# Find all DHCP Server in Domain
$DhcpServers = Get-DhcpServerInDC

foreach ($DHCPServer in $DhcpServers.DnsName){
if (Test-Connection -BufferSize 32 -Count 1 -ComputerName $dhcpserver -Quiet){
$ErrorActionPreference = “SilentlyContinue”
$Scopes = Get-DhcpServerv4Scope -ComputerName $DHCPServer
#For all scopes in the DHCP server, get the scope options and add them to $LIstofSCopesandTheirOptions
foreach ($Scope in $Scopes){
$LIstofSCopesandTheirOptions += Get-DHCPServerv4OptionValue -ComputerName $DHCPServer -ScopeID $Scope.ScopeId | Select-Object @{label=”DHCPServer”; Expression= {$DHCPServer}},@{label=”ScopeID”; Expression= {$Scope.ScopeId}},@{label=”ScopeName”; Expression= {$Scope.Name}},@{Name=’Value’;Expression={[string]::join(“;”, ($_.Value))}},*
}
$LIstofSCopesandTheirOptions += Get-DHCPServerv4OptionValue -ComputerName $DHCPServer | Select-Object @{label=”DHCPServer”; Expression= {$DHCPServer}},@{Name=’Value’;Expression={[string]::join(“;”, ($_.Value))}},*
$ErrorActionPreference = “Continue”
}
}

#Now we have them all, output them
$LIstofSCopesandTheirOptions | Export-Csv -Path c:\temp\DhcpOptionsReport.csv -Force
#$ListofScopesandTheirOptions | Out-GridView
#

Odgovori na pitanja:

1. Nakon uspješno dodanog NFS ver. 3 storage-a na sve hostove, datastore-i su vidljivi, no na njima nije moguće kreiranje virtualnih računala.

O: 

-Da li na datastore-u ima dovoljno prostora (Zapunjen)

-Da li su NFS dozvole ispravno konfigurirane (Read-Only)

-Da li se VM može kreirati na nekom drugom Datastore-u (Izoliran problem na jednom hostu)

-Da li postoji manje od 32000 file-ova na problematičnom datastore-u (Ograničenje NFS-a)

-Da li je block size ispravno podešen (Ograničenje veličine file-a)

2. Prilikom dodavanja novog ESXi servera u infrastrukturu uočeno je da na iSCSI LUNovi nisu vidljivi nakon što su podešene postavke za software-ski iSCSI target. 

O:

-Da li su mrežne postavke ispravno podešene (IP, maska, port 3260)

-Da li HBA može pristupiti storage-u (ping, vidljivost)

-Da li postoji firewall koji blokira pristup storage-u (Windows Firewall, iptables, firewalld)

-Da li je podržana komunikacija storage-a i HBA-a (supported configuration)

-Da li je napravljen rescan Storage Devices-a (trenutno nije vidljiv)

-Da li ostali hostovi vide sporne Datastore-ove

3. Prema informacijama dobivenim od korisnika primjećen je pad performansi virtualnih računala vezano za pristup disku. Problem se pojavljuje nakon što je na lokaciju isporučen novi ESXi server kojeg je prethodno pripremio pripravnik u ICT podršci na osnovupostojeće dokumentacije. I ESXi serveri i iSCSI target imaju po dvije IP adrese za iSCSI komunikaciju.

O:

-Da li je instaliran zadnji dostupan driver i firmware

-Da li je latencija prema storage-u prevelika (da li odstupa više od BP-a)

-Da li su procesor ili memorija slobodni

-Da li je problem uopće vezan uz dodavanje novog hosta (Možda je storage krenuo u rebuild RAID polja što se poklopilo točno sa dodavanjem servera)

-Da li se problem manifestira sa svim hostovima (Da li je problem samo sa novim hostom)

-Da li je stvarno sporost ili normalan rad sustava

4. Nakon zamjene hardwerske FC kartice na jednom od poslužitelja nije više moguće pristupiti dijeljenim datastoreima.

O:

-Da li je instaliran zadnji dostupan driver i firmware

-Da li napravljen rescan datastore-a

-Da li ostali hostove vide datastore

-Da li je promijenjen stari WWN u novi na ACL-ovima i Initiator postavkama

-Da li je zoniranje ispravno odrađeno

-Da li FC switch šalje RSCN poruke

-Da li je FC kartica ispravna

5. Nakon normalnog korištenja datastore-a na NFS v4.1 serveru, datastore-i više nisu dostupni za korištenje.

Prema informacijama nitko ništa nije mijenjao tijekom zadnjih mjesec dana na opremi.

