Приложение. Регламент распределенного администрирования единого системного каталога. Приказ Федеральной налоговой службы от 20.12.2012 N ММВ-7-6/986@ "Об обеспечении эффективного функционирования единого системного каталога" (утратил силу)

Приложение

Регламент распределенного администрирования единого системного каталога
(утв. приказом Федеральной налоговой службы от 20 декабря 2012 г. N ММВ-7-6/986@)

1. Общие положения

1.1. Настоящий Регламент распределенного администрирования единого системного каталога определяет функции и порядок взаимодействия МИ ФНС России по ЦОД, налоговых органов и ФКУ "Налог-сервис" ФНС России в процессе распределенного администрирования единого системного каталога (далее - ЕСК) и предназначен для сотрудников, осуществляющих данное администрирование.

1.2. МИ ФНС России по ЦОД осуществляет методологическое сопровождение процесса распределенного администрирования ЕСК.

2. Термины и определения

2.1. Администратор - сотрудник налогового органа, отвечающий за функционирование ЕСК.

2.2. Администратор сервиса - администратор, отвечающий за функционирование корневого сайта ЕСК и леса в целом. Функции администратора сервиса выполняются сотрудниками Филиала ФКУ "Налог-Сервис" ФНС России в г. Москве (далее - Филиал ФКУ в г. Москве) и Филиала ФКУ "Налог-Сервис" ФНС России в Кемеровской области (далее - Филиал ФКУ в Кемеровской обл.) в части управлений ФНС России согласно приложениям NN 1 и 2 к настоящему Регламенту, соответственно.

2.3. Администратор данных - администратор, отвечающий за функционирование корневого сайта соответствующего налогового органа. Администраторами данных являются администраторы Управлений ФНС России по субъектам РФ, подведомственных им налоговых органов, Межрегиональных инспекции ФНС России по крупнейшим налогоплательщикам и Филиалов ФКУ "Налог-Сервис" ФНС России. Управления ФНС России по субъектам РФ могут делегировать функции администраторов данных в соответствующие Филиалы ФКУ "Налог-Сервис" ФНС России, если это предусмотрено соответствующим соглашением.

2.4. Инцидент - ситуация, связанная с неработоспособностью одной или нескольких функций ЕСК.

2.5. Обращение - оформленное определенным образом сообщение об инциденте.

2.6. Служба поддержки - группа сотрудников Филиалов ФКУ в г. Москве и в Кемеровской обл., обеспечивающая обработку обращений администраторов данных, анализ и решение инцидентов.

2.7. Диспетчер - специалист службы поддержки, осуществляющий прием, учет, регистрацию и, при необходимости, эскалацию на Администраторов сервиса обращений Администраторов данных.

2.8. УЗ - учетная запись пользователя, компьютера и принтера в Microsoft Activе Directory.

2.9. iLo - "Integrated Lights-Out" механизм управления серверами в условиях отсутствия физического доступа к ним.

2.10. ИБП - источник бесперебойного питания, автоматическое устройство, назначение которого обеспечить подключенное к нему электрооборудование бесперебойным снабжением электрической энергией в пределах нормы.

2.11. AD - Microsoft Activе Directory.

3. Порядок назначения Администраторов данных

3.1. Администраторы назначаются приказом руководителя налогового органа (директором Филиала ФКУ "Налог-Сервис" ФНС России):

- в каждом управлении ФНС России по субъектам РФ или Филиале ФКУ "Налог-Сервис" ФНС России;

- в каждом Филиале ФКУ "Налог-Сервис" ФНС России;

- в каждой инспекции ФНС России по районам, районам в городах, городам без районного деления и межрайонного уровня;

- в каждой межрегиональной инспекции ФНС России по крупнейшим налогоплательщикам;

- в центральном аппарате ФНС России.

3.2. Для администраторов создается доменная УЗ с именем вида xxxx-DataAdmin, где хххх - код налогового органа по "СОНО". В параметрах УЗ обязательно указать ФИО (полностью), номер телефона, адрес электронной почты администратора. Данную информацию необходимо поддерживать в актуальном состоянии.

