Załącznik nr 1 d wzru umwy Opis przedmitu zamówienia BDG-II-3820-23/10 Zawartść I. Przedmit zamówienia...2 II. Opis przedmitu zamówienia wymagania minimalne...2 1. Dstawa i instalacja sprzętu:...2 2. Przygtwanie dmeny AD 2008 i aktualizacja dmeny AD 2003...3 2.1 Aktualizacja dmeny Windws 2003 d Windws 2008 zadania:...3 3. Przygtwanie Exchange 2010 i migracja pczty z Exchange 2003...6 3.1 Migracja systemu pcztweg d Exchange 2010 - zadania...6 4. Migracja serwerów ISA 2006 d Threat Management Gateway...9 4.1 WdrŜenie Threat Management Gateway...9 5. Migracja śrdwiska BlackBerry Enterprise Server 4.1 d wersji 5.0 wraz z integracją z Exchange 201012 6. Stwrzenie śrdwiska labratryjneg (wirtualizacja)...13 7. Szklenia administracyjne...13 8. Wsparcie pwdrŝeniwe...13 9. Wymagania ddatkwe...14 III. Kncepcja rzwiązania Exchange i Active Directry...18 1. Organizacja Exchange 2003 w MS...18 2. Organizacja Active Directry 2003 w MS...18 3. Knfiguracja Exchange 2010...18 4. Nwe śrdwisk Exchange 2010 i Active Directry 2008...19 5. Bezpieczeństw...19 6. Architektura rzwiązania...19 6.1 Rzmieszczenie usług...19 6.2 Wykrzystane prgramwanie...22 7. Architektura rganizacji pcztwej...23 7.1 Serwery transprtwe...23 7.1.1 Płączenia SMTP przychdzące i wychdzące...23 7.1.2 Exchange Server 2010 Hub Transprt...24 7.1.3 Dstęp uŝytkwników Client Access Server...24 8. Architektura punktu dstępweg TMG 2010...25
8.1 Magazyn dla knfiguracji serwerów Micrsft Threat Management Gateway...25 8.2 Serwery Micrsft Threat Management Gateway...25 8.3 Publikacja Micrsft Exchange...25 8.4 Ddatkwa funkcjnalnść...25 9. Bezpieczeństw...26 9.1 Hardening serwerów...26 9.2 Ochrna przed atakami typu DS i Spffing i inne zabezpieczenia...26 9.3 Zabezpieczenia antywiruswe i antyspamwe...26 MINIMALNE WYMAGANIA TECHNICZNE I. Przedmit zamówienia. Przedmitem zamówienia jest: a) Stwrzenie szczegółweg harmngramu prac związanych z realizacją przedmitu umwy z załŝeniem, iŝ cały prjekt musi zstać zakńczny w ciągu 35 dni rbczych d dnia pdpisania umwy, b) Audyt pd kątem migracji becnie eksplatwanych przez Zamawiająceg systemów IT (Active Directry, Exchange, ISA, BlackBerry) c) Stwrzenie śrdwiska labratryjneg (wirtualizacja), d) Migracja dmeny Active Directry 2003 d Active Directry 2008, e) Migracja systemu pcztweg Exchange 2003 d Exchange 2010, f) Migracja serwerów ISA 2006 d TMG, g) Migracja śrdwiska BlackBerry Enterprise Server 4.1 d wersji 5.0 wraz z integracją z Exchange 2010, h) WdrŜenie i sknfigurwanie System Center Operatins Manager 2007, i) Zapewnienie wsparcia pwdrŝeniweg, j) Przeprwadzenie szkleń administracyjnych. Opracwanie kreśla parametry funkcjnalne i techniczne na pzimie bligatryjnych wymagań minimalnych i kncepcji gólnej, która jest niezbędna d przedstawienia przez Wyknawcę rzwiązania szczegółweg. Na etapie prjektu Wyknawcy zstanie przedstawiny szczegółwy stan becnej infrastruktury u Zamawiająceg wraz z kniecznymi wyjaśnieniami. II. Opis przedmitu zamówienia wymagania minimalne. Wyknawca będzie zbwiązany d dstawy sprzętu raz przygtwania nweg śrdwiska dmeny AD 2008 i nwej rganizacji Exchange 2010. Na tym etapie Zamawiający czekuje następujących prduktów pdlegających dbirwi: 1. Dstawa i instalacja sprzętu: 1.1 Dstarczenie sprzętu zgdnie z załącznikiem nr 2 d umwy. 1.2 Wymagana instalacja wszystkich urządzeń w szafie RACK 19 Zamawiająceg. Zamawiający wymaga zapewnienia pełneg wypsaŝenia mntaŝweg raz knfigurację i uruchmienie 2
urządzeń raz prgramwania przy współpracy z administratrami Zamawiająceg. Wymagane jest dstarczenie wszelkich kabli płączeniwych raz elementów zapewniających instalację. 1.3 Wyknanie aktualizacji prgramwania typu firmware raz BIOS d najnwszych stabilnych wersji. 1.4 Przeprwadzenie testów pprawnści działania dstarczneg sprzętu. 2. Przygtwanie dmeny AD 2008 i aktualizacja dmeny AD 2003 Wyknawca mże przystąpić d aktualizacji systemów będących w psiadaniu Zamawiająceg p przedstawieniu prjektu techniczneg, który musi zstać zaakceptwany przez Zamawiająceg. 2.1 Aktualizacja dmeny Windws 2003 d Windws 2008 zadania: Od ferentów wymagane jest przygtwanie i przeprwadzenie całeg prcesu migracji dmeny, a w szczególnści: Analiza dmeny Windws 2003 pd kątem aktualizacji d Windws 2008. Przygtwanie prjektu techniczneg migracji d Windws 2008 z wykrzystaniem nwych funkcjnalnści dmeny Windws 2008: Lgicznej struktury Active Directry Nazewnictw biektów w Active Directry Struktura Lasu i Dmeny AD Pzim funkcjnalny dmeny i lasu Struktura jednstek rganizacyjnych Struktura jednstek rganizacyjnych Dmyślne jednstki rganizacyjne i kntenery Specjalne jednstki rganizacyjne Obiekty zasad grupy (GPO) Nazewnictw Zasad Grupy Zakres Przypisywanie GPO Klejnść wdraŝania ustawień Filtrwanie Zasad grupy Zarządzanie biektami Zasad grupy Delegacja kntrli administracyjnej na pzimie OU Fizycznej struktury Active Directry Lkalizacje i ilści kntrlerów dmeny Lkalizacja najbliŝszeg kntrlera dmeny Wymiarwanie sprzętu pd DC Standardwa knfiguracja kntrlera dmeny Rzmieszczenie wykazów glbalnych Rzmieszczenie wzrców peracji Rzmieszczenie (GC) i (FSMO) Tplgia Replikacji, w szczególnści: Pdsieci AD Replikacja AD przez firewall Szacunkwa bjętść replikacji między lkacjami Lgwanie d dmeny przez firewall Lkacje (Sites) Łącza lkacji (Sitelinks) Tplgia Obiekty płączeniwe (Cnnectins bjects) Serwery przyczółkwe (Bridgeheads Server) 3
Usług sieciwych DNS knfiguracja systemów krzystających z nieg Knfiguracja klientów DNS Knfiguracja serwerów DNS Opcje klienta DNS Rejestracja Rekrdów NS Ogólne rekrdy zasbwe SRV (Nn-Site specyfic) Site Cverage Synchrnizacja czasu WINS DHCP Standardwa knfiguracja zakresów DHCP Rejestracja serwerów DHCP Bezpieczeństwa Active Directry Bezpieczeństw fizyczne kntrlerów dmeny Knfiguracja kntrlerów dmeny Lkalizacja plików bazy danych AD Wybór uruchamianych usług Zabezpieczenie przed atakiem na przestrzeń dyskwą Zasad zabezpieczeń Default Dmain Plicy Passwrd Plicy Accunt Lckut Plicy Kerbers Plicy Default Dmain Cntrllers Plicy Audit Plicy User Rights Assignment Ustawienia Security Optins Ustawienia Event Lg PKI Plicy Pzstałych zasad zabezpieczeń Inspekcja Zasady inspekcji (Audit Plicy) Ustawienia inspekcji na isttnych biektach Active Directry Partycja Schematu (Schema Directry Partitin) Partycja knfiguracji (Cnfiguratin Directry Partitin) Partycja dmeny (Dmain Directry Partitin) Kntener zasad (Plicies Cntainer) Przed