O:

-Da li su datastore-ovi mountani

-Da li su datastore-ovi vidljivi na FC infrastrukturi

-Da li je storage živ

-Da li po logovima stvarno nije ništa dirano

6. Nakon normalnog korištenja datastore-a na NFS-u, pojavljuju se korumpirane virtualna računala na datastoru, te ih se mora vraćati iz arhive da bi sustav oporavili. Prema informacijama u sustav je dodano par novih ESXi servera koji su se također spojili na taj NFS.

O:

-Na koji način se korupcija manifestira (OS ili Hypervisor level)

-Da li file-ovi na datastore-u imaju postavljen lock

-Da li postoje već snimljeni i dokumentirani problemi koji se pojavljuju i nama na online zajednicama

-Da li postoje problemi hardverske prirode koji bi uzrokovali ovakav kvar (storage level)

7. Od zadnje rekonfiguracije i radova na sustavu i mreži prošlo je dva tjedna. Danas, nakon kvara baterija na UPS-u i ponovnog pokretanja, pristup iSCSI storage-u više ne radi samo s nekih ESXi servera.

O:

-Što se točno rekonfiguriralo i kako (change management)

-Da li je konfiguracija ostala spremljena na mrežnoj opremi (prilikom gašenja se resetirala na staro)

-Da li je uslijed nestanka struje došlo do kvara na hardveru

8. Zbog višestrukih prijava na helpdesk za slabe performanse rada s diskovima sumnja se na probleme s storage sustavom. Problemima su zahvaćene samo neka virtualna računala. Svi ESXi serveri imaju pristup do svih datastora. 

O:

-Da li su svi problematični VM-ovi na istom datastore-u

-Da li su svi problematični datastore-ovi sa istog LUN-a na storage-u

-Da li je ispad diska uzrokovao slabije performanse zbog rebuilda RAID polja

-Da li su svi path-ovi do storage-a online

-Da li je ispravna mrežnom (FC) opremom

9. Najavljeni su radovi zbog kojih je potrebno jedan od 32 ESXi servera privremeno onemogućiti unutar HA clustera. Slobodnih resura ima dovoljno za failover, te je server uspješno ugašen za radove. No nakon nenadanog kvara drugog ESXi servera, dio virtualnih računala nije ponovo pokrenut. ESXi serveri imaju pristup do različitih vrsta datastora.

O:

-Da li hostovi imaju pristup do datastore-ova na kojima su problematične virtualke

-Da li je na virtualkama konfiguriran HA

-Da li su virtualne mašine članovi neke host affinity grupe

10. Najavljeni su radovi zbog kojih je potrebno preseliti dio virtualnih računala na živo s nekoliko servera na neke druge ESXi server. Do danas se nije koristila funkcionalnost vMotiona. Prilikom pokušaja selidba migracije nije uspjela.

O:

-Da li su ispravne mrežne postavke

-Da li je vMotion omogućen na predviđenim portovima za to

-Da li je mreža dovoljno brza za odradu vMotion-a

-Da li se hostovi vide na mreži

-Da li postoji dovoljno resursa na drugom hostu za prihvat virtualki

    #### WLC ####

WLC ip 192.168.1.1 255.255.255.0
 default router 192.168.1.254
 dhcp server 192.168.1.254

    #### ROUTER ####

ip dhcp pool IT
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.254
 dns-server 8.8.8.8
!
ip dhcp pool AP
 network 192.168.10.0 255.255.255.0
 default-router 192.168.10.254
 dns-server 8.8.8.8
!
ip dhcp pool Guest
 network 192.168.30.0 255.255.254.0
 default-router 192.168.30.254
 dns-server 8.8.8.8
!
!
ip forward-protocol udp 5246
!
interface FastEthernet0/0.1
 description IT
 encapsulation dot1Q 1 native
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
interface FastEthernet0/0.10
 description AP
 encapsulation dot1Q 10
 ip address 192.168.10.254 255.255.255.0
 ip nat inside
 ip helper-address 192.168.1.1
 ip virtual-reassembly in
!
interface FastEthernet0/0.30
 description Guest
 encapsulation dot1Q 30
 ip address 192.168.30.254 255.255.254.0
 ip access-group GUEST in
 ip nat inside
 ip virtual-reassembly in
!
interface FastEthernet0/1
 ip address 10.10.2.151 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
ip nat inside source list WIFI interface FastEthernet0/1 overload ( pazi na interface)
ip route 0.0.0.0 0.0.0.0 10.10.2.254 (ovo je adresa od profesora)
!

