Fakultní nemocnice Hradec Králové se může spolehnout na robustní a přehlednou Active Directory

Přehled řešení Profil zákazníka Země: Česká republika Odvětví: Zdravotnictví Studie ke stažení: dokument PDF, 359 KB dokument XPS, 1,0 MB Fakultní nemocnice Hradec Králové Sokolská 581 500 05 Hradec Králové Tel. +420 495 831 111 Web: www.fnhk.cz E-mail: prochazkam@fnhk.cz Fakultní nemocnice Hradec Králové náleží k největším zdravotnickým zařízením nejen ve východních Čechách, ale i v celé České republice. Profil partnera AG COM, a.s. Nám. Míru 22 503 03 Smiřice Tel. +420 435 421 312 Web: www.agcom.cz E-mail: dohnalkova@agcom.cz AG COM, a.s. poskytuje komplexní služby v oblasti počítačových sítí a systémového managementu. Disponuje certifikáty renomovaných výrobců. V partnerství s Microsoft dosáhl úrovně Gold Certified a v rámci kompetence Advanced Infrastructure Solutions specializací Active Directory and Identity Management a Systems Management. Výchozí situace Používané řešení, které vzniklo postupným vývojem za mnoho let, už nesplňovalo požadavky na dostupnost, robustnost a přehlednost. Řešení Jako nejlepší prostředek k dosažení vytyčených cílů se ukázalo efektivní a účelné využití produktů a technologií Microsoft Windows Server System. Výhody • Vysoká dostupnost služeb síťové infrastruktury a sdílených zdrojů • Bezpečnost přístupu do domény a ke sdíleným zdrojům • Integrace služeb síťové infrastruktury s Active Directory • Přehledná a snadná správa Active Directory včetně distribuce skupinových politik a delegace pravomocí • Otestované postupy pro havarijní situace při výpadku některého z klíčových serverů • Automatizované administrátorské postupy Software a služby • Microsoft Windows Server 2003 x64 SE • Microsoft Active Directory • Microsoft Select Education

Situace

Fakultní nemocnice Hradec Králové (FNHK) je úspěšná státní organizace špičkové odborné úrovně, největší zaměstnavatel v Královéhradeckém kraji. Patří k největším zdravotnickým zařízením v České republice s 23 klinikami a více než 1500 lůžky. Každý rok hospitalizuje přes 40 000 pacientů, ambulantně ošetří okolo půl milionu lidí. FNHK provádí nejsložitější chirurgické výkony a díky používaným technologiím v oblasti diagnostiky a léčby i léčebným výsledkům snese srovnání s obdobnými nemocnicemi v Evropě.

FNHK provozuje rozsáhlou heterogenní IT infrastrukturu čítající přibližně 40 serverů, z toho 26 na platformě Microsoft Windows. Klientské systémy (asi 2500 PC) jsou založeny na operačních systémech Microsoft Windows s převahou Windows 2000. K aplikačním serverům klienti přistupují v terminálovém režimu, přes webové rozhraní nebo pomocí klientského softwaru aplikace.

Služby síťové infrastruktury byly provozovány z historických důvodů na serverech Linux a nebyly zálohovány. Doména byla provozována na morálně zastaralých řadičích s operačním systémem Microsoft Windows 2000. Struktura organizačních jednotek, politiky a uživatelské profily už neodpovídaly současným potřebám, bezpečnost a dostupnost přístupu k doméně a sdíleným zdrojům nebyla dostatečná. Bylo zřejmé, že je zapotřebí konsolidovat a optimalizovat stávající implementaci Active Directory.

Obchodní cíle

FNHK si od nového řešení slibovala zejména následující:

Za noční můru nepovažuji poruchu některé z klíčových technologií, ale výpadek velkého počtu pracovních stanic. I když v IT člověk nikdy neví, po konsolidaci Active Directory můžeme spát o mnoho klidněji. Ing. Miroslav Procházka vedoucí Odboru výpočetních systémů, FNHK

Řešení

V březnu 2006 vznikla pod patronátem společnosti Microsoft „Úvodní studie konsolidace a optimalizace AD infrastruktury“, v níž byl popsán stávající stav a doporučeno řešení splňující potřeby FNHK v nynějším období i pro řadu budoucích let. Pro realizaci byla ve výběrovém řízení vybrána společnost AG COM, a.s. Řešení bylo rozděleno do dvou etap.