dknaniem aktualizacji stwrzenie wirtualneg śrdwiska labratryjneg Active Directry 2008 dzwierciedlająceg śrdwisk prdukcyjne. Instalacji i knfiguracji serwerów, systemów peracyjnych Windws 2008 R2, niezbędnych usług w celu uruchmienia systemów w rli kntrlerów dmeny. Reknfiguracja struktury fizycznej i lgicznej Active Directry jeśli będzie t wymagane i stwierdzne pdczas analizy. Zbudwanie kncepcji i scenariuszy aktualizacji uwzględniających wyniki prac labratryjnych i wymgi stawiane prceswi w ramach SIWZ. Przerganizwanie usług DNS (wewnętrznych i zewnętrznych) i DHCP łącznie z przeniesieniem na inne serwery fizyczne lub wirtualne. Instalacja kntrlerów dmeny w centrali na systemie Windws 2008 R2, raz przeniesienie usług i adresacji z kntrlerów działających w centrali na systemie Windws 2003. Aktualizacja kntrlerów dmeny w lkalizacjach Zamawiająceg d systemu Windws Server 2008 x32. Pdniesienie pzimu funkcjnalneg dmeny i lasu. Migracja uŝytkwników, grup i kmputerów d nwej wersji systemu. Aktualizacja prtkłu replikacji kntrlerów dmeny z FRS na DFS-R. 4
Mdyfikacja biektów GPO tak aby były zgdne z najlepszymi praktykami i zaleceniami Micrsft dla dmeny Windws 2008 wykrzystanie nwych funkcjnalnści raz migracja z zasad zabezpieczeń przypisanych d lkalizacji. Instalacja, uruchmienie, knfiguracja sytemu mnitringu SCOM 2007 ze strukturą Active Directry. Instalacja, uruchmienie, knfiguracja systemu antywirusweg będąceg w psiadaniu Zamawiająceg z wykrzystaniem GPO. Ustawienie kpii zapaswych wszystkich kntrlerów dmeny z wykrzystaniem prgramwania będąceg w psiadaniu Zamawiająceg. Wyknawca zbwiązany jest d przygtwania i przekazania Zamawiającemu kmpletu dkumentacji raz przygtwania i przećwiczenia prcedur peracyjnych p wdrŝeniu systemu. Dkumentacja pwinna składać się m.in. z: Dkumentacji prjektwej: Analizę bieŝąceg systemu w zakresie niezbędnym d aktualizacji, Prjekt techniczny szczegółwa knfiguracja systemu dcelweg, Plan prac wdrŝeniwych lub migracyjnych wraz z harmngramem, Scenariusze i prcedury testwe. Dkumentacja pwdrŝeniwa: Finalna knfiguracja systemu, Szczegółwy harmngram testów wraz z wniskami p testach, Naptkane prblemy pdczas wdrŝenia i spsób ich rzwiązania, W drębnym punkcie wszystkie niestandardwe ustawienia systemu lub zastswane bejścia czy teŝ kruczki, Wszystkie skrypty lub prcesy autmatyzujące pracę systemu wraz z celem, pisem działania i harmngramem uruchmień. Prcedury peracyjne: Prcedury sprawdzania dstępnści systemu Prcedury backupu systemu Backup systemu peracyjneg na kntrlerach dmeny szczegółwa prcedura wyknywania kpii bezpieczeństwa, szczegółwa prcedura sprawdzania pprawnści wyknania backupu Sugerwany schemat i harmngram backupu Prcedury dtwrzenia pszczególnych elementów systemu: Odtwrzenie kntrlera dmeny, który jest właścicielem jednej lub więcej rli FSMO Odtwrzenie kntrlera dmeny, który nie jest właścicielem FSMO Odtwrzenie całeg lasu Active Directry w przypadku katastrfy i awarii wszystkich kntrlerów dmeny Autrytatywne dtwrzenie wskazaneg biektu Szczegółwe prcedury utrzymaniwe systemu dla administratrów. Pzim szczegółwści pwinien umŝliwiać zdiagnzwanie gdzie dkładnie jest prblem, bez pisu wszystkich mŝliwych scenariuszy jeg naprawy: Odnsząc się d architektury rzwiązania, które elementy sieciwe, sprzętwe i aplikacyjne pwinny działać d pprawnej pracy systemu aplikacji, Które usługi i na jakich serwerach mają być dstępne jak t sprawdzić?, Jakie są standardwe prblemy z dmeną/systemem i spsby ich rzwiązania, Schemat pwiązań systemu z innymi systemami (wraz z infrastrukturą techniczną) Spisy zawierający sugerwane utrzymaniwe czynnści administracyjne dla daneg systemu wraz z ich interwałami czaswymi, np.: Częsttliwść kntrli pprawnści backupu, Opis zawartści lgów (kdy i pisy błędów pjawiających się w lgach), Lista elementów (serwisy, lgi, liczniki wydajnści) d mnitrwania systemu raz ich wartści prgwe, strzegawcze, krytyczne. Szczegółwe prcedury mnitrwania systemu Szczegółwe prcedury knfiguracji systemów peracyjnych Windws 2008 dla pszczególnych serwerów w Active Directry 5
Szczegółwe prcedury d GPO Prcedury migracji dmeny raz jej elementów d wersji Windws Server 2008 3. Przygtwanie Exchange 2010 i migracja pczty z Exchange 2003 Wyknawca mże przystąpić d aktualizacji systemów będących w psiadaniu Zamawiająceg p przedstawieniu prjektu techniczneg, który musi zstać zaakceptwany przez Zamawiająceg. 3.1 Migracja systemu pcztweg d Exchange 2010 - zadania Od ferentów wymagane jest przygtwanie i przeprwadzenie całeg prcesu migracji Pczty elektrnicznej, a w szczególnści: Analiza becneg systemu pd kątem migracji d Exchange 2010. Przygtwanie prjektu techniczneg migracji d systemu Exchange 2010 w knfiguracji klastrwej partej technlgię DAG zapewniającą wyską dstępnść. Instalacji i knfiguracji serwerów, systemów peracyjnych Windws 2008 R2, niezbędnych usług, systemu MS Exchange 2010, systemu antywirusweg i anty spamweg dla Exchange. Przed dknaniem migracji stwrzenie wirtualneg śrdwiska labratryjneg d Exchange 2010 dzwierciedlająceg śrdwisk prdukcyjne. Zbudwanie kncepcji i scenariuszy migracji uwzględniających wyniki prac labratryjnych i wymgi stawiane prceswi w ramach SIWZ(musi zstać zaakceptwana przez zamawiająceg). Zachwanie dtychczaswej zawartści GAL. Pwstała rganizacja Exchange 2010 musi zapewniać synchrnizację GAL i wymianę pczty z inną rganizacją Exchange 5.5 w wewnętrznej sieci resrtwej (która nie jest bjęta prjektem). Sieć wewnętrzna resrtwa nie psiada bezpśrednieg styku (płączenia) z siecią bjętą prjektem. Wymiana pczty i replikacja musi dbywać się pprzez przełącznik realizujący rtacyjne (c 15 minut) płączenia serwerów pcztwych między pdsieciami. Synchrnizacja ma zstać wyknana za pmcą MIIS (GALSync). Zmigrwanie pczty uŝytkwników d nwej rganizacji Exchange musi bsługiwać tą samą dmenę SMTP (ms.gv.pl). Przygtwanie śrdwiska d instalacji systemu Exchange. Instalacja systemu Exchange 2010 zgdnie z załŝeniami kncepcji. Instalacja prgramu antywirusweg zgdnie z załŝeniami kncepcji. Instalacja, uruchmienie, dstrjenie sytemu mnitringu SCOM 2007 z strukturą Exchange. Przygtwanie, knfiguracja systemu Exchange 2010 d współpracy z systemem mnitringu Zamawiająceg raz zdefiniwanie i uruchmienie min. 10 wskaźników, które pwinny być mnitrwane. Przygtwanie i knfiguracja systemu Exchange 2010 d współpracy z systemem backupu Zamawiająceg raz uruchmienie zadań archiwizacji