OVO MOZDA NECE TREBATI 
ip access-list extended GUEST
 deny   ip 192.168.30.0 0.0.1.255 192.168.1.0 0.0.0.255
 deny   ip 192.168.30.0 0.0.1.255 192.168.10.0 0.0.0.255
 permit  ip any any

ip access-list extended WIFI
 permit ip 192.168.1.0 0.0.0.255 any
 permit ip 192.168.10.0 0.0.0.255 any
 permit ip 192.168.30.0 0.0.1.255 any
!


    #### SWITCH ####

interface FastEthernet1/0/1
 description ROUTER    
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 1,10,30
 switchport mode trunk
!
interface FastEthernet1/0/2
 description WLC
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 1,10,30
 switchport mode trunk
!
interface FastEthernet1/0/3    
 description AP
 switchport access vlan 10
 switchport mode access

interface FastEthernet1/0/4
 tu stavi PC (bit ce default vlan 1)
!

WIFI configuration

1. DIO – CLI
WLC-u ne možemo odmah pristupiti kroz browser već je potrebno prvo kroz CLI vratiti ga na tvorničke postavke i proći kroz postupak autoinstalacije!
1. Reboot-ati WLC da se pojavi odzivnik sa “Recover-Config”

2. Pod User: upišemo Recover-Config ….. nakon toga započinje system recovery process

3. Kada se WLC bootao sa tvorničkim postavkama pita nas da li želimo autoinstall, kažemo yes…

4. U procesu autoinstalacije moramo odraditi postavke koje nas WLC traži a koje su mu nužno potrebne za operativni rad…
*Važna napomena – management ip adresu postavljate neku svoju (preko nje se spajate kroz browser na wlc a isto tako nju wlc koristi za uspostavu capwap tunela s AP-om).
DHCP je adresa koju postavite na routeru I neka bude ista kao I default router!
Ostalo sve možete postaviti identično kao što je u ovom primjeru!

5. Nakon što ste odradili autoinstalacijski proces i možete se ulogirati sa admin userom kojeg ste postavili, potrebno je aktivirati SSC i MIC certifikate na WLC-u koji su nužni za enkripciju (DTLS) control message-a koje se razmjenjuju između WLC-a i AP-a:
(WLC)> Config ap lifetime-check mic enable
(WLC)> Config ap lifetime-check ssc enable
2. DIO
Gotovi smo sa CLI-om i sada konačno možemo pristupiti kroz web browser.
1. Moramo postaviti time-zonu i provjeriti da li nam je dobro postavljen sat

2. Sad možemo krenuti u instalaciju WLAN-a za Goste, prvo moramo postaviti novi dinamički interfejs:

3. Pod naš novi interfejs “guest” postavimo ip adresu i ostale parametre koji će se odnostiti na mrežu za goste, npr. ja sam stavio 192.168.30.0/24 mrežu za goste

4. Sada treba postaviti WLAN za goste…pritisnemo „create new“ i go

odaberemo naziv ssid-a- ja ću vam na samom ispitu reći koje ćete nazive staviti

Da bi nam WLAN bio aktivan moramo označiti status „enabled“ i pod interfejs odabrati guest kojeg smo malo prije kreirali…

Sada kreiramo sigurnosne parametre za naše SSID-eve, npr. za IT ćemo staviti WPA+WPA2 i PSK-a malo kompleksniji password

A za goste ćemo napraviti web autentikaciju…

to se radi u dva koraka:pod L2 sec stavimo “none” a pod L3 sec odaberemo web authentication

Da bi mogli isprobati web-autentikaciju moramo kreirati nekog gost usera – tab security, local net user

ja sam proizvoljno usera nazvao Pero i odredio da će se on autenticirati samo na SSID net4u, vi ćete tu staviti naravno ssid za goste…

