Stavíme Doménový řadič a další služby sítě: úvod
Každá společnost od svého vzniku začíná s jedním, dvěma počítači. Najednou vzroste počet na deset, další rok na třicet, s přibývajícími zaměstnanci se pak rozrůstá i IT oddělení, které se stará o to aby vše fungovalo, řeší požadavky uživatelů, doplňuje toner, vytahuje zaseknuté papíry z tiskáren, odvirovává počítače a celkově podporuje firmu k jejímu růstu. Rychle rostoucí společnosti se často dostávají do problému, kdy koncepce sítě a IT byla navržena pro “pár počítačů” a na řešení bezpečnosti nebyl brán zřetel. Jakmile počet uživatelů počítačů ve firmě překročí cca 30, začne se tato chyba v koncepci objevovat čím dál tím častěji. Jak tedy řešit bezpečnost sítě a centralizaci? Instalací Doménového řadiče a dalších služeb sítě.
Než se pustím do vlastního popisu jak vytvořit Doménový řadič a další služby sítě, zkusím zde nastínit jak to vypadá v průměrné společnosti s třiceti a více uživateli bez jakékoliv centralizace. Základním předpokladem je, že se na počítačích používá operační systém Windows.
Malá síť bez centralizace v bodech:
- Uživatel má práva Administrátora. Díky tomu si instaluje co ho napadne a co zrovna uzná za vhodné, a to i když je to interním předpisem zakázané.
- Zavirování počítače je otázkou chvíle. Uživatel chodí na erotické a jiné stránky, častokrát si ani nevšimne co počítač píše a klikne „Ano, souhlasím s instalací“.
- Společnost používá jeden počítač jako „server“, na kterém má Windows přes které sdílí soubory. Všichni uživatelé mohou do všech souborů, pravidla přístupu není možné řídit.
- Na síti se vyskytuje několik verzí Windows (minimálně 3), protože byly součástí počítačů při jejich koupi.
- VPN připojení do firemní sítě je snem uživatelů, kteří by díky tomu mohli pár dní v měsíci pracovat z domova.
- Administrátor posuzuje každý počítač jako individualitu, protože každý obsahuje jiný set programů. Někde jsou automatické aktualizace vypnuté, jinde zapnuté, někde si je uživatel řídí sám.
- Síť používá pevné IP adresy, případně DHCP adresy z routeru, který zajišťuje bránu do internetu.
- Dokumentace k síti a nastavení zpravidla neexistuje. Odjíždí-li jediný administrátor na dovolenou, začíná pro společnost doba modlení s přáním „snad to bude fungovat“. Díky neexistující dokumentaci není možné, aby byl administrátor plně zastoupen někým jiným.
- Neexistuje zálohování uživatelských souborů z počítačů. Ti fundovanější mají externí disk, na který si občas data zkopírují.
- Pobočky společnosti jsou oddělené, komunikace a výměna dat probíhá přes emaily.
- Společnost vlastní velké množství tiskáren, které jsou různého typu s průměrem 2 uživatelé na jednu tiskárnu.
- Mailové služby jsou externí a používá se protokol pop3, pokud možno bez šifrování.
- Když přijde do společnosti někdo na jednání, připojí se do sítě aby mohl na internet.
- WiFi připojení do interní sítě je zabezpečené sdíleným heslem, které je napsané na nástěnce.
- Politiky hesel pro přihlášení neexistují. Uživatelé (pokud už heslo mají) používají cokoliv od 1111 po heslo qwerty, případně je heslo napsané na žlutém lístečku na monitoru. Ona Martina od vedle občas potřebuje něco vytisknout na mé barevné tiskárně…
- Neexistuje log přihlášení a log přístupů na webové stránky.
Samozřejmě tímto výčet zdaleka nekončí… Nyní zkusím popsat základní body toho, co by taková centralizovaná síť s Doménovým řadičem a dalšími službami měla nabídnout uživatelům a co správcům sítě.
- Uživatel se musí přihlásit k Doméně, tím je ověřena jeho identita.
- Vynucené politiky hesel, tedy jak často je nutné heslo změnit a jeho složitost.
- Počítač, který není připojený do domény se do sítě může připojit, ale mimo IP adresy se nedostane k dalším službám sítě.
- Na základě přihlášení získá uživatel přístup k síťovém domovskému disku a také společně sdíleným souborům, které jsou určeny pro něj a pro další uživatele ve stejné skupině.
- Soubory ukládané na sdílené disky jsou automaticky kontrolované na výskyt virů a jiného škodlivého kódu.
- Po přihlášení je možné automaticky spouštět scripty a tím nastavovat parametry prostředí, instalovat nebo updatovat programy.
- Akce, které uživatel se sdílenými soubory provede jsou auditovatelné.
- Přístup k internetu je přes proxy, která filtruje zakázané stránky a loguje všechen provoz s vnějším světem. Ověření probíhá transparentně aniž by uživatel musel zadat znovu své heslo.
- K tiskům se používají centrální tiskárny, které slouží více lidem, například na stejném patře nebo tiskový server, který nabízí tiskárny podle skupin uživatelů.
- Pro hosty je dedikována vlastní WiFi síť, která umožňuje přístup přes heslo. Firemní počítače se připojí na WiFi transparentně a to pomocí napojení WiFi AP na Radius server.
- Možnost jednodušeji nasadit SSO – systém jednotného přihlášení do všech aplikací.
Která síť se bude lépe administrovat, která bude bezpečnější? Myslím, že je to celkem jasné…
Co je potřeba k vytvoření sítě s Doménou (nejen) pro Windows?
- Doménový řadič
- Adresářový server
- Souborový server
- DHCP server
- DNS server
- Proxy server zajišťující přístup na internet
- Webový Server zajišťující autokonfigurační script na proxy, případně provoz Intranetu
- VPN server na propojení poboček (pokud je třeba)
- Antivir pro kontrolu souborů na souborovém serveru
Volitelné součásti
- NTP server
- Radius server
- VPN server pro uživatele
- Tiskový server
Jaký software bude použit?
Všechny výše vyjmenované součásti mohou běžet na jednom fyzickém (virtualizovaném) serveru. Pokud se jedná o síť s pobočkami, tak je více než vhodné mít pro každou pobočku vlastní server. Tento server bude v roli záložního doménového řadič a poskytne pobočkovým klientům všechny služby lokálně, bez latence dané propojením centrály a poboček.
Primární a záložní doménový řadiče: Servery jsou propojeny skrze Internet zabezpečeným kanálem – VPN.
Pobočkový řadič domény zajistí fungování Domény a dalších služeb sítě i když zrovna nebude pobočka propojena s centrálou (nedostupné VPN propojení například z důvodu nedostupnosti připojení k internetu). Jakmile bude projení obnoveno, dojde k synchronizaci dat Doménového řadiče (pokud mezi tím došlo ke změnám). Pokud propojíme sídlo společnosti a pobočky do stejné domény, umožníme tím uživatelům přístup ke svému domovskému disku a sdíleným souborům kdekoli v rámci sítě společnosti.
Uživatel 1 přejel na Pobočku 2. Po jeho přilášení došlo k automatickému připojení jeho domovského disku, který je fyzicky umístěn na Pobočce 1. Uživatel tak může pracovat se všemi dokumenty, které má na svém domovském serveru.
V dalším navazujícím článku rozeberu celé řešení a přiblížím komponenty, ze kterých síť s Doménou postavíme.