Rights Management Services. Развертывание отказоустойчивого кластера Часть 1

Защита информации в организации, приобретает в последнее время весомую значимость. Руководство любой организации не желает, чтобы конфиденциальная информация, не санкционированно покидала и бесконтрольно распространялась. Безопасность информации состоит из большого комплекса, прежде всего, организационных мер. Но, если в организации есть технические специалисты в области информационной безопасности, можно рассматривать применение защиты конфиденциальной информации и техническими средствами. Одно из главных преимуществ в этом плане, службы управления правами Active Directory – это непрерывная защита информации, прозрачная для пользователей. Пользователи смогут узнать, что информация защищена, когда попытаются вынести информацию из организации (например «поработать дома»), без доступа к кластеру службы управления правами Active Directory, такая информация не может быть расшифрована.

Более подробно о возможностях службы управления правами Active Directory, включенную как роль в Windows Server 2008 R2, можно прочитать, в этом блоге. Цель данной статьи – описать возможность развертывания отказоустойчивого кластера службы управления правами Active Directory. Совсем не хочется в производственном окружении получить отказ сервиса службы управления правами. Не всю информацию можно будет спасти в такой катастрофической ситуации. Поэтому, при проектировании комплексной системы защиты информации с применением службы управления правами Active Directory, следует рассмотреть возможность применения кластерной технологии, для создания отказоустойчивого корневого кластера этой службы.

На этапе предварительного обследования, рассмотрим с точки зрения информационных технологий службу управления правами:

1. Доступ клиентов осуществляется с помощью веб-сайта. Значит, нужно, по крайней мере, два сервера, для отказоустойчивости выбираем NLB-кластер.

2. База данных для хранения информации используется SQL Server. Для отказоустойчивости используется Failover-кластер. Тоже минимально нужно, по крайней мере, также два сервера.

3. В домене Active Directory, используется всего одна ресурсная запись, поэтому отказоустойчивость самого домена в данный сценарий не входит. Конечно же, в организации для поддержки домена должно быть развернуто, по крайней мере, также два домен-контроллера.

Итак, исходя из сценария развертывания, тестовая лаборатория будет включать в себя 5 виртуальных машин. Описание тестовой лаборатории сведено в таблицу 1.

Таблица 1. Описание тестовой лаборатории для развертывания отказоустойчивого кластера.

 

Имя компьютера	Операционная система	Службы и приложения
DC	Windows Server 2008 R2	Доменная служба Active Directory, DNS, DHCP, Starwind iSCSI Server
NODE01, NODE02	Windows Server 2008 R2	Microsoft SQL Server 2011 CTP1 Denali
RMS01, RMS02	Windows Server 2008 R2	AD RMS корневой кластер лицензирования
CLIENT01	Windows 7	Microsoft Office 2010 Профессиональный плюс

Сервера поддержки кластера службы управления правами Active Directory, располагаются на одном сервере с поднятой ролью Hyper-V. Сервера dc.test.local, node01.test.local, node02.test.local имеют по два сетевых интерфейса (рисунок 1), в технологической подсети (192.168.1.0/24), не пересекающейся с основной. Рабочая станция, используемая для проверки корневого кластера службы управления правами Active Directory, находиться в основной сети (192.168.0.0/24).

Рисунок 1. Схема подключения тестовой лаборатории.

Итак, план работ, которые нужно произвести для установки кластера по шагам:

1. Заведение необходимых учетных записей пользователей и сервисных учетных записей в Active Directory, для подготовки к установке кластера.

2. Создание общего хранилища для серверов Failover-кластера SQL Server.

3. Настройка NLB-кластера.

4. Настройка Failover-кластера.

5. Установка служб SQL Server на Failover-кластер – оба узла.

6. Установка службы управления правами Active Directory – оба узла.

7. Проверка связи – тест на использование службы управления правами Active Directory, с эмуляцией отказа серверов.

Прежде чем приступить к настройке и конфигурации отказоустойчивого корневого кластера службы управления правами Active Directory, нужно отметить, что тем, кто читать не любит или некогда, есть веб-каст, описывающий эту установку, ссылка здесь [1].

Перейдем к первому этапу настройки и конфигурации отказоустойчивого корневого кластера службы управления правами Active Directory — заведение необходимых учетных записей пользователей и сервисных учетных записей в Active Directory, для подготовки к установке кластера.

Учетные записи, которые необходимо будет создать в Active Directory[5]:

1. Учетная запись клиента, от имени которого на рабочей станции client01.test.local, являющейся в тестовом окружении также виртуальной машиной, будет проводиться тестирование отказоустойчивого корневого кластера службы управления правами Active Directory. К примеру, test_client.

2. Сервисная учетная запись, от имени которой будут стартовать службы Microsoft SQL Server. Так как будем собирать кластер из двух узлов, в режиме Active/Passive, давайте назовем учетную запись SQLCLusterService.

3. Сервисные учетные записи, от имени которых будут стартовать узлы кластера службы управления правами. Для каждого сервера нужна своя сервисная учетная запись. К примеру, RMS01Service и RMS02 Service, для серверов с именами RMS01.test.local и RMS02.test.local соответственно.

