Upload
amer-alic
View
19
Download
0
Embed Size (px)
DESCRIPTION
v
Citation preview
Beograd, 2008.
UNIVERZITET SINGIDUNUM
-MASTER STUDIJSKI PROGRAM-
SAVREMENE INFORMACIONO KOMUNIKACIONE TEHNOLOGIJE
Informacione tehnologije i raunarske mree, fiziko i virtualno okruenje datacentra
Informacione tehnologije i raunarske mree, fiziko i virtualno okruenje datacentra
Mentor: Student:
Prof. dr Mladen Veinovi Marko arac
3
4
TEMA: Informacione tehnologije i raunarske mree, fiziko i virtualno okruenje data centra
ABSTRAKT ..................................................................................................................................... 6
UVOD............................................................................................................................................... 7
OPTI TIPOVI INFORMACIONE ARHITEKTURE ..................................................................................... 8
Okruenje centralnog raunara. ..................................................................................................... 8
Okruenje PC raunara. ................................................................................................................. 8
Umreeno (distribuirano) okruenje. ............................................................................................. 8
OSNOVNI POJMOVI O MREAMA ............................................................................................. 9
Fiziki medijumi prenosa ............................................................................................................ 9
Ureaji za povezivanje ............................................................................................................. 10
INFORMACIONI SISTEM ............................................................................................................ 11
Odeljenski informacioni sistemi ............................................................................................... 12
Informacioni sistemi preduzea ............................................................................................... 13
Meuorganizacioni sistemi ....................................................................................................... 13
MRENI OPERATIVNI SISTEMI ................................................................................................ 13
Microsoft Windows .................................................................................................................... 14
Novell NetWare ......................................................................................................................... 15
UNIX/Linux ................................................................................................................................ 15
Macintosh .................................................................................................................................. 16
IMPLEMENTIRANJE WINDOWS SERVERA 2003 .................................................................. 16
ARHITEKTURA WINDOWS SERVERA 2003 ........................................................................... 19
Korisniki sloj............................................................................................................................. 19
Sloj jezgra .................................................................................................................................. 20
DOMAIN CONTROLLER ............................................................................................................. 22
5
ACTIVE DIRECTORY .................................................................................................................. 23
GROUP POLICY .......................................................................................................................... 27
DNS (DOMAIN NAME SYSTEM) ................................................................................................ 28
DHCP (DYNAMIC HOST CONFIGURATION PROTOCOL) .................................................... 29
BEZBEDNOST .............................................................................................................................. 30
ANTIVIRUS PAKET PROGRAMA .............................................................................................. 32
ISA SERVER ................................................................................................................................. 33
DATACENTRI KAKVE SMO POZNAVALI DO DANAS ............................................................ 36
PROBLEMI FIZIKOG DATACENTRA .................................................................................................. 37
MOGUA REENJA - REENJA KOJA NUDI VIRTUALIZACIJA .............................................................. 38
VMware ...................................................................................................................................... 39
Hyper-V ....................................................................................................................................... 41
Xen virtualizacija .......................................................................................................................... 44
PRIMENA REENJA DOBIJENIH VIRTUELIZACIJOM ............................................................................ 47
ALL IN ONE DATACENTRI ................................................................................................................. 51
OPORAVAK SISTEMA NAKON KATASTROFE ...................................................................................... 54
IMPLEMENTACIJA HIPER-V REENJA ................................................................................................ 56
POSTUPAK IMPLEMENTACIJE I VIRTUALIZACIJE POMOU HYPER-V HIPERVIZORA ............................ 60
Postupak instalacije i konfigurisanje ............................................................................................ 60
Proces kreiranja virtualne maine ................................................................................................ 62
Rezultati testiranja ...................................................................................................................... 65
ZAKLJUAK ...................................................................................................................................... 73
LITERATURA .................................................................................................................................... 75
Internet izvori: ............................................................................................................................. 77
6
ABSTRAKT Rad na temu Informacione tehnologije i raunarske mree, fiziko i virtualno
okruenje data centra pisao sam sa ciljem da predstavi sve aspekte sa kojima se
sistem administratori mree i informacionih sistema sreu pri izgradnji i
svakodnevnom odravanju raunarskih mrea i informacionih sistema. Takoe sam
eleo da predstavim i testiram neke od novih koncepata koje donosi virtualizacija
datacentra. U radu su opisane hardverske komponente koje se koriste za izgradnju
ovakvih sistema ali poseban osvrt u prvom delu rada dat je na mrene operativne
sisteme sa naglaskom na Windows Server 2003 i njegovo implementiranje u mreu.
U drugom delu rada predstavljen je koncept virtualizacije, predstavljana su vodea
reenja virtualizacije, i testirano i praktino primenjeno Microsoft Hyper-V reenje
koje sa sobom nosi Windows Server 2008. Kroz prvi deo rada sam ukazao na
osnovne prednosti koje Windows Server 2003 nudi u odnosu na druge mrene
operativne sisteme, dok je u drugom delu rada predstavljen i Windows Server 2008
sa naglaskim na Hyper-V tehnologiju. U radu su takoe prestavljeni i rezultati i
poreenja fizikih i virtualnih radnih stanica i servera.
7
UVOD Informaciona infrastruktura se sastoji od fizikih ureaja, usluga i procedura koji
podravaju sve raunarske resurse u jednoj organizaciji. Postoji pet glavnih komponenti infrastrukture: (1) raunarski hardver, (2) razvojni softver, (3) mrena i komunikaciona sredstva (ukljuujui Internet i intranetove), (4) baze podataka i (5) osoblje koje upravlja informacijama. Infrastrukture obuhvataju ove resurse, kao i njihovo objedinjavanje, odravanje i upravljanje njime.
Predmet analize su informacione tehnologije i raunarske mree, sigurnosna i bezbednosna reenja, implementiranje Windows Servera 2003. Polazei od teorijskih sugestija (iste uvodimo u koncept analize) tragamo za konkretnim reenjima koja se odnose na procese uvoenja i implementiranja Windows Servera 2003. Predmet analize opremamo sa savremenim tehnolokim dostignuima koja omoguavaju realizaciju i gradnju savremene raunarske mree i informacionih sistema.
Cilj nae analize je da na nauno validan nain opiemo oblike i procese izgradnje savremene raunarske mree zasnovane na Windows Serveru 2003. Pored ovog naunog cilja rezultati nae analize treba da poslue reavanju konkretnih problema.
U istraivanje polazimo sa sledeom hipotetikom tvrdnjom zatita i izgradnja raunarskih mrea determinisana je primenom tehniko-tehnolokih dostignua, odnosno primenom savremenih informacionih tehnologija u konkretnoj organizaciji. Nau generalnu hipotetiku tvrdnju operacionalizujemo preko i pomou sledeih posebnih i pojedinanih hipoteza:
Informacione tehnologije i raunarske mree, kao i sigurnosna i bezbednosna reenja determinisana su znanjem eksperata u oblasti primene informacionog sistema organizacije;
na proces implementiranja informacionih tehnologija i raunarskih mrea deluje poslovna kultura, a posebno bezbednosna kultura organizacije;
Izgradnja informacionih sistema i raunarskih mrea kao i zatita podataka i informacija determinisana je pravnim normama organizacije;
Mrena arhitektura kao i sigurnosno/bezbednosna reenja organizacije determinisana su poloajem organizacije na tritu;
Informacioni sistem i raunarska mrea organizacije determinisani su specifinu proizvoda (roba, usluga i ideja) organizacije;
Implementacija Windows Servera 2003 determinisana je bezbednosnom politikom organizacije u kojoj se implementira;
8
OPTI TIPOVI INFORMACIONE ARHITEKTURE Jedan od naina da se klasifikuje informaciona arhitektura je prema ulozi
hardvera. Mogue je razlikovati dva ekstremna sluaja: okruenje centralnog raunara i okruenje personalnog raunara. Kombinacija ova dva sluaja kreira trei tip arhitekture, distribuirano ili mreno okruenje.
Okruenje centralnog raunara. U okruenju centralnog raunara obrada
se vri u centralnom raunaru. Korisnici rade na pasivnim (ili glupim") terminalima, koji se koriste za unoenje ili promenu podataka i pristup informacijama sa centralnog raunara. Ovo je bila dominantna arhitektura sve do sredine 80-ih prolog veka. Danas veoma malo organizacija koriste samo ovaj tip arhitekture. Njen naslednik je arhitektura gde se personalni raunari koriste kao pametni terminali. Pametni terminal (ili inteligentni terminal) ne samo da sadri tastaturu i ekran, ve i disk drajv, kako bi mogao da izvri ograniene zadatke obrade kada ne komunicira direktno sa centralnim raunarom. Ipak, sutina sistema je glavni raunar sa svojim monim sposobnostima skladitenja i raunanja. Mreni raunari (engl. Network Computers - NC), koji su uvedeni 1997. godine, redefiniu ulogu centralizovanog raunarskog okruenja.
Okruenje PC raunara. Kod PC konfiguracije, hardversku informacionu
arhitekturu ine samo lini (PC) raunari. Oni mogu biti nezavisni jedan od drugog, ali i povezani preko elektronskih mrea. Ova arhitektura je uobiajena za mnoge male i srednje organizacije.
Umreeno (distribuirano) okruenje. Distribuirana obrada deli posao
obrade izmeu dva ili vie raunara. Raunari koji u tome uestvuju mogu biti ili svi centralni, ili srednjeg obima ili mikro, ili, u veini sluajeva, kombinacija ovih mogunosti. Mogu biti na jednoj lokaciji, ili na vie. Saradnika obrada je vrsta distribuirane obrade u kojoj dva ili vie geografski odvojenih raunara timski rade na konkretnom zadatku. Druga vana konfiguracija distribuirane obrade je model klijent/server, gde nekoliko raunara deli resurse i moe da komunicira sa drugim raunarima preko LAN mrea. Kada distribuirani sistem pokrije celu organizaciju, smatra se da je to sistem celog preduzea, a njegovi delovi esto su povezani intranetom. Distribuirano okruenje centralnog raunara i PC raunara je veoma fleksibilno i obino ga koristi veina srednjih i velikih organizacija.
Zahvaljujui komunikacionim mreama i naroito Internetu i intranetovima, mreno raunarstvo postaje dominantna arhitektura veine organizacija. Ova arhitektura omoguava unutranju i interorganizacionu saradnju u raunarstvu;
9
dostupnost ogromnih koliina podataka, informacija i znanja; i veliku efikasnost u upotrebi raunarskih resursa.
OSNOVNI POJMOVI O MREAMA Osnovni razlog za povezivanje raunara u mreu jeste deljenje podataka i
resursa. Pojam mrea u svetu raunara oznaava grupu od dva ili vie meusobno povezanih raunara koji mogu deliti resurse poput podataka, tampaa, internet veze, aplikacija ili bilo kakve kombinacije takvih resursa. Mree mogu biti veoma jednostavne, poput manje grupe raunara koje dele podatke, ali i veoma sloene, kada pokrivaju velika geografska podruja. Razlike izmeu raunarskih mrea mogu biti velike, kao i izmeu tehnologija koje su u njima primenjene, tako da je neophodno povezivanje osnova umreavanja i naina zajednikog rada mrenih komponenti.
Lokalna raunarska mrea (LAN, Local Area Network) je, po definiciji, ograniena na manji prostor (obino je to kancelarija) nekada cela firma funkcionie u jednoj LAN mrei. Obino je vea LAN mrea podeljena na vie manjih celina uglavnom zbog administrativnih poslova koji su umnogome olakani deljenjem na logike celine. Regionalna mrea (WAN, Wide Area Network) oznaava bilo koju raunarsku mreu koja prevazilazi granice nekog grada, regiona ili drave.
