PREHOD IN KONSOLIDACIJA STREŽNIKOV POŠTNO … · Microsoft Exchange 2003 za potrebe Davčne Uprave RS stran 10 od 63 Prenova informacijskega sistema lahko obsega prenovo posameznih

UNIVERZA V MARIBORU FAKULTETA ZA ORGANIZACIJSKE VEDE

Diplomsko delo visokošolskega strokovnega študija Smer Informatika v organizaciji in managementu

PREHOD IN KONSOLIDACIJA STREŽNIKOV POŠTNO SPOROČILNEGA SISTEMA

MICROSOFT EXCHANGE 5.5 NA MICROSOFT EXCHANGE 2003 ZA

POTREBE DAVČNE UPRAVE RS Mentor: doc. dr. Igor Bernik Kandidat: Tomaž Kralj Kranj, februar 2005

ZAHVALA Za pomoč in strokovne napotke pri izdelavi diplomske naloge se najlepše zahvaljujem doc. dr. Igorju Berniku.

Diplomo posvečam svoji družini.

POVZETEK Diplomska naloga podaja rešitev nadgradnje in konsolidacijo strežnikov poštno sporočilnega sistema iz Microsoft Exchange 5.5 na Microsoft Exchange 2003 za potrebe Davčne Uprave Republike Slovenije. Temelji na stanju in analizi obstoječega sistema in podaja eno od možnih rešitev. V prvem delu je opisano podjetje, njegove značilnosti, organizacija in dejavnosti. Podano je trenutno stanje komunikacijske in informacijske tehnologije v podjetju. Opisano je stanje v arhitekturi poštno sporočilnega sistema z njegovimi možnostmi in omejitvami. V drugem delu je poudarek na izboljšanju sistema, predlog in izvedba rešitve z vsemi vmesnimi fazami. Poudarek je na opisu izbrane tehnologije in utemeljene najboljše izbire za Davčno Upravo Republike Slovenije z upoštevanjem vizije prihodnosti in nadaljnega poteka nadgradnje. KLJUČNE BESEDE

- Exchange 5.5 - Exchange 2003 - Aktivni imenik - Elektronska pošta - Nadgradnja sporočilnega sistema

ABSTRACT This diploma work presents an upgrade and servers consolidation of the messaging system from Microsoft Exchange 5.5 to Microsoft Exchange 2003 for the purpose of Tax Administration of the Republic of Slovenia. It is based on the status and the analysis of the previous system and gives one of possible solutions. In the first part, the company, its basic properties, the organization and the activity are presented. The current situation of the communication and informational tehnologies in the company is given. In the second part the messaging system used before the upgrade is described. The contents of this chapter includes all of the upgrade procedure steps. The selected information tehnology as well as the best justified options for Tax Administration of the Republic of Slovenia is described. A vision for the future and the further development of the upgrade are considered. KEYWORDS

- Exchange 5.5 - Exchange 2003 - Active Directory - EMail - Upgrade of messaging system

KAZALO 1 UVOD ............................................................................................................................................9

1.1 Splošno o informacijski tehnologiji ...................................................................................9 1.1.1 Informacijski sistem........................................................................................................9 1.1.2 Elektronska pošta.........................................................................................................10

2 PREDSTAVITEV PODJETJA .................................................................................................11 2.1 Komunikacijski sistem Davčne uprave RS ...................................................................13 2.2 Informacijski sistem Davčne uprave RS........................................................................14

3 MICROSOFT WINDOWS 2003 SERVER SISTEM .............................................................15 3.1 Windows 2003 in Aktivni imenik .....................................................................................16 3.2 Microsoft Exchange Platforma........................................................................................17

3.2.1 Microsoft Exchange Server 5.5 ..................................................................................18 3.2.2 Microsoft Exchange Server 2003...............................................................................19 3.2.3 Microsoft Outlook 2003 ...............................................................................................20

4 OBSTOJEČE STANJE SPOROČILNEGA SISTEMA DURS............................................21 4.1 Posnetek stanja ................................................................................................................21

4.1.1 DURS in Aktivni imenik ..............................................................................................21 4.1.2 DURS in MS Exchange 5.5 ........................................................................................22

4.2 Kritična analiza..................................................................................................................24 5 PREDLOG NADGRADNJE SISTEMA ..................................................................................25

5.1 Zahteve in cilji....................................................................................................................25 5.2 Metodologija dela..............................................................................................................28

5.2.1 Microsoft in upravljanje storitev IT .............................................................................28 5.3 Organizacija dela na projektu .........................................................................................30

5.3.1 Javni razpis – izbor ponudnika ...................................................................................30 5.3.2 Projektne ekipe .............................................................................................................31 5.3.3 Projektna dokumentacija .............................................................................................32

5.4 Arhitektura rešitve.............................................................................................................33 5.5 Testno okolje .....................................................................................................................35

5.5.1 Virtualna okolja .............................................................................................................36 5.5.2 Izvedba in opis testiranja.............................................................................................36

6 POSTOPKI PRODUKCIJSKE MIGRACIJE .........................................................................41 6.1 Priprava ..............................................................................................................................41 6.2 Dobava in namestitev strojne opreme ...........................................................................41

6.2.1 Gruča in namestitev strežnikov v gruči .....................................................................42 6.3 Priprava MS Exchange 5.5 organizacije .......................................................................44 6.4 Namestitev ADC in MS Exchange 2003 strežnikov ....................................................44 6.5 Selitev poštnih predalov in javnih map ..........................................................................50 6.6 Ugašanje MS Exchange 5.5 organizacije .....................................................................53 6.7 Prehod v Exchange 2003 naravni način delovanja .....................................................54 6.8 Obnova podatkov po katastrofi - Disaster Recovery Plan ..........................................55 6.9 MimeSweper 5.1 in Microsoft Operations Manager 2005 ..........................................58

7 ZAKLJUČEK .............................................................................................................................61 7.1 Ocena učinkov migracije .................................................................................................61 7.2 Pogoji za uvedbo ..............................................................................................................62 7.3 Možnost nadaljnjega razvoja ..........................................................................................62

LITERATURA IN VIRI .......................................................................................................................63

Univerza v Mariboru – Fakulteta za organizacijske vede Diplomsko delo visokošolskega strokovnega študija

Tomaž Kralj: Prehod in konsolidacija strežnikov poštno sporočilnega sistema Microsoft Exchange 5.5 na Microsoft Exchange 2003 za potrebe Davčne Uprave RS stran 9 od 63

1 UVOD 1.1 Splošno o informacijski tehnologiji Informacijska tehnologija je postala glavni spodbujevalec poslovnih aktivnosti v današnjem svetu in je poleg tega tudi glavni katalizator temeljnjih sprememb v strukturi, delovanju in ravnateljevanju organizacij (Tapscott, Caston, 1993, str.2). Avtorja ene izmed prvih opredelitev informacijske tehnologije sta Leavit in Whisler. Izraz informacijska tehnologija sta uporabila že leta 1958 (Shimada, 1991, str. 300). Označila sta ga kot računalniške metode za obdelavo velikih količin podatkov, vključevanje statističnih metod pri odločanju in spodbujanju zapletenejših načinov razmišljanja. Informacijska tehnologija sama po sebi ne more prinašati koristi. Teh se lahko nadejamo šele takrat, ko organizacija združi informacijsko tehnologijo s podatki, postopki in ljudmi ter s tem oblikuje informacijski sistem (Gordon, Gordon, 1999, str. 11). 1.1.1 Informacijski sistem Informacijski sistem predstavlja proces zagotavljanja podatkov in informacij (Lipičnik, Mežnar, 1998, str 405). Gradišar in Resinovič opredelita informacijski sistem kot sistem, v katerem se ustvarjajo, hranijo in pretakajo sporočila in informacije (Gradišar, Resinovič, 1996, str. 92). Informacijski sistem je s tehničnega vidika mogoče definirati kot sestav medsebojno povezanih elementov, ki zbirajo, obdelujejo, hranijo in prenašajo informacije za podporo odločanju in nadziranju. Računalnik, kot vidni predstavnik informacijske tehnologije, nima funkcije prevzema opravljanja človeških opravil in funkcij, ampak je njegov namen pomoč pri človeških opravilih. Glavno prednost je moč iskati v različnosti informacijske tehnologije in človeka, kar nam omogoča komplementarni odnos. Čeprav računalnik ne zmore ničesar, česar ni zmožen človek, je njegova prednost predvsem v hitrosti in obsegu operacij, ki jih je sposoben opraviti v enoti časa. Slabost računalnika oziroma informacijske tehnologije pa je v neiznajdljivosti v novih situacijah (Bernik, Rajkovič, Florjančič, 1999, str. 270). Računalniške komunikacije so v zadnjih letih korenito spremenile podobo podjetij. Podjetja pospešeno prenavljajo informacijske in komunikacijske sisteme. Brez modernega informacijskega sistema si praktično ne moremo več predstavljati poslovanja. Vsaka sprememba, zamenjava in vzdrževanje informacijskega sistema, kot tudi zastoji in izgube podatkov pa so lahko povezani z izredno visokimi stroški. Izrednega pomena je sposobnost informacijskega sistema, da se prilagaja vedno novim zahtevam poslovnih usmeritev, razvoju novih tehnologij in potencialnim nevarnostim.



Prenova informacijskega sistema lahko obsega prenovo posameznih segmentov obstoječega informacijskega sistema oziroma nadgradnjo ali pa prenovo celotnega informacijskega sistema. V podjetja se uvaja elektronsko poslovanje in skladišča podatkov. Te tehnologije so realizirane na osnovi tehnologij, znanih z interneta in prenesenih v krajevna omrežja. Takim sistemom rečemo intranet. Tu je zelo pomembna zaščita podatkov. Podatkovni in spletni strežniki morajo biti od ostalega sistema ločeni s požarno pregrado. Upoštevati moramo zahteve po varnosti, enostavnosti vzdrževanja in izvajanja podpore na strani uporabnikov, pa tudi na centralnem nivoju. 1.1.2 Elektronska pošta Elektronsko pošto danes uporabljamo tako doma kot v službi. Je način sestavljanja, pošiljanja in sprejemanja sporočil po elektronskih komunikacijskih sistemih. Velika prednost elektronske pošte je v zelo enostavni uporabi, natančni sledljivosti in hitrem posredovanju informacije, prinesla je ogromen prihranek časa in mnogo hitrejši pretok informacij. Ravno zaradi velike količine podatkov je pomembno, da jo znamo pravilno nadzorovati in seveda tudi pravilno posredovati informacije. Splošna pravila uporabe elektronske pošte za delavce zaposlene v državnih organih, predpisujejo, da se sistem elektronske pošte praviloma uporablja samo v službene namene. Uporaba v druge namene je dopustna le izjemoma, če vplivno ne obremenjuje diskovnih kapacitet, zmanjšuje prepustnosti sistema elektronske pošte ali kakorkoli vpliva na zmanjševanje produktivnosti ostalih zaposlenih. Uporaba sistema elektronske pošte na način, ki je v nasprotju z veljavnimi predpisi, je neetična ali škoduje ugledu organa javne uprave ali Republike Slovenije, ni dovoljena. Organ mora zagotavljati, da vsi uporabniki v organu uporabljajo elektronsko pošto v skladu z veljavnimi predpisi, učinkovito, etično in odgovorno. Zato morajo biti uporabniki ustrezno usposobljeni za uporabo elektronske pošte in obveščeni o vseh pomembnih podatkih glede zagotavljanja varnosti in zanesljivosti sistema elektronske pošte (Hajtnik, 2002, str.123). V diplomski nalogi smo obdelali nadgradnjo poštno sporočilnega sistema v Davčni upravi Republike Slovenije. Zanimajo nas predvsem prednosti novega sistema. Novo okolje prinaša precej izboljšav pri vodenju administracije, varnosti in upravljanju z okoljem, veliko prednosti pa je tudi na strani uporabnikov.



2 PREDSTAVITEV PODJETJA Davčna uprava Republike Slovenije je organ v sestavi Ministrstva za finance. Sedež Davčne uprave Republike Slovenije je v Ljubljani. Davčno upravo Republike Slovenije sestavljajo Generalni davčni urad in Davčni uradi. Davčni uradi so organizacijske enote Davčne uprave, ki se ustanavljajo za opravljanje nalog davčne službe na določenem območju ali za določeno področje dela. Izpostave in referati so teritorialne organizacijske enote davčnih uradov. (Slika 1) Davčno upravo Republike Slovenije vodi generalni direktor, ki vodi tudi Generalni davčni urad. Generalni direktor je za svoje delo in delo službe odgovoren ministru, pristojnemu za finance. Generalni direktor ima lahko dva namestnika, ki mu pomagata pri vodenju. Davčni urad vodi direktorica oziroma direktor. Direktor odloča v davčnem postopku na prvi stopnji. Direktor je za svoje delo in delo davčnega urada odgovoren generalnemu direktorju.

Slika 1 – Organiziranost Davčne Uprave RS

Davčna uprava Republike Slovenije opravlja naloge davčne službe:

• pobiranje davkov in drugih obveznih dajatev; • opravljanje nadzora nad zakonitostjo, pravilnostjo in pravočasnostjo

izpolnjevanja davčnih obveznosti, določenih s predpisi o obdavčenju; • preprečevanje in odkrivanje davčnih prekrškov ter drugih kaznivih ravnanj,

določenih v predpisih, ter vodenje postopka za prekrške prekrškovnega organa;

• prisilna izterjava denarnih terjatev države in samoupravnih lokalnih skupnosti na podlagi zakona, ki ureja splošni upravni postopek, in na podlagi zakona, ki ureja prekrške;



• izvajanje predpisov Evropske skupnosti (v nadaljnjem besedilu: Skupnosti) in mednarodnih pogodb, ki obvezujejo Slovenijo z delovnega področja službe, sodelovanje in izmenjava podatkov z organi Skupnosti, pristojnimi organi držav članic EU in s pristojnimi organi drugih držav;

• sodelovanje z mednarodnimi organizacijami in strokovnimi združenji s področja davkov;

• proučevanje in analiziranje delovanja davčnega sistema in ukrepov davčne politike ter dajanje pobud za reševanje zadev s tega področja;

• opravljanje drugih nalog, določenih z zakonom ali s predpisom na podlagi zakona.

Izvaja naloge davčne službe v skladu z zakoni, ki urejajo obdavčevanje in postopek v zvezi z obdavčevanjem, zakonom, ki ureja inšpekcijski nadzor, z drugimi predpisi ter mednarodnimi pogodbami, ki obvezujejo Slovenijo, in v skladu z Zakonom o davčni službi. Naloge Generalnega davčnega urada so:

• organizira in usmerja delo službe, spremlja in proučuje njen razvoj ter ustrezno ukrepa za njeno pravilno delovanje;

• organizira delo davčnih uradov ; • nadzira delo davčnih uradov v poslovnih prostorih davčnih uradov in pri

zavezancih za davek; • zagotavlja enotno izvajanje predpisov s področja obdavčevanja in drugih

predpisov z delovnega področja službe; • organizira in skrbi za enotno izvajanje postopkov davčnega nadzora in

davčne izvršbe; • opravlja davčne preiskave in razvija metode in tehnike preprečevanja in

odkrivanja davčnih prekrškov in dejanj v zadevah iz pristojnosti službe; • odloča v upravnem postopku na prvi stopnji, kadar ta pristojnost izhaja iz

zakonov ali drugih predpisov; • vzpostavi, organizira, vzdržuje in vodi davčni register; • zbira, obdeluje, hrani, daje na razpolago in razkriva podatke s področja dela

službe; • vzpostavi, vodi, vzdržuje in povezuje zbirke podatkov in evidenc s področja

dela službe; • določa vsebino informacijskega sistema, ga upravlja in skrbi za njegov

razvoj, vključno z upravljanjem in razvijanjem sistema za elektronsko davčno poslovanje;

• predlaga obliko in vsebino obrazcev s področja dela službe; • določa in izvaja programe za kadrovski, strokovni in tehnični razvoj službe; • pripravlja, organizira in izvaja programe za izobraževanje, izpopolnjevanje in

usposabljanje uslužbencev službe; • skrbi za izvajanje predpisov Skupnosti, sodeluje in izmenjuje podatke z

organi Skupnosti in pristojnimi organi držav članic EU; • skrbi za izvajanje mednarodnih pogodb, ki obvezujejo Slovenijo, in

sodelujejo z davčnimi organi drugih držav in mednarodnimi organizacijami ter strokovnimi organizacijami s področja davčnega sistema;

• sodeluje z državnimi organi in drugimi strokovnimi organizacijami.



Naloge Davčnega urada so:

• opravlja odmero davkov in davčno izvršbo odmerjenih davkov; • opravlja davčni nadzor in izvaja postopke davčne izvršbe; • vodi davčne evidence; • neposredno izvaja naloge davčnih preiskav; • odloča v davčnem postopku na prvi stopnji, če ni z zakonom pristojnost

odločanja prevešena na Generalni davčni urad ali na ministrstvo, pristojno za finance;

• izvaja postopke davčne izvršbe denarnih terjatev države in samoupravnih lokalnih skupnosti v skladu z zakonom, ki ureja splošni upravni postopek, in zakonom, ki ureja prekrške;

• izvaja vračila preveč plačanih davkov in pripadajočih obresti; • odloča v postopku o davčnih prekrških in o prekrških po tem zakonu na prvi

stopnji; • opravlja določene naloge s področja delovnih razmerij, strokovnega

usposabljanja in izpopolnjevanja delavcev službe; • sodeluje z drugimi inšpekcijskimi organi ter organi policije; • daje strankam potrebne informacije o izvajanju predpisov o obdavčevanju in

davčnem postopku; • opravlja naloge v zvezi z vzdrževanjem davčnega registra; • opravlja druge naloge, določene s tem zakonom ali drugimi predpisi;

Posebni davčni urad opravlja naloge davčnega urada za: banke, hranilnice, zavarovalnice, družbe, ki prirejajo trajne klasične igre na srečo in posebne igre na srečo, ter družbe, ki prirejajo posebne igre na srečo v igralnih salonih, borze, borznoposredniške družbe, investicijske družbe, družbe za upravljanje, pokojninske družbe in klirinško depotne družbe. Posebni davčni urad opravlja naloge davčnega urada tudi za gospodarske družbe, katerih skupni prihodki so v preteklem davčnem letu presegli pet milijard tolarjev. Vir: http://www.gov.si/durs 2.1 Komunikacijski sistem Davčne uprave RS Omrežje ima topologijo zvezde. Povezave potekajo preko UTP in optičnih kablov. Računalniki so priključeni na omrežje preko 10/100 Mbit/s ethernet kartic. Na vozliščih se nahajajo koncentratorji, stikala, usmerjevalniki in modemi. Hitrost, ki jo dosegamo s tako zasnovo, je 10 Mbit /s ali 100 Mbit/s. Protokol na omrežju je TCP/IP. Uporablja se za skupno rabo tiskalnikov, komuniciranje med strežniki in delovnimi postajami, za dostop do interneta. Do interneta se dostopa preko omrežja HKOM. HKOM je komunikacijsko omrežje državnih organov. Vsi dostopi v internet iz HKOM gredo preko proxy strežnika in jih na tujih strežnikih vidijo kot dostope iz domene sigov.si oziroma gov.si. To so slovenske vladne domene. Za vsak dostop v internet iz HKOM se vodi evidenca v skladu z varnostno politiko Centra vlade za informatiko.



