Technisch Ontwerp ICT infrastructuur

Gemeente Anna Paulowna

Datum
Versie

Pagina 1 van 20

:
:

14 augustus 2008
2.0

Management samenvatting
Het Gemeentehuis van Anna Paulowna krijgt eind van het jaar een nieuw onderkomen. Dit
wordt de Multi Functionele Accomodatie De ontmoeting. Naast het Gemeentehuis worden
ook andere organisaties daar gehuistvest, zoals: een school, kinderopvang en bibliotheek. De
oplevering van De ontmoeting is gepland in Q4 2008.

In de komende periode moeten er ten aanzien van de ICT voorzieningen belangrijke

beslissingen genomen die vertaald moeten worden naar een bestek. De huidige ICT
infrastructuur is gerealiseerd in 2001. In De ontmoeting moet een nieuwe ICT infrastructuur
geleverd worden die voldoet aan de huidige wensen en eisen van de gemeente Anna
Paulowna. De aanleiding van dit document is het opstellen van een nieuwe globale ICT
architectuur. Deze architectuur is noodzakelijk voor:
Achterstallig onderhoud: huidige ICT infrastructuur stamt uit 2001 en is reeds
afgeschreven (geen support meer, etc.);
De ontmoeting: nieuwe mogelijkheden en wensen en eisen;
De digitale overheid: 65% van de dienstverlening moet elektronisch aangeboden
worden.
Architectuur en technisch ontwerp
Er is een nieuwe globale ICT architectuur opgesteld. Hier zijn de hoofdlijnen voor de ICT
infrastructuur in beschreven. Het technisch ontwerp is een verdere detaillering van de
architectuur in de vorm van componenten en productkeuzes.
De uitgangspunten voor dit technisch ontwerp zijn n op n overgenomen uit de
architectuur. Hiermee wordt bedoeld de beschikbaarheid van de omgeving, het
beschikbare budget, etc. etc.
Naast een onderbouwing van de keuzes en producten is er in dit document ook een
zogenaamde kitlist opgenomen. De kistlist beschrijft de benodigde producten en de
aantallen. Deze kitlist kan gebruikt worden voor een aanbestedingsdocument. De kistlist is
gescheiden in hardware en software omdat dit gebruikelijk is bij aanbestedingen om deze
items te scheiden.
Voor de producten in de kitlist is waar mogelijk enkel een functionele specificatie
opgenomen. Hierdoor is het mogelijk dat de leverancier die producten aanbiedt zelf invulling
kan geven aan merken.

Verklarende woordenlijst
De terminologie in de IT-branche is niet altijd eenduidig, daarom is hieronder een
woordenlijst opgenomen.
Begrip

Active Directory

Server

Client

Beveiliging

Host

Omschrijving
Om Windows 2003 beter geschikt te maken voor bedrijfsgebruik heeft Microsoft
Active Directory gentegreerd in het besturingssysteem. AD is een directory-service
(een hirarchische database van gebruikers, computers, en gedeelde applicaties
en data) die wordt bestuurd door een zogeheten Microsoft Jet database-engine.
Met AD kan Windows 2003 netwerken veel gebruikers en machines ondersteunen.
De Active Directory geeft de netwerkbeheerder een structuur waarin alle
netwerkbronnen, oftewel resources kunnen worden beheerd. Niet alleen printers,
maar ook zaken als gebruikers en security policies kunnen op deze manier beheerd
worden. De logische structuur van de AD bestaat uit containers, domeinen en
organizational units (OU's). Een AD-database kan 1,5 tot 20 miljoen
gebruikersaccounts omvatten. AD is eenvoudig uit te breiden doordat men
groepen domeinen kan bouwen, forests genaamd, die elkaar automatisch
vertrouwen. Binnen een domein kan de beveiligingsbesturing worden verdeeld
over Organizational Units (OU's). AD in Windows 2003 begrijpt netwerktopologien.
Als men de service dus laat weten welke machines trage WAN-verbindingen
hebben, zal AD communicatie van domeincontrollers comprimeren voordat deze
gegevens over dergelijke verbindingen worden verzonden, om zo bandbreedte te
besparen. Dit is van belang omdat de communicatie van domeincontrollers zal
toenemen nu domeincontrollers in AD gebruik maken van multimaster-replicatie.
Hierdoor kunnen beheerders verbinding maken met elke domeincontroller om
wachtwoorden opnieuw in te stellen, nieuwe accounts te maken of ander
onderhoud aan domeincontrollers te plegen.
Computer die binnen een netwerk voor de afhandeling van bepaalde taken zorgt.
Indien hij dient voor het afhandelen van file-acties, heet deze computer een File
Server, of een Disk Server. Als hij printersharing mogelijk maakt, dan is het een Printer
Server. Een server kan meestal zowel als File Server als als Print Server werken. Als
deze computer niet meer als werkstation gebruikt kan worden, dan heet dit een
Dedicated Server. Indien deze computer ook nog als werkstation gebruikt kan
worden, heet dit een NON Dedicated Server.
Onder clients worden computers verstaan die gebruikmaken van de diensten van
een machine die als server dient, zoals bijvoorbeeld een printerserver.
Het beschermen van gegevens, goederen en personen tegen verlies en
beschadiging. Allereerst is het noodzakelijk om voldoende interne maatregelen te
treffen om computeruitval zoveel mogelijk te voorkomen. Minimale
beveiligingsmaatregelen omvatten in ieder geval voorzieningen tegen brand en
inbraak, toegangscontrole (fysiek en softwarematig), backup-procedures, externe
opslag van backups, no-break en noodstroomvoorzieningen en bliksemafleiding. Bij
het beveiligen van gegevens ligt de nadruk op de volgende drie zaken:
a. voorkomen dat gegevens verminkt worden;
b. voorkomen dat onbevoegden inzage krijgen in de gegevens;
c. voorkomen van diefstal van schijven en magneetbanden.
Elke computer die is aangesloten op het internet met een IP-nummer. Zo zijn alle
computers, die met een vaste verbinding op het Internet zijn aangesloten, hosts. In
het geval met een modem contact wordt gelegd met het internet is de computer
een host zolang de verbinding actief is en de computer een IP-nummer heeft
toegewezen gekregen door de server waarop wordt ingebeld.

