Bilag 1 Arkitektur- og Infrastruktur beskrivelse (v1.2) Vejledning til tilbudsgiver: Dette underbilag indeholder en beskrivelse af Kundens it-arkitektur og overordnede infrastruktur. Leverandøren skal ikke udfylde noget i bilaget. Indhold 1. Formål... 2 2. Rammer og netværk.... 3 2.1. Driftslokationer... 3 2.2. Netværk... 4 2.2.1 WAN forbindelser... 4 2.2.2 LAN... 5 2.2.3 Trådløst netværk... 5 2.2.4 VLAN... 5 2.2.5 Firewall... 5 2.2.6 VPN adgange... 6 2.2.7 Protokoller... 6 3. Servere... 7 3.1. Virtuelle servere... 7
3.2 Fysiske servere... 7 3.3 Operativsystemer... 7 3.4 Databaser... 8 3.5 Antivirus... 8 3.6 Backup... 8 3.7 Overvågning... 8 3.7.1 Netværksovervågning... 8 3.7.2 Serverovervågning... 8 3.7.3 SW Distribution server... 8 3.8 Mailsystem... 9 3.9. Domæner... 9 3.10. SAN... 9 4. Arbejdsstationer... 10 4.1.Hardware... 10 4.2. PC Basissoftware... 10 4.2.1. PC Operativsystem og std. software... 10 4.2.2 Fjernkontrol af arbejdspladser.... 10 4.2.3 SW distribution... 11 4.2.4 Mailsystem... 12 5. Print... 13 6. Brugerhåndtering/SingleSignon... 14 1. Formål Formålet med dette underbilag er at beskrive Faxe Kommune og eksisterende IT-miljø med henblik på at sikre, at Leverancen kan driftes, vedligeholdes og forvaltes hensigtsmæssigt i Kundens IT-miljø, herunder at Leverancen integreres, implementeres og tilpasses korrekt til Kundens IT-miljø.
2. Rammer og netværk. Følgende afsnit beskriver den tekniske infrastruktur som er til stede i Faxe Kommune. 2.1. Driftslokationer Der findes i dag 2 driftscentre: - Haslev (Primært datacenter) - Vordingborg (backup datacenter) Emne Adgang Serverrum. Drift center Haslev: Der er installeret tyveri og temperatur alarmer samt automatisk brandslukning. Alarmer går til midt- og sydsjællandsk brandvæsen. Backup center Vordingborg rådhus: Der er installeret tyveri og temperatur alarmer samt automatisk brandslukning. Brandsikring Vandsikring Køling UPS Drift center Haslev: Automatisk brandslukning med Energen. Backup center Vordingborg rådhus: Automatisk brandslukning med Energen. Drift center Haslev: Ligger på 1 sal, der er ikke følere. Backup center Vordingborg rådhus: Ligger i kælder plan, der er følere. Drift center Haslev: Der er køleanlæg. Backup center Vordingborg rådhus: Der er køleanlæg. Drift center Haslev: Alt udstyr i serverrummet forsynes via UPS, der er ikke nødstrøms generatorer. Backup center Vordingborg rådhus: Alt udstyr i serverrummet forsynes via UPS, der er ikke nødstrøms generatorer.
2.2. Netværk 2.2.1 WAN forbindelser Faxe Kommune har i dag et velfungerende netværk både LAN og WAN. Der er fiber net mellem institutionerne. Der benyttes Cisco udstyr. Nedenstående figur giver et oversigtsbillede over netværksforbindelser i Faxe Kommune. Der er herudover en 1 Gb fiber til Vordingborg rådhus, fra Haslev. I Haslev er nettet bygget op omkring 2 stk. Cisco CoreSwitche 6880X.
2.2.2 LAN Hastigheder mellem krydsfelterne er primært 1GB forbindelser baseret på fiber. Trådløst netværk Der er trådløs dækning på de fleste lokationer. 2.2.3 VLAN Der benyttes ikke VLAN til adskillelse af data trafik som f.eks. telefoni via VOP softphone. 2.2.4 Firewall Der er generelt åbent for alt udgående trafik på port 80, 21 derudover åbnes efter behov, med mindre det konflikter med vores sikkerhedspolitik. Faxe Kommune har en 2 stk. Zyxell USG2000 firewall, som er opsat i et redundant miljø, således at hvis den primære firewall bliver defekt går trafikken over på den sekundære firewall. Firewallen er forsynet med 6 DMZ zoner, hvoraf der er konfigureret 3 DMZ Zoner op. De 3DMZ Zoner er opsat med DMZ-Omsorg DMZ-Inside DMZ-Outside Serverne på DMZ Zone Inside og Outside kan være forsynet med 2 netkort, således at det ene netkort konfigureres til DMZ-Inside og det andet netkort konfigureres til DMZ- Outside. DMZ-Omsorg er udelukkende forbeholdt DMZ Zone til Pleje og omsorg. Firewallen er kun konfigureret op, som en firewall. Faxe kommune har en VPN koncentrator af et andet fabrikat. Herudover kan det oplyses, at Faxe kommune har en 1 Gbit internetforbindelse hos TDC med 32 offentlige IP-adresser.
