ИТ-архитектура от А до Я: Комплексное решение. Первое издание

•Базовые знания по технологиям виртуализации;

•Продвинутые знания по Windows 2016 Server;

•Продвинутые знания по Windows Active Directory и DNS;

•Продвинутые знания по администрированию активного каталога, настройка DNS, групповых политик;

•Продвинутые знания по сервисам инфраструктуры Microsoft;

•Опыт работы по внедрению и сопровождению систем Windows 2016 (не менее одного года) схожей инфраструктуры;

Система обновления

Используется выделенный сервис WSUS или «A02 Система обновлений WSUS в составе SCCM 2016». Обновление серверов леса и дерева через выделенный сервер обновления. Ввиду важности сервиса необходимо тестирование обновлений. Обновление серверов может происходить последовательно без прерывания работы в рабочие часы. Порядок обновления серверов не имеет значения. Желательно для серверов сегмента «T0 Servers» иметь выделенный сервер обновлений.

Резервирование

Вне зависимости от активности организации, как правило объем изменений базы активного каталога и контролера незначительный. Резервные копии серверов можно хранить в течении двух месяцев. Для восстановления достаточно наличие последней полной резервной копии сервера. Рекомендуемая схема резервного копирования:

5 Last Days (Differential) +1 Last Week (Full) + one Current Month (Full)

Необходимое пространства для резервных копий:

Максимальное пространство для резервных копий одного сервера порядка 75GB. Для резервных копий основного сайта, с учетом 60% заполнения дисков порядка 300GB. Для резервного сайта – 150GB.

Архивирование

Архивирование резервных копий серверов возможно в течении 2—12 месяцев. Рекомендуемая схема архивирования: 2 Months (Full Backups). Как правило нет необходимости в хранении архива виртуальных машин.

Оценка рисков

Оценка рисков, связанных с функционированием сервиса можно свести к следующим трем ключевым анализам:

•BIA анализ – Отказ сервиса ведет к отказу большинства технических и бизнес сервисов и как следствие простой в работе организации. В следствии этого отказоустойчивость и доступность сервиса является критическими значениями.

•SFA (P) анализ – анализ отказа сервисов и служб необходимых для работы текущего сервиса. В нашем случае как пример, компоненты сервиса развернуты на платформе виртуализации и значить зависит от корневых сервисов С01-С03:

SFA (P) анализ

•SFA (D) анализ – анализ работы сервисов при отказе данного сервиса и определение весового показатель критичности сервиса. В данном случае контролер домена и служба DNS является критичной для большинства ИТ сервисов и как пример:

SFA (D) анализ

•CFIA анализ – анализ работы сервиса при отказе компонентов и их влияние. Для физических серверов анализ может включать в себя физические компоненты сервера, такие как процессор, банки оперативной памяти, адаптеры и т п.

CFIA анализ

Стоимость решения

Стоимость решения формируется из стоимости:

•Выделенных компонентов сервиса;

•Совместного использования сетевых компонентов;

•Базового сопровождение сервиса (мониторинг, обновление и т п);

В стоимость решения не входит:

•Стоимость резервного сайта;

•Стоимость «тестовой» и «образцовой» площадки;

•Стоимость по внедрению (планирование, дизайн, и т п);

•Стоимость систем обеспечения;

•Стоимость систем обновления, мониторинга и т п;

•Стоимость поддержки пользователей;

Дополнительная стоимость на доступ к сервису со стороны сотрудников может быть распределена по стоимости между ИТ сервисами и пользователями. Для снижения затрат рекомендуется использовать Microsoft Enterprise CAL Suite. Стоимость сервиса рассчитывается из планового использования в течении 3—5 лет и будет рассмотрена в следующей главе книги.

Индикаторы производительности

Мониторинг состояния параметров компонентов сервиса может включать в себя базовые показатели производительности, указанные далее в книге.

Аудит и контроль логов

Срок хранения логов как правило порядка 12 месяцев. В зависимости от наличия системы централизованного сбора логов или политики ИБ организации, событий могут хранится отдельно или в составе архивных копий виртуальных машин. Журнал логов должен быть доступен сотрудникам департамента Безопасности. Должно быть обеспечена целостность и неизменность логов на всем протяжении жизненного цикла.

Требуется, через групповые политики, настроить следующие механизмы аудита:

•Computer\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy

•Computer\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies

•Computer\Policies\Windows Settings\Security Settings\Local Policies\Security Options

•Audit Account Logon Event

•Audit Account Management

•Audit Directory Service Access

•Audit Logon Events (Local Computer)

•Audit Object Access (Access non-Active Directory objects)