UVAJANJE DOMENSKEGA NAČINA DELOVANJA V ...neizkoriščenost strežnika se pozna v nekonfigurirani domeni, ki bi omogočala uporabo naprednejših funkcij. Stanje delovanja informacijskega

UNIVERZA V MARIBORU FAKULTETA ZA ORGANIZACIJSKE VEDE

Diplomsko delo visokošolskega strokovnega študija Smer Informatika v organizaciji in managementu

UVAJANJE DOMENSKEGA NAČINA DELOVANJA V OKOLJU MICROSOFT

Mentor: doc. dr. Bernik Igor Kandidat: Gregor Osterman

Kranj, April 2008

ZAHVALA Za pomoč in vodenje pri sestavi diplomske naloge se zahvaljujem dr. Igorju Berniku. Hvala družini in Katarini za podporo pri študiju!

POVZETEK Diplomska naloga v prvem delu analizira protokole, ki se izvajajo v informacijske sistemu, ki temelji na Windows platformi. V uvodu so predstavljeni problemi informacijskega sistema s katerim se podjetje Medicotehna d.o.o. sooča. V nadaljevanju dela je poudarek na analizi protokolov, ki se izvajajo v domeni, katere upravljavec je Windows server 2003. V drugem delu naloge je analizirano obstoječe stanje informacijskega sistema ter opis stanja po implementaciji rešitve Microsoft Small Business Server 2003, ki je argumentirana tudi z rezultati SWOT analize.

KLJUČNE BESEDE

- Aktivni Imenik - Windows - Domenski način

ABSTRACT In the first part the diploma work analyses the protocols that are processed in the information system that is based on the Windows platform. In the introductory part the problems of the information system are represented with which the company Medicotehna d.o.o. is faced. In the continuation the highlight is on the protocols that are processed in the domain of which the controller is Windows server 2003. In the second part of the work the current situation of the information system is analyzed and the state after the implementation of the Microsoft Small Business Server 2003 is described, this is augmented with the results of the SWOT analyses.

KEYWORDS

- Active Directory - Windows - Domain mode

KAZALO

1. UVOD ....................................................................................................................................... 1

1.1. PREDSTAVITEV PROBLEMA .................................................................................................... 1 1.2 CILJ IN NAMEN DELA .............................................................................................................. 1

2. ANALIZA DOMENSKEGA NAČINA DELOVANJA INFORMACIJSKEGA SISTEMA V SBS 2003 OKOLJU 3

2.1. PRIMERJAVA DOMENSKEGA IN NEDOMENSKEGA NAČINA DELOVANJA ............................... 3 2.2. AVTENTIKACIJSKI PROTOKOLI V DOMENI .............................................................................. 4

2.2.1. NTLM PROTOKOL .......................................................................................................... 5 2.2.2. KERBEROS PROTOKOL ................................................................................................... 5

2.3. AKTIVNI IMENIK ..................................................................................................................... 6 2.4. DOSTOP DO AKTIVNEGA IMENIKA ......................................................................................... 7

2.4.1. DIRECTORY ACCESS PROTOCOL (DAP) .......................................................................... 7 2.4.2. LEIGHTWEIGHT DIRECTORY ACCESS PROTOCOL (LDAP) ............................................. 10 2.4.3. PODOBNOSTI MED LDAP IN DAP ................................................................................ 11

2.5. WINDOWS SERVER 2003 DIREKTORIJSKI SERVIS.................................................................. 12 2.6. SISTEM DOMENSKIH IMEN (DNS) ........................................................................................ 14 2.7. OMREŽNI SERVIS WINDOWS NAME SERVICE V DOMENI (WINS) ......................................... 17 2.8. VARNOST PODATKOV .......................................................................................................... 19 2.9. VLOGE GLAVNIH OPERACIJ (FSMO - FLEXIBLE SINGLE MASTER OPERATIONS) .................... 20 2.10. KATALOGNI SERVIS .............................................................................................................. 22 2.11. EXCHANGE POŠTNI SISTEM ................................................................................................. 23 2.12. EXCHANGE SERVER 2003 IN IIS 6.......................................................................................... 25 2.13. ISA POŽARNA PREGRADA .................................................................................................... 26

3. OBSTOJEČE STANJE SISTEMA .................................................................................................. 28

3.2. STANJE PRED PRENOVO INFORMACIJSKEGA SISTEMA ........................................................ 29

4. STANJE PO PRENOVI .............................................................................................................. 32

4.1. UPORABA EXCHANGE SISTEMA ........................................................................................... 33 4.2 UPORABA ISA POŽARNE PREGRADE .................................................................................... 35

5. ANALIZA SWOT ...................................................................................................................... 37

5.1 PREDNOSTI – STRENGTHS .................................................................................................... 37 5.2 SLABOSTI – WEAKNASSES .................................................................................................... 38 5.3 PRILOŽNOSTI – OPPORTUNITIES .......................................................................................... 38 5.4 PASTI, NEVARNOSTI - THREATS............................................................................................ 39

6. ZAKLJUČEK ............................................................................................................................. 40

6.1 OCENA UČINKOV ................................................................................................................. 40 6.2 MOŽNOSTI NADALJNEGA RAZVOJA ..................................................................................... 40

LITERATURA IN VIRI ........................................................................................................................ 41

KAZALO SLIK ................................................................................................................................... 42

KRATICE IN AKRONIMI .................................................................................................................... 42

Univerza v Mariboru –Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija

Gregor Osterman: Uvajanje domenskega načina delovanja v okolju Microsoft stran: 1

1. UVOD

1.1. PREDSTAVITEV PROBLEMA

Osnovni problem informacijskega sistema podjetja Medicotehna d.o.o. je v dotrajanosti uporabljenih načinov delovanja obstoječega informacijskega sistema. Tehnologija na kateri je zasnovano računalniško omrežje temelji na Microsoftovem strežniku Windows Server 2000, ki služi kot centralno mesto celotnega informacijskega sistema. Kljub temu, da sam strežnik omogoča napredne funkcionalnosti le te niso izkoriščene. Največja neizkoriščenost strežnika se pozna v nekonfigurirani domeni, ki bi omogočala uporabo naprednejših funkcij. Stanje delovanja informacijskega sistema brez konfigurirane domene otežuje administracijo samega sistema, dodatno pa sistem ni ustrezno zaščiten. Informacijski sistem pozna tudi druge funkcionalne pomanjkljivosti, kot je gostovanje elektronske pošte pri zunanjem ponudniku. Gostovanje elektronske pošte pri zunanjem ponudniku pomeni večji pretok podatkov, kar pa se pozna pri izkoriščenosti dostopa do svetovnega spleta. Dodatna pomanjkljivost takega stanja je nekontrola nad bazo elektronske pošte, dovzetnost do izgub elektronske pošte in omejenost na velikosti baze, ki se nahaja pri gostitelju spletne pošte. Želja podjetja je tudi arhiviranje ključnih podatkov, ki se nahajajo v sistemu na tračne enote, ki bi hranile podatke tudi za nekaj let. Informacijski sistem je zaščiten pred zunanjem omrežjem z nenamensko požarno pregrado s servisom usmerjanja in oddaljenega dostopa, ki izkorišča požarno pregrado, ki je vključena v sistem strežnika. Pomanjkljivost take nastavitve je predvsem v tem, da ne gre za napredno požarno pregrado, ki bi ustrezno zaščitila in reagirala na morebitne napade s strani zunanjega omrežja. Težavo bomo rešili s programsko opremo, ki je vključena v paket Small Business Server 2003, in sicer s požarno pregrado ISA 2004. Taka požarna pregrada vsebuje napredne zmogljivosti, ki jih potrebuje vsak zanesljiv informacijski sistem. Trenutni sistem prav tako ne podpira delo z oddaljenih lokacij, kar bomo z uporabo kombinacije ISA 2004 in servisa usmerjanja in oddaljenega dostopa odpravili. Končno stanje informacijskega sistema bo z uporabo opisanih funkcij ustrezno nadgrajeno, omogočalo pa bo tudi nadaljnji razvoj zagotavljanja varnosti in še pomembnejše sistem bo postavljen na način, ki bo uporabnikom omogočal hitrejše in optimalnejše delo.

1.2 CILJ IN NAMEN DELA

Cilj dela je analizirati domenski način delovanja in nedomenski način delovanja. S pomočjo analize protokolov, ki se izvajajo pri avtentikaciji in avtorizaciji dostopanja do sistemskih resursov je namen prikazati zakaj je domenski način delovanja informacijskega sistema ustreznejša rešitev za podjetje Medicothehna d.o.o. Dodatni namen dela je opisati protokole, ki se izvajajo in so nujno potrebni za delovanje same domene. Poleg izbire kateri izmed načinov delovanje je ustreznejši je namen opisati, analizirati in argumentirati izbiro sistemske rešitve SBS 2003 in uporabo funkcionalnosti, ki jo omenjena rešitev ponuja. Rezultat nadgradnje informacijskega sistema bo:

zanesljivejše delovanje IKS,

varnejše omrežje,

večja mobilnost dostopanj do podatkov,

Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija


večja odprtost za nadgradnje,

podatkovno skladišče programske opreme se bo preselilo iz SQL 2000 na novejšo verzijo SQL 2005,

lasten elektronsko poštni sistem,

zagotovitev redundantnosti podatkov,

večja izkoriščenost že obstoječe programske opreme,

jasna smer razvoja IKS.



2. ANALIZA DOMENSKEGA NAČINA DELOVANJA INFORMACIJSKEGA SISTEMA V SBS 2003 OKOLJU

2.1. PRIMERJAVA DOMENSKEGA IN NEDOMENSKEGA NAČINA DELOVANJA

Omrežja brez prisotnosti domene temeljijo na principu strežnik-klient, kjer je vsak strežnik samostojna enota s svojimi resursi, kjer vsak zase vzdržuje svoje uporabniške račune in njihove pravice dostopa (Access Control List, tj. ACL). Sam princip takega delovanja je enostaven in lahko razumljiv, vendar pa postane neobvladljiv, ko sistem preseže določeno velikost. Prednost domenskega delovanja je v skupni bazi uporabniških resursov, kar omogoča centralen nadzor nad uporabniki in njihovimi pravicami.

Slika 1: Nedomenski način delovanja (Vir: Mastering Active Directory for Windows Server 2003)

Slika 2: Domenski način delovanja(Vir: Mastering Active Directory for Windows Server 2003)

Prednosti domene:

Enkratna možnost prijave v sistem:

klient

prošnja za prijavo v sistem

Domenski kontroler

baza uporabniških računovodobreno/zavrnjeno

Slika 3: Enkratna možnost prijave v sistem (Vir: Mastering Active Directory for Windows Server 2003)

Ko se uporabnik želi prijaviti v domeno, se ta prošnja posreduje domenskemu kontrolerju. Domenski kontroler odpre bazo uporabniških računov in pregleda, če je uporabniško ime

podatkovni

strežnik 1

podatkovni

strežnik 2

Uporabnik1

Uporabnik2

Uporabnik3

Uporabnik4

Uporabnik1

Uporabnik2

Uporabnik3

Uporabnik4

baza

uporabnikov

baza

uporabnikov

Nedomenski način delovanja

podatkovni

strežnik 1

Uporabnik1

Uporabnik2

Uporabnik3

Uporabnik4

centralna

baza

uporabnikov

podatkovni

strežnik 2

podatkovni

strežnik 3

Domenski način delovanja



veljavno in pravice vezane na ta uporabniški račun. Domenski kontroler vrne pozitivni ali negativni odgovor delovni postaji. Če je odgovor pozitiven se uporabnik lahko prijavi v domeno v nasprotnem primeru pa se ne more.

Univerzalni dostop do resursov:

klient

Prošnja za uporabo resursa

Domenski kontroler

odobreno/zavrnjeno

tiskalnik

Slika 4: Univerzalni dostop do resursov(Vir: Mastering Active Directory for Windows Server 2003)

Uporabnik poda prošnjo za uporabo mrežnega resursa. Njegova prošnja je avtenticirana z uporabo informacij o uporabniškem računu, ki se nahaja na domenskem kontrolorju. Klientska delovna postaja dovoli ali zavrne uporabo resursa glede na to kako je avtentikacija razrešena.

Centralni nadzor nad omrežnimi resursi:

domenski kontroler

baza uporabniških računov

omrežni resursi

podatki

aplikacije

uporabnik

Slika 5: Centralni nadzor nad omrežnimi resursi (Vir: Mastering Active Directory for Windows Server 2003)

Administracija uporabniških računov se nadzira iz centralne baze, ki je shranjena na domenskem kontrolerju. Pri dodajanju novega uporabnika se lahko definira dovoljenja za uporabo mrežnih resursov.

2.2. AVTENTIKACIJSKI PROTOKOLI V DOMENI

Tako kot pri vsaki transakciji med računalniki v omrežju se tudi pri avtentikaciji uporabljajo določeni protokoli. V starejših Microsoftovih omrežjih je bil ta protokol NTLM, v novejših omrežjih (Windows 2000 in Windows Server 2003) pa je ta protokol Kerberos verzije pet. Windows 2000 in Windows Server 2003 še vedno uporabljata NTLM za prijavo na starejše sisteme in na ta način zagotovita kompatibilnost za starejše sisteme. V Windows 2000 in Windows server 2003 domenskem okolju bo domenski kontroler najprej poizkušal



uporabiti Kerberos protokol verzije pet, če pa uporaba tega protokola ne bo možna bo avtentikacija poizkušena še z NTLM protokolom.