U ovom radu bie detaljno objanjeno korienje i segmentiranje vee lokalne mree (LAN) sa konkretnim primerima i posebnim osvrtom na postavljanje i konfigurisanje Microsoft Windows 2003 servera za namene deljenja fajlova, interneta i autentifikacije korisnika.
Fiziki medijumi prenosa Pored toga to danas postoji nekoliko vrsta beinih mrea, poput onih koje
koriste radio frekvencije ili infracrvene zrake, veina instaliranih LAN mrea koristi neku vrstu kabla. U praksi se koriste tri tipa kabla: Koaksijalni, Uporedne parice (UTP) i optiki.
Koaksijalni kabl sadri centralni provodnik koji je izraen od bakra, preko koga se nalazi plastini omota, sa dodatnim oklopom u vidu pletenice preko omotaa, preko metalnog oklopa je postavljen plastini omota PVC. Uz koaksijalne kablove se koriste BNC konektori preko kojih se stanice povezuju u mreu. Koaksijalne BNC mree se gotovo vie ne koriste zato to su i po brzini koja je bila ograniena na 10Mbps i po funkcionalnosti prevaziene modernijim mreama tipa uporednih parica.
Kabl u vidu uporednih parica sastoji se iz veeg broja meusobno izolovanih provodnika koji su zajedno upredeni u parice, takoe postoje varijante sa metalnim oklopom. UTP kablovi koriste RJ45 tip konektora koji radi sa etiri parice tj. sa osam
10
provodnika. Ovi kablovi se danas najee koriste zato to su jeftiniji u odnosu na druge tipove kablova, laki su za rukovanje i omoguavaju brzine prenosa do 1Gbps to je bilo ne zamislivo do pre 10 godina.
Optiki kabl prenosi digitalne signale pomou svetlosnih impulsa, tako da je potpuno otporan na elektromagnetne i radio smetnje. Svetlo se kroz kabl prenosi kroz stakleno ili plastino jezgro, oko njega se nalazi plastini omota a iznad se nalazi savitljiva plastina kouljica koja je najee obmotana dodatnim oklopom i slojem PVCa. Optiki kablovi prenose podatke brzinom do 10Gbps i do razdaljine od 40km to ih ini najboljim medijumom za prenos podataka.
Ureaji za povezivanje Pored medijuma za prenos podataka u raunarskim mreama takoe se koriste i
ureaji za povezivanje u mreu:
Mrena kartica (NIC, Network Interface Card) vorite (hub) Komutator (switch) Most (bridge) Ruter Mreni prolaz (gateway)
Mrena kartica predstavlja karticu koja se u poslednjim generacijama raunara
gotovo kao pravilo nalazi na samoj matinoj ploi omoguuje povezivanje raunara u mreu, ona obezbeuje fiziki spoj sa prenosnim medijumom na mrei. vorite (hub) je ureaj koji se vie gotovo ne koristi u modernim raunarskim mreama zamenjen je komutatorm (switch), oba imaju slinu ulogu da povezuju sve segmente mree ali razliit nain rada. Dok vorite alje signal na sve portove, komutator prepoznaje sadraj paketa i uvaava odredinu MAC adresu dolaznog paketa kao i porta preko koga je primljen, pa e poslati signal samo na onaj port koji odgovara odreditu. Most predstavlja ureaj koji povezuje dva slina mrena segmenta, postavlja se u mreu prvenstveno radi povezivanja dva segmenta i razdvajanje saobraaja na segmente u optereenim mreama. Ruter je ureaj koji povezuje vei broj segmenata u jedinstvenu mreu, moe donositi inteligentne odluke o tome kako na najbolji nain da usmeri podatke ka odreditu, na osnovu podataka o performansama mree. U poslednje vreme ruteri u sebi imaju i funkciju mrenog prolaza (gateway).
Pored pomenutih u raunarskim mreama se sve ee sreu i ureaji poput modema (POTS, DSL, Kablovski), ISDN terminalnih adaptera, beinih pristupnih taaka (WAP, wireless access point) kao i mrenih barijera (Firewall).
11
INFORMACIONI SISTEM Informacioni sistem (IS) prikuplja, obrauje, skladiti, analizira i alje informacije
za specifinu namenu. Kao bilo koji drugi sistem, informacioni sistem ukljuuje ulaze (podaci, instrukcije) i izlaze (izvetaji, kalkulacije). On obrauje ulaze i stvara izlaze koji se alju korisniku ili drugim sistemima. Raunarski zasnovan informacioni sistem (eng. computer-based information system - CBIS) je informacioni sistem koji koristi raunarsku tehnologiju da realizuje neki, ili sve planirane zadatke. Takav sistem moe ukljuiti personalni raunar i softver, ili nekoliko hiljada raunara razliitih veliina, stotine printera, plotera i drugih ureaja, kao i komunikacione mree i baze podataka. U veini sluajeva informacioni sistem takoe ukljuuje ljude. Osnovne komponente informacionih sistema su:
Hardver je skup tehnikih sredstava kao to su procesor, monitor, tastatura i tampa. Zajedno, oni prihvataju podatke i informacije, obrauju i prikazuju ih.
Softver je skup programa koji omoguavaju hardveru da obrauje podatke. Baza podataka je skup povezanih fajlova, tabela, relacija, itd. Ona sadri
podatke i veze izmeu njih. Mrea je sistem veza koji dozvoljava da razliiti raunari zajedniki koriste
resurse. Procedure su skup instrukcija o tome kako da se koriste navedene
komponente da bi se informacija obradila i generisao eljeni izlaz. Ljudi su oni pojedinci koji rade sa sistemom ili koriste izlazne informacije.
Karakteristike informacionih sistema dvadeset prvog veka:
Vie razliitih informacionih sistema moe postojati u jednoj organizaciji. Skup od nekoliko informacionih sistema se takoe smatra informacionim
sistemom. Veina ovih sistema su meusobno povezani Informacioni sistemi su povezani pomou elektronskih mrea. Ako je cela
firma umreena i Ijudi mogu da komuniciraju jedni sa drugima i pristupe informacijama irom organizacije, onda se taj aranman smatra sistemom cele firme
Meuorganizacioni informacioni sistemi ukljuuju protok informacija kroz dve ili vie organizacija, i koriste se prevashodno u aplikacijama elektronskog poslovanja
Sistem celog preduzea je meuorganizacioni informacioni sistem sastavljen od velikih i malih raunara i hardvera, povezanih razliitim tipovima mrea (kao to su virtuelne privatne mree, mree dodatih vrednosti, intranetovi i
12
Internet). Takoe ukljuuje softver, baze podataka, podatke, procedure i,naravno, Ijude.
Ove karakteristike ukazuju na kompleksnost organizovanja i upravljanja
informacionim sistemima. Zato je potrebno definisati glavne pojmove i organizovati ih na neki logian nain. Informacioni sistemi se grade da ostvare nekoliko ciljeva. Jedan od primarnih ciljeva je da se podaci na ekonomian nain obrade i transformiu u informaciju ili znanje.
Informacioni sistemi se mogu klasifikovati na nekoliko naina: prema organizacionim nivoima, glavnim funkcionalnim oblastima, podrci koju pruaju i IS arhitekturi. Bez obzira na to kako se klasifikuju, struktura ovih sistema je ista: naime, svaki sadri hardver, softver, podatke, procedure i ljude.
Organizacije su sastavljene od komponenti kao to su odeljenja, timovi i radne jedinice. Na primer, veina organizacija ima personalno odeljenje, finansijsko i raunovodstveno odeljenje i moda jedinicu za odnose sa javnou. Ove komponente ine organizaciju koja moe biti odgovorna viem organizacionom nivou, kao to je odsek, ili sedite u tradicionalnoj hijerarhijskoj strukturi. Mada se neke organizacije reorganizuju u nove strukture, kao to su one bazirane na meufunkcionalnim timovima, danas velika veina organizacija jo uvek ima tradicionalnu hijerarhijsku strukturu.
Jedan od naina klasifikovanja informacionih sistema je po organizacionim strukturnim linijama. Tako moemo nai informacione sisteme izgraene za sedita firmi, za odseke, odeljenja, za operativne jedinice, pa ak i za pojedinane radnike. Takvi sistemi mogu da budu samostalni ili meusobno povezani.
Tipini informacioni sistemi koji prate organizacionu strukturu su: odeljenski, za celu firmu i meuorganizacioni. Ovi sistemi su organizovani u hijerarhijski sistem u kome se svaki sistem vieg nivoa sastoji od vie sistema nieg nivoa koji mu prethode.
Odeljenski informacioni sistemi. esto organizacija koristi nekoliko
aplikacionih programa u jednoj funkcionalnoj oblasti ili odeljenju. Aplikacioni program je program projektovan da izvri konkretnu funkciju direktno za korisnika ili, u nekim sluajevima, za drugi aplikacioni program. Na primer, u upravljanju ljudskim resursima mogue je koristiti jedan program za praenje ljudi koji su konkurisali za posao i drugi za nadgledanje prometa zaposlenih. Neke aplikacije mogu biti potpuno nezavisne jedne od drugih, dok su druge meusobno povezane. Skup aplikacionih programa u oblasti ljudskih resursa zove se informacioni sistem Ijudskih resursa. To jest, on se smatra obinim odeljenskim informacionim sistemom, iako je sastavljen od nekoliko aplikacionih podsistema. Na razliitim korporativnim lokacijama u velikim organizacijama, moe postojati vie odeljenja u okviru iste funkcionalne oblasti. Na primer, odeljenje ljudskih resursa moglo bi da postoji na nivou korporacije, ali i u
13
svakom odseku. Projektanti IS-a tada imaju dve mogunosti: oni mogu da projektuju informacioni sistem odseka koji obuhvata podsistem ljudskih resursa, ili mogu da projektuju centralizovani sistem ljudskih resursa za celu korporaciju.
Informacioni sistemi preduzea. Dok je odeljenski IS obino povezan
sa funkcionalnom oblau, zbir svih odeljenskih aplikacija u kombinaciji sa aplikacijama drugih funkcija obuhvata informacioni sistem cele firme. Jedna od najpopularnijih aplikacija preduzea je planiranje resursa preduzea (engl. Enterprise Resource Planning - ERP). ERP sistemi su sistemi koji dozvoljavaju kompanijama da zamene svoje postojee sisteme jednim, objedinjenim sistemom. Ovaj proces obuhvata planiranje resursa i upravljanje resursima celog preduzea. ERP sistem predstavlja novi model korienja raunara na nivou celog preduzea.
Meuorganizacioni sistemi. Neki informacioni sistemi povezuju vie
organizacija. Na primer, svetski avionski sistem rezervacija je sastavljen od vie sistema koji pripadaju razliitim aviokompanijama. Meuorganizacijski informacioni sistemi (engl. Interorganizational Information Systems - IOS) su sistemi koji povezuju dve ili vie organizadja. Takvi sistemi su zajedniki za poslovne partnere i iroko se koriste za elektronsku trgovinu, esto preko ekstraneta. Specijalni IOS je internacionalna ili multinacionalna korporacija, ija su informatika postrojenja locirana u dve ili vie zemalja. Meuorganizadoni informacioni sistemi igraju veliku ulogu u elektronskoj trgovini, kao i kod podrke u upravljanju lancem snabdevanja.
