Active Directory Design Lofoten Vågan kommune IKT-AVDELIGE JULI-2006 Side 1 av 11
Innhold: 1....3 1.1. SIKKERHET OG ACTIVE DIRECTORY KOSOLIDERIG...3 1.2. OM DETTE DOKUMETET...3 2. SIKRIG AV SESITIVT...3 2.1. FELLES: ALLE SKISSERTE ALTERATIV...3 2.2. ALTERATIV A: SERVER ISOLERIG MED IPSEC...4 2.3. ALTERATIV B SERVER ISOLERIG MED ADMIISTRATIVT...4 2.4. ALTERATIV C: SERVER ISOLERIG MED EGE SITE...6 3. DOMEE OG SITE DESIG...7 3.1. DOMEE STRUKTUR ALTERATIVER:...7 3.2. SITE STRUKTUR...8 3.2.1. FELLES...8 3.2.2. SITE OG DC PLASSERIG...8 3.2.3. SITELIKER...9 4. OU DESIG...10 4.1. OU STRUKTUR...10 5. STØTTE FOR ELDRE KLIETER...11 Side 2 av 11
1.Active Directory Design Lofoten 1.1.Sikkerhet og Active Directory konsolidering Følgene krav skal oppnås med dette designet: Administrasjon sentraliseres, men med mulighet for delegering av administrativt ansvar Internt og sensitivt område konsolideres i samme Active Directory. Sensitivt område sentraliseres fysisk, men må ha mulighet for en desentralisert fysisk struktur i en overgangsfase men med sentral administrasjon. Bruk av VLA eller annen styrt fysisk tilkoblingsmetode for å koble sensitive områder med ulik lokasjon sammen. Alle eksiterende administrative domener i kommunene Vågan, Flakstad, Moskenes, Værøy og Røst konsolideres i samme Active Directory. Designet skal være rasjonelt i forhold til bruk av serverresurser Designet skal ivareta sikkerhet i henhold til krav fra Datatilsynet Designet må ta hensyn til framtidig implementering av skoler i samme Active Directory struktur, følgene mulige løsninger for tilslutning av skoler må det være åpning for: o Full konsolidering av skoler inn i samme Active Directory o Implementering av eget/egne subdomene(r) for skoler i samme skog o Trust relasjon mellom eksiterende skole domener og kommune Active Directory o Kombinasjoner av overstående alternativer 1.2.Om dette dokumentet Dette dokumentet beskriver alternative løsninger som har vært vurdert, men gir likevel bare ment å være retningsgivende for valg av design. 2.Sikring av Sensitivt Område Følgene skisserer mulige løsninger for håndtering av sikker tilgang til sensitivt område. 2.1.FELLES: Alle skisserte alternativ Alle klientmaskiner og tynn klienter befinner seg i internt område, sammen med servere som ikke er definert som sensitive av Datatilsynet (eller det er gitt unntaksbestemmelser for disse av Datatilsynet). Den enkelte bruker skal ansvarliggjøres, ved skriftlig avtale, om hvor og hvordan sensitive data brukes, lagres og sikres. Eget sikkerhetsseminar avholdes for disse brukere ved behov. Fagservere i sensitivt område, som har behov for å kunne rapportere mot eksterne kilder, konfigureres slik at det kun kan opprettes tilgang for dette gjennom asjonalt Helsenett. Tilgang til applikasjoner og resurser på servere i sensitivt område, og tilsvarende tilgang til applikasjoner og resurser på servere i internt område, styres ved gruppemedlemskap i Active Directory. Lokale dataområder på servere i sensitivt område bør vurderes krypter med EFS eller lignende forutsatt at dette ikke innvirker negativt på fagapplikasjoner her. Citrix Presentation Server 4.0 brukes som terminalserverløsning (mot Microsoft Windows Server 2003 SP1, eller nyere). Applikasjonspublisering benyttes, basert på gruppemedlemskap i Active Directory, for styring av hvilke applikasjoner den enkelte bruker har tilgang til. ICA secure kryptering av sesjoner. Symantec SGS brannmurer benyttes, og Symantec SSL løsning skal implementeres. Symantec Antivirus Server løsning benyttes. Alle routere og svitsjer er Cisco produkter. Alle domenekontrollere skal kjøre Microsoft Windows Server 2003 SP1 eller nyere. Skrivere i nettverket er fra forskjellige produsenter, men med hovedvekt på Ricoh og HP. Single Sign-on løsning vurderes implementert, slik at brukere automatisk kan bli pålogget mot fagapplikasjoner som har system pålogging uavhengig av Active Directory. Side 3 av 11
