/XP drivers
Konsolidácia – stav po - servery
Aplikačné služby Adresárové služby
File&Print služby Aplikačné služby
Windows 2000
Unix
Unix
Admin W2000 Admin W2000
Admin Unix
Windows 2000
Windows 2000
Windows 2000
Windows 2000
Konsolidácia – stav po - PC
Windows XP
Technik
APP (WXP)
Správca APP
Windows XP Windows XP Windows XP Windows XP
Windows XP Windows XP
Windows XP Windows XP
Technik Printer
WXP drivers
Centralizácia – stav pred
Admin Unix
Admin Unix
Admin Unix
Admin Unix Admin Unix
Centralizácia – stav po
Admin Unix
Klonovanie PC
• namiesto ručnej inštalácie opera čného systému:
– bezobslužná inštalácia vzorovej pracovnej stanice
– kopírovanie obrazu vzorovej pracovnej stanice na ostatné pracovné stanice s rovnakou
konfiguráciou, ako je vzorová (zo servera alebo z CD)
• výsledok
– „inštalácia“ trvá minúty, nie hodiny – žiadne chyby
Automatická distribúcia aplikácií
• postup:
– vytvorenie inštalačného MSI balíka
– replikácia MSI balíka na príslušné lokality
– priradenie balíka užívateľom alebo počítačom
• výsledok:
– úplne automatická inštalácia/odinštalácia bez zásahu užívateľa na ľubovoľné množstvo PC – je možné inštalovať SW aj užívateľom, ktorí
nemajú právo sami nič nainštalovať
Automatická inštalácia tlačiarní
• inštalácia ovládačov iba raz na server
• automatická inštalácia/odinštalácia a
konfigurácia tlačiarní prihlasovacím
skriptom na PC na základe členstva
v skupinách
Bezpečnosť
• obmedzenia užívateľov – skupinové politiky a oprávnenia
• zabezpečenie prístupu správcov
• bezpečnostné „záplaty“
• zónovanie
Obmedzenia užívateľov
• cieľ - vytvoriť prostredie, ktoré umožní plni ť užívateľom všetky pracovné úlohy
(a nič viac)
• výsledok - okrem znížených nárokov na správu (užívatelia nemajú možnosť meniť konfiguráciu ani inštalova ť SW) aj vysoká úroveň bezpečnosti - napríklad bežné
vírusy v takomto prostredí nefungujú
Obmedzenia užívateľov ...
• všetci užívatelia sú na svojich PC iba členmi skupiny Users
• všetky nepotrebné činnosti sú na počítačoch
zablokované pomocou skupinových politík (Group Policies)
• užívatelia si môžu na PC ukladať svoje údaje iba na presne vyčlenenom mieste (výhoda aj pri
reinštalácii počítača)
• užívatelia nemôžu zapisovať do adresárov, z ktorých môžu spúšťať programy a naopak, nemôžu spúšťať programy z adresárov, do ktorých môžu zapisovať
Skupinové politiky (Group Policies)
• možnosť centrálne meniť nastavenia ľubovoľnej skupiny počítačov alebo užívateľov (napr. zakázať svojvoľné zmeny nastavenia sieťových parametrov)
xüüüüxüü xüxüüüxü
Active Directory
Zabezpečenie prístupu správcov
• pre rôzne činnosti správcov sú vytvorené samostatné kontá, pričom správcovia sa
štandardne prihlasujú ako bežní užívatelia a
špeciálne kontá využívajú iba pre činnosti, ktoré nemôžu pomocou konta s bežnými oprávneniami realizovať
• pre správu využívajú správcovia vyhradené počítače bez prístupu na Internet
• správu správcovia vykonávajú zo špeciálnych
terminálových serverov, pričom na tieto servery je povolená iba komunikácia nutná pre terminálové pripojenie
Bezpečnostné „záplaty“
• okrem „klasických“ vírusov ohrozujú dnes systémy aj útoky využívajúce chyby softvéru (úspešné
napadnutie nezávisí od chyby užívateľa typu spustenie infikovaného súboru)
• jediná ochrana – včasná inštalácia bezpečnostných záplat (tzv. patchov)
• vytvorené mechanizmy na hromadnú distribúciu patchov a na kontrolu priebehu distribúcie
• prednosť pred akýmikoľvek inými skriptami a distribúciou aplikácií
Zónovanie
• rozdelenie siete na bezpe čnostné zóny
• obmedzená komunikácia medzi zónami – zamedzenie útoku z jednej zóny do
ostatných
• centrálne servery – v špeciálnej zóne
Vysoká dostupnosť - klastrovanie
• všetky dôležité služby (súborové, tlačové, aplikačné, adresárové) sú vysoko dostupné –
v prípade výpadku servera preberá jeho úlohu iný server