MRENI OPERATIVNI SISTEMI
Svaka mrea danas poseduje neki oblik softvera za upravljanje mrenim resursima. Taj softver tj. Mreni operativni sistem (NOS, network operating system) izvrava se na snanim raunarima i predstavlja jednu od najbitnijih komponenti svake mree. etiri najpopularnija mrena operativna sistema predstavljaju:
Microsoft Windows Novell NetWare UNIX/Linux Macintosh
NetWare, koji je razvijen u kompaniji Novell, predstavlja prvi operativni sistem koji
je iroko prihvaen na PC tritu. Windows, i pored injenice da ga je Microsoft uveo tek 1993. godine, ipak zauzima znatan deo trita serverskih platformi, prvenstveno
14
zahvaljujui jednostavnosti upotrebe. UNIX, i pored toga to je najstariji mreni operativni sistem, tek poinje da stie popularnost kod PC korisnika, prvenstveno preko verzija koje su namenjene PC raunarima, kao to je Linux. Popularnost raste delimino i zbog Interneta koji se zasniva na UNIX standardima i protokolima. etvrti mreni operativni sistem koji se danas koristi zauzima znatno manji deo mrenog trita i kristi se uz Mac OS naziv mu je AppleShare IP.
Microsoft Windows
Windows 2003 server, sa istim grafikim interfejsom kao i ostale Windows verzije i jednostavnom administracijom serverske konzole, danas svakako predstavlja najpopularniji NOS u upotrebi. Microsoft se na trite NOSa probio sa Windows NT 3.51 operativnim sistemom koji je bio stabilan i lak za korienje. Microsoft je pruio jaku marketinku podrku ovom proizvodu, ubrzo za tom verzijom su se pojavili Windows 2000 server a zatim i 2003 server, ime je Windows platforma postala dominantna na NOS tritu.
Nezavisni proizvoai stalno izbacuju na hiljade razliitih softverskih naslova za Windows. Broj mrenih programa nezavisnih proizvoaa za Windows danas znatno nadmauje broj pisanih za NetWare ili Linux. Jedan od razloga za rasprostranjenost softvera za Windows Server lei u injenici da programeri mogu kreirati takve programe u istom razvojnom okruenju u kojima piu i obine Windows programe, Microsoft obezbeuje veliku koliinu koda programerima uz minimalnu ili nikakvu nadoknadu.
Jednu od ozbiljnih mana Windows 2003 servera predstavljaju njegovi sistemi zatite. Naime iste one osobine koje Windows Server ine jednostavnim za upotrebu predstavljaju i najranjivije karakteristike kada su u pitanju napadi hakera. Veina zakrpa koje Microsoft izbacuje za Windows Server vezana je upravo za sistem zatite. Takoe, u stalnoj trci za ispunjenjem obeanih rokova Windows se obino distribuira pre nego to je stvarno spreman, da bi se ispravke i zakrpe tek kasnije slale na trite. Takva urba stvara mogunost za pojavu rupa u sistemu zatite koje ostaju nereene sve dok ne budu otkrivene. Takvi propusti su bili uzrok velikog broja propusta u zatiti tokom proteklih godina. Meutim ne moe se rei da Windows Server ne moe postati sigurna platforma sa dobri mrenim barijerama i sa pripremljenim zakrpama Windows moe postati siguran kao i bilo koja druga NOS platforma o emu e posebno biti rei u ovom radu.
15
Novell NetWare NetWare predstavlja jedan od najmonijih mrenih operativnih sistema na tritu,
naroito je popularan u velikim mreama (vie od 20 servera), zahvaljujui karakteristikama poput centralizovane administracije svih korisnika i njihovih parametara. Predstavlja najfleksibilniji NOS koji moe komunicirati sa praktino svakim raunarskim okruenjem ukljuujui: Windows 95/98/ME/NT/2000/XP, Mac OS, VMS, OS/400, UNIX, OS/2. Kada neki od navedenih operativnih sistema pokuava da ostvari komunikaciju se NetWare severom, server e se pojaviti kao pripadnik tog tipa mree, ovo je zato to je Novell razvio klijentski softver koji obezbeuje rad se NetWare-om velikom broju klijentskih operativnih sistema.
NetWare je svakako najzatieniji mreni operativni sistem. On koristi ifrovanje na bazi javnog kljua tokom prijave na sistem (lozinke se nikada ne alju izmeu klijenta i servera u obliku otvorenog teksta). Pored toga, korisnik ne moe prii lokalnim datotekama bez prijave sa odgovarajuim klijentom. NetWare je jedini NOS koji ima NSA (National Security Agency) sertifikat u obliku C2 Red Book, to znai da je sistem zatite dovoljan i za upotrebu u vladi SAD-a.
Aplikativna podrka je jedna od osnovnih nedostataka NetWare sistema. NetWare je iskljuivo namenjen serverskim platformama. Novell smatra da serveri treba da obezbede iskljuivo mrene servise, ali ne i da rade sa desktop aplikacijama.
UNIX/Linux
Predstavlja jedan od najstarijih mrenih operativnih sistema. Karakteristino je da postoji veliki broj verzija i mada je osnovna arhitektura svih verzija ista postoje fini detalji koji jednu verziju ine bolju u praksi u odnosu na drugu. Sve UNIX verzije poseduju kernel, koji sainjava osnovu itavog operativnog sistema. Kernel komunicira sa razliitim tipovima korisnikog interfejsa i moe da pristupa hardveru. Linux je jedna od verzija UNIX-a koja danas zaokuplja najvie panje. Osnovna karakteristika Linuxa je jednostavnost upotrebe. Razvio ga je Linus Torvald sa Univerziteta u Helsinkiju, Finska. Najvei broj Linux distribucija je besplatan, veina ukljuuje skup korisnikih aplikacija poput programa za obradu teksta, sistem grafikog interfejsa i kompajlera izvornog koda.
UNIX serveri prvenstveno koriste standardne Internet protokole, kao to su TPC/IP, FTP, HTTP..., zbog toga potencijalni klijenti za ove servere moe biti svaki klijent koji se moe konfigurisati sa TCP/IP protokolom i web itaem.
Veina verzija UNIX-a postoji ve due vreme na tritu, tako da je dobar deo problema u sistemu zatite ve otkriven i greke otklonjene. I pored toga se stalno javljaju novi sigurnosni problemi, iroka baza korisnika obezbeuje njihovo brzo i
16
lako otklanjanje; veina korisnika sama uklanja uoene slabosti, zato to prosean UNIX administrator izuzetno dobro izverziran za reavanje sopstvenih problema.
Macintosh
Macintosh interfejs se smatra najjednostavnijim za upotrebu meu svim raspoloivim grafikim korisnikim interfejsima. Mac OS je kao serverska platforma uglavnom ogranien kada je re o podrci klijentima. Mac OS X server funkcionie savreno u ulozi Internet servera, zahvaljujui tome to jezgro Mac OS X ustvari ini UNIX.
Mac OS X poseduje pouzdan sistem zatite. Veina servisa koji mogu biti predmet hakerskog napada je iskljuena, to Mac u startu ini zatienijim od ostalih OS. Aplikativna podrka se svodi na Mac aplikacije koje su kompatibilne i sa aplikacijama pisane za starije verzije ovog OSa.
IMPLEMENTIRANJE WINDOWS SERVERA 2003 U nastavku rada predstaviu neke od osnovnih opcija koje Windows Server
2003 nudi, kao i da objasnim razloge masovne upotrebe Windows 2003 servera u malim i srednjim raunarskim mreama i preduzeima. Kao jedan od najbitnijih faktora u preduzeima koja koriste raunare javlja se pitanje raspoloivosti sistema. U kontekstu informacionih sistema raspoloivost se odnosi na napore koje inimo da informacioni sistemi i usluge koje oni pruaju budu neprekidno na raspolaganju korisnicima i drugim procesima. Obino se govori o raspoloivosti tipa 24 sata, 7 dana u nedelji", to bi, kada bi bilo mogue, bila stoprocentna raspoloivost.
Raspoloivost je veoma vana za kompanije koje sa svojim klijentima imaju ugovore o nivou kvaliteta usluga. Nivo usluga (Service Level, SL) u informacionoj tehnologiji oznaava raspoloivost raunarskih sistema koji pruaju usluge za koje klijenti plaaju svojim dobavljaima. SL se vie ne odnosi samo na sisteme takvih dobavljaa niti na odnose dobavljai-klijenti. Svima koji zavise od raunarskog sistema, veoma je vano da on bude na raspolaganju ,,sve vreme". Firmama koje se bave elektronskom trgovinom, a ija e zavisnost od Windows Servera 2003 postajati sve vea, posebno je vana stalna raspoloivost Internet usluga. Ako se prekine veza s vaim serverom, lako je izraunati gubitke. Prekidanje veze izmeu servera i Interneta isto je kao zatvaranje vrata prodavnice, to vae kupce odmah preusmerava ka konkurenciji. Elektronske prodavnice ne mogu sebi da priute taj luksuz.
17
Glavni cilj i obaveza svakog administratora servera jeste da dobro upozna svoj posao i da istrajno obezbeuje neprekidnu visoku raspoloivost servera i usluga. Sve usluge i komponente Windowsa 2003 trebalo bi staviti na spisak za procenu raspoloivosti ili na spisak za procenu rizika. Sledea lista sadri nekoliko oblasti kojima se Microsoft posvetio s namerom da obezbedi visoku raspoloivost:
Sindrom odskoivog servera restartovanje i ponovno podizanje sistema Grupisanje i redundansa servera postavljanje servera u klaster grupe Redundansa kapaciteta za skladitenje podataka RAID 1, 1-0, 5 - modovi Oporavljanje od katastrofe Bezbednost
Microsoft je u jezgru Windowsa 2003 znatno smanjio broj sluajeva u kojima je
obavezno ponovno podizanje sistema, to vai i za nove usluge i pri ruenju postojeih aplikacija i usluga. Poboljanje je naroito primetno u oblastima u kojima se unosi veliki broj izmena, kao to je konfiguracija mree i sl. Na primer, odmah poinju da vae izmene statikih IP adresa i nova podeavanja mrenih kartica. Jo uvek pos-toji veliki broj oblasti koje se mogu poboljati. Dobar primer je instaliranje softvera (kao to su servisni paketi).
U Windows Server 2003 Enterprise ugraene su i mogunosti grupisanja (engl. clus-tering). Grupisanje je jedan od naina da se obezbedi otpornost na greke, tako to se korisnici koji su povezani s jednim serverom automatski prebacuju na drugi kada prvi server otkae. U tehnologiji grupisanja servera koristi se izraz prespajanje nakon greke (engl. failouer). Grupisanje nije povezano samo s redundansom, ve i s rasporeivanjem optere-enja (engl. load balancing) po pojedinim raunarima u grupi, naroito se odnosi na mreno optereenje, jer se grupiu mreni resursi. Tehnologije kao to su IntelliMirror i Group Control omoguavaju da korisnici znaju koji iz grupe od 50 servera trenutno opsluuje njihove zahteve. U grupisanju i raspoloivosti sistema uloge imaju mogunosti kao to su sistem za rad s distribuiranim datotekama, preusmeravanje direktorijuma, nevezane datoteke, direktorijumi i druge.
Funkcije za skladitenje podataka imaju kljunu ulogu u raspoloivosti sistema. Windows 2003 podrava sve klase RAID nizova diskova. Sistem za rad s distribuiranim datotekama i NTFS 5.0 imaju nekoliko kljunih sposobnosti koje omoguavaju visoku raspoloivost sistema.
Microsoft je opremio Windows 2003 bezbednosnim funkcijama koje nijedan drugi operativni sistem ne moe da ponudi. Svaka pristupna taka na neki nain moe da se ifruje i zatiti. ak se moe koristiti 128-bitni klju, to je trenutno svetski nivo ifrovanja koji je nastao kao posledica fenomena elektronskog poslovanja i elektronske trgovine. Osim toga, Windows 2003 podrava i MIT-ov protokol Kerberos, verzija 5.0, to je de facto Internet standard koji omoguava jednokratno
18
prijavljivanje (Single Sign-On, SSO) i identifikaciju korisnika prilikom prijave na mreu putem ifrovanja simetrinim kljuevima i pomou digitalnih certifikata.