2.2 Informacijski sistem Davčne uprave RS V DURS-u je trenutno v uporabi informacijski sistem, ki temelji na strežniškem modelu Windows 2003, Aktivnem imeniku in Microsoft Exchange platformi kot sistemu za izmenjavo poštnih sporočil. V omrežju je 17 domenskih strežnikov Windows 2003, ki skrbijo za vodenje in prijavo uporabnikov v DURS omrežje. Dva domenska strežnika sta na Generalnem davčnem uradu, ostalih 15 je na lokaciji davčnih uradov. Hierarhična arhitektura Aktivnega imenika omogoča administratorjem pregled nad uporabniki in njihovimi dostopnimi pravicami do deljenih podatkov v omrežju. Mehanizem varnostnih politik (Group Policy) pa omogoča enoten nadzor nad delovnimi postajami. Na vsakem Davčnem uradu je nameščen tudi strežnik, ki skrbi za dinamično dodeljevanje IP naslovov, in strežnik, ki skrbi za avtomatično nameščanje varnostnih popravkov. V omrežju je več kot 3000 uporabnikov in delovnih postaj. Primarni informacijski sistem v uporabi na delovnih postajah je Microsoft XP SP2, na omrežju pa je še nekaj delovnih postaj z operacijskim sistemom NT4 oziroma Windows 2000. Vse delovne postaje so opremljene z Microsoft Office 2003 programsko opremo in Microsoft Outlook 2003 kot odjemalcem elektronske pošte. Arhiviranje podatkov se vrši na strežnikih. Uporablja se DLT in SDLT tračne enote, arhiviranje se vrši dnevno, tedensko in mesečno. Podatke se varuje tudi z arhiviranjem. Dnevne kasete se varuje v železni omari, ki je varna pred ognjem, tedenske kopije pa se hranijo na oddaljeni lokaciji. Arhitektura poštno sporočilnega sistema trenutno temelji na Exchange 5.5 arhitekturi, na 16 strežnikih, nameščenih na vseh davčnih uradih po Sloveniji. V pripravi je migracija in selitev na Exchange 2003 arhitekturo, kar je podrobno opisano v nadaljevanju. DURS omrežje je sicer omrežje znotraj omrežja HKOM, zato je na lokaciji Generalnega davčnega urada (GDU) nameščen tudi požarni zid. Prečnih povezav na omrežju ni. Vse davčne izpostave v omrežju vidijo samo strežnike in delovne postaje na nadrejenem davčnem uradu in Generalnem davčnem uradu.



3 MICROSOFT WINDOWS 2003 SERVER SISTEM Sistem Windows Server je Microsoftova programska oprema za integrirane strežniške infrastrukture, ki je namenjena podpori celovitih rešitev, zgrajenih na strežniku Windows Server 2003. Omogoča postavitev infrastrukture, ki temelji na Microsoftovem konceptu integrirane inovativnosti. Celosistemski pristop k načrtovanju, s predvidevanjem potreb in priložnosti olajša razvoj, uvajanje in upravljanje. Programska oprema je v zasnovi oblikovana tako, da brezhibno sodeluje in dela z drugimi podatki in aplikacijami v vsem informacijskotehnološkem okolju, zaradi česar lahko zmanjšamo stroške tekočega poslovanja, si zagotovimo zelo zanesljivo in varno informacijskotehnološko infrastrukturo ter pospešujemo dragocene nove zmogljivosti za rast svojega poslovanja v prihodnosti. Windows 2003 je primeren za različne strežniške vloge in potrebe uporabnikov, tako v centraliziranih kot v distribuiranih sistemih. Nekatere od teh strežniških vlog so:

• datotečni in tiskalniški strežnik; • spletni strežnik in strežnik za spletne aplikacije; • poštni strežnik; • terminalski strežnik; • strežnik za oddaljeni dostop in navidezna zasebna omrežja (VPN); • strežnik za imeniške storitve , DNS, DHCP in WINS; • strežnik za pretočne predstavnosti;

Družina strežnikov Windows Server 2003 je naslednji korak v stalnem razvoju Microsoftovih strežniških operacijskih sistemov Windows. Windows Server 2003 gradi na preskušeni zanesljivosti, razširljivosti in upravljivosti operacijskega sistema Windows 2000 Server in tako ponuja izjemno platformo za povezane aplikacije, omrežja in spletne storitve XML – tako v delovni skupini kot v računskem centru. Windows Server 2003 je razvit za srednje velika in velika podjetja, zato je v uporabi v strežnikih, ki izvajajo omrežne aplikacije, sporočilne storitve, informacijske sisteme za stranke in vodenje zalog, zbirke podatkov, spletne trgovine ter za skupno rabo datotek in tiskalnikov. Windows Server je operacijski sistem, ki ga odlikuje visoka zanesljivost, zmogljivost in izredna poslovna vrednost. Različica Enterprise Edition lahko uporablja najnovejšo strojno opremo in je na voljo tako v 32-bitni kot v 64-bitni različici, kar omogoča optimalno prilagodljivost in razširljivost. Podjetja lahko tako izkoristijo izjemno široko infrastrukturo, ki je optimizirana za pomembne poslovne aplikacije in storitve. Celotni Windows 2003 server sistem sestavljajo strežniki:

• Windows 2003 Standard Edition; • Windows 2003 Enterprise Edition; • Windows 2003 Datacenter Edition; • Windows 2003 Web Edition;

Vir: http://www.microsoft.com/slovenija/windowsserversystem/default.mspx



3.1 Windows 2003 in Aktivni imenik Aktivni imenik je bil skupaj z izidom Microsoft Windows 2000 strežnikov na voljo že od leta 2000. S prihodom družine izdelkov iz Microsoft Server 2003 sistem pa je doživel obilico izboljšav in prednosti, tako za administratorje kot tudi za uporabnike. Aktivni imenik je integriran, distribuiran imeniški servis, ki je vključen v Windows 2000 in Windows 2003 strežnike. V Aktivni imenik je integrirana množica aplikacij in storitev, ki so prej zahtevale svojo imeniško strukturo in svoje uporabniško ime ter geslo za uporabo. Na primer, v Windows NT 4.0 okolju je bila zahtevana posebna imeniška struktura za domenske uporabnike in posebna za uporabnike Exchange-a 5.5. Z uvedbo Aktivnega imenika in prihodom aplikacij, ki znajo razširiti osnovno shemo Aktivnega imenika in dodati svoje atribute, lahko administrator v organizaciji doda uporabnika v Aktivni imenik in skozi to tudi ostale zahtevane atribute za uporabnika, kreira poštni predal, elektronski naslov in podobno. Sistem Aktivnega imenika z uporabo Kerberos sistema skrbi za uporabnika, ki se prijavi v Windows okolje s svojim uporabniškim imenom in geslom, definiranem v Aktivnem imeniku, da ga spremlja in »odklene« dostop do vseh aplikacij, do katerih smo uporabniku dovolili dostop. Na ta način se uporabnik samo enkrat prijavi v sistem, saj vzpostavljena povezava med Aktivnim imenikom, poštno sporočilnim sistemom in integriranimi aplikacijami to omogoča. Na ta način se poenostavlja tudi administracija uporabnikov, saj se v primeru sprememb te izvršijo na enem samem mestu znotraj administrativnega orodja Aktivnega imenika. V Aktivnem imeniku se gradi hierarhična struktura uporabnikov in njihovih delovnih postaj. Mehanizem in način hierarhije določimo v podjetju sami. Hierarhijo lahko gradimo glede na organiziranost v podjetju, fizične lokacije in podobno. Na DURSU smo npr. uporabnike razdelili po fizičnih lokacijah v posamezne organizacijske enote po davčnih uradih in na tretjem nivoju pod posameznim davčnim uradom še na davčne izpostave. Uporabnike in njihove delovne postaje med seboj v hierarhiji ločimo zaradi izvajanja skupinskih politik, saj se nekatere politike izvajajo nad delovnimi postajami, druge pa so lastne uporabnikom. Omenjeni mehanizem skupinskih politik (Group Policy), skupaj s prijavnimi skripti in možnostjo oddaljene (remote) administracije skrbi za popolno obvladovanje delovnih postaj in uporabnikov v omrežju. Preko skupinskih politik lahko uporabnikom omogočamo in onemogočamo uporabo posameznih funkcionalnosti delovnih postaj, predpisujemo izgled namizja, nameščamo tiskalnike, nastavljamo lastnosti Internet brskalnika in podobno. S prijavnimi skripti dosežemo, da se uporabniku npr. namestijo skupni direktoriji, izvedejo potrebni začetni (zagonski) programi in podobno (Minasi, Anderson, Beveridge, Justice, 2003). Skupaj s strežnikom za avtomatsko posodabljanje z varnostnimi popravki in antivirusnim strežnikom pa preko nastavitev skupinskih politik dosežemo tudi, da so delovne postaje vedno posodobljene tako z najnovejšimi popravki kot tudi z zadnjimi antivirusnimi definicijami.



3.2 Microsoft Exchange Platforma Microsoft Exchange strežniška arhitektura je namenjena sistemu za izmenjavo sporočil v podjetju in s sistemi zunaj njega. Visoka zanesljivost je temelj, da so sporočila varna, vzdrževanje sistema pa je enostavno in poceni. Vgrajene možnosti povezovanja z drugimi sporočilnimi sistemi in posebna orodja za enostaven prehod z drugih sistemov na Exchange zmanjšujejo stroške uvedbe sistema. V osnovi zasnova strežnika Exchange omogoča optimalno uporabo v vseh velikostnih razredih podjetij, od majhnih z 10 zaposlenimi do velikih s čez 100.000 zaposlenimi. Strežnik Exchange je kos tudi največjim poslovnim sistemom. Celoten sistem, zgrajen okoli strežnika Exchange in odjemalca Outlook, je razširljiv tako na strani strežnika kot na strani odjemalca. Uporabniki lahko Outlook prilagodijo svojim potrebam s posebnimi obrazci, predlogami in novimi pogledi na podatke, na strani strežnika pa lahko neodvisni razvijalci programske opreme zlahka dodajajo nove možnosti. Osnovni del strežnika Exchange omogoča temeljne dejavnosti, povezane iz izmenjavo sporočil: prenos, dostava in shranjevanje sporočil, upravljanje map z osrednjega programa za nadzor. Podpora prostorsko neomejenemu shranjevanju sporočil, simetričnemu multiprocesiranju in uporabljeni varnostni mehanizmi predstavljajo osnovo zanesljivega in robustnega sporočilnega sistema. Dodatni deli pa omogočajo povezavo in izmenjavo map med strežnikom Exchange in drugimi sistemi, povezanimi preko interneta, X.400 ali SMTP povezav (Redmond, 2003). Microsoft Exchange je zgrajen z upoštevanjem standardov interneta, kot so SMTP / POP3, IMAP4, HTTP, NNTP in LDAP v.3, ter omogoča izbiro različnih odjemalcev in povezav do drugih sporočilnih sistemov (MS Mail, cc:Mail, Lotus Notes, X.400, IBM OfficeVision/VM in drugih). Skupinsko delo (groupware) je sistem dela, pri katerem več uporabnikov združuje svoje delo pri izdelavi skupnega končnega izdelka. Gre za način dela, ki zahteva sodelovanje vseh v skupini. Za dosego tega pa mora sistem za skupinsko delo vsebovati nekaj podsistemov, da je tako delo sploh mogoče. Skupinsko delo lahko vsebuje podsisteme za posredovanje sporočil, konferenčni sistem, nadzor dokumentov, nadzor pretoka informacij, skupinsko načrtovanje delovnega časa in lokalne kopije podatkov. Take skupinske delovne naloge, kot je sporočanje o napredovanju posameznih projektov, o problemih, ki se pojavljajo in odpravljajo pri projektih, zahtevajo učinkovito in zmogljivo strežniško okolje. Strežnik MS Exchange vsebuje že veliko podsistemov za skupinsko delo in je odlična osnova za dodatne opcije neodvisnih ponudnikov rešitev. V navezi s programi Office in Windows Server System (BackOffice) pa so vsi ti gradniki učinkovitega sistema za skupinsko delo že vsebovani.

Tako je moč na okolju strežnika Microsoft Exchange in odjemalca Microsoft Outlook narediti aplikacije, ki izkoriščajo celotno Microsoft Office programsko opremo ter Visual Basic programski jezik. Aplikacije lahko gradimo s prirejenimi obrazci, kot tudi z VBA (Visual Basic for Aplications) programskim jezikom.



3.2.1 Microsoft Exchange Server 5.5 Exchange 5.5 je tretja generacija Microsoftovega poštnega strežnika. Po verzijah 4.0 in 5.0 je različica 5.5 prinesla precej uporabnih novosti tako za administratorje kot tudi uporabnike. Uporablja MAPI tehnologijo in svojo imeniško bazo uporabnikov, posamezni poštni predali pa so vezani na uporabniške račune v Windows domenskem okolju. Na ta način je zagotovljena podpora LDAP protokolu, ki je tudi osnovni protokol Aktivnega imenika. Prijava uporabnikov v domeno zagotavlja tudi dostop do poštnih predalov, do katerih ima uporabniški račun primerne dostopne pravice. Obstajata dve različici Exchange 5.5 strežnika in sicer Standard in Enterprise različica. Med seboj se razlikujeta po največjih dovoljenih velikostih podatkovnih baz in po podpori povezovalnih konektorjev (v Enterprise različici je podpora X400 že vgrajena). Microsoft je v letu 2004 ustavil tehnično pomoč za MS Exchange 5.5. Exchange 5.5 je uvedel tudi podporo javnim mapam, ki so vidne vsem v podjetju in uvajajo podporo skupinskemu delu. Omogoča gradnjo aplikacij, ki so nameščene na javnih mapah in uporabljajo arhitekturo Exchange in Outlook odjemalca. Aplikacije je moč graditi s prirejenimi Outlook obrazci (Outlook custom forms) in VBScript tehnologijo. Na strani uporabnikov ni potrebno nobenega dodatnega nameščanja aplikacij, saj se obrazci avtomatsko naložijo pri zagonu aplikacije. MS Exchange podpira arhitekturo CDO (Colaboration Data Objects). Z uporabo Outlookove programske knjižnice in VBScripta lahko pišemo procedure, ki reagirajo na določene dogodke, kot so odprtje ali zaprtje elektronskega sporočila oziroma obrazca, in so shranjene v prirejenih obrazcih. MS Exchange 5.5 je prinesel tudi možnost dostopa do elektronske pošte preko Web brskalnika, takoimenovan OWA dostop (Outlook Web Access), kjer uporabniki iz katerekoli delovne postaje v omrežju preko Internet brskalnika dostopajo do svojih poštnih predalov. Dostop lahko zavarujemo z SSL protokolom in digitalnimi certifikati. OWA je možno objaviti tudi izven organizacije in na ta način omogočiti dostop do poštnih predalov uporabnikov iz organizacije od koderkoli po svetu. OWA sicer ponuja omejeno funkcionalnost, vseeno pa zagotavlja dovolj dober način za dostopanje in obvladovanje poštnih sporočil od koderkoli, pomembno je le poskrbeti za varnost. Na strani uporabnikov je dodana podpora arhivskim datotekam (Personal Storage Files – PST) in lastnim privatnim naslovniškim listam. Na ta način lahko uporabniki sami skrbijo za arhiviranje svoje prejete pošte. Skupaj z različico Microsoft Exchange 5.5 je izšel tudi odjemalec Microsoft Outlook 97, ki prinaša podporo skupinskemu delu, MAPI dostopu, javnim mapam in drugem (Todd, 1998).



3.2.2 Microsoft Exchange Server 2003 MS Exchange 2003 je trenutno zadnja produkcijska različica MS Exchange strežniške platforme. Prinaša veliko novosti in prednosti na mnogo področjih, od upravljanja in administracije, pa vse do skalabilnosti (boljša podpora gručam) in novosti na strani uporabnikov. MS Exchange 2003 je prva različica, ki je pripravljena in v popolnosti podprta za delo z MS Windows 2003 strežnikom. Prednosti, ki jih pridobimo pri namestitvi MS Exchange 2003 na MS Windows 2003 se kažejo v boljši uporabi in izkoriščenosti strojne opreme, zmanjšanem replikacijskem prometu preko Aktivnega imenika in izkoriščanju novih funkcionalnosti, kot so podpora senčnim kopijam (Volume Shadow Copy) in takoimenovani »cross–forest« Kerberos avtentikaciji (Redmond, 2003). Skupaj z odjemalcem Microsoft Outlook-om 2003 pa na strani uporabnika prinaša podporo predpomnjenemu načinu delovanja (cache mode), podporo RPC over HTTP, blokiranju neželjenih sporočil in podobno. Ena največjih izboljšav je OWA, ki v novi verziji ponuja skoraj enako funkcionalnost kot MS Outlook 2003. Edina izjema je podpora arhivskim datotekam, ki je v OWA ni. MS Exchange 2003 je tesno navezan na Aktivni imenik, saj pri namestitvi nadgradi shemo Aktivnega imenika in doda svoje atribute. Aktivni imenik podpira samo eno poštno organizacijo, zato je potrebno biti pazljiv pri načrtovanju in planiranju arhitekture poštnega sistema v organizaciji. Vse podatke o organizaciji, strežnikih, konektorjih in uporabnikih črpa iz Aktivnega imenika, ravno tako MS Exchange za vso svojo replikacijo podatkov izkorišča mehanizem Aktivnega imenika. To pomeni, da se replikacija za razliko od prejšnjih verzij izvaja na nivoju atributov, kar občutno zmanjša replikacijski promet na omrežju, saj Aktivni imenik replicira le spremembe in ne celotnih objektov. To je še posebej pomembno pri povezavah do oddaljenih lokacij (WAN), saj na ta način občutno razbremenimo komunikacijske linije. MS Exchange 2003 prinaša tudi podporo mobilnim napravam (Mobile Exchange Services) z ActiveSync tehnologijo. Uporabniki lahko z mobilnih naprav (mobilnih telefonov, dlančnikov...) od koderkoli dostopajo do svojih poštnih predalov. OMA (Outlook Mobile Access) je okrnjena verzija OWA dostopa. Administratorji imajo sedaj možnost nastavljanja restriktivnih distribucijskih list in določanja, kdo lahko določeni distribucijski (poštni) listi pošilja elektronska sporočila in kdo ne. Na strani administratorjev MS Exchange prinaša še izboljšano možnost premikanja poštnih predalov med strežniki, izboljšan pregled nad pošto v vrsti (queue viewer), izboljšan pregled sporočil v obtoku in njihovo spremljanje (Message Tracking Center), dodano je preprečevanje izhodne in vhodne pošte za določene uporabnike ali celotne domene. Izboljšano je iskanje pošte in dostop do javnih map. Dodane pa so tudi za administratorje najpomembnejše novosti, in sicer možnosti povrnitve podatkov. Administratorji sedaj lahko povrnejo bazo podatkov v takoimenovano Recovery skupino, dodan pa je tudi »Mailbox Recovery Center«. Na ta način je v primeru izgube podatkov te moč hitro povrniti za celoten strežnik, bazo, posamezen poštni predal ali celo posamezno poštno sporočilo (McBee, 2003).