zgdnie z przyjętym harmngramem. Przygtwanie serwerów mailbx i wpięcie w sieć SAN Zamawiająceg. Przygtwanie dkumentacji raz przygtwanie i przećwiczenie prcedur peracyjnych p wdrŝeniu systemu. Zachwanie becnej funkcjnalnści kmunikacji nw migrwaneg systemu Exchange 2010 z systemem Exchange 5,5 innej dmeny Zachwanie becnej funkcjnalnści kmunikacji nw migrwaneg systemu Exchange 2010 z systemem BlackBerry. Instalacji i knfiguracji serwerów, systemów z Windws 2008 R2 i usług, systemu MS Exchange 2010, systemu antywirusweg Symantec dla Exchange. Przygtwanie systemów Exchange 2003 i Exchange 2010 d migracji danych. Przeniesienie skrzynek pcztwych uŝytkwników raz flderów publicznych między serwerami Exchange 2003 i Exchange 2010. Wyknanie migracji piltaŝwej minimum 50 skrzynek, p której nastąpi przeprwadzenie testów akceptacyjnych zakńcznych pdpisaniem prtkłu dbierająceg migrację piltaŝwą. Wyknanie migracji pzstałych zasbów systemu Exchange 2003 d systemu 2010. Wyknanie wszystkich niezbędnych prac umŝliwiających bezpieczne wyłączenie systemu Exchange 2003 z systemu prdukcyjneg. 6
Wyknawca zbwiązany jest d przygtwania i przekazania Zamawiającemu kmpletu dkumentacji raz przygtwania i przećwiczenia prcedur peracyjnych p wdrŝeniu systemu. Dkumentacja pwinna składać się m.in. z: Dkumentacja prjektwa: Analiza bieŝąceg systemu pd kątem niezbędnym d migracji, Prjekt techniczny dcelwa knfiguracja systemu zawierająca między innymi: Architektura rganizacji Exchange, rzmieszczenie serwerów pcztwych z pdziałem na rle, skalwanie i knfiguracja sprzętwa, współpraca z AD, Usługi rzwiązywania nazw, knektry, certyfikaty, ustawienia antyspam wynikające z przeprwadzneg tuningu, knieczne d wyknania zmiany w becnej infrastrukturze, knfiguracja sieciwa (adresacja, prty dla współpracy przez Firewall), itp. Rzmieszczenie serwerów Exchange Server 2010 z pdziałem na rle Skalwanie i knfiguracja sprzętwa Wersje Exchange Server 2010 Prcesr Pamięć Pdsystem dyskwy Współpraca z Active Directry Wymagania Exchange 2010 względem Active Directry Rzmieszczenie biektów serwerów Exchange 2010 w strukturze lgicznej Active Directry Mdyfikacje usługi Active Directry Usługi rzwiązywania nazw DNS Suffix Knfiguracja klienta DNS serwerów Hub/CAS Knfiguracja rzwiązywania nazw dla serwerów Mailbx Knfiguracja rzwiązywania nazw dla serwerów edge Transprt Rekrdy DNS w strefie wewnętrznej Knfiguracja rekrdów PTR Rekrdy DNS w strefie publicznej Knfiguracja sieciwa Adresacja IP systemów bjętych rzwiązaniem Prty i usługi knfiguracja firewall Knfiguracja redundantnych ról Exchange Server 2010 - Serwery Transprtwe Accepted Dmains Hub Transprt server Rle Knfiguracja transprt SMTP knektry Knfiguracja reguł transprtwych Knfiguracja redundantnych ról Exchange Server 2010 - Client Access Server Outlk Anywhere 7
Autdiscver Virtual Directry ActiveSync Offline Address Bk Virtual Directry Outlk Web Access Knfiguracja Exchange Server 2010: Klaster Mailbx DAG Knfiguracja usługi Windws Clustering Dedykwna knfiguracja sieciwa dla klastra Mailbx Nazwy hstów stswane dla klastra Windws raz Mailbx Knfiguracja pdsystemu dyskweg Rzmieszczenie baz w grupach magazynwych Parametry mechanizmu replikacji DAG Knfiguracja prgramwania AV/AS Archiwizacja i dzyskiwanie p awarii Metdy zabezpieczenia serwerów Metda zabezpieczania serwerów CAS Metda zabezpieczania serwerów Hub Transprt Metda zabezpieczania serwerów IIS Harmngram archiwizacji dla serwerów w rli Mailbx Plan prac wdrŝeniwych lub migracyjnych wraz z harmngramem. Scenariusze i prcedury testwe. Dkumentacja pwdrŝeniwa wg. której pwinn być mŝliwe dtwrzenie całeg systemu zawierającej szczegółwy pis wraz z zrzutami brazu. Finalna Knfiguracja Finalna knfiguracja systemu Pczty raz systemów wraz z pwiązanymi systemami Harmngram testów wraz z wniskami p testach Naptkane prblemy pdczas wdrŝenia i spsób ich rzwiązania W drębnym punkcie wszystkie niestandardwe ustawienia systemu lub zastswane bejścia czy teŝ kruczki, Wszystkie skrypty lub prcesy autmatyzujące pracę systemu wraz z celem, pisem działania i harmngramem uruchmień. Prcedury peracyjne: Prcedury backupu systemu: Backup systemu peracyjneg na serwerach gdzie działa system, Backup samej aplikacji (binaria raz pliki knfiguracyjne) i na jakich serwerach/urządzeniach się znajdują Backup danych danej aplikacji systemu: pliki, fldery na systemach plików, lkalne raz zdalne (np. udziały sieciwe), pliki baz danych raz ich lgi itd., Szczegółwy schemat i harmngram backupu, przewidywana ilść danych, Backup całeg śrdwiska IT niezbędneg d uruchmienia aplikacji/systemu w razie ttalnej katastrfy (naleŝy wymienić systemy, d których zaleŝy wdraŝany system) Prcedurę weryfikacji dstępnści systemu z punktu widzenia administratra (lista mŝe zstać ddefiniwana przez Zamawiająceg na etapie wdrŝenia). Pzim szczegółwści pwinien umŝliwiać diagnzwanie gdzie dkładnie jest prblem, bez pisu wszystkich mŝliwych scenariuszy jeg naprawy: Odnszące się d architektury rzwiązania, które elementy sieciwe, sprzętwe i aplikacyjne pwinny działać d pprawnej pracy systemu aplikacji, Które usługi i na jakich serwerach mają być dstępne jak t sprawdzić?, Gdzie szukać szczegółwych infrmacji prblemach w aplikacji (np. szczegółwe lgi danej aplikacji), 8
Jakie są standardwe prblemy z aplikacją/systemem i spsby ich rzwiązania, Określenie elementów krytycznych systemu (wraz z kreśleniem kmpnentów(np. file system, bazy danych, itp.)) czyli jakie warunki muszą być spełnine, aby system mógł pprawnie realizwać funkcje bizneswe, Schemat pwiązań systemu z innymi systemami (wraz z infrastrukturą techniczną) Prcedurę sprawdzania dstępnści systemu z punktu widzenia klienta kńcweg, (pdręcznik dla helpdesku) Prcedury przełączenia systemu d centrum zapasweg: Opis autmatyczneg przełączania, Prcedura ręczneg przepięcia systemu d centrum zapasweg. W prcedurze ręczneg przełączania muszą być wymienine wszystkie niezbędne akcje dla administratra, krk p krku, kmenda p kmendzie Prcedurę dtwrzenia pszczególnych elementów systemu w tym prcedury disaster recvery dla pszczególnych scenariuszy: awaria serwera hub/cas awaria węzła klastra mailbx awaria pjedynczej bazy Exchange awaria pjedynczej skrzynki awaria całeg systemu Prcedur dt. skalwania systemu: a) ddanie klejnych serwerów i ich dpwiednich ról (prcedury instalacyjne) b) szacunkwych wielkści przy których knieczna jest rzbudwa daneg elementu systemu Prcedury zadania szczegółwe dla piekunów Systemu Spis zawierający sugerwane utrzymaniwe czynnści administracyjne dla daneg systemu wraz z ich interwałami czaswymi, np.: Częsttliwść kntrli pprawnści backupu Opis zawartści lgów (kdy i pisy błędów pjawiających się w lgach), Lista elementów (serwisy, lgi, liczniki wydajnści) d mnitrwania systemu raz ich wartści prgwe, strzegawcze, krytyczne. Zaleceń peracyjnych, w tym prcedura dnwienia certyfikatu. Zaleceń dt. mnitrwania pracy systemu. 