2 page Case Study
Publikováno: 4/26/2013
31
Ohodnoťte tuto studii:

Fakultní nemocnici Hradec Králové Fakultní nemocnice Hradec Králové se může spolehnout na robustní a přehlednou Active Directory

Fakultní nemocnice Hradec Králové patří k největším zařízením svého druhu v republice. Využívá rozsáhlou IT strukturu, u níž došlo k nasazení doménových řadičů s operačním systémem Microsoft Windows Server 2003 x64, k migraci služeb síťové infrastruktury z platformy Linux na Windows a zavedení nové struktury a politik Active Directory. Největší výhoda nového řešení spočívá ve spolehlivosti, která je pro nemocnici na prvním místě.

Výchozí stav

Fakultní nemocnice Hradec Králové (FNHK) je úspěšná státní organizace špičkové odborné úrovně, největší zaměstnavatel v Královéhradeckém kraji. Patří k největším zdravotnickým zařízením v České republice s 23 klinikami a více než 1500 lůžky. Každý rok hospitalizuje přes 40 000 pacientů, ambulantně ošetří okolo půl milionu lidí.

FNHK provádí nejsložitější chirurgické výkony a díky používaným technologiím v oblasti diagnostiky a léčby i léčebným výsledkům snese srovnání s obdobnými nemocnicemi v Evropě.
FNHK provozuje rozsáhlou heterogenní IT infrastrukturu čítající přibližně 40 serverů, z toho 26 na platformě Microsoft Windows. Klientské systémy (asi 2500 PC) jsou založeny na operačních systémech Microsoft Windows s převahou Windows 2000. K aplikačním serverům klienti přistupují v terminálovém režimu, přes webové rozhraní nebo pomocí klientského softwaru aplikace.

Služby síťové infrastruktury byly provozovány z historických důvodů na serverech Linux a nebyly zálohovány. Doména byla provozována na morálně zastaralých řadičích s operačním systémem Microsoft Windows 2000. Struktura organizačních jednotek, politiky a uživatelské profily už neodpovídaly současným potřebám, bezpečnost a dostupnost přístupu k doméně a sdíleným zdrojům nebyla dostatečná. Bylo zřejmé, že je zapotřebí konsolidovat a optimalizovat stávající implementaci Active Directory.

Obchodní cíle

FNHK si od nového řešení slibovala zejména následující:

 • Spolehlivé fungování robustního, přehledně členěného adresáře Active Directory a síťových služeb s bezpečným přístupem

 • Jasnou a jednoduchou správu sdílených síťových zdrojů a přístupu uživatelů

 • Stabilitu provozovaných systémů a maximální eliminaci bezpečnostních rizik

 • Konsolidaci verzí operačních systémů Microsoft Windows na serverech a stanicích

 • Distribuci bezpečnostních aktualizací na stanice i servery

Řešení

V březnu 2006 vznikla pod patronátem společnosti Microsoft „Úvodní studie konsolidace a optimalizace AD infrastruktury“, v níž byl popsán stávající stav a doporučeno řešení splňující potřeby FNHK v nynějším období i pro řadu budoucích let. Pro realizaci byla ve výběrovém řízení vybrána společnost AG COM, a.s. Řešení bylo rozděleno do dvou etap.

Nejprve byl podrobně zmapován a zaznamenán stav Active Directory a popsán provoz služeb síťové infrastruktury DHCP, DNS a WINS. Analýzou Windows Serverů a aktivně připojených stanic byla zjištěna skladba operačních systémů.

Měření zátěže původních doménových řadičů ukázalo, že jeden z nich v době dopolední špičky pracuje na hranici možné výkonnosti. Rozbor získaných poznatků vedl k návrhu řešení, jenž byl po konzultaci s místními správci a zapracování jejich připomínek zpracován do výstupního dokumentu.

Bylo rozhodnuto změnit platformu provozu síťových služeb z Linux na Windows, koupit nový hardware pro dva doménové řadiče, které budou sloužit zároveň jako souborové a tiskové servery.

Dále došlo k přechodu na vyšší verzi operačního systému Microsoft Windows Server 2003 R2 Standard Edition v 64bitové verzi a vzhledem k citlivosti prostředí jej v této fázi nasadit bez rozšířené funkčnosti verze R2.