3.2.3 Microsoft Outlook 2003 Microsoft Outlook 2003 je del Microsoft Office 2003 oziroma MS Office 2003 System platforme, ki je nov korak v razvoju osnovne zbirke pisarniških programov v celovit in povezan sistem aplikacij in storitev. Zgrajen je na podlagi že znanih orodij, ki so v novi različici še izboljšana in obogatena z novimi zmogljivostmi. Microsoft Office 2003 je zasnovan z namenom povezovanja ljudi in informacij pri reševanju najširših poslovnih problemov. Outlook 2003 je osrednji program zbirke Office. Poleg tega, da je izvrsten odjemalec za delo z elektronsko pošto, je njegova prednost predvsem v tem, da si z njegovo pomočjo enostavno organiziramo informacije in povečamo pregled nad svojimi aktivnostmi. Prinaša spremenjen pogled za prebiranje in urejanje elektronske pošte. Kot del zbirke Microsoft Office je preveden v večino svetovnih jezikov, med drugim tudi v slovenščino. Poleg osnovnega dela z elektronsko pošto prinaša tudi druga področja, namenjena komunikaciji s sodelavci in strankami. Omogoča popoln nadzor nad naslovi, osebno in skupinsko načrtovanje delovnega časa, spremljanje dogodkov, spremljanje osebnih in skupinskih opravil ter seveda natančno vodenje dnevnikov. Vsebuje tudi svoj objektni model in omogoča enostavno gradnjo aplikacij, ki tečejo na platformi MS Exchange in MS Outlook, običajno na javnih mapah organizacije, lahko pa tudi kot samostojne aplikacije znotraj Outlooka. Glavna novost MS Outlooka 2003 v primerjavi s prejšnjimi verzijami je podpora predpomnjenemu načinu dela (cached mode), ki daje uporabnikom možnost dostopa do informacij poštnega strežnika Exchange 2003 iz lokalnega predpomnilnika oziroma *.ost datotek. Exchange strežnik zagotavlja, da je *.ost datoteka na lokalni delovni postaji ves čas aktivne povezave sinhronizirana in vsebuje najnovejše podatke. V primeru izpada omrežne povezave uporabnik lahko nemoteno dostopa do podatkov, ki so shranjeni v lokalni *.ost datoteki, bere elektronska sporočila, jih piše in celo pošilja. Takoj ko se spet vzpostavi aktivna povezava z omrežjem, se izvrši sinhronizacija s strežnikom in uporabniku so na voljo aktualni podatki. Omrežnega prometa je na ta način manj, ravno tako ni več nadležnega obveščanja uporabnikov, da je bila povezava s strežnikom prekinjena, ni pa tudi nepričakovanih izgub podatkov. Ta način nam zelo pomaga pri načrtovanju arhitekture pri nadgradnji sistema (Redmond, 2003). Druga možnost oziroma novost MS Outlooka 2003 je v funkcionalnosti povezave RPC over HTTP. Uporabniki MS Outlooka 2003 se lahko povežejo s strežnikom MS Exchange 2003 znotraj organizacijskega omrežja preko Interneta. Ves RPC promet se preusmeri preko porta 80 na MS Exchange 2003. Podpora tovrstnemu načinu delovanja je samo v popolnem Windows 2003 načinu delovanja Aktivnega imenika in MS Exchange 2003 strežnika. Na varnostnem področju MS Outlook 2003 lahko uporablja Kerberos avtentikacijo pri povezavi z MS Exchange 2003 strežnikom. MS Exchange 2003 uporablja Kerberos, kadar pošilja uporabnikove prijavne podatke med FrontEnd in BackEnd strežniki za razliko od prejšnjih verzij, ki so uporabljale Basic avtentikacijo.



4 OBSTOJEČE STANJE SPOROČILNEGA SISTEMA DURS Trenutna verzija sporočilnega sistema, ki je v uporabi na DURS-u je MS Exchange strežnik 5.5. DURS je na MS Exchange 5.5 prešel v letu 2000 v sklopu vzpostavitve enotnega Windows okolja z Windows NT 4.0 domeno. Uporabnike smo preselili iz poštnega sistema CCMail. V letu 2002 smo domeno, ki je temeljila na Windows NT 4.0, nadgradili na Windows 2000 in Aktivni imenik. V Aktivnem imeniku smo kreirali organizacijske enote (Organizational Units) in ločili uporabnike ter delovne postaje. MS Exchange 5.5 arhitektura je ostala nespremenjena. V letu 2004 je DURS prešel na novo verzijo Windows 2003 Aktivnega imenika in s tem izpolnil pogoje za pripravo projekta nadgradnje sporočilnega sistema na MS Exchange 2003. 4.1 Posnetek stanja 4.1.1 DURS in Aktivni imenik Aktivni imenik v svoji arhitekturi uporablja strukture, kot so: domena, drevo, gozd, relacijske povezave, organizacijske enote in podobno. Hierarhično shranjuje informacije o omrežnih objektih, podatki pa so na voljo administratorjem, uporabnikom in aplikacijam. Iskanje objektov (uporabnikov, delovnih postaj, tiskalnikov...) je enostavno in optimizirano z globalnim katalogom podatkov o atributih vseh objektov v Aktivnem imeniku (Global Catalog - GC). Na DURS-u smo pri projektu nadgradnje s strežniško operacijskega sistema Windows NT 4.0 na Windows 2000 definirali arhitekturo Aktivnega imenika, in sicer tako, da je v uporabi en sam gozd in drevo imenika, imenik pa je razdeljen na več Organizacijskih enot (Organization Units), kjer smo razdelili uporabnike in delovne postaje. Sistem skupinskih politik (Group Policy) namreč omogoča izvajanje skupinskih politik posebej za uporabnike in delovne postaje in ga je moč pripenjati samo na organizacijske enote. Uporabnike in njihove delovne postaje smo delili po fizični hierarhiji, glede na davčni urad in v nižjih nivojih na davčne izpostave. Našim lokalnim administratorjem (vodje oddelkov za informatiko na posameznih davčnih uradih) smo delegirali pravice kreiranja, brisanja in modificiranja uporabnikov za njihove organizacijske enote. Dodeljene pa so jim bile tudi pravice kreiranja varnostnih skupin (Security Groups) in dodajanja delovnih postaj v durs.si domeno. Tako ima npr. lokalni informatik z Davčnega urada Kranj pravico upravljati samo z organizacijsko enoto OU DURS Users – DURS-KR. Organiziranost Aktivnega imenika in DURS hierarhijo prikazujeta sliki 2 in 3.



Slika 2 – AD in DURS Users Slika 3 – AD in DURS Computers 4.1.2 DURS in MS Exchange 5.5 Arhitektura poštnega sistema MS Exchange 5.5 je bila načrtovana in implementirana leta 2000. Na lokaciji Glavnega davčnega urada je bil nameščen prvi MS Exchange 5.5 strežnik, ki je bil z IMC (Internet Mail Conector) povezan na internet. Nameščena je bila MS Exchange 5.5 Standard različica z dodano X400 povezavo. Po namestitvi na Generalnem davčnem uradu je bila vzpostavljena Exchange poštna organizacija in prva organizacijska enota (site). Na vsaki lokaciji Davčnega urada smo nato namestili Exchange 5.5 strežnik. Tako smo dobili 16 organizacijskih enot (slika 2) :

• DURS-GU (Generalni Davčni urad) • DURS-MB (Davčni urad Maribor) • DURS-LJ (Davčni urad Ljubljana) • DURS-BR (Davčni urad Brežice) • DURS-CE(Davčni urad Celje) • DURS-HR(Davčni urad Hrastnik) • DURS-KP(Davčni urad Koper) • DURS-KR(Davčni urad Kranj) • DURS-KV(Davčni urad Kočevje) • DURS-MS(Davčni urad Murska Sobota) • DURS-NG(Davčni urad Nova Gorica) • DURS-NM(Davčni urad Novo Mesto) • DURS-PO(Davčni urad Postojna) • DURS-PT(Davčni urad Ptuj) • DURS-VE(Davčni urad Velenje) • DURS-PU(Posebni Davčni urad )



Slika 4 – DURS Exchange 5.5 organizacija

Kasneje smo pri nadgradnji domene z Windows NT 4.0 na Windows 2000 /2003 na davčne urade dodali še dodatne strežnike, ki opravljajo vlogo domenskih strežnikov, istočasno pa so tudi DNS in DHCP strežniki. Na vsaki lokaciji imamo tako za potrebe sporočilnega sistema domenski strežnik (DC in Aktivni imenik), ki skrbi za prijavo in avtentikacijo uporabnikov ter poštni strežnik, kjer je nameščen Exchange 5.5. Na vsakem Exchange 5.5 strežniku na posameznem davčnem uradu so kreirani poštni predali uporabnikov z urada ter njihovih pripadajočih izpostav. Vsak strežnik je preko imeniške povezave (Directory Connector) in X400 povezave povezan s strežnikom na Glavnem davčnem uradu, ta pa je z Internet povezavo (Internet Mail Connector) povezan na internet. Na ta način se vsa internetna elektronska pošta, dohodna in odhodna, pretaka preko lokacije generalnega urada. Vsak poštni strežnik se lokalno varuje. Dnevno se arhivira Exchange podatkovna baza. Na vsakem strežniku je nameščena tudi antivirusna programska oprema. Dostopne pravice za administracijo sistema imata samo glavna administratorja z Generalnega davčnega urada.



4.2 Kritična analiza Hitra rast uporabe elektronske pošte nam predpisuje sporočilni sistem organizacije kot enega ključnih (mission-critical) sistemov. To je razlog, da organizacije stremijo k čim večji zanesljivosti in razpoložljivosti poštnih sistemov. Poleg tega je močno v porastu mobilna tehnologija, uporabniki lahko do svojih predalov in elektronske pošte dostopajo tudi preko mobilnih naprav. Novi sistemi in tehnologije nam omogočajo tovrstno podporo. Obstoječa arhitektura sporočilnega sistema je zastarela in je potrebna nadgradnje in konsolidacije. Sistem ne omogoča vseh novih tehnoloških in komunikacijskih možnosti, ki jih prinašata Aktivni imenik in Windows 2000 /2003. Na prvem mestu je konsolidacija strežnikov. Na omrežju je 16 Exchange 5.5 strežnikov, ki so že stari, stroški njihovega vzdrževanja pa naraščajo. Strežnike bi bilo potrebno konsolidirati in poštne predale preseliti na enoten sistem na centralni lokaciji Glavnega davčnega urada in na sistem 3 strežnikov v gruči. Administracija sporočilnega sistema se v obstoječem sistemu vrši na dveh lokacija, in sicer se uporabnike iz Aktivnega imenika administrira preko administracijske konzole ADUC (Active Directory Users and Computers), poštne predale uporabnikov pa preko Exchange 5.5 administracijske konzole. V obstoječem stanju, ko še ni narejena razširitev sheme in vzpostavljena replikacija med Aktivnim imenikom in Exchange 5.5 uporabniki, tudi ni Exchange atributov v ADUC konzoli. Exchange baze so razpršene po 16 lokacijah po Sloveniji in tako se tudi vrši varovanje podatkov. Baze se dnevno arhivirajo na lokalne DLT enote. Ker administracija Exchange 5.5 strežnikov v celoti poteka s centralne lokacije, je reševanje v primeru težav strežnika lahko tudi problematično in zahteva prisotnost lokalnega informatika na lokaciji, ki sodeluje z administratorjem s centralne lokacije. Poleg tega ti strežniki ne omogočajo uporabe senčnih tehnologij (Volume Shadow Services). Na uporabniški strani ni v uporabi Web dostop do poštnih predalov, slaba je možnost filtriranja pošte po vsebini in blokiranju neželjenih domen ali pošiljateljev. V novih verzijah pa je tudi precej bolj podprto delo, ko nismo priključeni na omrežje, takoimenovani »off-line« način, in sinhronizacija poštnih predalov (Interno gradivo DURS, 2005).



5 PREDLOG NADGRADNJE SISTEMA 5.1 Zahteve in cilji Rešitev predvideva nadgradnjo in konsolidacijo strežnikov obstoječega sistema na sistem 3 strežnikov v gruči (3 node cluster) na centralni lokaciji Generalnega davčnega urada v Ljubljani. V ta namen je v rešitvi predvidena nova strojna in programska oprema. Potrebno je pripraviti javni razpis za nabavo opreme, definirati postopke dela, projektne ekipe in izvesti nadgradnjo. Poslovne zahteve organizacije pri tako zahtevni nadgradnji so združene v več točkah in sicer :

• Service Level Agreement (SLA) • omrežna in strojna oprema • programska oprema

Service Level Agreement za Exchange predpisuje zahteve okoli podatkovnih baz, gruč, varovanja podatkov in podobno. Po priporočilih Microsofta (Microsoft Support, 2005) in MSExchange.org (MSExchange.org, 2003), predpisuje pričakovanja organizacije v zvezi z razpoložljivostjo in varnostjo sistemov in vsemi postopki okoli povrnitve podatkov v primeru izgube. Vsebuje pričakovane čase razpoložljivosti sistema (server uptime), dostavo elektronske pošte (message delivery), velikost poštnih predalov uporabnikov, potrebne čase za povrnitev podatkov in planirane čase zaustavitve sistema (sistem downtime). Glede na pričakovane zahteve in SLA organizacije je potrebno predvideti nivo podvojenih sredstev (fault – tolerant) pri strojni in programski opremi. Sistem Windows 2003 in Exchange 2003 prinaša obilico sprememb, ki vplivajo na definiranje našega SLA. Obremenjenost strežnikov in velikost poštnih predalov sta pogojevala število strežnikov in število uporabnikov na posameznem strežniku. Temu je prilagojen tudi čas arhiviranja in varovanja podatkov. Exchange 2003 vsebuje mehanizem senčnih kopij (Volume Shadow Services), ki podatke zapiše v senčne kopije na strojno opremo (diskovno polje), ki to podpira, kar pospeši povrnitev podatkov in s tem se skrajša čas predviden v SLA zahtevah. Omrežna in strojna oprema sta pomemben faktor pri nadgradnji sistema. Preslabo definirana prepustnost omrežja ali slaba strojna oprema občutno vplivata na uspešnost projekta. Ker stremimo k znižanju stroškov ter konsolidaciji in zmanjševanju števila strežnikov na omrežju, je potrebno predvideti centralizirano lokacijo z dovolj zmogljivo strojno opremo. MS Exchange 2003 arhitektura omogoča manj drobljenja hitrega pomnilnika, kar pomeni, da z zmogljivo strojno opremo in močnimi procesorji lahko dosežemo precej večje število uporabnikov na posameznem strežniku kot prej. Z uvedbo odjemalca MS Outlook 2003 in njegovo možnostjo delovanja v predpomnjenem (cache) načinu ter uporabo naprednih možnosti, kot so RPC over HTTP na strani strežnika, pa lahko občutno razbremenimo omrežni promet in povečamo odzivnost.



Programska oprema vsebuje nadgradnjo na strani uporabnikov (MS Office 2003) in na strani strežniške opreme, saj za namestitev gruče (cluster) potrebujemo enterprise različice MS Windows 2003 in MS Exchange 2003. Definirati moramo tudi zahteve okoli administracije sistema, kar lahko dodatno vpliva na način in načrtovanje nove arhitekture sporočilnega sistema. Zniževanje stroškov nam narekuje prehod z distribuiranega sistema, ki je trenutno v uporabi na DURS-u, na enoten centraliziran sistem. To pomeni, da manjše število administratorjev skrbi za celoten poštni sistem, implementiramo manjše število ali pa sploh samo eno organizacijsko enoto v poštni arhitekturi (administrative and routing groups) in na ta način izvedemo konsolidacijo strojne in programske opreme. Pri načrtovanju moramo upoštevati tudi zahteve uporabnikov,

• Oddaljen dostop - uporabniki oddaljenih lokacij s slabo omrežno povezavo dostopajo do centralnega strežnika na lokaciji Generalnega Davčnega urada. Mehanizem MS Exchange 2003 v kombinaciji z MS Outlook 2003 in predpomnjenem načinom dela nam pri tem občutno pomagajo.

• Web dostop – uporabniki lahko dostopajo do svojih poštnih predalov in elektronskih sporočil preko Internet brskalnika in Outlook Web Access-a (OWA).

• Mobilni dostop – uporabnikom je dana možnost dostopanja preko mobilnih naprav (telefonov, dlančnikov ...).