4. Migracja serwerów ISA 2006 d Threat Management Gateway Wyknawca mże przystąpić d aktualizacji systemów będących w psiadaniu Zamawiająceg p przedstawieniu prjektu techniczneg, który musi zstać zaakceptwany przez Zamawiająceg. 4.1 WdrŜenie Threat Management Gateway Od ferentów wymagane jest przygtwanie i przeprwadzenie całeg prcesu wdrŝenia Threat Management Gateway, a w szczególnści: Analizy becneg systemu firewall pd kątem migracji d TMG 2010. Przygtwania prjektu techniczneg wdrŝenia/migracji d systemu Threat Management Gateway w knfiguracji klastrwej partej technlgię NLB Instalacji i knfiguracji serwerów, systemów peracyjnych Windws 2008 R2 wraz z aktualizacjami systemu, niezbędnych usług, Threat Management Gateway. Przygtwania dkumentacji raz przygtwanie i przećwiczenie prcedur peracyjnych p wdrŝeniu systemu. Przed dknaniem migracji stwrzenie wirtualneg śrdwiska labratryjneg TMG 2010 dzwierciedlająceg śrdwisk prdukcyjne. Instalacji systemu TMG zgdnie z załŝeniami kncepcji Instalacji prgramu AV/AS zgdnie z załŝeniami kncepcji 9
Przygtwania, knfiguracji systemu TMG d współpracy z systemem mnitringu SCOM 2007 raz zdefiniwanie i uruchmienie wskaźników, które pwinny być mnitrwane. Zaprjektwania, przygtwania i knfiguracji systemu TMG d współpracy z systemem backupu Zamawiająceg raz uruchmienie zadań archiwizacji zgdnie z przyjętym harmngramem. Przygtwania dkumentacji raz przygtwanie i przećwiczenie prcedur peracyjnych p wdrŝeniu systemu: Przygtwania systemów ISA 2006 i TMG 2010 d migracji danych. Reknfiguracji serwerów ISA 2006 d współpracy z TMG Reknfiguracji ruchu sieciweg w celu wykrzystania TMG Bezpieczneg usunięcia p wdrŝeniu TMG serwera ISA 2006 z systemu prdukcyjneg Przeniesienia wszystkich dtychczaswych funkcjnalnści (np. ustawienia, reguły, stref itd) na serwery TMG raz rzszerzenie nwe zgdnie z najlepszymi praktykami Micrsft Wyknawca zbwiązany jest d przygtwania i przekazania Zamawiającemu kmpletu dkumentacji raz przygtwania i przećwiczenia prcedur peracyjnych p wdrŝeniu systemu. Dkumentacja pwinna składać się m.in. z: Dkumentacja prjektwa: Analiza techniczna bieŝąceg systemu w zakresie niezbędnym d wdrŝenia, Prjekt techniczny dcelwa knfiguracja systemu (Architektura systemu, knfiguracja serwerów, knfiguracja reguł i stref, zasady i ustawienia mnitrwania, parametry lgiczneg zabezpieczenia, dzyskiwanie p awarii) Architektura systemu Threat Management Gateway i systemów wspmagających pis gólny i schematy rzwiązania Kncepcja nweg systemu Funkcjnalnść systemu Rzmieszczenie serwerów Threat Management Gateway Adresacja serwera raz trasy rutingu Ruch wychdzący z sieci wewnętrznej Ruch wchdzący d sieci wewnętrznej Ruch wychdzący z sieci zewnętrznej, kierwany d serwera Exchange Dane knfiguracyjne serwer PROXY Rle serwerów Rle serwera TMG Internal Rle serwera TMG External Knfiguracja serwera znajdująceg się w sieci wewnętrznej Nazwa serwera i przynaleŝnść d dmeny Dyski twarde i pdział na partycje Zainstalwane usługi Adresacja serwera i trasy rutingu Knfiguracja serwera TMG Knfiguracja reguł Reguły ruchu sieciweg Reguły ruchu: biekty Reguły dstępwe Wszystkie pzstałe niezbędne reguły Knfiguracja serwera znajdująceg się w sieci DMZ Nazwa serwera i przynaleŝnść d dmeny Dyski twarde i pdział na partycje Zainstalwane usługi Adresacja serwera i trasy rutingu Knfiguracja serwera TMG Knfiguracja reguł 10
Reguły ruchu sieciweg Reguły ruchu: biekty Reguły dstępwe Wszystkie pzstałe niezbędne reguły Ddatkwe funkcjnalnści Inspekcja HTTPS Kntrla pasma Publikwanie aplikacji Dstęp d sieci Filtracja URL Serwer prxy Mnitrwanie i system raprtwania Knfiguracja lgwania Knfiguracja raprtwania Knfiguracja alertów Knfiguracja mnitrwania płączeń Zabezpieczenie serwerów Archiwizacja i dzyskiwanie p awarii Metdy zabezpieczania serwerów Harmngram archiwizacji dla serwerów Threat Management Gateway Plan prac wdrŝeniwych i/lub migracyjnych wraz z harmngramem. Scenariusze i prcedury testwe Przygtwanie kmpletu dkumentacji raz przygtwanie i przećwiczenie prcedur peracyjnych p wdrŝeniu systemu Dkumentacja pwdrŝeniwa: Finalna knfiguracja systemu, Finalna knfiguracja systemu TMG raz systemów wraz z pwiązanymi systemami Harmngram testów wraz z wniskami p testach Naptkane prblemy pdczas wdrŝenia i spsób ich rzwiązania W drębnym punkcie wszystkie niestandardwe ustawienia systemu lub zastswanie bejścia czy teŝ kruczki Wszystkie skrypty lub prcesy autmatyzujące pracę systemu wraz z celem, pisem działania i harmngramem uruchmień Wniski p testach prdukcyjnych, Prcedury peracyjne: Prcedury backupu systemu: Backup systemu peracyjneg na serwerach gdzie działa system, Backup samej aplikacji (binarna raz pliki knfiguracyjne) i na jakich serwerach/urządzeniach się znajdują, Backup danych danej aplikacji systemu: pliki, fldery na systemach plików, lkalne raz zdalne (np. udziały sieciwe), pliki baz danych raz ich lgi itd., Schemat i harmngram backupu, przewidywana ilść danych Prcedurę sprawdzania dstępnści systemu z punktu widzenia klienta kńcweg (pdręcznik dla HelpDesku), Prcedurę sprawdzania dstępnści systemu z punktu widzenia administratra (zadania dzienne/tygdniwe/miesięczne). Pzim szczegółwści pwinien umŝliwiać zdiagnzwanie gdzie dkładnie jest prblem, bez pisu wszystkich mŝliwych scenariuszy naprawy: Odnsząc się d architektury rzwiązania, które elementy sieciwe, sprzętwe i aplikacyjne pwinny działać d pprawnej pracy systemu aplikacji Które usługi i na jakich serwerach mają być dstępne jak t sprawdzić?, Jakie są standardwe prblemy za aplikacją/systemem i spsby ich rzwiązania, Schemat pwiązań systemu z innymi systemami (wraz z infrastrukturą techniczną) Prcedurę dtwrzenia pszczególnych elementów systemu: JeŜeli system składa się z więcej niŝ jedneg serwera t musi być pisany prces dtwarzania kaŝdeg z nich. Prcedura musi być tak szczegółwa, aby zawierała 11