Internet

DAS
NAS

SAN

Back-up

Unified Communications

Hypervisor

Een internet is een netwerk van computernetwerken (zie ook intranet en extranet).
Een computernetwerk is over het algemeen alleen beschikbaar binnen een
organisatie of gebouw, een beperking die opgeheven wordt door een internet.
Om een internet goed te laten werken is het nodig om afspraken te maken over
protocollen. Een bijna universeel gebruikt protocol is het zogenaamde
Internetprotocol (IP). Computers in verschillende computernetwerken kunnen
dankzij die afspraken met elkaar communiceren.
Het internet is een groot openbaar netwerk van computernetwerken, waarbij de
afspraken worden beschreven in de Requests For Comments die worden beheerd
door de Internet Engineering Task Force. De oorsprong van het internet is te vinden
in ARPANET, een in 1969 gestart netwerk van militaire netwerken, en later ook
universiteitsnetwerken, in de Verenigde Staten. Inmiddels is het internet een
wereldomvattend fenomeen dat het karakter van een massamedium heeft
gekregen. En ook het meest gebruikte communicatiemiddel ooit. Als een van de
succesfactoren wordt wel genoemd dat het volledige internet eigendom van
niemand is, terwijl de fysieke onderdelen weldegelijk een eigenaar hebben. De
naam internet is een afkorting voor Interconnected Networks.
Direct Attached Storage. Opslagcapaciteit in de vorm van harddisken die direct
aan een server gekoppelt zit met technieken als SCSI, SATA, of IDE.
Network Attached Storage. Op het netwerk aangesloten opslagcapaciteit. NASapparaten zien eruit als harde schijven met een netwerkaansluiting, maar intern zijn
het volwaardige fileservers.
Storage Area Network koppelt de geheugensystemen (opslag) los van de server- of
clientsystemen. De opslagmedia worden via een netwerk met de servers
verbonden. Deze constructie maakt een uniform beheer eenvoudiger. De
gegevens kunnen bijvoorbeeld ten behoeve van backups binnen het SAN worden
gekopieerd, zonder dat er een beroep wordt gedaan op de resources van servers
of het LAN.
Meestal een gecomprimeerd duplicaat van de gegevens op de harde schijf,
gemaakt met een speciaal daarvoor bestemd programma. Een backup is
noodzakelijk om bij defecten aan de harde schijf de gegevens niet verloren te
laten gaan. Bij een schijfcrash kan men de gegevens terugplaatsen ('restoren').
Unified Communications is een term die de communicatie technologie beschijft
welke alle vormen van communicatie tussen mens en machine verenigt, zoals email, voice-mail, chat, etc. Het doel is om communicatie tussen mensen te
optimmaliseren door middel van het verminderen van zoektijd, het beheren van
communicatie stromen en het elimineren van device-afhankelijkheden.
Software die het mogelijk maakt om meerdere operating systemen op n
hardwareplatform te kunnen draaien.

Inhoudsopgave

Hoofdstuk 1 Inleiding.................................................................................................... 6
1.1

Aanleiding ............................................................................................................................ 6

1.2

Doel en doel groep............................................................................................................. 6

1.3

Bronnen ................................................................................................................................. 6

1.4

Uitgangspunten ................................................................................................................... 7

1.5

Aandachtspunten............................................................................................................... 7

Hoofdstuk 2 Technisch Ontwerp ................................................................................ 8

2.1

Server platform..................................................................................................................... 8

2.2

Active Directory & e-mail ................................................................................................... 9

2.3

Databases .......................................................................................................................... 10

2.4

Intranet................................................................................................................................ 10

2.5

Citrix ..................................................................................................................................... 10

2.6

System Center Essentials.................................................................................................. 11

2.7

Storage............................................................................................................................... 12

2.8

Werkplekken....................................................................................................................... 13

2.9

Migratie ............................................................................................................................... 13

2.10 Diversen hardware ............................................................................................................ 13

2.11 Netwerk............................................................................................................................... 13
2.12 File & print omgeving ........................................................................................................ 14
2.13 Archiveringsoplossing........................................................................................................ 15

Hoofdstuk 3 Migratie scenarios ............................................................................... 16

Hoofdstuk 4 Kitlist Hardware...................................................................................... 17
Hoofdstuk 5 Kitlist Software........................................................................................ 18
Bijlage 1 Quest Migratie Software............................................................................ 20