Ključnega pomena pri načrtovanju novega sistema je tudi količina podatkov, ki se dnevno prenašajo preko sistema elektronske pošte. Pri tem je potrebno preveriti tako prepustnost omrežja (bandwith) kot tudi odzivnost oziroma čas dostave poštnih sporočil (latency). Oba faktorja določata velikost podatkov, poslanih v določenem času preko omrežja. Potrebno je upoštevati trenutno obremenjenost in odzivnost omrežja z vseh kotov gledanja, tako uporabo aplikacij, ki tečejo na poštno sporočilnem sistemu, kot tudi uporabo sporočilnega sistema za izmenjavo elektronskih sporočil s strani uporabnikov (McBee, 2003). MS Exchange 2003 spreminja način delovanja in repliciranja podatkov glede na MS Exchange 5.5 in se v celoti navezuje na Aktivni imenik. Potrebno je predvideti spremembe glede poštnih distribucijskih skupin, imenika uporabnikov in podobno. Pri konsolidaciji strojne opreme in nadgradnji v nov sistem se poleg zmanjševanja strojne opreme na omrežju, zmanjša tudi število organizacijskih enot. Med MS Exchange 2003 in gozdom Aktivnega imenika se vzpostavi relacija ena – ena (one-to-one), zato lahko Aktivni imenik gosti samo eno Exchange organizacijo. Pri končnih ciljih nadgradnje oziroma migracije je potrebno upoštevati še način administracije sistema. MS Exchange preko sistema Aktivnega imenika omogoča delegiranje pravic uporabnikom oziroma skupinam, definiranim v Aktivnem imeniku. Definirati moramo uporabnike in njihove pravice okoli administracije Exchange sistema (kreiranje in brisanje poštnih predalov, nastavljanje pravic nad poštnimi predali itd.).



Končne cilje projekta lahko strnemo v ključne točke:

• Centralizacija strojne opreme na centralni lokaciji Generalnega davčnega urada in ukinjanje Exchange 5.5 strežnikov na oddaljenih lokacijah naših davčnih uradov. Komunikacija med odjemalci in strežnikom je kompresirana in omrežni promet je občutno manjši. Kombinacija MS Exchange in MS Outlook 2003 v predpomnjenem načinu nam pomaga pri izvedbi konsolidacije strojne opreme in zmanjševanju organizacijskih enot (site-ov) na omrežju.

• Konsolidacija strežnikov in ukinjanje strežnikov na oddaljenih lokacijah, zmanjševanje stroškov vzdrževanja teh strežnikov nas vodita v implementacijo centralnega sistema z visoko razpoložljivostjo in odzivnostjo, veliko procesorsko močjo in pridobitev strežnikov povezanih v gručo in skupno, zanesljivo diskovno polje.

• Centralizirana administracija novega sporočilnega sistema omogoča delegiranje pravic nad posameznimi objekti v Aktivnem imeniku našim lokalnim administratorjem.

• Exchange 2003 v naravnem načinu (native mode) delovanja, z vso spremljajočo infrastrukturo (MOM2005, MimeSweeper 5.1, arhiviranje in varovanje, gruča itd.) je končni cilj projekta. S prehodom v naravni način pridobimo še nekaj dodatnih funkcionalnosti v upravljanju in administriranju uporabnikov in njihove elektronske pošte.

Končni cilj in stanje sporočilnega sistema Davčne uprave Republike Slovenije bo temeljil na Aktivnem imeniku Windows 2003 , MS Exchange 2003 v sistemu FrontEnd – BackEnd strežnikov, pri čemer bodo zaledni (BackEnd) strežniki, na katerih se nahajajo poštni predali naših uporabnikov, nameščeni v gruči (3 node cluster). Sporočila bodo varovana z antivirusno programsko opremo in preverjana pred neželjenimi sporočili na strežnikih v prihodu in odhodu (MimeSweeper). Definirane zahteve v Service Level Agreement (SLA) nam bodo omogočale visoko razpoložljivost in odzivnost ter hitro povrnitev podatkov v primeru izgube. Na strani uporabnikov bo vsa programska oprema odjemalcev elektronske pošte MS Outlook 2003. Uporabnikom bo znotraj DURS organizacije omogočen dostop preko Internet brskalnika, preko Outlook Web Accessa, podprta pa bo tudi uporaba mobilnih naprav. Skupaj s strežnikom MS Operations Manager 2005 bo omogočen aktivni nadzor nad delovanjem sistema, obveščanje administratorjev, izdelava poročil in podobno. Sistem bo deloval proaktivno, kar pomeni, da bo na nepredvidljive dogodke znal primerno odreagirati in odpraviti eventualno napako. Neodvisno od migracije sporočilnega sistema bo potekala tudi nadgradnja omrežnih linij med lokacijami naših davčnih izpostav in uradov. S tem bo omogočena večja prepustnost omrežja in boljši odzivni čas na strani odjemalcev oziroma naših uporabnikov (Interno gradivo DURS, 2005).



5.2 Metodologija dela Prav gotovo je želja vseh organizacij, da za upravljanje storitev IT uporabi izkušnje drugih podobnih organizacij in ne odkriva že odkritega ter ponavlja napak, ki so jih storili drugi. Tako je bilo v svetu v zadnjih letih razvitih kar nekaj ogrodij in priporočil na to temo, ki temeljijo na izkušnjah (“best practice”). ITIL – Information Technology Infrastructure Library je primer takega ogrodja, ki je bilo razvito v 80 letih prejšnjega stoletja s strani angleške vladne organizacije OGC - Office of Government Commerce (neodvisno od dobaviteljev IT), in je postalo “de facto” standard na tem področju, saj ga je v preteklosti uporabilo največ organizacij in na njem temeljijo priporočila vseh večjih dobaviteljev IT rešitev, kot so Microsoft, HP, IBM, Sun Microsystems in drugi. Bistvena razlika med ITIL in priporočili dobaviteljev IT (na primer MOF – Microsoft Operations Framework) je v globini – dobavitelji so tako povzeli splošna priporočila ITIL in dodali:

• konkretna priporočila za upravljanje svojih izdelkov, • priporočila za upravljanje konkretnih storitev, ki jih njihovi izdelki

zagotavljajo, • integracijo s svojimi priporočili glede same uvedbe novih storitev,

Vsa ogrodja dobaviteljev pa temeljijo na ITIL, kar zagotavlja, da so si med seboj komplementarna in ne nasprotujoča. Pri upravljanju storitev IT gre za tri bistvena področja: tehnologijo, procese in ljudi. Uporabili bomo splošna priporočila ITIL in konkretna priporočila, procese in orodja Microsofta ter orodja drugih proizvajalcev. Cilj projekta je pregled in izboljšava obstoječih procesov ter uvedba potrebnih novih procesov v skladu s priporočili ITIL in MOF ter izkušnjami drugih podobnih organizacij, na katerih temeljijo priporočila v ogrodjih ITIL in MOF. Glede na to da gre za Microsoftovo programsko opremo, bo izvajanje projekta potekalo po Microsoftovih priporočilih za upravljanje storitev v IT. 5.2.1 Microsoft in upravljanje storitev IT Microsoft Solutions for Managemenet V okviru in pod imenom Microsoft Solutions for Management (MSM) so združena tako orodja, tehnologije, ogrodja in priporočila ter rešitve, ki organizacijam pomagajo doseči odličnost skozi večjo kvaliteto, zanesljivost, razpoložljivost in varnost storitev ter zmanjševanje skupnih stroškov lastništva za Windows okolja. MSM tako pomaga organizacijam učinkovito upravljati kompleksna IT okolja. Microsoft Operations Framework – MOF MOF je zgrajen okrog treh področij – modelov: • procesni model (Process Model), • skupinski model (Team Model), • model tveganj (Risk Model).



Skozi ta področja podaja MOF usmeritve glede procesov, ljudi in upravljanja s tveganji pri IT storitvah. Vsako področje je zgrajeno na izkušnjah, dokazano na delujočih primerih in tehnologijah, ki so nam lahko v pomoč pri implementaciji. Z vsakim posameznim področjem in njihovo kombinacijo pa dosežemo večjo razpoložljivost, zanesljivost IT sistemov, prav tako pa dobimo navodila za vzdrževanje in upravljanje (Unkroth, Molony, Cherny, Reid, English, 2005). Microsoft Authorised Premier Support (MAPS) Zaradi pomoči pri strateških odločitvah in vedno večje kompleksnosti informacijskega sistema, ki vse bolj sloni na MS tehnologijah, smo se na Davčni upravi odločili za podpis MAPS pogodbe. Ta nam prinaša pomoč pri izvedbi kompleksnih projektov, razvoju na osnovi Microsoftovih tehnologij in nam nudi tudi najvišji nivo tehnične podpore. Microsoft Authorised Premier Support (MAPS) zagotavlja prednostni partnerski odnos z Microsoftom in pooblaščenim podpornim centrom, potrebnim za vzdrževanje vrhunske učinkovitosti sistemov v poslovnih okoljih. MAPS pogodba se ne podpisuje neposredno z Microsoftom, pač pa preko Microsoftovih poslovnih partnerjev. Pogodba prinaša partnerstvo skozi celoten življenjski IT cikel, skratka skrb za stranko, tehnično podporo, proaktive servise in informacijske servise. V pogodbi so definirani glavni udeleženci in sicer Microsoft Technical Account Manager (TAM), Premier Support Manager (PSM), Premier Support Professionals, Remote Response Proffesionals, Customer Support Manager (CSM) itd... Pogodba predvideva, da TAM in CSM skupaj zgradita takoimenovani Service Delivery Plan, ki vsebuje stanje o sedanjem in prihodnjem stanju IT v Davčni upravi, načrte in prioritete. TAM skupaj s tehničnim osebjem Davčne uprave zbira informacije o tem, kako se uporabljajo Microsoftovi produkti, pomaga pri dokumentiranju IT okolja in pomaga Premier podpori pri hitrejšem razumevanju okolja, kar zagotavlja hitrejše reševanje in odpravljanje težav. Pogodba zelo podrobno definira reaktivno podporo, število podpornih incidentov, 24x7 dosegljivost, definirane odzivne čase, eskalacijske poti, število delavnic, strežniških incidentov itd... Natančno so opredeljeni takoimenovani »incidenti« (Hud tehničen problem naročnika, ki mora biti rešen najkasneje v 2 urah), »Server incidenti« (Problemi rešeni tekom dneva) itd.. Določene incidente, če v tekočem letu niso bili porabljeni, je možno prenesti v naslednje leto. Pri naročniku (DURS) obstaja več skrbnikov pogodbe, ki so zaposleni v različnih oddelkih v Sektorju za informatiko. Vsak od njih skrbi za naročanje in kontrolo storitev iz pogodbe. Vsak od njih interno vodi podatke, ki jih pošilja koordinatorju MAPS pogodbe na strani naročnika, ta pa vodi vse podatke o porabljenih sredstvih. Podatki se vodijo v Excel datoteki, ki se občasno ažurira.



5.3 Organizacija dela na projektu Projekt nadgradnje sistema bomo vodili po priporočilih Microsoft Operations Frameworka. MOF zagotavlja fleksibilne in skalabilne rešitve za uspešno vodenje projektov in zagotavljanje informacijskih rešitev. Ker bo na projektu sodelovala tudi ekipa zunanjih izvajalcev, je dogovor o načinu vodenja projekta, postopkov in projektne dokumentacije nujen. Glede na priporočila MOF in ljudi, udeleženih v procesu, je potrebno definirati projektno ekipo. 5.3.1 Javni razpis – izbor ponudnika DURS je kot organ v sestavi Ministrstva za finance del vladnih služb in kot tak v popolnosti zavezan postopkom in zakonom, predpisanim za delo v državni upravi. To še posebej velja za javna naročila. Zakon o javnih naročilih (ZJN-1) določa obvezna ravnanja naročnikov in ponudnikov pri oddaji javnih naročil za nabavo blaga, oddajo gradenj in naročanje storitev. To pomeni, da je potrebno vsako blago, storitev ali gradnjo pridobiti preko javnih razpisov. V osnovi veljajo trije postopki naročanja, in sicer odprti postopek, omejeni postopek in postopek s pogajanji. Odprti postopek oddaje javnega naročila je postopek, pri katerem lahko vsi ki imajo interes pridobiti javno naročilo, predložijo svoje ponudbe, pripravljene skladno z vnaprej določenimi zahtevami naročnika, določenimi v razpisni dokumentaciji. Omejeni postopek oddaje javnega naročila je postopek, v katerem naročnik v prvi fazi prizna usposobljenost ponudnikom na podlagi vnaprej določenih pogojev in v drugi fazi povabi k oddaji ponudb vse kandidate, ki jim je priznal sposobnost. Omejeni postopek lahko naročnik (DURS) uporabi samo v primeru, ko je predmet javnega naročanja blago, storitev ali gradnja, ki jo glede na tehnično, kadrovsko in finančno sposobnost lahko izvede le manjše število ponudnikov. Postopek s pogajanji naročnik lahko izda, če v odprtem ali omejenem postopku ne pridobi nobene ponudbe ali pa so ponudbe neprimerne, ter pod pogojem, da se prvotno določeni elementi razpisne dokumentacije bistveno ne spremenijo. Naročnik mora v prvi fazi razpisno dokumentacijo oblikovati tako, da je v drugi fazi za izbiro ponudbe edino merilo cena. Projekt se bo pri pripravi javnega razpisa pravzaprav začel. Za potrebe nadgradnje in nakupa nove strojne opreme se pripravi javno naročilo, predlog podpiše direktor(ica), nato se formira komisija, ki razpis pripravi. Komisija je sestavljena iz različnih profilov, potrebno je namreč pripraviti ustrezno razpisno dokumentacijo, ki mora biti tehnično in pravno formalno pravilna. Zato so v komisiji ljudje iz oddelka za javna naročila in strokovnjaki s tehničnega področja. Vir: http://uu1.ijs.si/nabava/ZJN-1_zakon_o_javnih_narocilih.htm



5.3.2 Projektne ekipe Pri zagonu projekta se na prvem projektnem sestanku kreira ekipa ki dela na projektu. Ljudi, ki bodo sodelovali v projektu, določi vodja sektorja na predlog vodje oddelka. Sodelujoči v projektu dobijo odločbo z dovoljenjem in podpisom direktorja. V projektnem timu sodelujejo tudi zunanji izvajalci, s katerimi podpišemo pogodbo o sodelovanju. Člani projektnega tima imajo vsak svojo vlogo in pristojnosti. Določimo

• vodjo projekta, ki:

o pripravi »Projektno definicijo«;

o je odgovoren za pripravo in vzdrževanje načrta projekta, dobav ter zagotavljanja in nadzor kakovosti;

o pripravi in predstavi poročila o napredovanju projekta projektnemu timu;

o vsakodnevno vodi projektno delo in usklajuje dela na projektu;

o zagotavlja ustrezna dokumentiranja;

• tehničnega vodjo, ki:

o pomaga vodji projekta usklajevati dobave in vpeljavo dobavljenih izdelkov in storitev izvajalca;

o odgovoren je za programske spremembe in pripravo na spremembe ter nadzor nad njimi;

o odgovoren za izdajo in potrditev tehnične dokumentacije, določanje osnove projekta;

o pripravi tehnično dokumentacijo (arhitektura, zasnova rešitve);

• programskega vodjo

• tester

• varnostnega inženirja.

Ker bodo v projektnem timu sodelovali predstavniki dveh ali več organizacij, se te vloge porazdelijo glede na namembnost, oziroma področja, ki jih posamezni sodelujoči pokrivajo. Tako bo npr. projektni vodja naš zaposlen član, programski vodja pa zunanji sodelavec. Če bo v projektu izvajalec sodeloval tudi s podizvajalci, bo potrebno definirati tudi njihove medsebojne odnose; in sicer se določi, kdo je zadolžen za tehnično svetovanje, svetovanje s področja varnosti, sistemski in komunikacijski inženiring, strojno opremo, poslovno analizo in podobno. Poleg že opisanih procesov projektne organizacije s sestanki projektnih timov in komunikacije med naročnikom in izvajalcem na nivoju projektnih vodij, je na projektu načrtovano tudi začasno vključevanje osebja naročnika v projektno ekipo izvajalca.



Projektne vloge dodelimo na uvodnem projektnem sestanku. Na tem se tudi dogovorimo o poteku dela, definiramo terminske plane in način vodenja dokumentacije. Definira se tudi »krovni dokument«, organizacijski načrt, ki je namenjen temu, da se podrobno določi vloge v projektu in odnosi med njimi. Posebej podrobno je določeno, kakšne so naloge, ki pripadajo vlogam, in pristojnosti vsake vloge. Tim se dogovori za redne tedenske ali 14-dnevne sestanke, običajno na naši lokaciji, na katerih se bo vodil zapisnik in se bodo reševali tekoči problemi. Določili se bodo cilji in časovni okviri projekta, definirala Analiza tveganj (risk management), postavile pa se bodo tudi časovne točke izvedbe projekta (time stamp točke). Pristojnosti in odgovornosti posameznih ljudi oziroma skupin na projektu definira organizacijski načrt projekta. Vse konflikte in probleme rešuje projektni vodja. 5.3.3 Projektna dokumentacija V računalniški industriji so sistemi za vodenje in upravljanje dokumentacije že uveljavljen način poslovanja, vseeno pa lahko vsak naročnik pa tudi izvajalec elektronske dokumente prilagaja svojim potrebam in načinu dela. Dokumentacija, pa tudi vsa korespondenca med strankama, vsi delovni nalogi, naročila in zahtevki so objavljeni na »skupni« spletni strani, do katere imajo dostop vsi sodelujoči v projektu nadgradnje sistema. Rešitev, ki je v uporabi na Davčni upravi RS, vsebuje programsko opremo Microsoft SharePoint Portal Server 2003 (SPS 2003), ki je primeren za tovrstni način vodenja dokumentacije in vseh podatkov o projektu. Do SPPS imajo dostop vsi, ki sodelujejo na projektu, in sicer vsak samo do področja, do katerega je v projektnem planu določeno, da mora imeti pravice. Dokumenti so vedno opremljeni s signirnimi oznakami, statusi in verzijami in se objavljajo na portalu. Sistem je pregleden in vsa dokumentacija je vedno na voljo od koderkoli, saj je odjemalec za dostop do SPPS kar navaden internet brskalnik. Uporabniki morajo za dostop sicer izpolnjevati določene varnostne pogoje in sicer morajo imeti digitalni certifikat , uporabniško ime in geslo, dostop pa je na IP naslove varovan tudi na našem požarnem zidu, saj do dokumentacije na SPPS dostopajo izvajalci z vsemi svojimi podizvajalci.