wszystkie niezbędne plecenia akcje niezbędne d pprawneg przywrócenia śrdwiska, Prcedurę dtwarzania całeg systemu w razie katastrfy jasn kreślającą klejnść dtwarzania pszczególnych elementów systemu. Spis zawierający utrzymaniwe czynnści administracyjne dla daneg systemu wraz z ich interwałami czaswymi, np.: Częsttliwść kntrli pprawnści backupu Opis zawartści lgów (kdy i pisy błędów pjawiających się w lgach), Lista elementów (serwisy, lgi, liczniki wydajnści) d mnitrwania systemu raz ich wartści prgwe, strzegawcze i krytyczne. 5. Migracja śrdwiska BlackBerry Enterprise Server 4.1 d wersji 5.0 wraz z integracją z Exchange 2010 Od Wyknawcy wymagane jest przygtwanie i przeprwadzenie całeg prcesu migracji śrdwiska BlackBerry i knfiguracji serwerów pczty, w szczególnści: Analiza becneg systemu BlackBerry pd kątem migracji d wersji 5.0 i współpracy z Exchange 2010. Opracwanie dkumentu - Szczegółwa Kncepcja migracji z wyspecyfikwaniem ścieŝek migracji Przygtwanie prjektu techniczneg migracji d systemu BlackBerry 5.0 i współpracy z Exchange 2010. Przygtwanie kmpletu dkumentacji raz przygtwanie i przećwiczenie prcedur peracyjnych p wdrŝeniu systemu: Dkumentacja prjektwa pwinna zawierać: Analizę techniczną bieŝąceg systemu w zakresie niezbędnym d migracji, Prjekt techniczny - dcelwa knfiguracja systemu Architektura systemu BlackBerry, knfiguracja i spsób migracji systemu, schematy rzwiązania Knfiguracja systemu pczty pd kątem współpracy z systemem BlackBerry Skalwanie i knfiguracja sprzętwa Prcesr Pamięć Pdsystem dyskwy Knfiguracja sieciwa Adresacja IP systemów bjętych rzwiązaniem Prty i usługi - knfiguracja firewall Backup i dzyskiwanie p awarii Plan prac wdrŝeniwych lub migracyjnych wraz z harmngramem. Scenariusze i prcedury testwe. Dkumentacja pwdrŝeniwa - pza finalną knfiguracją muszą być wymienine: Harmngram testów wraz z wniskami p testach, Naptkane prblemy pdczas wdrŝenia i spsób ich rzwiązania, W drębnym punkcie wszystkie niestandardwe ustawienia systemu lub zastswanie bejścia czy teŝ kruczki 12
Prcedury backupu systemu: Backup samej aplikacji (binaria raz pliki knfiguracyjne) i na jakich serwerach/urządzeniach się znajdują, Backup danych danej aplikacji - systemu: pliki, fldery na systemach plików, lkalne raz zdalne (np. udziały sieciwe), pliki baz danych raz ich lgi itd., Schemat i harmngram backupu, przewidywana ilść danych Prcedurę dtwrzenia pszczególnych elementów systemu: Jeśli system składa się z więcej niŝ jedneg serwera t musi być pisany prces dtwarzania kaŝdeg z nich. Prcedura musi być tak szczegółwa, aby zawierała wszystkie niezbędne plecenia - akcje niezbędne d pprawneg przywrócenia śrdwiska, Prcedurę dtwarzania całeg systemu w razie katastrfy jasn kreślającą klejnść dtwarzania pszczególnych elementów systemu. 6. Stwrzenie śrdwiska labratryjneg (wirtualizacja). Odzwierciedlenie infrastruktury prdukcyjnej Zamawiająceg (zgdne z przedmitem zamówienia) - na jeg sprzęcie i prgramwaniu (Hyper-V) w labratrium Instalacja nweg śrdwiska bjęteg prjektem Migracja dzwierciedlneg śrdwiska d przygtwaneg nweg w labratrium Testy przygtwanych prcedur w śrdwisku labratryjnym Opracwanie szczegółweg harmngramu z pdziałem zadań (Zamawiający, Wyknawca) na pdstawie przeprwadznych prac w labratrium 7. Szklenia administracyjne Warsztaty dla administratrów z zakresu instalacji, knfiguracji i bsługi w ilści p 16 gdzin dla kaŝdej z wdrŝnych technlgii, tj. Active Directry 2008, Exchange 2010, TMG, MS SCOM 2007, BlackBerry 5,0. Szklenia autryzwane z AD 2008, Exchange 2010, TMG 2010 i MS SCOM 2007: MS-6419, MS-6421, MS-6422, MS-6423, MS-6425 przeprwadzne dla 6 pracwników Ministerstwa Sprawiedliwści, MS-10135 dla 2 pracwników Ministerstwa Sprawiedliwści MS-50020 dla 3 pracwników Ministerstwa Sprawiedliwści MS-50028 dla 2 pracwników Ministerstwa Sprawiedliwści 8. Wsparcie pwdrŝeniwe Niedpłatne wsparcie serwiswe w usuwaniu pjawiających się prblemów w dmenie Active Directry 2008 i systemach ją przechwujących jak równieŝ z Exchange 2010, Micrsft TMG, MS SCOM 2007 przez kres 24 miesięcy d zakńczenia prac wdrŝeniwych śrdwiska prdukcyjneg. 13
Prwadzenie przez Wyknawcę bazy wiedzy występujących prblemów z mŝliwymi ścieŝkami ich rzwiązania i udstępnienie jej Zamawiającemu On-Line. Osby świadczące wsparcie muszą legitymwać się dpwiednimi certyfikatami inŝynierskimi i dpwiednim dświadczeniem we wdraŝaniu budwanych i pdbnych rdzajem i skalą systemów (AD, Exchange, ISA/TMG, MS SCOM 2007). 9. Wymagania ddatkwe NaleŜyta starannść System musi zapewnić wymagany pzim bezpieczeństwa System musi być zgdny z wewnętrznymi standardami i plitykami Ministerstwa Sprawiedliwści System musi zapewnić wymaganą funkcjnalnść. Budwany system, zarówn w fazie budwy jak i uŝytkwania, nie mŝe zakłócić działania krytycznych aplikacji. System musi pierać się na ugruntwanych standardach tak, aby umŝliwiać dalszy rzwój struktury w tym rzszerzenie funkcjnalnści. Knfiguracja brzegwych urządzeń aktywnych d bsługi ruchu bjęteg prjektem. Wszystkie prcedury pwinny być tak napisane aby umŝliwiały krk p krku ich wyknanie. P ukńczeniu migracji zstaje śrdwisk prdukcyjne i labratryjne, które będzie wykrzystywane przez Zamawiająceg d przeprwadzania testów przed dknaniem isttnych zmian na śrdwisku prdukcyjnym. Zadania zlecne Wyknawcy mgą zstać dprecyzwane przez Zamawiająceg w trakcie prcesu migracji aby zstała zachwana dtychczaswa funkcjnalnść zarówn śrdwiska Active Directry, Exchange, ISA Server. Migracja d nweg śrdwiska dmeny Active Directry, rganizacji Exchange i TGM 2010 muszą być niezauwaŝalne z punktu widzenia uŝytkwnika c będzie się charakteryzwał: Pjedynczym lgwaniem d nweg i stareg śrdwiska w czasie trwania migracji, zachwaniem dtychczasweg prfilu pcztweg i systemweg (prfil lgwania) migrwanemu uŝytkwnikwi, zachwaniem dtychczaswych uprawnień d zasbów sieciwych, zachwaniem funkcjnalnści dtychczaswych skryptów lgwania, zachwaniem dtychczaswych mapwań drukarek sieciwych, zachwaniem dtychczaswej pczty migrwaneg uŝytkwnika, zachwaniem dtychczaswej struktury i zawartści flderów publicznych Exchange 2003. Migracja WSUS d najnwszej stabilnej wersji, która bejmie: Instalację i knfigurację śrdwiska WSUS Przed instalacją i knfiguracją WSUS wymagane jest stwrzenie śrdwiska labratryjneg dzwierciedlająceg śrdwisk prdukcyjne Przygtwanie pełnej dkumentacji dla nweg śrdwiska WSUS składającej się z: Dkumentacji prjektwej: Analiza techniczna bieżąceg systemu w zakresie niezbędnym d wdrżenia Prjekt techniczny dcelwa knfiguracja systemu 14