Windows 2003 severu se moe dodeliti vie uloga u ovom radu bie predstavljene samo neke od njih, ali ujedno su to i uloge koje se najee sreu u gotovo svim kako manjim i srednjim tako i velikim raunarskim mreama. Windows 2003 server ima izuzetno jednostavan meni kojim se dodeljuju uloge serveru, ve pri prvom startovanju pred korisnikom e se pojaviti meni Manage your server koji e dalje voditi korisnike kroz dodeljivanje uloge/uloga serveru.
Slika 1 i 2: Izgled menija Manage Your Server i podmenija Configure Your Server
19
DC (Domain Controller), najbitnija uloga koju Windows 2003 server moe da ima je ba ova uloga. Bez ovog severa moglo bi se smatrati da Windows 2003 mrea i ne postoji, na ovom serveru smeten je aktivni imenik. Preporuljivo je da ovaj server prua iskljuivo usluge imenika i da razmenjuje replike s drugim serverima radi obezbeivanja redundanse. Ipak je est sluaj, ako ne i praksa da se pored uloge DCa glavnom raunaru u mrei dodeljuje i uloge DNS i DHCP servera.
Domain Name Server DNS je server sistema za prevoenje imena u domenu.
WINS sever namena mu je prevoenje NetBIOS imena u IP adrese, uglavnom se podie na istom serveru gde je i DNS.
DHCP slui za automatsko dodeljivanje IP adresa raunarima u mrei. IIS Internet Information Server ovaj server prua Web i FTP usluge, to
je izuzetno snaan internet server trebalo bi da se instalira na namenski server ili u kombinaciji sa file serverom.
Print ovaj server mrei obezbeuje logike tampae i stara se o redovima za tampanje.
File Podeen je za pruanje sloenih usluga koje se odnose na rad sa datotekama i skladitenje podataka. Ovaj server je obino opremljen RAID 0 ili RAID 5 nizom diskova, mehanizmima za zamenu oteenih diskova bez prekida rada i njihovo grupisanje, kako bi svim korisnicima datoteke bile neprekidno dostupne.
ISA Internet Security and Acceleration Server prua uloge gateway-a i firewall-a sa detaljnim podeavanjima kao i mnoge druge usluge
ARHITEKTURA WINDOWS SERVERA 2003
Windows 2003 je modularni operativni sistem koji se sastoji od komponenata, a sagraen je na osnovu Windows 2000 Servera. Svi objekti operativnog sistema imaju interfejse, pomou kojih drugi objekti i procesi obezbeuju njihovu funkcionalnost ili usluge. Komponente meusobno sarauju prilikom obavljanja konkretnih zadataka operativnog sistema. Arhitektura Windowsa 2003 podeljena je u dva glavna sloja: korisniki sloj (engl. user mode) i sloj jezgra (engl. kernel mode).
Korisniki sloj
Korisniki sloj Windowsa 2003 u sutini je sloj za podrku aplikacijama, kako za Microsoftov softver, tako i za softver drugih proizvoaa. Sastoji se od ugraenih podsistema okruenja i od dodatnih (nezavisnih) podsistema. To je deo operativnog sistema koji omoguava drugim proizvoaima softvera da koriste usluge
20
operativnog sistema pozivajui objavljene API funkcije i objektno orijentisane komponente. Sve aplikacije i usluge instaliraju se u korisnikom sloju.
Sloj jezgra
Sloj jezgra (engl. kernel mode) Windowsa 2003 ima pristup sistemskim podacima i hardveru, a sastoji se od nekoliko komponenata:
Komponenta Windows 2003 Executive Executive (izvrilac) je zajedniko ime za sve izvrne usluge, koje obuhvataju veinu ulazno/izlaznih rutina operativnog sistema i kljune komponente za upravljanje objektima, posebno onima koji su zadueni za bezbednost. U grupu Executive spadaju i sistemske usluge (dostupne u oba radna reima) i interne rutine koje rade u sloju jezgra (nedostupne kodu koji se izvrava u korisnikom sloju).
U sloju jezgra rade sledee komponente:
File System (sistem datoteka): Prevodi zahteve upuene sistemu datoteka u format koji razumeju ureaji za skladitenje podataka.
Device Drivers (upravljaki programi): Komunicira sa upravljakim programima koji direktno pristupaju hardveru.
Cache Manager (upravlja kea): Duboko unutar koda I/O Managera, ova komponenta upravlja performansama ulazno/izlaznih operacija tako to kreira operacije pisaa na diskove. Ona takoe keira zahteve za pisae i itae i upravlja asinhronim pozadinskim operacijama upisivaa na hardverske ureaje.
Security Reference Monitor (nadzornik bezbednosti): Ova komponenta se stara o potovanju bezbednosnih mera koje vae za taj raunar.
Interprocess Communication Manager (IPC) (upravlja meuprocesnim komunikacijama): Delovanje ove komponente vidljivo je na mnogim mestima u operativnom sistemu. Njen najvaniji zadatak je upravljanje komunikacijama izmeu klijentskih i serverskih procesa. Sastoji se od komponente Local Procedure Call (LPC) (poziv lokalne procedure), koja upravlja komunikacijama izmeu klijentskih i serverskih procesa na istom raunaru, i komponente Remote Procedure Call (RPC) (poziv udaljene procedure), koja upravlja
21
komunikacijama izmeu klijentskih i serverskih procesa na razliitim mainama.
Memory Manager ili Virtual Memory Manager (VMM) (upravlja memorije ili upravlja virtuelne memorije): Upravlja virtuelnom memorijom. Ona obezbeuje virtuelni adresni prostor svakom procesu koji postoji i titi taj prostor radi ouvanja integriteta sistema. Njen zadatak je i kontrolisanje pristupa disku radi dobijanja virtuelne radne memorije, to je poznato i kao stranienje (engl. Paging).
Process Manager (upravlja procesima): Zapoinje i unitava procese i niti koje nastaju tokom rada sistemskih komponenata i aplikacija.
Plug and Play Manager (upravlja mehanizma utakni i koristi): Prua usluge utakni i koristi i komunicira sa upravljakim programima radi konfigurisanja i usluga vezanih za hardver.
Power Manager (upravlja napajanja): Upravlja napajanjem sistema. Ona radi u sadejstvu sa API funkcijama za upravljanje napajanjem i obrauje dogaaje koji se tiu zahteva za upravljanje napajanjem.
Window Manager I Graphical Device Interface (GDI) (upravlja prozorima I interfejs grafikog podsistema): Upravljaki program win32K.sys koji objedinjuje usluge sledeih komponenata i upravlja sistemom za prikazivanje slike.
Window Manager: Upravlja sadrajem ekrana i prikazivanjem prozora. Ona obrauje i ulazno/izlazne podatke s mia i tastature.
GDI: Ova komponenta je najsloeniji interfejs za programiranje. Za nju nikada nije bilo dovoljno memorije u danima 16-bitnog Windowsa. Stara se o iscrtavanju i prikazu grafike na ekranu, i sarauje s komponentama koje prosleuju grafike objekte tampakim objektima i drugim ureajima za prikazivae grafike.
Object Manager (upravlja objekata): Upravlja sistemskim objektima. Ona ih stvara, upravlja njima i brie ih kada vie nisu potrebni. Sem toga, ona upravlja resursima koji se po potrebi dodeljuju tim objektima, npr. memorijom.
22
DOMAIN CONTROLLER
Slika 3: Ilustrovani prikaz Domain controller arhitekture
Server Domain Controller (DC) predstavlja srce svake lokalne mree. Samo podizanje domena i povezivanje raunara u jednu celinu omoguava upravo ovaj server. Podizanje domena odnosno instalacija istog nije komplikovan posao, ali ureenje pravila za korisnike na mrei moe biti dugotrajan proces. U zavisnosti od veliine mree odnosno broja raunara i korisnika Domain Controller moe biti instaliran kao pojedinaan raunar, ili u kombinaciji sa servisima DNS i DHCP. Vanost DC-a se ogleda u aktivnom imeniku (Active Directory), koji predstavlja bazu podatak svih korisnika na mrei. Podizanje DC-a je nemogue izvriti nezavisno od instaliranja aktivnog imenika (AD). Servisi poput DNS i DHCP mogu biti nezavisni dok DC i AD uvek idu zajedno i na jednom serveru.
Domain Controller hardverski treba da bude moan raunar; sa sistemom redudantnog napajanja kao i sistemom diskova u RAID setu, ovom raunaru takoe je potrebno obezbediti kvalitetan izvor napajanja pa se preporuuje upotreba jakih firmiranih UPS ureaja kao i agregata. Jednom instaliran takav raunar moe da slui kao DC u okviru neke organizacije i do par godina. Na njega uvek treba obratiti posebnu panju. Prostorija u kojoj je DC smeten treba da ispunjava uslove koji su najoptimalniji za boravak raunara na tom mestu, a to se pre svega odnosi na temperaturu. Kao i svaki raunar tako i DC moe biti oteen - hardverski ili softverski. Zbog bezbednosti i velike funkcije koju obavlja DC treba pribegavati podizanju jo jednog servera koji e predstavljati backup DC, odnosno biti replika postojeem serveru.
23
ACTIVE DIRECTORY
Aktivni imenik je centralno vorite (engl. hub) mree. Bez aktivnog imenika, ne moe se rei ni da Windows 2003 mrea postoji. Premda jo uvek ima nedostataka, impresionira broj alatki dodat je aktivnom imeniku u verziji Windows 2003. Ovde u nabrojati samo neke od alatki koje Windows 2003 nudi a administratori ih svakodnevno koriste:
Nevezani direktorijumi. Tehnologija nevezanih direktorijuma (engl. Offline folders) omoguava da napravite kopiju datoteke sa servera i da radite s njom i nakon to prekinete vezu s mreom. Kada prekinete vezu sa serverom, datotekom s kojom ste radili upravlja se kao da se ona jo uvek nalazi na serveru. to se vae aplikacije tie, ona misli" da je i dalje povezana sa serverom. Izmene u datoteci snimate na disk na uobiajeni nain kao kada radite na mrei. U ovom sluaju, odredite je resurs koji se ne nalazi u mrei, ali koji je slika datoteke i direktorijuma sa servera. Kada ponovo uspostavite vezu s mreom, datoteka se ponovo sinhronizuje - najnovije izmene se unose u kopiju datoteke koja se nalazi na serveru.
Preusmeravanje direktorijuma (engl. folder redirection) jo jedna je od mogunosti aktivnog imenika koja direktorijum ini redundantnim. Ako se prekine veza sa serverom, a vi ste i dalje povezani s mreom, kada sledei put snimite datoteku na disk, ona se preusmerava u drugu kopiju direktorijuma na drugom serveru.
Lutajui profili (engl. roaming profiles) nasleeni su iz Windowsa NT, ali su u Windowsu 2003 znatno unapreeni. Osnovna ideja je da vas va korisniki profil sledi gde god se kreete.
Usluge daljinskog instaliranja (Remote Installation Services, RIS) skup su vie komponenata i usluga koje vam omoguavaju da daljinski instalirate Windows XP Professional i Windows XP Home Edition na stone i prenosive raunare.
Instaliranje i odravanje aplikacija. Usluge koje prua Active Directory omoguavaju daljinsko uklanjanje i instaliranje softvera na radnim stanicama korisnika.