4. Функции, выполняемые администраторами сервиса Филиала ФКУ в г. Москве

4.1. Администрирование службы времени.

4.2. Управление сервисами разрешения имен (DNS, WINS).

4.3. Управление системным томом SYSVOL и групповыми политиками.

4.4. Администрирование глобальных каталогов.

4.5. Управление ролями FSMO.

4.6. Делегирование полномочий уровня данных.

4.7. Создание и удаление лесов, доменов и деревьев в лесе.

4.8. Администрирование доверительных отношений для доменов и лесов.

4.9. Резервное копирование и неавторитарное восстановление.

4.10. Управление межсайтовой репликацией.

4.11. Обслуживание базы данных службы каталогов AD.

4.12. Администрирование операционной системы контроллеров домена.

4.13. Мониторинг оперативного состояния службы каталогов.

4.14. Удаление аварийного контроллера и развертывание нового.

4.15. Перехват ролей FSMO.

4.16. Удаление аварийного домена.

4.17. Авторитарное восстановление иерархии контейнеров в домене.

4.18. Авторитарное восстановление SYSVOL-домена.

4.19. Восстановление леса.

5. Функции, выполняемые администраторами сервиса Филиала ФКУ в Кемеровской обл.

5.1. Администрирование глобальных каталогов в части ввода объектов компьютеров в домен, решения проблем авторизации (не могут войти на компьютеры), удаления (перемещение) объектов компьютеров из AD и делегирования прав на Reset Account группе u(i)XXXX-OUAdmins.

5.2. Управление сервисами разрешения имен (DNS, WINS) в части записей типа Host (A) из зоны прямого просмотра regions.tax.nalog.ru.

5.3. Администрирование доверительных отношений, создание зон в DNS (для миграции).

5.4. Управление межсайтовой репликацией.

5.5. Обслуживание базы данных службы каталогов AD.

5.6. Администрирование операционной системы контроллеров домена.

5.7. Мониторинг оперативного состояния службы каталогов.

5.8. Удаление аварийного контроллера и развертывание нового.

6. Функции, выполняемые администраторами данных

6.1. Управление УЗ пользователей.

6.2. Управление группами безопасности и доступом.

6.3. Управление УЗ компьютеров.

6.4. Управление дочерними подразделениями.

7. Требования к функционированию ЕСК в налоговых органах

Для корректного функционирования ЕСК:

7.1. Необходимо обеспечить сетевое взаимодействие между контроллерами доменов ЕСК, располагающихся в налоговых органах и Филиале ФКУ в г. Москве. Для этого на межсетевом экране "Дионис" в фильтрах прописать разрешающие правила в части обеспечения прохождения IP- датаграмм между:

- контроллерами домена управления ФНС России и сетью 10.251.0.0/16 Филиала ФКУ в г. Москве (по всем портам);

- контроллерами домена управления ФНС России и сетью ИФНС (по всем портам);

7.2. Запрещается Администраторам самовольно перезагружать и выключать контроллеры домена. Администратор данных должен:

- обеспечить функционирование сервера контроллера домена в соответствии с требованиями, предъявляемыми к серверному оборудованию;

- убедиться, что физический доступ к серверу контроллера домена ограничен;

- обеспечить непрерывность работы сервера контроллера домена;

- при нарушении работоспособности сервера контроллера домена, в том числе отключении электропитания в серверной немедленно сообщать администраторам сервиса Филиала ФКУ в г. Москве.

7.3. При выполнении работ по реорганизации налоговых органов руководствоваться "Порядком действий сотрудников налоговых органов в части ЕСК и СУиМ при слиянии/ликвидации налоговых органов местного уровня" (Письмо ФНС России от 25.11.2010 N 6-1-02/0065@).

7.4. Необходимо постоянно проверять и правильно именовать УЗ пользователей, компьютеров и принтеров в AD (Письмо ФНС России от 29.08.2008 N ЧД-14-6/46дсп@). Все обнаруженные неправильно заведенные записи будут отключаться, а в конце каждого месяца удаляться.