2.2.ALTERATIV A: Server isolering med IPSec En Citrix styrt Terminalserverfarm, plassert i Internt Område. Sensitivt område sikres mot uønsket tilgang ved bruk av standard server isolering, hvor all trafikk til servere i sensitivt område krypteres med IPSec (AH+ESP). Samtidig brukes Indre Brannmur til å filtrere hvilke datamaskiner/grupper som kan initiere trafikk mot Sensitivt område. Brannmuren vil også styre tilgang mot asjonalt Helsenett for sensitive fagservere som har behov for dette. FIGUR 1 ALTERATIV A: SERVER ISOLERIG MED IPSEC VL A AP Flakstad PROXY Front-End MAIL IP Se c TERMIAL SERVER FARM Citrix Applikasjonspublisering PC KLIET AP Vagan DMZ AP DMZ SESITIVT IPSec ec IPS TY KLIET DOMEEKOTROLLERE ADM SERVERE (Kontroll og Overvåkning) SESITIVT BACKUP ADM. FILSERVER e re erv gs Fa YTRE FW SERVER IDRE FW Hjemmekontor EXCHAGE SERVER FIL SERVER PRIT SERVER ITERT SKOLE FIGUR 2: Skisse Fysisk layout FIL-PRIT LA: Subnett SESITIVT Merknad Figur 2: Grovskisse over endelig løsning. FAG LA: Subnett VÅGA KLIET ITERT FIL-PRIT FAG DC LA: Subnett VÅGA SERVER ITERT LA: Subnett DMZ Internett LA: Subnett DMZ AP LA: Subnett FLAKSTAD LA: Subnett MOSKEES LA: Subnett RØST LA: Subnett SKOLE Alle mellomliggende enheter og subnett framkommer ikke. Skolenettverk (alle skoler i tilknyttede kommuner) rutes i dag ut gjennom egen brannmur til Internett (ikke Ytre brannmur). Kun godkjent RDP trafikk rutes inn til kommune Alle kommuner rutes inn i sentralt (Regionalt nettverk) For ytterligere sikring av Sensitivt område kan kommunikasjon til Indre brannmur (fra internt område) gå via Ytre brannmur. LA: Subnett VÆRØY Side 4 av 11
2.3.ALTERATIV B Server isolering med Administrativt Område To Citrix styrt Terminalserverfarmer, plassert henholdsvis i Internt Område og Sensitivt Område. Sikkerhet for sensitivt område ivaretas med server isolering filtrering i brannmur og styring av trafikk slik at det ikke blir etablert direkte sesjoner fra internt område mot sensitivt område. Dette oppnås ved etablering av et administrativt mellom liggende område. Servere med kontroll og overvåkningsverktøy plasseres også i Administrativt område, konfigureres slik at de har tilgang både til sensitivt og internt område. kontroller i Administrativt område replikerer mot kontroller i internt område. FIGUR 3 ALTERATIV B: SERVER ISOLERIG MED ADMIISTRATIVT VL A AP Flakstad PROXY Front-End MAIL PC KLIET SESITIVT TERMIAL SERVER FARM DOMEEKOTROLLERE Citrix Applikasjonspublisering AP Vagan DMZ AP DMZ TY KLIET V P EXCHAGE SERVER FIL SERVER PRIT SERVER ITERT YTRE FW SERVER TERMIAL SERVER FARM Citrix Applikasjonspublisering SESITIVT Fysisk tilkobling mellom intern og administrativt område IDRE FW FILSERVER SESITIVT DOMEEKOTROLLERE CITRIX LISESSERVER Hjemmekontor ADM SERVERE (Kontroll og Overvåkning) SKOLE BACKUP ADM. ADMIISTRASJOS FIGUR 4 Skisse Fysisk layout FIL-PRIT FAG Merknad Figur 4: Grovskisse over endelig løsning. DC LA: Subnett SESITIVT LA: Subnett ADMI LA: Subnett VÅGA KLIET ITERT FIL-PRIT FAG DC LA: Subnett VÅGA SERVER ITERT LA: Subnett DMZ Internett LA: Subnett DMZ AP Alle mellomliggende enheter og subnett framkommer ikke. Skolenettverk (alle skoler i tilknyttede kommuner) rutes i dag ut gjennom egen brannmur til Internett (ikke Ytre brannmur). Kun godkjent RDP trafikk rutes inn til kommune Alle kommuner rutes inn i sentralt (Regionalt nettverk) LA: Subnett FLAKSTAD LA: Subnett MOSKEES LA: Subnett RØST LA: Subnett SKOLE LA: Subnett VÆRØY Side 5 av 11