Tehnologija Active Directory omoguava da administrativne funkcije i odgovornost raspodelite na vie celina. Tako ih moete organizovati i unutar mree
24
ili domena radi lakeg administriranja. Usluga distribuiranog imenika omoguava vam da administriranje korisnika i mrenih resursa raspodelite irom organizacije. Na starijim NT sistemima mogli ste da definiete korisnike i grupe sa administratorskim pravima, ali je bilo gotovo nemogue da od tih administratora sakrijete druge mrene resurse.
Slika 4: Izgled konzole Active Directory Users and Computers.
25
Slika 5: Izgled podmenija za podeavanje pojedinanog naloga i podmenija za podeavanje Security grupa gde moe biti smeteno vie naloga ili organizacionih jedinica
Svaki korisnik pre nego to pone koristiti resurse mree mora imati korisniko
ime i lozinku. Korisniko ime i lozinka se dobijaju otvaranjem naloga u aktivnom direktorijumu. Administrator otvara nalog i smeta korisnika u odreenu ve definisanu grupu. U okviru jedne organizacije za administratora je veoma vano da zna koliko korisnika uopte postoji na mrei, da li ti korisnici imaju svoje raunare i kojom vrstom posla se bave. Velike organizacije sa velikim brojem korisnika uvek moraju imati vei broj otvorenih naloga u okviru aktivnog direktorijuma. Pored zaposlenih lica koji imaju svoje raunare i koji imaju pravo pristupa mrenim folderima, postoje korisnici koji e se tretirati kao gosti. Oni e traiti pravo pristupa najee internetu, a pristup samoj lokalnoj mrei i resursima njima ne bi trebalo omoguiti. U skladu sa tim u aktivnom direktorijumu moe da postoj nalog koji e na desktopu prikazivati samo ikonu odreenog brauzera za pristup internetu. Takvi korisnici e biti lanovi odreene grupe na koja su primenjena pravila zabrane pristupa svemu sem internetu.
Poto aktivni imenik moe da bude izdeljen tako da potpuno preslikava organizacionu strukturu preduzea, mogua je i raspodela administrativnih poslova po delovima te strukture. Drugim reima, logino je da nekoga ko radi u odreenom odeljenju zaduite za obavljanje rutinskog dela upravljanja resursima tog odeljenja.
26
Aktivni imenik je univerzalno distribuirano spremite za podatke kroz koje na standardizovan nain moe da se pristupa svim mrenim objektima, kao to su konfiguracije aplikacija, usluge, raunari, korisnici i procesi, i to irom cele lokalne mree ili ire mree iji je ona deo.
Slika 6: Izgled i uloga aktivnog imenika u mrenoj organizaciji
27
GROUP POLICY Upravljanje Windows mreama i Windows Serverom 2003 znatno je olakala
nova tehnologija Group Policy (grupna strategija), koja omoguava upravljanje korisnikim parametrima, bezbednosnim merama, domenom, parametrima radne povrine i drugim podeavanjima. Ukratko, veim delom radnog prostora upravlja se pomou grupnih strategija. Kao i organizacione jedinice aktivni direktorijum po instalaciji sadri kreirane grupe. Svaki korisnik mora biti lan neke grupe, a potom i organizacione jedinice. Postojee grupe u okviru aktivnog direktorijuma mogu posluiti administratoru da korisniku dodeli ili oduzme prava pristupa mrenim resursima (postojee grupe imaju unapred odreena prava, odnosno na njih su primenjene polise). Tehnologija Group Policy primenjuje se na svim nivoima organizacije, u aktivnom imeniku, od domena do organizacionih jedinica itd. Alatka za taj posao je edtor grupne strategije (Group Policy Editor, GPE). GPE omoguava da stvarate objekte koji su u aktivnom imeniku pridrueni organizacionim jedinicama ili koji se pozivaju na njih. Objekti grupne strategije (Group Policy Objects, GPO) mogu da budu zatieni NTFS pravima pristupa na isti nain kao datoteke i direktorijumi.
Slika 7: Izgled konzole Group Policy Management.
28
DNS (DOMAIN NAME SYSTEM)
DNS servis uopteno govorei predstavlja servis za razreavanje imena raunara u njegov jedinstveni broj (IP adresa) i obrnuto. Kada se pristupa instalaciji DNS servera potrebno je razmotriti sve parametre lokalne mree na koju elite da primenite ovaj servis. Kao to smo napomenuli servisi poput DNS i DHCP mogu biti instalirani zajedno sa DC (Domain Controller) ili potpuno nezavisno. Po instalaciji servisa potrebno je izviti odreena podeavanja da bi DNS pravilno razreavao imena raunara. U okviru Windows XP operativnog sistema parametre mrene kartice je mogue manuelno konfigurisati. Meutim ukoliko DC radi ispravno, DNS servis mora biti automatski uoen na mrei. Instaliran DNS po osnovnim podeavanjima razreava imena raunara u IP adresu. Za to je zaduena Forward Lookup zona. Prilikom njenog kreiranja sistem nas upuuje u nain rada tako konfigurisanog DNS-a.
Slika 8: Izgled konzole Domain Name System
29
DHCP (DYNAMIC HOST CONFIGURATION PROTOCOL)
DHCP (Dynamic Host Configuration Protocol) je servis koji dodeljuje raunarima jedinstvene IP adrese. Uz pomo ovog servisa sistem sam automatski nadgleda raunare i vodi rauna da IP adrese budu pravilno rasporeene odnosno dodeljenje. Domen moe da funkcionie i bez ovog servisa, ali to moe da prouzrokuje probleme i mnogo manuelnih podeavanja koje mora da izvri administrator. Pri instalaciji kao i kod DNS-a mora se voditi rauna o strukturi mree, serveru na koji instaliramo servis kao i svim ostalim raunarima u domenu koji imaju funkciju servera. Korienje DHCP izuskuje odreena podeavanja da bi DHCP adrese bile isporuene svim raunarima i da se uvek ima kontrola nad celokupnim procesom.
Slika 9: Izgled konzole Dynamic Host Configuration Protocol
30
BEZBEDNOST
Nita to radite nije vano ako nemate strategiju koja vodi rauna o bezbednosti vae mree. Vai paljivo osmiljeni i implementirani sistemi mogu da prestanu sa radom, ili da pokleknu pod napadima odbijanja usluge ili destruktivnog softvera. Vai podaci mogu da budu ukradeni,promenjeni, obrisani, ili uniteni virusima, nesreama ili direktnim napadom. Zlonamerni napada, ak i sa udaljenog mesta moe da kontrolie va raunar, sadraj vae web lokacije moe da se promeni, ili da se uniti reputacija kompanije.
Protokoli za bezbednost mree se koriste da bi se njima upravljalo i obezbedilo ovlaivanje, provera autentinosti, poverljivost, integritet i neodbijanje. U Windows Server 2003 mrei, glavni protokoli su Kerebros, New Technology Local Area Network Manager (NTLM), Internet Protocol Security (IPSec), i njihovi razliiti potprotokoli. Drugi protokoli podravaju ove protokole i drugi bezbednosni parametri podravaju i tite korienje ovih protokola za bezbednost.
U sledeoj tabeli prikazani su abloni za bezbednost i protokoli koji ih
podravaju:
Paradigma Svrha Protokoli Provera autentinosti
Dokazuje da ste onaj za koga se predstavljate
Kerberos i NTLM (NT LAN Manager [LM] protokol u startu nije dostupan, ali moe se podesiti.)
Ovlaivanje Odreduje ta moete da radite u mrei kada se proveri autentinost
Kerberos i NTLM
Poverljivost Odrava tajnost podataka Kerberosove, NTLM-ove, i IPSecove ifarske komponente (radi zatite i druge komunikacije pored provere autentinosti).
Integritet Obezbeduje primanje upravo onih podataka koji su i poslati
Kerberosove, NTLM-ove, i IPSecove komponente
Neodbijanje Utvrduje ko je tano poslao i primio poruku
Kerberos i IPSec
Zadatak implementiranja konfiguracija za bezbednost servera u Windows
mrei je trostruk. Prvo, morate razumeti ta ini dobni bezbednost. Drugo, morate umeti da implementirate bezbednost na opremi za informacione sisteme kojima upravljate u svojoj organizaciji. Konano, morate voditi rauna da su alati i metodologije na raspolaganju za brzu primenu bezbednosne konfiguracije, i morate razumeti kako da ih koristite i odravate. Na kraju, rukovodstvo mora utvrditi bezbednosna pravila koja najvie odgovaraju. U prolosti, mnogi alati i parametri u bazi Registry su bili potrebni da se zadovolji politika bezbednosti. Danas, meutim,
31
bezbednosni abloni, i posebno njihova globalna primena u grupnoj politici, mogu da ree ovaj trei zadatak: brza primena i odravanje u celoj kompaniji. U pristupnom radu u samo pomenuti i pokazati izlged Domain Controller Security Setings-a dok e u drugom delu rada ova konzola biti detaljno objanjena kao i sve mogunosti koje ona nudi. Na sledeoj slici je prikazan izgled konzole Domain Controler Security Stetings:
Slika 10: Domain controller Security Settings MMC konzola
32
ANTIVIRUS PAKET PROGRAMA
Pria o bezbednosti nebi bila potpuna bez dobrog antivirus programa. Kao to sam u poetku rada istakao Microsoft Windows platforma bilo da se radi o radnoj stanici ili o serveru predstavlja sistem najpodloniji napadima hakera i virusa samim tim potrebna mu je adekvatna i dodatna zatita pored one koju nudi Microsoft. Kvalitetnu i sveobuhvatnu zatitu jednog Windows 2003 domena pronaao sam u ESET-ovoj distribuciji antivirusnog reenja NOD32.
NOD32, na tritu pod tim nazivom od 1997. godine, je bio prvi proizvod na tritu koji je svojim korisnicima nudio tehnologiju heuristikog detektovanja nepoznatih virusa. esto nazivan i Antivirusni Sistem Nove Generacije, NOD32 konstantno ostavlja konkurenciju iza sebe na svim testovima na svim poljima, od broja detektovanih virusa preko performansi procesa skeniranja do jako malog utroka sistemskih resursa. NOD32 Antivirus System je dobro izbalansirana, vrlo savremena i pouzdana zatita od svih vrsta pretnji koje danas ugroavaju PC raunare. Podrava Microsoft operativne sisteme DOS, Windows 9x/ME/NT/2000/XP/2003, operativne sisteme Linux/Unix, Novell, MS Exchange Server, Lotus Domino server i druge e-mail servere. Napredne metode za detekciju obezbeuju zatitu ak i od buduih pretnji i nepoznatih virusa.
Serverska instalacija NOD32 u mnogome administratorima olakava ivot preko svoje konzole nazvane: Remote Administrator Console, ova konzola umnogome podsea na same Microsoftove konzole sa detaljnim pregledom stanja zatienosti raunara, napadima virusa, aurnosti antivirus baza...