2.2.1. NTLM PROTOKOL

NTLM protokol je prisoten že veliko časa, zanaša se na Netlogon servis za avtentikacijo. Pomanjkljivost tega protokola je zanašanje na Netlogon servis, saj se je v preteklosti velikokrat izkazalo, da je za izkoriščanje varnosti kriv ravno Netlogon servis. Proces avtentikacije z NTLM protokolom:

1 Uporabnik bo vpisal uporabniško ime in geslo. 2 Proces grafičnega identifikatorja in avtentikatorja (GINA) zbere informacije in

jih po varni poti posreduje lokalni varnostni avtoriteti (LSA). 3 LSA poda informacije ponudniku podpore varnostnem vmesniku (SSPI). Ta

vmesnik komunicira tako z Kerberos, kot z NTLM servisom. 4 SSPI poda informacije ponudniku Kerberos varnostni podpori (SSP). 5 Kerberos SSP pregleda če je računalniško ime ime lokalnega računalnika ali

domenskega računalnika. Če je ime lokalno Kerberos SSP generira napako in proces je posredovan nazaj GINA. Če pa je to domenski poizkus bo Kerberos SSP nadaljeval z procesiranjem.

6 Če je prijava lokalno bo GINA ponovno podala prošnjo in sistem bo uporabil NTLM avtentikacijski proces. NTLM SSP bo podal prošnjo Netlogon servisu za avtentikacijo z lokalnim varnostnim upravljavcem baze uporabniških računov.

Iz procesa je razvidno, da bo najprej uporabljen Kerberos protokol verzije pet, vendar če bo ta avtentikacija neuspešna se bo uporabila NTLM avtentikacija.

2.2.2. KERBEROS PROTOKOL

Kerberos verzije pet je implementirana v razne sisteme in se lahko uporabi, kot eno mesto za avtentikacijo do mešanih resursov. Kerberos ponuja pogost protokol, ki omogoča eni bazi uporabniških računov avtentikacijo uporabnikov v heterogenih okoljih. Tako kerberos zmanjša administrativni trud, ki je potreben za podpiranje mešanih omrežij. Kerberos uporablja računalnik, ki je namenjen za centralni distributer ključev (KDC). Kerberos je znan kot deljen skrivni avtentikacijski protokol, ker tako klient kot KDC poznata uporabniško geslo. KDC deluje kot posrednik med klienti in resursi med avtentikacijskim procesom(J. C. Mackin, Ian McLean. Str 693). Kerberosova vloga v avtentikacijskem protokolu je torej potrjevanje identitete. Ko nek objekt dostopa do strežnika se mu podeli servisna karta, ki potrjuje da ima objekt res tisto identiteto za katero se izdaja in da strežniku ni potrebno preverjati te informacije pri domenskem kontrolerju. Del servisne karte je kriptiran z uporabo geselnih zgostitev za strežnik, tako da jo lahko strežnik dekriptita. Zadeva deluje, ker domenski kontroler hrani geselne zgostitve tako za računalnike, kot za uporabnike. Ker lahko strežnik dekriptira karto, strežnik prepozna, da je karta veljavna prav tako mora priti od domenskega kontrolerja, namreč domenski kontroler je edina entiteta, ki ima strežnikovo geslo. Kljub temu, da je servisna karta uporabljena le za verifikacijo uporabnikove identitete vsebuje nekaj informacij, ki se lahko uporabijo za avtorizacijo. Te informacije so iste, kot jih zbere KDC, ko se uporabnik prvič prikaže domensko identifikacijo, ta vsebuje uporabnikov SID in SID skupin, katerih član je ta uporabnik. Te informacije strežnik



uporabi za ustvarjanje dostopnih žetonov posledično lahko datotečni strežnik določi če ima uporabnik ustrezne pravice za dostop do datotek. Potek procesa:

1. Klient se avtenticira KDC računalniku z uporabo veljavnega uporabniškega imena in gesla, katere informacije se nahajajo v bazi aktivnega imenika.

2. Klient prosi za sejno karto za ciljni strežnik. Kerberos sejna karta identificira uporabnika in vsebuje uporabniški SID in SID uporabniške skupine, kateri uporabnik pripada. Sejna karta prav tako vsebuje kodiran ključ, ki ga lahko ciljni strežnik uporabi za zagotovitev, da je bila karta generirana s strani KDC-ja.

3. Klient predstavi sejno karto ciljnem strežniku. Ciljni strežnik preveri karto če je le ta veljavna in odobri ali zavrne dostop do resursa.

KDC1 avtentikacija

APS baza

klient

strežnik z resursi

2

pridobljena karta za cilj

2 prikazana karta

Slika 6: Potek kerberos procesa (Vir: Mastering Active Directory for Windows Server 2003)

Sejna karta je shranjena na klientskem računalniku naključno število časa (med pet minutami in osmimi urami) in je lahko uporabljena pri ponovnem dostopu do resursa. Če je karta pretečena se proces ponovi v naslednjem poizkusu dostopa.

2.3. AKTIVNI IMENIK

Aktivni imenik ponuja metode za zasnovo direktorijske strukture, ki ustreza potrebam organizacij. Direktorij je shranjena zbirka informacij o objektih, ki so med seboj povezani. Za primer, adresar elektronske pošte hrani imena uporabnikov ali entitet in njihove naslove e-pošte.



Adresar elektronske pošte lahko dodatno vsebuje naslov ali druge informacije o uporabniku ali entiteti. V distribuiranem računalniškem sistemu ali javnem računalniškem sistemu, kot je npr. internet obstaja veliko objektov, ki so shranjeni v direktoriju, kot npr. datotečni strežniki, tiskalniki, baze in uporabniki. Uporabniki morajo imeti možnost uporabe teh objektov, administratorji pa morajo imeti možnost upravljanja objektov, ki so v uporabi. Direktorijski servis hrani vse potrebne informacije, ki so potrebne za nadzor teh objektov na centralni lokaciji s tem pa tudi poenostavi proces uporabe in nadzora teh objektov. Direktorijski servis se razlikuje od direktorija v tem, da je tako vir informacij kot mehanizem, ki te informacije ponuja uporabnikom. Direktorijski servis je glavno stikalo mrežnega operacijskega sistema. Je centralna avtoriteta, ki nadzira identitete in relacije med distribuiranim resursi, kar omogoča delovanje. Ker direktorijski servis ponuja te osnovne mrežne operacije mora biti tesno povezan z nadzorom in varnostnimi mehanizmi operacijskega sistema zaradi zagotavljanja integritete in privatnosti omrežja. Prav tako ima kritično vlogo pri zagotavljanju organizacij omrežne infrastrukture, administracije omrežja in kontrolo uporabe informacijskega sistema(Jill Spealman, Kurt Hudson, and Melissa Craft. Str 44).

2.4. DOSTOP DO AKTIVNEGA IMENIKA

Dostop do aktivnega imenika je mogoč preko dveh protokolov, in sicer Directory Access Protocol (DAP) in Lightweihgt Directory Access Protocol LDAP. Protokol DAP je bil definiran kot del X.500 specifikacije, LDAP pa je bil razvit neodvisno od X.500 standarda in se uporablja za dostop tako do X.500 in ne-X.500 direktorijev. Vsak izmed obeh protokolov ima svoje prednosti in slabosti, ampak LDAP je postal bolj priljubljena oblika dostopa do direktorija zaradi svoje manj lastniške narave in zaradi manjšega obremenjevanja klienta.

2.4.1. DIRECTORY ACCESS PROTOCOL (DAP)

Med razvojem X.500 priporočil je komisija obravnavala obliko uporabe direktorija. Obstajajo določene funkcije, ki so standardne z vsako bazo in ostale oblike uporabe, ki so specifične za uporabo direktorija. Uporabniki vsake baze morajo imeti omogočeno opravljati sledeča opravila:

Poizvedba

To je osnovna pridobitev informacij, ki jo uporabljajo uporabniki. Uporabniki poizvedujejo za specifičnimi informacijami o znanem resursu.

- Iskanje in filtriranje Uporabnik lahko uporabi določene znane informacije o objektu, da najde iskan resurs.

- Pregledovanje

DAP klic je lahko uporabljen za prikaz informacij, v neki obliki seznama, iz katerih lahko uporabnik izbere specifičen resurs. Ostala opravila so bolj direktorijsko naravnana. Ta opravila niso normalne funkcije v bazi, uporabljene so le za uporabo omrežnega direktorija.



- Resolucija imen Resursi so lahko dosegljivi preko lahko zapomljivih imen, kar je specifična uporaba poizvedbe (npr. korporacijska politika dodeljevanje uporabniških imen je lahko sestavljeno iz priimka uporabnika in prva črka imena. Na ta način je nek resurs dosegljiv če je znan priimek uporabnika in standarda, kako je uporabniško ime dodeljeno).

- Avtentikacija Avtentikacija vsebuje varnostni sistem za prepoznavanje uporabnikov z namenom dovoljevanja dostopa do resursov. Uporabnik potrdi svojo pristnost z vnosom gesla, posledično ima uporabnik dostop do resursov. Naštete funkcije poizvedbe, iskanja, pregledovanja, resolucije imen in avtentikacije so končni rezultat neke akcije, ki jo sproži klientska programska oprema. Vse se giblje z možnostjo koorporacije z direktorijem. DAP nudi štiri funkcije, ki jih klient lahko inicializira, ko dostopa do baze s podatki.

Branje

Prošnja je namenjena specifičnemu objektu, ta akcija bo vrnila nekaj ali vse vrednosti iskanega objekta. Če bo vrnjen okrnjen seznam atributov, bo klientska programska oprema podala seznam želenih atributov strežniku.

- Primerjanje

Prošnja je namerjena na specifičen atribut določenega objekta. V nekaterih implementacijah, bo lahko uporabnik primerjal nek atribut ne da bi imel dejansko možnost branja tega atributa. Primer take uporabe je zmožnost neke programske opreme, da preveri če obstaja geslo, ne da bi imela dejansko možnost branja gesel samih.

- Izpis seznama

Ta akcija bo vrnila seznam objektov v direktoriju. - Opustitev

Ta akcija obvesti direktorij naj prekine določeno akcijo uporabnika. Primer take uporabe je če nek klient zahteva seznam določenih atributov iz velike baze in je rezultat povpraševanja znan pred dokončanjem pregledovanja vseh objektov.

Programska oprema bo z uporabo teh štirih osnovnih funkcij lahko posredovala klientom informacije, ki so shranjene v direktoriju,

Modifikacija direktorija

Branje informacij v direktoriju pa je le polovica možnosti. Medtem ko je večina informacij v direktoriju avtomatsko vzdrževana ostaja veliko informacij, ki jih je potrebno vnašati in vzdrževati ročno. To pomeni, da morajo obstajati funkcije, ki ponujajo možnost spreminjanja baze direktorija. DAP definira štiri specifične funkcije za spreminjanje direktorija: - Dodajanje vnosa

Prošnja za dodajanje vnosa v direktorji.



- Brisanje vnosa Prošnja izbriše objekt iz direktorija.

- Spreminjanje vnosa Prošnja je uporabljena za spremembo obstoječega objekta.

- Spreminjanje enoličnega imena Prošnja je uporabljena za preimenovanje objekta v direktorju.

Omogočanje dostopa do direktorija

DAP protokol se lahko uporabi za avtentikacijo uporabnikov v prijavnem procesu. Vsaka DAP prošnja se lahko konfigurira tako, da vsebuje varnostne mehanizme v procesu. Direktorij lahko vsebuje informacije, ki so lahko ali zaupne (gesla, certifikati) ali ključne za delovanje omrežja (naslov mrežnega tiskalnika). Take informacije je potrebno zaščititi pred nepravilnimi dostopi ali manipulacijami. Vsaka DAP prošnja lahko vsebuje varnostne informacije, ki so lahko uporabljene za poizvedbo ali ima določen uporabnik možnost sprožiti določeno funkcijo. Normalni uporabniki navadno nimajo pravice spreminjanja baze, ker je ta pravica rezervirana za administratorje. Uporabnik se mora za dostop do informacij identificirati. Navadna avtentikacija poteka z vnosom gesla s čimer uporabnik dokaže identiteto. Med vpisnim procesom bo varnostni podsistem primerjal vrednost, ki jo je podala klientska programska oprema z določenim atributom uporabniškega računa. Identifikacijski proces:

1. Uporabnik poda identifikacijske informacije prijavni programski opremi. 2. Klientska programska oprema poda te informacije direktorijskemu strežniku. 3. Direktorijski strežnik najde uporabniški objekt in primerja podane informacije z

vrednostjo varnostnega atributa.