Na nové servery byl nainstalován a nakonfigurován operační systém a tyto servery byly zařazeny do domény v roli doménových řadičů.

Pro síťové služby byl vyhrazen další, tak zvaný infrastrukturní server. Na něm je primárně provozována služba DHCP a jeden z doménových řadičů plní funkci záložního stand-by DHCP serveru pro případ výpadku infrastrukturního serveru.

Služba DNS je primárně provozována na doménových řadičích v režimu Active Directory Integrated, sekundárně na infrastrukturním serveru. DNS dotazy ze stanic a serverů jsou kvůli zátěži mezi servery rozděleny.

Služba WINS ve FNHK přetrvává pro podporu starších klientů. Je primárně provozována rovněž na infrastrukturním serveru, sekundárně na jednom doménovém řadiči a jsou nastaveny replikace.

Zvýšená dostupnost síťových služeb byla otestována v reálném provozu simulací výpadku infrastrukturního serveru i doménového řadiče.

Zůstal zachován jedno-forestový, jedno-doménový model s jednou site a intra-site replikačními linky. Doménové řadiče byly z důvodu vyšší bezpečnosti a dostupnosti rozmístěny geograficky odděleně. Vzhledem k jejich rolím souborových serverů byly do obou instalovány Host Bus Adaptery pro připojení diskových polí.

K umístění dat slouží výhradně přiřazený diskový prostor na SAN polích. Zátěž je mezi servery rozložena, při výpadku jednoho z nich je jeho funkce přesunuta na druhý server pouhou změnou přiřazení LUN konkrétního svazku a změnou linku v DFS.

Byla vytvořena nová struktura organizačních jednotek. Migrace konsolidovaných uživatelských účtů znamenala dlouhodobý proces, který realizovali převážně pracovníci Odboru výpočetních systémů FNHK. Pro tvorbu skupin a nastavení oprávnění se používá důsledně konvence AGDLP (Account, Global, Domain, Local, Permission). Bezpečnost přístupu je dále zajištěna auditováním přihlašování. Standardní uživatelské profily jsou typu roaming (cestovní), umístěné na SAN poli a stahují se uživatelům při přihlášení na stanici, což zaručuje možnost jejich jednoduché obnovy a všeobecnou dostupnost. Pro optimalizaci přenášených dat jsou vybrané složky trvale přesměrovány do síťového úložiště.

Aktuálnost bezpečnostních fixů zajišťuje služba WSUS. Zálohování systému je dvoufázové – na SAN pole a následně na pásku.

Pro usnadnění správy prostředí i pro časově omezené administrátorské postupy, jako byla migrace dat jednotlivých klinik, byla vytvořena řada skriptů. Jejich použití a jiné než běžné správcovské úkony byly podrobně popsány a mají je místní správci k dispozici v Administrátorské příručce.

Při návrhu i jeho realizaci bylo nutné postupovat citlivě s ohledem na omezení daná provozovanými aplikacemi a individuálním charakterem práce jednotlivých lékařských pracovišť. Podstatnou výhodou celého řešení byla možnost nákupu potřebných licencí v rámci programu Microsoft Select Education, jejichž cenová dostupnost je pro nemocnice zásadně důležitá.

Přínosy

 • Vysoká dostupnost služeb síťové infrastruktury a sdílených zdrojů

 • Bezpečnost přístupu do domény a ke sdíleným zdrojům

 • Integrace služeb síťové infrastruktury s Active Directory

 • Přehledná a snadná správa Active Directory včetně distribuce skupinových politik a delegace pravomocí

 • Otestované postupy pro havarijní situace při výpadku některého z klíčových serverů

 • Automatizované administrátorské postupy

 

*
* Za noční můru nepovažuji poruchu některé z klíčových technologií, ale výpadek velkého počtu pracovních stanic. I když v IT člověk nikdy neví, po konsolidaci Active Directory můžeme spát o mnoho klidněji. *

Ing. Miroslav Procházka
vedoucí Odboru výpočetních systémů, FNHK

*


Vybraná případová studie
RSS