Na sledeim slikama je prikazan izgled NOD32 Remote Administrator Console, kao i tab za daljinsko instaliranje NOD32 antivirus programa na klijentski raunar:
33
Slika 11: Izgled NOD32 Remote Administrator Console
ISA SERVER
Microsoft ISA Server je mono reenje za prikljuivanje mree na Internet, u najkraem, obuhvata firewall i proxy softver prijateljskog korisnikog okruenja. ISA je softver koji za sigurnosnu zatitu Internet veze nudi podesivi firewall i filter na razliitim slojevima komunikacije. Poseduje i znaajne mehanizme za zatitu od napada, izvetaje o korienju Interneta.... ISA Server odlikuje izuzetna skalabilnost, odnosno prilagodljivost velikim i malim sistemima. Vie instaliranih ISA servera mogu da sarauju, ime se dobija distribuirani ke. Ovakav ke moe se koristi za balansiranje velikog saobraaja, i za otpornost sistema: u sluaju da neki od servera ispadne iz pogona, sistem e nastaviti da radi. Firewall je danas obavezan prilikom prikljuivanja na Internet. To je princip koji radi na nivou paketa i cilj je da ka unutranjosti prou samo paketi koji su vezani za neki zahtev koji je bio upuen u svet. Rekosmo da ovaj firewall moe da se koristi na razliitim slojevima
34
komunikacije, a ono to niste navikli da vidite kod firewall-a su tzv. aplikacioni filteri. To su pravila na najviem sloju komunikacije, koja mogu da se zasnivaju na sadraju niza paketa. Firewall je prirodno reenje za aplikacije koje se ponaaju samo kao klijenti u TCP/IP saobraaju, dok serverskim TCP/IP aplikacijama predstavlja prepreku. Meutim, vrlo su este aplikacije tipino klijentskog tipa koje zahtevaju i serverski saobraaj, pa obian firewall predstavlja branu za njihovo korienje. Stoga je ISA server veoma koristan na aplikativnom nivou. Primer je FTP aplikacija koja pravi dve konekcije, klijentsku i serversku. Dobro reenje za prolazak FTP klijenata kroz ISA server je instalacija FTP aplikacionog filtera ISA server e dinamiki otvarati potreban port prema spoljnim konekcijama, prevoditi adrese prema unutranjim klijentima koji e biti iza zida. Ovaj filter ak nudi i mogunost da fino podeavate prava: odreenim korisnicima, recimo, moete dozvoliti samo itanje fajlova.
Aplikacioni filter SMTP saobraaja je dodatna mera zatite za e-mail server,
nezavisno od toga koji softver koristite za upravljanje elektronskom potom. Filter titi od buffer overrun napada. Moete koristiti Message Screener za napredno filtriranje SMTP saobraaja po tipu attachment-a. DNS filter brani od nekoliko overflow DNS napada i transfera zona putem DNS klijenata. ISA prepoznaje Ping-Of-Death, IP spoofing, WinNuke, Land, UDP bomb, skeniranje portova... re security iz naziva ima smisla! Pored fabrikih mogunosti ISA server se moe proirivati, jer je Microsoft objavio Software Development Kit.
Postoji vie naina da usmerite radne stanice na ISA server. Prva je da ga koristite kao svaki Web proxy server za surfovanje: u Web browser-u odredite adresu i port proxy servera. U tom sluaju e radne stranice biti uskraene za Internet aplikacije i protokole koji ne podravaju ovakav Web proxy nain, a one aplikacije koje podravaju proxy esto moraju biti runo podeene. Drugi nain je da koristite ISA kao NAT (Network Address Translation) server. ISA server e biti raskrsnica, prevoditi javne IP adrese u privatne (i obrnuto), omoguavajui nesmetan saobraaj veini TCP/IP protokola. Najee je dovoljno na klijentu podesiti adresu ISA servera za default gateway. Time e svi paketi koji nisu namenjeni lokalnoj mrei biti prosleeni ISA serveru koji e prevesti privatnu adresu u javnu i poslati zahtev na Internet. Svaki raunar koji koristi TCP/IP moe se ovako podesiti. Naalost, ISA server i dalje nema informaciju o tome koji korisnik je poslao zahtev, ve samo koji raunar. To je razlog to postoji trei tip klijenata. Firewall Client je aplikacija koja se instalira na radnim stanicama. Aplikacija postoji za sve verzije Windows-a i predstavlja vrstu vezu raunara sa ISA serverom. Korisnici ne moraju ni znati da je ova aplikacija instalirana sve izgleda kao da su povezani direktno na Internet, osim to systray-u imaju dodatnu informaciju o dostupnosti ISA servera; ako ISA server nije dostupan, aplikacija e se iskljuiti to olakava korienje laptop-a na poslu i
35
kod kue. Kada imate ovakve klijente, pravila za pristup Internetu putem TCP i UDP protokola moete vezati za pojedinane korisnike. Statistike izvetaje o upotrebi Interneta moi ete da pravite i po korisnicima. Klijent je odlino integrisan u Windows sve proradi kao od ale, klijent i server uvek znaju koji korisnik je ulogovan i koristi Internet... ISA klijentske aplikacije moete instalirati i centralizovano koristei grupne polise. Administratorska konzola je standardna MMC konzola, ime je omoguena administracija na daljinu. Windows Performance Monitor bie obogaen dodatnim brojaima (counter) za praenje performansi ISA servera. Na osnovu brojaa aktivnih konekcija na firewall-u i broja zahteva po sekundi na ISA keing delu, administrator dobija precizan pregled iskorienosti hardverskih i softverskih resursa tokom rada servera.
Slika 12: Osnovni ekran pri logovanju na ISA server
36
DATACENTRI KAKVE SMO POZNAVALI DO DANAS
Tema prvog dela rada odabrana na osnovu viegodinjeg angaovanja na poslovima administriranja raunarskih mrea zasnovanih na MS Windows 2003 operativnom sistemu. Kao osnovni cilj prvog dela rada je postavljena analiza mogunosti koje ovaj operativni sistem nudi kao odgovor na sve zahtevnije servise koji se koriste u savremenim raunarskim mreama. Analizom su obuhvaeni razliiti aspekti obraenih funkcionalnosti tako da ona sadri objektivno poreenje prednosti korienih pristupa i ogranienja koje ti pristupi postavljaju. Uporeivanje realizacija mrenih servisa u okviru MS Windows 2003 operativnog sistema je vreno u odnosu na realizacije u konkurentnim mrenim operativnim sistemima na tritu (Novel, Unix, Linux, Mac OS).
U vreme pisanja prvog dela rada pojavio se i novi Microsoftov mreni operativni sistem, Windows Server 2008 koji je sa sobom doneo i mogunost virtualizacije. Iako virtualizacija nije novina u ovom trenutku, ovo je prvi put da je ona ponuena kao sastavni deo nekog operativnog sistema ili ak kao samostalni potpuno besplatni host operativni sistem.
Ovo je logino dovelo do omasovljivanja virtualizacije i do uvoenja novih reenja u informacione sisteme kako za administratore tako i za same korisnike. U drugom delu rada predstavljena su tri najee koriena tipa virtualizacije, a Microsoft Hyper-V je i detaljno testiran.
37
Klijent-server model je sa sobom doneo koncept: jeftin standardni industrijski server na kome je pored operativnog sistema instalirana najee jedna aplikacija (na primer: domen kontroler, server baza podataka, mejl server, itd.). Vremenom, zahvaljujui razvoju Interneta, broj aplikacija (servisa) se sve vie poveavao, da bi u poslednje vreme, sa pojavom web servisa, dostigao paradoksalne razmere. Masovna pojava novih servisa, dovela je do enormnog poveanja broja servera u datacentru. S druge strane, efikasnost iskorienja ovih servera je sve vie opadala. Neke procene (IDC) govore da je iskorienost procesora prosenih industrijskih servera ispod 10%, to ekonominost infrastrukture datacentra ozbiljno dovodi u pitanje.
Pored faktora ekonominosti IT infrastrukture, deluju i drugi inioci koji virtualizaciju dovode u prvi plan: promena pristupa u projektovanju mikroprocesora, tj. pojava procesora sa dva, etiri, a uskoro i vie jezgara, brze i jeftine memorije i naprednih I/O arhitektura. Prosean dananji industrijski server je "prejak" za servise (aplikacije) koje su na njemu instalirane. Dalje, od IT servisa korisnici oekuju vrlo visoku raspoloivost (reda 99,9%), koju nije mogue obezbediti konvencionalnim tehnikama. Rast broja servisa zahteva vrlo brzu i estu instalaciju novih servera. Nabavka hardvera, s druge strane, je proces koji traje danima i nedeljama, te klasina nabavka smanjuje agilnost IT usluga. Od IT usluga se, pored svega navedenog, oekuje da obezbede kontinuitet poslovanja preduzea ak i u sluaju katastrofa (poari, poplave, zemljotresi...). Obezbediti rezervnu IT infrastrukturu na udaljenoj lokaciji i ekonomino je implementirati dupliranjem hardvera/softvera iz glavnog datacentra, jednostavno nije mogue. Zbog toga mnoga preduzea ni nemaju odgovarajua reenja za navedene situacije. Time ozbiljno rizikuju nastavak poslovanja posle katastrofe.
PROBLEMI FIZIKOG DATACENTRA
38
Korienjem virtualizacije mogue je podii efikasnost korienja IT resursa na 60-80% (priblino kao u mainframe okruenju). Pri tome je broj fizikih servera, kako pokazuju sluajevi mnogih od preko 20.000 korisnika, mogue smanjiti za 8-30 puta. Posledino, znatno se smanjuje i utroak elektrine energije u datacentru (koja se, zapravo, pretvara u toplotu) i fiziki prostor potreban za instalaciju datacentra (koji u npr. u centru grada predstavlja vrlo skupu imovinu).
Napredne opcije omoguavaju da servis (kako ga vide krajni korisnici) bude znatno vie raspoloiv od hardvera na kome je instaliran. Iskustva korisnika pokazuju da neki servisi bez prekida rade blizu 1000 dana, s tim to su u meuvremenu vie desetina puta migrirani sa hosta na host. Stavljanje novog virtualnog servera na raspolaganje IT razvoju / korisnicima je postupak koji traje nekoliko minuta (kloniranje, kreiranje na osnovu ablona), u poreenju sa 3-4 nedelje za nabavku i instalaciju fizikog servera.
Odravanje hosta vie ne predstavlja stresan posao, jer su servisi pre poetaka intervencije ve migrirani, primenom DRS-a, na druge hostove, tako da krajnji korisnici ne primeuju nikakav zastoj.
Arhitektura rezervnog datacentra (koji se koristi u sluaju katastrofe) moe biti vrlo kompaktna i ekonomina - potpuno virtualizovana. tavie, ova infrastruktura moe biti de-ljiva sa drugim korisnicima i samim tim vie puta jeftinija nego sopstvena. Instalacija i administracija operativnih sistema i aplikacija koje oni podravaju postaje znatno jednostavnija (iskustvo pokazuje da se potrebni resursi (ljudi, vreme) smanjuju na treinu).
Distribucija, testiranje i evaluacija novog softvera koji se isporuuje u formi virtualnih maina je znatno ubrzana i olakana. Na sajtu vmware.com se moe se nai vie od 300 takvih maina, a isti koncept su prihvatili i svi drugi veliki (Microsoft, Oracle...) i mali isporuioci softvera i reenja.
Na osnovu navedenog nije teko zakljuiti zato je u SAD procenat virtualizovanog dela infrastrukture datacentra vrlo visok - preko 40% (koji i dalje raste). Procene analitiara (Gartner, IDC) govore da za 2-3 godine nee biti fizikog servera bez instaliranog hipervizora za virtualizaciju, te da e ovo dovesti do promene koncepcije operativnog sistema opte namene i modela licenciranja softvera.