Hoofdstuk 1 Inleiding
1.1
Aanleiding
Het Gemeentehuis van Anna Paulowna krijgt eind van het jaar een nieuw onderkomen. Dit
wordt de Multi Functionele Accomodatie De ontmoeting. Naast het Gemeentehuis worden
ook andere organisaties daar gehuistvest, zoals: een school, kinderopvang en bibliotheek. De
oplevering van De ontmoeting is gepland in Q4 2008.
In de komende periode moeten er ten aanzien van de ICT voorzieningen belangrijke
beslissingen genomen die vertaald moeten worden naar een bestek. De huidige ICT
infrastructuur is gerealiseerd in 2001. In De ontmoeting moet een nieuwe ICT infrastructuur
geleverd worden die voldoet aan de huidige wensen en eisen van de gemeente Anna
Paulowna. De aanleiding van dit document is het opstellen van een nieuwe globale ICT
architectuur. Deze architectuur is noodzakelijk voor:
Achterstallig onderhoud: huidige ICT infrastructuur stamt uit 2001 en is reeds
afgeschreven (geen support meer, etc.);
De ontmoeting: nieuwe mogelijkheden en wensen en eisen;
De digitale overheid: 65% van de dienstverlening moet electronisch aangeboden
worden.
1.2
Doel en doel groep
Het doel van dit document is het opstellen van een technisch ontwerp en kitlist welke
gebruikt gaat worden als technische input voor het aanbestedingsdocument voor de
levering van de nieuwe ICT voorzieningen.
Dit document is bedoeld voor personen die binnen Anna Paulowna op operationeel niveau
met de ICT omgeving te maken hebben.
1.3
Bronnen
Voor de totstandkoming van dit document zijn de volgende bronnen gebruikt:
Bron

Omschrijving

Architectuur document ICT

infrastructuur Anna Paulowna

Document waarin de ICT architectuur voor de gemeente

Anna Paulowna in beschreven is.

Interview met R Tode op 17-07-2008

Interview omtrent de huidige situatie en de gewenste

situatie incl. doornemen van mogelijkheden.

Microsoft IO model

Infrastructure Optimization model

- Raamwerk om ICT infrastructuur te optimaliseren

Microsoft WSSRA

Windows Server System Reference Architecture

- Referentiekader voor windows server installaties

Wikipedia

De vrije encyclopedie van het internet.

Pagina 6 van 20

1.4
Uitgangspunten
Uit het architectuur document zijn de volgende eisen naar voren gekomen waar het
technisch ontwerp aan moet voldoen:
De omgeving moet voor de gebruikers niet teveel veranderen;
Door het mogelijk regionaliseren van locale overheden moet het design schaalbaar
zijn;
Implementatie Monitoring solution t.b.v. pro-actief beheer inclusief management
rapportages;
Toekomstige SBC oplossing moet modulair zijn voor wat betreft inrichting en
onderhoud;
De nieuwe omgeving moet toekomstvast zijn en schaalbaar om toekomstige
(digitale) ontwikkelingen hierop te kunnen aansluiten;
De omgeving wordt ingericht op basis van een beschikbaarheid van 99,95%;
De informatie/ ICT omgeving moet in een geval van een calamiteit (storing HW of SW)
binnen 48 uur weer beschikbaar zijn;
De architectuur moet 7 x 24 beschikbaar zijn exclusief de geplande maintenance
windows;
De architectuur moet ook telewerkers kunnen faciliteren op ieder tijdstip van de dag;
De architectuur moet in het gebouw van De ontmoeting op een draadloze
infrastructuur worden aangesloten;
Het beheer van de werkplekomgeving moet minimaal zijn. Dit geldt ook voor het
uitrollen van nieuwe werkplekken en restore van werkplekken. Een software distributie
mechanisme inclusief patchmanagement moet ingericht worden voor lokaal
genstalleerde software.
1.5
Aandachtspunten
Bij het ontwerpen van de nieuwe ICT architectuur is het belangrijk dat de juiste keuzes
worden gemaakt voor de technologien die voorhanden zijn. Een groot aantal factoren
spelen hierbij een rol. Denk aan kosten, beheersbaarheid, betrouwbaarheid, etc. Van de
volgende factoren heeft Anna Paulowna aangegeven dat ze erg belangrijk zijn bij het
maken van de keuzes binnen dit ontwerp:
Robuustheid;
Flexibiliteit;
Beheersbaarheid.

Pagina 7 van 20

Hoofdstuk 2 Technisch Ontwerp

Dit document bevat een functiebeschrijving van de componenten welke benodigd zijn voor
het opbouwen van de nieuwe infrastructuur voor de gemeente Anna Paulowna. Verder is er
een overzicht van de basiselementen opgesteld.
Onderstaande illustratie is een overzicht van de nieuwe infrastructuur voor gemeente Anna
Paulowna.

le
ac
Or

g
10
SQ

5
00
L2

rix
C it

pp
na
Xe

A
RS

r
S)
07
olle
OS
t
20
ntr
rin
t (M
ge
Co
ne
an
in
e/P
a
h
a
r
c
Fil
m
Int
Ex
Do

st
Sy

em

c
Bla

r
nte
Ce

als
nti
se
Es

y
err
kb

Po werVault
128T

11

10

12

11

10

12

11

10

12

11

10

12

Catalyst 2950 SERIES

1

SYST

RPS

STRT UTIL DUPLXSPEED

MODE

Catalyst 2950 SERIES

1

SYST

RPS

STRT UTIL DUPLXSPEED

MODE

Catalyst 2950 SERIES

1

SYST

RPS

STRT UTIL DUPLXSPEED

MODE

Catalyst 2950 SERIES

1

SYST

RPS

STRT UTIL DUPLXSPEED

MODE

Figuur 1. Technisch ontwerp ICT infrastructuur Anna Paulowna.

