Groep 5 Netwerkimplementatie
Mr. Parren Mr. Van Geirt Mevr. Erlingen
An Liebens Andy Janssens Yoni Millen
INHOUD 1.
ALGEMEEN ................................................................................................................................... 1 1.1 Virtueel netwerkschema .......................................................................................................... 2 1.1.1 Virtueel Netwerkschema ...................................................................................................... 2 1.2 IP plan ....................................................................................................................................... 3 1.3 Wachtwoorden ......................................................................................................................... 4 1.3.1 Servers .................................................................................................................................. 4 1.3.2 Pagina’s ................................................................................................................................ 5 2. WINDOWS.................................................................................................................................... 6 2.1 Windows................................................................................................................................... 7 2.1.1 installatie Windows Server 2008 R2 ..................................................................................... 7 2.2 Primary Domain Controller ..................................................................................................... 10 2.2.1 Inleiding .............................................................................................................................. 10 2.2.2 Installatie ............................................................................................................................ 11 2.2.3 ADSI script .......................................................................................................................... 14 2.3 Additional Domain Controller ................................................................................................. 18 2.3.1 Inleiding .............................................................................................................................. 18 2.3.2 Installatie ............................................................................................................................ 19 2.4 Fileserver ................................................................................................................................ 20 2.4.1 Inleiding .............................................................................................................................. 20 2.4.2 Installatie ............................................................................................................................ 20 2.4.3 Configuratie ........................................................................................................................ 21 2.5 WSUS ...................................................................................................................................... 22 2.5.1 Inleiding .............................................................................................................................. 22 2.5.2 Installatie ............................................................................................................................ 22 2.5.3 Configuratie ........................................................................................................................ 22 2.5.4 Instellen van de updates ..................................................................................................... 23 2.6 Printserver .............................................................................................................................. 24 2.6.1 Inleiding .............................................................................................................................. 24 2.6.2 Installatie ............................................................................................................................ 24 2.6.3 configuratie ........................................................................................................................ 24 2.7 RemoteApp............................................................................................................................. 27 2.7.1 Inleiding .............................................................................................................................. 27 2.7.2 Installatie ............................................................................................................................ 27 2.7.3 Configuratie ........................................................................................................................ 28 2.7.4 Hoe applicaties deployen? .................................................................................................. 28 2.8 Exchange 2010........................................................................................................................ 30 2.8.1 Inleiding .............................................................................................................................. 30 2.8.2 Vereisten ............................................................................................................................ 30 2.8.3 Installatie ............................................................................................................................ 31 2.8.4 Configuratie ........................................................................................................................ 36 2.9 NAP ......................................................................................................................................... 43 2.9.1 Inleiding .............................................................................................................................. 43
2.9.2 Installatie CA op ADC .......................................................................................................... 44 2.9.3 Configuratie ........................................................................................................................ 44 2.10 Windows Deployment Services .............................................................................................. 44 2.10.1 Inleiding .......................................................................................................................... 44 2.10.2 Installatie ........................................................................................................................ 45 2.10.3 Installatie DHCP .............................................................................................................. 45 2.10.4 Configuratie WDS ........................................................................................................... 45 2.10.5 Het maken van een Unattended Windows 7 .................................................................. 46 2.10.6 Client gereed maken voor deployment .......................................................................... 50 3. LINUX .......................................................................................................................................... 51 3.1 Linux distributies .................................................................................................................... 52 3.1.1 Debian ................................................................................................................................ 52 3.2 Proxyserver ............................................................................................................................. 53 3.2.1 Inleiding .............................................................................................................................. 53 3.2.2 Installatie ............................................................................................................................ 53 3.2.3 Configuratie ........................................................................................................................ 62 3.3 Databaseserver ....................................................................................................................... 65 3.3.1 Inleiding .............................................................................................................................. 65 3.3.2 Installatie ............................................................................................................................ 65 3.3.3 configuratie ........................................................................................................................ 65 3.3.4 Problemen .......................................................................................................................... 67 3.4 Backupserver .......................................................................................................................... 67 3.4.1 Inleiding .............................................................................................................................. 67 3.4.2 Installatie ............................................................................................................................ 67 3.5 Monitoring.............................................................................................................................. 68 3.5.1 Inleiding .............................................................................................................................. 68 3.5.2 Installatie ............................................................................................................................ 68 3.5.3 configuratie ........................................................................................................................ 69 3.5.4 Nagroid ............................................................................................................................... 73 3.6 Logserver ................................................................................................................................ 74 3.6.1 Inleiding .............................................................................................................................. 74 3.6.2 Installatie ............................................................................................................................ 74 3.6.3 configuratie ........................................................................................................................ 75 3.7 Webserver .............................................................................................................................. 76 3.7.1 Inleiding .............................................................................................................................. 76 3.7.2 Installatie ............................................................................................................................ 76 3.7.3 configuratie ........................................................................................................................ 76 3.8 Webserver 2 ........................................................................................................................... 77 3.8.1 Inleiding .............................................................................................................................. 77 3.8.2 Installatie ............................................................................................................................ 77 3.8.3 configuratie ........................................................................................................................ 77 3.8.4 GIT ...................................................................................................................................... 77 3.8.5 Subversion .......................................................................................................................... 80 3.8.6 CMS .................................................................................................................................... 81
3.8.7 Wiki..................................................................................................................................... 82 3.8.8 Project management software ........................................................................................... 82 3.8.9 Bug Tracking ....................................................................................................................... 82 3.8.10 Samba ............................................................................................................................. 82 3.9 Onderzoeksrapport GIT vs. SVN.............................................................................................. 84 3.10 Versiebeheer .......................................................................................................................... 85 3.11 Bronnen .................................................................................................................................. 86
1. ALGEMEEN
© 2011 Groep5 Care for IT
1
1.1 VIRTUEEL NETWERKSCHEMA 1.1.1
VIRTUEEL NETWERKSCHEMA
Zoals u kunt zien in dit virtueel netwerkschema, hebben we binnen ons virtueel netwerk gebruik gemaak van virtuele switches op ESXi. De reden hiervoor is dat we ons netwerk makkelijk in drie verschillende zones kunnen onderverdelen. Deze zones zijn als volgt: -
-
Red Zone Dit is de externe verbinding met het internet, die ons hiertoe ook toegang verleent. Orange Zone Dit is onze DMZ (DeMilitarized Zone). Hier bevinden zich alle servers die bereikbaar moeten zijn voor zowel het interne als het externe netwerk. Green Zone Dit is ons intern netwerk. Hier bevinden zich alle servers die afgeschermd moeten zijn van het externe netwerk.
© 2011 Groep5 Care for IT
2
Deze zones worden beheerd en gecontroleerd door Endian Firewall, wat een beveiligings- en beschermingsoplossing is voor netwerken. Dit vormt de gateway om te kunnen communiceren met de verschillende zones, maar biedt daarnaast ook bescherming dankzij zijn ingebouwde IPS (Intrusion Prevention System) in combinatie met als IDS (Intrusion Detection System) SNORT, antivirus en antispam voor zowel web als mail, ingebouwde firewall met Inter-Zonaal verkeer, ingebouwde proxy, VPN ondersteuning en nog vele andere filters. De servers die beschikbaar moeten zijn voor zowel het interne als het externe netwerk zijn de mailserver en webserver. Dit zijn zowel Windows als Linux servers, meer bepaald Debian 5, en horen thuis in de Orange Zone. Deze servers kunnen dankzij NAT/PAT extern bereikbaar worden gesteld. In het interne netwerk (Green Zone) komen vervolgens de servers die afgeschermd moeten zijn van het externe netwerk. Dit zijn o.a. de Primary Domain Controller, Additional Domain Controller, print server, RemoteApp server, Fileserver, database server, WSUS server en de monitoring server. Daarnaast hebben we ook voor veiligheid in dit netwerksegment gezorgd d.m.v. het implementeren van een Syslog en een NAP server. Deze interessante servers worden later in het document verder uitgelegd. Daarnaast maken we gebruik van WDS (Windows Deployment Services). Hiervoor hebben we een apart netwerkje opgezet met een eigen server en switch op onze eigen lokale laptop, aangezien dit niet tot het eigenlijke netwerk behoort. Om dit op te zetten, hebben we gebruik gemaakt van het gratis virtualisatieprogramma VirtualBox.
1.2 IP PLAN Voor de berekening van de IP adressen is er gebruik gemaakt van de Variable Length Subnet Masking (VLSM) techniek. Dit wil zeggen dat een IP adres range kan worden opgesplitst in subnets van verschillende groottes. Wanneer we deze techniek toepassen binnen ons virtueel netwerk, zien onze ranges er als volgt uit: Apparaten
Netwerkadres
IP begin
IP eind
Broadcast IP
Subnetmask
Servers Green Zone Servers DMZ WDS
172.25.1.0
172.25.1.1
172.25.1.30
172.25.1.31
Aantal hosts 255.255.255.224 30
172.25.1.32
172.25.1.33
172.25.1.62
172.25.1.63
255.255.255.224 30
192.168.1.0
192.168.1.1
192.168.1.254
192.168.1.255
255.255.255.0
254
Wanneer we onze servers gaan voorzien met hun IP configuratie, zien de instellingen er als volgt uit: Apparaat Endian
NetBIOS S00-Proxy
© 2011 Groep5 Care for IT
IP-Adres 172.16.61.71 172.25.1.1
Subnetmasker 255.255.255.0 255.255.255.224
Gateway 172.16.61.1 172.25.1.1
DNS / 172.25.1.2
3
172.25.1.33
255.255.255.224
172.25.1.33
PDC
S01-PDC
172.25.1.2
255.255.255.224
172.25.1.1
ADC
S02-ADC
172.25.1.3
255.255.255.224
172.25.1.1
Fileserver
S03-File
172.25.1.4
255.255.255.224
172.25.1.1
Database
S04-Database
172.25.1.5
255.255.255.224
172.25.1.1
WSUS
S05-WSUS
172.25.1.6
255.255.255.224
172.25.1.1
Backup
S06-Backup
172.25.1.7
255.255.255.224
172.25.1.1
Print
S07-Print
172.25.1.8
255.255.255.224
172.25.1.1
RemoteApp
S08-RemoteApp
172.25.1.9
255.255.255.224
172.25.1.1
Nagios
S09-Nagios
172.25.1.10
255.255.255.224
172.25.1.1
NAP
S10-NAP
172.25.1.11
255.255.255.224
172.25.1.1
Syslog
S11-Syslog
172.25.1.12
255.255.255.224
172.25.1.1
Mail
S13-Mail
172.25.1.34
255.255.255.224
172.25.1.33
Web
S14-Web
172.25.1.35
255.255.255.224
172.25.1.33
WDS
S15-WDS
192.168.1.1
255.255.255.0
/
172.25.1.3 172.25.1.2 172.25.1.3 127.0.0.1 172.25.1.3 172.25.1.2 127.0.0.1 172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 /
1.3 WACHTWOORDEN 1.3.1
SERVERS
Server Windows-servers Linux-servers
© 2011 Groep5 Care for IT
Gebruikersnaam JESSA.BE\Administrator administrator of root
Wachtwoord Azerty123 Azerty123
4
1.3.2
PAGINA’S
Pagina http://172.16.61.75:8001 ftp://172.16.61.75 http://172.16.61.75:4848 mysql://172.16.61.75:3306 https://172.25.1.1:10443
© 2011 Groep5 Care for IT
Gebruikersnaam nagiosadmin JessaFTP JessaGlass JessaRoot admin
Wachtwoord Azerty123 Azerty123 Care4IT Care4IT Azerty123
5
2. WINDOWS
© 2011 Groep5 Care for IT
6
2.1 WINDOWS 2.1.1
INSTALLATIE WINDOWS SERVER 2008 R2
In dit deel van de documentatie gaan we bespreken hoe we Windows Server 2008 R2 moeten installeren, aangezien dit noodzakelijk is om alle Windows servers binnen ons netwerk te configureren. 1. Plaats de DVD in de DVD-ROM drive en herstart de computer. Nu gaat de computer opstarten vanaf de DVD. Wanneer deze is opgestart, krijgen we het onderstaande venster te zien:
2. Wanneer we dit venster zien, stellen we de volgende zaken in: Language to install: English Time and currency format: Dutch (Nederlands) Keyboard of input method: Belgium (Period) Hierna drukken we op ‘Next’ om verder te gaan met de installatie. We krijgen dan het onderstaande venster te zien:
© 2011 Groep5 Care for IT
7
3. In dit venster kunnen we moeilijk iets anders kiezen, dus drukken we hier op ‘Install now’ om verder te gaan met de installatie. We krijgen nu het onderstaande venster te zien:
4. Wanneer we dit venster zien, kiezen we voor de optie ‘Windows Server 2008 R2 Standard (Full Installation)’. De Enterprise editie bevat Hyper-V, maar aangezien wij al onze servers virtualiseren via ESXi, is er hier geen nood aan en zijn we beter af met de Standard editie. Vervolgens drukken we op ‘Next’ om verder te gaan met de installatie. We krijgen nu het onderstaande venster te zien:
© 2011 Groep5 Care for IT
8
5. In dit venster vinden we de licentievoorwaarden. We plaatsen simpelweg een vinkje bij ‘I accept the license terms’ en drukken vervolgens op ‘Next’ om verder te gaan met de installatie. We krijgen dan het onderstaande venster te zien:
6. In dit venster zien we de verschillende manieren om het besturingssysteem te installeren. Aangezien upgraden niet mogelijk is, kiezen we hier voor ‘Custom (Advanced)’. Vervolgens krijgen we het onderstaande venster te zien:
© 2011 Groep5 Care for IT
9
7. In dit venster zien we de verschillende harde schijven die de server configuratie bevat. Hier kiezen we de gewenste harde schijf waarop we het besturingssysteem willen installeren en drukken vervolgens op ‘Next’ om de installatie te starten. Tijdens de installatie zal de server enkele keren rebooten. Wanneer de installatie voltooid is, krijgen we de melding om ‘Ctrl + Alt + Del’ in te drukken. Er wordt nu gevraagd om een wachtwoord op te geven voor de Administrator account. Hier geven we het gewenste wachtwoord in en de installatie van Windows Server 2008 R2 is compleet.