1 uporabnik poda unikatni podatek

vpisni programski opremi

2 Vpisna programska oprema posreduje

informacije direktorijskemu strežniku

3 direktorij primerja podane informacije z

atributom uporabniškega računa

klient

direktorijski strežnik

prijavna programska oprema

objekt – uporabnik1

atribut - geslo

Slika 7: Identifikacijski proces (Vir: Mastering Active Directory for Windows Server

2003)



Ko se je uporabnik ustrezno identificiral, lahko ta identiteta kontrolira dostop do informacij v direktoriju. Vsak atribut vsakega objekta lahko vsebuje seznam uporabnikov, ki lahko berejo ali manipulirajo njegovo vrednost. DAP prošnja lahko posreduje uporabniško identiteto direktorijskem servisu za vsako prošnjo.

DAP je definiran kot klientsko intenziven protokol. Večina dela je opravljena na klientskem računalniku. Klientska programska oprema je odgovorna za pravilno formatiranje prošenj, kar pomeni, da mora klientska programska oprema razumeti strukturo direktorija če želi podati prošnje direktoriju. Premikanje teh funkcij k klientom zmanjša obremenjenost strežnika, ampak ima nekaj negativnih lastnosti. Ker mora klientska programska oprema razumeti direktorij so programi navadno veliki in potratni z računalniškimi resursi. Bolj kot je kompleksni direktorij bolj kompleksni morajo biti uporabniška programska oprema. Zaradi teh lastnosti se je DAP izkazal za slabšo rešitev, kot LDAP.

2.4.2. LEIGHTWEIGHT DIRECTORY ACCESS PROTOCOL (LDAP)

Čeprav je bil DAP definiran po standardih X.500 je LDAP prešel v splošno uporabo. LDAP je bil razvit, kot odgovor na pomanjkljivosti DAP protokola:

- Uporaba DAP bazeče programske opreme, obremenjuje lokalne resurse računalniške opreme.

- DAP je bil definiran za komunikacijo z X.500 direktorijem. Kar pomeni da veliko specifičnih produktov ni uporabnih z DAP programi

Ti dve omejitvi DAP protokola sta omejili implementacijo X.500 direktorijev v produkcijske sisteme. Medtem ko je X.500 sijajen model je omejen s tem, da je le model. Večina komercialnih modelov je X.500 kompatibilna ampak se ne prilagaja stoodstotno modelu, kar z omejitvami moči delovnih postaj pomeni, da je X.500 dober model, čigar čas še ni prišel. LDAP je bil razvit z namenom preseči te omejitve. LDAP se ni prilagajal X.500 priporočilom ampak se je zanašal na dejanske potrebe. To zagotavlja da je bil protokol razvit kot odprt standard, ki je dosegljiv vsakemu, ki želi razviti direktorijsko naravnan produkt. Glavna razlika med DAP in LDAP protokolom je da LDAP ni klientsko naravnan servis. Klienti bodo uporabljali LDAP omogočeno klientsko programsko opremo za komunikacijo s strežnikom ampak komunikacija bo potekala z LDAP servisom in ne direktno z DSA (Directory Service Agent) omrežnega direktorija. LDAP servis prestreže klientsko komunikacijo in jo posreduje DSA. Potek komunikacije preko LDAP protokola:

1. Klient pošlje prošnjo za branje preko LDAP servisa na mrežnem strežniku. Servis lahko poteka na direktorijskem strežniku ali na kateremkoli strežniku, ki se lahko poveže z direktorijskem strežnikom.

2. Če je potrebno lahko LDAP servis avtenticira uporabnika kateremkoli operacijskem sistemu v uporabi. To omogoča uporabniku uporabo direktorijev več različnih proizvajalcev.



3. LDAP servis spremeni prošnjo v primeren format direktoriju, ki je v uporabi. Če bi bil direktorij X.500 kompatibilen, bi LDAP posredoval spremenjeno prošnjo v DAP kompatibilno prošnjo.

4. LDAP servis poda prošnjo DSA na direktorijskem strežniku. 5. Direktorijski strežnik vrne zahtevane informacije LDAP servisu. 6. LDAP servis vrne zahtevano informacijo klientu.

klient

1 podana prošnja LDAP servisu

5

direktorij vrne odgovor

2 LDAP lahko avtenticira prošnjo preko

operacijskega sistema (ali direktorija)

3 prošnja je spremenjena v primeren format

4 prošnja je poslana direktorijskemu strežniku6

LDAP vrne odgovor

LDAP strežnik

Direktorijski strežnik

Slika 8: Potek komunikacije preko LDAP protokola (Vir: Mastering Active Directory for Windows Server 2003)

Podpora direktorijev več različnih proizvajalcev ni edina prednost LDAP protokola. V procesu komunikacije se je obremenitev s klientskih delovnih postaj premaknila na strežnik, ki podpira LDAP servis. To omogoča uporabnikom z manj zmogljivo strojno opremo pridobivanje informacij iz direktorija.

2.4.3. PODOBNOSTI MED LDAP IN DAP

Medtem ko se metode implementacije razlikujejo je LDAP le podmnožica funkcionalnosti, ki je omogočena v DAP-u. Razvoj LDAP se je skoncentriral na pet možnosti za zmanjšanje obremenitve klientske naprave: 1. Implementacija le podmnožice funkcij, ki jih omogoča DAP. 2. Zmanjšanje kompleksnosti operacij, ki so potrebne za iskanje resursov v

porazdeljenem okolju. 3. Poenostavitev kodiranja nizov za prezentacijo podatkov. 4. Uporaba enostavnih nizov za prezentacijo podatkov. 5. Uporaba standardnih komunikacijskih protokolov, namesto kompleksnih funkcijsko

specifičnih protokolov. Medtem ko ima DAP pet bralnih funkcij ima LDAP le tri: - Primerjanje

Deluje enako, kot DAP primerjalna funkcija, klient lahko primerja atribute objekta z iskalnim nizov.



- Iskanje Deluje enako, kot DAP iskalna funkcija. Klient lahko išče ves ali del direktorija, ki imajo enake atribute, kot jih išče. LDAP uporablja iskalno funkcijo tudi za emulacijo DAP bralnih in izpisnih funkcij.

- Opustitev

Deluje enako kot DAP opustilna funkcija. Klient lahko prosi za obvestilo LDAP servisu, da ne potrebuje nadaljevati iskanja.

LDAP prav tako definira funkcije, ki se uporabljajo za modifikacijo baze: Funkcija spreminjanja vnosa deluje enako, kot pri DAP protokolu. LDAP poenostavi jezik, ki je uporabljen za tri operacije: - Dodajanje vnosa

Prošnja za dodajanje vnosa v direktorij.

- Brisanje vnosa Prošnja izbriše objekt iz direktorija.

- Menjava vnosa Prošnja je uporabljena za preimenovanje objekta v direktoriju.

LDAP ima definiran manjši seznam funkcij, kot jih ima DAP, ampak ima dovolj funkcionalnosti, ki zadovolji večino administrativnih potreb. LDAP je postal izbirni dostopni protokol za večino direktorijev na tržišču. Ker LDAP podpira komunikacijo z več direktorijem različnih proizvajalcev omogoča implementacijo različnih direktorijev v skupnem omrežju.

2.5. WINDOWS SERVER 2003 DIREKTORIJSKI SERVIS

Aktivni imenik je direktorijski servis, ki je vključen v družino Windows server 2003. Aktivni imenik vsebuje direktorij, ki hrani informacije o omrežnih resursih, prav tako vsebuje vse servise, ki omogočajo informacije in izrabo teh informacij. Aktivni imenik je integriran v družino Windows Server 2003 in ponuja sledeče funkcije:

Centralizirana podatkovna baza

Vsi podatki v aktivnem imeniku so hranjeni v eni, distribuirani bazi podatkov, kar ponuja enostaven dostop do informacije s katerekoli lokacije. Ena distribuirana baza potrebuje manj administracije, podvajanja informacij in izboljša dostopnost in organizacijo baz.

Nadgradljivost

Aktivni imenik omogoča nadgradljivost direktorija, tako da ustreza potrebam organizacije s konfiguracijo domene, dreves in lokacijami domenskih kontrolerjev. Aktivni imenik omogoča milijone objektov na domeno in uporablja indeksno tehnologijo ter napredne replikacijske tehnike za izboljšanje performanc.

Razširljivost

Struktura baze aktivnega imenika (shema) se lahko razširi tako, da podpira prikrojene tipe informacij.



Upravljanje

Aktivni imenik je baziran na hierarhični strukturi. Te organizacijske strukture omogočajo lažjo administracijo in varnostne nastavitve, prav tako omogoča uporabnikom lažji dostop do informacij.

Integracija z DNS-om

Aktivni imenik uporablja DNS, internetni standardni servis, ki pretvarja imena v IP naslove. Čeprav sta ločena in implementirana na drugače za druge namene imata aktivni imenik in DNS isto hierarhično strukturo. Klienti aktivnega imenika uporabljajo DNS za lokacijo domenskih kontrolerjev. Kadar se uporablja Windows server 2003 DNS servis je lahko primarna DNS zona shranjena v aktivnem imeniku, kar omogoča replikacijo na druge domenske kontrolerje.

Upravljanje klientske konfiguracije

Aktivni imenik ponuja nove možnosti za konfiguriranje klientskih težav, kot npr. uporabniško mobilnost in odpovedi trdih diskov z minimalno administracijo in uporabniškega izpada delovanja.

Replikacija informacij

Aktivni imenik ponuja večglavno replikacijsko tehnologijo za zagotavljanje informacijske dosegljivosti, toleranco pri odpovedih, izenačevanje obremenitve ter ostalih performančnih prednosti. Večglavna replikacija omogoča posodobitve direktorija na kateremukoli domenskem kontrolerju in replikacijo sprememb na druge domenske kontrolerje. Ker je v uporabi več kontrolerjev se replikacija nadaljuje, čeprav odpove kateri izmed domenskih kontrolerjev.

Proţna, varna avtentikacija in avtorizacija

avtentikacijski in avtorizacijski servisi aktivnega imenika ponujajo zaščito podatkov, medtem ko zmanjšujejo ovire za poslovanje preko interneta. Aktivni imenik podpira več avtentikacijskih protokolov, kot je npr Kerberos verzije pet, sloj varnih vtičnic (SSL) verzije tri, varnost transportnega sloja (TSL) z uporabo X.509 verzije tri certifikatov. Dodatno aktivni imenik ponuja varnostne skupine, ki se uporabljajo v domenah.

Integracija varnosti

Aktivni imenik je integriran z Windows Server 2003 varnostjo. Kontrola dostopa se lahko definira za vsak objekt v direktoriju in na vsaki lastnosti vsakega objekta. Varnostne politike se lahko nanašajo lokalno ali na specifično lokacijo, domeno ali organizacijsko enoto.

Direktorijsko omogočene aplikacije in infrastruktura

Funkcije v aktivnem imeniku omogočajo lažji nadzor in upravljanje aplikacij ali ostalih direktorijsko omogočenih omrežnih komponent. Dodatno aktivni imenik ponuja zmogljivo razvijalsko okolje preko vmesnika servisa aktivnega imenika (ADSI).



Medopravilnost z ostalimi direktorijskimi servisi

Aktivni imenik je zasnovan na standardnih direktorijskih dostopnih servisov, ki vključuje lahki protokol za dostop do imenikov (LDAP) verzije tri in ponudnikom resolucije imen (NSPI), prav tako lahko medopravlja z ostalimi direktorijskimi servisi z uporabo teh protokolov. Ker je LDAP dostopni protokol industrijski standard, se lahko programi razvijajo z uporabo LDAP za deljenje informacij v aktivnem imeniku z ostalimi servisi, ki podpirajo LDAP protokol. NSPI protokol, ki ga uporabljajo klienti Microsoft Exchange strežnika je podpiran z aktivnem imenikom, ki tako ponuja kompatibilnost z Exchange direktorijem.

Podpisani in enkriptiran LDAP protokol Orodja aktivni imenika v Windows server 2003 podpisujejo in enkriptirajo LDAP promet. Podpisovanje LDAP prometa zagotavlja, da paket prihaja z znanega vira in da ni bil spremenjen.

2.6. SISTEM DOMENSKIH IMEN (DNS)

Osnovna funkcija DNS-a je pretvarjanje uporabniško prijaznih imen v IP naslove (ti. resolucija imen). Aktivni imenik uporablja DNS, kot orodje za resolucijo teh imen, ki klientom pretvarjajo polno kvalificirano domensko ime (Fully qualified domain name – FQDN) v IP naslov iskanega objekta. Sami resursi zapisov in pravila teh pretvarjanj pa so določena z industrijskim standardom. Hierarhija DNS strukture:

.org .com .si .edu .net

arnessiol softnet

DNS drevesna struktura

pop3mail www

Slika 9: Hierarhija DNS strukture (Vir: Mastering Active Directory for Windows Server 2003)



Slika prikazuje tako distribucijsko naravo in heiarhičeno strukturo DNS-a, vsak DNS strežnik vsebuje le zapise za domene za katere je odgovoren. Če DNS strežnik prejme povpraševanje za informacijo o resursu katere na posreduje bo povpraševanje posredoval preko DNS hierarhije dokler ne bo našel odgovornega DNS strežnika. Taka hierarhija omogoča razdelitev baze na več manjših delov, ki so lahko posledično porazdeljene med strežnike. Ta način delovanja zmanjšuje potrebno strojno opremo ter zmanjšuje promet, ki je potreben za podporo iskalnih nizov. Potek procesa povpraševanja po www.arnes.si:

1. Klient povprašuje po resursu, npr www.arnes.si. Eden izmed konfiguracijskih parametrov IP klientov je IP naslov DNS strežnika. Klientska programska oprema bo povprašala ta strežnik za IP naslov iskanega resursa.