5.4 Arhitektura rešitve Krovni dokument projekta vsebuje predlagano rešitev in sicer arhitekturo rešitve, ki jo prikazuje slika 5. Le ta sicer prikazuje vmesno fazo rešitve, takoimenovani mešani način delovanja (mix mode), z vsemi gradniki (Exchange 5.5 organizacija, ADC, Site Replication Server), ki jih v končni verziji po končanem projektu ne bo več.

Slika 5 – Arhitektura rešitve (vmesna faza)

Vsa pošta, ki je namenjena uporabnikom iz naše organizacije, se bo preko centralnega stičišča elektronske pošte na Centru vlade za informatiko (mailhub) preusmerila na požarni zid DURS-a. Ta poštni promet se preusmeri na strežnika za preverjanje proti neželjenim elektronskih poštnim sporočilom, sporočila se še antivirusno preverijo, sprovedejo pa se tudi politike preverjanja poštnih sporočil po vsebini. Predvideno je tudi, da bi se po vzpostavitvi sistema dodala še rešitev arhiviranja poštnih sporočil na druge diskovne sisteme (Centera, Clarion). Na teh strežnikih je predvidena programska oprema ClearSwift MIMESweeper for SMTP 5.1, ki ravno tako omogoča deljenje varnostnih politik v načinu NLB (Network Load Balancing). Na ta način se bodo elektronska sporočila enakomerno porazdelila po obeh strežnikih, v primeru izpada enega od njih, pa se bodo sporočila avtomatično preusmerila na drug (delujoči) strežnik.



Preverjena sporočila se bodo nato preusmerila na virtualni strežnik NLB - FrontEnd (Network Load Balancing), ki ima v ozadju 2 strežnika MS Exchange 2003. Na teh strežnikih je nameščena OWA (Outlook Web Access), ki omogoča dostop do poštnih sporočil preko Weba iziroma Internet brskalnika. Na teh dveh strežnikih je možno še dodatno kontrolirati poštni promet. Tu nastavimo osnovne velikostne limite, možno pa je tudi filtrirati pošto po pošiljateljih in poštnih domenah. Na SMTP povezavi, ki ima privzeta (bridgehead) oba FrontEnd strežnika, lahko nastavimo največjo velikost prejetega in poslanega poštnega sporočila. Mehanizem FrontEnd strežnikov bo nato sporočila preusmeril na strežnike v ozadju oziroma gruči, takoimenovane BackEnd strežnike, na katerih so kreirane baze s poštnimi predali naših uporabnikov. V vmesnem načinu delovanja (mix mode) se bodo sporočila, namenjena uporabnikom, ki imajo svoje poštne račune kreirane še na starih MS Exchange 5.5 strežnikih, preko glavnega MS Exchange 5.5 strežnika na Glavnem davčnem uradu in X400 protokola, preusmerila na strežnik, kjer je kreiran naslovnikov poštni predal. Za nemoten pretok poštnih sporočil v času nadgradnje sistema bo potrebno vzpostaviti še replikacijo med Aktivnim imenikom, MS Exchange 5.5 uporabniki in organizacijskimi enotami. V ta namen sta predvidena na omrežju še 2 strežnika in sicer strežnik z nameščenim ADC (Active Directory Connector), ki po nadgraditvi sheme poveže uporabnike iz MS Exchange 5.5 strežnikov z Exchange atributi v Aktivnem imeniku in drugi SRS (Site Replication Server), ki vzdržuje v vmesnem mešanem (mix mode) načinu delovanja povezavo med Exchange 2003 in Exchange 5.5 organizacijo. Razlog, da imamo SRS nameščen na svojem strežniku, je v tem, da ta servis ni podprt na sistemu strežnikov v gruči, zato bomo v ta namen v prehodnem (mešanem) obdobju servis poganjali na samostojnem strežniku. Oba strežnika (ADC in SRS) bomo po končani kompletni nadgradnji in preselitvi ugasnili, saj ne bosta več potrebna. V celotni rešitvi nadgradnje nastopajo torej naslednji gradniki:

• 2 strežnika za preverjanje pošte v prihodu in odhodu z in na internet, proti neželjenim sporočilom, preverjanju po vsebini, antivirusno programsko opremo in opremo za arhiviranje s programsko opremo proizvajalca Clearswift – MIMEsweeper SMTP 5.1;

• 2 strežnika v MS Exchange 2003 FrontEnd načinu in virtualnem NLB (Network Load Balancing) strežniku, ki služita namenu Web dostopa do uporabniških poštnih predalov. Povezava poteka po SSL (Secure Socket Layer) protokolu. Na strežnikih ni poštnih baz;

• 3 strežniki (node-i) v gruči, ki so konfigurirani v načinu Active – Active – Pasive. Diskovno polje za gručo je Symetrix - EMC2. Nameščeni strežniki so MS Exchange 2003 Enterprise različica. Na omrežju sta vidna dva virtualna strežnika, na katere kažejo uporabniški profili;

• SRS (Site Replication Server) strežnik, ki skrbi za povezavo med Exchange 5.5 in Excange 2003 organizacijo;

• ADC – strežnik, kjer je nameščen Active Directory Connector. Poleg omenjenih gradnikov je v rešitvi predvidena tudi antivirusna programska oprema na vsakem strežniku in v nadaljevanju projekta nadzor nad storitvami, s pomočjo Microsoft Operations Manager 2005 programske opreme.



5.5 Testno okolje Ena ključnih točk pri tako zahtevnem projektu je vsekakor testiranje. Cilj je izvedba vseh predvidenih postopkov v testnem okolju, ki je čimbolj podobno produkcijskemu okolju. Testiramo lahko celoten proces v enem delu ali pa razdelimo testiranje na posamezne faze. V ta namen bomo zelo podrobno opredelili testne postopke in vse gradnike, ki bodo nastopali v testnem okolju (MSEexchange.org, 2005). Testni plan vsebuje postopke in metodologijo, ki jo bomo pri testiranju uporabili, vključno s predvideno strojno in programsko opremo, ki jo bomo uporabili pri testiranju ter vsemi orodji, zahtevanimi za uspešno izvedbo testiranja. Dober testni plan predvideva vse pričakovane težave, okolje pa omogoča odpravo teh težav že pri ponovljenem testiranju. Posamezne točke postavitve testnega okolja so sledeče:

• definiranje testnega plana;

o definiranje zahtev, o definiranje metodologije, o identifikacija zahtevanih resursov, o identifikacija rizičnih (risk) faktorjev, o časovni plan testiranja,

• planiranje testnega okolja; o izbiranje in primerjanje testnih laboratorijev, o definiranje posebnih zahtev v testnem okolju (omrežje, modem ..), o izbira testnega modela in lokacije,

• postavitev testnega okolja; o dokumentacija laboratorijskega okolja, o simulacija predlagane strežniške postavitve, o definiranje testnih domen, o postavitev testnega laboratorija,

• planiranje testnih postopkov; o določitev zahtevanih testiranj, o priprava dokumentacije za zahtevane teste z opisanimi postopki in

pričakovanimi rezultati, o check liste,

• izvedba testiranja; o izvedba testiranja po predpripravljenih testnih navodilih, o beleženje rezultatov testiranja, o ovrednotenje testnih rezultatov,

• kasnejša uporaba testnega okolja. Po priporočenih točkah pripravimo testno okolje, laboratorij in vso potrebno dokumentacijo. Testiranje izvedemo po testni dokumentaciji in sproti beležimo vsa opažanja. V primeru težav, napako odpravimo in testiranje ponovimo. Če je testiranje uspešno lahko testno okolje uporabimo kasneje za testiranje produkcijskih sprememb. Na DURS-u smo že v projektu migracije domenskega strežniškega okolja pri prehodu z Windows 2000 na Windows 2003 za potrebe testiranja uporabili virtualna okolja.



5.5.1 Virtualna okolja Virtualizacija in virtualna okolja v zadnjem času vse bolj pridobivajo na veljavi. Procesorji so vse hitrejši in pomnilniki niso več ovira. Virtualna tehnologija omogoča poganjanje različnih operacijskih sistemov istočasno na enem računalniku. Na gostitelju lahko teče več neodvisnih virtualnih sistemov, ki se lahko vidijo samo med seboj ali pa direktno dostopajo do omrežnih sredstev. V našem testnem okolju uporabljamo Microsoft Virtual PC 2004 in Microsoft Virtual Server 2005. Prvi je optimiziran za osebne in namizne računalnike, medtem ko je MS Virtual Server večnitna strežniško optimizirana aplikacija s spletnim vmesnikom za administracijo in dostop. Vse nastavitve delovnih postaj in strežnikov se nahajajo v datotekah, ki so fizično prenosljive med posameznimi virtualnimi okolji. 5.5.2 Izvedba in opis testiranja Pri našem testiranju bomo uporabili MS Virtual Server 2005, ki ima tudi podporo za gradnjo sistemov v gruči. Testno okolje tako enostavno konsolidiramo iz množice strojne opreme (računalnikov, monitorjev , tipkovnic, kablov..) na en sam zmogljiv strežnik Pentium 4 3,2 GHz, 320 GB velikim trdim diskom in 3 Gb hitrega pomnilnika. Na strežnik namestimo operacijski sistem MS Windows 2003 in programsko opremo MS Virtual Server 2005. Virtualne postaje, ki jih bomo uporabili v testnem okolju, so MS Windows 2003 Enterprise edition (DC in Exchange 2003), MS Windows 2000 (Exchange 5.5), MS Windows XP (delovna postaja z Office 2003) in Linux Fresco (usmerjevalnik in omejevalec prometa). Vse nameščene virtualne postaje se vidijo samo med seboj in ne dostopajo do omrežja. V namestitvi uporabimo »prava« produkcijska imena in enake IP naslove. Na ta način ustvarimo kopijo produkcijske domene, kar nam da pri testiranju zelo zanesljive rezultate. Povrnitev podatkov produkcijske domene durs.si v virtualno okolje izvedemo po interni, predpripravljeni dokumentaciji (Interno gradivo DURS , 2005) Vrstni red kreiranja in vzpostavitve testnega okolja je sledeč:

• namestitev gostitelja (Windows 2003 strežnik in Virtual Server 2005); • po postopku za vrnitev podatkov po katastrofi, povrnemo v virtualno okolje

en domenski strežnik, ki je odgovoren za durs.si domeno. Nanj prenesemo vse FSMO vloge. Zaradi težav pri replikaciji z ADSI editorjem pobrišemo vse ostale domenske strežnike, ki sodelujejo v durs.si domeni. Strežnik je primarni DNS, WINS in DHCP za to okolje. Na ta način vzpostavimo Aktivni imenik s podatki o vseh naših uporabnikih in njihovih uporabniških računih;

• namestimo Linux Fresco virtualno postajo, ki zavzema najmanj sistemskih resursov in jo je moč poganjati z diskete. Uporabimo jo za usmerjevalnik in omejevalnik prometa. Nastavimo omrežja in IP naslove posameznih segmentov. S tem simuliramo eno oddaljeno lokacijo;

• namestimo Windows 2000 strežnik z Generalnega davčnega urada in po postopkih obnove po izgubi podatkov povrnemo podatke za primarni MS Exchange 5.5;

• namestimo Windows 2000 strežnik z ene naših lokacij davčnih uradov in po postopkih obnove po katastrofi povrnemo podatke za Exchange 5.5.

• Namestimo Windows XP z nameščenim MS Office 2003 programsko opremo in preverimo dostop posameznih uporabnikov do poštnih predalov, lociranih na GDU in davčnem uradu z oddaljene lokacije



Na ta način imamo vzpostavljeno začetno in obstoječe stanje produkcijske domene za začetek izvajanja testnih postopkov. V tej fazi preverimo delovanje in dostop do elektronske pošte, delovanje Aktivnega imenika, prijavljanje uporabnikov itd. Ker bomo v naslednji fazi testiranja razširili shemo Aktivnega imenika, ki je enkraten in neponovljiv postopek, si naredimo rezervne kopije teh nameščenih postaj. Zdaj moramo razširiti shemo Aktivnega imenika z Exchange 2003 atributi (forestprep in domainprep), namestiti Windows 2003 gručo (cluster), nanj namestiti Exchange 2003, kreirati Exchange virtualne strežnike in prenesti poštne predale uporabnikov. Testiranje zato nadaljujemo z naslednjimi postopki:

• namestimo 3 Windows 2003 Enterprise strežnike; • kreiramo Windows gručo in preverimo delovanje (failover); • razširimo shemo Aktivnega imenika (forestprep in domainprep); • na DC strežniku namestimo ADC (Aktive Directory Connector) in ga

nastavimo. Preverimo vidnost atributov v Aktivnem imeniku; • namestimo MS Exchange 2003 z vlogo Site Replication Server; • na vse tri člane gruče (node cluster) namestimo Exchange 2003 Enterprise

različico v obstoječo Exchange organizacijo; • kreiramo 2 virtualna Exchange 2003 strežnika na gruči, na katera kažejo

profili uporabnikov; • preverimo delovanje gruče z Exchange strežniki; • izvedemo postopke selitve uporabnikov.

Ves čas testiranja postopke izvajamo po predpripravljeni testni dokumentaciji. Beležimo rezultate in jih primerjamo s pričakovanimi. V primeru odstopanja ali napak je potrebno rezultate ovrednotiti in po potrebi testiranje ponoviti. Testiramo na »pravih« produkcijskih podatkih, kar daje veliko vrednost dobljenih rezultatov in možna pričakovanja pri produkcijski migraciji. Pri tem upoštevamo, da strežnikov ne bomo mogli polno obremeniti tako kot v pravi produkciji, ravno tako ne bomo mogli pokriti popolnoma vseh možnih kombinacij dostopov kot tudi ne različnih operacijskih sistemov delovnih postaj (Windows 98 /2000/XP) in programske opreme za pisarniško poslovanje z odjemalcem elektronske pošte Microsoft Office (97 /2000/ XP /2003). Osredotočimo se na delovno postajo z Windows XP in MS Office 2003, saj se v vmesnem času projekta migracije delovne postaje pospešeno nadgrajujejo na ta sistem. Slika 6 prikazuje logično shemo testnega okolja, ki ga uporabimo, slika 7 pa primer ekranske slike iz MS Virtual Server 2005. Zaradi lažje namestitve in uporabniškega vmesnika delovne postaje strežnike najprej pripravimo z orodjem Virtual PC 2004 in jih nato uvozimo v Virtual server 2005.



Slika 6 – Testno okolje Slika 4 prikazuje vse delovne postaje in strežnike, ki jih uporabimo v testnem okolju. Imamo glavno lokacijo Generalnega davčnega urada in eno oddaljeno lokacijo enega naših davčnih uradov. V fazi testiranja ne testiramo prehoda pošte preko FrontEnd strežnikov, ravno tako ne aplikacije MimeSweeper 5.1 in Microsoft Operations Manager 2005. Vse delovne postaje in strežniki se vidijo med seboj, nimajo pa direktnega dostopa do interneta. Vsi mrežni (IP) naslovi in imena so enaki produkcijskim. V programski opremi MS Virtual Server 2005, kjer izvajamo testiranje, imamo tudi pregled nad posameznimi resursi, ki jih navidezne postaje koristijo.

Slika 7 – Testno oklje v MS Virtual Server 2005



V MS Virtual Server 2005 programski opremi smo omejeni s strojno opremo gostitelj (host) strežnika, na katerem tečejo vse virtualne postaje. Uporabo delovnega pomnilnika omejimo na minimum, za strežnike MS Windows 2003 in MS Exchange 2003 uporabimo 256 Mb hitrega pomnilnika, za delovne postaje in strežnike z operacijskim sistemom MS Windows 2000 pa 128 Mb hitrega pomnilnika. Na ta način lahko istočasno poganjamo 8 virtualnih delovnih postaj in strežnikov. Pri testiranju lahko po potrebi dodajamo tudi druge delovne postaje ali strežnike. Pri tem pazimo, da ne presežemo mejnih sistemskih vrednosti strojne opreme gostitelja, lahko pa katero delovno postajo ali strežnik, ki trenutno v fazi testiranja ni potreben, ugasnemo in dodamo drugo postajo. Virtualna okolja nam omogočajo popoln nadzor nad testiranjem, veliko fleksibilnost, predvsem pa hitrost postavljanja in vključevanja novih delovnih postaj ali strežnikov v testno okolje. Poleg tega lahko testiranje zelo hitro ponovimo, saj si v pripravljalni fazi testnega okolja pripravimo programske slike virtualnih postaj, ki jih nato lahko enostavno kopiramo po potrebi. Pri tem pazimo, da virtualne postaje, ki imajo enaka imena in mrežne naslove kot tiste v produkciji, ne pridejo v stik s produkcijskim omrežjem. To dosežemo s kreiranjem virtualnih omrežij znotraj MS Virtual Server 2005 programske opreme. Posamezne programske slike pred vključitvijo v naše testno okolje in pred poimenovanjem s produkcijskimi imeni in mrežnimi naslovi vključimo v virtualno omrežje, ki ima dostop do interneta zato, da lahko delovne postaje in strežnike posodobimo z zadnjimi varnostnimi in programskimi popravki. Ko to storimo, na posamezni virtualni postaji poženemo še program Sysprep, ki pobriše identiteto delovne postaje (omrežne nastavitve, imena in predvsem SID (security identifier)). Tako pripravljene postaje lahko poljubno kopiramo za potrebe testnega okolja. Pri tovrstnem testiranju imamo zelo verodostojne podatke o sistemskem delu migracije, »zdravju« Aktivnega imenika, razširitvi sheme, namestitvi Exchange strežnikov in gruče, prenosu poštnih predalov in podatkov ter o odstranjevanju starega Exchange 5.5 sistema in MS Exchange 5.5 sporočilnega sistema in prehodu v popolno (native) Exchnage 2003 organizacijo. Vendarle pa pri rezultatih upoštevamo, da pri testni migraciji poštne predale in podatke v njih prenašamo samo s strežnika na lokaciji Generalnega Davčnega urada in ene oddaljene lokacije našega davčnega urada. Koliko bo v produkcijski migraciji vseh podatkov in kakšna bo obremenjenost strežnika (gruče) pri produkcijski migraciji pa je stvar podrobne sistemske ocene. Testno okolje lahko uporabljamo tudi po končani migraciji ali celo med produkcijsko migracijo, saj lahko določene postopke ali popravke (hotfix,service packs...), ki bi bili na voljo v vmesnem času, najprej testno namestimo v virtualnem testnem okolju. V sistemski skupini na DURS-u imamo tovrstno testno okolje stalno v uporabi in vsi varnostni in sistemski popravki se najprej namestijo v testno okolje.