Skalwanie i knfiguracja sprzętwa Kncepcja nwej wersji systemu Funkcjnalnść systemu Rzmieszczenie serwerów Prjekt OU dla grup kmputerów Prjekt GPO dla zdefiniwanych grup kmputerów Dkumentacji pwdrżeniwej: Dla stacji rbczych Dla serwerów Finalna knfiguracja systemu, Finalna knfiguracja systemu WSUS raz systemów wraz z pwiązanymi systemami Harmngram testów wraz z wniskami p testach W drębnym punkcie wszystkie niestandardwe ustawienia systemu lub zastswanie bejścia czy teŝ kruczki Wszystkie skrypty lub prcesy autmatyzujące pracę systemu wraz z celem, pisem działania i harmngramem uruchmień Wniski p testach prdukcyjnych Prcedur peracyjnych: Prcedurę sprawdzania dstępnści systemu z punktu widzenia klienta kńcweg (pdręcznik dla HelpDesku), Prcedurę sprawdzania dstępnści systemu z punktu widzenia administratra (zadania dzienne/tygdniwe/miesięczne). Pzim szczegółwści pwinien umŝliwiać zdiagnzwanie gdzie dkładnie jest prblem, bez pisu wszystkich mŝliwych scenariuszy naprawy: Odnsząc się d architektury rzwiązania, które elementy sieciwe, sprzętwe i aplikacyjne pwinny działać d pprawnej pracy systemu aplikacji Które usługi i na jakich serwerach mają być dstępne jak t sprawdzić?, Jakie są standardwe prblemy za aplikacją/systemem i spsby ich rzwiązania, Schemat pwiązań systemu z innymi systemami (wraz z infrastrukturą techniczną) Spis zawierający utrzymaniwe czynnści administracyjne dla daneg systemu wraz z ich interwałami czaswymi, np.: Opis zawartści lgów (kdy i pisy błędów pjawiających się w lgach), Lista elementów (serwisy, lgi, liczniki wydajnści) d mnitrwania systemu raz ich wartści prgwe, strzegawcze i krytyczne. WdrŜenie System Center Operatins Manager 2007, które bejmuje: Instalację i knfigurację śrdwiska MS SCOM 2007 Objęcie mnitringiem 15 serwerów wskazanych przez Zamawiająceg Odzwierciedlenie w śrdwisku labratrium. Przygtwanie pełnej dkumentacji dla nweg śrdwiska MS SCOM 2007 składającej się z: Dkumentacji prjektwej: Analiza techniczna bieżąceg systemu w zakresie niezbędnym d wdrżenia Prjekt techniczny dcelwa knfiguracja systemu MS SCOM 2007 Skalwanie i knfiguracja sprzętwa 15
Prcesr Pamięć Pdsystem dyskwy Kncepcja systemu MS SCOM Funkcjnalnść systemu Rzmieszczenie serwerów Knfiguracja systemu MS SCOM 2007 pd kątem współpracy z mnitrwanymi systemami Knfiguracja sieciwa Adresacja IP systemów bjętych rzwiązaniem Prty i usługi - knfiguracja firewall Backup i dzyskiwanie p awarii Plan prac wdrŝeniwych wraz z harmngramem. Scenariusze i prcedury testwe. Prcedura ddawania nweg serwera lub stacji rbczej d SCOM 2007 łącznie z knfiguracją i dstrjeniem. Dkumentacji pwdrŝeniwej: Finalna knfiguracja systemu, Finalna knfiguracja systemu MS SCOM 2007 raz systemów wraz z pwiązanymi systemami Harmngram testów wraz z wniskami p testach W drębnym punkcie wszystkie niestandardwe ustawienia systemu lub zastswanie bejścia czy teŝ kruczki Wszystkie skrypty lub prcesy autmatyzujące pracę systemu wraz z celem, pisem działania i harmngramem uruchmień Wniski p testach prdukcyjnych Naptkane prblemy pdczas wdrŝenia i spsób ich rzwiązania, W drębnym punkcie wszystkie niestandardwe ustawienia systemu lub zastswanie bejścia czy teŝ kruczki Prcedur peracyjnych: Prcedurę sprawdzania dstępnści systemu z punktu widzenia klienta kńcweg (pdręcznik dla HelpDesku), Prcedurę sprawdzania dstępnści systemu z punktu widzenia administratra (zadania dzienne/tygdniwe/miesięczne). Pzim szczegółwści pwinien umŝliwiać zdiagnzwanie gdzie dkładnie jest prblem, bez pisu wszystkich mŝliwych scenariuszy naprawy: Odnsząc się d architektury rzwiązania, które elementy sieciwe, sprzętwe i aplikacyjne pwinny działać d pprawnej pracy systemu aplikacji Które usługi i na jakich serwerach mają być dstępne jak t sprawdzić?, Jakie są standardwe prblemy za aplikacją/systemem i spsby ich rzwiązania, Schemat pwiązań systemu z innymi systemami (wraz z infrastrukturą techniczną) 16
Spis zawierający utrzymaniwe czynnści administracyjne dla daneg systemu wraz z ich interwałami czaswymi, np.: Opis zawartści lgów (kdy i pisy błędów pjawiających się w lgach), Lista elementów (serwisy, lgi, liczniki wydajnści) d mnitrwania systemu raz ich wartści prgwe, strzegawcze i krytyczne. Prcedury pwdrŝeniwe Prcedury backupu systemu: Backup samej aplikacji (binaria raz pliki knfiguracyjne) i na jakich serwerach/urządzeniach się znajdują, Backup danych danej aplikacji - systemu: pliki, fldery na systemach plików, lkalne raz zdalne (np. udziały sieciwe), pliki baz danych raz ich lgi itd., Schemat i harmngram backupu, przewidywana ilść danych Prcedurę dtwrzenia pszczególnych elementów systemu: Prcedurę dtwarzania całeg systemu w razie katastrfy jasn kreślającą klejnść dtwarzania pszczególnych elementów systemu. 17
III. Kncepcja rzwiązania Exchange i Active Directry. 1. Organizacja Exchange 2003 w MS Kncepcja rzwiązania zakłada rzbudwę istniejącej rganizacji Exchange 2003 nwe serwery pracujące pd kntrlą Exchange Server 2010. W związku z tym wszystkie zasby związane z pcztą będą częścią istniejącej dmeny Active Directry Ministerstwa Sprawiedliwści. W tej knfiguracji wszystkie serwery pcztwe są bsługiwane przez las MS, w którym równieŝ są utwrzne knta uŝytkwników dla pracwników MS w ilści k. 1300 szt. W lkalizacji Ujazdwskie znajdują się dwa serwery Exchange 2003 pracujące w trybie Frnt-end back-end. Separacją serwerów pcztwych zajmie się MS ISA 2006. Wszystkie serwery pcztwe pracują w ramach tej samej Organizacji. Klienci d bsługi pczty wykrzystują MAPI\SMTP z przechwywaniem pczty zarówn na serwerze jak i w plikach pst. W strukturze pcztwej zlkalizwan Fldery Publiczne synchrnizwane w ramach Organizacji. Klienci d pczty dstają się za pmcą MS Outlk 2003 i 2007, OWA. W rganizacji znajdują się 4 biekty typu Strage grup raz 11 biektów typu Stre. W systemie występuje jedna grupa administracyjna. Na etapie Prjektu Wyknawcy zstanie przedstawiny szczegółwy stan becnej infrastruktury u Zamawiająceg wraz z kniecznymi wyjaśnieniami. 2. Organizacja Active Directry 2003 w MS Śrdwisk składa się z sześciu płącznych lkalizacji. Dwie z lkalizacji (Krasińskieg, Barska) psiada płączenia VPN z centralą realizwane za pmcą urządzeń Cisc. W kaŝdej z tych lkalizacji znajduje się kntrler dmeny 2003. Pzstałe lkalizacje (Czerniakwska, Ujazdwskie, Zwycięzców, Chpena) płączne są siecią LAN. Łącznie w tych lkalizacjach znajdują się trzy kntrlery dmeny 2003. KaŜdy uŝytkwnik struktury MS psiada knt dmenwe i adres email. Lguje się ze stacji naleŝącej d dmeny 2003 za pmcą karty inteligentnej Aladdin etken. Liczba kmputerów w przybliŝeniu równa się liczbie uŝytkwników. Na etapie Prjektu Wyknawcy zstanie przedstawiny szczegółwy stan becnej infrastruktury u Zamawiająceg wraz z kniecznymi wyjaśnieniami. 3. Knfiguracja Exchange 2010 Aktualnie wykrzystywane serwery Exchange 2003 nie zstaną uaktualnine d wersji Exchange 2010 tak, więc d czasu przeprwadzenia migracji tych serwerów lub ich usunięcia z rganizacji, śrdwisk rganizacji pcztwej MS będzie pracwał w kegzystencji. 18