2. DNS strežnik bo procesiral iskalni niz, tako da bo najprej preveril če so informacije za domeno arnes.si vključene. Če ti podatki niso vključeni, bo preveril lokalni kratkotrajni spomin za te podatke. Lokalni kratkotrajni vsebujejo podatke o resursih, ki so bili pred kratkim pretvorjeni v IP naslov. Če je IP naslov za www.arnes.si v lokalnem kratkotrajnem spominu, bo strežnik vrnil te informacije klientu.

3. Če informacije niso dostopne lokalno bo DNS strežnik posredoval iskalni niz na enega izmed korenskih strežnikov. Vsak DNS strežnik na internetu vsebuje IP naslove korenskih strežnikov za vrhnje domene, kot so npr. .com, .edu, .org, ...

4. Korenski strežnik bo preiskal svojo bazo za zapis DNS strežnika, ki je avtoritativen za .si domeno. Če tak zapis obstaja, bo korenski strežnik posredoval IP naslov lokalnemu DNS strežniku.

5. Lokalni DNS strežnik bo povpraševal .si DNS strežnik za IP naslov zapisa arnes. Če tak zapis obstaja, bo oddaljeni DNS strežnik vrnil IP naslov lokalnemu DNS strežniku.

6. Lokalni DNS strežnik bo povpraševal avtoritativni DNS strežnik za arnes.si, če vsebuje zapis za www zapis. Če tak zapis obstaja bo oddaljeni DNS strežnik posredoval IP zapis www strežnika lokalnemu DNS strežniku.

7. Lokalni DNS strežnik bo posredoval IP naslov klientu. Klient bo potem pričel proces komunikacije z www.arnes.si strežnikom.

http://www.arnes.si/






lokalni DNS strežnik .si korenski DNS strežnik

arnes.si DNS strežnik

Korenski DNS strežnik

lokalni spomin

klient

DNS

DNS

1 povpraševanje po vpisu

www.arnes.si

2 pregled lokalnega

spomina

3povpraševanje

korenskega

DNS strežnika

4 vrnjen IP naslov .si DNS

strežnika

5 vrnjen IP naslov arnes.si DNS strežnika

6

7 vrnjen IP naslov

vrnjen IP naslov za vpis www.arnes.si

Slika 10: Potek DNS povpraševanja (Vir: Mastering Active Directory for Windows Server 2003)

Prepletanje aktivnega imenika in DNS

Aktivni imenik in DNS domene sta ločeni entiteti, ki jih nadzirata ločena sistema. Zaradi poenostavljanja administracije pa so navadno domenam in objektom aktivnega imenika dodeljeni DNS imena. V tem načinu imenski prostor aktivnega imenika in DNS-a prepletata.



Prepletanje imenskega prostora aktivnega imenika in DNS-a:

Internet

DNS

imenski prostor

aktivnega imenika

domena

poddomena poddomena

podrejena domenapodrejena domena

domena

klient.mgt.podjetje.si

podjetje.si

podjetje.si

mgt.podjetje.si

mgt.podjetje.si

prodaja.podjetje.si

prodaja.podjetje.si

strežnik.prodaja.podjetje.si

Slika 11: Prepletanje imenskega prostora aktivnega imenika in DNS-a (Vir: Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure)

2.7. OMREŢNI SERVIS WINDOWS NAME SERVICE V DOMENI (WINS)

WINS je dodaten mrežni direktorij, ki se uporablja v Windows bazečih okoljih. Kot DNS se WINS uporablja za resolucijo imen v IP naslov. Za razliko od DNS-a WINS za resolucijo imen uporablja NetBIOS imena in ne gostiteljska imena. NetBIOS imena so unikatne definicije, ali računalniška imena, ki se podeljujejo imena v NT omrežjih. Ker ta imena identificirajo računalnike na omrežju, mora imeti vsak računalnik enolično določen NetBIOS ime.

NetBIOS je oddajno bazeč protokol, to pomeni, da ko se klient inicializira, NetBIOS odda obvestilo imena, katerega namerava uporabljati. Če je ime v omrežju že zasedeno, bo ta postaja oddala negativni prejem novemu klientu. Tak protokol je danes že zastarel, saj večina današnjih usmerjevalnikov ne podpira oddajnih paketov. Tako lahko pride do podvajanja imena v različnih omrežjih, ki so med seboj povezanih z usmerjevalniki.



Primarna funkcija WINS strežnika je registracija imen. V WINS okolju so klienti konfigurirani z IP naslovom WINS strežnika. Namesto uporabe oddajnega paketa vsem resursom v omrežju, vsak klient poda registracijsko prošnjo direktno WINS strežniku. WINS strežnik gradi bazo vseh imen delovnih postaj, ki so se registrirala. Ko strežnik prejme novo prošnjo, primerja prosilno ime z tistimi, ki so že registrirani v bazi. Če je ime unikatno odpošlje nazaj pozitivni odgovor, če je ime že zasedeno odpošlje negativni odgovor. Ker je ves promet sestavljen iz direktnih paketov, bodo usmerjevalniki podali prošnjo WINS strežniku na drugem omrežju. WINS strežnik gradi bazo dinamično z dodajanjem zapisov, ko se delovne postaje registrirajo servisu. Tak način delovanja ne potrebuje posredovanja omrežnega administratorja, tako je prihranjenega veliko administrativnega dela skrbnikom omrežja.

Potek WINS procesa:

WINS strežnik

1prošnja za registracijo

klientskega imena

2 WINS strežnik pregleda bazo za

podvojenim imenom

4 dodan zapis v bazo

baza

3 potrditev uporabe željenega

imena

klient

Slika 12: Potek WINS registracijskega procesa (Vir: Mastering Active Directory for Windows Server 2003)

Resolucija imen: Ko delovna postaja potrdi, da uporablja unikatno ime, lahko začne komunicirati z ostalimi objekti v omrežju. V tradicionalnem NetBIOS bazečem omrežju so imena pretvorjena v IP naslov z uporabo oddajnih paketov. Delovna postaja odpošlje oddajni paket s katerim išče objekt v omrežju. Objekt ki ustreza iskanemu imenu se odzove s paketom, ki vsebuje njegov IP naslov. Vendar ker usmerjevalniki ne podpirajo oddajnih paketov, ne bodo posredovali prošnje v drugo omrežje, tako je komunikacija omejena le na posamezna omrežja. WINS strežnik prav tako nudi servis za resolucijo imen. Namesto uporabe oddajnih metod, klienti pošljejo prošnjo direktno WINS strežniku. WINS strežnik bo preveril če zahtevano ime obstaja v njegovi lokalni bazi registriranih imen. Če bo našel zapis bo vrnil IP naslov klientu, ki je zaprosil za resolucijo imena. Ker se te prošnje izvajajo z direktnimi paketi, bodo usmerjevalniki posredovali paket v druga omrežja in ne ovirajo procesa.



WINS strežnik

1 prošnja za resolucijo imena

2 WINS strežnik pregleda bazo

baza

3 Vrnjen IP naslov iskanega objektaklient

Slika 13: Potek WINS povpraševalnega procesa (Vir: Mastering Active Directory for Windows Server 2003)

Ko klienti zapustijo omrežje, WINS strežniku pošljejo obvestilo o zapustitvi omrežja. WINS strežnik posledično posodobi bazo z odstranitvijo imena. Če klienti ne odpošljejo obvestila o zapustitvi omrežja ima WINS strežnik mehanizem za avtomatsko odstranjevanje teh imen. Z administrativnega vidika, to pomeni da je WINS baza tako grajena in vzdrževana dinamično, brez intervencije skrbnika omrežja. Sam WINS protokol ne zagotavlja zadostnega nivoja servisa, ki ga zahteva pravo domensko omrežje. WINS protokol je posledično v opuščanju, čeprav ga še lahko najdemo v aktivnem imeniku. Nova rešitev je zanašanje le na DNS servis.

2.8. VARNOST PODATKOV

Windows Server 2003 uporablja objektni varnostni model za implementacijo seznama kontrolnega dostopa do objektov v aktivnem imeniku, ta model pa je podoben NTFS varnostnem sistemu. Vsak objekt v aktivnem imeniku ima varnostni opisovalec, ki definira kdo ima pravico dostopa ter kakšna vrsta dostopa je dovoljena. Windows Server 2003 uporablja te varnostne opisovalce za kontrolo dostopa do objektov, hrani pa se tudi seznam uporabniške dostopne pravice imenovan seznam kontrolnega dostopa (ACL) za vsak objekt v aktivnem imeniku. Za dostop do objektov v aktivnem imeniku so določene dovolilne ali zavrnitvene dovoljenja do varnostnih principov. Dovoljenje je avtoriteta, ki dovoli operacijo ali set operacij na objektu, katero določi lastnik objekta. Varnostni princip je objekt, skupina, računalnik ali servis, ki ima dodeljen unikatni varnostni označevalec. Unikatni varnostni označevalec enolično določuje uporabnika, skupino, računalnik ali servis v domeni in se uporablja za nadzor varnostnih principov(Jill Spealman, Kurt Hudson, and Melissa Craft. Str 530). Informacijska tehnologija, ki omogoča sistematično zbiranje ter avtomatsko hranjenje, obdelavo in posredovanje podatkov, problem poseganja v človekovo osebnost preko občutljivih podatkov še povečuje. Ustrezno organizirani podatki so nam s pomočjo računalnika praktično v hipu in vedno dosegljivi za uporabo in zlorabo(Bernik l. 1999). Osnovna standardna dovoljenja in tip dostopa, ki so dovoljena:

Poln nadzor Sprememba lastništva, sprememba pravic dostopa ter opravila, ki so dovoljena vsem ostalim standardnim dovoljenjem.



Branje Ogled objektov in povezanih atributov objektov, lastnika objekta ter dovoljenja aktivnega imenika.

Pisanje

Sprememba atributov objekta.

Osnovna standardna dovoljenja so sestavljena iz specialnih dovoljenj, ki omogočajo večji nadzor dostopa do objektov. Ko se objekt kreira, bo uporabnik, ki kreira objekt le-ta avtomatično postal njegov lastnik, večinoma so lastniki datotek administratorji, ko inštalirajo programsko opremo. Na podatkovnem strežniku imajo po navadi uporabniki pravico kreiranja lastnih datotek. Lastnik objekta lahko nadzira dovoljenja objekta ter uporabnike, katerim so ta dovoljenja nastavljena.

2.9. VLOGE GLAVNIH OPERACIJ (FSMO - FLEXIBLE SINGLE MASTER OPERATIONS)

V vsakem aktivnem imeniku se mora dodeliti pet glavnih operacij:

Glavna shema (Schema Master).

Glavno poimenovanje domene (Domain naming master).

Glavni sorodni ID (RID) (Relative ID (RID) Master).

Emulator PDC (PDC Emulator).

Glavna infrastruktura (Infrastructure Master). Nekatere vloge so morajo pojaviti v vsakem gozdu, druge pa se morajo pojaviti v vsaki domeni v gozdu (Jill Spealman, Kurt Hudson, and Melissa Craft: Planning, str. 240). Vsak domenski gozd mora imeti sledeče vloge:

- glavna shema (Schema Master), - glavno poimenovanje domene (Domain naming master).

Te vloge morajo biti unikatne v gozdu, to pomeni, da se v celotnem gozdu lahko nahaja samo ena glavna shema in eno glavno poimenovanje domene.

Glavna shema (Schema Master) Domenskem kontrolerju je dodeljena vloge glavne sheme, ki nadzira vse kontrole, posodobitve in modifikacije sheme. Posodobitev domenske sheme se lahko naredi le na enem mestu, prav tako je lahko v kateremkoli času aktiven le ena glavna shema v gozd.

Glavno poimenovanje domene (Domain naming master) Domenski kontroler, ki ima vlogo glavnega poimenovanja domene, nadzira dodajanje in odstranjevanje domen v gozdu. V kateremkoli času je lahko aktivna samo ena vloga glavnega poimenovanja domene.



Vsaka domena v gozdu mora imeti sledeče vloge: • Glavni sorodni ID (RID) (Relative ID (RID) Master). • Emulator PDC (PDC Emulator). • Glavna infrastruktura (Infrastructure Master). Te vloge morajo biti unikatne v vsaki domeni. To pomeni da mora imeti vsaka domena v gozdu unikatno vlogo glavne infrastrukture, glavni sorodni ID (RID) ter vlogo emulatorja PDC.

