Case Study - Nowy Styl

Microsoft® Windows® Server 2008 RC1
Analiza wdrożenia u klienta
Grupa Nowy Styl testuje Microsoft® Windows®
Server® 2008 RC1 jako kontroler domeny oraz
platformę do zarządzania dostępem do aplikacji.
Informacje o firmie
Dane ogólne:
Kraj: Polska
Sektor: Produkcja mebli
Informacje o kliencie
Grupa Nowy Styl należy do ścisłej czołówki
europejskich producentów mebli. Na przestrzeni
ponad 15 lat historii, rodzinna firma przekształciła się
koncern meblarski, który zatrudnia prawie 7 tys. osób
w ośmiu zakładach. Firma ma biura w 10 krajach, a
jej sieć sprzedaży obejmuje ponad 3,5 tys. partnerów
działających na ponad 60 rynkach..
Sytuacja biznesowa
Grupa Nowy Styl jest w trakcie budowy
nowoczesnej infrastruktury do szeroko
rozumianej komunikacji, zarządzania wiedzą i
informacją w skali całej grupy, które będą
oparte na platformach Microsoft® SharePoint
Server 2007 i Microsoft® Exchange Server
2007.
Rozwiązanie
Wstępna instalacja nowego środowiska odbyła
się na platformie Windows Server 2003, ale
równolegle Grupa Nowy Styl rozpoczęła testy
najnowszej platformy – Microsoft® Windows
Server 2008 RC1, która ma wkrótce stać się w
firmie platformą standardową. Testowanie
nowej odbywało się w scenariuszu Domain
Controller. Partnerem Grupy Nowy Styl w
testach Windows Server 2008RC1 była firma
Alterkom.
Korzyści
 Stabilność i wydajność kontrolera domeny
 Brak konieczności restartu kontrolera (cała
usługa Active Directory oddzielona od jądra
systemu)
 Możliwość zbudowania centralnego
skalowalnego kontrolera logicznego z
wieloma serwerami fizycznymi działającymi
w trybie tylko do odczytu
 Możliwość zwiększenia bezpieczeństwa
dostępu do danych i aplikacji dzięki
połączeniu nowych usług VPN opartych na
protokole SSL z usługami Network Access
Protection
 Możliwość udostępnienia użytkownikom
aplikacji w trybie terminalowym, bez
konieczności udostępniania im całych
pulpitów zdalnych
Grupa Nowy Styl należy do ścisłej czołówki
europejskich producentów mebli. Oferta firmy
obejmuje krzesła dla biur i gastronomii
(marka Nowy Styl), nowoczesne meble,
krzesła i fotele biurowe (marka: , BN
OfficeSolution), krzesła i stoły do jadalni
domowych i restauracji (marka Stylistica ), a
także specjalistyczne fotele dla kin, obiektów
sportowych i innych obiektów publicznych
(marka Forum Seating). Na przestrzeni ponad
15 lat historii, rodzinna firma przekształciła
się w koncern meblarski, który zatrudnia
prawie 7 tys. osób w ośmiu zakładach. Firma
ma biura w 10 krajach, a jej sieć sprzedaży
obejmuje ponad 3,5 tys. partnerów
działających na ponad 60 rynkach.
Cel wdrożenia
Grupa Nowy Styl skupiała się do tej pory na
informatyzacji obszarów produkcji i logistyki.
Za jedno z najambitniejszych wdrożeń
systemu ERP IFS Applications firma uzyskała
tytuł Lidera Informatyki przyznawany przez
tygodnik Computerworld.
Obecnie Nowy Styl jest w trakcie budowy
nowoczesnej infrastruktury do szeroko
rozumianej komunikacji, zarządzania wiedzą i
informacją w skali całej grupy. Środowisko to
obejmuje m.in. portal korporacyjny dla
pracowników i partnerów oparty na platformie
Microsoft® SharePoint Server 2007 oraz
system pracy grupowej wykorzystujący
Microsoft® Exchange Server 2007.