WIFI Troubleshooting

S obzirom da ste svi na vježbama imali problema s povezivanjem AP-a i WLC-a kada su bili u različitim subnetima, a da se nitko osim Filipa Domislovića nije potrudio napraviti bilo kakav suvisli troubleshooting (već ste samo zaključili da to ne radi, a to nije inženjerski pristup!!!), ovdje vam izlažem i taj dio kako ne bi svi popadali na ispitu:
1. Debug s AP-a:
Žuto sam vam označio najbitnije iz debug-a
– Prvo možete vidjeti da AP dobije od DHCP-a (koji je na routeru) ip adresu iz pool-a za AP, ja sam stavio da je to mreža 192.168.10.0/24
– Nakon toga vidite drugo što sam označio sa žutim, AP pokušava pronaći WLC da uspostave CAPWAP. I tu dolazimo do ključne stvari na kojoj ste svi osim Filipa pali!
– AP ima svoj algoritam koji provodi čak 5 koraka u pokušaju pronalaska WLC-a:
– Ako su na istom segmetu (dakle isti vlan) onda će se pronaći bez problema tako što će AP poslati broadcast upit tražeći da mu se javi WLC i ovaj će mu odgovoriti s unicast porukom i uspostavit će tunel
– Ako se nalaze u različitim segmentima onda se AP i WLC ne mogu pronaći na taj način kroz broadcast poruke, nego AP mora imati ili statički definiranu adresu WLC-a, ili mora koristiti u DHCP serveru option 42, ili mora na routeru biti podignut dns server da AP može resolvati po imenu ili možete najjednostavnije napraviti DHCP relay kako bi prosliedili broadcast upit u drugu mrežu prema WLC-u.
– Ako ništa od navedenog niste napravili na vašem routeru onda imate problem kojeg ste svi imali na vježbama da AP ne može pronaći WLC….a evo sada i slike da vidite sve ovo napisano:

Kao što vidite ako ste u dhcp pool za AP postavili dns 8.8.8.8 onda će vaš AP preko google dns-a pokušati resolvati WLC po nazivu „CISCO-CAPWAP-CONTROLLER“ i to naravno neće proći….
Nakon toga AP javlja da nije mogao pronaći WLC i šalje dhcp-u zhtjev za novom ip adresom kako bi ponovo pokušao pronaći WLC, vidite da je moj AP sada dobio novu adresu 192.168.10.4 (gore je imao 192.168.10.3) i tako to ide u nedogled…to je odgovor vama koji ste me na vježbama pitali zašto AP svaku minutu dobije novu ip adresu…sad znate i taj odgovor
Ovaj „problem“ možete riješiti na 4 različita načina kako sam vam gore napisao, a najjednostavniji je da postavite dhcp relay na routeru za što vam trebaju dvije komande:
Router (config-if)#interface f0/0.10
ip helper-address 192.168.2.1
S ovom naredbom ste omogućili da virtualni interfejs (gtw od AP-a) prosljeđuje broadcast upite AP-a točno prema adresi WLC-a (192.168.2.1 je u mom primjeru adresa WLC-a, vi ćete tu staviti ip adresu vašeg WLC-a tj. management interface-a na WLC-u)
Router (config)#ip forward-protocol udp 5246
S ovom naredbom ste eksplicitno omogućili routeru da prosljeđuje udp pakete po portu 5246 što je port CAPWAP tunela.
I to je to…..sada će AP bez problema pronaći WLC jer će njegov upit stići do WLC-a i dobit će odgovor te će podići capwap tunnel….evo i slike za taj dio žuto

AKO STE SVE OVO USPJEŠNO NAPRAVILI UPRAVO STE PROŠLI ISHOD 3….A SAD SLIJEDI
ISHOD 4
Važna napomena – bez uspješno riješenog Ishoda 3 nije moguće položiti Ishod 4 jer se jedno na drugo nadovezuje!!!
1. Cisco Clean Air
Potrebno je konfigurirati ovaj feature pomoću kojeg će WLC izraditi report o interferenciji a vi ćete na ispitu odgovoriti na neka pitanja koja ćete iščitati iz tog report-a:
Konfiguracija je jednostavna, pod tabom – wireless – u lijevom kutu 802.11 b/g/n (a/n/ac ne trebate za ispit) – odaberete cisco clean air
Označite sve kvačice da enablate stavke i ubacite sve parametre za detekciju interferencije

Ovako izgleda u monitoring sustavu nakon što se konfa clean air (treba mu malo vremena da pokaže prva izvješća, tako da odgovarajte na druga pitanja dok se za cca 5 min ne pokaže prvo izvješće)!

