Na Univerzitě Hradec Králové dochází k migraci datového centra

Situace

Celá síť UHK byla připojena přímo k Internetu, všechny servery i stanice měly veřejné IP adresy, filtrování provozu bylo zajišťováno pouze pomocí nastavení routeru pro připojení do sítě HKNET. Interní DNS server byl používán zároveň i jako externí pro překlad dotazů z Internetu. Každá budova UHK byla k síti HKNET připojena samostatně. Tento stav byl nevyhovující zejména z důvodu provozní zátěže a bezpečného provozu.

Obchodní cíle

K cílům projektu patřilo:

• Sjednocení síťového prostředí v rámci metropolitní sítě HKNet. V průběhu tohoto procesu došlo ke kompletní změně IP adresace u všech lokalit Univerzity Hradec Králové, konfigurace VLAN, zavedení překladu adres a instalace Microsoft ISA Server 2000, který v současné době funguje jako jediný centrální přístup na Internet.
• Detailní audit aplikačních služeb, které mají být přístupné uživatelům z Internetu. Pouze tyto služby byly publikovány na firewallu MS ISA Server 2000.
• Migrace síťových služeb na nový hardware včetně jejich zabezpečení. Do této kategorie patří především souborové služby, komunikační systém Microsoft Exchange Server 2000, Internet Information Server 5.0 a Microsoft SQL Server 2000.
• Centrální dohled a administrace. Implementace Microsoft Operations Manager 2000.

Řešení

Univerzitní informační systém UHK je postaven na technologiích společnosti Microsoft. Páteř systému tvoří operační systém Microsoft Windows 2000 Server, poštovní systém Microsoft Exchange Server 2000, webové aplikace využívají službu Internet Information Server 5.0.

Obecný popis infrastruktury UHK
UHK využívá jednodoménový model adresářové služby Windows 2000 Active Directory (doména UHK.CZ). Systém je dimenzován na řádově 6 tisíc uživatelů. Active Directory využívá poštovní server Microsoft Exchange Server 2000, na kterém se nachází schránky všech uživatelů. Mezi další klíčové služby se řadí souborové služby, které zpřístupňují dnes uživatelům celkem cca. 400 GB osobních i veřejně přístupných dat a software. Jako databázový systém je využíván Microsoft SQL Server 2000, který nabízí kompletní prostředí pro vývoj a provoz vysokozátěžových databázových aplikací.

Služby poskytované uživatelům
Každý uživatel sítě UHK má k dispozici určenou kapacitu diskového prostoru na síťovém serveru, kde si může ukládat svoje dokumenty, kam se mu ukládá uživatelský profil a kde si může vytvářet a udržovat své webové stránky, které jsou pak přístupné z Internetu. Uživatelé mají dispozici poštovní schránky s limitovanou kapacitou. K datům mají uživatelé přístup nejen v rámci univerzity, ale též mimo ni. Konkrétně se jedná o služby MS Outlook Web Access, FTP (součást IIS). Uživatelé mají dále možnost přistupovat k Internetu z vlastních notebooků prostřednictvím technologie WiFi.

Provozované internetové služby
Univerzita Hradec Králové je připojena do metropolitní sítě HKNET a pak dále na Internet přes akademickou sít CESNET2 přenosovou rychlostí 2.4 Gbps.

Strategie zabezpečení informačních systémů
Bezpečnost informačních systémů patří mezi technologické priority UHK. Dostatečně zabezpečené prostředí není zajištěno instalací jednoho produktu, ale jedná se o komplexní problém zahrnující řadu technologií, včetně prvků pro detekci virů a průniků do systému, firewallu, posílení operačních systémů, ověřování a auditování.

Postup řešení
Vzhledem ke strategickému charakteru zakázky byl navržen postup prací včetně vazeb na související projekty rozdělený do těchto částí:

Etapa I. – Příprava projektu
Sumarizace podrobných informací včetně stavu aktivních prvků, konfigurace sítě, poskytovaných služeb, hardwarová a softwarová inventura.

Etapa II. – Fáze testování a ladění procesu migrace
Otestování nového hardware, kontrola záloh, ověření možnosti úspěšné a bezproblémové migrace dat, ověření migračních scénářů

Etapa III. – Příprava uživatelů na migraci
Pročištění uživatelských adresářů, odstranění nepotřebných souborů, dat a adresářových struktur, odstranění již nepoužívaných uživatelských účtů a odpovídajících domovských adresářů. Uživatelé byli seznámeni s harmonogramem prací a měli dostatek času na odstranění nežádoucích souborů. V této fázi došlo také k nastavení diskových kvót.

Etapa IV. – Vlastní realizace migrace
Vzhledem k tomu, že informační systém fakulty je využíván ke každodenní práci zaměstnanců i studentů univerzity bylo nutné realizovat proces migrace mimo pracovní dny - o víkendu.
Byla vytvořena virtuální síť VLAN, která sjednotila síťovou infrastrukturu UHK. V interní síti byly dříve používané IP adresy z veřejného rozsahu nahrazeny privátním rozsahem třídy B. Bylo vytvořeno pouze jedno centrální místo pro přístup na Internet, což umožnilo nasazení firewallu Microsoft ISA Server 2000 Standard Edition. Pro přístup z/do Internetu je využit překlad adres (NAT). DNS server byl rozdělen na interní a externí. Externí DNS je provozováno na DNS serveru HKNET, kde jsou publikovány pouze adresy veřejně dostupných služeb. Z důvodu zvyšování nároků na datový prostor byla rozložena zátěž souborového serveru na dva samostatné stroje, které poskytnou vyšší dostupnost pro neustále se zvyšující počet uživatelů.

Etapa V. – Zkušební provoz a optimalizace informačního systému
V rámci tohoto období byl IS provozován ve zkušebním režimu, i když samozřejmě plně funkční. Administrátoři byli seznámeni s řešením včetně nastavení procesů potřebných pro předání správy celé infrastruktury zpět zadavateli. Současně došlo k proškolení zodpovědných pracovníků.

Přínosy

Zvolená platforma umožnila vybudovat velice flexibilní systém, který bude splňovat stále se zvyšující nároky na poskytované služby, výkon a robustnost aplikací. Vhodně zvolený model konfigurace a precizně nastavené procesy administrace a aktualizace takového systému zajišťují, že systém dosahuje požadované úrovně stability a bezpečnosti.

Produkty a technologie

• Microsoft Windows 2000 Server
• Microsoft Windows 2000 Certificate Services
• Microsoft Exchange Server 2000
• Internet Information Server 5.0
• Microsoft SQL Server 2000
• Microsoft ISA Server 2000 Standard Edition
• Microsoft Operations Manager 2000