2.4.ALTERATIV C: Server isolering med egen Site To Citrix styrt Terminalserverfarmer, plassert henholdsvis i Internt Område og Sensitivt Område. Sikkerhet for sensitivt område ivaretas ved at hele sensitivt område defineres som en egen site, og internt i siten defineres 3 underområder; Terminalservere, kontrollere og Fagservere. I hele Sensitivt Område er det fri flyt av kommunikasjon mellom underområder. Underområde kontrollere: Replikerer mot domenekontrollere i internt område (IPSec) Underområde Terminalservere: Tillater etablering av sesjoner fra internt område (Citrix) Underområde Fagservere: Tillater kun kommunikasjon fra de andre underområdene. Plasserer eventuelt Backup systemer og muligens overvåkning/kontroll systemer i underområde kontrollere. FIGUR 5 ALTERATIV C SERVER ISOLERIG MED EGE SITE VL A AP Flakstad PROXY Front-End MAIL AP Vagan DMZ AP EXCHAGE SERVER, FIL SERVER, PRIT SERVER DMZ TERMIAL SERVER FARM Citrix Applikasjonspublisering TERMIALSERVERE DOMEEKOTROLLERE ADM SERVERE (Kontroll og Overvåkning) TERMIAL SERVER FARM Citrix Applikasjonspublisering YTRE FW SERVER IDRE FW TY KLIET PC KLIET DOMEEKOTROLLERE BACKUP ADM. DOMEEKOTROLLERE ITERT Hjemmekontor FILSERVER SKOLE SESITIVT FIGUR 6 Skisse Fysisk Layout FIL-PRIT FAG LA: Subnett SESITIVT DC LA: Subnett SESITIVT LA: Subnett SESITIVT LA: Subnett VÅGA KLIET ITERT FIL-PRIT FAG DC LA: Subnett VÅGA SERVER ITERT LA: Subnett DMZ Internett Merknad Figur 6: Grovskisse over endelig løsning. Alle mellomliggende enheter og subnett framkommer ikke. Skolenettverk (alle skoler i tilknyttede kommuner) rutes i dag ut gjennom egen brannmur til Internett (ikke Ytre brannmur). Kun godkjent RDP trafikk rutes inn til kommune LA: Subnett DMZ AP LA: Subnett FLAKSTAD LA: Subnett MOSKEES LA: Subnett RØST LA: Subnett SKOLE LA: Subnett VÆRØY Alle kommuner rutes inn i sentralt (Regionalt nettverk) For ytterligere sikring av Sensitivt område kan kommunikasjon til Indre brannmur (fra internt område) gå via Ytre brannmur. Side 6 av 11
3. og Site design 3.1.DOMEE STRUKTUR ALTERATIVER: Alternativ 1 og Alternativ 2 er sammenfallende. Men tanken bak Alternativ 1 er at det kun skal være ett enkelt domene, hvor også skoler konsolideres i samme Active Directory domene. Dette vil gi en svært rasjonell bruk av serverresurser, da dette antall domenekontrollere kun vil bli avgjort av antall nødvendige sites som opprettes. Alternativ 2 baserer seg på at rotdomenet er det administrative domenet, mens skoler implementeres i eget/egne subdomener under dette. Alternativ 3 er i henhold til anbefaling og vil gi en organisering av Active Directory skogen basert på et tomt rotdomene, med eget administrativt subdomene hvor alle administrative resurser skal konsolideres. Dette gir mer fleksibilitet i forhold til implementering av nye/eksisterende domener i denne strukturen. Ulempen er bruken av serverresurser. Rotdomene navn er, da dette er et internett registrert domenenavn eid av Vågan kommune. Slik at navngiving er i henhold til anbefalinger fra Microsoft. FIGUR 7 strukturer SKOLE. ADM. SKOLE. Side 7 av 11