4. Nwe śrdwisk Exchange 2010 i Active Directry 2008 Wyknawca będzie zbwiązany d przygtwania nweg śrdwiska dmeny AD 2008 i nwej Organizacji Exchange 2010. W celu realizacji załŝeń kncepcji sugeruje się wykrzystanie następujących serwerów: 4 serwery Micrsft Exchange Server 2010 2 serwery TMG 5 serwerów Dmain Cntrler 2 serwery dla śrdwiska labratryjneg 1 serwer d SCOM 2007 Dla wszystkich serwerów, prócz 2 kntrlerów dmen, zstanie wykrzystany system peracyjny Micrsft Windws Server 2008 R2 64 bit. Szczegółwe infrmacje na temat wersji raz edycji systemów zstały pisane w dalszej części dkumentu. Lgiczna i techniczna realizacja prjektu będzie się pierać na jednej dmenie lgicznej: ms.gv.pl. Organizacja Exchange 2010 zstanie wdrŝna w parciu infrastrukturę Active Directry bazującą na kntrlerach pracujących pd kntrlą systemu Windws 2008 i Windws 2008 R2. Struktura rganizacji Exchange ma zapewnić bezpieczeństw, redundancję raz wyską dstępnść pczty krpracyjnej Ministerstwa Sprawiedliwści. Spsób migracji musi zstać zrealizwany w spsób, który nie wpłynie na ciągłść pracy w gdz. 8.15 16.15. 5. Bezpieczeństw Bezpieczeństw serwerów raz bezpieczny dstęp użytkwników d pczty firmwej zstanie zapewniny dzięki zastswaniu serwerów Frefrnt Threat Management Gateway (TMG) 2010, raz Intelligent Applicatin Gateway 2007/ Frefrnt Unified Access Gateway 2010. Każde płączenie użytkwnika d systemu pczty będzie realizwane w spsób bezpieczny z wykrzystaniem prtkłu SSL. Tunel SSL będzie terminwany przez serwer TMG lub serwer IAG/UAG, który dkna uwierzytelnienia użytkwnika i tylk w przypadku pwdzenia tej peracji umżliwi płączenie z serwerem Exchange. Płączenie między serwerami TMG raz IAG/UAG a serwerami Exchange również będzie realizwane z wykrzystaniem SSL. 6. Architektura rzwiązania 6.1 Rzmieszczenie usług Kncepcja zakłada, rzbudwę rganizacji pcztwej Exchange 2003 d wersji Exchange Server 2010 raz Active Directry 2003 d wersji 2008 przez ddanie nwych serwerów, na których rzmieszczne zstaną pszczególne usługi. Wykrzystane zstaną następujące rle serwerów Exchange Server 2010: 19
Edge Transprt Server Zainstalwane zstaną dwa serwery Edge Transprt, które dpwiedzialne będą za dbieranie i wysyłanie wiadmści SMTP d i z Internetu. Serwery będą dstarczały usługi skanwania antywirusweg i antyspamweg. Instalacja rli Edge Transprt zstanie wyknana na tych samych serwerach, na których pracwał będzie prgramwanie TMG. Dzięki takiej instalacji mŝliwe będzie pełne wykrzystanie wszystkich cech TMG raz Exchange Server 2010 wspólnie twrzących mechanizm E-mail Prtectin. Hub Transprt Server Dwa serwery teg typu będą świadczyły usługi transprtu wiadmści wewnątrz rganizacji Exchange raz przekazywanie wiadmści d i z serwerów Edge. Serwery zstaną zainstalwane w sieci LAN. Dla teg typu serwerów pwinn zstać zainstalwane prgramwanie Windws Server 2008 R2 Standard 64bit raz Exchange Server 2010 Standard 64bit. Rla Hub Transprt będzie współdzielna na serwerach z rlą Client Access Server. Client Access Server Będą realizwały usługi dstępu klienckieg. Zstaną zainstalwane dwa teg typu serwery, które będą pracwały w klastrze Netwrk Lad Balancing. Dla teg typu serwerów pwinn zstać zainstalwane prgramwanie Windws Server 2008 R2 Standard 64bit raz Exchange Server 2010 Standard 64bit. Rla Client Access Server będzie współdzielna na serwerach z rlą Hub Transprt. Mailbx Server Skrzynki pcztwe uŝytkwników bsługiwane będą przez dwa serwery w rli Mailbx, dla których zstanie sknfigurwany mechanizm Database Availability Grup (DAG). Zalecane jest umieszczenie serwerów mailbx w róŝnych jednstkach fizycznych (dwie serwerwnie). Za bezpieczeństw dstępu d systemu pcztweg dpwiedzialny będzie dwuwęzłwych klaster Netwrk Lad Balancing serwerów Frefrnt TMG Enterprise. Na Rysunku nr.1 przedstawiny zstał schemat rzmieszczenia usług dla rzwiązania pisaneg w niniejszym dkumencie parteg Exchange 2010. 20
Rysunek 1 Schemat rzmieszczenia usług 21
Wszystkie usługi zakładają redundancję. W celu siągnięcia wyskiej wydajnści i niezawdnści zastswane zstaną rzwiązania zapewniające równwaŝenie bciąŝenia i minimalizację prawdpdbieństwa wystąpienia awarii.wybran następujące rzwiązania zapewniające wyską wydajnść i nadmiarwść: Netwrk Lad Balancing umŝliwia płączenie w klaster NLB serwery pracujące pd kntrlą systemu Windws Server 2008 R2. Dzięki płączeniu serwerów w klaster NLB przychdzące płączenia sieciwe będą równmiernie rzdzielane między wszystkie węzły klastra. W przypadku awarii jedneg z węzłów będzie n pmijany pprzez przekierwanie przychdzących płączeń d pzstałych serwerów, aŝ d czasu przywrócenia pełnej funkcjnalnści. Klaster NLB mŝe być rzbudwywany d 32 węzłów. Netwrk Lad Balancing zstanie wykrzystany dla serwerów pełniących rlę Client Access Server szczegółwe infrmacje na temat serwerów CAS zstały umieszczne w dalszej części dkumentu. Database Avaiability Grup W celu zapewnienia ciągłści pracy serwera bsługująceg skrzynki uŝytkwników (Exchange 2010 Maiblx Server Rle) wykrzystany zstanie mechanizm DAG. Jest t mechanizm umŝliwiający d twrzenia d 16 kpii baz danych na róŝnych serwerach Exchange 2010 w brębie rganizacji. Usługa Failver Cluster umŝliwia przełączanie pjedynczych baz danych między pszczególnymi człnkami grupy replikacyjnej DAG. W przypadku awarii całeg serwera bądź jednej z baz danych wykrzystana zstanie jej kpia na drugim serwerze. DNS Rund Rbin - Algrytm Rund Rbin umŝliwia równwaŝenie bciąŝenia dla usług, które nie mgą być elementem rzwiązań klastrwych. DNS Rund Rbin zstanie wykrzystany d równwaŝenia usług świadcznych przez serwery Exchange Server 2010 Edge Transprt. Dzięki zastswaniu wymieninych pwyŝej rzwiązań cała struktura rganizacji pcztwej pwinna spełniać kryteria wyskiej dstępnści i wydajnści. Rzmieszczenia usług dla rzwiązania pisaneg w niniejszym dkumencie parteg Active Directry 2008 będzie plegał na rzszerzeniu funkcjnalnści występujących w AD 2008 raz rzdzieleniu usług zainstalwanych w dtychczaswym śrdwisku na sbne serwery. Wszystk pwinn zstać wyknane w parciu najlepsze praktyki Micrsft. Na etapie Prjektu Wyknawcy zstanie przedstawiny szczegółwy stan becnej infrastruktury u Zamawiająceg wraz z kniecznymi wyjaśnieniami. 