Nejprve byl podrobně zmapován a zaznamenán stav Active Directory a popsán provoz služeb síťové infrastruktury DHCP, DNS a WINS. Analýzou Windows Serverů a aktivně připojených stanic byla zjištěna skladba operačních systémů.

Měření zátěže původních doménových řadičů ukázalo, že jeden z nich v době dopolední špičky pracuje na hranici možné výkonnosti. Rozbor získaných poznatků vedl k návrhu řešení, jenž byl po konzultaci s místními správci a zapracování jejich připomínek zpracován do výstupního dokumentu.

Bylo rozhodnuto změnit platformu provozu síťových služeb z Linux na Windows, koupit nový hardware pro dva doménové řadiče, které budou sloužit zároveň jako souborové a tiskové servery.

Dále došlo k přechodu na vyšší verzi operačního systému Microsoft Windows Server 2003 R2 Standard Edition v 64bitové verzi a vzhledem k citlivosti prostředí jej v této fázi nasadit bez rozšířené funkčnosti verze R2.

Na nové servery byl nainstalován a nakonfigurován operační systém a tyto servery byly zařazeny do domény v roli doménových řadičů.

Pro síťové služby byl vyhrazen další, tak zvaný infrastrukturní server. Na něm je primárně provozována služba DHCP a jeden z doménových řadičů plní funkci záložního stand-by DHCP serveru pro případ výpadku infrastrukturního serveru.

Služba DNS je primárně provozována na doménových řadičích v režimu Active Directory Integrated, sekundárně na infrastrukturním serveru. DNS dotazy ze stanic a serverů jsou kvůli zátěži mezi servery rozděleny.

Služba WINS ve FNHK přetrvává pro podporu starších klientů. Je primárně provozována rovněž na infrastrukturním serveru, sekundárně na jednom doménovém řadiči a jsou nastaveny replikace.

Zvýšená dostupnost síťových služeb byla otestována v reálném provozu simulací výpadku infrastrukturního serveru i doménového řadiče.

Zůstal zachován jedno-forestový, jedno-doménový model s jednou site a intra-site replikačními linky. Doménové řadiče byly z důvodu vyšší bezpečnosti a dostupnosti rozmístěny geograficky odděleně. Vzhledem k jejich rolím souborových serverů byly do obou instalovány Host Bus Adaptery pro připojení diskových polí.

K umístění dat slouží výhradně přiřazený diskový prostor na SAN polích. Zátěž je mezi servery rozložena, při výpadku jednoho z nich je jeho funkce přesunuta na druhý server pouhou změnou přiřazení LUN konkrétního svazku a změnou linku v DFS.

Byla vytvořena nová struktura organizačních jednotek. Migrace konsolidovaných uživatelských účtů znamenala dlouhodobý proces, který realizovali převážně pracovníci Odboru výpočetních systémů FNHK. Pro tvorbu skupin a nastavení oprávnění se používá důsledně konvence AGDLP (Account, Global, Domain, Local, Permission). Bezpečnost přístupu je dále zajištěna auditováním přihlašování. Standardní uživatelské profily jsou typu roaming (cestovní), umístěné na SAN poli a stahují se uživatelům při přihlášení na stanici, což zaručuje možnost jejich jednoduché obnovy a všeobecnou dostupnost. Pro optimalizaci přenášených dat jsou vybrané složky trvale přesměrovány do síťového úložiště.

Aktuálnost bezpečnostních fixů zajišťuje služba WSUS. Zálohování systému je dvoufázové – na SAN pole a následně na pásku.

Pro usnadnění správy prostředí i pro časově omezené administrátorské postupy, jako byla migrace dat jednotlivých klinik, byla vytvořena řada skriptů. Jejich použití a jiné než běžné správcovské úkony byly podrobně popsány a mají je místní správci k dispozici v Administrátorské příručce.

Při návrhu i jeho realizaci bylo nutné postupovat citlivě s ohledem na omezení daná provozovanými aplikacemi a individuálním charakterem práce jednotlivých lékařských pracovišť. Podstatnou výhodou celého řešení byla možnost nákupu potřebných licencí v rámci programu Microsoft Select Education, jejichž cenová dostupnost je pro nemocnice zásadně důležitá.

Přínosy

Nahoru