Glavni sorodni ID (RID) (Relative ID (RID) Master) Domenski kontroler, ki ima dodeljeno vlogo glavnega sorodnega ID-ja, dodeljuje zaporedja relativnih ID-jev vsakemu izmed domenskih kontrolerjev v domeni. V kateremkoli času je lahko aktiven le en domenski kontroler, ki ima to vlogo.

Kadarkoli domenski kontroler ustvari uporabnika, skupino ali računalniški objekt, le temu

dodeli unikatni varnostni ID. Varnostni ID vsebuje varnostni ID domene (domain security

ID), kateri je enak za vse varnostne ID-je v domeni ter relativni ID, ki je unikaten za vsak

varnostni ID, ki je narejen v domeni.

Premik objekta med domenami, se mora narediti na domenskem kontrolerju, ki ima vlogo glavnega sorodnega ID-ja v domeni.

Emulator PDC (PDC Emulator) Če domena vsebuje računalnike, ki ne podpirajo klientske programske opreme za Windows Server 2003 ali če vsebuje Windows NT rezervni domenski kontroler (BDC), domenski kontroler, ki ima vlogo emulatorja PDC prevzame vlogo Windows NT PDC. Procesira spremembe gesel klientov in replicira posodobitve na rezervni domenski kontroler. V kateremkoli času je lahko aktiven le en domenski kontroler v vsaki domeni, ki ima vlogo emulatorja PDC. Ko so vsi sistemi posodobljeni na Windows Server 2003 in Windows Server 2003 domena deluje v Windows Server 2003 funkcionalnosti, PDC emulator prejema preferenčno replikacijo sprememb gesel, ki jo opravijo domenski kontrolerji v drugi domeni. Če je bilo geslo spremenjeno pred kratkim, se ta sprememba replicira čez nekaj časa na vsak domenski kontroler v domeni. Če je avtentikacija prijave neuspešna na kateremkoli domenskem kontrolerju zaradi nepravilnega gesla, ta domenski kontroler posreduje avtentikacijsko prošnjo PDC emulatorju preden zavrne prijavo v sistem.

Glavna infrastruktura (Infrastructure Master) Domenski kontroler, ki ima dodeljeno vlogo glavne infrastrukture je odgovoren za posodabljanje povezav uporabnik-skupina, kadarkoli se člani skupin preimenujejo ali spremenijo. V kateremkoli času je lahko aktiven le en domenski kontroler, ki ima vlogo glavne infrastrukture. Kadarkoli se preimenuje ali premakne člana skupine in so člani razporejeni v druge domene kot skupina nekaj časa zgleda, kot da skupina trenutno ne vsebuje tega člana. Vloga glavne infrastrukture je odgovorna za posodabljanje skupin, tako da le-ta ve za novo ime ali lokacijo tega člana. Vloga glavne infrastrukture distribuira spremembe preko



večglavne replikacije. Med spremembo člana ali skupine ni ogrožena varnost. Le administrator, ki trenutno išče članstvo skupine bi opazil nekosistentnost. Sledeča slika prikazuje glavne vloge, ki so prednastavljeno porazdeljene preko gozda. Domena A je bila kreirana prva (gozdna korenska domena). Vsebuje obe gozdne glavne vloge. Vsak prvi domenski kontroler v ostalih domenah vsebuje ostale tri domenske glavne vloge.

Domena A Domena D

Domena B Domena E

Domena F

Domena C

1

2

2 2

2

2

2

1

2

Glavna shemaGlavno poimenovanje domene

Glavna infrastruktura Glavni sorodni ID (RID)Emulator PDC

Slika 14: Načelna strukturna porazdelitev FSMO vlog (Vir: Implementing, and Maintaining a Microsoft Windows Server 2003 Active Directory Infrastructure)

2.10. KATALOGNI SERVIS

Aktivni imenik omogoča uporabnikom in administratorjem iskanje objektov, kot so datoteke, tiskalniki ali uporabnikov v njihovi domeni. Iskanje teh objektov izven lokalne domene pa potrebuje nek mehanizem, ki omogoča domenam, da se obnašajo kot en entiteta. Katalogni servis vsebuje izbrane informacije vseh objektov v vseh domenah, kar je koristno pri iskanju objektov v gozdu. Globalni katalog je katalogni servis, ki ga ponuja Aktivni Imenik. Globalni katalog je centralno skladišče informacij o objektih v drevesu ali gozdu. Prednastavljeno je, da se globalni katalog naredi avtomatsko na prvem domenskem kontrolerju v prvi domeni v gozdu. Domenski kontroler, ki vsebuje kopijo globalnega kataloga je imenovan globalni katalogni strežnik. Vsak domenski kontroler v gozdu lahko deluje, kot globalni katalog. Aktivni imenik uporablja večglavno replikacijo, da replicira informacije globalnega kataloga med strežniki, ki opravljajo vlogo katalognega servisa v ostalih domenah. Vsebuje polno repliko vseh objektnih atributov v direktoriju za svojo domeno, medtem ko za preostale domene vsebuje delno repliko atributov objektov. Delna



replika vsebuje atribute pogosto uporabljenih iskalnih operacij (kot npr. uporabniško ime, prijavno ime, ipd.). Replicirani atributi objektov se določijo v shemi aktivnega imenika. Atributi objektov, ki se replicirajo na globalne kataloge podedujejo enaka dovoljenja, kot v izvirni domeni, kar zagotavlja varnost podatkov v globalnem katalogu(Jill Spealman, Kurt Hudson, and Melissa Craft, str. 57).

Vloge globalnega kataloga:

Globalni katalog opravlja sledeči ključni funkciji:

- uporabniku omogoča pristop v omrežje s ponudbo informacij univerzalnega članstva skupin domenskemu kontrolerju, ko se izvaja prijavni proces,

- omogoča iskanje direktorijskih informacij neodvisno v kateri domeni v gozdu se le ta dejansko nahaja.

Ko se uporabnik prijavi v omrežje globalni katalog ponudi informacije univerzalnega članstva skupin za uporabniški račun domenskemu kontrolerju, ki procesira informacije uporabniške prijave. Če je le en domenski kontroler v domeni, ta kontroler hrani globalni katalog. Če je v domeni več domenskih kontrolerjev je en domenski kontroler, nastavljen za hrambo globalnega kataloga. Če globalni katalog ni na voljo, ko se uporabnik prijavlja v omrežje se lahko uporabnik logira le lokalno na računalnik, razen če je bila stran nastavljena, da predpomni informacije univerzalnega članstva skupin. Globalni katalog je nastavljen, da se odzove uporabniku ter išče iskane informacije z največjo hitrostjo ter minimalnim omrežnim prometom. Ker vsak globalni katalog hrani informacije o vseh objektih v vseh domenah v gozdu se iskanje informacij o objektu, ki ni lociran v lokalni domeni, lahko razreši na lokalnem strežniku globalnega kataloga, ter na ta način ne povzroča dodatnega omrežnega procesa.

Poizvedbeni proces

Poizvedba je specifična prošnja, ki jo uporabnik sproži globalnemu katalogu, da lahko poizve, modificira ali izbriše podatke v Aktivnem Imeniku.

1. Klient sproži poizvedbo DNS strežniku za lokacijo strežnika globalnega kataloga. 2. DNS strežnik preišče informacije o lokaciji strežnika globalnega kataloga, ter vrne

IP naslov domenskega kontrolerja, ki ima dodeljeno vlogo globalnega kataloga. 3. Klient sproži poizvedbo na IP naslovu domenskega kontrolerja, ki ima dodeljeno

vlogo globalnega kataloga. Poizvedba je poslana na vratih 3268 domenskega kontrolerja; standardne poizvedbe so poslane na vrata 389.

4. Globalni katalog procesira poizvedbo in če vsebuje atribute iskanega objekta jih posreduje klientu. Če globalni katalog ne vsebuje atributov iskanega objekta se poizvedba posreduje aktivnemu imeniku.

2.11. EXCHANGE POŠTNI SISTEM

Exchange server 2003 je tesno povezan z aktivnim imenikom, namreč Exchange Server 2003 uporablja aktivni imenik kot hrambni mehanizem za njegove podatke.



Aktivni imenik je razdeljen na tri imenske kontekste: - Domena - Konfiguracija - Shema Ti imenski konteksti določajo omejitve za strukturo baze aktivnega imenika in imajo lahko nastavljeno svojo replikacijsko in dovoljenjsko konfiguracijo (Will Willis, Ian McLean, str. 44).

Domenski imenski kontekst

V domensko imenskem kontekstu so hranjeni vsi objekti za Exchange Server 2003. Exchange Server 2003 podaljša atribute v aktivnem imeniku za svoje objekte. To pomeni da je omogočeno uporabniku dodeliti poštni nabiralnik v aktivnem imeniku.

Konfiguracijski imenski kontekst

Konfiguracijski imenski kontekst hrani informacije o fizični strukturi Exchange organizacije, kot so npr. usmerjevalne skupine in konektorji. Aktivni imenik replicira te podatke na vse domenske kontrolerje v gozdu, kar označi varnostne omejitve za Exchange organizacijo.

Shema imenski kontekst

Shema imenski kontekst vsebuje informacije o vse razrede objektov in njihove atribute, ki so lahko hranjeni v aktivnem imeniku. Te podatke se replicira na vse domenske kontrolerje v gozdu. Med implementacijo Exchange Server 2003 se aktivni imenik podaljša, tako da vsebuje vse razrede in atribute, ki so specifični za Exchange Server 2003.

Integracija z globalnim katalogom

Exchange Server uporablja dva servisa, DSProxy in DSAccess za dostop do globalnega kataloga.

- DSProxy

Exchange Server 2003 ponuja posredovalni servis imenovan dsproxy, ki deluje kot posrednik med klientom in globalnim katalogom. Dsproxy deluje kot povezovalec, ki omogoča outlook klientom dostop do aktivnega imenika preko ponudnik omrežnih storitev (Name Service Provider Interface (NSPI)). Dodatno dsproxy servis ponuja podporo za starejše MAPI kliente, tako da posreduje prošnje med klientom in globalnim katalogom. Dsproxy ne pregleda prošnje, ampak slepo posreduje in vrne rezultat.

- DSAccess

Exchange Server 2003 si deli globalni katalog z drugimi servisi v aktivnem imeniku, zato je pomembno zmanjšanje prometa, ki ga Exchange Server 2003 zahteva. Dsaccess implementira kratkotrajni spomin, ki hrani informacije pred kratkim zahtevanih prošenj. Ta postopek zmanjša število povpraševanj, ki se posreduje globalnim katalogom.



Integracija s skupinami v aktivnim imeniku

Uporaba varnostnih in distribucijskih skupin je dodatna možnost v integraciji Exchange Server 2003 z aktivnim imenikom. Exchange Server 2003 ne hrani svoje baze distribucijskih skupin ampak so varnostne in distribucijske skupine v aktivnem imeniku podaljšane, tako da podpirajo e-naslove. Na ta način se lahko skupini določi poštni predal, elektronsko sporočilo pa dobijo vsi uporabniki v tej skupini.

Integracija z Windows Server 2003 in Windows 2000 Server

Exchange Server 2003 je narejen tako da se integrira s servisi, ki jih ponuja Windows strežniški operacijski sistemi. Exchange strežnik 2003 se lahko namesti na Windows 2000 Server ali na Windows Server 2003. Oba operacijska sistema vsebujeta transportne protokole, kot so: Simple Mail Transport Protocol (SMTP), Network News Transfer Protocol (NNTP), Hypertext Transfer Protocol (HTTP). Exchange strežnik uporablja te Windows servise namesto, da bi podvajal servise s svojimi.

2.12. EXCHANGE SERVER 2003 IN IIS 6

IIS je vključen v Windows operacijske sisteme in ponuja nekatere osnovne servise za Exchange Server 2003, Windows Server 2003 pa ponuja IIS 6, ki prinaša nekaj novosti, kot je izolacija procesov, ki zagotavlja da se avtentikacija, avtorizacija, mrežni aplikacijski procesi in dodatki za internetni vmesnik (ISAPI) ločeni od vseh ostalih aplikacij. Exchange Server 2003 zaletava nekatere dodatke za ISAPI, kot so OWA, WebDAV in Exhange Web Forms. Integracija Exchange Server 2003 z IIS servisom vsebuje sledeče servise:

- SMTP, - NNTP, - World Wide Web Service.

SMTP servis Exchange Server 2003 ne ponuja svojega SMTP servisa ampak se zanaša na ta servis, ki ga ponuja Windows Server 2003 in 2000. Exchange samo podaljša vgrajen SMTP servis, tako da podpira potrebne dodatne funkcionalnosti, kot so podpora črnim listam ter boljša podpora boju proti nezaželeni elektronski pošti.

NNTP Servis Exchange Server 2003 se prav tako zanaša na IIS NNTP servis. NNTP servis ponuja uporabniku možnost dostopa do novičarskih skupin ali na notranjem omrežju ali na internetu. Dostop do novičarskih skupin je narejen preko Exchange Server 2003 javnih map, z nastavitvijo varnosti preko Exchange Server 2003 organizacije. NNTP servis je prav tako uporabljen za deljenje javnih map med organizacijami. Exchange Server 2003 ne modificira ali podaljša IIS NNTP servisa.