Ovako izgleda sam graf nakon što odaberete izvještaj kojeg želite pogledati

2. Slijedi drugi dio testa sa pitanjima gdje trebate mijenjati kanal i snagu emitiranja signala te usporediti neke vrijednosti…
Ovako se ručno ulazi u konfiguraciju AP kroz wlc i postavljaju custom parameti, kada se mišem pozicionirate na ovu strjelicu desno žuto ponudit će vam se „configure“:

Ovo što sam zažutio su parametri koje ručno možete mijenjati, po defaultu sve wlc radi automatski ali u zadatku će se tražiti da ručno promijenite kanal i snagu emitiranja samo za 802.11 b/g/n!

Također, tražit će se od vas da nakon što promijenite snagu napišete i izračunate u dBm i mW za koliko se dogodila promjena, evo primjera (snagu emitiranja možete pronaći u početnom monitoringu, ne advanced, pod tabom acess points, žuto i tu vrijednost pretvorite u mW, odnosit će se samo na 2.4 GHz):

3. NetSpot
Također dio prikaza (mjerenja) ćete odraditi s alatom NetSpot (svi ga možete skinuti doma na svoja računala https://www.netspotapp.com/netspotpro.html i isprobati, jako je jednostavan za koristiti). Na ispitu će vas sve čekati već pripremljeno tako da nećete gubiti vrijeme na instalacije.
A evo i prikaza gdje se lijepo vidi razlika u signalu kada sam mijenjao snagu emitiranja signala, u ovom manjem prozoru žuta linija označava moju mrežu net4u u odnosu na druge, ovdje možete vidjeti kako se moj signal preklapa sa drugima, a pogotovo kada sam smanjio snagu emitiranja možete vidjeti prekid žute linije i pad s -38 dB na -50 dB što je velika razlika i utječe na perfomanse, nešto slično tome ćete i vi na ispitu napraviti i testirati:

hostnamectl set-hostname glusterX.szpp.local
/etc/hosts
gluster17.szpp.local 10.10.7.117
gluster18.szpp.local 10.10.7.118

Napravite instalaciju potrebnih paketa i repozitorija, ugasiti firewall i prebaciti SELinux u permissive mod
yum –y update
yum -y install centos-release-gluster37
wget –O /etc/yum.repos.d/gluster.repo http://bit.ly/2ror0PO
ili puni link https://download.gluster.org/pub/gluster/glusterfs/3.7/LATEST/EPEL.repo/glusterfs-epel.repo)
rpm –ivh http://bit.ly/1L5Ikxb
ili puni link https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm)
yum –y update
yum –y install glusterfs glusterfs-cli glusterfs-libs glusterfs-server samba
systemctl disable firewalld.service
systemctl stop firewalld.service
setenforce 0

Napraviti konfiguraciju drugog diska za korištenje u gluster filesystemu:
pvcreate /dev/sdb
vgcreate vg_cluster /dev/sdb
lvcreate –L 5G –n brick1 vg_cluster
lvcreate –L 5G –n brick2 vg_cluster
mkfs.xfs /dev/vg_cluster/brick1
mkfs.xfs /dev/vg_cluster/brick2
mkdir –p /bricks/brick1
mkdir –p /bricks/brick2
mount /dev/vg_cluster/brick1 /bricks/brick1
mount /dev/vg_cluster/brick2 /bricks/brick2
Time smo napravili LVM konfiguraciju sa volume grupom koja se zove vg_cluster, u kojoj smo napravili dva logička volumena od 5GB, imena brick1 i brick2, koje smo formatirali sa XFS filesystemom i montirali ih u direktorije /bricks/brick1 i /bricks/brick2

/etc/fstab
/dev/vg_cluster/brick1 /bricks/brick1 xfs defaults 0 0
/dev/vg_cluster/brick2 /bricks/brick2 xfs defaults 0 0

mount –a

/etc/sysconfig/selinux
umjesto linije SELINUX=enforcing stavite SELINUX=disabled
Opcija će postati aktivna nakon idućeg restarta servera

systemctl enable glusterd.service
systemctl start glusterd.service

gluster peer probe gluster17.szpp.local

gluster peer status

mkdir /bricks/brick1/brick

gluster volume create glustervol1 replica 2 transport tcp gluster17.szpp.local:/bricks/brick1/brick gluster18.szpp.local:/bricks/brick1/brick

gluster volume start glustervol1
gluster volume info all

Konfiguracija CIFS prustupa gluster clusteru
yum –y install samba samba-client samba-common samba-vfs-glusterfs selinux-policy-targeted
systemctl start smb.service
systemctl enable smb.service
systemctl start nmb.service
systemctl enable nmb.service