De componenten - zowel hard- en software - zijn afzonderlijk benoemt in het volgende

hoofdstuk. De volgende paragrafen beschrijven in het de kort de specificaties van de
componenten en onderbouwen de gemaakte keuzes.
2.1
Server platform
De keuze van het serverplatform is gebaseerd op twee strategien:
1. Toekomstvast server platform: maximale support van leverancier;
2. Software Compatibiliteit: afhankelijk van software wordt het serverplatform
aangepast.
In principe wordt Window Server 2008 ingezet als basis serverplatform, wanneer blijkt dat
software niet geschikt is voor server 2008, wordt Windows Server 2003 ingezet.

Pagina 8 van 20

Serversoftware

Platform

Virtueel

Architectuur

Exchange 2007

Server 2008

64 bit

Domain Controller

Server 2008

64 bit

Intranet Sharepoint

Server 2008

32 bit

File/Print

Server 2008

64 bit

Blackberry

Server 2003

32 bit

Oracle 10g

Server 2003

32 bit

SQL 2005(sp2)

Server 2008

64 bit

Citrix Xenapp

Server 2003

32 bit

RSA

Server 2003

32 bit

System Center Essentials

Server 2003*

32 bit

Backup/DC/Management

Server 2008

64 bit

ISA 2006

Server 2003

32 bit

* Nog niet geschikt voor Server 2008

2.2

Active Directory & e-mail

Active Directory:
Op de nieuwe lokatie wordt een nieuw forest met een nieuw domein genstalleerd. Alle
domain controllers zijn Windows server 2008 met een domein niveau welke past in het
applicatielandschap van Anna Paulowna. De onderstaande afbeelding geeft het nieuwe
forest en domein model weer.

Figuur 2. Active Directory forest en domein model.

Het test/ontwikkel forest is optioneel. Dit forest kan praktisch zijn om schema updates in te
testen voordat deze doorgevoerd worden in het productie forest.
Het productie domein wordt uitgevoerd met twee Windows Server 2008 domain controllers.
De FSMO rollen en Global Catalog functie worden verdeeld over deze twee servers.
E-mail:
Alle email verkeer wordt verzorgd door een enkele Exchange 2007 server. De email wordt
ontsloten via Outlook, Outlook Web Access en push-mail. Op de werkplek wordt gebruik
gemaakt van Outlook 2007. Alle Anna Paulowna gebruikers kunnen m.b.v. een browser hun
email benaderen via Outlook Web Access, deze wordt beveiligd door Outlook Web Access
te publiceren met Microsoft ISA 2006. Een aantal gebruikers kan d.m.v. push mail gebruik
maken van mobile devices (ipaq, smartphone, etc) om hun email en agenda in te zien.

Pagina 9 van 20

Backberry:
De huidige Blackberry server configuratie wordt overgenomen in de nieuwe infrastructuur.
Samen met de leverancier wordt bepaald of een update/upgrade wenselijk dan wel niet
noodzakelijk is.
2.3
Databases
SQL Server:
Een aantal serverapplicaties maakt gebruik van het Microsoft SQL server database platform.
Deze applicaties; waaronder System Center Essentials, Citrix en sharepoint, voor deze
applicaties wordt SQL server 2005 Service Pack 2 configuratie opgenomen in de virtuele
omgeving.
Oracle:
De Oracle productie server moet naar minimaal versie 10g. De installatie en configuratie
wordt overgelaten aan de leverancier van de applicaties die gebruik maken van deze
server. De migratie van de data op de server wordt door de leverancier uitgevoerd.
2.4
Intranet
Voor het Intranet wordt een Microsoft Office Sharepoint Server 2007 ingericht. Het Microsoft
Office Sharepoint Server product bestaat uit twee onderdelen; Sharepoint server voor
ontsluiten van data en een Microsoft SQL server voor de opslag van gegevens die
opgeslagen worden in Sharepoint. MOSS heeft als kracht dat met minimale inspanning en op
een eenvoudige manier informatie te ontsluiten. Sharepoint kan worden ingezet als intranet
voor het ontsluiten van bedrijfsbrede data, groepsites voor het ontsluiten van
groepsspecifieke data en eventueel persoonlijke websites van gebruikers.
De functionele inrichting moet nog worden bepaald in samenspraak met de gemeente.
2.5
Citrix
Voor thuiswerken is in de huidige infrastructuur een Citrix Server met RES powerfuse ingericht.
Deze configuratie wordt overgenomen in de nieuwe infrastructuur en desgewenst naar een
hoger platform/versie gebracht. Voor thuiswerk maakt men gebruik van een beveiliging op
basis van hardware tokens, dit dient vervangen te worden met een oplossing op basis van
software tokens ipv hardware tokens.
In eerdere gesprekken heeft de gemeente aangegeven om alle werkplekken uit te faseren
en deze te vervangen door zogenaamde thin clients. Het beoogde doel was de
vereenvoudiging van werkplekbeheer en versiebeheer. De praktijk wijst uit dat de
implementatie van een volledige Kantoorautomatiseringsomgeving op Citrix veel complexer
wordt dan een traditionele client-server inrichting. Bijvoorbeeld: Op de Citrix server moet een
groot aantal applicaties genstalleerd worden, veel applicaties maken gebruik van gedeelde
(programma) componenten. Als een applicatie toegevoegd wordt aan de server(s) of n
van de applicaties gepdate wordt dan moeten alle reeds genstalleerde applicaties
opnieuw functioneel getest worden. Dit proces moet voor elke aanpassing aan de
Citrixomgeving doorlopen worden en heeft een negatieve impact op het in productie
nemen van (nieuwe) applicaties. Het aantal gebruikers en de hoeveelheid applicaties zou
voor de gemeente inhouden dat er gebruik gemaakt moet worden van Citrix meerdere
servers. Het is van het grootste belang om deze servers qua hardware, instellingen en
software gelijk te houden, dit heeft een grotere beheerlast tot gevolg. Bovenstaande
argumenten hebben er toe geleid dat is gekozen voor een klassiek client-server concept.
Door de aanschaf van een nieuwe standaardwerkplek en software distributie kan de
werkplek op een eenvoudige manier gemanaged worden, voorzien worden van updates en
nieuwe software.