MOGUA REENJA - REENJA KOJA NUDI VIRTUALIZACIJA
39
VMware - Radi se vodeem reenju za virtualizaciju standardne x86-64 arhitekture, ije osnovne komponente predstavljaju:
visokoproduktivni hipervizor ESX 3.0 (sa posebno optimizovanim mikrokernelom - VMkernel) - koji prua 83-98% performansi nevirtualizovanih reenja; ESX pored toga podrava irok spektar standardnog hardvera, od Intel i AMD procesora, do SAN, iSCSI i NAS podsistema diskova (fajlova), 10 Gb/s Etherneta sa balansom optereenja
modul za centralizovan menadment virtualnog data centra (ESX hostovi, resursi, licence, ovlaenja, virtualne maine) Virtual Center Management Server
napredni opcioni moduli: podrka za multiprocesorske virtualne maine sa dva ili etiri logika procesora - Virtual SMP; VMotion - tehnologija koja omoguava migraciju servisa (virtualnih maina) u radnom stanju i bez prekida u radu sa jednog na drugi fiziki host; distribuirani rasporeiva resursa (DRS), koji omoguava izbalansirano korienje resursa na hostovima u klasteru i migraciju servisa (korienjem VMotion) na manje optereene hostove; restart servisa u sluaju otkaza hosta, na drugim hostovima High Availabiliti; konsolidovani bekap, koji omoguava bekap stanja virtualne maine u zadatom trenutku i povratak u to stanje u sluaju otkaza
alat za migraciju fizikih servera u virtualni oblik i konverziju iz jednog formata virtualne maine u drugi - Converter 3.0
konsultantske usluge procene efekata virtualizacije (obraun RIO, TCO) - Capacity Planner
usluge edukacije i sertifikacije zaposlenih u datacentru za primenu navedenih reenja
40
Slika 13: Prikaz VMware Infrastrukture
Slika 14: Prikaz VMware Workstation konzole
41
Hyper-V - Windows Server 2008 je najbogatiji Windows Server operativni sistem do sada. Sa ugraenim i unapreenim mogunostima za Web i virtualizaciju, ovaj operativni sistem je dizajniran da pobolja pouzdanost i prilagodljivost infrastrukture servera, kao i da utedi vreme i smanji trokove. Mone alatke obezbeuju bolju kontrolu nad serverima i usmeravaju zadatke konfiguracije i upravljanja. Pored toga, unapreene bezbednosne funkcije ojaavaju zatitu operativnog sistema, tite podatke i mreu i obezbeuju vrstu, izuzetno pouzdanu osnovu za rad. Pomou funkcije Hyper - V, Microsoft obezbeuje platformu virtualizacije sa hipervizorom koja omoguava prilagodljivost zahvaljujui smanjenju trokova, boljem korienju hardvera, optimizovanoj infrastrukturi i boljoj dostupnosti servera.
Hyper-V, kljuna funkcija sistema Windows Server 2008, jeste osnovna komponenta Microsoft strategije virtualizacije centra sa podacima na radnu povrinu. Ostale komponente ove strategije ukljuuju:
Virtualizaciju prezentacije pomou usluge Microsoft Terminal Services Virtualizaciju radne povrine pomou opcije Microsoft Virtual PC Virtualizaciju aplikacije pomou opcije Microsoft SoftGrid
Ostale prednosti ukljuuju:
Kontinuitet poslovanja i kontrola u sluaju pada sistema, ime se omoguava pouzdano poslovanje
Testiranje i razvoj, koje omoguava testiranje u virtualnim okruenjima umesto na ivim raunarima
Prelazak na dinamiki centar sa podacima, ime se optimizuje korienje servera i obezbeuju sistemi koji se sami kontroliu
Kontrola poslovnih centara, ime se smanjuje potreba za lokalnim IT osobljem Smanju je se potronja elektrine energije kao i zagrevanje, optimizuje
korienje resursa i omoguava administratorima mree da se usredsrede na oblasti koje mogu da poboljaju, umesto samo da izvravaju rutinske zadatke. Time se tedi na osoblju, obuci i resursima.
Hyper-V je platforma za virtualizaciju koja obezbeuju najveu moguu prilagodljivost zahvaljujui dinamikim, pouzdanim i skalabilnim mogunostima kombinovanim sa kompletom integrisanih alatki za upravljanje fizikim i virtualnim
42
resursima, to znai da moete da kreirate agilan i dinamiki centar sa podacima i napredujete u pravcu dinamikih sistema koji se sami kontroliu. Hyper-V, kljuna funkcija sistema Windows Server 2008, obezbeuje poveanu pouzdanost, veu skalabilnost i dinamike mogunosti koje omoguavaju virtualizaciju veine poslovnih zadataka u okviru infrastrukture.
Slika 15: Prikaz Hyper-V menadera u Serveru 2008
Kljune karakteristike funkcije Hyper-V:
Nova i unapreena arhitektura. Zahvaljujui novoj arhitekturi sa 64-bitnim hipervizorom sa mikrojezgrom, funkcija Hyper-V nudi iroki spektar metoda za podrku ureaja, kao i poboljane performanse i bezbednost.
Sveobuhvatna podrka za operativne sisteme. Sveobuhvatna podrka za istovremeno pokretanje razliitih tipova operativnih sistema, ukljuujui 32-bitne i 64-bitne sisteme na razliitim serverskim platformama, kao to su Windows, Linux i drugi.
43
Symmetric Multiprocessors (SMP) podrka. Zahvaljujui podrci za najvie etiri procesora na virtualnoj maini, moete u potpunosti da iskoristite aplikacije sa vie niti na virtualnoj maini.
Rasporeivanje optereenja na mrei. Hyper-V sadri nove mogunosti virtualnog prebacivanja. To znai da se virtualne maine mogu jednostavno konfigurisati da koriste uslugu Windows Network Load Balancing (NLB) za rasporeivanje optereenja na virtualnim mainama na razliitim serverima.
Nova arhitektura deljenja hardvera. Zahvaljujui novoj arhitekturi virtualnog dobavljaa usluga/klijenta virtualnih usluga (VSP/VSC), Hyper-V obezbeuje poboljani pristup i korienje osnovnih resursa, kao to su disk, umreavanje i video.
Brza migracija. Hyper-V omoguava brzu migraciju virtualne maine sa jednog fizikog sistema domaina na drugi uz minimalni period van funkcije, kombinujui poznate mogunosti dostupnosti sistema Windows Server i alatke za upravljanje usluge System Center.
Snimak virtualne maine. Hyper-V nudi mogunost pravljenja snimka pokrenute virtualne maine tako da se lako moete vratiti na prethodno stanje i unaprediti reenje za pravljenje rezervne kopije i oporavak sistema.
Skalabilnost. Sa podrkom za vie procesora i jezgara na nivou domaina i poboljanom pristupu memoriji na virtualnim mainama, sada moete virtualno skalirati okruenje virtualizacije da biste podrali veliki broj virtualnih maina u okviru domaina i nastavili da kombinujete brzu migraciju radi skalabilnosti na vie domaina.
Proirivost. Windows Management Instrumentation (WMI) interfejsi i programski interfejsi aplikacije (API) zasnovani na standardima u funkciji Hyper-V nezavisnim prodavcima softvera i programerima omoguavaju da brzo kreiraju prilagoene alatke, uslune programe i proirenja za platformu za virtualizaciju.
Kada se Hyper-V uloga omogui, Hyper-V Manager postaje dostupan kao deo administrativnih alatki. Pomou opcije Hyper-V Manager korisnici mogu lako da kreiraju i konfiguriu virtualne maine.
44
Xen virtualizacija - Kompanija XenSource ima dvostruku ulogu u razvoju paketa Xen za virtualizaciju. Osnovana je 2005. godine s ciljem da, s jedne strane, daje podrku razvoju open source projekta Xen koji je razvio Ian Pratt, jedan od osnivaa XenSource-a. S druge strane, ova kompanija na bazi otvorenog reenja razvija napredne verzije softvera namenjene preduzeima razliitih veliina, nudei im uz softver i dodatne usluge.
Slika 16: Prikaz Xen virtual menadera
Kompanija je na bazi osnovnog Xen razvila tri verzije softvera za virtualizaciju. XenExpress je najjednostavnija varijanta, koja podrava pokretanje do etiri virtualne maine, potpuno je besplatna. Neto naprednija je verzija XenServer; na njoj je mogue pokrenuti do osam virtualnih maina. Najnaprednije reenje je XenEnterprise, robustan softver namenjen najzahtevnijim korisnicima. Uz godinju pretplatu za dva snanija reenja, XenSource obezbeuje i tehniku podrku za reavanje svih zahteva korisnika Xen virtualizacije.
Iako ima ogromne mogunosti, XenEnterprise se vrlo lako upotrebljava i omoguava brzo pokretanje gostujuih maina zasnovanih na Windows i Linux operativnim sistemima. Koristei dokazano reenje za virtualizaciju, Xen hypervisor, on omoguava laku instalaciju sa CD-a ili sa mrene lokacije, te donosi bezbednost Xen tehnologije za pokretanje x86 servera. XenEnterprise omoguava kreiranje neogranienog broja virtualnih maina jedino realno ogranienje su hardverski kapaciteti raunara na kojem se ovaj sistem pokree. I proizvoaima procesora, koji stalno dodaju jezgra i nove kapacitete, jasno je da sve to nije lako iskoristiti u
45
potpunosti, pa razvijaju i sopstvene tehnologije vezane za virtualizaciju, kakve su Intel VT i AMD Virtualization (AMD-V). Njih Xen u potpunosti podrava kroz paravirtualizaciju, a hardverska podrka virtualizaciji obezbeuje izuzetne performanse virtualnih servera, tako da je njihovo vreme reakcije blisko nevirtualizovanim mainama.
XenEnterprise omoguava lako konsolidovanje postojee serverske infrastukture, jednostavniji razvoj i testiranje softvera, zakrpa, pa i celih operativnih sistema. Omoguava i pokretanje starih operativnih sistema i aplikacija na novom hardveru, koji u osnovi pokree najnoviji softver, kao i jo mnogo razliitih scenarija upotrebe kada je lake koristiti virtualni prostor. Za svoj rad moe da koristi do 16 GB RAM-a i najvie 32 procesora, koje deli izmeu neogranienog broja virtualnih maina, a najnovija mogunost, dodata tokom drugog kvartala 2007, tie se ive migracije virtualnih servera i podrke klasterovanom deljenom sistemu za skladitenje podataka. Na Xen platformu mogue je instalirati Windows i Linux virtualne maine. Podrani su Windows 2000, XP i Server 2003, te praktino sve GNU/Linux distribucije, ukljuujui Red Hat Enterprise Linux, Novell SuSE i Debian Sarge. Jedino ogranienje predstavlja injenica da je za pokretanje Windows virtualnih maina neophodna podrka za Intel VT ili AMD-V tehnologiju.
46
Slika 17: Prikaz rada Virtualnih maina pod Xen virtualizacijom
Administratorima XenEnterprise nudi grafiku konzolu preko koje lako mogu pratiti i uticati na rad virtualnih maina. Tu je mogue videti iskorienost kapaciteta hardvera i performanse virtualnih maina, te ispratiti itav ivotni vek virtualnih maina od kreiranja i pokretanja, preko startovanja i zaustavljanja, do reboot-ovanja i deinstalacije. Administratori mogu svaku virtualnu mainu u letu zaustaviti ili joj alocirati resurse kako se zahtevi menjaju. Xen reenja se veoma brzo razvijaju i unapreuju. O tome svedoi i injenica da krajem prolog leta jo nije bilo mogue pokrenuti Windows virtualne maine, a danas to funkcionie. To je garancija da e nove tehnologije koje hardver ponudi vrlo brzo dobijati podrku u Xen reenjima.
47
Sa razvojem kancelarijskih ogranaka u mnogim organizacijama, mnogi su shvatili da postoji problem vezan za autentifikaciju. Ogranci firmi obino dobijaju kontroler domena preko kojeg se korisnici mogu autentifikovati u lokalnom DC-u umesto da moraju da idu na spori, ili ak srueni, WAN link, koji moe da dovede do greaka ili blokiranja autentifikacije i nemogunosti da pristupite ak i lokalnim resursima.