2.2.5 VPN adgange Leverandører kan tilbydes en VPN forbindelse til de relevante systemer de skal kunne yde support på. Der er også licens til Teamviewer til remote desktop styring. VPN software er Cisco AnyConnect Version 4.x 2.2.6 Protokoller Kommunikationen er for nærværende baseret på IPv4.
3. Servere 3.1. Virtuelle servere Faxe Kommunes strategi er kun at anvende Virtuelle servere og største delen af serverparken er virtuel. Det virtuelle miljø i Haslev er baseret på Citrix Xen V 6.5 (juni 2016). Miljøet er installeret på 7 HP Proliant BL460C /G8 /G9 bladeservere med i alt 1,75 Tb Ram. På Vordingborg rådhus er placeret 2 HP BL460c /G9 bladeservere med i alt 512 Gb ram. Der er kapacitet nok til at en af de fysiske HP blade i Haslev kan sættes i maintenance mode under fuld belastning. Ultimo 2016 er det planen at påbegynde en migrering fra Citrix Xen til VMware. 3.2 Fysiske servere Som udgangspunkt installerer vi ikke fysiske serverer. Dog er der 2 fysiske Domæne controllere til 2 adskilte Active Directory og 1 fysisk Telefoni server samt en primær Backup server. 3.3 Operativsystemer Faxe Kommune s strategiske operativsystem er Microsoft Windows server 2012 R2. Dette ændres til Windows 2016 ultimo 2016. Serveren patches, som hovedregel efter normal arbejdstid, manuelt eller via WSUS / Capa system natten mellem mandag/ tirsdag eller natten mellem onsdag/torsdag. Derudover anvendes Linux som individuel platform.
3.4 Databaser Nuværende strategisk platform er MS SQL server 2008. Der er to virtuelle Xen / Windows 2012 Servere, som baserne er konsolideret på. Ultimo 2016 er det planen at opsætte og ibrugtage en virtuel SQL 2016 Enterprise edition. 3.5 Antivirus Servere samt pcér har McAfee. Opdatering og overvågning sker automatisk via egen Epo serverer. 3.6 Backup Faxe Kommune står selv stå for Backup. Som Backup software, til serverne benyttes Symantec Backup Exec 2015 v14.2, systemets software opdateres løbende. Der benyttes redundant filbackup, hvor backup filer er placeret på 2 adskilte lokationer. De primære filer i Haslev og kopi af disse i Vordingborg. 3.7 Overvågning 3.7.1 Netværksovervågning 3.7.2 Serverovervågning Nianet overvåger fiber forbindelserne mellem kommunens lokationer. Der benyttes Nagius. 3.7.3 SW Distribution server
Serverne patches via Microsoft WSUS og CapaSystem. Kritiske servere håndteres manuelt. 3.8 Mailsystem Mail er baseret på Exchange 2010. Der er web adgang til mailsystemet. Mail kan også læses på f.eks. Apple og Android produkter. 3.9. Domæner Faxe Kommune er baseret på Microsoft Active Directory. Der er to domæne faxekom.dk til det administrative net, med i alt 2 domæne kontrollere, baseret på Windows 2012R2 serverer. Det andet domæne faxeskole.local er til skolerne. Dette domæne er til skolenettet, med i alt 2 domæne kontrollere, baseret på Windows 2012R2 serverer. De to domæner logisk adskilte. 3.10. SAN Der benyttes NEXSAN San, som er fysisk placeret i Haslev og på Vordingborg rådhus. Koblingen mellem serverne og San sker via 10 GB/s. fiberchannel.