2.2 PRIMARY DOMAIN CONTROLLER S01-PDC 2.2.1
INLEIDING
Een bedrijfsnetwerk zonder gebruikers bestaat niet, daarom moeten we dus een centrale plaats hebben waar we al deze gebruikers kunnen beheren. Deze plaats is de Primary Domain Controller, afgekort PDC, en om gebruikers en computers te beheren maken we gebruik van een Active Directory. Standaard staat deze rol niet geïnstalleerd.
© 2011 Groep5 Care for IT
10
2.2.2
INSTALLATIE
We gaan naar ‘Start Run’ en geven vervolgens ‘dcpromo’ in. De setup om de Active Directory te installeren wordt nu geladen. Wanneer deze geladen is, krijgen we het opstartscherm van de wizard te zien. Nu drukken we telkens op ‘Next’ totdat we het onderstaande scherm te zien krijgen:
In dit venster krijgen we de keuze om een nieuw domein te creëren of een nieuw domein (controller) aan een bestaand domein toe te voegen. Omdat we nog geen domein hebben en graag onze gebruikers centraal willen beheren, kiezen we hier voor ‘Create a new domain in a new forest’ en drukken vervolgens op ‘Next’. We krijgen dan het onderstaande scherm te zien:
© 2011 Groep5 Care for IT
11
In dit venster krijgen we de gelegenheid om de FQDN (Fully Qualified Domain Name) in te geven. Geef hier een zo duidelijk mogelijke domeinnaam in, bv. de naam van het bedrijf. Wanneer we dit gedaan hebben, drukken we vervolgens op ‘Next’, waarna we het volgende scherm te zien krijgen:
In dit venster moeten we aangeven welk forest functional level ons netwerk gaat hanteren. Dit is belangrijk zodat alle verschillende servers juist op mekaar worden afgestemd. Hier kiezen we voor
© 2011 Groep5 Care for IT
12
‘Windows Server 2008 R2’ en drukken vervolgens telkens op ‘Next’ totdat we het onderstaande scherm te zien krijgen:
In dit venster krijgen we de keuze waar we onze database, log files en SYSVOL folders willen opslaan. Dit laten we op de standaard waarden staan en drukken op ‘Next’. We krijgen nu het volgende scherm te zien:
© 2011 Groep5 Care for IT
13
In dit venster moeten we een wachtwoord opgeven wanneer we gebruik willen maken van de Directory Services Restore Mode. Hier geven we ons gewenste wachtwoord in en drukken vervolgens op ‘Next’ totdat we ‘Finish’ zien staan om de Active Directory te installeren. Wanneer de installatie voltooid is, zal er gevraagd worden om de server te herstarten en gaan hiermee akkoord. 2.2.3
ADSI SCRIPT
On Error Resume Next 'Variabelen declareren '===================== Dim objRootLDAP, objOU, objUser, objComputer, objExcel, objSpread, objGGroup, objDLGroup, intRow Dim strDomain, strExt, strOU, strOUHoofd, strGGroup, strDLGroup, strSheet, strRUPpath, strHomePath, strCN, strSam, strFirst, strLast, strPWD, strUsers, strComputers Dim strEmail, strStreetAddress, strL, strPostal, strTel, strFunctie, strHomeFolder, strHomeDrive, strPath, strGBDatum Const ADS_GROUP_TYPE_GLOBAL_GROUP = &h2 Const ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP = &h4 Const ADS_GROUP_TYPE_SECURITY_ENABLED = &h80000000 'Variabelen vullen '================= strOUHoofd = "Abdominale_Chirurgie" strUsers = "Users" strDomain = "JESSA" strExt = "BE" strComputers = "Computers" strSheet = "C:\Gegevens\Gegevens.xls" strRUPpath = "\\S01-PDC\Profiles\%USERNAME%" strHomepath = "\\S01-PDC\Home\%USERNAME%" strPath = "D:\Profiles\" 'Openen van Excel-bestand '======================== Set objExcel = CreateObject("Excel.Application") Set objSpread = objExcel.Workbooks.Open(strSheet) intRow = 2 'Domeinobject ophalen '==================== Set objRootLDAP = GetObject("LDAP://dc="&strDomain&",dc="&strExt)
'OU Structuur aanmaken '===================== Set objOU = objRootLDAP.Create("organizationalUnit","ou="&strOUHoofd) objOU.SetInfo Set objOU = GetObject("LDAP://ou="&strOUHoofd&",ou="&strOUHoofd&", dc="&strDomain&",dc="&strExt)
© 2011 Groep5 Care for IT
14
Set objUser = objOU.Create("organizationalUnit","ou="&strUsers) objUser.SetInfo Set objComputer = objOU.Create("organizationalUnit","ou="&strComputers) objComputer.SetInfo
Do Until objExcel.Cells(intRow,1).Value = "" strOU = Trim(objExcel.Cells(intRow,3).Value) 'OU Afdelingen Set objOU = GetObject("LDAP://ou="&strOU&",ou="&strUsers&",ou="&strOUHoofd&", dc="&strDomain&",dc="&strExt) If err Then DoIt = Build(strOU,"ou") Else 'msgbox "ou Already Exists" End if intRow = intRow + 1 Loop intRow = 2 Do Until objExcel.Cells(intRow,3).Value = "" 'Global groups strGGroup = Trim(objExcel.Cells(intRow,3).Value) Set objOU = GetObject("LDAP://cn=gg_"&strGGroup&",ou="&strGGroup&",ou="&strUsers&",ou="& strOUHoofd&", dc="&strDomain&",dc="&strExt) If err Then DoIt = Build(strGGroup,"gg_group") End if intRow = intRow+1 Loop intRow = 2 Do Until objExcel.Cells(intRow,3).Value = "" 'Domain Local Groups strDLGroup = Trim(objExcel.Cells(intRow,3).Value) Set objOU = GetObject("LDAP://cn=dl_"&strDLGroup&",ou="&strDLGroup&",ou="&strUsers&",ou= "&strOUHoofd&", dc="&strDomain&",dc="&strExt) If err Then DoIt = Build(strDLGroup,"dl_group") End if intRow = intRow+1 Loop Set objOU = GetObject("LDAP://cn=gg_managers,ou="&strUsers&",ou="&strOUHoofd&", dc="&strDomain&",dc="&strExt) If err Then DoIt = Build("managers","gg_group") End if
© 2011 Groep5 Care for IT
15
Set objOU = GetObject("LDAP://cn=dl_managers,ou="&strUsers&",ou="&strOUHoofd&", dc="&strDomain&",dc="&strExt) If err Then DoIt = Build("managers","dl_group") End if
'Users '===== intRow = 2 Do Until objExcel.Cells(intRow,1).Value="" ' toewijzing aan Excel objecten strFirst = Trim(objExcel.Cells(intRow, 2).Value) strLast = Trim(objExcel.Cells(intRow, 1).Value) strSam = Replace(LCase(strFirst & "." & strLast), " ", "") strSam = left(strSam,20) strSam = fixString(strSam) strCN = strSam strEmail = strCN & "@"&strDomain&"."&strExt strStreetAddress = Trim(objExcel.Cells(intRow,8).Value) & " " & Trim(objExcel.Cells(intRow,9).Value) strL = Trim(objExcel.Cells(intRow,6).Value) strPostal = Trim(objExcel.Cells(intRow,7).Value) strTel = Trim(objExcel.Cells(intRow,4).Value) strFunctie = Trim(objExcel.Cells(intRow,5).Value) strGBDatum = Trim(objExcel.Cells(intRow,10).Value) strHomeFolder = strHomePath strHomeDrive = "H:" strOU = Trim(objExcel.Cells(intRow,3).Value)
' Ophalen gegevens uit Excel en toevoegen aan objecten Set objOU = GetObject("LDAP://ou="&strOU&",ou="&strUsers&",ou="&strOUHoofd&",dc="&strDom ain&",dc="&strExt) Set objUser = objOU.Create("User", "cn=" & strCN) objUser.sAMAccountName = strSam objUser.givenName = strFirst objUser.sn = strLast objUser.mail = strEmail objUser.homeDirectory = strHomeFolder objUser.homeDrive = strHomeDrive objUser.Put "Profilepath" , strRUPpath objUser.put "streetAddress", strStreetAddress objUser.put "l", strL objUser.put "postalCode", strPostal objUser.put "telephoneNumber", strTel objUser.put "title", strFunctie objUser.SetInfo ' Account inschakelen en passwoord toekennen objUser.put "pwdLastSet",0
© 2011 Groep5 Care for IT
16
strPWD = Left(strFirst,1) & Left(strLast,1) & strGBDatum 'objUser.userAccountControl = 512 objUser.SetPassword strPWD objUser.AccountDisabled = False objUser.SetInfo ' De gebruiker wordt toegevoegd aan zijn/haar groep Set objGGroup = GetObject("LDAP://cn=gg_"&strOU&",ou="&strOU&",ou="&strUsers&",ou="&strOUHoo fd&", dc="&strDomain&",dc="&strExt) objGGroup.add(objUser.ADsPath) If objExcel.Cells(intRow,5).Value = "Manager" Then Set objGGroup = GetObject("LDAP://cn=gg_managers,ou="&strOU&",ou="&strUsers&",ou="&strOUHoof d&", dc="&strDomain&",dc="&strExt) objGGroup.add(objUser.ADsPath) End If intRow = intRow + 1 Loop
'Build functie '============= Function Build(strName,ou) SELECT CASE ou Case "ou" Set objParent = GetObject("LDAP://ou="&strUsers&",ou="&strOUHoofd&", dc="&strDomain&",dc="&strExt) If Err.Number <> 0 Then End If Set objOU = objParent.Create("organizationalUnit","ou="&strName) objOU.SetInfo Case "gg_group" Set objParent = GetObject("LDAP://ou="&strName&",ou="&strUsers&",ou="&strOUHoofd&", dc="&strDomain&",dc="&strExt) If Err.Number <> 0 Then End If Set objGGroup = objParent.Create("Group","cn=gg_"&strName) objGGroup.Put "sAMAccountName", "gg_"&strName objGGroup.Put "groupType", ADS_GROUP_TYPE_GLOBAL_GROUP Or ADS_GROUP_TYPE_SECURITY_ENABLED objGGroup.SetInfo Case "dl_group" Set objParent = GetObject("LDAP://ou="&strName&",ou="&strUsers&",ou="&strOUHoofd&", dc="&strDomain&",dc="&strExt) Set objGGroup = GetObject("LDAP://cn=gg_"&strName&",ou="&strName&",ou="&strUsers&",ou="&strO UHoofd&", dc="&strDomain&",dc="&strExt) If Err.Number <> 0 Then End If Set objDLGroup = objParent.Create("Group", "cn=dl_"&strName) objDLGroup.Put "sAMAccountName", "dl_"&strName
© 2011 Groep5 Care for IT
17
objDLGroup.Put "groupType", ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP Or ADS_GROUP_TYPE_SECURITY_ENABLED objDLGroup.SetInfo objDLGroup.add(objGGroup.ADsPath) END SELECT END Function 'Speciale karakters '================== Function fixString(strString) strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, fixString = strString END Function
"é", "è", "ë", "ê", "í", "ì", "ï", "î", "á", "à", "ä", "â", "ú", "ù", "ü", "û", "ó", "ò", "ö", "ô", "ç", " ", "'",
"e") "e") "e") "e") "i") "i") "i") "i") "a") "a") "a") "a") "u") "u") "u") "u") "o") "o") "o") "o") "c") "_") "_")
Wscript.Echo("Alle gegevens zijn succesvol toegevoegd!") objExcel.Quit WScript.Quit
2.3 ADDITIONAL DOMAIN CONTROLLER S02-ADC 2.3.1
INLEIDING
In een goed draaiend netwerk zal enkel een Primary Domain Controller niet veilig genoeg zijn. Als deze server moet uitvallen, kan niemand zich nog op het netwerk inloggen. Daarom gaan we een Additional
© 2011 Groep5 Care for IT
18
Domain Controller toevoegen, die deze taak weet over te nemen wanneer de PDC moest uitvallen. Dit gebeurt aan de hand van replication tussen de PDC en de ADC. Dit wil zeggen dat wijzigingen op de PDC ook rechtstreeks gebeuren op de ADC, zodat er geen gegevensverlies is indien de PDC het onverwachts moest begeven. 2.3.2
INSTALLATIE
We gaan naar ‘Start Run’ en geven vervolgens ‘dcpromo’ in. De setup om de Active Directory te installeren wordt nu geladen. Wanneer deze geladen is, krijgen we het opstartscherm van de wizard te zien. Nu drukken we telkens op ‘Next’ totdat we het onderstaande scherm te zien krijgen:
In dit venster krijgen we de keuze om een nieuw domein te creëren of een nieuw domein (controller) aan een bestaand domein toe te voegen. Omdat we al een domein hebben, kiezen we hier om een Domein Controller toe te voegen aan ons bestaand domein. De rest van de installatie is eigenlijk simpelweg hetzelfde als bij de Primaire Domain Controller. Zo drukken we telkens op ‘Next’ totdat we bij het scherm komen waar we een wachtwoord opgeven wanneer we gebruik willen maken van de Directory Services Restore Mode. Hier geven we ons gewenste wachtwoord in en druk vervolgens op ‘Next’ totdat we ‘Finish’ zien staan om de Active Directory te installeren. Wanneer de installatie voltooid is, zal er gevraagd worden om de server te herstarten en gaan hiermee akkoord. Wanneer we na de reboot naar Start Administrative Tools Active Directory Users and Computers gaan, zien we dat de ADC onmiddellijk alle gegevens van de PDC heeft overgenomen.