6.2 Wykrzystane prgramwanie W Tabela 1 zawarte zstał pdsumwanie infrmacji prgramwaniu niezbędnym d realizacji prjektu. Oprgramwanie niezbędne d migracja śrdwiska znajduje się w psiadaniu Zamawiająceg. Tabela 1 Infrmacja zbircza psiadanym prgramwaniu System peracyjny Windws 2008 R2 Server 64-bit Standard Editin Oprgramwanie aplikacyjne Exchange Server 2010 Standard Editin, Frefrnt TMG Enterprise Rla w systemie pcztwym TMG + Edge Transprt Server, Client Access Server, Hub Transprt Server Ilść 4 szt. (2x TMG +Edge Transprt Server, 2x Client Access Server + Hub Transprt Server) 22
Windws 2008 R2 Server 64-bit Enterprise Editin Windws 2008 R2 Server 64-bit Standard Editin Windws 2008 Server 32-bit Standard Editin Windws 2008 R2 Server 64-bit DataCenter Windws 2008 R2 Server 64-bit Standard Editin Exchange Server 2010 Enterprise Editin Mailbx Server 2 szt. (2x MailBx Server) - Dmain Cntrler 3 szt. - Dmain Cntrler 2 szt. - Serwer przeznaczny pd wirtualiazcję i śrdwisk labratryjne SCOM 2007 System mnitringu AD I Exchange 2 szt. 1 szt. 7. Architektura rganizacji pcztwej 7.1 Serwery transprtwe 7.1.1 Płączenia SMTP przychdzące i wychdzące W rganizacji Exchange 2010 płączenia SMTP przychdzące raz wychdzące będą bsługiwane przez serwery pełniące rlę Edge Transprt (zainstalwane wspólnie z TMG). Jest t rla której pdstawwym zadaniem jest zapewnienie bezpieczeństwa i higieny pczty elektrnicznej. Głównymi zaletami zastswania serwerów Edge są: Skanwanie pczty przychdzącej skanerami antywiruswymi raz antyspamwymi (wbudwanymi raz ddatkwymi firm trzecich). Przetwarzanie reguł transprtwych z uwzględnieniem filtrwania wiadmści raz ich przetwarzania. Ddatkwy punkt zabezpieczenia (serwery pza dmeną) Zainstalwane zstaną dwa serwery Exchange Server 2010 w rli Edge Transprt. Oba serwery będą realizwały dwustrnną kmunikację SMTP z Internetem. KaŜdy z serwerów zstanie wypsaŝny w dpwiednie knektry zgdnie z następującymi kryteriami: Knektry dbierające (Internet -> Edge)- realizujące płączenia SMTP z Internetu zstaną sknfigurwane tak aby akceptwały płączenia annimwe na standardwym prcie SMTP. Włączna zstanie bsługa prtkłu TLS z wykrzystaniem certyfikatu typu wildcard. KaŜdy serwer Edge będzie psiadał jeden teg typu knektr. Knektry wysyłające (Edge -> Internet) realizujące płączenia SMTP wychdzące d internetu zstaną sknfigurwane tak aby wykrzystywały uwierzytelnianie annimwe i kaŝdrazw próbwały nawiązać bezpieczne płączenie SMTP z wykrzystaniem TLS. Parametr address space dla teg typu knektrów zstanie ustawiny na * (gwiazdka) Knektry dbierające (Hub -> Edge) realizujące płączenia SMTP z wewnątrz rganizacji. Dla knektrów teg typu zstaną wprwadzne restrykcje na adresy IP, które mgą nawiązywać 23
płączenie. D listy dstępu ddane zstaną wyłącznie adresy IP serwerów Exchange Server 2010 Hub Transprt. Wszystkie płączenia z tymi knektrami będą wykrzystywały TLS. Knektry wysyłające (Edge -> Hub) słuŝące d wysyłania wiadmści debranych z Internetu d wewnątrz rganizacji Exchange. Knektry te będą wykrzystywały TLS i łączyły się wyłącznie z serwerami HUB. 7.1.2 Exchange Server 2010 Hub Transprt Za realizację usług transprtu wiadmści między uŝytkwnikami wewnątrz rganizacji Exchange Server 2010 dpwiedzialne są serwery Exchange Server 2010 Hub Transprt. Dla zapewnienie nadmiarwści rzwiązania zstaną zainstalwane dwie instancje rli Exchange Server 2010 Hub Transprt. Serwery te zstaną wypsaŝne w dpwiednie knektry, aby zapewnić kmunikację ze śrdwiskiem Exchange 2003 a w knsekwencji z Exchange 5.5 raz z serwerami Exchange Server 2010 Edge Transprt. Kmunikacja między serwerami transprtwymi Exchange 2010, a więc rlami Hub Transprt raz Edge Transprt dbywać będzie w ramach subskrypcji serwerów Edge bsługiwanej przez mechanizm synchrnizacji EdgeSync. Mechanizm ten zapewnia synchrnizację wybranych infrmacji zawartych w Active Directry d partycji aplikacyjnej Active Directry (Active Directry Applicatin Mde) dzięki czemu serwery Exchange 2010 Edge Transprt, które nie naleŝą d dmeny będą mgły weryfikwać pdczas skanwania AV i AS dbirców raz inne niezbędne atrybuty uŝytkwników rganizacji. 7.1.3 Dstęp uŝytkwników Client Access Server Dstęp uŝytkwników d pczty z Internetu będzie realizwany za pmcą serwerów pełniących rlę Client Access Server (CAS). Zainstalwane zstaną dwa serwery CAS. Wyska wydajnść i nadmiarwść będzie realizwana za pmcą dwuwęzłweg klastra Netwrk Lad Balancing. Takie rzwiązanie zapewni równwaŝenie bciąŝenia pmiędzy wszystkie serwery CAS raz spójną przestrzeń nazewniczą, c nie jest bez znaczenia dla wygdy pracy uŝytkwników. W przypadku, gdy jeden z serwerów CAS ulegnie awarii lub zstanie planw wyłączny ruch dstępwy klientów będzie dynamicznie przełączany na działający serwer. Serwery CAS świadczyć będą następujące usługi: Outlk Web Access Dstęp d pczty, kalendarzy, kntaktów z dwlnej przeglądarki na kmputerze pdłącznym d Internetu. Dstęp ten dbywa się przez bezpieczny prtkół SSL. Outlk Anywhere Jest t płączenie z prgramu Outlk 2010, 2007 lub 2003 wykrzystujące tunelwanie prtkłu RPC wewnątrz prtkłu HTTPS (RPC ver HTTPS). Bezpieczeństw płączenia zapewniane jest przez prtkół SSL. Wykrzystanie Outlk Anywhere zapewnia wygdę dla uŝytkwników gdyŝ uŝytkwnik niezaleŝnie d teg czy krzysta z pczty pdczas pracy w sieci LAN czy teŝ w pdróŝy przez dwlne łącze internetwe, psiada jedną knfigurację prgramu pcztweg i nie musi nawiązywać płączeń VPN w celu zapewnienia bezpieczeństwa kmunikacji. Exchange Active Sync UmŜliwia bezpieczne płączenie z pcztą dla uŝytkwników urządzeń mbilnych z systemami Windws Mbile raz pzstałymi, które bsługują Active Sync. Autdiscver usługa umŝliwiająca autmatyczną knfigurację prgramu klienckieg MS Outlk POP3S nie planuje się IMAP4S nie planuje się KaŜda z w/w metd dstępu d pczty będzie knfigurwalna per uŝytkwnik tak, Ŝe administratr będzie mógł zabrnić lub zezwlić na dstęp d pczty z wykrzystaniem wybranych metd. NiezaleŜnie d metdy dstępu 24