Рейтинг@Mail.ru

Служба каталога и система электронной почты

Услуги электронной почты и совместного доступа к сетевым ресурсам являются, по-видимому, наиболее востребованными в вычислительной сети любого предприятия. В масштабах до нескольких сот пользователей организовать подобные сервисы не представляет никаких проблем. Однако надежность и гибкость управления полученным решением зачастую оказываются низкими. Зачастую причина этого – невысокая квалификация и опыт проектировщиков, установщиков, и специалистов эксплуатации.

Любой руководитель IT подразделения компании рано или поздно сталкивается с отказом в работе этих, основополагающих составляющих:

  • Службы каталога Windows (Active Directory), которая осуществляет контроль доступа пользователей к:
    • Персональным компьютерам
    • Принтерам
    • Общим папкам и другим сетевым ресурсам
  • Сети интернет
  • Службы сертификатов (доступ к корпоративным ресурсам, авторизация беспроводного подключения, шифрование файлов)
  • Службы автоматического обновления компонентов Windows и программного обеспечения Microsoft (сокращение трафика Интернет, предотвращение проблем с безопасностью
  • Службы электронной почты

Действительно, неработоспособность любого из этих компонентов может иметь катастрофические последствия для бизнеса. Допустим, разрушилось хранилище почтовых сообщений, а резервной копии нет – зачастую это означает, что все письма в организации потеряны. Или же единственный контроллер домена дал сбой – работа офиса будет просто парализована. Конечно, большинство неисправностей можно устранить, если вы делаете регулярные резервные копии. Однако время, потраченное на восстановление, плюс неизбежное пропадание изменений с момента последнего резервирование, может нанести существенный удар по бизнесу.

Руководствуясь принципом, что появления большинства проблем можно избежать в принципе путем изначально грамотного дизайна, один из заказчиков ООО 'Нетамс' обратился к нам с запросом построения отказоустойчивой службы каталогов и электронной почты для своего подразделения, в котором работает порядка 200 сотрудников. При этом были поставлены следующие ограничения:

  • Наличие двух технологических площадок для размещения оборудования
  • Создание управляемой иерархии пользователей в службе каталога Windows
  • Миграция службы каталогов Windows с версии 2003 до 2008R2
  • Миграция имеющейся почтовой службы Microsoft Exchange версии 2003 на версию 2010 с реализацией функций отказоустойчивости, удаленного доступа сотрудников к веб-интерфейсу почтовой системы.
  • Полноценная фильтрация электронной почты от спама и вирусов

Специалисты ООО 'Нетамс' успешно справились со всеми поставленными задачами. Миграция службы каталогов прошла успешно. Контроллеры доменов были распределены между двумя площадками (два на одной, третий на другой). Поддерживается полная репликация службы каталогов между всеми тремя контроллерами, сбой одного или двух контроллеров не оказывает заметного влияния на работоспособность сети. Данные о настройках пользователей не пропадут никогда. Естественно, применяется автоматическое регулярное резервирование (средствами VMware и BackupExec) контроллеров с одной площадки на другую.

Установленная иерархия пользователей в службе каталогов позволила эффективно и наглядно распределить права доступа к сетевым папкам, принтерам, беспроводной сети. Использование групповых политик позволило контролировать параметры пользовательских, и компьютерных настроек в домене.

Почтовая система была переведена на Microsoft Exchange 2010 с общей группой доступности базы данных. Таким образом, оба разнесенных по площадкам сервера Exchange имеют одинаковые настройки и обращаются к одной, постоянно синхронизируемой базе данных почтовых сообщений. Отказ одного из серверов не приведет к пропаданию писем, а работа почтовых клиентов никак не нарушится (произойдет автоматическое подключение к второму серверу). При этом сама база данных Exchange расположена на зеркалируемых (RAID 1) дисках, а лог-файлы – на другой паре RAID1 дисков.

Веб-доступ к почтовой службе извне локальной сети (Outlook WebApp) происходит через сервер-посредник, в качестве которого установлен программный продукт Microsoft Forefront TMG 2010.

Фильтрация входящей почты от спама и вирусов производится на специальном выделенном (виртуальном) почтовом сервере-посреднике. Используется бесплатное программное обеспечение Debian Linux, exim, spamassassin, dcc, clamav. Гибкость, которую проявляют эти программные продукты, удалось использовать для прецизионной настройки фильтрации электронной почты, которая позволила сократить поток нежелательных писем в сотни раз. К сожалению, штатные средства Exchange не позволяют реализовать подобное.

Таким образом, заказчик получил высоконадежную, гибкую и в то же время простую систему электронной почты и службы каталогов.

Проекты