© 2011 Groep5 Care for IT
19
2.4 FILESERVER S03-FILE 2.4.1
INLEIDING
Natuurlijk is het handig voor onze gebruikers om centraal hun bestanden en documenten op te slaan, dit kunnen we doen met behulp van een fileserver. Voor onze fileserver maken we gebruik van Microsoft’s Distributed File System (afgekort: DFS). Het principe achter DFS is eigenlijk simpel: we maken één namespace aan op de Fileserver, waarin we makkelijk alle gedeelde mappen op andere servers kunnen beheren en toevoegen aan onze fileserver. Dit heeft als voordeel dat de gebruiker niet hoeft te navigeren naar een andere server, maar lijkt het alsof alles centraal op één server staat. 2.4.2
INSTALLATIE
DFS is een rol die standaard in Windows Server 2008 R2 zit, maar moet enkel nog geïnstalleerd worden. Om deze rol te installeren, gaan we naar: Server Manager Add Roles plaatsen een vinkje bij ‘File Services’. Wanneer we vervolgens op ‘Next’ drukken, komen we in het venster terecht waar we allerlei rollen voor onze fileserver kunnen kiezen. Plaats net zoals op de afbeelding hiernaast een vinkje bij ‘Distributed File System’ zodat er een vinkje komt te staan bij ‘DFS Namespaces’ en ‘DFS Replication’. We krijgen hierna de volgende instelling te zien: In dit gedeelte van de installatie kunnen we een naam geven voor onze DFS Namespace die alle gedeelde mappen op het netwerken kan beheren. Om een zo duidelijk mogelijke structuur binnen ons netwerk te behouden, benoemen we deze simpelweg ‘Fileserver’ en gaan we vervolgens verder met de installatie door op ‘Next’ te drukken. Wanneer we de vraag krijgen van welk soort namespace we gebruik willen maken, kiezen hier voor:
© 2011 Groep5 Care for IT
20
‘Domain-based namespace’. De reden hiervoor is simpel: als we op verschillende servers gedeelde mappen hebben staan die we willen gebruiken voor onze fileserver, kunnen we al deze gedeelde mappen toevoegen aan de namespace ‘Fileserver’ zodat het lijkt alsof alle gedeelde mappen op één centrale server staan. Zo hoeft de gebruiker niet te wisselen van server en is alles makkelijk terug te vinden. Vervolgens drukken we op ‘Next’ totdat we bij het scherm komen om de installatie te starten en op ‘Install’ kunnen klikken. 2.4.3
CONFIGURATIE
2.4.3.1
DFS NAMESPACE
Na installatie kunnen we via de DFS Management console alle gedeelde mappen op het netwerk toevoegen en beheren. De DFS Management console vinden we terug onder: Start Administrative Tools Om vervolgens een gedeelde map toe te voegen aan onze fileserver, klikken we in de Management console ‘Namespaces’ open en klikken we op onze fileserver. Hierna drukken we in het rechtergedeelte van de Management console op ‘New Folder’ en kunnen we via ‘Add’ het pad opgeven waar de gedeelde map zich bevindt.
2.4.3.2
DFS REPLICATION
Wanneer we onze gedeelde mappen aan onze DFS Namespace hebben toegevoegd, kunnen we deze folders laten repliceren met een andere folder zodat er geen gegevensverlies is moest de fileserver het begeven.
© 2011 Groep5 Care for IT
21
Om dit te doen, selecteren we de gewenste map die we willen repliceren, kiezen voor het tabblad ‘Replication’ en klikken op de link van ‘Replicate Folder Wizard’ om de wizard voor DFS Replication te starten. Wanneer we een melding krijgen dat we folders moeten toevoegen, drukken we hier op ‘Yes’. In het nieuwe venster klikken we op ‘Browse’ om te bladeren naar onze gewenste folder waarmee we onze map willen repliceren. Wanneer we onze folder hebben geselecteerd, klikken we twee maal op ‘OK’ en wanneer we een melding krijgen om een replication group aan te maken, klikken we op ‘Yes’. Dit is alles wat we moeten doen om onze mappen met mekaar te laten repliceren.
2.5 WSUS S05-WSUS 2.5.1
INLEIDING
Met Windows Server Update Services (WSUS) kan het updaten van computers en servers centraal beheren. De WSUS server downloadt alle updates die beschikbaar zijn voor de verschillende besturingssystemen in het netwerk. Zo kan de administrator zelf bepalen welke updates mogen geïnstalleerd worden, op welk tijdstip, etc. 2.5.2
INSTALLATIE
WSUS is een aparte rol die standaard is geïntegreerd in Windows Server 2008 R2, alleen moet deze nog geïnstalleerd worden. Bij de installatie van de WSUS kun je gewoon alles op de default instellingen laten staan, aangezien deze settings goed werken. 2.5.3
CONFIGURATIE
Wanneer de installatie voltooid is, start automatisch de Configuratie Wizard van WSUS. Zo kunnen we bij deze wizard de meeste default instellingen laten staan, maar toch moeten we enkele punten in acht nemen:
Zorg ervoor dat ‘Synchronize from Microsoft Update’ geselecteerd is; Als we ons achter een proxy bevinden, geven we in: 172.25.1.1 en poort 8080; Wanneer er gevraagd wordt om te connecteren met de upstream server, doen we dit; Zorg dat we de juiste talen selecteren van de updates die we willen downloaden; Selecteren de juiste producten waarvan we updates willen binnen halen (OS’en, Office, etc.); Bepalen welk soort updates nodig zijn (Critical, Recommended, Security, etc.); Laten de WSUS server automatisch synchroniseren met de upstream server, bv. om 2u ’s nachts; Zorgen dat ‘Begin initial synchronization’ is aangevinkt bij het einde van de wizard.
© 2011 Groep5 Care for IT
22
Als we onze machines/clients willen kunnen updaten met de WSUS server, moeten we de volgende stappen ondernemen: Op onze WSUS server gaan we naar de folder: C:\Windows\inf; Kopiëren het bestand: wuau.adm; Maken een gedeelde map waarop enkel Administrators rechten op hebben en plaatsen dit bestand hierin; Voegen de client computers toe aan de ‘Computers’ OU; Gaan naar: Start Administrative Tools Group Policy Management; Klap het domein uit Domains navigeer naar de OU ‘Computers’ onder Abdominale_Chirurgie; Rechtermuisklik Create a GPO in this domain, and Link it here geven een GPO naam; Selecteren de GPO rechtermuisklik Edit; Computer Configuration Policies rechtermuisklik op ‘Administrative Templates’ Add/Remove Templates; Voegen nu het ‘wuau.admn’ toe; Computer Configuration Policies Windows Components Windows Update Specify intranet Microsoft update service location; Geven in: http://wsus; Computer Configuration Policies Windows Components Windows Update Configure Automatic Updates; Zetten de waarde op ‘Enable’ 4 - Auto download and schedule the install; Sluiten de Group Policy Management af; Start Run gpupdate /force. 2.5.4
INSTELLEN VAN DE UPDATES
We hebben dan wel al de GPO klaargemaakt om de updates te deployen, maar we moeten ook nog de updates naar buiten kunnen laten gaan. Doordat de WSUS server heeft zitten synchroniseren met de upstream server (de Windows Update server) heeft onze server nu een tal van updates weten binnen te halen voor de producten die we tijdens de Configuratie Wizard hebben opgegeven. Om vervolgens updates de deur uit te laten gaan, klikken in het linker menu op ‘All Updates’ onder ‘Updates’. Bij status kiezen we ‘Unapproved’ met de status ‘Needed’. Dit zijn allemaal updates die noodzakelijk zijn voor de client computers, maar door de Administrator nog niet zijn goed gekeurd om geïnstalleerd te worden. Ga deze lijst eerst goed na om zeker te zijn dat je de juiste update voor het juiste OS/pakket selecteert! Om een update goed te keuren, klikken we met de rechtermuis op een update en klikken we op ‘Approve’. Wanneer we alles hebben ingesteld, krijgt de client het onderstaande te zien. Dit wil zeggen dat de client computer de updates goed kan ontvangen en dus ook kan installeren. Een andere manier om te zien of de client computer met WSUS geassocieerd is, is naar Start Configuratiescherm Windows Update te gaan. Hier zul je dan een melding krijgen dat de computer centraal beheerd wordt door de Administrator.
© 2011 Groep5 Care for IT
23
2.6 PRINTSERVER S07-PRINT 2.6.1
INLEIDING
Indien er meerdere printers in het bedrijfsnetwerk zitten is het handig om een printserver te installeren. Op deze manier kunnen de printers vanaf één bepaalde locatie benaderd worden en toegevoegd aan het lokaal systeem. Via de printserver is het eventueel ook mogelijk om de printers automatisch te laten toevoegen via een GPO. 2.6.2
INSTALLATIE
Via Server Roles kan de ‘Print and Document Services’ rol geïnstalleerd worden. Als deze rol geselecteerd is, kan er gekozen worden welke services geïnstalleerd worden. Er wordt gekozen voor Print Server en LDP Server. De eerste zorgt ervoor dat er afgedrukt kan worden vanuit andere Windows-systemen, terwijl LDP Service ervoor zorgt dat UNIX gebaseerde systemen ook kunnen afdrukken via onze printserver. Aangezien er een groot aantal Linux-servers in ons serverpark zitten, en er altijd een gebruiker kan zijn die Linux gebruikt, installeren we deze service. 2.6.3
CONFIGURATIE
Na de installatie kunnen er printers toegevoegd worden via ‘Print Management’. Hierin klikken we ‘Print Servers’ open gevolgd door ‘S07-Print’ en ‘Printers’. Hierna kan een printer toegevoegd worden door op de rechtermuisknop te klikken en ‘Add printer’ te kiezen. In het hierop volgende scherm kiezen we voor ‘Search the network for printers’ en laten we het systeem naar printers zoeken.
© 2011 Groep5 Care for IT
24
Nadat de printer is toegevoegd kunnen we met de volgende stappen configureren wie de printer kan gebruiken.
© 2011 Groep5 Care for IT
25
In dit scherm wordt aangevinkt dat de printer gedeeld mag worden.
Omdat het hier over de directie-printer gaat krijgen, in ons geval enkel Kevin Norek (projectleider) en Katrien Jeunen (co-projectleider) rechten om de printer te gebruiken. Bij de andere printer die voor iedereen toegankelijk is wordt ‘Domain Users (JESSA\Domain Users)’ toegevoegd, waarna deze rechten krijgt om af te drukken. Als alle printers zijn toegevoegd kunnen we deze automatisch laten toevoegen via een GPO. Hiervoor wordt een nieuwe GPO aangemaakt, op een domein controller, voor de directie en voor de gewone users. 1. Ga naar: Start Administrative Tools Group Policy Management; 2. Klap je domein uit Domains navigeer naar de OU ‘Users’; 3. Rechtermuisklik Create a GPO in this domain, and Link it here geef een GPO naam;
© 2011 Groep5 Care for IT
26
4. Selecteer de GPO rechtermuisklik Edit; 5. User Configuration Preferences Control Panel Settings rechtermuisklik op ‘Printers’ New Shared Printer; 6. Voeg de printer toe; 7. Sluit de Group Policy Management af; 8. Start Run gpupdate /force. Na het instellen van deze GPO zou de printer, mits de juiste drivers geïnstalleerd zijn, automatisch moeten verschijnen op de hosts.
2.7 REMOTEAPP S08-REMOTEAPP 2.7.1
INLEIDING
Terminal Services is met de komst van Windows Server 2008 R2 van naam veranderd naar Remote Desktop Services, aangezien deze optie nu ook VDI (Virtual Desktop Infrastructure) technologie ondersteunt. Dit maakt het mogelijk om bv. Office 2010 op onze terminal server te installeren en deze via een soort van remote desktop bruikbaar te maken voor gebruikers op het netwerk. Dit kan de kosten van een bedrijf goed omlaag halen, aangezien je zo minder licenties moet kopen. 2.7.2
INSTALLATIE
Net als de meeste functionaliteiten is ook RDS een standaard rol binnen Windows Server 2008 R2, die enkel nog geïnstalleerd moet worden via de Server Manager. Wanneer er gevraagd wordt welke services/rollen we voor onze Remote Desktop Services rol willen toevoegen, zorgen we ervoor dat we een vinkje plaatsen bij ‘Remote Desktop Session Host’. Deze rol zorgt ervoor dat onze clients met Remote Desktop kunnen connecteren met onze terminal server om zo de remote applications te gebruiken. Wanneer gevraagd wordt of Network Level Authentication noodzakelijk is of niet. Dit is een technologie om clients eerst te doen authenticeren voordat deze verbonden is met de terminal server via remote desktop. Voor deze optie kiezen wij uiteraard wel ‘Require Network Level Authentication’, aangezien dit onze veiligheid versterkt. Vervolgens moeten we gaan bepalen welke users en/of groepen toegang krijgen tot Remote Desktop Services. Omdat we iedereen binnen ons bedrijf hiertoe toegang willen verlenen, voegen we de ‘Domain Users’ van ons domein toe.
© 2011 Groep5 Care for IT
27
Na installatie moeten we simpelweg op de terminal server de software gaan installeren die we van op afstand beschikbaar willen stellen voor onze domain users. Zo hebben wij in dit project gekozen voor Firefox, Winrar, Notepad++, Access 2010, Excel 2010, Powerpoint 2010, Word 2010 en TightVNC Server voor enkel de Administrator. 2.7.3
CONFIGURATIE
Wanneer we dit gedaan hebben, openen we via Administrative Tools in het Startmenu de RemoteApp Manager.