Pagina 10 van 20

2.6
System Center Essentials
System Center Essentials (SCE) van Microsoft wordt ingezet voor monitoring en software
distributie. SCE bevat WSUS voor Windows update naar servers en werkplekken, het WSUS
mechanisme kan ook gebruikt worden voor software distributie naar werkplekken. SCE wordt
ingezet om serversystemen te monitoren, door deze methode van monitoren te
implementeren kan met een stap richting pro-actief beheer gezet worden. Het is aan te
bevelen om aan de SCE implementatie, live maps van savision toe te voegen. Deze add-on
stelt systeembeheer in staat om een grafische weergave van het netwerk te creeren. Dit
maakt de interface van SCE overzichtelijker.
De standaard Operation Manager interface is een flat view. Hierbij is geen gemakkelijk
correlatie te maken tussen geografische locaties en bijv. systemen. Het is geen grafische
interface en systemen worden als regels weergegeven en kunnen op diversen manieren
gesorteerd worden.

Figuur 3. Standard SCOM interface.

Savision (https://www.savision.com/) heeft een plug-in voor SCOM ontwikkeld. Dit is de Live
Maps plug-in en deze zorgt ervoor dat standaard Microsoft Visio tekeningen in de SCOM
interface zichtbaar gemaakt kunnen worden. Hierdoor is het mogelijk om bijv. een landkaart
in de interface te tonen of een serverruimte (racks van bijv. de MER bij Anna Paulowna).

Pagina 11 van 20

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

Tape

Figuur 4. Savision Live Maps voor SCOM.

2.7
Storage
Alle componenten van de centrale infrastructuur zijn afhankelijk van de storage oplossing. De
storage wordt gebruikt voor opslag van gebruikers data, databases en de virtuele servers.
Het is van belang dat de storage oplossing redundant uitgevoerd is om verlies van data en
productie te voorkomen. Verder moet de oplossing snel zijn om alle processen aan te
kunnen. Initieel is uitgegaan van een netto opslag capaciteit van 2TB (terrabyte) met de
mogelijkheid om deze uit te breiden in de toekomst. De schijven worden ontsloten met fibre
channel technologie, omdat deze technologie bewezen is en snel is.

De onderstaande illustratie geeft de componenten van een Storage Area Network weer.

9.1 GB

9.1 GB

ULTRA3 SCSI

9.1 GB

ULTRA3 SCSI

9.1 GB

9.1 GB

9.1 GB

1 3

0 2

1 1

0 0

Duplex Simplex

1 3

ULTRA3 SCSI

ULTRA3 SCSI

9.1 GB

9.1 GB

ULTRA3 SCSI

ULTRA3 SCSI

ULTRA3 SCSI

ULTRA3 SCSI

9.1 GB

9.1 GB

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

FibreChannel

Pagina 12 van 20

9.1 GB

9.1 GB

ULTRA3 SCSI

ULTRA3 SCSI

ULTRA3 SCSI

ULTRA3 SCSI

FibreChannel

Figuur 5. Componenten Storage Area network.