/etc/samba/smb.conf
Na kraj dodati:
kernel share modes = No

gluster volume set glustervol1 stat-prefetch off
gluster volume set glustervol1 server.allow-insecure on
gluster volume set glustervol1 storage.batch-fsync-delay-usec 0

/etc/glusterfs/glusterd.vol
u konfiguracijski dio (među opcije), dodajte:
option rpc-auth-allow-insecure on

systemctl restart smb.service
systemctl restart nmb.service
systemctl restart glusterd.service

adduser sambauser
smbpasswd –u sambauser
setfacl –m d:u:sambauser:rwx /bricks/brick1/brick
setfacl –m u:sambauser:rwx /bricks/brick1/brick

Konfiguracija je gotova. Pokušajte se sa svojeg Windows klijenta spojiti na vaš gluster share.
Primjera radi, ako ste koristili gluster17.szpp.local koji ima adresu 10.10.7.117, podignite
Windows Explorer i u njemu u adresni prostor napišite:
\\10.10.7.117\gluster-glustervol1

http://thehackernews.com/2015/10/ransomware-decryption-tool.html

http://blog.ittoby.com/2013/06/windows-2012-nap-nps-with-dhcp.html
https://mizitechinfo.wordpress.com/2013/08/21/step-by-step-deploy-dfs-in-windows-server-2012-r2/
https://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx

CA uloga

• ad cs
• certification authority
• cert auth web enrollment
• online responder

• security

• client certificate mapping authentication
• iis slient certification mapping authentication

Konfiguracija autoriteta

• configure active directory certificate services on the srv
  • certification authority
  • cert auth web enrollment
  • online responder
    • enterprise, root ca
    • create private key
    • rsa sha1

Online responder – klijentima pruža informacije o opozvanim certifikatima na osnovi CRL liste. odgovori koji se saljju klijentu moraju biti potpisani certifikatom (izdajemo ga na temelju predlozaka za OCSP protokol)

• Certification Authority konzola
  • certificate temlates – manage
    • ocsp response signing – properties – security
      • add – object types = computer + serverdc
      • autoenroll i enroll
  • certificate templates – new – certificate template to issue
    • ocsp response signing

Certifikat za IIS poslužitelj – IIS poslužitelj na kojem se nalazi online responder mora imati odgovoarajući certifikat – izdajemo ga na osnovu predložaka (koji ćemo prvo konfigurirati)

• Certification Authority konzola
  • certificate templates – manage (konfiguracija)
    • web server – properties – security
      • add – object types = computer + serverdc
      • enroll
    • web server – duplicate template
      • template display name = SERVERDC-IIS-CERT
      • publich certificate in Active Directory
      • security + server dc + enroll + autoenroll
      • superseded templates + add + web server
  • certificate templates – (izdavanje) – new – certificate template to issue
    • serverdc-iis-cert

IIS konfiguracija – na IIS poslužitelju certifikat asociramo s odgovarajućim web servisom

– izrada certifikata za cijelu domenu:

• IIS manager + serverdc
  • server certificates + create domain certificates
    • common name: serverdc.racunarstvo.edu
    • organization: racunarstvo.edu
    • OU: coreServeri; zg, zg, hr
  • specify online cert auth: select + serverdc
  • friendy name = serverdc.racunarstvo.edu
• – SSL kriptiranje komunkacije za web servise IIS servera
  • sites + default web sites
    • edit bindings + add
      • type= https
      • ssl certificate = serverdc.racunarstvo.edu
    • certSrv
      • ssl setting + require ssl +apply

Konfiguracija mehanizma za opoziv certifikata

• online responder + revocation configuration + add revocation configuration
  • name = SERVERDC-CA-REV
  • select a certificate for an existing enterprise ca
  • browse ca certificates published in AD + SERVER DC
  • automatically select a signing cetificate + autoenroll

Pristup preko web wervisa preko kojeg klijent moze zatraziti certifikat:

https://serverdc/certsrv

ili preko mmc konzole

• file + add/remove snap-in
  • certificates + add
    • certificates + personel + all task + request new certificate + nextalica