6 POSTOPKI PRODUKCIJSKE MIGRACIJE Rezultati testiranja in odprava vseh napak v testnem okolju so predpogoj za zagon produkcijske migracije. Vsa testna dokumentacija mora biti zbrana in na voljo vsem članom projektne skupine. Na podlagi rezultatov se je potrebno odločiti za produkcijske postopke migracije. 6.1 Priprava Vsi člani projektne skupine pregledajo testno dokumentacijo in podajo svoje komentarje. Dokumentacija se vodi na strežniku MS SharePoint Portal Server. Na podlagi zbranih komentarjev, pregledu dobav strojne in programske opreme se določi časovni plan in potek migracije. Pripravi se tudi ustanovni »krovni« projektni dokument, ki definira natančne postopke produkcijske migracije. Predpostavka je, da se v prvem delu migracije izvaja postopke okoli namestitve nove MS Exchange 2003 organizacije, skratka, da se namesti vso potrebno strojno opremo za zaledne strežnike na gruči, oba Exchange FrontEnd strežnika ter strežnike, potrebne za izvajanje replikacije med staro MS Exchange 5.5 organizacijo in novo MS Exchange 2003. V drugem delu migracije se po prenosu poštnih predalov na novo MS Exchange 2003 organizacijo pristopi še k optimizaciji sistema in namestitvi strežnikov za varovanje in nadzor sistema (MimeSweeper in MS Operations Manager 2005). Zadnji del migracije pa predstavlja ugašanje MS Exchange 5.5 infrastrukture, umik strežnikov iz omrežja, pa tudi strežnik za replikacijo z Exchange 5.5 organizacijo. 6.2 Dobava in namestitev strojne opreme Za potrebno strojno opremo je potrebno izvesti javni razpis in izvesti dobavo in namestitev strežnikov. Predvidena strojna oprema je sledeča:

• 2 MS Exchange FrontEnd strežnika, • 3 MS Exchange BackEnd strežniki (cluster), • 1 MS Exchange Site Replication strežnik, • 2 MimeSweeper strežnika, • 1 Microsoft Operations Manager strežnik.



Vsi strežniki so lahko identični, morajo pa biti dovolj zmogljivi. Strojne zahteve so sledeče:

• 2 procesorski Intel Xeon, min 3.6 Ghz s podporo ukaznemu naboru EM64T in 2 Mb L2 predpomnilnika / procesor,

• hitrost sistemskega vodila 800 Mhz, • najmanj 4Gb hitrega pomnilnika DDR-2 SDRAM (min 400 Mhz), • 2 x UTP in 2 x Fibre Chanel mrežni vmesnik, • RAID krmilnik, • 2x72Gb diskovnega prostora z rotacijsko hitrostjo diskov 10000 o/min, • rack izvedba • programska podpora kontroli in upravljanju strežniških komponent, obvezno

z CLI vmesnikom, ki omogoča uporabo skriptnih jezikov vbscript in Perl. Predvsem pri strežnikih, ki bodo udeleženi v gruči, je potrebno paziti, da je strojna oprema identična. Omenjeni strežniki morajo imeti tudi HBA kartice za priklop na skupni diskovni prostor na Symetrix EMC2 strojni opremi. 6.2.1 Gruča in namestitev strežnikov v gruči Gruča je skupina med seboj neodvisnih računalnikov (strežnikov), ki so med seboj ustrezno povezani in na njih teče skupen nabor aplikacij in storitev. Odjemalci vidijo gručo kot en sam sistem. Posamezni strežniki v gruči so med seboj povezani prek omrežnih povezav, prek skupnega diskovnega podsistema in prek programske opreme storitve gruče (cluster service). Prednosti gruče so visoka razpoložljivost, razširljivost, centralizirana administracija in delitev bremena.

Slika 8 - Gruča (3 node cluster)



Splošni trendi v informacijski tehnologiji nam narekujejo, da maksimalna razpoložljivost strežnikov dosega »5 devetk« oziroma 99.999 % razpoložljivost. V splošnem je to moč doseči, saj to pomeni približno eno uro nerazpoložljivosti in dosegljivosti (downtime) letno. Za potrebe naše migracije je potrebno oceniti in pripraviti arhitekturno rešitev MS Windows 2003 in MS Exchange 2003 gruče. Zaradi poenostavljenja administracije, boljših odzivnih časov in hitrejše povrnitve podatkov po izgubi ter združevanja 16 organizacijskih enot v eno je predlagana arhitekturna rešitev MS Windows 2003 in MS Exchange 2003 gruče naslednja:

• 3 strežniki v gruči (3 node cluster), • sistem Active – Active – Pasive, • diskovno polje na Symetrix EMC2 (Storage Area Network), • 2 MS Exchange 2003 navidezna strežnika (EVS), • organizacija podatkov na obeh EVS strežnikih:

o na vsakem strežniku 4 podatkovne skupine (Storage Group), o v vsaki podatkovni skupini, svoja podatkovna exchange baza s

poštnimi predali naših uporabnikov, o posamezne Davčne urade je potrebno enakomerno porazdeliti po

podatkovnih skupinah in bazah (slika 5 – Arhitekturna rešitev). Izbor Active – Active – Pasive gruče omogoča visoko zanesljivost in razpoložljivost delovanja. Skupina strežnikov v gruči je povezana med seboj z javnim (public) in privatnim (private) omrežjem, pa tudi z zunanjimi (eksternimi) podatkovnimi bazami (SAN). Fizični strežniki lahko delujejo kot eden ali več virtualnih Exchange strežnikov. Virtualni strežnik uporablja generični (public) IP naslov in omrežno ime ter zaseda svoj podatkovni disk (cluster disk resource) na gruči. Vsak od strežnikov v gruči lahko tako »gosti« enega od virtualnih Exhange 2003 strežnikov, na katerega dostopajo uporabniki brez vedenja informacije, na kateri fizični strežnik dejansko dostopajo. Vsi poštni predali in javne mape so na deljenem omrežnem diskovnem polju. Uporabniki tako na omrežju vedno vidijo 2 MS Exchange 2003 strežnika in v primeru izpada enega od strežnikov v gruči (node-a) se zgodi takoimenovani preklop (failover), kar pomeni, da se vsi resursi z aktivnega strežnika prenesejo na do takrat pasivnega, kar je za uporabnike transparentno in na omrežju ne pride do izpada. Po popravilu strežnika lahko letega brez težav vključimo nazaj v gručo. V primeru izpada zaradi težav na strojni opremi in podobno se to zgodi avtomatično, pri nameščanju programskih popravkov (service packs, hotfix...) pa to lahko administrator naredi ročno. Pri izvedbi in postavitvi gruče moramo paziti tudi na nekaj omejitev, saj vsi servisi ne podpirajo delovanja v gruči. Eden takih za potrebe naše migracije vitalnih servisov je Exchange Site Replication Service (SRS). (Microsoft Support , 2005) Po produkcijski postavitvi Windows 2003 gruče je potrebno izvesti še funkcionalno testiranje delovanja gruče (failover na vse tri strežnike v gruči). V tej fazi namestimo samo Windows 2003 gručo, Exchange 2003 strežnike pa namestimo šele, ko izvedemo razširitev sheme Aktivnega imenika.



6.3 Priprava MS Exchange 5.5 organizacije Že v testnem okolju bo potrebno preveriti, ali je MS Exchange 5.5 organizacija pripravljena na selitev in sodelovanje v mešanem načinu delovanja skupaj z Aktivnim imenikom in MS Exchange 2003. Potrebno je zagotoviti, da je vzpostavljena relacija en poštni predal – en uporabnik (primarni uporabniški račun vsakega poštnega predala je veljaven NT račun v Aktivnem imeniku). To pomeni, da je potrebno popraviti vse poštne predale, ki so bili v MS Exchange organizaciji vezani na več NT računov. Na ta način zagotovimo pravilno replikacijo atributov v Aktivni imenik. (McBee, 2003) Za konsolidacijo strežnikov v mešani organzaciji pa sta potrebna še dva pogoja, in sicer:

• Na vseh MS Exchange 5.5 strežnikih mora biti nameščen servisni paket 4 za MS Exchange 5.5 in dodatno še hotfix popravek iz Microsoftove baze znanja Q836489 (Microsoft Support, 2005).

• Na vseh strežnikih MS Exchange 2003, ki jih bomo nameščali v organizaciji, mora biti nameščen servisni paket 1 za MS Exchange 2003.

Upoštevati je potrebno, da je po namestitvi varnostnega popravka potrebno ponovno zagnati strežnik, zato je to potrebno narediti v popoldanskem času oziroma med vikendom, ko ni prijavljenih uporabnikov na strežniku. 6.4 Namestitev ADC in MS Exchange 2003 strežnikov V prvi fazi smo namestili Windows 2003 gručo, ki pa še nima nameščenih Exchange strežnikov. Pred tem moramo izvesti pripravo Aktivnega imenika na sinhronizacijo z MS Exchange 5.5 organizacijo in kasnejšo replikacijo podatkov med njima. MS Exchange 2003 bomo namestili na MS Windows 2003 strežnike, pri namestitvi pa dodamo še naslednje servise :

• Http (IIS 6.0 – Internet Information Services), • World Wide Web Publising Service, • Nntp (Network News Transport protocol), • Smtp (Simple Mail Transport Protocol), • ASP, • .Net Framework.

Omenjeni servisi so pogoj za namestitev MS Exchange strežnika. Strežnike pred nameščanjem MS Exchange 2003 programske opreme še posodobimo z zadnjimi varnostnimi popravki, jih vključimo v domeno durs.si in v Aktivnem imeniku prestavimo v organizacijsko enoto, kjer veljajo pravila skupinskih politik za strežnike (Group Policy).



Razširitev sheme Aktivnega imenika Pred namestitvijo ADC moramo Aktivni imenik pripraviti na sinhronizacijo z Exchange 2003 organizacijo. Potrebno je razširiti shemo Aktivnega imenika, in sicer gozda (forest) in domene (domain). Izvesti je potrebno sledeče postopke.

• Domenski krmilnik, na katerem bomo izvajali nadgraditev sheme, odklopimo iz omrežja, zato da se v primeru napake spremembe sheme ne replicirajo na druge domenske krmilnike.

• Naredimo varnostne kopije sistemskih datotek strežnika (system state) in celotnega C diska.

• Na strežnik se prijavimo z uporabniškim imenom, ki ima »root« pravice na domeni oziroma pravice Enterprise domain administrator.

• Na strežniku iz namestitvenega CD-ja za MS Exchange 2003 zaženemo ukaz setup / forestprep.

• Po končani namestitvi preverimo vse loge strežnika in ga, če je vse v redu, vključimo nazaj na omrežje, v primeru napak pa strežnika ne dodajamo na omrežje, ampak je potrebno napake odpraviti, strežnik pa ponovno namestiti.

• Počakamo nekaj dni, preverjamo loge strežnikov in replikacijo Exchange atributov na ostale strežnike, nato pa pa zaženemo še ukaz setup/ domainprep.

• Strežnik spet vključimo na omrežje šele, ko smo se prepričali, da ni napak v shemi.

• S temi postopki sta gozd in domena Aktivnega imenika pripravljena na namestitev Exchange strežnikov.

Active Directory Connector Še pred namestitvijo MS Exchange 2003 strežnikov pa moramo izvesti še sinhronizacijo med MS Exchange 5.5 organizacijo in Aktivnim imenikom. To storimo z namestitvijo in konfiguriranjem ADC (Active Directory Connector). Naloga ADC je replikacija imeniške strukture (poštni predali, uporabniki in skupine uporabnikov) med MS Exchange 5.5 in Aktivnim imenikom. Namestitev izvedemo z namestitvenega CD – ja za MS Exchange 2003 (%CD%\ADC\I386\setup.exe). Uporabniški račun, pod katerim izvajamo namestitev, mora imeti administracijske pravice na domeni durs.si. ADC uporablja LDAP protokol za komunikacijo med Exchange 5.5 organizacijo in Aktivnim imenikom. LDAP deluje dovolj efikasno med vsemi vrstami mrežnih povezav, neglede na to, ali gre za počasne ali hitre linke. Pri namestitvi je potrebno definirati naslednje CA povezave (Connection Agreement):

• Recipient Connection Agreement (uporabniki in skupine)

o povezava med podatki o uporabniških poštnih predalih, distribucijskih listah iz Exchange 5.5 v Aktivni imenik,

• Public Folder Connection Agreement (javne mape) o povezava javnih map iz Exchange 5.5 in Aktivnega imenika.



Slika 9 – Active Directory Connector

Noben konektor ne replicira vsebine poštnih predalov ali javnih map, pač pa samo atribute poštnih predalov (podatke o limitih, pravicah itd.) in organizacijo javnih map.

Organizacije običajno izvajajo namestitev ADC zaradi naslednjih vzrokov:

• replikacija Microsoft Exchange imeniške infrastrukture (iz dir.edb baze) v

Microsoft Aktivni imenik (NTDS); • za replikacijo obstoječih imeniških podatkov MS Exchange 5.5 strežnikov v

Aktivni imenik, tako da so na voljo takoimenovanim third-party aplikacijam, ki lahko na ta način izkoristijo funkcionalnosti Aktivnega imenika;

• za uvedbo MS Exchange 2003 strežnika v obstoječo MS Exchange 5.5 organizacijo, za potrebe konsolidacije in migracije.

Po namestitvi ADC in izvedeni sinhronizaciji se v Aktivnem imeniku pojavijo dodatni atributi, lastni MS Exchange 2003 strežniku. Slika 9 prikazuje lastnosti uporabnika iz Aktivnega imenika z dodanimi Exchange atributi (Exchange Features, Exchange Advanced, Exchange General in E-mail Adresses), slika 5 pa primer administracije (omogočanje dostopa uporabnika preko Outlook Web Accessa). Postopke izvajamo po Microsoftovih priporočilih in dokumentaciji (Microsoft Course MOC-2400)



Slika 10 - Exchange atributi Slika 11 – Administracija Vse Exchange nastavitve, lastne uporabnikom definiranim v Aktivnem imeniku, se na ta način izvajajo iz centralnega mesta, administracijskega vmesnika Active Directory Users and Computers (ADUC). Site Replication Services Site Replication Services (SRS) je servis, ki zagotavlja MS Exchange 2003 strežnikom deljenje konfiguracijskih podatkov z MS Exchange 5.5 strežniki v mešanem okolju oziroma organizaciji. SRS simulira Directory Service Agent (DSA) servis iz MS Exchange 5.5 strežnika, zato da Exchange 5.5 strežniki vidijo Exchange 2003 strežnike, kot da so Exchange 5.5. SRS je povezan z Active Directory Connector servisom, zato ga je potrebno konfigurirati in namestiti preden dodamo prvi Exchange 2003 strežnik v Exchange 5.5 organizacijo. Pomembno je vedeti, da SRS servis nima nobene povezave s podatki, ki se pretakajo med strežniki, ker je to popolnoma odvisno od konfiguracije ADC. SRS servis samo zagotavlja podporo Exchange 5.5 organizaciji in izvajanju direktorijske replikacije natančno tako, kot se je replikacija izvajala pred namestitvijo prvega Exchange 2003 v Exchange 5.5 organizacijo. Med namestitvijo SRS servisa namestitveni program avtomatično namesti in konfigurira vse povezave (connection agreements), potrebne za replikacijo imeniških (directory) podatkov znotraj mešane organizacije. SRS servis postane operativen šele, ko je nameščen prvi Exchange 2003 v obsoječo Exchange 5.5 organizacijo.



SRS servis vzdržuje kopijo imeniških podatkov v bazi, imenovani srs.edb, z namenom sledljivosti replikacije imeniških podatkov med strežniki in zato je potrebno izvajati redno varovanje (backup) te baze. V primeru strojne ali programske napake je potrebno podatke povrniti po postopkih obnovitve podatkov po katastrofi ali pa na novo zgraditi SRS podatkovno bazo po navodilih iz Microsoftove baze znanja (Q282061). SRS servis ni podprt delovanju v gruči, kar pomeni, da ne moremo uporabiti strežnika v gruči kot prvi Exchange 2003 strežnik v mešanem okolju z Exchange 5.5 organizacijo. Zato je v našem primeru potrebno postaviti SRS servis na svoj Exchange 2003 strežnik. Servis in strežnik bomo ugasnili, ko bomo prešli v naravni način delovanja oziroma okolje, sestavljeno samo iz Exchange 2003 strežnikov. (Microssoft Support, 2005)

Slika 12 – Site Replication Service

Exchange 2003 virtualni strežniki in NLB Po namestitvi prvega MS Exchange 2003 strežnika, konfiguriranju SRS servisa in vključitvi v obstoječo Exchange 5.5 organizacijo moramo namestiti še ostale MS Exchange 2003 strežnike, in sicer oba strežnika, ki bosta delovala v ospredju kot FrontEnd strežnika, nastaviti in konfigurirati pa moramo tudi virtualna Exchange 2003 strežnika v gruči, ki bosta na omrežju vidna uporabnikom. Exchange 2003 namestimo na FrontEnd strežnika z namestitvenega CD–ja. Oba strežnika pred tem dodamo v domeno (durs.si). Pri namestitvi Exchange 2003 programske opreme pazimo, da ju vključimo v obstoječo Exchange 5.5 organizacijo. Po osnovni namestitvi moramo strežnika še posodobiti z zadnjimi varnostnimi popravki (Service pack 1 za Exchange 2003). Ker bosta strežnika delovala v ospredju kot FrontEnd strežnika, moramo to vključiti v Exchange system manager programski konzoli (slika 13).