7.5. Необходимо обеспечить подключение серверов контроллеров домена к ИБП, а так же подключение интерфейса iLo.

7.6. Необходимо своевременно заменять выходящее из строя оборудование.

7.7. Запрещается использовать сервисную УЗ iXXXX_SVC_OUAdmin для запуска служб и администрирования компьютеров. Данная УЗ используется для администрирования организационного подразделения своего налогового органа. Для запуска служб необходимо применять отдельно созданные сервисные УЗ. Для администрирования серверов должны применять персональные доменные УЗ, включенные в доменные группы iXXXX-ServersAdmins, для рабочих станций iXXXX-WSAdmins.

8. Требования к организации службы поддержки

8.1. Служба поддержки Филиала ФКУ в г. Москве и Филиала ФКУ в Кемеровской обл. по вопросам распределенного администрирования ЕСК должна включать в себя диспетчеров и администраторов сервиса.

8.2. Требования к рабочим местам администраторов и диспетчеров службы поддержки:

8.2.1. Рабочие места диспетчеров и администраторов сервиса должны быть оборудованы рабочими станциями, с установленной операционной системой Microsoft WindowsXP SP3 (обновление kb951608) или более поздней справкой реестра (http://support.microsoft.com/kb/951608).

8.2.2. Диспетчерам должен быть обеспечен доступ к:

- почтовому ящику службы поддержки Филиала ФКУ в г. Москве support@fcod.nalog.ru на базе почтового сервера Lotus - для приема обращений;

- системе управления обращениями (далее - СУО) Филиала ФКУ в г. Москве на базе программного комплекса HP Open View Service Desk 4.5 (SP24) (далее - Service Desk).

8.2.3. Администраторам сервиса должен быть обеспечен доступ к:

- СУО Service Desk - для исполнения обращений;

- системе управления и мониторинга (далее - СУиМ) на базе программного комплекса MS SCOM 2007 - для мониторинга работоспособности контроллеров доменов (DC), выполнения обслуживания и устранения проблем.

Примечание: Доступ к Service Desk, MS SCOM 2007 и почтовому серверу Lotus предоставляется через RDWeb (вход осуществляется строго через Internet Explorer по адресу: http://m9965-sys090.dpc.tax.nalog.ru/RDWeb).

8.2.4. Администраторам сервиса должны быть предоставлены права Domain Admins в домене regions.tax.nalog.ru. УЗ, включенные в данную группу, получают полный доступ к домену regions.tax.nalog.ru (полный доступ к контроллерам домена regions.tax.nalog.ru, права администратора сервиса на всех компьютерах в домене regions.tax.nalog.ru).

Примечание: Для предоставления доступа к Service Desk и Domain Admins необходимо предоставить заявку официальным письмом в Филиал ФКУ в г. Москве со списком УЗ диспетчеров и администраторов сервиса с указанием: ФИО, адреса электронной почты, номера телефона, должности, табельного номера.

9. Функции, выполняемые Филиалом ФКУ в г. Москве в рамках взаимодействия с Филиалом ФКУ в Кемеровской обл.

9.1. Предоставление доступа в соответствии с заявками и обеспечение работоспособности программных комплексов Service Desk, MS SCOM 2007, сервера Lotus.

9.2. Информирование ответственного сотрудника Филиала ФКУ в Кемеровской обл. о неработоспособности программных комплексов в случае выявления сбоев или проведении технологических работ.

9.3. Контроль выполнения Филиалом ФКУ в Кемеровской обл. работ по приему и обработке обращений, поступивших на службу поддержки по линии Филиала ФКУ в Кемеровской обл.

10. Порядок выполнения работ Филиалом ФКУ в Кемеровской обл. в рамках взаимодействия с Филиалом ФКУ в г. Москве

10.1. Диспетчеры осуществляют мониторинг поступления на службу поддержки новых обращений, связанных с ЕСК, и их регистрацию в программном обеспечении Service Desk.

10.2. В случае поступления обращений от налоговых органов, не относящихся к зоне обслуживания Филиала ФКУ в Кемеровской обл., диспетчеры назначают их на диспетчера Филиала ФКУ в г. Москве.