UID

UID

UID

0 2

1 1

0 0

Duplex Simplex

1 3

0 2

1 1

0 0

Duplex Simplex

ProLiant DL580

ProLiant DL580

ProLiant DL580

Voor de gemeente Anna Paulowna wordt het SAN voorzien van twee hosts (servers) waarop
VMWare ESX server genstalleerd wordt. Hierdoor is het mogelijk om een cluster te
implementeren en Vmotion te kunnen gebruiken.
De back-up wordt een zogenaamde LAN based back-up. De tape library wordt via SCSI
gekoppeld aan de back-up server en dus niet direct aan het SAN.
2.8
Werkplekken
Er zijn twee soorten werkplekken:
Laptops;
Desktop.
Het grootste gedeelte van de gebruikers heeft een vast werkplek met een desktop.
Uitgangspunt voor de nieuwe locatie is dat alle werkplekken worden voorzien van een
nieuwe standaard desktop. Alle nieuwe werkplekken worden voorzien van een standaard
image, het image wordt middels een geautomatiseerd proces op de werkplekken
genstalleerd. Een klein aantal gebruikers maakt gebruik van laptops, vooralsnog blijven deze
in gebruik en worden laptops alleen aangeschaft als de bestaande laptops aan vervanging
toe zijn.
Alle werkplekken worden vervangen voor een standaard type werkplek. De standaard is
vastgesteld op een ultra small form factor met externe voeding, geen DVD speler, Vista en
Windows XP compatible, minimaal 1GB intern geheugen en een minimaal 19 inch lcd
beeldscherm. Alle machines worden op minimaal 100Mbit netwerk aangesloten en wake on
lan functionaliteit ondersteunen. De werkplekken voor voorzien van een standaard installatie
van Windows XP en basisapplicaties (applicaties die door iedereen gebruikt worden), andere
applicaties worden m.b.v. van System Center Essentials uitgerold op de werkplekken.
Alle werkplekken worden beschermd met Sophos anti-virus tegen virussen, spyware, etc.
2.9
Migratie
Systeembeheer van Anna Paulowna heeft de wens uitgesproken om de nieuwe infrastructuur
opnieuw op te willen bouwen. Dit houdt in dat het oude domein niet wordt gemigreerd. Voor
de nieuwe infrastructuur wordt een nieuw Windows domein ingericht en alleen de data
wordt getransporteerd van het oude naar het nieuwe domein. Afhankelijk van de wensen en
eisen die gesteld worden aan de migratie is het wellicht wenselijk om migratietooling aan te
schaffen.
Hoofdstuk 3 van dit document geeft de migratie mogelijkheden voor de gemeente Anna
Paulowna weer. In bijlage 1 is een beschrijving gegeven van de Quest migratie tooling.
2.10
Diversen hardware
In de lijst zijn alleen de hoofdcomponenten benoemd, kabels, mounting kits, blank panels,
etc moeten door de leverancier als stelpost worden opgenomen in de offerte. Deze items zijn
per merk verschillend en kunnen maken derhalve geen onderdeel uit van de lijst. Het is de
verantwoordelijkheid van de leverancier om een complete configuratie op te leveren.
2.11
Netwerk
Het netwerk bestaat uit twee hoofdonderdelen:
Core: de netwerk infrastructuur aan de serverkant;
Access: hier worden de werkstations op aan gesloten.

Pagina 13 van 20

De onderstaande afbeelding geeft de architectuur van de netwerkcomponenten weer.

Figuur 7. Netwerk componenten.

De core netwerk infrastructuur bestaat uit twee switches die middels een glasverbinding aan
elkaar worden gekoppeld. Deze switches moeten 1Gb/s en VLANs ondersteunen.
Het access netwerk wordt met 1Gb/s gekoppeld aan de core switches d.m.v. een
glasverbinding. De werkplekken worden met koper verbonden aan de access swtiches. De
access switches moeten minimaal 2 glaspoorten (1Gb/s) bevatten en VLAN configuratie
ondersteunen. De switches moeten uitgevoerd zijn met z.g. in-line power; deze dient als
voeding voor eventuele IP telefoons.
Anna Paulowna wil haar netwerk draadloos ontsluiten. De wijze van ontsluiting en de diensten
die ontsloten worden is nog niet overeengekomen. Het exacte aantal wireless access points
is nog niet te bepalen omdat er nog geen plan is waarin de draadloze ontsluiting nader
beschreven is. De leverancier moet wel rekening houden met de wens. De beveiliging van
het draadloze netwerk moet van hoog niveau zijn.
2.12
File & print omgeving
Opslag van persoonlijke, gedeelde data en profielen wordt verzorgd door een Windows 2008
server. Deze server doet tevens dienst als printserver.
Alle data wordt opgeslagen op het SAN, de schijven worden gekoppeld m.b.v. RAW disk
mappings in Vmware.
Alle data uit de oude omgeving wordt overgezet naar het nieuwe SAN en ontsloten d.m.v.
de fileserver. De data van de gebruikers en de groepen worden met behulp van access
control lists beschermd tegen oneigenlijke toegang. Gebruikers hebben alleen toegang tot
data waartoe zij geautoriseerd zijn. De rechten worden volgend het AGLP principe van
Microsoft ingericht.