Slika 13 – FrontEnd strežnik

Omenjena strežnika služita kot strežnika v prehodu in na njih ni podatkovnih baz s kreiranimi poštnimi predali. Vsi poštni predali so kreirani na zalednih (BackEnd) strežnikih. Zaledni strežniki so postavljeni v gruči. V prvem delu migracije smo namestili Windows 2003 gručo, zdaj je potrebno na vsak strežnik v gruči namestiti programsko opremo Exchange 2003 in konfigurirati oba virtualna strežnika. Oba strežnika, ki bosta delovala v ospredju, moramo konfigurirati še tako, da si bosta znala med seboj porazdeliti mrežni promet. V ta namen je potrebno namestiti in konfigurirati Network Load Balancing Service (NLB). Uporabili bomo MS Windows 2003 NLB. Zaženemo Network Load Balancing Manager in konfiguriramo nov virtualni strežnik, mu določimo mrežno ime in IP naslov. Oba FrontEnd strežnika dodamo v gručo (Add host to cluster). NLB virtualni strežnik bo strežnik v prehodu, kar pomeni, da se bodo vsa sporočila pretakala preko njega. V primeru okvare strojne ali programske opreme enega od strežnikov v gruči ga je potrebno začasno onemogočiti v gruči preko administracijske konzole, tako da se vsa sporočila porazdelijo na delujoči strežnik. Na ta način zagotovimo podvojenost (fault tolerant) in povečano zanesljivost sistema. Na obeh strežnikih v NLB gruči bomo kasneje namestili in konfigurirali Outlook Web Access. Pri nameščanju Exchange 2003 programske opreme na posamezne strežnike v gruči (node) nas namestitveni program opozori, da bo namestil verzijo opreme, prilagojene delu v gruči (cluster aware). Zdaj je potebno konfigurirati EVS – Exchange Virtual Server. V administracijski konzoli za upravljanje z gručami je potrebno ustvariti 2 skupini za vsak virtualni strežnik posebej npr. EX01 in EX02. Pred tem je potrebno definirati tudi vsa sredstva (resources), ki v gruči nastopajo (IP naslovi, mrežna imena, diskovna polja...). Posamezen EVS kreiramo tako, da v vsaki skupini (EX01 in EX02) izvedemo ukaz – new resource > Microsoft Exchange System attendand, mu vpišemo podatke o mrežnih sredstvih, diskovnih poljih in poteh do datotek. Z Bring online ukazom strežnik postane na omrežju aktiven (slika 14). Potrebno je preveriti delovanje in prenos na druge strežnike v gruči (failover). Če to uspešno deluje, sta oba EVS zaledna strežnika pripravljena za prenos poštnih predalov iz Exchange 5.5 organizacije na Exchange 2003 (Unkroth, Molony, Cherny, Reid, English, 2005 ).



Slika 14 – Cluster Administrator

6.5 Selitev poštnih predalov in javnih map Po namestitvi strojne in programske opreme, testiranju delovanja in pretoka elektronskih sporočil je potrebno prenesti poštne predale z Exchange 5.5 strežnikov na Exchange 2003 zaledne strežnike v gruči. Skupek varnostnih popravkov za Exchange 2003, zbranih v Service Pack 1, omogoča selitev poštnih predalov tudi med posameznimi administrativnimi skupinami, kar prej ni bilo mogoče. Pogoj za selitev poštnih predalov z posameznih lokacij naših davčnih izpostav in uradov je, da imajo vsi uporabniki nameščeno programsko opremo Microsoft Office 2003, ki vsebuje tudi odjemalca elektronske pošte MS Outlook 2003. V tako veliki organizaciji, kot je naša s 3000 delovnimi postajami, je namestitev in nadgradnja MS Office programske opreme lahko svoj projekt. Pri nadgradnji si bomo pomagali s programsko opremo, ki je na DURS-u v uporabi za upravljanje s premoženjem IBM Tivoli. Potrebno je pripraviti distribucijske pakete za MS Office 2003, jih distribuirati ter namestiti na vse delovne postaje, ki imajo nameščene še starejše verzije MS Office-a. Določeni tovrstni postopki se izvajajo v naši organizaciji redno, zato ni pričakovati večjih težav. Selitve poštnih predalov se izvajajo v kompletih, to pomeni, da se izvede selitev vseh poštnih predalov posamezne organizacijske skupine (davčnega urada ali izpostave). Potrebno je sodelovati z lokalnimi administratorji davčnih uradov, ki obvestijo administratorje z Glavnega davčnega urada, kdaj so vse delovne postaje nadgrajene z novo verzijo programske opreme MS Office 2003. Potrebno je uskladiti časovni plan selitve in obvestiti uporabnike o planiranih aktivnostih z zahtevo, da v času selitve ugasnejo odjemalca elektronske pošte MS Outlook. Selitev izvajamo v urah izven delovnega časa, ko je prometa na omrežju manj in se selitev lahko odvija hitreje in brez težav. Pri selitvi sistem sam popravi Outlook profil, v katerem je navedeno, kje je uporabnikov prijavni Exchange strežnik. V primeru težav je potrebno profil popraviti ročno.



Selitev poštnih predalov izvajamo iz administracijskega orodja za Aktivni imenik. Predale lahko selimo glede na urnik ali pa izvedemo selitev takoj. Ne glede na to, da lahko selimo poljubno število predalov, sistem sam istočasno seli 4 predale hkrati. Po končani selitvi nam pokaže poročilo o selitvi.

Slika 15 – Exchange Task Wizard Na sliki 15 je razviden čarovnik, ki nam pomaga pri selitvi. Ko označimo uporabnike, ki jih želimo seliti, si izberemo Exchange opravilo (v našem primeru prenos predala) določimo, ali bomo selili znotraj iste administracijske skupine ali pa bomo poštne predale in njihove podatke prenašali med dvema različnima administrativnima skupinama (v našem primeru bomo v večini primerov izbrali ta korak). V nadaljevanju selitve si še izberemo, na kateri strežnik bomo selili predale in v katero skupino (administrative group). Sistem pri selitvi dejansko premakne (move) poštni predal z izvornega Exchange 5.5 strežnika na ciljni Exchange 2003 strežnik. Prenos poteka tako, da pri selitvi sistem najprej preveri dosegljivost ciljnega strežnika na omrežju, se poveže nanj, kreira nov poštni predal in prenese vsebino starega predala. Če je bil prenos uspešen, izvorni poštni predal pobriše. Po prenosu vseh poštnih predalov s posameznega Exchange 5.5 strežnika lahko ta strežnik ugasnemo in izklopimo iz omrežja. Poleg poštnih predalov v organizaciji je potrebno prenesti na nov sistem tudi javne mape. V naši organizaciji se javne mape veliko uporabljajo, saj se na njih poleg statičnih podatkov nahajajo tudi aplikacije, ki izkoriščajo Microsoft Exchange – Outlook platformo. Zato je potrebno v fazi testiranja preveriti delovanje javnih map po prenosu na nove Exchange 2003 strežnike. Slika 16 prikazuje primer Help Desk aplikacije, ki je v uporabi v naši organizaciji. Javne mape prenesemo na nove Exchange 2003 strežnike tako, da jih dodamo v replikacijo iz Exchange 5.5 na Exchange 2003 strežnike. Nastavimo replikacijske intervale in določimo na obeh virtualnih Exchange strežnikih, da je privzeti »public folder store« eden od obeh virtualnih strežnikov. Po celotni sinhronizaciji direktorijske infrastrukture in vseh podatkov z javnih map na Exchange 5.5 strežnikih na Exchange 2003 lahko ugasnemo replikacijo na Exchange 5.5 strežnikih. V primeru težav lahko določene javne mape prenesemo tudi z orodjem pfmigrate iz Exchange Resource Kit-a (Unkroth, Molony, Cherny, Reid, English, 2005 ).



Slika 16 – Help Desk aplikacija na javnih mapah

V produkciji je smiselno iz vsakega strežnika Exchange 5.5 prenesti najprej nekaj poštnih predalov in izvesti funkcionalne teste iz prej pripravljene dokumentacije, ki je nastala na podlagi rezultatov v testnem okolju. Testiramo prijavo na posamezen poštni predal in pošiljanje ter sprejemanje elektronske pošte. Ravno tako moramo izvesti funkcionalne teste tudi za javne mape in delovanje aplikacij na njih. Nekatere aplikacije, ki so nameščene na javnih mapah, uporabljajo Exchange Event Scripting service, asinhroni servis, ki deluje na strežniški strani in se proži na določene dogodke (novo sporočilo v poštnem predalu, brisanje in popravljanje sporočila in urnik). Exchange Event Service ni podprt delovanju v gruči, zato je potrebno preveriti delovanje aplikacij in eventualno modifikacijo aplikacij. Po prenosu predalov na nove strežnike se uporabnikom dodajo novi atributi in naslovi v lastnostih posameznega računa, kreiranega v Aktivnem imeniku. Potrebno je preveriti delovanje naslovniških pravilnikov (Recipient policy) in njihovo sprovajanje v produkciji. Če so naslovi nepravilni, elektronska sporočila ne bodo pravilno dostavljena. Pri selitvi je potrebno upoštevati omejitve (limite) poštnih predalov na izvornem in ciljnem strežniku (slika 17). Če so omejitve na izvornem strežniku (velikost poštnega predala, čas hranjenja pobrisanih sporočil…) večje, kot na ciljnem strežniku, lahko pride do napak med selitvijo. Zato moramo vsaj za čas selitve omejitve izenačiti in jih po selitvi primerno korigirati.

Slika 17 – Omejitve poštnih predalov



6.6 Ugašanje MS Exchange 5.5 organizacije Po prenosu vseh poštnih predalov je potrebno izvesti postopke za odstranitev Exchange 5.5 organizacije in prehod v naravni način delovanja (Exchange 2003 native mode). Posamezne strežnike Exchange 5.5 z Davčnih uradov lahko ugašamo in jemljemo iz omrežja takoj po končani selitvi poštnih predalov na centralno lokacijo Generalnega davčnega urada. Držimo se postopkov iz predpripravljene dokumentacije, ki je nastala na podlagi rezultatov v testnem okolju. Postopki, ki jih izvajamo na Exchange 5.5 strežnikih po uspešnem prenosu predalov, so povzeti po Microsoftovih navodilih (Microsoft Support, 2005):

• preverimo da na strežniku ni več kreiranih nobenih poštnih predalov; • ustavimo replikacijo javnih map na ugašani Exchange 5.5 strežnik; • na glavnem (bridhead) Exchange 5.5 strežniku na lokaciji Generalnega

davčnega urada ugasnemo imeniški konektor (Directory replication connector) na ta strežnik oziroma postavimo urnik replikacije na 0 (never);

• v ADC (Active Directory Connector) izklopimo replikacijo uporabnikov, skupin in javnih map na ugašani strežnik;

• počakamo dan ali dva in preverimo, če se je replikacija res ustavila; • sledi ugašanje in brisanje vseh konektorjev (ADC in DC) na ta strežnik; • na Exchange 5.5 strežniku ugasnemo Exchange servise in jim onemogočimo

zagon (disabled); • strežnik zaradi varnosti še nekaj dni pustimo na omrežju in preverjamo

delovanje, pošiljanje in sprejemanje elektronskih sporočil s poštnih predalov, ki so bili prej definirani na Exchange 5.5 strežniku;

• na koncu strežnik ugasnemo in ga odstranimo iz omrežja. Imeniška replikacija oziroma njen izostanek sama povzroči, da se organizacijska enota (site), kjer je bil definiran ugašani Exchange 5.5 strežnik, pobriše iz celotne Exchange organizacije. Prej omenjene postopke izvajamo na vseh Exchange 5.5 strežnikih, s katerih smo uspešno prenesli poštne predale na nov Exchange 2003 sistem oziroma organizacijo. Po končanem ugašanju vseh Exchange 5.5 strežnikov na lokacijah davčnih uradov nam ostane samo še glavni (bridgehead) Exchange 5.5 strežnik iz lokacije Generalnega davčnega urada, preko katerega so se v prejšnji organizaciji preko X400 povezav pretakala vsa elektronska sporočila. Pri ugašanju tega strežnika moramo paziti še na nekaj dodatnih stvari. V Microsoftovi bazi znanja obstaja dokumentiran članek o postopkih pri umikanju zadnjega Exchange 5.5 strežnika v organizaciji. Potrebno je preveriti replike na Offline Address Book sistemske mape, prenesti vse eventualne konektorje (IMC – Internet Mail Connector in DC – Directory Connector) in podobno. Ko na strežniku ni več ničesar, kar nas bi povezovalo s staro Exchange 5.5 organizacijo , lahko tudi po prej opisanih postopkih ugašanja Exchange 5.5 ugasnemo tudi ta strežnik. Ko na omrežju ni več nobenega Exchange 5.5 strežnika, smo pripravljeni za prehod v naravni Exchange 2003 način delovanja.



6.7 Prehod v Exchange 2003 naravni način delovanja V projektu migracije in konsolidacije strežnikov z Exchange 5.5 organizacije na Exchange 2003 na Davčni upravi RS, je predviden daljši čas delovanja v mešanem načinu (mix mode). Zaradi obsežnosti projekta, selitve okoli 3000 poštnih predalov na centralno lokacijo in koordinacije s projektom nadgradnje mrežnih povezav in prehod na programsko opremo MS Office 2003 je predviden rok delovanja v mešanem načinu okoli 6 mesecev. Po končani selitvi vseh poštnih predalov in postopkih ugašanja stare Exchange 5.5 organizacije pa je potrebno izvesti še prehod na naravni Exchange 2003 način delovanja. Pri tem je potrebno izvesti naslednje postopke:

• potrebno je ugasniti vse Exchange 5.5 strežnike, pri tem pa je potrebno paziti, da so preneseni vsi konektorji in replike s teh strežnikov;

• ugasnemo in zaustavimo ADC replikacijo in pobrišemo vse povezave (connection agreement);

• ugasnemo SRS servis; • odstranimo ADC servis; • v Exchange System Manager amdinistracijskem orodju preverimo da res ne

obstaja več noben Exchange 5.5 v organizaciji; • izvedemo preklop v naravni Exchange 2003 način delovanja.

Po prehodu preverimo delovanje, pretok in dostavo elektronskih sporočil do naslovnikov, izvajanje imeniške replikacije, dodajanje in brisanje uporabnikov in podobno. Prehod v naravni način delovanja je enosmerni postopek, kar pomeni, da ko enkrat izvedemo prehod, se ne moremo več povrniti v prejšnje mešano okolje. Potrebno se je zavedati, da po prehodu ni več možno sodelovanje z Exchange 5.5 organizacijo, oziroma Exchange 5.5 strežnikov ne moremo več dodajati v isto Exchange organizacijo. Prehod izvedemo tako, da na lastnostih organizacije kliknemo na gumb Change Mode (slika 18). Gumb postane dostopen, ko izvedemo vse prej omenjene postopke in na omrežju ni več Exchange 5.5 strežnikov.

Slika 18 – Prehod v Exchange 2003 naravni način (native mode)



Po prehodu v naravni način delovanja dobimo dodatne možnosti administracije Exchange 2003 okolja, in sicer:

• povezovalne skupine (routing groups) so lahko sestavljene iz več administracijskih skupin in strežnike je moč prosto premikati med posameznimi administracijskimi skupinami;

• privzeti usmerjevalni (routing) protokol organizacije postane SMTP (Simple Mail Transfer Protocol);

• poštne predale lahko premikamo med administrativnimi skupinami; • možno je kreiranje poštnih distribucijskih list glede na poizvedbe (query

based distribution groups); • pri nadgradnji prehodnih (bridgehead) strežnikov na Exchange 2003

strežnike, je privzeto v uporabi 8BITMIME prenos podatkov namesto konvertiranja v 7-bitni prenos. To nam prihrani nekaj pasovne širine pri prenašanju sporočil med posameznimi povezovalnimi konektorji;

• v naravnem načinu delovanja Exchange 2003 Information store avtomatično ignorira in odstrani dostopne pravice (ACL – access control list), ki niso več veljavne v organizaciji in so bile narejene v stari Exchange 5.5 organizaciji;

• InetOrgPerson objektni razred (object class) v Aktivnem imeniku je lahko mailbox-enabled ali mail-enabled;

Po prehodu v naravni Exchange 2003 način delovanja je dosežen osnovni cilj migracije in konsolidacije strežnikov na omrežju. Vsi sodelujoči strežniki v organizaciji so Exchange 2003, število Exchange strežnikov na omrežju pa se zmanjša s 16 na 5 (3 zaledni – BackEnd strežniki in dva v ospredju - FrontEnd). Za dokončanje projekta in zagotovitev visoke dosegljivosti (high-availability), varnosti in nadzora nad strežniki je potrebno pripraviti še dokumente za obnovo podatkov v primeru katastofe na omrežju, okvare programske ali strojne opreme ter namestiti in konfigurirati strežnike za varovanje elektronskih sporočil (neželjena pošta, arhiviranje, antivirusna politika itd) in proaktivni nadzor nad delovanjem. 6.8 Obnova podatkov po katastrofi - Disaster Recovery Plan Podatki na Exchange poštnih strežnikih morajo biti tudi primerno varovani, zato da v primeru izpada lahko v vsakem trenutku povrnemo podatke nazaj na stanje pred izpadom. V ta namen moramo podrobno definirati varnostno politiko in pripraviti dokumente za primer izpada po katastrofi. Potrebno je določiti način in urnike varovanja podatkov. Na DURS-u za varovanje podatkov uporabljamo programsko opremo HP OpenView Storage Data Protector (trenutna verzija je 5.1), ki nam omogoča zanesljivo varovanje in povrnitev podatkov v primeru katastrofe.



Ločimo različne sklope podatkov, ki jih je v primeru katastrofe potrebno vrniti v prejšnje stanje, in sicer:

• uničenje celotne gruče (cluster) ali člana gruče, • uničenje Exchange Virtualnega strežnika (EVS), • uničenje podatkovne baze, • izguba posameznega poštnega predala, • izguba posameznega poštnega sporočila, • izguba javne mape, • izguba sporočila v javni mapi.

Podatke na Exchange strežnikih se v osnovi varuje pred dvema možnima izpadoma:

• okvaro baze ali okvaro strojne opreme, na kateri se baza nahaja, • uporabniško ali administracijsko napako (npr. namerno brisanje e-poštnega

predala ali sporočila ). V sami Exchange podatkovni bazi pa podatke varujemo na dva načina:

• z varnostnim kopiranjem na tračno enoto z uporabo programske opreme HP Data Protector 5.1,

• z nastavitvijo zakasnitve odstranjevanja izbrisanih elementov iz Exchange podatkovne baze.