10.3. В случае поступления обращений от налоговых органов, относящихся к зоне обслуживания Филиала ФКУ в Кемеровской обл., диспетчеры отбирают их, назначают на исполнение администраторам системы Филиала ФКУ в Кемеровской обл. и устанавливают сроки исполнения в соответствии с регламентом эксплуатации.

10.4. Администраторы сервиса Филиала ФКУ в Кемеровской обл. исполняют обращения в соответствии со сроками, установленными регламентом эксплуатации. В случае, если у администратора сервиса Филиала ФКУ в Кемеровской обл. не достаточно прав для решения обращения, он, не позднее 8 рабочих часов с момента назначения на него обращения, перенаправляет обращение (с детальным описанием выполненных действий) на диспетчера Филиала ФКУ в Кемеровской обл. для эскалации обращения на диспетчера Филиала ФКУ в г. Москве.

10.5. В случае, если администратор сервиса Филиала ФКУ в Кемеровской обл. не может найти решение для выполнения обращения, он, не позднее 40 рабочих часов с момента назначения на него обращения, перенаправляет обращение (с детальным описанием выполненных действий) на диспетчера Филиала ФКУ в Кемеровской обл. для эскалации обращения на диспетчера Филиала ФКУ в г. Москве.

10.6. Еженедельно (каждый первый рабочий день недели) ответственный за группу администраторов сервиса сотрудник Филиала ФКУ в Кемеровской обл. просматривает историю закрытия обращений, эскалированных в Филиал ФКУ в г. Москве, с целью изучения опыта и доведения этого опыта до администраторов сервиса ФКУ в Кемеровской обл.

10.7. Администраторы сервиса Филиала ФКУ в Кемеровской обл. осуществляют ежедневный мониторинг работоспособности контроллеров доменов, обслуживание и устранение проблем в программном обеспечении MS SCOM 2007.

10.8. Администраторы сервиса Филиала ФКУ в Кемеровской обл. в срок не позднее 8 рабочих часов должны взять в работу обращения, зафиксированные в MS SCOM 2007 и связанные с сервером контролера домена и с MS Active Directory, путем указания себя в поле Owner. Описание выявленных проблем и принятых мер заполняется на закладке History в поле Add history comment. В случае выявления инцидента с оборудованием необходимо довести информацию до администратора данных в налоговом органе.

10.8.1. Еженедельно (каждый первый рабочий день недели) ответственный за группу администраторов сервиса направляет в Филиал ФКУ в г. Москве:

- обобщенную информацию о нерешенных проблемах, зафиксированных в MSSCOM2007, с детальным описанием выявленных проблем и выполненных действий;

- обобщенную информацию о проведенных и незафиксированных в Service Desk или MSSCOM2007 работах с контроллерами доменов.

11. Порядок обращения в службу поддержки

11.1. По вопросам УЗ и авторизации DHCP-сервера администраторы данных обращаются в службу поддержки по единому адресу электронной почты support@fcod.nalog.ru или по телефонам:

8-(97)-1213, 8-(495)-913-07-60 - Филиал ФКУ в г. Москве

8-(97)-4370, 8-(3842)-32-57-66 - Филиал ФКУ в Кемеровской обл.

Обращения в службу поддержки осуществляются с учетом следующего:

11.2. Прежде чем обратиться с просьбой авторизовать DHCP-сервер, необходимо самостоятельно выполнить добавление группы TAX\Enterprise Admins в группу локальных администраторов на сервере DHCP, только после этого следует осуществить обращение в службу поддержки. В обращении необходимо указать:

- контактную информацию для обратной связи (ФИО, регион, адрес электронной почты, номер телефона);

- IP-адрес;

- имя DHCP-сервера.

11.3. При необходимости удалить УЗ компьютера, в обращении необходимо указать:

- контактную информацию для обратной связи (ФИО, регион, адрес электронной почты, номер телефона);

- имя УЗ компьютера, подлежащей удалению.