Pagina 14 van 20

AGLP wil zeggen: Gebruikers worden in globale groepen geplaatst, de globale groepen
worden in lokale groepen gezet, de lokale groepen worden op de bestanden en mappen
toegepast met de juiste autorisaties. Het voordeel van het AGLP principe is dat toegang tot
bestanden, mappen en andere resources kan eenvoudig vanuit Active Directory geregeld
worden. Rechten verlenen of intrekken kan eenvoudig gerealiseerd worden door deze in
globale groep te plaatsen of te verwijderen.
De fileserver wordt voorzien Sophos antivirus om de data te beschermen tegen virussen en
andere mal-ware.
Op het ogenblik maakt de gemeente geen gebruik van de features zoals Access Based
Enumeration, DFS, Volume shadow copies en Quotas. In samenspraak met de gemeente
kunnen deze features aangezet worden.
2.13
Archiveringsoplossing
De gemeente heeft een aantal uitdagingen die betrekking hebben op datamanagement.
PSTs op het netwerk;
Grote postbusen op de Exchange server;
Wet op de archivering;
Oude data op het netwerk.
Microsoft outlook maakt gebruik van persoonlijke archieven, de zogenaamde PSTS.
Gebruikers kunnen data die ze niet in hun postbus willen of kunnen bewaren verplaatsen
naar een PST. Deze oplossingen kent een aantal beperkingen en nadelen. PSTs op het
netwerk worden niet ondersteund door Microsoft (http://support.microsoft.com/kb/297019),
een probleem met PSTs op het netwerk wordt niet in behandeling genomen door Microsoft.
Gebruikers kunnen hun PSTs opslaan op lokale schijven, van deze PSTs kunnen geen
backups gemaakt worden met het risico dat gebruikers email data kunnen verliezen.
Postbussen worden vaak onnodig groot omdat mensen veel meer en vaker email
ontvangen. Dit kan nadelige gevolgen hebben voor de prestaties van een email server. De
doorlooptijden van backups nemen toe en gebruikers gaan meer en meer data naar PSTs
verplaatsten.
De wet op de archivering is van toepassing op de gemeente, door inzet van een
archiveringsoplossing kan eenvoudig worden voldoen aan de wettelijk eis die vanuit
overheid wordt opgelegd. Een van de eisen is dat alle email berichten die binnenkomen in
een organisatie bewaard moeten worden.
Een groot gedeelte van de data op netwerkschijven is oudere data. Dit soort data wordt niet
dagelijks aangesproken maar neemt wel dure opslagcapaciteit in beslag. Doorlooptijden
van backups passen niet meer in het window.
De inzet van een archiveringsoplossing biedt een oplossing voor al uitdagingen die hierboven
zijn beschreven. De archiveringoplossing kan PSTs elimineren door deze op verplaatsen naar
de archiveringsoplossing. De gebruiker kan de gearchiveerde email vanuit Outlook blijven
benaderen. De inhoud van postbussen kan periodiek naar het archief verplaatst worden,
bijvoorbeeld elke 2 weken of maandelijks, deze aanpak houdt de postbussen klein.

Pagina 15 van 20

Hoofdstuk 3 Migratie scenarios

De volledige ICT infrastructuur van Anna Paulowna moet gemigreerd worden. Op hoofdlijnen
zijn er twee migratie scenarios mogelijk. Belangrijk is om de juiste keuze te maken zodat de
gebruikers zo min mogelijk hinder ondervinden van de migratie en het beheer zo effectief en
efficint mogelijk uit te voeren is na de migratie.
Het hart van de ICT infrastructuur is de Active Directory. De methode van de migratie van de
Active Directory is dan ook leidend voor de overige ICT componenten zoals servers en
applicaties.
Het huidige Active Directory domein kan op twee wijzen worden gemigreerd:

In-Place upgrade;

Green field migration (domain restructure1).

In een green field migratie scenario wordt naast de huidige omgeving de nieuwe
omgeving opgebouwd. Dus inclusief een nieuwe Active Directory.
Nadat de infrastructuur is ingericht volgens de eisen zoals gesteld in dit Technisch Ontwerp
kan een stapsgewijze migratie van de oude omgeving naar de nieuwe omgeving beginnen.
De voordelen van een green field migratie zijn:

Er wordt gemigreerd naar de uiteindelijke infrastructuur.

Hier hoeven achteraf geen grote wijzigingen meer aangebracht te worden;

Staps gewijze migratie, specialistische tools bieden uitstekende roll-back

mogelijkheden indien er zich problemen mochten voordoen;

Oude infrastructuur blijft geheel intact en functioneel totdat de applicatie servers

(resources) worden overgezet naar de nieuwe omgeving. Er kan gekozen worden om
niet resource-servers maar resources te migreren. Hierbij zijn dan wel tijdelijk extra
servers noodzakelijk;

Gefaseerde migratie strategie mogelijk.

Voor de gemeente Anna Paulowna is de green field migratie het meest ideale migratie
scenario. De nieuwe omgeving kan naast de huidige omgeving opgebouwd worden en er is
altijd een fallback scenario mogelijk. Het nadeel van de green field migratie is dat er meer
hardware noodzakelijk is omdat twee omgeving tegelijk operationeel zijn, maar aangezien
de gemeente Anna Paulowna toch nieuwe servers aanschaft is dit nadeel te verwaarlozen.
Het is aan te bevelen om een third party migratie tool in te zetten om alle Active Directory
gebruikers accounts, werkplekken, groepen, mailboxen, etc. te migreren. Deze tool maakt
gebruik van rapportages, kan rechten migreren en heeft fallback scenarios. De bekendste
tool is van Quest software. In een bijlage van dit document staat de migratie tool van Quest
beschreven.

Ook wel bekent als domain consolidation.

Pagina 16 van 20

Hoofdstuk 4 Kitlist Hardware

Component

Functie

Specificaties

Extra opties

Core

Server (ESX)

Dual Quad core / 16GB / 2 x 72

GB 15K SAS

2 x HBA (4gb)

Core

Backup server / DC

Quad Core / 4GB /2 x 72 GB 15K

SAS

Windows 2003
1 standard

Perimeter

ISA server

Quad Core / 2GB /2 x 72 GB 15K

SAS

Windows 2003
1 standard

Perimeter

Firewall

4 poorts firewall

Perimeter

Anti Spam

Anti- spam/virus applicance

Netwerk Core

Core Switch Servers

48 poorts 1Gb/s

Fibre uplink, in
line power

Netwerk
Access

Access switches

24 poorts 10/100/1000 (incl PoE)