World Wide Web Servis OWA (outlook web access) je integriran v IIS in ponuja klientski dostop do Exchange poštnih predalov preko spletnega vmesnika. HTTP protokol, ki je del WWW servisa je



transporter, ki se uporablja za OWA funkcionalnost. Nova funkcionalnost, ki je ekskluzivna Exchange Serverju 2003 je možnost povezave Outlook 2003 z Exchange Serverjem 2003 preko HTTP protokola, znana kot RPC over HTTP, ki omogoča lažji dostop do e-pošte zunaj omrežja.

2.13. ISA POŢARNA PREGRADA

Požarna pregrada je naprava, ki je locirana med dvema segmentoma omrežij, ter dovoli le avtoriziran promet med obema pregradama. Požarna pregrada je konfigurirana s pravili, ki določajo tip omrežnega prometa, kateremu je omogočen prehod. Požarna pregrada je navadno postavljena in konfigurirana, tako da ščiti notranje omrežje pred zunanjim omrežjem. Primarni razlog take postavitve je zaščita pred zunanjim prometom ter onemogočanjem prestopom tega prometa v notranje omrežje, razen če je le ta eksplicitno določen, npr. objavljanje spletnega dostopa do e-pošte preko Exchange OWA (Stan Reimer, Orin Thomas, str. 47).

Paketno filtriranje Paketno filtriranje deluje, tako da pregleda glavo informacije za vsak mrežni paket, ki pride do požarne pregrade. Ko paket pride do omrežne kartice ISA strežnika, ISA strežnik pregleda glavo in pregleda informacije, kot so izvor in destinacijski naslov ter izvorna in destinacijska vrata. ISA strežnik primerja te informacije z pravili na požarni pregradi, ki definirajo kateri paketi so dovoljeni. Če je izvorni in destinacijski naslov dovoljen ter če sta izvorna in destinacijska vrata dovoljena bo paket lahko prešel preko požarne pregrade na destinacijsko omrežje. Če naslova ali vrata nista eksplicitno dovoljena, bo paket opuščen in ne bo prešel mimo požarne pregrade.

Stanjsko filtriranje Stanjsko filtriranje uporablja večplastno preverjanje omrežnih paketov, da se lahko odloči ali bo paket posredovan ali ne. Ko ISA strežnik uporablja stanjsko filtriranje pregleda glave internetnega protokola (IP) in protokola za krmiljenje prenosa (TCP), da pregleda stanje paketa v kontekstu s prejšnjimi paketi, ki so prešli ISA strežnik ali v kontekstu TCP seje. Npr. uporabnik v notranjem omrežju posreduje prošnjo spletnemu strežniku na zunanjem omrežju. Spletni strežnik odgovori prošnji. Ko ta paket pride do požarne pregrade, bo požarna pregrada pregledala informacije o TCP seji tega paketa. Požarna pregrada ugotovi, da je paket del trenutno aktivne seje in je bila začeta s strani notranjega uporabnika, paket pa je posredovan uporabnikovemu računalniku. Če se uporabnik iz zunanjega omrežja poizkuša povezati na računalnik v notranjem omrežju, bo požarna pregrada ugotovila, da paket ni del trenutno aktivne seje in paket bo zavrnjen.

Aplikacijska raven filtriranja ISA Strežnik prav tako uporablja aplikacijsko raven filtriranja, za ugotovitev ali je paket dovoljen ali ne. Aplikacijska raven filtriranja pregleda dejansko vsebino paketa, da ugotovi, če je paket lahko posredovan mimo požarne pregrade. Aplikacijski filter odpre ves paket in pregleda dejanske podatke, preden sprejme odločitev o posredovanju paketa. Npr. uporabnik na zunanjem omrežju prosi za ogled spletne strani na notranjem omrežju preko HTTP GET ukaz. Ko paket pride do požarne pregrade aplikacijska raven filtriranja pregleda paket in zazna GET ukaz. Aplikacijski filter pregleda politiko, če je GET ukaz dovoljen, ter če kje dovoljen ga posreduje internemu spletnemu strežniku. Če uporabnik prosi za ogled spletne strani preko HTTP POST ukaza, bo ISA strežnik pregledal politiko, če je POST ukaz dovoljen in ker navadno ta ukaz ni dovoljen bo paket



zavrnjen. HTTP aplikacijski filter, ki ga ponuja ISA strežnik lahko pregleda vse informacije v podatkih, vključno z virusni podpisi, glavo strani, podaljške datotek ipd. Dodatno HTTP aplikacijskem filtru ISA ponuja tudi ostale filtre za zaščito protokolov poleg HTTP filtra.



3. OBSTOJEČE STANJE SISTEMA Podjetje Medicotehna je pred nadgradnjo omrežja uporabljala nedomenski način delovanja. Elektronsko pošto je uporabljalo pri ponudniku storitve Spletna postaja, kjer je imel vsak uporabnik kreiran svoj uporabniški račun, dodatno pa so bili kreirani uporabniški računi za skupno delovanje podjetja. Povezava do poštnega strežnika je bila vzpostavljena na vsaki delovni postaji preko POP 3 protokola. Povezavo do interneta je vzpostavljal strežnik Server 2000, ki je opravljal vlogo usmerjevalnika do spleta.

Shema stanja pred posegom

Spletna postaja

Spletno mesto:

www.medicotehna.si

Spletna pošta:

@medicotehna.si

LAN

Internet Server 2000/ Firewall

10.10.0.1

10.10.0.0/24

213.250.2.37

Slika 15: Shema stanja obstoječega informacijskega sistema (Vir: interno gradivo)



3.2. STANJE PRED PRENOVO INFORMACIJSKEGA SISTEMA

Uporaba računalnikov

Uporabniki so morali uporabljati le delovno postajo na kateri so imeli kreiran račun za dostop do operacijskega sistema. Ob menjavi delovnega mesta ali menjavi delovne postaje je bilo potrebno kreirati uporabniški račun, pri katerem je bilo potrebno paziti, da se uporabniško ime in geslo ujemata z uporabniškim računom in geslom, ki so se nahajali na preostalih omrežnih resursih. Ko se je kreiral nov uporabniški račun je bilo potrebno kreirati račun tako na delovni postajo, kot na vseh omrežnih resursih, kamor je uporabnik lahko dostopal.

Politika varnostnih gesel

Podjetje ni moglo menjavati uporabniških gesel, saj je taka sprememba zahtevala spremembe gesla tudi na ostalih mrežnih napravah. Namreč ko se je geslo zamenjalo na lokalni delovni postaji uporabnik ni več mogel dostopati omrežnih resursov na strežniku Server 2000, saj je uporabniško ime in geslo na delovni postaji in strežniku ni ujemalo. Tako stanje je zahtevalo poseg spremembe gesla sistemskega administratorja na strežniku, šele po tem posegu pa je uporabnik lahko dostopal do omrežnih resursov.

Elektronska pošta

Podjetje je za ponudnika izbralo ponudnika spletna postaja. Do same pošte so uporabniki, lahko dostopali preko POP 3 protokola, račune pa so imeli kreirane na lokalnih delovnih postajah. Tako stanje ni omogočalo enostavne spremembe gesel, namreč sprememba gesla se je lahko opravila le preko portala na spletni strani podjetja spletne postaje. Ko se je geslo spremenilo je bilo potrebno spremembe vnesti tudi v klientskem programu, ki je dostopal do spletne pošte, posledica takega stanja pa je bila nespreminjanje varnostnega gesla za dostop do e-pošte. Ker je bil sistem vzpostavljen necentralizirano so se baze elektronske pošte nahajale na delovnih postajah uporabnikov. Tako je imel vsak uporabnik bazo elektronske pošte locirano le na svojem računalniku, kar je v praksi pomenilo, da ko se je uporabnik prijavil na drugo delovno postajo, ni imel dostopa do stare elektronske pošte, ki jo je prejemal na delovni postaji, kjer je imel kreirano bazo. Dodatno je bilo potrebno kreirati račun na klientskem programu odjemalca elektronske pošte posamično na vseh delovnih postajah, ko je bil račun kreiran pa je bilo potrebno prenesti še bazo stare elektronske pošte. Sama elektronska pošta se je prenašala preko POP 3 protokola. Tako stanje je v praksi pomenilo, da se vsi podatki med strežnikom elektronske pošte in uporabnikom prenašajo nekriptirano. Tako je bila elektronska pošta ranljiva za napade preko interneta, prav tako je bilo elektronsko pošto možno prestreči in ker podatki niso bili kriptirani brez večjih težav brati. Prav tako je morala vsa interna pošta najprej potovati do zunanjega ponudnika, šele potem jo je bilo mogoče prebirati pri prejemniku. Taka pot pa je ponovno ranljiva na napade. Varnostno arhiviranje ni bilo vzpostavljeno na nobeni izmed delovnih postaj, kar je pomenilo, da je bilo ob okvari operacijskega sistema ali strojne opreme, restavriranje te baze zelo omejeno.



Deljenje omreţnih resursov

Vsa izmenjava dokumentov je potekala preko skupnega strežnika Server 2000. Namreč na lokalnih delovnih postajah bi bilo za ustrezno zaščito dokumentov kreirati vse uporabniške račune, ki so se pojavili v omrežju. V nasprotnem primeru je imel dostop do resursov vsak uporabnik, ki se je prijavil v omrežje. Prav tako bi bilo na vsaki delovni postaji kreirati lokalne varnostne skupine, v katerih bi bili ustrezni uporabniški računi, ki so bili prav tako kreirani lokalno na delovni postaji in so se ujemali z uporabniškimi računi na drugih delovnih postajah.

Poţarna pregrada

Podjetje je uporabljalo požarno pregrado, ki jo je nudil Server 2000. Ta požarna pregrada je bila zasnovana le z požarno pregrado, ki jo ponuja routing and remote servis na strežnikih Microsoft Server 2000. Taka zaščita je po današnjih standardih smatrana za zastarelo saj je na trgu prisotna že od izdaje operacijskega sistema Windows Server 2000. Tak požarni zid ne pozna zaščite omrežja na aplikacijskem nivoju, prav tako ne zna prepoznati morebitnega zunanjega napada na omrežje in se ne more avtomatsko zaščititi. Kljub temu da je bila storitev poleg požarne pregrade mišljena tudi kot usmerjevalnik med notranjem in zunanjem omrežju, slednjega dela ne more opravljati zadovoljivo po današnjih standardih. Namreč ker ne pozna aplikacijskega filtra lahko posreduje TCP protokole le na nivoju samih protokolov, posledično je v notranjem omrežju možno objaviti le en strežnik na nivoju protokolov. Vsako dodatno posredovanje protokola po notranjem omrežju je povezano s konfiguracijo preostalih notranjih naprav, kar prinese več točk odpovedi.

Zunanji dostop do omreţja

Dostop do notranjega omrežja je bil mogoč le preko oddaljenega namizja, do strežnika Server 2000. Ta storitev poteka po TCP protokolu 3389, ki je splošno znan v računalniškem svetu. S tem ko se morebitni napadalec poveže na opisano storitev, takoj pridobi podatke o imenu strežnika in lahko preko administratorskega računa začne vdirati v sistem. Poleg ranljivosti takega sistema tudi praktična uporabnost takega sistema ni velika. Namreč uporabnik je lahko dostopal le do ene terminalske seje na strežniku in ni mogel enostavno dostopati do podatkov v omrežju in jih po potrebi prenašati na delovno postajo s katere je dostopal.

Arhiviranje ključnih podatkov

V sistemu ni bilo vzpostavljenega sistema arhiviranja ključnih podatkov podjetja. Sistem je bil tako ranljiv na centralni enoti, katero je predstavljal Server 2000. Kljub temu, da je bil vzpostavljen t.i. mirror array med dvema diskoma, se bi lahko ti podatki izgubili. Kritična točka podjetja je bila postavljena na eno mesto brez zagotavljanja ustreznega arhivnega sistema. Tako ob poškodbi celotnega diskovnega polja podatkov ne bi bilo mogoče rešiti v celoti, če sploh kaj. Operacijski sistem Windows Server 2000, še ne uporablja t.i. senčnih kopij, ki hranijo spremenjene datoteke večkrat dnevno, posledično ni bilo mogoče povrniti dokumenta v stanje izpred nekaj ur, prav tako zaradi nevzpostavljenega sistema arhiviranje dokumenta ni bilo mogoče povrniti.



Nadzor delovnih postaj

Nadziranje delovnih postaj ni bilo mogoče opravljati na zadovoljivi varnostni ravni. Namreč vse delovne postaje so morale imeti enako geslo za administratorski račun, prav tako ni bilo mogoče na enostaven način urejati lokalne varnostne politike. Menjava gesla je morala biti izvedena lokalno na vsakem računalniku, saj je ob menjavi gesel preko oddaljenih servisov hitro lahko prišlo do zapletov. Pomoč uporabnikom z oddaljene lokacije je lahko potekala le preko programov tretjih proizvajalcev, katerih kvaliteta pa je vedno vprašljiva.