Dit is de interface van de RemoteApp Manager. In dit venster zullen we onze geïnstalleerde applicaties moeten gaan toevoegen. Om dit te doen, klikken we op ‘Add RemoteApp’ om de RemoteApp Wizard te starten. We krijgen nu een overzicht te zien van alle geïnstalleerde applicaties op de server. Om een applicatie toe te voegen, plaatsen we simpelweg een vinkje naast het programma en vervolgens drukken we op ‘Finish’ om deze toe te voegen aan de RemoteApp Manager. 2.7.4
HOE APPLICATIES DEPLOYEN?
Omdat we gebruik moeten gaan maken van MSI pakketjes om de applicaties te kunnen deployen, zullen we op de terminal server eerst een gedeelde map moeten aanmaken om deze pakketjes over het netwerk beschikbaar te kunnen maken. Zo maken we bv. de gedeelde map ‘C:\RemoteApp’ en geven deze de volgende permissies:
© 2011 Groep5 Care for IT
28
Administrators: Read/Write; Administrator: Read/Write; Domain Users: Read. In de map C:\RemoteApp worden vervolgens nog twee submappen aangemaakt, nl.: ‘Users’ en ‘Administrators’. De Users map krijgt automatisch de permissies van de parentmap, voor de Administrators map moeten we permissies instellen zodat enkel en alleen de Administrators hieraan kunnen. De permissies voor deze map zijn dan als volgt: Administrators: Read/Write; Administrator: Read/Write; SYSTEM: Full Control.
Om RemoteApp applicaties te kunnen gebruiken vanaf client computers, zullen we van deze programma’s eerst MSI (Windows Installer Packages) pakketjes moeten maken zodat we deze via een GPO kunnen installeren. Om dit te doen, selecteren we de applicaties die we willen deployen en vervolgens klikken we op ‘Create Windows Installer Packages’. Hierna zullen we de vraag krijgen waar we onze MSI pakketjes willen opslaan. Zorg ervoor dat enkel ‘TightVNC Server’ in de map ‘C:\RemoteApp\Administrators’ staat en de overige programma’s in ‘C:\RemoteApp\Users’. In het volgende venster kunnen we bepalen waar onze RemoteApp applicaties op de client computers komen te staan. Aangezien het voor de gebruikers makkelijker en overzichtelijker is om dit in het Startmenu te hebben, vinken we deze optie aan. Ook kunnen we een naam geven aan de map hoe deze in het Startmenu komt te staan. Daarnaast plaatsen we ook een vinkje bij ‘Associate client extensions for this program with the RemoteApp program’. Dit maakt het mogelijk om bestanden geassocieerd met een RemoteApp applicatie geopend kunnen worden met die applicatie. Bijvoorbeeld: op de client computer is er een bestand genaamd ‘Read me.pdf’. Aangezien we Adobe Reader als RemoteApp applicatie hebben geïnstalleerd, kan de client deze applicatie gebruiken om zijn lokaal bestand te openen.
© 2011 Groep5 Care for IT
29
Wanneer we de MSI pakketjes op de gedeelde map hebben geplaatst, gaan we in de PDC een nieuwe GPO aanmaken in de Group Policy Management console. Dit doen we als volgt: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
Ga naar: Start Administrative Tools Group Policy Management; Klap je domein uit Domains navigeer naar de OU ‘Users’; Rechtermuisklik Create a GPO in this domain, and Link it here geef een GPO naam; Selecteer de GPO rechtermuisklik Edit; User Configuration Policies Software Settings rechtermuisklik op ‘Software Installation’ New Package; Voeg de applicaties toe; Ga naar de properties van de applicaties tabblad: Deployment kies bij Deployment Type ‘Assigned’; Plaats vinkje bij ‘Install this application at logon’; Sluit de Group Policy Management af; Start Run gpupdate /force.
2.8 EXCHANGE 2010 S13-MAIL 2.8.1
INLEIDING
Exchange 2010 is een mailserver van Microsoft en wordt vooral gebruikt in grote bedrijven waar het voornamelijk Microsoft gericht is. Naast het versturen van mails, beschikt de Exchange server ook over een ingebouwde agenda waarvan gebruikers gebruik kunnen maken en kan men ook hun verschillende taken bijhouden. Ook is het mogelijk om van thuisuit in te loggen op de mailbox dankzij de Outlook Web Access (OWA) functie. De reden waarom we voor Exchange 2010 hebben gekozen, is omdat we eerst twee Linux mailservers hadden getest: Zimbra en Zarafa. Helaas kregen we geen van beide werkende. Zo kregen we Zarafa meeste van de tijd niet geïnstalleerd en toen het geïnstalleerd was, wou het zijn server niet starten. Zimbra daarentegen was makkelijk te installeren, maar kregen we niet geïntegreerd met de Active Directory van Microsoft. 2.8.2
VEREISTEN
Om Exchange 2010 te kunnen installeren, moeten we eerst aan een paar vereisten voldoen. Deze zijn als volgt: 1. Maak een Additional Domain Controller van de server zoals in hoofstuk 2.3;
© 2011 Groep5 Care for IT
30
2. Download en installeer het 2007 Office System Converter: Microsoft Filter Pack vanop de volgende link: http://www.microsoft.com/downloads/en/details.aspx?FamilyID=60c92a37719c-4077-b5c6-cac34f4227cc&displaylang=en; 3. Voer in PowerShell de volgende drie commando’s in: Import-Module ServerManager Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,Web-WindowsAuth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Process-Model,RSAT-WebServer,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compression,NET-HTTP-Activation,RPC-Over-HTTPProxy -Restart Set-Service NetTcpPortSharing -StartupType Automatic Wanneer we dit gedaan hebben, kunnen we beginnen aan de eigenlijke installatie van de mailserver. 2.8.3
INSTALLATIE
Om aan onze installatie te beginnen, moeten we eerst de ISO mounten. Wanneer we dit gedaan hebben, krijgen we het onderstaande scherm te zien (1):
Hier kunnen we kiezen aan welke stap we willen beginnen. Zo kiezen we eerst onder Step 3 voor ‘Install only languages from the DVD’ om alle talen te installeren die op de DVD staan, zodat we ook Nederlands tot onze beschikking hebben. Wanneer we dit gedaan hebben, klikken we op ‘Step 4: Install Microsoft Exchange’ om aan de installatieprocedure te beginnen. We krijgen dan het volgende scherm te zien:
© 2011 Groep5 Care for IT
31
Dit is het introductiescherm van de Exchange setup. Om verder te gaan, drukken we hier op ‘Next’ en krijgen vervolgens het volgende scherm te zien:
In dit scherm vinden we het License Agreement van Exchange 2010 terug. Hier plaatsen we een bolletje bij ‘I accept the terms in the license agreement’ en drukken vervolgens op ‘Next’, waarna we het volgende scherm te zien krijgen:
© 2011 Groep5 Care for IT
32
Hier krijgen we de vraag om foutmelding die we tegen komen te registreren en door te sturen naar Microsoft, zodat de gebruiker de oplossing op het probleem krijgt. Omdat wij dit niet echt nodig vinden, kiezen wij hier voor ‘No’ en gaan vervolgens verder door op ‘Next’ te drukken.
In dit scherm moeten we het type installatie kiezen. Hier kiezen we voor ‘Typical Exchange Server Installation’ en klikken op ‘Next’ om verder te gaan met de installatie.
© 2011 Groep5 Care for IT
33
Hier moeten we een naam opgeven van de organisatie waarin de Exchange server wordt geïnstalleerd. Hier vullen we de gewenste naam in en drukken op ‘Next’ om verder te gaan, waarna we het volgende scherm te zien krijgen:
In dit scherm wordt ons gevraagd of er gebruik wordt gemaakt van Outlook 2003 of Entourage. In ons geval is dit niet zo, dus selecteren we hier de optie ‘No’ en klikken op ‘Next’ om vervolgens verder te gaan met de installatie.
© 2011 Groep5 Care for IT
34
Hier moeten we opgeven of de client access gericht is naar het internet of niet, zodat gebruikers zelfs buiten het domein aan hun mailbox kunnen. Hier kiezen we voor de optie ‘The Client Access server role will be Internet-facing’ en geven vervolgens het domeinnaam in waarmee we dit willen koppelen. Hierna drukken we op ‘Next’ om vervolgens de systeemcheck te starten, zodat we weten of Exchange op de server kan worden geïnstalleerd. Wanneer de systeemcheck voltooid is, zien we een scherm als onderstaand voorbeeld:
Als alle checks op ‘Completed’ staan, klikken we op ‘Install’ om de eigenlijke installatie van Exchange 2010 te starten. Wanneer de installatie voltooid is, krijgen we het onderstaande scherm te zien:
© 2011 Groep5 Care for IT
35
Als we alles op ‘Completed’ zien staan, dan kunnen we op ‘Finish’ klikken om de installatie te beëindigen. Hierna kunnen we overgaan naar de configuratie van Exchange 2010. 2.8.4
CONFIGURATIE
Nadat we op het einde van de installatie op ‘Finish’ hebben geklikt, opent zich automatisch de Exchange Management Console. Dit scherm ziet er als volgt uit:
© 2011 Groep5 Care for IT
36
Om te beginnen gaan we eerst naar ‘Hub Transport’ onder de ‘Organization Configuration’ en kiezen we voor het tabblad ‘Send Connectors’, aan de rechterkant van het scherm klikken we op ‘New Send Connector’. We krijgen dan het volgende scherm te zien:
© 2011 Groep5 Care for IT
37
In dit scherm moeten we een naam geven aan onze send connector en moeten we bepalen welk type connector we willen gebruiken. Omdat we willen dat we ook naar buiten het domein kunnen mailen, zoals bv. naar Gmail adressen, kiezen we hier voor ‘Internet’. Nadat we dit hebben gedaan, klikken we op ‘Next’ en krijgen we het volgende scherm te zien:
Hier moeten we het SMTP adres opgeven waarlangs we onze mails willen versturen. Om dit te doen, drukken we op ‘Add’ en geven we een ‘*’ in bij het Address veld en plaatsen we een vinkje bij ‘Include all subdomains’. Vervolgens klikken we op ‘OK’ en op ‘Next’, waarna we het volgende scherm te zien krijgen:
© 2011 Groep5 Care for IT
38
In dit venster moeten we kiezen op welke manier we onze mails willen routen. Als we willen dat mails direct worden gerouted, moeten we de eerste keuze nemen. Als we de mail eerst langs een upstream server willen sturen, zoals de proxy van PHL, moeten we de tweede optie kiezen. Wij kiezen hier voor de eerte optie en klikken vervolgens op ‘Next’ ‘Next’ ‘New’ om de wizard te beëindigen. Vervolgens gaan we een nieuwe database aanmaken op een andere partitie. Dit doen we uit veiligheidsmaatregelen en ook om de performantie te verhogen. Indien de primaire harde schijf van de Exchange server een onverwachtse crash moest meemaken, blijft de maildatabase met de data nog steeds intact op de andere partitie. Om dit te doen, gaan we naar ‘Mailbox’ onder ‘Organization Configuration’, aan de rechterkant van het scherm klikken we op ‘New Mailbox Database’. We krijgen dan het onderstaande scherm te zien:
In dit scherm moeten we een naam geven aan onze nieuwe database en moeten we de computernaam specifiëren via ‘Browse’. Wanneer we dit gedaan hebben, klikken we op ‘Next’ waarna we het volgende scherm te zien krijgen:
© 2011 Groep5 Care for IT
39
Hier moeten we de locatie vast leggen waar we zowel de database als de logs willen opslaan. We willen de gewenste locatie op onze andere partitie in en klikken vervolgens op ‘Next’ en daarna op ‘New’ om de wizard te beëindigen en de database aan te maken. Wanneer we dit gedaan hebben, gaan we er voor zorgen dat onze Exchange server ook mails kan ontvangen van buitenaf. Dit doen we door te gaan naar ‘Hub Transport’ onder de ‘Server Configuration’ selecteren de ‘Default S13-MAIL’ onder ‘Receive Connectors’ rechtermuisklik Properties tabblad: ‘Permission Groups’ plaatsen een vinkje bij ‘Anonymous users’. Vervolgens gaan we de mailboxen voor onze gebruikers aanmaken. Dit doen we door te gaan naar ‘Mailbox’ onder ‘Recipient Configuration’, aan de rechterkant van het scherm klikken we op ‘New Mailbox’. We krijgen dan het onderstaande scherm te zien:
© 2011 Groep5 Care for IT
40
In dit scherm krijgen we de keuze welk soort mailbox we willen aanmaken. Omdat we een mailbox voor onze gebruikers willen aanmaken, kiezen we hier voor ‘User Mailbox’ en klikken op ‘Next’ om verder te gaan.
Vervolgens moeten we in dit scherm onze gebruikers kiezen waarvoor we een mailbox willen maken. Om dit te doen, drukken we op ‘Existing users’ en selecteren we alle gebruikers waarvoor we een mailbox willen maken. Hierna drukken we op ‘OK’ en op ‘Next’ om de wizard voort te zetten.
© 2011 Groep5 Care for IT
41
In dit scherm moeten we kiezen welke database we willen gebruiken om onze mailboxen in op te slaan. Om onze eigen aangemaakte database te selecteren, plaatsen we een vinkje bij ‘Specify the mailbox database rather than using a database automatically selected’ en klikken we op ‘Browse’ om onze database te selecteren. Vervolgens klikken we op ‘Next’ en dan op ‘New’ om de wizard te beëindigen. Vervolgens moeten we nog een MX record aanmaken in onze DNS. Om dit te doen, gaan we naar de DNS Manager op de PDC, openen we onze ‘Forward Lookup Zones’, selecteren ons domeinnaam en doen er rechtermuisklik op om vervolgens de optie ‘New Mail Exchanger (MX)’ record toe te voegen.