Wstępna instalacja nowego środowiska
odbyła się na platformie Windows Server
2003, ale równolegle Grupa Nowy Styl
rozpoczęła testy najnowszej platformy –
Microsoft® Windows Server 2008 RC1, która
ma wkrótce stać się w firmie platformą
standardową. Partnerem Grupy Nowy Styl w
testach Windows Server 2008RC1 była firma
Alterkom.
„Postanowiliśmy przetestować nową
platformę w scenariuszu Domain Controller,
ponieważ zarządzanie użytkownikami i ich
uprawnieniami to sprawa fundamentalna dla
każdej dużej, rozproszonej firmy. Migracja do
Windows Server 2008 rozpocznie się właśnie
od kontrolerów domeny” – mówi Krzysztof
Patla, Konsultant IT w Dziale Rozwoju
Informatyki w Grupie Nowy Styl.
Rozwiązanie
Administratorzy Grupy Nowy Styl byli
szczególnie zainteresowani możliwością
stworzenia jednej domeny logicznej, przy
założeniu rozproszenia serwerów fizycznych.
To dlatego testy rozpoczęto sprawdzeniem
możliwości technologii Read Only Domain
Controller, czyli kontrolera domeny
działającego tylko w trybie odczytu.
„Zasymulowaliśmy sytuację, w której
odległy o kilkadziesiąt kilometrów zakład
zostaje odcięty od sieci. Kontroler domeny
działający w trybie RODC działał poprawnie
zarówno w trybie z buforowaniem haseł, jak i
bez. Wszystko działało poprawnie, profile
replikowały się. Ustaliliśmy, że administrator
może zbuforowane hasła bardzo łatwo
skasować, co jest bardzo ważne z punktu
widzenia bezpieczeństwa danych osobowych”
– mówi Krzysztof Patla, Konsultant IT w
Dziale Rozwoju Informatyki w Grupie Nowy
Styl.
Administratorzy Grupy Nowy Styl przyjrzeli
się także standardowym politykom Global
Policy (GPO), i pomni własnych doświadczeń
wyłączyli niektóre standardowe ustawienia.
„Mieliśmy na przykład obiekcje, czy
użytkownik na hali fabrycznej powinien mieć
w swoim profilu wymuszanie zmiany hasła.
Nie każdy potrafi wymyślić naprędce hasło o
odpowiedniej mocy, a niedopuszczalne jest,
żeby pracownik nie mógł dostać się do
systemu ERP i zablokować produkcję tylko
dlatego, że nie może poradzić sobie z hasłem.
Założenia GPO trzeba umieć dostosowywać
do lokalnych warunków i potrzeb” – radzi
Krzysztof Patla.
Problemu tak naprawdę nie ma. Grupa
Nowy Styl zamierza bowiem wprowadzić dla
wszystkich pracowników logowanie do
komputerów wykorzystujące karty z
mikroprocesorem, funkcjonujące również
jako element systemu pomiaru czasu pracy.
Zamierzamy zamienić nasz VPN
IPsec na VPN SSL. Przetestujemy
nową usługę bramy VPN
wbudowaną w Windows Server
2008 RC1. Microsoft dołożył
protokół SSL, który może
wykorzystywać certyfikaty
cyfrowe. Bezpieczeństwo to rzecz
względna – IPsec to bardzo dobry
system szyfrowania transmisji,
ale kłopotliwy dla użytkowników-.
Nowa usługa VPN jest atrakcyjna
także dlatego, że integruje się z
usługami Network Access
Protection”
Krzysztof Patla, Konsultant IT w Dziale Rozwój
Informatyki w Grupie Nowy Styl.
„Doszliśmy do wniosku, że długofalowo
bezpieczniej jest oprzeć bezpieczeństwo na
urządzeniu fizycznym, najlepiej oczywiście
wielofunkcyjnym, niż polegać na hasłach. W
takim wypadku pracownik musi zapamiętać
co najwyżej numer PIN i po prostu dbać o
swoją kartę” – mówi Krzysztof Patla.
Testując Active Directory administratorzy
nie zapomnieli o użytkownikach zdalnych, a
więc o usługach VPN.