Opoziv certifikata

• certificate authority konzola
• issued certificates (select cert) – all task – revoke certificate (reason hold – certificate hold)
• revoked certificate – all tasks + publish

Automatsko izdavanje certifikata

– prvo konfigurirati predlozak za usera

• certificate tempaltes + manage
  • user + duplicate template
    • template display name = OSMIS korisnici + publsh….
    • security – domain users + enroll + autoenroll
    • subject mail – e-mail name iskljuciti

– predlozak za racunalo

• certificate tempaltes + manage
  • computer
    • template display name = OSMIS racunala + publish….
    • security – domain computers + enroll + autoenroll

– izdavanje stvorenh predlozaka

• certification authority + certificate templates + new certificate template to issue
  • osmis racunala i osmis korinsici

– povezivanje predlozaka s korisnicima i racunalima preko GPa

• gp managemet + racunarstvo.edu + create…. and link it here
  • name = certifikati + edit
    • comp conf + policies + windows setting + publik key policies + certificate services client – auto -enrollment + enabled
      • renew expired…..
      • update….

EFS

new folder + properties + sharing + advanced sharing + share this folder + permission + full permissions

• račun za povrat podataka
  • group policy management + racunarstvo.edu + certifikati (gore kreirani) + edit
    • comp conf + policy + wind settings + security settings + public key policies – encrypting file system + create data recovery agent + gpupdte/force

Backup baze certifikata

• certification authority – server dc – all task + backup ca
  • item to backup = private key and ca certifikate + cert database + log
    • path

NAP – DHCP
NAP – zaduzen za provjeru zdravlja klijenta koji se zele spojiti na domensku mrezu – ovisno o zdravlju, NAM će dopustiti pristup mrezi, potpuno izolirati klijenta ili mu dopustiti pristup smo najnuznijim resursima. zdravlje klijenta se određuje prema nekoliko kategorija

• windows firewall – ukljucen na svim mreznim vezama i na svim profilima
• antivirus – ukljucen i instaliran s najnovijim definicijama
• antisypware aplikacija – isto kao antivirus
• windows azuriranja – instalirana azuriranja operacijskog sustava – moguce je odrediti i vrstu azuriranja koja nuzno mra biti instalirana (npr kriticne sigurnosne nadogradnje)

Klijenti koji od DHCP servera traze tcp/ip postavke moraju zadovoljiti uvijete nametnute NAP kriterijima – ako ne zadovlje, dhcp server ce klijentu polati postvake koje ce mu nemoguciti komunikaciju s ostalim racunalima na mrezi (npr. mreznu masku 255.255.255.255 – ip adresa bez klase) – ova vrrsta napa je najlaksa za konfiguraciju i ne zahtijeva certifikacijske servise – klijentima se eventualno moze dopustiti pristup nuznim resursima (npr serveru s javnim dijeljenm mapama) dok ne isprave propust u zdravstvenom stanju

• osnovna konfguracija
  • dodat ćemo grupu koja ce poslužiti za smještaj računala koja podliježu nap provjeri
    • OU racunala + new group (domain local) + properties + add cli1
  • na cli1 – mrezne postavke=dhcp + firewall off

instalacija i konfiguracija potrebnih uloga (dc)

• add role = network policy and access services (dhcp instaliran od prije)

konfiguracija nap-a

• network policy server -> nps local -> configre nap
  • network connection method = dhcp
  • policy name = OSMIS
  • nextalica + finish

konfiguracija sigurnosno – zdravstvenih uvijeta za nap klijente

• network access protection -> system health validators -> windows security health validator + settings + new
  • friendly name = firewall
    • windows security health validator- iskljuciti sve osim firewalla

asocijacija vatrozida sa nap postavkama

• policies -> helath policies
  • osmis compliant
    • clinet passes one or more SHV checks
    • setting = firewall
  • osmis noncompliant
    • clinet failes one or more SHV checks
    • setting = firewall

asocijacija nap postavki s dhcp posluziteljem

• dhcp -> ipv4 -> scope propertis -> network access protection
  • enable for this scope
  • use custom profile (profil name = osmis)

definicija posebnih opcija koje ce koristiti izolirani klijenti:

• dhcp -> policies -> new policy
  • policy name=osmis
  • add
    • criteria = user class
    • operator= equals
    • value= default network protection class
  • no (configure setting for the policy)
  • 015 dns domain name
  • string name = izolacija.racunarstvo.edu