© 2011 Groep5 Care for IT
42
In dit scherm vullen we onze host en FQDN van onze mailserver in en drukken vervolgens op ‘OK’ om dit te bevestigen. Wanneer we al deze stappen hebben overlopen, kunnen onze gebruikers inloggen op hun mailbox door te surfen naar https://s13-mail.jessa.be/owa. Als we willen dat onze gebruikers kunnen surfen naar https://mail.jessa.be/owa moeten we in de DNS Manager een Alias record aanmaken met de naam ‘mail’ die verwijst naar de FQDN ‘s13-mail.jessa.be’.
2.9 NAP S10-NAP 2.9.1
INLEIDING NAP is een technologie die aan de hand van de “gezondheid” van een computer bepaalt of deze computer toegang krijgt tot het netwerk. Zo kan NAP nagaan of de computer bv. zijn firewall heeft aanstaan, de antivirus voorzien is van de laatste updates, etc.
Om ons NAP systeem te integreren, hebben we gebruik gemaakt van het IPsec protocol. Dit is de veiligste manier om aan NAP te doen, aangezien we hierbij gebruik maken van certificaten om de gezondheidsstand van een computer aan te geven. Daarom is het dus noodzakelijk om zelf een CA (Certification Authority) op te zetten op een server die een Active Directory bevat, dit kan dus de PDC of de ADC zijn. Wanneer een client zich wel aanmelden op het netwerk, geeft hij zoals gewoonlijk zijn gebruikersgegevens in, waarna er automatisch een verzoek naar de CA wordt gestuurd. Dit verzoek bevat alle informatie over het systeem van de client: antivirus staat aan/uit, firewall staat aan/uit, etc. Omdat de CA hier zelf niks mee is, stuurt hij dit verzoek door naar de NAP Policy Server (NPS). Dit is de eigenlijke NAP server waar alle voorwaarden staan opgeslagen waaraan clients moeten voldoen om op het netwerk te kunnen. Deze server kijkt het verzoek na en stuurt het oordeel (gezond/ongezond) terug naar de CA. Op de CA hebben we twee soorten certificaten aangemaakt, nl. een gezondheidscertificaat en een ongezondheidscertificaat. Elke computer die dit eerste certificaat bevat, wordt gezien als een gezonde computer. Wanneer de client als ongezond wordt verklaard door de NPS, krijgt deze computer het ongezondheidscertificaat toegestuurd waardoor het duidelijk is dat deze ongezond is en door remediation gezond moet worden gemaakt.
© 2011 Groep5 Care for IT
43
Het gezond maken van een computer gebeurt ook door de NPS, dit komt doordat wij gebruik maken van het IPsec protocol. Indien we het DHCP protocol voor NAP hadden gebruikt, hoort men een remediation server op te zetten in een apart domein. Dankzij IPsec is dit niet nodig en verbetert de NPS server automatisch al de gebreken van de ongezonde client. 2.9.2
INSTALLATIE CA OP ADC
1. Ga naar Server Manager Roles Add Role; 2. Plaats vinkje bij Active Directory Certificate Services; 3. In het Select Role Services venster plaatsen we een vinkje bij Certification Authority; 4. In het Specify Setup Type venster plaatsen we een vinkje bij Enterprise; 5. In het Specify CA Type venster selecteren we Root CA; 6. In het Set Up Private Key venster kiezen we voor Create a new private key; 7. In het Configure Cryptography for CA venster kiezen we voor RSA#Microsoft Software Key Storage Provider en voor een 2048 Key character length; 8. In het Configure CA Name venster bepalen we een naam voor onze CA; 9. In het Set Validity Period venster bepalen we de duur hoelang een certificaat geldig kan zijn; 10. Next Finish; 11. Ga naar Start Administrative Tools Certification Authority; 12. In de console tree, rechtsklik op Root CA Properties; 13. Klik de Policy Module tab en dan naar Properties; 14. Verifieer dat Follow the settings in the certificate template, if applicable. Otherwise, automatically issue the certificate is geselecteerd; 15. Klik telkens op OK en sluit de management console af.
2.9.3
CONFIGURATIE
Voor de configuratie hebben we elke stap nauwkeurig gevolgd vanuit het document van Microsoft. Dankzij deze te stappen, waren we er in geslaagd om NAP van de eerste keer succesvol te installeren en perfect werkende te krijgen. Dit document vindt u terug in de bijlage NAPIPsec_StepByStep.doc (2) (3).
2.10 WINDOWS DEPLOYMENT SERVICES 2.10.1
INLEIDING
Met Windows Deployment Services (WDS) is het mogelijk om computers te installeren over het netwerk, ook met unattended ISO bestanden zodat er praktisch geen userinteractie nodig is. Dit is
© 2011 Groep5 Care for IT
44
handig als men veel computers in een netwerk moet installeren. Wel moeten we er rekening mee houden dat WDS de volgende rollen heeft toegewezen: Het is een Domain Controller; De WDS server heeft DHCP. Daarom is het nodig om voor WDS een domein te creëren. 2.10.2
INSTALLATIE
WDS is een rol die standaard in Windows Server 2008 R2 zit verwerkt, alleen moet deze nog geïnstalleerd worden. Om dit te doen gaan we naar: Server Manager Add roles plaatsen een vinkje bij ‘Windows Deployment Services’. Wanneer we naar het volgende venster gaan, zorgen we dat zowel ‘Deployment Server’ als ‘Transport Server’ geselecteerd zijn. Wanneer we dit gedaan hebben, gaan we verder en drukken op we ‘Finish’ om de installatie te starten. 2.10.3
INSTALLATIE DHCP
Net als WDS is ook DHCP een aparte rol binnen Windows Server 2008 R2 die we nog moeten installeren. Ga ook hiervoor naar: Server Manager Add roles plaats een vinkje bij ‘DHCP Server’. In het volgende venster moeten we onze netwerk connectie selecteren die we willen gebruiken voor WDS. Aangezien hier maar ééntje staat, selecteren we deze en gaan we verder zodat we het domein kunnen invullen. In het volgende venster selecteren we ‘WINS is not required for applications on this network’. Vervolgens gaan we een DHCP scope mogen ingeven, wat een pool van IP adressen is die de DHCP Server gaat gebruiken om uit te delen aan de clients. Hier nemen we een pool van: 192.168.1.10 tot 192.168.1.200. Wanneer we dit gedaan hebben, kunnen we in de overige venster de standaard instellingen laten staan en kunnen we de installatie beëindigen. 2.10.4
CONFIGURATIE WDS
Wanneer we onze Unattended ISO hebben gemaakt, kunnen we deze gaan gebruiken voor het verder instellen van onze WDS server. Via Start Administrative Tools Windows Deployment Services kunnen we de Management console hiervan starten. Wanneer we onze Management console open hebben, moeten we onze WDS server nog gaan configureren om aan deployment te doen. Dit doen we door het menu ‘Servers’ uit te klappen en vervolgens rechtermuisklik te doen op onze FQDN en kiezen voor de opties ‘Configure Server’.
© 2011 Groep5 Care for IT
45
Wanneer we dit gedaan hebben, moeten we vervolgens een locatie gaan opgeven waar we onze boot en install images willen gaan opslaan. Voor betere performantie kiezen we hier voor een andere partitie, in dit voorbeeld: E:\RemoteInstall. Wanneer we onze locatie hebben opgegeven, moeten we nog onze DHCP juist instellen. Dit doen we door de twee tekstvakjes aan te vinken zoals op de hier bovenstaande afbeelding. Wanneer we dit gedaan hebben, moeten we aangeven op welke manier we aanvragen van computers willen accepteren. Hiervoor kiezen we ‘Respond to all client computers (known and unknown)’. Wanneer we dit gedaan hebben, klikken we op ‘Finish’. Vervolgens gaan we een boot image moeten toevoegen aan onze WDS. Een boot image is de image waarop een client computer eerst op zal booten voordat de eigenlijke installatie begint. Het bestand dat we hiervoor nodig hebben is de boot.wim, dat te vinden is onder de sources folder op de Unattended ISO van Windows 7. Kopieer dit bestand naar E:\RemoteInstall. Om vervolgens een boot image toe te voegen, klikken we met de rechtermuis op ‘Boot Images’ in de WDS Management console om deze toe te voegen. Wanneer we naar de boot image hebben gebladerd en deze geselecteerd, kunnen we nu een naam geven aan deze boot image. Wanneer we verder gaan, hebben we de boot image goed toegevoegd. Naast een boot image, hebben we ook een install image nodig. Een install image is een image dat het OS bevat dat je wil gaan deployen. Het bestand dat we hiervoor nodig hebben is de install.wim die ook te vinden is in de sources folder van de Unattended ISO. Kopieer ook dit bestand naar de E:\RemoteInstall. Om vervolgens de install image toe te voegen, doen we net hetzelfde als bij de boot image, maar enkel op de ‘Install Images’ toegepast. Ook hier kunnen we onze image groep een naam geven. Vervolgens moeten we kiezen welke versie van Windows 7 we willen gebruiken om de configuratie compleet te maken. 2.10.5
HET MAKEN VAN EEN UNATTENDED WINDOWS 7
Om een Unattended Windows 7 ISO bestand te maken, hebben we gebruik gemaakt van het gratis programma 7Customizer. Dit om de simpele reden dat het programma vLite telkens foutmeldingen gaf bij het creëren van de ISO. Om een Unattended ISO te kunnen maken, moeten we eerst Windows Automated Installation Kit (WAIK) installeren. Deze setup is rechtstreeks van de Microsoft website af te halen. Wanneer we de WAIK hebben geïnstalleerd, kunnen we aan de slag gaan met 7Customizer om onze ISO te maken. De interface van het programma ziet er als volgt uit:
© 2011 Groep5 Care for IT
46
Zorg ervoor dat ALLE bovenstaande paden identiek hetzelfde zijn, anders zal het programma een foutmelding gaan geven en niet verder kunnen gaan met het aanmaken van de ISO. Bij ‘Windows Installation Source’ bladeren we naar de ISO bestanden van onze originele Windows 7 ISO. Wanneer onze bestanden zijn ingeladen, kiezen we welke versie van Windows 7 we willen gebruiken. Vervolgens drukken we op ‘Start’ en gaan we naar het tabblad ‘Drivers’.
© 2011 Groep5 Care for IT
47
In dit tabblad kunnen we enkel drivers toevoegen die we wensen te slip streamen tijdens onze installatie. In dit voorbeeld heb ik de drivers genomen van de videokaart. Aangezien er meerdere drivers zijn, moeten we hier kiezen voor ‘To integrate a folder of drivers browse fort hat folder’ om de hele map te integreren in de ISO. Onder het tabblad ‘Tweaks’ is het mogelijk om enkele instellingen te doen die betrekking hebben tot het OS zelf, zoals: geen Windows Aero mogelijkheden, de taakbalk die gelocked moet worden, etc. Vervolgens gaan we naar het tabblad ‘Unattended’ om onze instellingen voor de ISO vast te leggen.
© 2011 Groep5 Care for IT
48
In dit tabblad is het zéér belangrijk dat we ALLES instellen! Als we dit niet doen, zal er een foutmelding verschijnen tijdens het aanmaken van de Unattended ISO en kunnen we helemaal opnieuw beginnen. Zo hebben we hier voor de opties gekozen om de ingave van de productcode over te slaan, de License Agreement te accepteren, keyboard instellingen, enkele netwerkinstellingen en een gebruikersaccount aangemaakt. Wanneer we dit allemaal gedaan hebben, gaan we naar het tabblad ‘Apply’ om onze instellingen te bevestigen.
© 2011 Groep5 Care for IT
49
Dit is de laatste stap die noodzakelijk is om onze Unattended ISO te maken. Het laatste tabblad ‘ISO’ is eigenlijk overbodig, aangezien we hier kunnen kiezen om direct onze ISO aan te maken van zodra we op ‘Apply’ drukken. Wanneer we hierop klikken, zal het programma starten met het aanmaken van de Unattended ISO, wat ongeveer een kwartier kan duren. 2.10.6
CLIENT GEREED MAKEN VOOR DEPLOYMENT
Om onze client computers gereed te maken voor deployment, moeten we enkele zaken in acht nemen: Verander de boot order van de BIOS op Legacy Network Adapter; Zorg dat de client op de WDS Switch zit.
© 2011 Groep5 Care for IT
50
3. LINUX
© 2011 Groep5 Care for IT
51
3.1 LINUX DISTRIBUTIES 3.1.1
DEBIAN
In eerste instantie was er gekozen voor een installatie van FreeBSD servers. Hier waren enige problemen mee gepaard in verband met het downloaden van pakketjes via FTP. Dit wordt geblokkeerd op school dus moesten we noodgedwongen overstappen op een andere distributie. Die distributie is Debian 5.0 geworden omdat we vertrouwd zijn hiermee te werken en omdat het een heel stabiele distributie is. 3.1.1.1
INSTALLATIE
Om Debian te installeren wordt eerst de DVD van Debian gemount. Hierna start de Debian-installatie automatisch en we kiezen voor een grafische installatie om het gemakkelijk te maken. Na de landinstellingen moeten we de server een naam geven. De naam (vb.: S04-Database) is vastgesteld in ons netwerkplan en zal ook zo ingegeven moeten worden. Hier opvolgend staat het domein (jessa.be) automatisch ingevuld omdat de server dit automatisch detecteert via het netwerk.
Nadien kunnen we selecteren welke schijfindelingsmethode er geïnstalleerd moet worden en hier kiezen we voor “Begeleid – benut gehele schijf en gebruik LVM”. Bij de komende schermen kan op volgende geklikt worden en moeten wachtwoorden en gebruikersnamen gekozen worden. De gebruikersnaam wordt “Administrator”. Om pakketten te kunnen installeren vullen we de proxy in zodat we connectie met het internet krijgen.