11.4. При необходимости переместить УЗ компьютера из контейнера Computers, в обращении необходимо указать:

- контактную информацию для обратной связи (ФИО, регион, адрес электронной почты, номер телефона);

- имя УЗ компьютера;

- имя Organization Unit, в которую ее необходимо переместить.

11.5. При необходимости исправить или удалить DNS-запись в зоне regions.tax.nalog.ru, в обращении необходимо указать:

- контактную информацию для обратной связи (ФИО, регион, адрес электронной почты, номер телефона);

- имя DNS-записи;

- IP-адрес.

11.6. При готовности к конфигурированию базовых log-on скриптов, которое производится администратором сервисов, в обращении необходимо указать:

- имя сервера, где они находятся;

- IP-адрес.

11.7. Срок исполнения любого обращения составляет не более 8 рабочих часов при условии предоставления всей необходимой информации. Оповещение о выполнении работ производится по электронной почте. Однако следует учитывать, что результаты работы на местах будут видны только после прохождения очередной репликации и при условии работоспособности всех составляющих технологической инфраструктуры.

11.8. Обращения по вышеперечисленным вопросам будут зафиксированы диспетчером службы поддержки и переданы на исполнение в Филиал ФКУ в г. Москве или в Филиал ФКУ в Кемеровской обл. в соответствии с разграничением их полномочий. Поступившим обращениям присваивается регистрационный номер, которым необходимо оперировать при повторном обращении по этому же вопросу или необходимости выяснения состояния обращения, если отведенное на ее выполнение время истекло, и ответ не получен. Во всех случаях при обращении к диспетчеру необходимо сообщить свою контактную информацию - ФИО, регион, адрес электронной почты, номер телефона.

12. Перечень руководящих документов

12.1. Для диспетчеров и администраторов:

1) Письмо ФНС России от 26.08.2008 N 6-1-02/00012@ "О порядке обращения в МИ ФНС России по ЦОД по вопросам внедрения ЕСК";

12.2. Для администраторов:

(Размещены в фонде алгоритмов и программ (ФАП) по ссылке ftp://10.200.0.42/Inform/modern/ESK_SUIM/)

1) Инструкция по именованию компонент информационной системы ФНС России;

2) Инструкция по инсталляции ОС Windows 2003 для SCOM 2007, SMS 2003 и контролеров доменов;

3) Инструкция по установке и настройке DHCP-сервера для информационной системы ФНС России;

4) Инструкция по изменению настроек на МЭ "Дионис" при внедрении "Плана IP-адресов информационной системы ФНС России";

5) Регламент процесса "Управление Службой Каталогов" в части работ по развертыванию дополнительных контроллеров доменов в структуре Службы Каталогов;

6) Регламент процесса "Управление Службой Каталогов" в части работ по проведению резервного копирования и восстановления информации СК в случае сбоя;

7) Положение о процессе Администрирования Данных Службы Каталогов;

8) Положение о модели администрирования СК и основных ролях персонала;

9) Положение о процессе Администрирования Данных Службы Каталогов (уровень сервиса);

10) Реестр процедур штатной и внештатной эксплуатации Службы Каталогов;

11) Структура и функции межрегиональной группы администраторов Администрирования Службы Каталогов (уровень сервиса);

12) Структура и функции региональной группы администраторов Администрирования Службы Каталогов (уровень данных);

13) Порядок действий сотрудников налоговых органов в части ЕСК и СУиМ при слиянии/ликвидации налоговых органов местного уровня;

14) Инструкция по именованию компонент информационной системы ФНС России;

15) Типовые административные процедуры Единого системного каталога;

16) Инструкция по вводу рабочих станций и серверов в домен;

17) Инструкция по работе ЕСК при отключении электропитания;

18) Инструкция по работе при инсталляции/деинсталляции операционной системы на серверах и рабочих станциях;

19) Пояснительная записка технического проекта на проектирование системы единой службы каталога;

20) Руководство администратора по Системному каталогу;

21) Инструкция по внесению изменений в конфигурацию контроллеров доменов служб каталогов Active Directory ФНС России;

22) Видеокурс обучения администраторов ЕСК.