Zagotavljanje varnega izklopa streţnika ob izpadu električnega napajanja

Strežnik je sicer bil priklopljen na dodaten akumulator električne energije, vendar pa ob izpadu napajanja dalj časa le-ta ni mogel zagotavljati zadostnega napajanja in ker procedura izklapljanja ni bila nastavljena se je strežnik nekontrolirano izklopil, kar je lahko pripeljalo do izgube podatkov ob okvarjeni bazi podatkov.

Nastavljanje bliţnjic do omreţnih resursov

Nastavljanje bližnjic do omrežnih resursov je bilo omejeno, saj ni bilo nastavljene skripte, ki bi vzpostavila preslikave pogonov, do omrežnih resursov. Te preslikave so bile vzpostavljene ročno, saj je bilo potrebno spremeniti skripte na vsakem računalniku posebej. Tako stanje ni omogočalo sprememb, prav tako je bilo vse napake potrebno rešiti v sodelovanju s skrbnikom sistema. Deljenje omrežnih tiskalnikov je bilo vzpostavljeno na enak način, kar je zahtevalo izdaten poseg skrbnika ob vsaki spremembi tiskalniških nastavitev ali menjavi samega tiskalnika.



4. STANJE PO PRENOVI Podjetje je po prenovi bazirano na Microsoftovi tehnologiji Windows Server 2003, uporablja svoj poštni strežnik, ki bazira na Exchange Server 2003 tehnologiji, za požarno pregrado pa uporablja Microsoft Internet Security and Acceleration (ISA) Server 2004. Za arhiviranje podatkov se uporablja arhivni program v sklopu SBS 2003 R2, t.i. program ntbackup, ki dnevno skrbi arhiviranje podatkov na tračno enoto. Shema sistema po prenovi:

Spletna postaja

Web site:

www.medicotehna.si

LAN

Internet

86.61.65.125 – mail.medicotehna.si

medicotehna.local

SBS premium R2

10.10.0.1

10.10.0.0/24

213.250.2.37

Server 2000

Slika 16: Shema stanja informacijskega sistema po prenovi (Vir: interno gradivo)

Uporaba delovnih postaj

Pred posegom so se uporabniki srečevali z uporabo delovnih postaj, saj se niso morali prijaviti v sistem, kjer niso imeli kreiranega uporabniškega računa. Ta omejitev je z uporabo domenskega načina izničena, saj se uporabnikom lahko na centralni lokaciji omogoči prijavo na vse delovne postaje v omrežju, prav tako je na centralni lokaciji mogoče onemogočiti prijavo le na vnaprej določene delovne postaje.



Politika varnostnih gesel

Politika varnostnih gesel se po vzpostavitvi sistema lahko upravlja na centralni lokaciji, kjer se določi kakšno mora biti geslo in koliko časa geslo velja. Ob menjavi gesla pa se ne pojavlja težava s spremembo gesel na preostalih delovnih postajah, vendar se informacija zapiše na centralno lokacijo na katero se delovne postaje zanašajo.

Deljenje omreţnih resursov

Deljenje omrežnih resursov je po posegu mogoče zagotoviti tudi na lokalnih delovnih postajah, saj le ti uporabljajo iste uporabniške račune in je možno omejiti dostop do resursov na podlagi skupnih uporabniških računih ali skupinah.

Arhiviranje ključnih podatkov

Po vzpostavitvi sistema je mogoče preko programa ntbackup arhivirati ključne podatke. Shema arhiviranja je nastavljena tako, da se podatki arhivirajo vsako noč od ponedeljka do petka z vstavljanjem kaset pa je možno zagotoviti povratek informacij za nekaj mesecev. Shema arhiviranja je nastavljena tako, da se vsak petek v mesecu vstavi druga arhivna tračna enota, prav tako se konec meseca vstavi drugačna tračna enota, tako je s kompletom štirinajstih tračnih enot zagotoviti povratek informacij za leto dni in sicer stanje ob začetku vsakega meseca.

Nastavljanje bliţnjic do omreţnih resursov

Bližnjice se vzpostavljajo avtomatsko s centralnega mesta, nadzor nad preslikavami pogonov pa je možen preko skupinskih politik. Samo skripto lahko zaganja vsak Microsoftov operacijski sistem. On Error Resume Next

Dim objNet Set objNet = CreateObject("Wscript.Network") objNet.RemoveNetworkDrive "M:" objNet.MapNetworkDrive "M:", "\\sbs\dokumenti"

Nadzor delovnih postaj

Nadzor delovnih postaj je mogoč s centralnega mesta preko skupinskih politik, povezovanja na računalnik preko servisov, ki so v pogonu na vsakem računalniku. Pomoč uporabnikom se lahko izvaja z uporabo Microsoftovih orodij pomoči.

4.1. UPORABA EXCHANGE SISTEMA

Podjetje je izkoristilo možnost uporabe Exchange 2003 sistema v svojem omrežju. V sistemu ima vsak uporabnik kreiran svoj uporabniški račun, ki je integriran z domeno. Tako je nadzor mogoč s centralne lokacije, nad katero ima popoln nadzor skrbnik sistema. Podjetje na ta način ni omejeno na omejitve, ki jih postavljajo drugi ponudniki elektronske pošte, vendar politiko določa podjetje samo.



Politika velikosti elektronske baze je določena na centralnem mestu na Exchange strežniku in je definirana tako za uporabnike, kot za javne mape. Vsak uporabnik ima lahko prednastavljene omejitve, lahko pa se jim dodeli omejitve posamično. Vsako pravilo se lahko definira pri kateri vrednosti uporabnik prejme sporočilo, da se približuje mejni vrednosti. Uporabniki pri definirani vrednosti prenehajo prejemati elektronsko pošto lahko pa jo še vedno pošiljajo. Zadnja omejitev pa je absolutna, kar pomeni, da uporabniki ne morejo več prejemati ali pošiljati elektronskih sporočil. Preko integracije za aktivnim imenikom je mogoče definirati kateri uporabniki lahko dostopajo do baz elektronske pošte drugih uporabnikov in pošiljajo elektronsko pošto v imenu ostalih uporabnikov, kar je ustrezno označeno, da ne prihaja do zlorab osebnih podatkov. Vsako elektronsko sporočilo, ki pride do posameznega uporabnika je mogoče dostaviti ali posredovati tudi drugim uporabnikom. Sami uporabniki pa lahko definirajo pravila, kaj se zgodi z elektronskim sporočilom na ravni Exchange strežnika, tako da se ta pravila izvajajo že na Exchange strežniku in ne na delovni postaji. Dostop do elektronske pošte je mogoč tudi z drugih lokacij preko spletnega vmesnika, ki se avtomatično konfigurira pri namestitvi programskega paketa. Sama objava je opravljena tudi preko varnega protokola HTTPS (Hypertext Transport Protocol Secure sockets), tako da je vsak vpogled v elektronsko pošto z oddaljene lokacije kriptiran. Zaposleni v podjetju lahko pregledujejo spletno pošto tudi preko mobilnih naprav, preko enakega, le prilagojenega vpogleda. Zaposleni lahko pošiljajo in prejemajo elektronsko pošto preko opisanega protokola, ki se imenuje RPC over HTTP, tudi s klientskimi poštnimi odjemalci, tako se zagotovi kriptiranost prenosa pošte tudi z zunanjega omrežja. Sama objava portala na zunanje omrežje poteka preko IIS komponente Windows strežnikov 2003. IIS komponenta dejansko objavi portal na internet in tudi skrbi za primerno varnost pred zunanjim omrežjem preko ACL pravic, ter zaščite same komponente pred morebitno zlorabo. Podjetje ima možnost izrabe tudi t.i. javnih map, ki služi za izmenjavo pošte večim uporabnikom hkrati. Javne mape omogočajo tudi vzpostavitev skupnega adresarja vsem zaposlenim, ki lahko na ta način gradijo skupno bazo kontaktov in ni potrebno, da vsak uporabnik gradi svojo bazo kontaktov. V prihodnosti lahko javne mape izkoristijo tudi za razne ostale načine, kot je skupno mesto vpogleda v rezervacija sejne sobe, službenega avtomobila, prenosnih računalnikov. Javne mape se lahko izkoristi, kot skupni prostor za prejemanje elektronske pošte na določen naslov, tako lahko vsi uporabniki, ki imajo to pravico pregledajo pošto, ki je namenjena uporabnikom. Samo javno mapo se lahko izkoristi tudi, kot potrdilo pošiljatelju, da je elektronsko sporočilo prejeto. To povratno obvestilo lahko dobijo le vnaprej določeni uporabniki, ali pa vsak pošiljatelj, ki pošilja elektronsko pošto na ta naslov. Povratna informacija lahko vsebuje več oblik, kot je vnaprej definirano sporočilo ali pa se samo sporočilo vrne pošiljatelju, kot potrdilo katero sporočilo je bilo prejeto. V kombinaciji z distribucijskimi skupinami v aktivnem imeniku, lahko javno mapo vključimo in se tako sporočilo dostavi tako posameznim uporabnikom, kot tudi v javno mapo, kjer se lahko ponovno vključi potrdilo prejetega sporočila na enem preglednem mestu. Prenos podatkov je med uporabniki in poštnim sistemom kriptiran, kar pomeni, da morebitni nedovoljen vpogled v mrežni pogled ne bi pokazal vsebine. Sama baza, ki jo gradi klient poštnega sistema se tudi na klientski delovni postaji gradi kriptirano in zaščiteno z varnostnimi mehanizmi. Na ta način je onemogočena kraja podatkovne baze na klientski delovni postaji in izraba podatkov. Sam protokol, ki je v uporabi je MAPI protokol. Exchange Server 2003 podpira vse standardne dostope do elektronske pošte, kot so POP3, POP3S, IMAP ter IMAPS. Omogočanje je pregledovanje sinhronizacija



mobilnih naprav z Exchange strežnikom preko zunanjega IP-ja na katerem je Exchange poštni strežnik objavljen. Sama sinhronizacija se ne razlikuje od klasične sinhronizacije med mobilno napravo, ki je priključena preko USB priklopa in Microsoft Outlookom. Možna je sinhronizacija vseh map v poštnem predalu, od prejete ali poslane pošte do opomnikov, koledarskih nastavitev ter vpogled v osebne kontakte. Ker se baza elektronske pošte lahko gradi tako na strežniku, kot na delovni postaji je menjava uporabniška delovne postaje enostavnejša, saj je prenos elektronske pošte avtomatičen. Sama zaščita baze je vzpostavljena tako na strežniku, kot na delovni postaji. V klasičnih primerih baze na delovni postaji je le ta grajena v PST formatu, ki je nezaščiten za ostale uporabnike, sloni le na ACL zaščiti, katero je mogoče zaobiti z lokalnim administratorjem ali priključitvijo diska na drugo delovno postajo. Kadar se klient povezuje preko MAPI protokola do Exchange strežnika pa že baza gradi v OST obliki. Ta način grajenja baze pa poleg klasične ACL zaščite vsebuje tudi zaklenjenost baze na uporabniški profil in nastavitev aktivnega imenika, kar se tiče dostopa do uporabniškega profila, ki temelji na ACL zaščitni komponenti aktivnega imenika. Tako lahko do baze dostopa le uporabnik, ki je dejansko legitimni lastnik. Exchange strežnik podpira tudi razne zaščite proti nezaželeni elektronski pošti. Sama zaščita temelji na uporabi t.i. črnih seznamov, ki jih vzdržujejo tretja podjetja. Na te črne sezname se uvrstijo poštni sistemi, ki razpošiljajo nelegitimna elektronska sporočila preostalim poštnim strežnikom. Najbolj znana imena, ki so uporabljena tudi v tem sistemu so Njabl, Spamcop, Spamhaus in podobni. Dodatno je Microsoft s SP 2 za Exchange strežnik vključil t.i. inteligentni filter, ki pregleduje vso elektronsko pošto ter je ocenjuje glede na to koliko je sporočilo podobno nelegitimni pošti. Nastavijo se lahko razne vrednosti, ki vplivajo na to kam če sploh bodo elektronska sporočila dostavljena. Baza na Exchange 2003 strežniku se gradi na centralnem mestu in jo je mogoče arhivirati preko ntbackup programa na tračno enoto. S takim arhiviranjem je mogoče zagotoviti ponoven dostop elektronske pošte tudi ob okvari strežnika oziroma diskovnega polja. Bazo je mogoče arhivirati, kot celoto ali le baze posameznih uporabnikov. Za tako arhiviranje se je potrebno zanesti na produkte tretjih oseb, ki izdelujejo agente za arhiviranje Exchange strežnika 2003, kot sta ArcServ in Veritas.