Na al deze stappen is Debian succesvol geïnstalleerd en kan verder gegaan worden met de installatie van de services.
© 2011 Groep5 Care for IT
52
3.2 PROXYSERVER S00-PROXY 3.2.1
INLEIDING
Endian Firewall is een Open Source Linux distributie en is een beveiligings- en beschermingsoplossing voor netwerken door te dienen als proxy en firewall. Daarnaast vormt deze server de gateway om te kunnen communiceren met de verschillende zones, maar weet het ook bescherming te bieden dankzij zijn ingebouwde IPS (Intrusion Prevention System) in combinatie met als IDS (Intrusion Detection System) SNORT, antivirus en antispam voor zowel web als mail, ingebouwde firewall met Inter-Zonaal verkeer, ingebouwde proxy, VPN ondersteuning en nog vele andere filters. 3.2.2
INSTALLATIE
Om aan onze installatie te beginnen, moeten we eerst de ISO mounten. Wanneer we dit gedaan hebben, krijgen we het onderstaande scherm te zien:
Dit is gewoon een waarschuwing om te melden dat bestaande partities gekilled worden wanneer we de firewall installeren op de server. Om verder te gaan, drukken we op de ‘Enter’ toets en krijgen vervolgens het volgende scherm te zien:
© 2011 Groep5 Care for IT
53
Hier moeten we de taal kiezen waarin we Endian willen installeren. Omdat we hier geen Nederlands kunnen kiezen, kiezen we voor ‘English’. We krijgen dan het volgende scherm te zien:
Dit is het welkom scherm van de installatie. Omdat we hier niks kunnen doen, drukken we simpelweg op ‘Enter’ en krijgen dan het volgende scherm te zien:
© 2011 Groep5 Care for IT
54
Ook in dit scherm vinden we een waarschuwing terug. Zo willen ze de gebruiker laten weten dat alle data op de harde schijf wordt gewist tijdens het installeren en vragen ze of we zeker zijn om het systeem te installeren. Hier selecteren we ‘YES’ en krijgen dan het volgende scherm te zien:
In dit venster vragen ze ons of we via een seriële poort willen connecteren met onze proxy server. Omdat we gebruik maken van virtualizatie, kiezen we hier voor ‘NO’ en drukken vervolgens op ‘Ok’ om de installatie van Endian te starten. Tijdens de installatie zullen we het volgende scherm te zien krijgen:
© 2011 Groep5 Care for IT
55
In dit scherm moeten we onze IP instellingen invoeren voor de Green Zone interface, die wijst naar het interne LAN. Hier geven we de gewenste IP instellingen in en gaan vervolgens verder, waarna we het volgende scherm te zien krijgen:
Dit scherm laat ons weten dat de Endian Firewall succesvol is voltooid. Wanneer we op ‘Ok’ drukken, gaat de server zichzelf herstarten. Wanneer de server opnieuw opgestart is, openen we op bv. de PDC de webbrowser en surfen we naar http://172.25.1.1 waarna we vervolgens een certificaat foutmelding krijgen. Omdat we weten dat deze website betrouwbaar (aangezien het onze eigen proxy server is), kunnen we hier met een gerust hart op ‘Continue to this website (not recommended)’ klikken. Hierna komen we op de webwizard van Endian terecht, die er als volgt uitziet:
© 2011 Groep5 Care for IT
56
Dit is de introductiepagina van de wizard. Veel kunnen we hier niet doen, dus drukken we op de pijltjes om verder te gaan. We krijgen dan het volgende te zien:
In dit venster moeten we onze taal- en landinstellingen op orde brengen. Hier kiezen we dus voor ‘Dutch (Nederlands)’ om Endian in het Nederlands te plaatsen en bij Timezone op ‘Europe/Brussels’ om de tijd gelijk te stellen met de onze. Vervolgens klikken we op volgende (de pijltjes) om verder te gaan. We krijgen dan het onderstaande scherm te zien:
© 2011 Groep5 Care for IT
57
Dit is de License Agreement van Endian Firewall. Hier plaatsen we een vinkje bij ‘ACCEPT License’ en klikken op volgende om het onderstaande scherm te krijgen:
In dit venster wordt ons gevraagd of we een backup van een vorig systeem willen terugzetten. Aangezien dit onze eerste keer is dat we met Endian werken, en dus ook onze eerste installatie is, selecteren we hier ‘Nee’ en klikken we op de pijltjes om verder te gaan.
In dit venster moeten we een wachtwoord opgeven voor zowel de webinterface voor de admin als voor SSH toegang voor de root account. Wanneer we het gewenste wachtwoord hebben ingegeven, klikken we op de pijltjes om verder te gaan met de wizard.
© 2011 Groep5 Care for IT
58
Bij deze stap moeten we het type interface kiezen waarvan de Red Zone gebruik van gaat maken. Omdat we gebruik maken van de blade server op PHL, moeten we hier kiezen voor een ‘ETHERNET STATIC’. Vervolgens klikken we op de pijltjes om verder te gaan.
In dit venster moeten we kiezen over welke zone ons netwerk nog gaat bevatten, omdat we al twee van de drie interfaces hebben geselecteerd. Aangezien we werken met een DMZ, kiezen we hier voor ‘ORANJE’ om aan te geven dat we een Orange Zone willen. Vervolgens drukken we op de pijltjes om verder te gaan met de wizard.
© 2011 Groep5 Care for IT
59
Hier moeten we enkele IP instellingen doen voor de interfaces voor de Orange Zone. Zo moeten we de interface hiervan een IP adres en een subnetmasker meegeven. Vervolgens geven we bij ‘Hostnaam’ de gewenste NetBIOS naam van de server in en bij ‘Domeinnaam’ geven we ons domein in, zodat de server hieraan wordt toegevoegd. Wanneer we dit gedaan hebben, drukken we op de pijltjes om verder te gaan met de wizard.
© 2011 Groep5 Care for IT
60
In deze stap moeten we onze IP instellingen configureren voor de Red Zone. Op deze interface plaatsen we het IP adres van de PHL, geven we het subnetmasker op, selecteren we de interface en geven we de Default Gateway mee. Wanneer we dit gedaan hebben, klikken we op de pijltjes om verder te gaan.
In dit scherm moeten we onze DNS instellingen configureren die van toepassing zijn op de Red Zone. Dit kunnen we vergelijken met DNS Forwarders, dus vullen we hier de DNS servers van de PHL in. Wanneer we dit gedaan hebben, drukken we op de pijltjes om verder te gaan met de wizard.
© 2011 Groep5 Care for IT
61
In deze stap van de wizard moeten we het e-mailadres opgeven naar waar eventuele foutmeldingen/logs gestuurd moeten worden, het e-mailadres dat gebruikt moet worden als verzendadres en de SMTP server langs waar alle mails moeten. Nadat we deze gegevens hebben ingegeven, klikken we op de pijltjes om verder te gaan.
Dit is de laatste stap van die wizard die we moeten doorlopen. Om de wizard te beëindigen en alle instellingen van kracht te laten gaan, klikken we hier op ‘OK, instellingen toepassen’. Nadat de proxy server zijn instellingen heeft opgeslagen, gaat deze de services herstarten. Hierna gaat er connectie worden gemaakt met de frontend webinterface. Wanneer Endian vraagt voor gebruikersgegevens, geven we als gebruikersnaam ‘admin’ in en als wachtwoord hetgeen we hebben ingesteld tijdens de wizard. Wanneer de inloggegevens gecontroleerd en goedgekeurd zijn, krijgen we de webinterface te zien en kunnen we beginnen met de configuratie van de Endian Firewall. 3.2.3
CONFIGURATIE
De proxy heeft nu enkel nog configuratie nodig om de nodige poorten open te zetten en externe toegang te verschaffen. 3.2.3.1
POORTEN
We kunnen een poort configureren om verkeer door te sturen via Firewall Port forwarding/Destination NAT. Hier klikken we op “Add a new Port Forwarding/Destination NAT rule”.
In het volgende scherm kunnen we kiezen via welke interface het verkeer binnenkomt en welke service of poort er geconfigureerd moet worden.
© 2011 Groep5 Care for IT
62
Voor een veilige connectie met de webserver via SSL zetten we dus poort 443 open naar onze webserver die in de DMZ staat. De forwardregels die van toepassing gaan zijn: Binnenkomen RED en GREEN GREEN
Poort 443 4848
Dienst https /
IP-Adres 172.25.1.35 172.25.1.35
ORANGE RED GREEN
3306 80 8000
MySQL SSH http
172.25.1.5 172.25.1.1 172.25.1.10
RED en GREEN RED en GREEN RED en GREEN
110 25 143
POP3 SMTP IMAP
172.25.1.34 172.25.1.34 172.25.1.34
© 2011 Groep5 Care for IT
Opmerking Webserver HTTPS Webserver Glassfish Admin Console MySQL server SSH toegang http toegang Nagios Mailserver POP3 Mailserver SMTP Mailserver IMAP
63
3.2.3.2
EXTERNE TOEGANG
Er moet ook toegang mogelijk zijn vanaf de red zone via SSH. Hiervoor gaan we naar Systeem SSH toegang. Hier moeten we enkel de knop “Secure Shell-toegang inschakelen” omzetten naar actief.
Daarnaast moet TCP forwarding mogelijk gemaakt worden om de databasepoort te forwarden naar buiten toe.
Na het inschakelen van SSH zal er nog voor gezorgd moeten worden dat externe toegang via die poort verschaft wordt. Hiervoor gaan we naar Firewall Systeemtoegang. Hier klikken we op “Een nieuwe systeemtoegangsregel toevoegen”. In het volgende scherm kiezen we de dienst SSH en voegen we de regel toe.
© 2011 Groep5 Care for IT
64
Omdat poort 22 geblokkeerd staat op het externe IP-adres hebben we ervoor gekozen om poort 80 te forwarden naar poort 22 op de Proxy-server. Poort 80 wordt niet gebruikt aangezien we via HTTPS werken en niemand zal SSH verwachten op poort 80.
3.3 DATABASESERVER S04-DATABASE 3.3.1
INLEIDING
In samenspraak met onze programmeurs en externen hebben we beslist om een MySQL-database op te zetten voor de applicatie. De database wordt ook gebruikt voor andere applicaties zoals Achievo, Wiki, Drupal en Mantis. De connectie verloopt intern via poort 3306 maar extern is een SSH-verbinding vereist. De poort 3306 zal via de proxy gesloten zijn naar de red zone. 3.3.2
INSTALLATIE
MySQL server is zeer gemakkelijk te installeren via één enkel commando. apt-get install mysql-server
Na de installatie kan de server al gebruikt worden. PHPMyAdmin wordt niet geïnstalleerd omdat Navicat gebruikt gaat worden als GUI voor de creatie van databases, tabellen, e.d. 3.3.3
CONFIGURATIE
Om de database te optimaliseren is het configuratiebestand my.cnf aangepast (4). [client] port socket
= 3306 = /var/run/mysqld/mysqld.sock
[mysqld_safe] socket = /var/run/mysqld/mysqld.sock nice = 0 [mysqld] user
= mysql
© 2011 Groep5 Care for IT
65
pid-file = /var/run/mysqld/mysqld.pid socket = /var/run/mysqld/mysqld.sock port = 3306 basedir = /usr datadir = /var/lib/mysql tmpdir = /tmp language = /usr/share/mysql/english skip-external-locking skip-name-resolve key_buffer = 128M max_allowed_packet = 16M thread_stack = 128K thread_cache_size = 32 myisam-recover table_cache thread_concurrency
= BACKUP = 512 = 2
query_cache_limit query_cache_size expire_logs_days max_binlog_size
= 1M = 32M = 10 = 100M
skip-bdb [mysqldump] quick quote-names max_allowed_packet
= 16M
[mysql] [isamchk] key_buffer
= 64M
!includedir /etc/mysql/conf.d/
De voornaamste veranderingen zijn -
-
Skip-name-resolve: Voor deze setting toegepast was, werd telkens de hostname van iedereen die connective maakte nagegaan. Hierdoor duurde het soms meer dan 10 seconden voordat er connectie gelegd kon worden. Table_cache: Als dit te laag is worden de tabellen elke keer opnieuw geladen naar het RAMgeheugen. Hoe hoger deze setting staat, hoe meer tabellen er in het RAM-geheugen blijven staan.
© 2011 Groep5 Care for IT
66
3.3.4
PROBLEMEN
3.3.4.1
LANGE CONNECTIETIJD
Doordat er een setting in de database was die altijd de hostnames van de clients wou nagaan duurde een connectie met de database soms meer dan 10 seconden. Voor de performantie van de applicatie is dit natuurlijk heel slecht. Daarom is er gekozen om in het MySQL configuratiebestand een aanpassing te doen waardoor MySQL deze hostnames niet nagaat (5). Skip-name-resolve
3.4 BACKUPSERVER S06-BACKUP 3.4.1
INLEIDING
Eens de servers geïnstalleerd is, is het belangrijk dat ze blijven draaien en indien er een server down zou gaan of crashen is er soms maar één oplossing en dat is een back-up terugzetten. Daarom is een goede back-upserver nodig om van alle servers op geregelde tijdstippen een back-up te maken. We hebben gekozen voor Bacula als back-upserver omdat dit een veelgebruikte tool is waar veel over te vinden is. Daarnaast is het mogelijk om zowel Linux als Windows back-ups te maken. 3.4.2
INSTALLATIE
Om Bacula te installeren moeten we in onze shell het volgende doen (6): apt-get install bacula bacula-director-mysql bacula-sd-mysql bacula-doc
Hierna moeten we de tabellen aanmaken in onze MySQL-database. /usr/share/bacula-director/make_mysql_tables -uroot –p
Om het beheer van de back-ups makkelijker te maken installeren we BaculaWeb. Hiervoor is een Apache2 met PHP5 server vereist. apt-get install apache2 php5 php5-mysql php5-gd php-pear
BaculaWeb vereist ook een installatie van de plugin DB in PHP Pear. pear install DB
Nu de server voorbereid is kunnen we BaculaWeb gaan installeren. Het wordt eerst gedownload van Sourceforge waarna het uitgepakt wordt in de /var/www map in de root van onze webserver.