3.2.SITE STRUKTUR Antall nødvendig Sites er kun estimert, og eventuelle skole Sites er ikke definert, da dette er avhengig av hvilken løsning som velges for implementering/tilknytting av skoler i domenet. Alternativer med og uten definert Site for sensitivt område. FIGUR 8 Site strukturer Site_Sensitiv Sensitiv Site_Flakstad01 Site_Rost01 Site_Flakstad01 Site_Rost01 Site_Vagan01 Site_Vagan01 Site_Varoy01 Site_Moskenes01 Site_Varoy01 Site_Moskenes01 3.2.1.Felles Alle definerte Sites inngår som en del av internt område (Unntatt eventuell Sensitiv Site). Replikering mellom domenekontrollere krypteres med IPSec for å gi maksimal sikkerhet mot at Active Directory data kan komme på avveie. Alle WA linjer i interkommunalt nett (SDSL) er fysisk koblet om Ytre FW. I hver site kan det inngå flere subnett. Hver Site skal inneholde et minimum av tjenester til brukere og datamaskiner tilknyttet gjeldene Site: kontroller (Global Catalog) DS (AD integrert) WIS DHCP WSUS Fil (Hjemmeområder m.m.) Print Anti-Virus Server (replikerer mot sentral Antivirus server) For øvrig må plassering av Exchange 2003 servere vurderes i forhold til faktisk båndbredde kapasitet. Vil eksisterende WA linker til Sites (2Mbps/4Mbps) ikke ha tilfredsstillende kapasitet for en ren sentral plassering av Exchange 2003, må en Exchange struktur defineres med lokale instanser/servere definert. avngiving av Sites og Sitelinker kun retningsgivende. 3.2.2.Site og DC plassering Denne fungerer som sentral Site for det interkommunale Active Directory nettverket i Lofoten ADM./. Alle andre Sites replikerer mot denne. Plassering av domenekontrollere er avhengig av hvilken løsning som velges i forbindelse med håndtering av tilgang til sensitivt område, og domenestruktur. Side 8 av 11
Eksempel: Velges enkelt domenestruktur, med egen site for sensitvt område kan en slik DC være aktuell: Site_Vagan01 VA-DC01 (GC) Site_Sensitiv LO-DC01 (Master rolle innehaver, alle forest og domain wide roller) LO-DC02 (GC) Site_Flakstad01 FL-DC01 (GC) Site_Moskenes01 MO-DC01 (GC) Site_Rost01 RO-DC01 (GC) Site_Varoy01 VO-DC01 (GC) Alle Sites konfigurert til å replikere med default verdier mot sentral site: Site_Vagan01. Kryptering av replikeringer mellom domenekontrollere bør vurderes (IPSec). 3.2.3.SiteLinker Båndbredden er forventet øket til 4Mbps for disse WA forbindelsene. SiteLink_Vagan01_Flakstad01 o Leid linje SDSL 2Mbps o Replikering kost: 100 o Replikering frekvens: 30 minutt SiteLink_Vagan01_Moskenes01 o Leid linje SDSL 2Mbps o Replikering kost: 100 o Replikering frekvens: 30 minutt SiteLink_Vagan01_Rost01 o Leid linje SDSL 2Mbps o Replikering kost: 100 o Replikering frekvens: 30 minutt SiteLink_Vagan01_Varoy01 o Leid linje SDSL 2Mbps o Replikering kost: 100 o Replikering frekvens: 30 minutt SiteLink_Vagan01_Sensitiv * o LA Ethernet 100/1000Mbps o Replikering kost: 100 o Replikering frekvens: 30 minutt * Forutsetter løsning hvor sensitivt område er definert som egen site. Side 9 av 11
4.OU design 4.1.OU Struktur Dersom OU er i domenet skal endres skal dette avklares/diskuteres. Det er definert følgende styringsgruppe for dette. AV TILHØRLIGHET IKT-avdelingen IKT-avdelingen IKT-avdelingen IKT-avdelingen TABELL 1 Styringsgruppe for Active Directory Lofoten FIGUR 9 OU Struktur Figuren viser ikke system opprettete OU-er eller systemkonteinere. Under hver kommune opprettes en OU struktur som i OU Brukere gjenspeiler den enkelte kommunes organisasjon (avdelinger/resultatenheter). Mens det i OU Datamaskiner opprettes en OU struktur basert på plassering (lokasjon) av datamaskinene. KOMMUER FLAKSTAD MOSKEES ADM. ROST IKT BRUKERE VAGA DATAMASKIER BRUKERE GRUPPER AVDELIG LOFOTE AVDELIG GRUPPER AVDELIG ITER AVDELIG SESITIV TERMIAL DATAMASKIER LOKASJO KOMMUER FLAKSTAD LOKASJO MOSKEES GRUPPER ROST SERVERE VAGA VAROY VAROY Side 10 av 11
5. Støtte for eldre klienter Forutsetter at alle klientdatamaskiner som skal være medlem i domenet kjører operativsystemet Microsoft Windows 2000 Professional SP4 (eller nyere). er som kjører eldre operativsystemer defineres organisatorisk som Tynn klienter, som kun kan fungere som plattform for ICA terminalserver klienter. Dette både pga sikkerhets og administrative krav. Side 11 av 11