4. Arbejdsstationer 4.1.Hardware Arbejdsstationer i Faxe Kommune er standard pc baserede. Der anvendes bærbare fra HP, Lenovo og Dell, max 5 år gamle. Udskiftning sker løbende. 4.2. PC Basissoftware 4.2.1. PC Operativsystem og std. software Der er på de administrative arbejdsstationer dansk Windows 7 Enterprise / 64 bit og Windows 8.x Pro / 64 bit. De første Windows 10 maskiner er sat i drift juli 2016. På skole nettet benytter Windows 7 Enterprice / 32 bit med seneste Service Pack. Der foretages løbende patching fra Windows update. Der ca.1400 maskiner som er medlem af domænet faxekom.dk og ca.1600 som er medlem faxeskole.local. På begge net benyttes McAfee som virussikring, klient opsætninger styres af en central antivirus server for hvert net. Der benyttes Office 2010 / 32 bit. Adobe Reader X. Internet Explorer. En del administrative maskiner har IBM 3270 terminal emulerings software. Der benyttes VOP Nano softphone software på det administrative net. Alt lokalt PC programmel skal være foreneligt med bl.a. kundens antivirusprogrammel, Office pakke og Explorer version. Der benyttes DHCP på klienterne for flydende IP tildeling. Der er således ikke statisk sammenhæng mellem PC og IP adresse i nogen af de to domæner. 4.2.2 Fjernkontrol af arbejdspladser. I forbindelse med support af klienter, anvendes DameWare til fjernstyring af administrative arbejdspladser.
4.2.3 SW distribution Al software på den enkelte PC styres centralt af IT. Alle applikationer skal understøtte Full Unattended (silent) klient installation, af installation, konfiguration, opgradering og nedgradering (fall back). I Faxe Kommune benyttes Capa system til software distribution. Der er et Capa system til det administrative net og et Capa system til skole nettet. Faxe kommune udvikler software pakker til begge miljøer. Leverandøren skal levere dokumentation til installationen herunder evt. licensnummer eller serienummer der skal benyttes ved installationen. Installation og af-installation skal kunne ske i hht. Microsofts retningslinjer for deployment til Windows versionerne, 7 og 8, via en SYSTEM-konto. Installationen må derfor ikke kun fungere ved installation via en USER-konto, svarende til en manuel installation. Installationen skal understøtte samtidige installationer til flere maskiner fra et eller flere netværk shares og installationen skal kunne ske fra UNC stier. Software med installations parametre til en silent installation ønskes primært leveret som en MSI installer. Der foretrækkes således MSI installer. I fbm. installation skal der kunne genereres log-filer til fejlfinding af fejlbehæftede installationer. Der skal foreligge en udførlig vejledning for automatisk og manuel installation af softwaren. Installation skal efterfølgende fungere for alle brugere på maskinen, og ikke kun den account der er logget på. Hvis der er et ønske om flere miljøer (eks. Produktion, Undervisning samt Test) også kaldet multiple instanser, skal det aftales med IT hvordan opdatering og fall back scenarier skal foregå. F.eks.: Skal softwaren kunne være tilgængelig, i forskellige versioner, på samme maskine i forskellige miljøer via samme USER-konto? Er der tale om en WEB applikation eller en lign. simpel genvej, ønskes information om den URL eller LNK der skal oprettes og distribueres, samt levering af et ikon der skal bruges til at identificere genvejen.
4.2.4 Mail klient Mail er baseret på Exchange 2010, med en Outlook Klient, eller Outlook Web Access som Webmail. Mail/kalender anvendes også på Mobiltelefoner/PDA. Der er kun Exchange miljø / postsystem på det administrative net (faxekom.dk).
5. Print Kundens strategi er at anvende Ricoh netværksprintere. Alle netværksprintere er installeret på 1 virtuelle Windows 2008 R2 64 bit dedikeret print servere på det administrative net og 1 virtuelle Windows 2008 R2 64 bit dedikeret print servere til skole nettet. Alle netværksprintere publiceres i Active Directory. Der benyttes printdrivere, som er certificeret til printerne. Der er flere typer af printere. Print fra de forskellige applikationer sker via de allerede omtalte Windows printservere. Der er ikke flere servere som peger på den samme netværksprinter hvilket hindrer blanding af print. Der er altså normalt en spool kø pr. IP adresse. På printserveren er der kun efter installeret 3 universal drivere til Printere af mærkerne HP, Xerox og Ricoh. Der installeres ikke umiddelbart andet printsoftware, grundet ønsket om høj stabilitet og lav kompleksitet.
6. Brugerhåndtering/SingleSignon Brugerstyring opdeles i 2 forskellige områder: - Autentifikation: omhandlende identificering af hvem brugeren er og mulighederne for single sign on (SSO). - Autorisation: omhandlende identifikation af, hvilke ressourcer brugeren må tilgå, og hvilke rettigheder ( rolle ) brugeren har i det enkelte system, samt giver mulighed for at styre brugerens mange applikations roller fra centralt hold via grupper i Active Directory. Faxekommune har en Microsoft ADFS 3.0 løsning, med en Proxy server samt en Safewhere server til bl.a. nem id log on, som dog ikke august 2016 er implementeret. Der er til dette område et underbilag Single sign on og sikkerhed i Faxe Kommune August 2016. Steen Kristensen skris@faxekommune.dk