Reenje je bilo da se postave kontroleri domena u kancelarijskim ograncima. Iako je ovo reilo inicijalni problem autentifikacije, javili su se bezbednsoni problemi. Poto veina ogranaka kancelarija nema isti nivo IT strunosti kao glavna kancelarija, a svakako nemaju isti nivo fizike bezbednosti, kontroleri domena ogranaka kancelarija postaju veoma slabe take u itavoj Active Directory infrastrukturi. Promene koje napravi nestruan korisnik u ogranku kancelarija moe da ima efekte na itavu organizaciju i ako neko ukrade DC u ogranku kancelarije, to potencijalno moe da kompromituje sve naloge u organizaciji. Reenje Windows Server-a 2008 je Read Only Domain Controller (RODC). RODC sadri read only kopiju Active Directory baze podataka i jedine informacije o nalozima koje se skladite u RODC-u su za naloge u ogranku kancelarije. Poto se nikakve izmene u Active Directory-ju ne mogu napraviti u RODC-u, ne postoji bojazan da e nestruni korisnik napraviti nepopravljivu tetu u Active Directory-u. I poto obino nema administrativnih korisnika u ograncima kancelarija, postoji relativno mali rizik da e RODC u ograncima kancelarija posedovati naloge administratora koji se mogu kompromitovati u sluaju krae RODC-a. RODC-ovi se takoe mogu konfigurisati da keiraju samo odreene naloge. I u sluaju da se RODC ukrade, lista keiranih korisnikih naloga na RODC-u je dostupna kroz administraciju Active Directory-ja u glavnoj kancelariji. To omoguuje administratoru Active Directory-ja da iskljui ili resetuje prava pristupa ovih naloga iz glavne kancelarije.
Kako ogranci najee nemaju razvijenu IT infrastrukturu, ve se esto njihovo poslovanje zasniva na jednom serveru a RODC je servis koji ne zauzima puno procesorskog vremena pa je njegovo pokretanje i predvieno na virtuelnom raunaru.
U ovom radu takoe emo obraditi i pojmove fail over clustera i gradnje recovery data centa, objasni emo principe na kome rade ali detaljna uputstva za njihovu implementaciju e ipak biti obraena u drugom radu. Kao to smo u poetku rada rekli gradnja dva fizika data centra bi bila izuzetno skupa i ekonomski ne isplativa, ali takoe je neverovatno sraunati i mogunost gubitka svih podataka u
PRIMENA REENJA DOBIJENIH VIRTUELIZACIJOM
48
sluaju poara ili poplave u data centru. Ovakvi dogaaji ozbiljno bi uzdrmali i doveli u pitanje budue poslovanje svake firme. Reenje se javilo kroz virtualizaciju fizikih servera iz primarnog data centra na udaljenu lokaciju na kojoj bi se nalazila jedna fizika maina koja bi pokretala virtualne maine da rade posao fizikih u sluaju otkaza nekog od fizikih raunara iz primarnog data centra. Ovakvo reenje predstavljeno je na sledeoj slici:
Slika 18: Prikaz virtualizacije fizikog data centra na recovery data centar koji se nalazi na isturenoj lokaciji
Da virtualizacija nije samo jo jedno od futuristikih reenja koje se nee primenjivati u praksi ve samo u teoriji govori i sluaj Evrovizije koja je odana u Beogradu, a za iji su se ne smetan radi sigurnost streeminga i podataka brinule upravo virtualne maine i Blade serveri iju je implementaciju izvrila firma Coming iz Beograda preko koje smo i dobili sledeu sliku koja predstavlja emu RTSovg Data Centra u vreme odravanja Evrovizije:
49
Slika 19: ema RTS data centra u vreme odravanja Evrovizije
Po reima direktora firme Coming Draga Samardia sve je instalirano i svih 400 korisnika je definisano za svega 5 dana, a virtuelno okruenje omoguilo je i da se tokom rada sistema manji broj ljudi angauje na odravanju ukupno 200 raunara koliko je korieno za vreme Evrovizije.
Bilo je potrebno napraviti sistem koji e obezbediti brz i pouzdan rad preko 600 korisnika istovremeno. Pored 200 tankih klijenata i 200 stonih raunara, bilo je obezbeeno 100 lokacija za ino povezivanje prenosnih raunara, kao i kapaciteti za preko 100 beinih konekcija. Za softversku osnovu sistema odabrano je VMware Infrastructure 3 reenje za kreiranje virtuelnih hostova i virtuelnih raunara, a za upravljanje virtuelnim mainama korien je softver VMware VDM. Svi podaci kojima su korisnici pristupali smetani su na dva NetApp FAS2020 iSCSI uredaja sa po 2,1 TB primarnog SAS prostora za podrku virtuelnim sistemima i 3,5 TB sekundarnog SATA prostora za pravljenje rezervnih kopija sistema, odnosno 11,2 TB ukupnog prostora. Za samo umreavanje, upotrebljeni su Cisco ruteri i HP Procurve svicing oprema, dok je za srce sistema odabrana HP blejd platforma. Odlueno je da se u dve asije C7000, koje objedinjuju servere i interkonekciju, ugradi ukupno 6 HP Proliant BL480c servera,svaki sa po dva etvorojezgarna procesora na 3GHz i sa po 28 GB RAM memorije. Ovi serveri su od pokretanja radili preko 25 dana bez
50
prestanka i nisu prijavili niti jedan problem. Odabrano je reenje sa dve asije zbog kompletne redundantnosti sistema (moe da otkae polovina napajanja i ventilatora za hladenje a da sistem nastavi da radi normalno), kao i zbog toga to e ova platforma svoj ivotni vek nastaviti kao osnova IT sistema Radio televizije Srbije i reenje za oporavak nakon katastrofalnog dogadaja (disaster recovery).
Microsoftovo reenje virtualizacije Hyper-V nalo je praktinu primenu ba za vreme Microsoftove konferencije Sinergija 08 koja je odana u Novom Sadu.
Akcenat Sinergije 08 je stavljen na nekoliko oblasti, meu kojima istaknutu poziciju zauzimaju predstavljanje novih proizvoda (novi Microsoft SQL Server ili Windows Server 2008), tehnologija virtuelizacije, koja je primenjena u praksi na ovogodinjoj konferenciji, kao i mogunosti integracije IT-ja i proverenih poslovnih modela koje e biti predstavljene kroz IT Management oblast predavanja, i modeli uspene primene postojeih proizvoda i reenja. Jedan od kljunih tehnolokih noviteta ove jeseni, Microsoft Hyper-V reenje za virtuelizaciju, predstavljae okosnicu informatike infrastrukture Sinergije 08. Sve raunare na konferenciji koji e biti dostupni uesnicima, novinarima i osoblju konferencije, e pokretati virtuelizovani operativni sistemi, a u srcu informatikog sistema e se koristiti virtuelizovani serveri i aplikacije. Kroz laboratorije nazvane Virtualization Workshop posetioci e moi da se blie upoznaju sa teorijskim postavkama ovog koncepta, ali i da se na licu mesta upoznaju sa realnim sistemom koji koristi Hyper-V reenje.
Slika 20: Najava za Sinergiju 08
Ovako je izgledala najava za Sinergiju 08, a u Master centru Novog sada korieno je preko 150 radnih stanica koje se zasnivalo na tankim klijentima i virtualnim raunarima koji su radili na osam HP Blade servera pod Windows Server 2008 Enterprise operativnim sistemom.
51
Savremeno preduzee male ili srednje veliine (Small and Medium Business) danas u pogledu IT usluga zahteva istu panju isporuilaca IT opreme i reenja kao i tzv. velika" preduzea. Imajui u vidu da, mereno u Internacionalnim razmerama, kod nas postoji mali broj velikih preduzea (sa godinjim prihodom koji prevazilazi 200 miliona evra prema SAP klasifikaciji), praktino svi isporuioci IT reenja su upueni na SMB segment (ako izuzmemo individualne korisnike).
Specifinosti SMB segmenta IT usluga se mogu najbolje sagledati kroz analizu izazova i ogranienja sa kojima se ta preduzea su oavaju u pogledu uvoenja i korienja IT servisa. Naveemo samo neke:
broj i sloenost servisa slinog reda kao i kod velikih preduzea (EERP reenja, reenja za komunikaciju i kolaboraciju, bezbednost itd.) uestali (hitni") zahtevi za brzom i ekonominom implementacijom novih
servisa potreba da se za nove servise nabavi i ova oprema ogranien obim i kvalitet
interno raspoloivih Ijudskih resursa IT-u nedostupnost i neekonominost autsorsing reenja dug period implementacije ovih reenja (usluga) sve manja tolerancija neraspoloivosti servisa nedovoljan IT budet (posebno u domenu investicija)
Mnogi od navedenih problema u IT uslugama su svojstveni svim SMB preduzeima iz vrlo jednostavnog razloga: da bi opstala ova preduzea sve svoje resurse moraju usmeriti u jezgro svog poslovanja (core procesi"). Zato bi svako sveobuhvatno IT reenje za SMB segment trebalo da poseduje: jednostavnost, pri-lagodljivost, potpunu automatizaciju operacija, obezbeenu neprekidnu podrku, sigurnost i bezbednosti, iznad svega, ekonominost i isplativost u kratkom roku (8 meseci).
Polazei od navedenih pretpostavki i ogranienja, HP je dizajnirao jednostavno, prilagodljivo i ekono-mino reenje nazvano All-ln-One Datacentar. Osnovna ideja se sastoji u tome da se sloenost IT infras-trukture (hardver, softver) sakrije od korisnika primenom Microsoft Hyper V infrastrukture, a da se korisniki servis i isporuuju u virtuelizovanom obliku i da su prethodno potpuno prilagoeni zahtevima korisnika. Ovakvo reenje obezbeuje potpunu hardversku nezavisnost korisnikih servisa, to za posledicu ima znaajno pojednostavljenje IT infrastrukture, laku nadgradnju i odravanje, te vrlo visoku raspoloivost svih korisnikih servisa.
ALL IN ONE DATACENTRI
52
S druge strane, korisniki servisi se isporuuju u obliku koji je najpodesniji, najjednostavniji i najjeftiniji za korisnika. Sav aplikativni softver (servisi) se instalira na apstraktan (virtuelni) hardver, na operativnom sistemu iz koga su iskljueni svi nepotrebni servisi (moduli). Isporuilac reenja, s druge strane, dobija reenje koje se lako i jeftino moe odravati. Novi korisniki servisi se isporuuju u obliku fajlova (virtuelnih diskova), bilo udaljenim pristupom ili korienjem jeftinih medija (CD/DVD,flash memorijski stik).
U svom izvornom obliku All In One DC podrava sledee servise:
aktivni direktorijum (DNS infrastruktura) antivirusni server (servis) internet proksi servis internet fajervol servis e-mail servis servis za kolaboraciju i kreiranje sadraja (wiki, blog) fajl i print servisi ERP reenje (trenutno Microsoft Dynamics AV 4) CRM (open source, Microsoft CRM) interno pretraivanje sadraja dokumenata (IBM Omni Find) upravljanje dokumentima (i radnim tokovima) podrka za beino umreavanje IP telefonija Video nadzor Registracija radnog vremena DBMS servisi (kao osnova za druge aplikativne servise; Microsoft SQL
Server, Oracle) Virtuelne korisnike raunare
Infrastruktura koja ini sistemsku podlogu za ove servise se sastoji od sledeih komponenti:
Windows Server 2008 Datacentar dva HP DL360 servera (dva procesora sa po etiri jezgra) sa ESX
hipervizorom HP DL 360 server za menadment virtuelne infrastrukture i bekap HP Ultrium urdeaj za bekap na LTO trake gigabitni mreni komutator
Kao podsistemi diskova nude se dva reenja:
53
SAN HP MSA 1500 sa SATA diskovima (kapaciteta 6 TB!), Brocade SAN komutator
HP All inOne 400 pod sistem diskova u NAS konfiguraciji (do 1TB) bekap softver Vi