Итак, приступим. На виртуальном сервере dc.test.local, открываем оснастку «Active Directory – пользователи и компьютеры» (Пуск | Администрирование | Active Directory – пользователи и компьютеры).

Для начала создадим подразделение «RMS». Данное подразделение будет использоваться в домене, для организации учетных записей пользователей и других объектов, которые будут использоваться для отказоустойчивого корневого кластера службы управления правами Active Directory. Развернем узел домена test.local, в меню по правой кнопке мыши выберем «Создать» | «Подразделение» (рисунок 2).

Рисунок 2. Создание подразделения «RMS».

В окне «Новый объект — Подразделение» введем в поле «Имя» — RMS. Нажимаем кнопку «Ок» (Рисунок 3).

Рисунок 3. Создание подразделения «RMS» — окно «Новый объект — Подразделение».

При выборе этого параметра «Защитить контейнер от случайного удаления», выполняется обновление дескриптора безопасности объекта и, если это возможно, его родителя. Удаление данного объекта администраторами или пользователями домена test.local (контроллера домена) становится невозможным. Нужно отметить, что этот параметр не защищает от случайного удаления поддерева, которое содержит защищенный объект. Поэтому общая рекомендация — включить этот параметр для всех контейнеров защищенных объектов вплоть до заголовка контекста именования домена.

Итак, подразделение «RMS» успешно создано. Нужно отметить, что если в меню «Создать» не появляются «Подразделение», то скорее всего у вас нет соответствующих прав.

Далее, создайте пользователей. Первый пользователь — test_client. В меню по правой кнопке мыши выберем «Создать» | «Пользователь» (рисунок 2)

Рисунок 4. Мастер создания пользователя — окно «Новый объект — Пользователь».

В первом окне мастера создания пользователя, — «Новый объект — Пользователь» (рисунок 4), Заполните поля «Имя», «Имя входа пользователя». Нужно отметить, что поля «Полное имя» и «Имя входа пользователя (пред-Windows 2000)» заполняются автоматически. Нажмите кнопку «Далее».

Рисунок 5. Мастер создания пользователя — окно требования к паролю.

В следующем окне мастера создания пользователя (рисунок 5), нужно сконфигурировать требования к паролю учетной записи пользователя. Данные требования должны быть выставлены в соответствии с требованиями безопасности в вашей организации. В тестовом виртуальном сетевом окружении, не связанным с производственной средой, можно выставить параметры «Запретить смену пароля пользователем» и «Срок действия пароля не ограничен». И снять выбор с «Требовать смены пароля при следующем входе в систему» и «Отключить учетную запись». В поле «Пароль», введите пароль, удовлетворяющий требованиям сложности. По умолчанию, при развертывании нового домена под управлением Windows Server 2008 R2, требования к сложности пароля следующие – длина пароля не менее 7 символов, пароль должен содержать большие и маленькие буквы (строчные и заглавные), хотя бы одну цифру и хотя бы один специальный символ. Пароль должен быть изменен пользователем самостоятельно, в течение 90 дней и не должен совпадать с предыдущим двадцатью четырьмя введенными ранее паролями – ведется история паролей. Заполните поля «Пароль» и «Подтверждение пароля» и нажмите кнопку «Далее».

Рисунок 6. Мастер создания пользователя – информационное окно.

Если выбор пароля был успешным, и информационное сообщение о нарушении политики создания нового пароля не было, мастер создания пользователя переходит на последнее информационное окно(рисунок 6). Нажмите кнопку «Готово».

Рисунок 7. Содержимое подразделения «RMS».

Как видно из рисунка 7, пользователь test_client успешно создан. Сервисные учетные записи создаются аналогично созданию обычной учетной записи пользователя. Поэтому, повторите процедуру, описанную выше, для создания следующих сервисных учеток – SQLCLusterService, RMS01Service и RMS02Service. Для сервисных учетных записей установка параметров «Запретить смену пароля пользователем» и «Срок действия пароля не ограничен» обязательна.

 

Полезные ссылки:

 

1.     Развертывание отказоустойчивого кластера службы управления правами Active Directory Windows Server 2008 R2. http://www.techdays.ru/videos/2716.html

2.     Службы управления правами Active Directory (Active Directory Rights Management Services)
http://technet.microsoft.com/ru-ru/library/cc771234(WS.10).aspx

3.     Файлы административных шаблонов Office 2010 (ADM, ADMX/ADML) и центр развертывания Office
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=c3436a99-5c80-48ce-83e8-481f9c3d2288#filelist

4.     Пошаговое руководство по созданию и развертывание шаблонов служб управления правами Active Directory в экстрасети http://technet.microsoft.com/ru-ru/library/cc731070(WS.10).aspx

5.     AD RMS and Active Directory Objects http://technet.microsoft.com/ru-ru/library/dd772638(WS.10).aspx

6.  AD RMS Architecture Design and Secure Collaboration Scenarios http://technet.microsoft.com/ru-ru/library/dd983947(WS.10).aspx