© 2011 Groep5 Care for IT
67
wget http://downloads.sourceforge.net/project/bacula/bacula/5.0.3/baculagui-5.0.3.tar.gz tar fvxz bacula-gui-5.0.3.tar.gz cd bacula-gui-5.0.3 mv * /var/www/
BaculaWeb is nu klaar om te gebruiken.
3.5 MONITORING S09-NAGIOS 3.5.1
INLEIDING
Servers installeren is een tijdrovende zaak. En het monitoren van die servers is ook belangrijk omdat een downtime veel geld voor een bedrijf kan betekenen. Met een monitorprogramma kan er nagegaan worden welke server de boosdoener is en welke service de problemen geeft. Wij hebben gekozen voor Nagios omdat we hiermee bekend zijn en het veel nuttige plugins en extensies heeft op het internet. Er is veel documentatie te vinden voor Nagios wat de usability van het programma zeker ten goede gaat. 3.5.2
INSTALLATIE
Na de standaard Debian installatie moeten er nog enkele andere pakketten geïnstalleerd worden. Met een commando kan Nagios samen met de NRPE-pluging geïnstalleerd worden (7). apt-get install nagios3 nagios-nrpe-plugin
-
Nagios is het pakket voor te monitoren en omvat ook een webinterface. Nagios-nrpe-plugin is een pakket om van externe Linux-systemen (via een NRPE-server) systeem gegevens zoals CPU verbruik en RAM geheugen te ontvangen en monitoren.
Naderhand wordt er een nieuwe gebruiker aangemaakt waarmee nadien kan worden ingelogd in Nagios. useradd nagiosadmin
Als de gebruiker aangemaakt is moet hij nog met een wachtwoord worden toegevoegd aan de nagiosgebruikers. htpasswd -c /etc/nagios3/htpasswd.users nagiosadmin
Nadat deze stappen doorlopen zijn is Nagios werkende en kan worden ingelogd via de webinterface.
© 2011 Groep5 Care for IT
68
3.5.3
CONFIGURATIE
Nagios werkt met configuratiebestanden om hostgroups, hosts, services, e.d. toe te voegen en te monitoren (8) (9). 3.5.3.1
CONTACTEN
Het is mogelijk om met Nagios een notificatie te sturen indien er een service of host van status veranderd. We hebben ervoor gekozen om iedere netwerkbeheerder een interne e-mail te sturen indien er iets mis is met een service of host. define contactgroup{ contactgroup_name ProjectGroep5 alias ProjectGroep5 members Yoni,Andy,An }
Een contactgroup is een groep waarin contacten toegevoegd kunnen worden. Op deze manier is het gemakkelijk om naar een groep van mensen de notificatie te sturen. define contact{ contact_name Yoni alias Yoni contactgroups ProjectGroep5 host_notifications_enabled 1 service_notifications_enabled 1 host_notification_period 24x7 service_notification_period 24x7 host_notification_options d,u,r service_notification_options w,u,c,r host_notification_commands notify-host-by-email service_notification_commands notify-service-by-email
© 2011 Groep5 Care for IT
69
email
[email protected] }
Een contact bevat de gegevens die een bepaalde persoon kan ontvangen en wanneer. Zo is hier ingesteld dat de persoon notificaties moet krijgen van een host en service en dit 24u per dag, 7 dagen op 7. De host notificaties die de persoon krijgt zijn d (down), u (unknown) en r (recovery). De service notificaties die de persoon krijgt zijn w (warning), u (unknown), c (critical) en r (recovery). Daarnaast zal de persoon de notificaties via e-mail ontvangen op het adres
[email protected]
3.5.3.2
HOSTGROUPS
Hostgroups zijn soortgelijk aan contactgroups maar zijn dan bedoeld voor hosts. Hiermee kunnen voor meerdere verschillende hosts enkele standaard services gemonitord worden. # Debian Linux servers define hostgroup { hostgroup_name debian-servers alias Debian GNU/Linux Servers members S09-Nagios,S04-Database,S06-Backup,S11-Syslog }
3.5.3.3
HOSTS
Een host is eigenlijk een server die in ons netwerk staat. De host wordt ook toegevoegd aan een configuratiebestand. #Hosts define host{ use generic-host host_name S01-PDC alias S01-PDC address 172.25.1.2 parents S00-Proxy check_command check-host-alive contact_groups ProjectGroep5 }
In deze configuratie wordt bepaald hoe de host noemt, op welk ip adres deze te vinden is en welke contactgroups notificaties moeten ontvangen indien er iets mis mocht gaan.
© 2011 Groep5 Care for IT
70
Aan een host moeten ook services toegevoegd worden die gemonitord moeten worden. Deze services kunnen een ping zijn, POP3-check, DNS-check, enz… Om te kunnen monitoren op Windows is het nodig om een programma te installeren dat dient als server voor de gegevens. Het programma dat op Windows gebruikt wordt is NSClient++.Tijdens de installatie kunnen we ingeven welke server de gegevens mag opvragen. Voor elke windows-server wordt het volgende standaard gecontroleerd (10): -
Disk space Memory usage Uptime CPU Load
Voor elke server die een Active Directory en DNS bevat het volgende: -
DNS LDAP
Om te kunnen monitoren op een Linux-server moet nrpe-server geïnstalleerd worden. apt-get install nagios-nrpe-server
Voor elke linux-server monitoren we: -
Disk space CPU Load Memory Usage (11)
Daarnaast zijn er nog enkele server-specifieke services die gemonitord worden. #Services #S03-File define service{ use generic-service host_name S03-File service_description Shared Folder check_command check_disk_smb!jessa.be!Fileserver!-u yoni.millen -p Azerty123 check_interval 1 contact_groups ProjectGroep5 }
Nagaan of de share op de fileserver nog bereikbaar is. #S04-Database define service{ use generic-service host_name S04-Database service_description MySQL
© 2011 Groep5 Care for IT
71
check_command check_mysql!jessa!JessaRoot!Care4IT check_interval 1 contact_groups ProjectGroep5 }
Een connective met de MySQL-database proberen te maken. Hierin wordt ook gecontroleerd hoeveel tabellen er open zijn en hoeveel queries er per seconde afgewerkt kunnen worden (12). define service{ use generic-service host_name S04-Database service_description SSH check_command check_ssh contact_groups ProjectGroep5 }
SSH-connectie met de database controleren. #S14-Web define service{ use generic-service host_name S14-Web service_description HTTPS check_command check_https check_interval 1 }
Een verbinding via HTTPS tot stand proberen te brengen. #S13-Mail define service{ use generic-service host_name S13-Mail service_description POP3 check_command check_pop }
Controleren of de mailserver een connectie via POP3 accepteert. define service{ use generic-service host_name S13-Mail service_description IMAP check_command check_imap }
Controleren of de mailserver een connective via IMAP accepteert. define service{ use generic-service host_name S13-Mail service_description SMTP check_command check_smtp }
Controleren of de mailserver een connective via SMTP accepteert.
© 2011 Groep5 Care for IT
72
define command{ command_name check_mailbox_health command_line $USER1$/check_nrpe -H $HOSTADDRESS$ -c check_mailbox_healt$ } define service{ use generic-service host_name S13-Mail service_description Mailbox Health check_command check_mailbox_health }
Een speciale plugin voor Microsoft Exchange om de gezondheid van de mailbox na te kijken. #S00-Proxy define command{ command_name check_ping_dns command_line /usr/lib/nagios/plugins/check_ping -H '$ARG1$' -w '$ARG2$' } define service{ use generic-service host_name S00-Proxy service_description Ping check_command check_ping!100.0,30%!500.0,60% contact_groups ProjectGroep5 }
Een ping naar de Proxy. define service{ use generic-service host_name S00-Proxy service_description DNS Extern 1 check_command check_ping_dns!172.16.201.207!100.0,30%!500.0,60% contact_groups ProjectGroep5 } define service{ use generic-service host_name S00-Proxy service_description DNS Extern 2 check_command check_ping_dns!172.16.201.206!100.0,30%!500.0,60% contact_groups ProjectGroep5 }
Een ping versturen naar de DNS-servers van de red-zone. 3.5.4
NAGROID
Tijdens de zoektocht van Nagios is er nog een heel handig tooltje tevoorschijn gekomen voor Android Smartphones. Het is mogelijk om live monitorgegevens met een Android Smartphone te ontvangen vanuit Nagios. Indien er een host of service van status verandert komt er een notificatie in de Smartphone (trilling) waarna de systeembeheerder nog sneller kan ingrijpen in geval van een panne. © 2011 Groep5 Care for IT
73
3.6 LOGSERVER S11-SYSLOG 3.6.1
INLEIDING
Indien de server gehackt worden kunnen logbestanden soms meer duidelijkheid geven. Maar voor een hacker is een logbestand verwijderen bijna even gemakkelijk als in te breken in het systeem. Daarom is het belangrijk om de logbestanden op een veilige locatie weg te schrijven zodat een hacker deze niet zomaar kan verwijderen. We hebben gekozen om dit te doen met RSyslog wat standaard op Debian geïnstalleerd is. 3.6.2
INSTALLATIE
RSyslog moet niet geïnstalleerd worden op de Linux-servers aangezien dit standaard geïnstalleerd staat. Op Windows moet daarentegen wel een aparte tool geïnstalleerd worden om logbestanden door te sturen naar de RSyslog-server. © 2011 Groep5 Care for IT
74
3.6.2.1
CORRELOG
Een wizard leidt je doorheen de installatie van Correlog (13). Wanneer de wizard om een Syslog Server IP Address vraagt vullen we het IP Van de RSyslog-server in.
Na de installatie stuurt de Windows-server automatisch zijn logs door naar de betreffende RSyslogserver. 3.6.3
CONFIGURATIE
3.6.3.1
RSYSLOG-SERVER
Op de server moet ingesteld worden (/etc/rsyslog.conf) hoe de logs moeten worden opgeslagen, welke logs ontvangen moeten worden en of de server daadwerkelijk logs ontvangt. $ModLoad imtcp $InputTCPServerRun 514
Laat de server op poort 514 via TCP luisteren naar logs. $template MailFile,"/var/log/%$YEAR%/%$MONTH%/%$DAY%/%FROMHOST%/%HOSTNAME%/mail.log" mail.* -?MailFile
Laat logs van het mail-systeem opslaan in de map /var/log/*jaar*/*maand*/*dag*/*host*/*hostnaam*/mail.log. Op deze manier is elke log, van elke dag per host gescheiden van elkaar. 3.6.3.2
RSYSLOG-CLIENT
Om logs te versturen naar een RSyslog-server moet de client ook een instelling krijgen. *.* @@172.25.1.12
De twee @-tekens wilt zeggen dat de logs via TCP verstuurd moeten worden.
© 2011 Groep5 Care for IT
75
3.7 WEBSERVER S14-WEB 3.7.1
INLEIDING
Op vraag van de applicatieontwikkelaars moest er een Glassfish-server geïnstalleerd worden voor de applicatie die ze maken. 3.7.2
INSTALLATIE
Voor Glassfish geïnstalleerd kan worden moet Java6-JDK geïnstalleerd zijn (14). apt-get install sun-java6-jdk
Nadien moet er een variabele JAVA_HOME gedeclareerd worden die in het hele systeem gebruikt kan worden en nadien ook in de Glassfish configuratie gebruikt gaat worden. JAVA_HOME=/usr/lib/jvm/java-6-sun export JAVA_HOME
Als deze stappen doorlopen zijn kan de installatie van Glassfish beginnen. Op de website van Glassfish kan de laatste nieuwe versie gedownload worden. We kiezen voor het bash-script omdat deze al het nodige automatisch installeert (15) (14). bash glassfish-3.0.1-unix-ml.sh
3.7.3
CONFIGURATIE
Na de installatie is er nog geen domein aangemaakt dus kan er nog niets bekeken of geüpload worden naar de webserver. Om een nieuw domein aan te maken moeten volgende commando’s uitgevoerd worden: ./opt/glassfishv3/bin/asadmin create-domain --savemasterpassword=true -instanceport 80 --domainproperties http.ssl.port=443 jessa.be ./opt/glassfishv3/bin/asadmin start-domain jessa.be
Hierna is onze domein jessa.be aan het draaien en kan het ontwikkelen beginnen!
© 2011 Groep5 Care for IT
76
3.8 WEBSERVER 2 S14B-WEB 3.8.1
INLEIDING
Omdat de applicatieontwikkelaars een Glassfish-server gevraagd hebben, hebben we voor de Linuxopdracht een aparte PHP-server geïnstalleerd. Hier draaien Achievo, SVN, GIT, Wiki en Mantis op. 3.8.2
INSTALLATIE
De installatie van een webserver is te doen met een commando (16): apt-get install apache2 php5 php5-mysql php5-gd
Om het uploaden van applicaties te vergemakkelijken hebben we gekozen om het pakket vsftpd te installeren als ftp-daemon. apt-get install vsftpd
3.8.3
CONFIGURATIE
De installatie van Apache2 en PHP5 heeft geen verdere configuratie nodig omdat alles op de standaardwaardes kan blijven staan. Vsftpd heeft wel wat configuratie nodig aangezien deze nog niet weet welke map er gebruikt wordt en welke users connectie mogen leggen. In het bestand /etc/vsftpd.conf passen we het volgende aan: local_enable=YES local_root=/var/www write_enable=YES
Deze gegevens laten vsftpd weten in welke map we standaard terechtkomen en dat we enkel in die map mogen blijven. Write_enable zorgt ervoor dat we bestanden in die map kunnen schrijven en beheren. 3.8.4
GIT
3.8.4.1
INSTALLATIE
Om GIT te installeren is een enkel commando voldoende: apt-get install git-core
© 2011 Groep5 Care for IT
77
Hierna moeten we een GIT-user aanmaken die connectie kan maken met de GIT-server. git config --global user.name "JessaGIT" git config --global user.email "
[email protected]"
Daarna kunnen we een repository configureren die gebruikt zal worden voor GIT. mkdir /var/git-repos cd /var/git-repos git init
Ten slotte maken we onze eerste commit vanuit Linux. Hier wordt een bestand README aangemaakt welke daarna aan onze GIT-repository wordt toegevoegd. nano README git add README git commit -m "Eerste commit"
3.8.4.2
HANDLEIDING WINDOWS
Om in Windows GIT te kunnen gebruiken downloaden we de client TortoiseGIT. Bij de installatie laten we alle standaard waardes staan. Waaronder ook dat we gebruik maken van Putty in plaats van OpenSSH aangezien dit beter geïntegreerd is voor Windows. Hierna maken we een nieuwe map in Windows waarna we een Clone kunnen doen van onze GIT-repository.