Kompletno varovanje Exchange organizacije je sestavljeno iz varovanja in varnostnega kopiranja domenskih strežnikov in s tem varovanja Aktivnega imenika in varnostnega kopiranja podatkovnih baz in sistemskih nastavitev Exchange strežnikov. V osnovi je najprej potrebno nastaviti, koliko časa Exchange še hrani izbrisane elemente, torej elemente (sporočila), ki so bili pobrisani iz poštnih predalov in uporabnikom niso več na voljo. To je moč nastaviti posebej za javne mape, posamezno podatkovno bazo in izbrisan poštni predal. Poleg tega lahko nastavimo, da se sporočila in predali trajno ne izbrišejo, dokler ni narejena varnostna kopija na trak. Slika 19 prikazuje nastavitve na samem Exchange 2003 strežniku in sicer poleg nastavitev poštnih predalov še čas hranjenja izbrisanih elementov v poštnih predalih in na javnih mapah.



Slika 19 – Nastavitve hranjenja izbrisanih elementov Postopki povrnitve podatkov se razlikujejo glede na način napake oziroma izgube podatkov. V primeru napak na strojni opremi in istočasno izgubi podatkov na njih je potrebno najprej nadomestiti okvarjeno strojno opremo in nato po predifiniranih postopkih povrniti podatke. Operativni postopki morajo biti primerno dokumentirani in vedno na voljo administratorjem, oziroma tehnikom, ki bodo postopke izvajali. Napisani morajo biti razumljivo in sicer tako, da jih lahko izvaja tudi nekdo, ki pri pisanju postopkov in namestitvi sistema ni sodeloval. Exchange 2003 prinaša tudi možnost povrnitve podatkov v takoimenovano Recovery Storage Group (RSG), kjer lahko na isti strežnik povrnemo poljubno Exchange podatkovno bazo in podatke s programom ExMerge prenesemo v uporabniške poštne predale. RSG skupaj z možnostjo ustvarjanja nove (prazne) Exchange podatkovne baze (dial – tone) omogoča takojšnjo prijavo in delo uporabnikov elektronske pošte, podatke pa povrnemo lahko kasneje preko RSG in z ExMerge programom. Nastavitve, ki jih prikazuje slika 19, nam omogočajo v določenih nastavljenih časovnih intervalih zelo hitro povrnitev podatkov, tako iz javnih map kot tudi iz uporabniških poštnih predalov. Izbrisana poštna sporočila lahko povrnemo kar na uporabniški strani, saj si lahko v Outlook-u izberemo možnost Obnovi izbrisane elemente in povrnemo posamezno poštno sporočilo. Podobno lahko izvajamo to tudi na javnih mapah. Exchange 2003 v svoji zasnovi prinaša veliko novosti okoli varovanja in povrnitve podatkov. Administratorji lahko tako zelo hitro povrnejo podatke na stanje pred katastrofo in na ta način uporabnikom omogočijo nemoteno delo (Interno gradivo DURS, 2005).



6.9 MimeSweper 5.1 in Microsoft Operations Manager 2005 Za celovito rešitev tako kompleksnega sistema je potrebno zagotoviti tudi varnost in aktivni nadzor nad sistemom. V ta namen je predvidena še namestitev programske opreme za nadzor nad elektronskimi sporočili ClearSwift MimeSweeper for Gateways 5.1 in programske opreme za nadzor nad strojno in programsko opremo Microsoft Operations Manager 2005. ClearSwift MimeSweeper for Gateways 5.1 Omenjena programska oprema skrbi za nadzor nad elektronskimi sporočili v prehodu, kar pomeni, da se vsa elektronska sporočila preverijo še preden pridejo do uporabniških poštnih predalov. Elektronska pošta je v zadnjem času doživela nesluten razmah. V DURS omrežje dnevno pride okoli 15.000 poštnih sporočil in zato je pomembno, da zagotovimo, da naši uporabniki dobivajo v poštne predale vsebino, ki je zgolj službene narave. Število poslanih in prejetih multimedijskih priponk strahovito narašča, kar bremeni in polni poštne predale naših uporabnikov. Pri analizi prometa poštnih sporočil, ki se pretakajo po DURS omrežju, je bilo ugotovljeno, da velika večina elektronskih sporočil ni službene narave in po nepotrebnem obremenjuje poštne predale in veča promet na omrežju. Zato je uvedba tovrstnega sistema nujna. MimeSweeper 5.1 omogoča preverjanje elektronskih vsebin po vsebini, neželjeni pošti (SPAM), virusom, možna je blokada priponk multimedijske in neprimerne vsebine, poleg tega pa omogoča tudi vse vrste obveščanja, prepošiljanja sporočil in podobno. Neželjena sporočila se zaustavlja glede na prednaročene RBL liste, ki se dnevno osvežujejo. Zaustavljena sporočila se hranijo 7 dni, po tem času se avtomatično brišejo. Pošiljateljem elektronskih sporočil neprimerne vsebine je potrebno poslati obvestilo o zaustavljenih elektronskih sporočilih, kjer je navedeno, da v primeru, da je šlo za sporočilo službene narave in je bilo nepotrebno zaustavljeno, obvestijo administratorja. Pred uvedbo sistema je potrebno zaposlene in uporabnike elektronske pošte na DURS-u o planiranih aktivnostih obvestiti, potrebno pa je pripraviti tudi podroben dokument, ki poleg tehničnih lastnosti omejevanja elektronskih sporočil vsebuje tudi osnovna priporočila o uporabi elektronske pošte za zaposlene v državnih organih. Sistem omogoča zelo podrobno izdelavo poročil, ki so na voljo vodstvu, ki lahko v primerih zlorabe primerno, disciplinsko ukrepajo. Po predvidevanjih bi se mrežni promet s poštnimi sporočili moral zmanjšati za polovico, kar bo pripomoglo k boljši odzivnosti sistema. Sistem sam seveda omogoča tudi izjeme, torej nastavitev določenih poštnih predalov, ki imajo manjše omejitve glede prejemanja poštnih sporočil. Nastavitve se izvajajo glede na naslovniške liste, ki so lahko vezane na Aktivni imenik ali pa se zgradijo ročno. V arhitekturi postavitve se predvideva postavitev dveh strežnikov, ki delujeta tako, da si porazdelita poštni promet in sicer v prihodu glede na DNS MX zapis, v odhodu pa se sporočila preusmerijo na enega od njih. V primeru izpada katerega od njiju je možno enostavno in hitro vsa sporočila preusmeriti na drugi (delujoč) strežnik.



Microsoft Operation Manager 2005 Microsoft Operations Manager 2005 (MOM 2005) je programska oprema za aktivni nadzor nad strojno in programsko opremo. V našem okolju se predvideva podroben nadzor nad delovanjem Aktivnega imenika, sporočilnega sistema Exchange, SQL strežnikov in več ali manj vseh nameščenih strežnikov z Microsoftovo programsko opremo. MOM 2005 omogoča centraliziran pogled na distribuiranim sistemom bodisi Aktivnega imenika, Exchange organizacije ali pa vseh nameščenih strežnikov v organizaciji. Arhitektura je skalabilna, MOM strežnike je moč dodajati v organizacijo po potrebi, optimiziran pa je tudi omrežni promet. Strežnike, ki jih želimo nadzorovati, lahko enostavno poiščemo in namestimo preko poizvedb, omogočeno je obveščanje uporabnikov o kritičnih dogodkih (preko elektronskih sporočil, SMS obvestil, paging), uporabniški vmesnik je moč poljubno prilagoditi in podobno. Sistem uporablja nameščene agente na nadzorovanih strežnikih, dodatno nameščena tipska programska oprema (Management Pack) pa omogoča zelo podrobno nadzorovanje posameznega strežnika in na njem nameščene programske opreme. Management Pack-i so narejeni in prirejeni predvsem za Microsoftove strežnike in servise (Exchange, SQL, Windows 2003 server, DNS, WINS , DHCP itd.), gradijo in razvijajo pa jih tudi vsi večji ponudniki strojne in programske opreme (Dell , HP itd.). Arhitekturna zasova MOM 2005 temelji na večnivojski zasnovi:

• podatkovni izvori (data sources) o dogodki

Windows OS dogodki aplikacije spremembe servisov manjkajoči dogodki časovni dogodki

o performančni podatki risanje grafov izdelava poročil

• opozorila (Alerts) o MOM opozorila na določene dogogodke

• odgovori in reakcije (Response) o reakcija glede na opozorilo (Email,SMS, paging ...)

• Management Packs o skupina predefiniranih pravil za nadzor nad aplikacijami o podpora pogledom in poročilom

Na vsak nadzorovan strežnik je potrebno namesti agenta, ki centralnemu MOM strežniku pošilja informacije o svojem »zdravju«. Agente je moč namestiti avtomatično ali pa ročno. Komunikacija poteka po točno določenem portu (privzeto 1270), ki mora biti dovoljen na požarni pregradi.



Slika 20 – Diagram iz Microsoft Operations Manager 2005 Za potrebe naše migracije bo, najprej potrebno namestiti MOM agente na vse Exchange strežnike v ospredju in na gruči ter primerno konfigurirati Management Pack za Microsoft Exchange 2003. Z namestitvijo in pravilno konfiguracijo pridobimo aktivni nadzor nad Exchange organizacijo. Samo za Exchange je moč nadzorovati več kot 1700 dogodkov, ki jih lahko združujemo po pomebnosti. Vsak dogodek vsebuje tudi bazo znanja z osnovnim obvestilom o napaki in predlogom rešitve ter povezavo na Microsoftovo bazo znanja z določenim člankom, ki opisuje težavo. Sama administracija MOM 2005 poteka preko administracijske konzole, kjer se nastavi splošne (globalne) namestitve, namesti agente po strežnikih, nastavi operaterje in podobno. Dogodke pa spremljamo z Operator konzole, kjer se beležijo vsi dogodki.



7 ZAKLJUČEK Projekt nadgradnje poštno sporočilnega sistema je zahteven projekt. Zahteva resen in pravilen pristop k vodenju projekta, dokumentacije, obveščanju ljudi v ekipi in sodelovanje vseh udeleženih v projektu, skratka timsko delo. Davčni sistem vsebinsko, procesno, organizacijsko in tehnološko sodi med kompleksnejše sisteme. Administracija in nadzor sta centralizirana, okolje poenoteno. Z uspešnim končanjem projekta bo izvedena tudi konsolidacija poštno sporočilnega sistema, tako programske kot tudi strojne opreme. Vzdrževanje omrežja bo tako enostavnejše, sistem pa bolj prilagodljiv, predvsem pa bolj varen. 7.1 Ocena učinkov migracije Učinki migracije na nov sporočilni sistem bodo vidni takoj. Skozi projekt se bo poenotilo delovno okolje uporabnikov. Vsi uporabniki bodo imeli enak operacijski sistem na delovnih postajah, Microsoft Windows XP in programsko opremo Microsoft Office 2003. Nameščena programska oprema bo slovenska. Na ta način bo lažje obvladovanje okolja in administracija sistema. Po izvedenem šolanju za uporabnike se bo zmanjšalo tudi število klicev v oddelek za podporo in pomoč uporabnikom. Uporabniki bodo lahko imeli večje velikosti poštnih predalov in manjše omejitve pri pošiljanju elektronskih sporočil. Z uvedbo orodij za preprečevanje neželjene pošte in omejevanja multimedijskih priponk bodo uporabniki v poštne predale prejemali predvsem elektronska sporočila službene narave. Med projektom se bodo nadgrajevale tudi omrežne povezave, zato bodo dostopi in uporaba Interneta še hitrejši. Uporabniki bodo z novo različico poštno sporočilnega sistema MS Exchange 2003 dobili tudi možnost dostopanja do elektronske pošte preko spleta (Outlook Web Access) in mobilnih naprav preko ActiveSync tehnologije. Za skrbnike (administratorje) sistema je prednosti še več. Konsolidacija strojne opreme pomeni, da bo vsa strojna oprema locirana na centralni lokaciji Generalnega davčnega urada. Vsi stari strežniki, na katerih teče programska oprema MS Exchange 5.5 in so bili nameščeni na lokacijah naših davčnih uradov, se bodo odstranili in umaknili iz omrežja. Nova strojna oprema bo nameščena v gruči (cluster) in bo na ta način omogočala visoko zanesljivost in varnost delovanja. Domenski administratorji sistema, ki so locirani samo na lokaciji Generalnega davčnega urada, bodo tako imeli tudi fizični dostop do vseh nameščenih strežnikov in na ta način bo lažje obvladovanje težav v primeru okvare sistema. Konsolidacija programske opreme skrbnikom prinaša enotno administracijsko orodje za nadzor nad delovanjem. Vsi podatki o uporabnikih, njihovih atributih, nastavitvah poštnih predalov in podobno so sedaj dostopni preko administracijskega orodja Aktivnega imenika. Tako skrbnikom ni več potrebno dostopati do 16 različnih strežnikov MS Exchange 5.5 in ločeno urejati nastavitve poštnih predalov in dostopov do omrežja. Močno je izboljšan tudi nadzor nad pretokom elektronskih sporočil, boljše so tudi možnosti varovanja in povrnitve podatkov v primeru obnove po katastrofi.



V sklopu migracije in celotnega projekta bo nameščena tudi programska oprema, ki skrbi za preprečevanje neželjenih elektronski sporočil. Zaustavljala se bodo vsa neželjena (SPAM) elektronska sporočila, prav tako pa tudi vsa multimedijska vsebina, ki nima povezave s službenimi procesi. Na ta način se bo bistveno zmanjšal promet po omrežju, v poštnih predalih uporabnikov bo manj elektronskih sporočil, oziroma bodo samo tista, ki so službene narave. Tako bodo manj obremenjeni tudi poštni strežniki, manjše bodo baze podatkov in na ta način krajši časi pri pisanju varnostnih kopij na trakove. Z uvedbo programske opreme Microsoft Operations Manager 2005 skrbniki sistema dobijo močno orodje za proaktivno spremljanje dogajanja na omrežju, kar jim omogoča pravočasno odkrivanje in s tem tudi reševanje napak, tako na strojni kot tudi na programski opremi. 7.2 Pogoji za uvedbo Za uspešno izvedbo projekta in rešitve morajo biti zagotovljena finačna sredstva in kadrovska podpora. Davčna uprava RS je organ v sestavi Ministrstva za finance in kot tak del državnih organov. Finančna sredstva je potrebno predvideti pri načrtovanju projekta. Za nakup strojne in programske opreme je potrebno izvesti javni razpis in izbrati ponudnika. V projektu je potrebno predvideti, da so tovrstni postopki lahko dolgotrajni. Za tehnično izvedbo projekta je potrebno predvideti kadrovsko pomoč oziroma izkoristiti možnosti, ki jih ima Davčna uprava RS kot podpisnik PJS (Premier Joint Support) pogodbe z Microsoftom. Projektna ekipa mora biti sestavljena iz preverjenih in strokovno usposobljenih kadrov, saj je projekt tehnično zelo zahteven in obsega vsa področja informacijskih tehnologij Davčne uprave RS. Za tako zahteven in obsežen projekt (tehnično in finančno) je potrebno imeti tudi podporo vodstva podjetja in slediti načrtom in viziji informacijskega napredka Davčne uprave RS. 7.3 Možnost nadaljnjega razvoja Z uvedbo projekta, se bo zaključil dolgoletni proces prenove informacijskega sistema Davčne uprave RS, ki se je začel leta 1999. V prvi fazi je bilo takrat postavljeno NT omrežje s strežnikom Microsoft Windows NT 4.0, ki je skrbel za prijavo uporabnikov in upravljanje domene, ter Microsoft Exchange 5.5 poštnim strežnikom. Na vsaki lokaciji Davčnega urada je bil nameščen domenski in poštni strežnik. V nadaljevanju projekta je Davčna uprava RS v letih 2001 in 2002 najprej prešla na Windows 2000 in Aktivni imenik in kasneje še na vseh davčnih izpostavah prešla z Novell 3.2 okolja na Windows 2000. Konec leta 2004 je bila izvedena migracija na Microsoft Windows 2003 Aktivni imenik. Projekt migracije in konsolidacije strojne in programske opreme na Microsoft Exchange 2003 , skupaj z urejanjem okolja delovnih postaj in dviga hitrosti omrežnih povezav zaključuje proces nadgradnje informacijskega sistema Davčne uprave RS. Nadaljnji razvoj DURS omrežja bo tako temeljil na Microsoftovi programski opremi, Aktivnem imeniku in upravljanjem okolja s skupinskimi politikami. Na ta način imajo skrbniki in tudi vodstvo popoln pregled nad nameščeno programsko in strojno opremo in sledijo informacijski viziji podjetja.



LITERATURA IN VIRI

Bernik, I., Rajkovič, V., Florjančič, M., (1999), Informacijska tehnologija kot element organiziranja kadrovske dejavnosti. Kovač, J., Sodobne oblike in pristopi pri organiziranju podjetij in drugih organizacij, Univerza v Mariboru, Fakulteta za organizacijske vede, Kranj str.267-288 Gordon, J., Gordon, R., (1999), Information systems: A management approach. 2nd edition. Fort Worth: Harcourt Brace & Company, str. 586 Gradišar, M., Resinovič, G., (1994) , Informatika , Moderna organizacija, Kranj str. 427 Hajtnik, T., (2002), Priporočila za pripravo informacijske varnostne politike, Center Vlade za Informatiko str. 123-200 McBee , J. (2003), Microsoft Exchange Server 2003 24Seven , Sybex Minasi, M.; Anderson, C.; Beveridge, M.; Justice, L. (2003) , Mastering Windows Server 2003, Sybex Redmond , T. (2003), Microsoft Exchange Server 2003 , Digital Press Unkroth, K.; Molony, E.; Cherny, P.; Reid, B.; Strachan, F.; English, B; (2005) Microsoft Exchange Server 2003 Resource Kit Todd, G. (1998) , Microsoft Exchange Server 5.5. Unleashed, Sams Interno gradivo DURS (2005), Projektna dokumentacija : Prehod na Microsoft Exchange Server 2003 v gruči Interno gradivo DURS (2005), Postopek obnove domene durs.si v testno okolje Davčna Uprava RS , domača stran, 2005 : http://www.gov.si/durs Zakon o javnih naročilih (ZJN-1) , 2005 : http://uu1.ijs.si/nabava/ZJN-1_zakon_o_javnih_narocilih.htm Microsoft Sistem Windows Server, 2005 : http://www.microsoft.com/slovenija/windowsserversystem/default.mspx Microsoft Support, 2005: http://support.microsoft.com MSExchange.org , 2005 : http://www.msexchange.org

Documents

PREHOD IN KONSOLIDACIJA STREŽNIKOV POŠTNO … · Microsoft Exchange 2003 za potrebe Davčne Uprave RS stran 10 od 63 Prenova informacijskega sistema lahko obsega prenovo posameznih