„Zamierzamy zmienić nasz VPN IPsec na
VPN SSL.Przetestujemy nową usługę bramy
VPN wbudowaną w Windows Server 2008
RC1. Microsoft dołożył protokół SSL, który
może wykorzystywać certyfikaty cyfrowe..
Bezpieczeństwo to rzecz względna – IPsec to
bardzo dobry system szyfrowania transmisji,
ale kłopotliwy dla użytkowników. Nowa usługa
VPN jest atrakcyjna także dlatego, że
integruje się z usługami Network Access
Protection” – mówi Krzysztof Patla.
Aby „odchudzić” informatykę pracownicy
działu informatyki testowali usługi
terminalowe Windows Server 2003 R2 jako
technologię dostępu do aplikacji i są o krok
od wymiany starych pecetów na nowiutkie
terminale.
„Pilotażowe wdrożenie terminalowe
prowadziliśmy jeszcze na dotychczasowej
wersji systemu i zapewne dopiero w połowie
roku wersja 2003 R2 zostanie zastąpiona
wersją 2008. Nie chcemy na razie testować
tego scenariusza w pełni – na rynku nie ma
jeszcze wyboru terminali z pełną obsługą
protokołu RDP 6” – mówi Krzysztof Patla.
Korzyści
Testy platformy Windows Server 2008 RC1
upewniły administratorów Grupy Nowy Styl, że
przyszła migracja jest możliwa, a nawet
pożądana – ze względu na nowe funkcje.
Informatycy firmy docenili przede wszystkim
możliwość zbudowania skalowalnego
systemu katalogowego, opartego na jednym
repozytorium logicznym z wieloma
repozytoriami zależnymi, działającymi w trybie
tylko do odczytu.
Więcej informacji
Bliższe informacje dotyczące produktu Microsoft
Server 2008 można znaleźć na stronie:
www.microsoft.com/poland/windowsserver2008
Oprogramowanie i usługi:
„W poszczególnych zakładach nie ma
specjalnych pomieszczeń serwerowych.
System Active Directory z kontrolerami
zależnymi da nam pewność, że zdalny serwer
nie jest zagrożeniem dla danych osobowych
oraz dla danych handlowych firmy” – mówi
Krzysztof Patla.
Korzyścią w dziedzinie bezpieczeństwa
poufnych danych będzie też zmiana sposobu
ich udostępniania. „Nowa brama VPN oparta
na SSL, w połączeniu z usługami blokowania
dostępu do sieci z komputerów nie mających
właściwie skonfigurowanych zabezpieczeń
oferuje większe bezpieczeństwo, niż bramka
VPN oparta na IPsec. Jednocześnie będziemy
mogli zmniejszyć koszty zarządzania
dostępem i wyeliminować częste problemy
użytkowników z klientami IPsec” – mówi
Krzysztof Patla.
Informatycy Grupy Nowy Styl docenili
także fakt, że usługi Active Directory w nowej
platformie są całkowicie oddzielone od jądra
systemu.
„Restart całego systemu będącego
kontrolerem domeny to zawsze ryzyko.
Możliwość traktowania Active Directory tak
jak każdej innej usługi jest w praktyce bardzo
rozsądnym rozwiązaniem” – mówi Krzysztof
Patla.
Wszystko wskazuje też na to, że Windows
Server 2008 będzie dla Grupy Nowy Styl
platformą zarządzającą dostępem do aplikacji
w trybie terminalowym.
„Wykorzystując usługi terminalowe
będziemy w stanie istotnie zmniejszyć koszty
związane z utrzymaniem sieci. To będzie
również kolejny środek podwyższający
bezpieczeństwo – użytkownicy będą mieć
dostęp tylko do opublikowanych aplikacji, nie
zaś do całych pulpitów” – podkreśla Krzysztof
Patla.
Technologie:
- Active Directory
Produkty:
- Read Only Domain Controller
- Microsoft® Windows® Server 2008 RC1
- Global Policy
- Brama VPN z obsługą SSL
- Network Access Protection