© 2011 Groep5 Care for IT
78
Bij de URL vullen we de URL van onze GIT-repository in en daarna klikken we op Ok.
Hierna is de GIT-repository gekloond en kunnen we met deze bestanden aan de slag.
© 2011 Groep5 Care for IT
79
3.8.5
SUBVERSION
Subversion is een tweede vorm van versiebeheer. Het is te installeren via een commando maar vergt nog enige configuratie (17). apt-get install subversion libapache2-svn
3.8.5.1
CONFIGURATIE
Na de installatie moest er een repository-map aangemaakt worden. Deze repository dient om alle bestanden in te plaatsen die via SVN versiebeheer beheerd worden. mkdir /var/svn-repos svnadmin create --fs-type fsfs /var/svn-repos/ProjectGroep5
Na het creëren van de repository kunnen de gebruikers die toegang moeten krijgen tot de repository in een groep worden gezet. groupadd subversion addgroup an subversion addgroup andy subversion addgroup yoni subversion
Na het aanmaken van de groep en het toewijzen van de gebruikers geven we deze groep de rechten op de repository-map. chown -R www-data:subversion /var/svn-repos/ chmod -R 770 /var/svn-repos
De gebruikers hebben nu toegang tot de repository maar hebben nog geen wachtwoord toegewezen. htpasswd -c /etc/apache2/dav_svn_passwd andy
Indien al deze stappen doorlopen zijn kunnen de gebruikers an, andy en yoni een checkout doen op de SVN-repository met hun gebruikersnaam en wachtwoord. 3.8.5.2
CHECKOUT
Met het programma TortoiseSVN kan een SVN checkout gebeuren. Als repository geven we de URL op van onze webserver en nadien vullen we gebruikersnaam en wachtwoord in.
© 2011 Groep5 Care for IT
80
3.8.5.3
WEBSVN
WebSVN kan ook handig zijn omdat de SVN dan via de webbrowser benaderd kan worden zodat er geen bestanden lokaal opgeslaan hoeven te worden. Voor WebSVN is enscript nodig voor code highlighting. apt-get install enscript websvn
Bij de installatie van WebSVN kiezen we voor volgende instellingen: -
Apache configuratie: apache2 SVN hoofd-bibliotheek: /var/svn-repos SVN-bibliotheek: /var/svn-repos/ProjectGroep5
Na de installatie kunnen we WebSVN nog configureren om enscript te gebruiken. In het bestand /etc/websvn/config.php zetten we volgend commando uit commentaar: $config->useEnscript();
Ten slotte kunnen we ook nog de standaard toegevoegde repository op inactief zetten door volgende regel in commentaar te zetten in /etc/websvn/svn_deb_conf.inc: //$config->addRepository("repos 1", "file:///var/svn-repos/ProjectGroep5");
3.8.6
CMS Voor de CMS-installatie is er gekozen voor Drupal. Drupal wordt zeer vaak gebruikt als CMS en daardoor zijn er veel tutorials en plugins voor te vinden. De installatie gebeurt
© 2011 Groep5 Care for IT
81
via een webinterface waar enkel de databasegegevens en websitegegevens ingevuld moeten worden waarna de website meteen actief is. Het is verder voor ons project niet van toepassing dus het wordt niet actief gebruikt. 3.8.7
WIKI
Als Wiki-applicatie hebben we gekozen voor MediaWiki omdat deze ook de basis vormt voor Wikipedia. Het is een veelgebruikte en zeer betrouwbare Wiki-applicatie. 3.8.8
PROJECT MANAGEMENT SOFTWARE De softwaremanager had project management software nodig welke Achievo is geworden. Achievo kan tijdsregistraties, todo-lijstjes, enz… bijhouden voor een project. Voor de installatie van Achievo moet het config.php bestand aangepast worden met onze database gegevens:
$config_db["default"]["host"] = "172.25.1.5"; $config_db["default"]["db"] = "SNB_achievo"; $config_db["default"]["user"] = "JessaRoot"; $config_db["default"]["password"] = "Care4IT";
Nadien kan de web interface de installatie verderzetten en wordt Achievo geïnstalleerd. 3.8.9
BUG TRACKING
Om het verhelpen van bugs te vergemakkelijken is een bug tracking systeem geïnstalleerd. Dit systeem zorgt ervoor dat personen bugs over de applicatie kunnen posten waarna de administrators deze kunnen toewijzen aan een developer die dan de bug kan verhelpen. Het systeem dat wij hebben gekozen is Mantis BT omdat het een heel vaak gebruikt systeem is en op PHP draait. Het installeren verloopt via een web interface waar de databasegegevens en websitegegevens ingevuld moeten worden. Hierna is Mantis BT klaar voor gebruik. 3.8.10
SAMBA
Samba is een methode om bestanden te delen tussen Windows-servers en Linux-servers via het SMBprotocol (Server Message Block). 3.8.10.1
INSTALLATIE
Samba is te installeren via een commando (18): © 2011 Groep5 Care for IT
82
apt-get install samba samba-client smbfs
3.8.10.2
SLUIS
Na de installatie moeten er gedeelde mappen aangemaakt worden. We maken een sluis tussen Windows en Linux in de map /home/samba. mkdir /home/samba mkdir /home/Backup
Na het aanmaken van de map kunnen we een gebruiker aanmaken die via samba connectie mag maken met onze samba-server. useradd samba smbpasswd -a samba
Nadien kunnen we een configuratiebestand aanpassen om ervoor te zorgen dat de mappen gedeeld worden. Het bestand /etc/samba/smb.conf: [SAMBA] path = /home/samba valid users = samba admin users = samba read only = No [BACKUP] path = /home/Backup valid users = An, Andy, Bjorn, Katrien, Kevin, Pieter, Yoni admin users = An, Andy, Yoni read only = No
3.8.10.3
BACKUP
De map Backup is reeds aangemaakt maar de daadwerkelijke backup moet nog gebeuren. Hiervoor maken we een bash-script dat alle bestanden uit een mount kopieert naar de samba-map. #!/bin/bash cp -f -R -u -v /mnt/Backup/* /home/Backup | logger
Het script is zo opgebouwd dat het eventuele output via het programma logger naar de Syslog-server stuurt. -
-f: forceert het kopiëren van bestanden ook al wordt dit geblokkeerd -R: recursive copy, alle bestanden uit alle mappen worden gekopiëerd -u: update enkel de bestanden die veranderd zijn -v: verbose mode, de output wordt weergegeven
Na het aanmaken van het bash-script kunnen we het via een cronjob op vaste tijdstippen laten lopen.
© 2011 Groep5 Care for IT
83
crontab –e
De cronjob zal dus elke dag van elke maand om 13u en 20u het script uitvoeren. 3.8.10.4
INSTELLEN OP ANDERE SERVERS
Om de samba-map op andere servers tevoorschijn te toveren maken we eerst een map aan in de /mnt map waarna we de samba-server gaan koppelen. mkdir /mnt/samba mount -t cifs -o username=samba,password=Azerty123 //172.25.1.36/samba /mnt/samba
3.9 ONDERZOEKSRAPPORT GIT VS. SVN Uit persoonlijke ervaringen hebben we geleerd dat SVN (Subversion) makkelijker werkt dan GIT. De installatie van de twee is soortgelijk maar bij SVN is deze toch iets duidelijker. Het vinden van een tool om de repository lokaal op te slaan of te klonen was bij SVN ook iets makkelijker. Het voordeel van GIT is dan weer dat het sneller is dan SVN. Een GIT-repository is kleiner dan die van SVN (Mozilla: GIT is 30x kleiner dan SVN). Daarnaast is er bij een GIT-repository minder kans om corrupte bestanden tegen te komen en is het gemakkelijk om de bestanden te repareren. Ten slotte is de UI van SVN beter geëvolueerd dan die van GIT. We kunnen dus concluderen dat voor snelheid we best gaan aankloppen bij GIT en voor usability we bij SVN moeten zijn. In ons project gebruikten we vanaf week 1 al SVN op een externe server. Hier zijn weinig problemen mee geweest. Af en toe werd er door twee personen een bestand aangepast waardoor het bestand corrupt werd bij een update.
© 2011 Groep5 Care for IT
84
3.10 VERSIEBEHEER Datum 2-feb-2011 15-feb-2011 16-feb-2011 17-feb-2011 21-feb-2011
Versienummer V1.0 V2.0 V3.0 V3.1 V3.2
© 2011 Groep5 Care for IT
Auteur An Liebens Andy Janssens Yoni Millen Yoni Millen Yoni Millen
Beschrijving van de wijzigingen Aanmaak documentatie Windows-documentatie Linux-documentatie Spellingsfouten en koppen Wachtwoorden toegevoegd
85
3.11 BRONNEN 1. Bass, Ryan. Installing Exchange 2010 Step-by-Step. Enterprise Networking Planet. [Online] 20 4 2010. http://www.enterprisenetworkingplanet.com/windows/article.php/52231_3877601_1/InstallingExchange-2010-Step-by-Step.htm. 2. Brajkovic, Ilija. Network Access Protection step-by-step guides. Windows Server 2008 and Microsoft virtualization blog. [Online] 6 2 2009. http://www.brajkovic.info/windows-server-2008/networkaccess-protection-step-by-step-guides/. 3. Microsoft Corporation. Step By Step Guide: Demonstrate IPsec NAP Enforcement in a Test Lab. [Word-document] sl : Microsoft Corporation, 2008. 4. Sandip. Tuning / Optimizing my.cnf file for MySQ. LinuxWebLog.com. [Online] 31 01 2005. http://www.linuxweblog.com/tune-my.cnf. 5. How MySQL Uses DNS. MySQL. [Online] 2003. http://dev.mysql.com/doc/refman/5.0/en/dns.html. 6. Bacula Network Backup Implementation. Debianhelp. [Online] http://www.debianhelp.co.uk/bacula2.htm. 7. Installing Nagios Core monitoring system (client and server). Debian Tutorials. [Online] 4 5 2010. http://www.debiantutorials.com/installing-nagios-core-monitoring-system-client-and-server/. 8. Nagios reconfig. Salstar.sk. [Online] http://www.salstar.sk/pub/nagios-reconfig/global. 9. Object definitions. Nagios core. [Online] http://nagios.sourceforge.net/docs/3_0/objectdefinitions.html. 10. Monitoring Windows. Nagios core. [Online] http://nagios.sourceforge.net/docs/3_0/monitoringwindows.html. 11. Gonçalves, Rui. Nagios - memory configuration. serverfault. [Online] 28 10 2010. http://serverfault.com/questions/195815/nagios-memory-configuration. 12. Tsalolikhin, Aleksey. Trouble with check_mysql and USER macros. Nagios-users. [Online] 30 11 2005. http://www.mail-archive.com/
[email protected]/msg00632.html. 13. Public Resources. CorreLog. [Online] http://correlog.com/support-public/resources.html. 14. JRichard. Install Glassfish on Debian Etch. Debian Resources. [Online] 22 1 2009. http://71.18.80.191/node/132. 15. Glassfish-3.0.1-unix-ml.sh. [Online] http://download.java.net/glassfish/3.0.1/release/glassfish3.0.1-unix-ml.sh.
© 2011 Groep5 Care for IT
86
16. Falko. Integrating eAccelerator Into PHP5 (Debian Etch). HowtoForge. [Online] 26 9 2007. http://www.howtoforge.com/eaccelerator_php5_debian_etch. 17. Heymans, Bert. Setting up Subversion and websvn on Debian. HowtoForge. [Online] 10 9 2006. http://www.howtoforge.com/debian_subversion_websvn. 18. Samba Server Configuration in Debian. Debianhelp. [Online] http://www.debianhelp.co.uk/samba.htm. 19. Gite, Vivek. Linux / UNIX set the DNS from the command line. NnixCraft. [Online] 19 12 2007. http://www.cyberciti.biz/faq/howto-linux-bsd-unix-set-dns-nameserver/. 20. Changing IP Addresses and Routes. Linux-IP. [Online] [Citaat van: ] http://linux-ip.net/html/basicchanging.html. 21. John. HOWTO: Five steps to a more secure SSH. Thinkhole Labs. [Online] 30 10 2006. http://thinkhole.org/wp/2006/10/30/five-steps-to-a-more-secure-ssh/. 22. Molnar, Andre. How to set up SSH keys: Frustration with "Server refused our key". Andremolnar. [Online] 30 6 2006. http://www.andremolnar.com/how_to_set_up_ssh_keys_with_putty_and_not_get_server_refused_o ur_key. 23. The Most Common OpenSSL Commands. SSLShopper. [Online] 11 1 2008. http://www.sslshopper.com/article-most-common-openssl-commands.html.
© 2011 Groep5 Care for IT
87