Fibre uplink, in
line power

Storage

SAN Storage

2 TB netto opslag, Fibre channel,

redundante voeding, switches
en controllers

Storage

Opslag disks

146GB 10.000 rpm SAS

15

Wireless

Wireless access
points

54G managed accespoints

10

Wireless

Wireless Controller

management maximaal 50 AP

MER

42U 19 Inch rack

Rack tbv Server hardware en

storage

MER

KVM

8 poorts KVM oplossing

MER

PDU

Power Distribution Unit

KA

Werkplek

2GHz CPU, 1024MB, 80GB disk,

ultra small form factor,
19"scherm

70

KA

Laptop

2GHz CPU, 1024MB, 160GB disk,

15"scherm

10

Core

Back-up server

Aansluiting voor SCSI tape library

Pagina 17 van 20

aantal

OS
Vmware
2 infrastructure

Hoofdstuk 5 Kitlist Software

Software

Doel

Versie

aantal

Windows server 2008

DC, Exchange, file en print en Sharepoint

Enterprise

Exchange 2007

Email

Standard

Exchange 2007 Client access

license

Email (UM en Forefront)

Enterprise

80

SQL server 2005

Database (SCCM, SCOM,etc)

Standard

Windows server 2003

BackupServer, SQL,Citrix, BES, Oracle, RSA,

SCCM, SCOM

Enterprise

Citrix Xenapp

Thuiswerken

Advanced Edition

RSA Authentication Manager

Strong Authentication

Basic

System Center Essentials

Software distributie, inventarisatie en

monitoring

ISA server 2006

Firewall en applicatie publishing

Oracle 10g

Database

Blackberry

Mobile email

Windows XP

Werkplek

Professional

80

Microsoft Office 2007

KA

Professional

80

Sophos Antivirus

Werkplek anti virus

80

Enterprise Vault

Email / Filesystem archiving

80

Equitrac

Follow me printing

Microsoft Data Protection

Manager

Backup software

Forefront for Microsoft Exchange

Anti virus

Migratie Software

Migratie AD en Exchange

Vmware Virtual infrastructure

Server vrtualisatie

RES Powerfuse

Thuiswerken

80
1

Standard

1
Standard

1
15

Pagina 18 van 20

Diversen software
Product

Doel

aantal

Live maps

grafische weergave van netwerk voor

SCE

5 maps

Product

doel

aantal

Quest Migration manager

Migratie van AD objecten en email

per user licentie model: 80 gebruikers

Pagina 19 van 20

Bijlage 1 Quest Migratie Software

Quest levert out-of-the-box software producten om management taken in een Microsoft
Windows omgeving gemakkelijker en gecontroleerde uit te kunnen voeren. Bij de gemeente
Anna Paulowna is er gekozen voor een Green field migration. Dit houdt in dat er een
gefaseerde migratie uitgevoerd gaat worden. Er is gekozen om niet de standaard tools van
Microsoft te gebruiken (ADMT) omdat deze niet voldoen aan de eisen en wensen van Anna
Paulowna, zoals: roll back mogelijkheden, SID history verwijderen, etc.
De Quest Migration Suite bevat drie onderdelen die allen ingezet zullen worden voor
(gedeeltes) van de migratie:

Domain Migration Administrator: de Domain Migration Administrator (DMA) is

waarschijnlijk de beste tool om een Active Directory te migreren. DMA heeft een
uitgebreide (GUI) interface die volledig integreert met de Microsoft Management
Console (MMC). Met DMA is het mogelijk om relatief eenvoudig een migratie uit te
voeren van: gebruikers, wachtwoorden, groepen, member servers, workstations, rechten,
etc.

Server Consolidator: door gebruik te maken van de Server Consolidator is het tijdens de
migratie al mogelijk om hardware te consolideren. Server Consolidator maakt gebruik van
ActiveAgent technology, dit zorgt ervoor dat shares, printers, local groups, rechten, etc.
gemakkelijk gemigreerd kunnen worden. Tevens is het mogelijk om migratie taken op een
bepaald tijdstip automatisch uit te laten voeren. Zo is het mogelijk om complete
omgevingen na werktijd te migreren. Server Consolidator kan samenwerken met Network
Attached Storage (NAS) devices, cluster servers en reguliere Windows file servers.

Exchange Migrator: de Exchange Migrator wordt ingezet om te migreren van Exchange

2000 naar Exchange 2007. Door gebruik te maken van de Exchange Migrator wordt het
gemakkelijk om objecten zoals: mailboxen, distributie lijsten, public folders, etc. te
migreren.

Database repository
Wellicht de belangrijkste reden om de Quest Migration Suite te gebruiken tijdens
migratietrajecten is de database repository. De Domain Migration Administrator (DMA),
Server Consolidator en de Exchange Migrator maken allemaal gebruik van de zogenaamde
database repository. De database repository moet gezien worden als een metabase. Door
gebruik te maken van een metabase kan de migratie compleet onafhankelijk van de
huidige Active Directory database en de nieuwe Active Directory database voorbereid en
uitgevoerd worden. Geen enkele migratieactie zal gegevens lezen uit de huidige Active
Directory database en deze direct plaatsten in de nieuwe Active Directory database. Er zal
altijd gebruik gemaakt worden van de metabase als tussenstap. Door deze methode is het
mogelijk om diverse rollback scenarios uit te kunnen voeren.

Pagina 20 van 20