4.2 UPORABA ISA POŢARNE PREGRADE

Podjetje Medicotehna d.o.o. se je odločili izrabiti možnost uporabe napredne požarne pregrade ISA 2004, ki je ponujena v kompletu SBS 2003. Poleg zagotavljanja ustrezne zaščite pred zunanjim omrežjem se ISA 2004 uporablja tudi za objavo spletnih portalov za elektronsko pošto preko protokola TCP 443 imenovanega HTTPS. Z uporabo aplikacijskega filtra je vsebina objavljenega portala tudi zaščitena preko klasičnimi vdori z zunanjega omrežja, saj se sistem avtomatično zaščiti ob napadu. Ta del programske opreme avtomatično tudi vzpostavlja internetno povezavo, do ISP ponudnika. Usmerjanje prometa poteka s servisom routing and remote access, kombinacija obeh servisov pa zagotavlja optimalno izkoriščanje sistema, saj ISA 2004 skrbi za požarno pregrado, RRAS pa za usmerjanje prometa. Preko obeh delov programske opreme je mogoče vzpostaviti tudi navidezno zasebno omrežje (VPN), kar omogoča uporabnikom priklop v omrežje s kateregakoli dela sveta. Dostop do dokumentov je na ta način omogočen tudi s delovne postaje zunaj omrežja, ves promet pa poteka preko kriptiranega prometa, kar zaščiti prenos podatkov.



ISA 2004 omogoča omejevanje prometa tako v smeri zunanjega omrežja, kot iz notranjega omrežja v zunanje. Omejevanje prometa iz notranjega omrežja v zunanje pripomore k zaščiti omrežja, saj se morebitni notranji nepooblaščeni programi ne morejo povezati v zunanje omrežje. Omogoča tudi proxy delovanje spletnih brskalnikov, preko katerega je mogoče omejiti spletne strani, ki jih uporabniki v notranjem omrežju lahko obiskujejo na zunanjih portalih.



5. ANALIZA SWOT SWOT analiza je pripomoček za strateško planiranje ocenitve prednosti, slabosti, priložnosti in pasti, ki so vpletene v projekt. Za izvedbo SWOT analize je potrebno definirati cilje projekta in identificirati notranje in zunanje faktorje, ki vplivajo na dosego zastavljenih ciljev. Ti faktorji so lahko naklonjeni ali nenaklonjeni projektu.

5.1 PREDNOSTI – STRENGTHS

Prednosti so atributi, ki pozitivno vplivajo na dosego ciljev.

Z uporabo programske opreme, ki je vključena v SBS 2003 je možen domenski nadzor nad Informacijskim sistemom s centralne lokacije: - nadzor nad večino klasičnih nastavitev operacijskih sistemov v domeni, - centralni nadzor nad uporabo sistemskih resursov, kot so npr. tiskalniki, faxi, - nastavljanje mapiranih pogonov s centralne lokacije, - nadzor nad uporabniškimi profili, - nadzor nad DHCP funkcijo, - nadzor nad DNS funkcijo.

Možnost prijave na več računalnikov z uporabniškim profilom, kar pomeni uporaba enotnega gesla za prijavo, kopiranje uporabniških nastavitev operacijskega sistema, uporaba enakih resursov.

Zagotovljena je večja varnost gesel, ker nam rešitev omogoča enostavno menjavo gesel, dodatno bo sistem prisilil v menjavo gesel na periodično obdobje. Prenos identifikacije med sistemskimi resursi je bolje kriptiran.

Uporaba elektronske pošte je varnejša saj se sam prenos z zunanje lokacije prenaša kriptirano s pomočjo »HTTPS over RPC funkcije«. Sama podatkovna baza pa zagotavlja večjo varnost lokalne baze elektronske pošte saj le-to program Microsoft Office Outlook 2033 shrani v OST obliko.

Varnost vseh podatkov je bolje zaščitena saj le-ta temelji na ACL pravicah, ki s pomočjo aktivnega imenika zagotavlja zaščito vpogled v resurse pred nepooblaščenimi vpogledi.

Programska oprema, ki je vključena v SBS 2003 ponuja požarno zaščito ISA 2004, ki ponuja ustrezno zaščito notranjega omrežja pred zunanjim.

Omogočeno je povezovanje z zunanjega do notranjega omrežja preko PPTP protokola, kar ponuja ustrezno zaščito prenosa podatkov med dvema lokacijama.

Windows Server 2003 vključuje programsko opremo »NT Backup«, ki omogoča arhiviranje podatkov na zunanji nosilec.

Uporaba enotne programske opreme v organizaciji.



Z vzpostavitvijo RAID polja na strežniku so podatki dodano zaščiteni v primeru izpada kakšnega izmed diskov.

Dostop do prejšnjih verzij dokumentov preko shadow copy funkcije v Windows Server 2003.

Avtomatska obveščanja o stanju strežnika, obveščanja ob odpovedi katerega izmed delov programske ali strojne opreme.

Enostavna vključitev novega računalnika v delovno okolje.

Ustvarjanje novih profilov, ki ne vsebujejo nepotrebnih servisov na računalniku, kar poveča hitrost delovanja.

5.2 SLABOSTI – WEAKNASSES

Slabosti so atributi, ki negativno vplivajo na dosego ciljev.

Z nadgradnjo kompleksnosti omrežja je za nadzor omrežja potrebno več znanja. Sam nadzor ima večje posledice na delovanje omrežja tako pozitivne kot negativne.

Za vzpostavitev novega stanja je potrebna tako investicija v ustrezno strojno, kot v programsko opremo.

S prenosom vseh ključnih funkcij omrežja na centralno mesto se poveča možnost izpada v primeru okvare strojne ali programske opreme na centralni lokaciji.

Ponovno ustvarjanje profilov na delovnih postajah, kar poveča čas izvedbe projekta in moti delovni proces zaposlenih.

5.3 PRILOŢNOSTI – OPPORTUNITIES

Priložnosti so zunanji atributi, ki pozitivno vplivajo na dosego ciljev.

Z vzpostavitvijo novega sistema je v prihodnosti organizacija upravičena do posodobitev programske opreme, kot je recimo Sharepoint 3.0.

Obstoječe pomanjkljivosti programske opreme, ponudnik neprestano posodablja, kar pomeni, da bo v prihodnosti manj varnostnih in funkcionalnih pomanjkljivosti.

Paket SBS 2003 vsebuje programsko opremo SQL 2005, ki jo je mogoče izkoristiti za računovodske programe, kar poveča njihovo odzivnost in zanesljivost.

Z uvajanjem novih programskih rešitev se le te hitro lahko poveže z aktivnim imenikom, kar bo zagotavljalo primerno varnost in nepodvajanje uporabniških profilov.



5.4 PASTI, NEVARNOSTI - THREATS

Pasti, nevarnosti so zunanji atributi, ki negativno vplivajo na dosego ciljev.

Z uporabo požarne pregrade ISA 2004, ki je med bolj znanimi požarnimi pregradami, se lahko v prihodnosti izkaže kakšna nova varnostna luknja, ki bi jo potencialni tako namerni, kot naključni vdiralci lahko izkoristili.

Komunikacija med notranjim in zunanjem omrežjem temelji na uporabi DNS zunanjih strežnikov, ob njihovimi izpadi pa je lahko komunikacija ohromljena ali popolnoma onemogočena.

Ob izpadu ISP internetne povezave je dostop do notranjega omrežja onemogočen.



6. ZAKLJUČEK Prenova informacijskega sistema pomeni korak v razvoju tako vsakodnevnega dela zaposlenih, kot tudi v razvoju informacijskega sistema, ki predvsem služi povečanju učinkovitosti zaposlenih. Drugačen način delovanja komunikacije med resursi v omrežju zagotavlja večjo varnost in stabilnost pretoka podatkov. Trend preteklih let je v centralizaciji informacijskih sistemov, tako centralizacijo najbolje omogoča lokalna domena in vključitev vseh resursov v to domeno. Uvedba rešitve torej predstavlja temeljni kamen za nadaljnji razvoj sistema.

6.1 OCENA UČINKOV

Učinki migracije bodo vidni takoj ob predaji sistema v uporabo. Merjenje samih učinkov je težko saj analize koliko časa je bilo porabljeno za administracijo omrežja pred in po implementaciji ni bilo opravljeno. Skrbnik sistema pa bo lahko sedaj na centralni lokaciji ustvarjal nove računalniške, uporabniške profile in nadziral vse resurse s centralne lokacije. Za ustvarjanje novega poštnega predala ne bo potrebno ustvariti novega profila pri zunanjem ponudniku ampak je s centralizacijo poenostavljen proces vključitve novega uporabnika v omrežje. Prvič pa bo z uporabo arhiviranja podatkov možna ohranitev delovanja sistema tudi ob odpovedi strežnika ali v primeru nesreče, kot je npr. požar. Konsolidacija programske opreme bo povečala učinkovitost zaposlenih, hkrati z uvajanjem novosti, pa se je ohranila programska oprema za vsakodnevno delo katera pa se je povezala z novim delovanjem in na ta način bodo lahko uporabniki še naprej delali v okolju, ki jim je znano in ne bodo občutili sprememb.

6.2 MOŢNOSTI NADALJNEGA RAZVOJA

Z uvedbo rešitve SBS 2003 se možnosti nadaljnjega razvoja šele odpirajo. Večina današnjih informacijskih rešitev temelji na domenskemu načinu delovanja informacijskega sistema. Rešitev vsebuje tudi SQL 2005 na katerega je mogoče vezati vse večje programske rešitve, ki se pojavljajo na trgu. Z vezavo programske rešitve na SQL 2005 se poveča hitrost delovanja teh aplikacij, hkrati pa jih je možno restavrirati v določeno točko, saj SQL vsebuje t.i. »transaction log«, ki omogoča ravno to funkcijo. Omrežje je izredno skalabilno, saj domenski način omogoča izjemno število resursov, ki je ne dosegajo niti največje organizacije na svetu.



LITERATURA IN VIRI Bernik, I., Rajkovič, V., Florjančič, M.: Sodobne oblike in pristopi pri organiziranju/informacijska tehnologija kot element organiziranja kadrovske dejavnosti, Kranj 1999, Založba Moderna organizacija.

Craig Zacker with Microsoft Corporation: Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure.

J.C. Mackin and Ian McLean: Implementing, managing, and maintaining a Microsoft Windows Server 2003 network infrastructure. Jill Spealman, Kurt Hudson, and Melissa Craft: Planning, Implementing, and Maintaining a Microsoft Windows Server 2003 Active Directory Infrastructure. J. C. Mackin, Ian McLean, Implementing, managing, and maintaining a Microsoft Windows Server 2003 network infrastructure. Jill Spealman, Kurt Hudson, and Melissa Craft: Planning, Implementing, and Maintaining a Microsoft Windows Server 2003 Active Directory Infrastructure.

Microsoft : http://www.microsoft.com, 21.12.2007.

Robert R. King: Mastering Active Directory for Windows Server 2003. Stan Reimer, Orin Thomas, Implementing Microsoft Internet security and acceleration Server 2004. Will Willis, Ian McLean, Implementing and Managing Microsoft Exchange Server 2003.

http://www.microsoft.com/



Kazalo slik Slika 1: Domenski način delovanja Slika 2: Nedomenski način delovanja Slika 3: Enkratna možnost prijave v sistem Slika 4: Univerzalni dostop do resursev Slika 5: Centralni nadzor nad omrežnimi resursi Slika 6: Potek kerberos procesa Slika 7: Identifikacijski proces Slika 8: Potek komunikacije preko LDAP protokola Slika 9: Hierarhija DNS strukture Slika 10: Potek DNS povpraševanja Slika 11: Prepletanje imenskega prostora aktivnega imenika in DNS-a Slika 12: Potek WINS registracijskega procesa Slika 13: Potek WINS povpraševalnega procesa Slika 14: Načelna strukturna porazdelitev FSMO vlog Slika 15: Shema stanja obstoječega informacijskega sistema Slika 16: Shema stanja informacijskega sistema po prenovi

KRATICE IN AKRONIMI ISA: Internet Security and Acceleration ACL: Access control list NTLM: Windows NT Challenge/Response GINA: Graphical Identification and Authentication dynamic-link library LSA: Link-State Advertisement SSPI: Security Support Provider Interface SSP: Security support provider KDC: Key Distribution Center SID: Security identifier DAP: Directory Access Protocol LDAP: Lightweight Directory Access Protocol DSA: Directory Service Agent DNS: Domain Name System SSL: Secure Socket Layer TSL: Tombstone lifetime ADSI: Active Directory Service Interfaces NSPI: Name Service Provider Interface IP: Internet Protocol TCP: Transmission Control Protocol WINS: Windows Internet Name Service FSMO: Flexible Single Master Operations RID: Relative ID Master



PDC: Primary domain controller SMTP: Simple Mail Transfer Protocol NNTP: Network News Transfer Protocol HTTP: Hypertext Transfer Protocol IIS: Internet Information Services OWA: Outlook Web Access WWW: World Wide Web POP 3: Post Office Protocol version 3 POP 3S: Secure Post Office Protocol version 3 IMAP: Internet Mail Access Protoco IMAPS: Secure Internet Mail Access Protocol MAPI: Messaging Application Programming Interface SBS: Small Business Server RPC over HTTP: Remote Procedure Call over HTTP PST: Personal folders OST: Offline folders HTTPS: Secure hypertext transfer session VPN: Virtual private networking RRAS: Routing and Remote Access Service

Documents

UVAJANJE DOMENSKEGA NAČINA DELOVANJA V ...neizkoriščenost strežnika se pozna v nekonfigurirani domeni, ki bi omogočala uporabo naprednejših funkcij. Stanje delovanja informacijskega