NAP postavke moramo preko Group Policyja povezati s računalima. GP objekt postavljamo na organizacijsku jedinicu Racunala. Budući da ta organizacijska jedinica sadržava i poslužitelj SERVER1, primijenit ćemo sigurnosni filtar (sjetite se kolegija AOS) na grupu NAP_Racunala koju smo izradili na početku vježbe. Tako smo povezali NAP postavke samo s računalima u grupi NAP_Racunala, a ne sa svim računalima unutar organizacijske jedinice. Jednako ćemo tako u ovom koraku konfigurirati i tekst poruke koju će NAP servis prikazati korisnicima čija računala ne zadovoljavaju sigurnosne kriterije.

• group policy management  + racunala + create a gpo….. name= nap_dhcp + edit
  • Computer Configuration-> Policies-> Windows Settings-> Security Settings-> Network Access Protection-> NAP Client Configuration + enforcement clients
    • DHCP Quarantine Enforcement Client + enable
    • User Interface Settings  + ser interface
      • title = obavijest admina
      • description = U tijeku je konfiguracija vašeg računala
  • nap_dhcp
    • security filtering
    • remove authenticated users
    • add NAPgrupa
  • gpupdate /force

klijentski nap servis

• services.msc
  • Network Access Protection Agent + start

pristup nuznim servisima – dc

• Network Policy Server + policies + network policies + OSMIS Non NAP-Capable
  • settings + nap enforcement + configure
    • new group
    • add server dc + resolve
  • OSMIS Noncompliant
    • settings + nap enforcement + configure + domenski sevisi

automatsko uskladivanje s nap zahtijevima

• privremeno onemoguciti nap da bi klijent mogao primijeniti gp postavke
• dhcp + raspon + propertis + network access protection + use default nap profile + apply + disable for this scope + apply

Sada možemo preko Group Policyja konfigurirati NAP klijentski servis koji će automatski usuglasiti računalo s NAP stavkama, ali i prikazati poruku koju smo u prethodnoj cjelini konfigurirali za prikaz korisnicima. Iako smo u prethodnoj cjelini taj servis uključili na računalu CLI1, to nije dovoljno. NAP će provjeravati veliki broj računala u produkcijskom okruženju i svako od njih mora imati uključen pripadajući servis.

Group Policy Management Editor konzola. Proširite mapu Computer Configuration-> Policies-> Windows Settings-> Security Settings-> System Services. + nap + enable

ponovno ukljucivanje dhcp nap:

• enable for this scope(vidi gore)
• use osmis

 DFS

add role – DFS namespace i DFS replication (na 2 servera)

• DFS Management
  • Namesapce -> New namespace
  • NAmespace server = “SERVER1”
  • NAmespace NAme and settings -> ime poslovanje,
    • Edit settings – Administrators have full access; other users
      have read-only permissions
    • next, next create
  • proširite Namespaces
    • desnim gumbom miša  \\racunarstvo.edu\Poslovanje  -> Add Namespace Server -> dodati SERVERDC
      • desni klik na \\racunarstvo.edu\Poslovanje-> Properties
        • Advanced tab -> Uključite opciju Enable access-based enumeration for this namespace
    • desnim gumbom miša kliknite na \\racunarstvo.edu\Poslovanje i iz
      kontekstualnog izbornika odaberite opciju New Folder.
    • Prikazuje se New Folder ekran. U polje Name upišite Arhiva.
    • Add -> Add Folder Target ekran. Kliknite gumb Browse.
      • Prikazuje se Browse for Shared Folders ekran. Kliknite gumb New Shared Folder.
      • Prikazuje se Create Share ekran. Postavite opcije:
        a. Share name: upišite Arhiva
        b. Local path of shared folder: upišite C:\DFS_Shares\Arhiva
        c. Shared folder permissions: označite opciju Use custom permissions i kliknite gumb Customize -> Prikazuje se ekran Permissions for Arhiva. Grupi Everyone dodijelite Full Control
        dozvolu i kliknite gumb OK

• next, next, ok

• Desni klik na mape -> replicate folder
  • potrebne dvije mape -> dodati mapu sa drugog servera
• Nakon što smo uspješno povezali dvije mape na različitim poslužiteljima, konfiguriramo replikaciju:
  1. Prikazuje se ekran Replicated Group and Replicated Folder Name. U polje Replication group
  name upišite REP_Arhiva i kliknite gumb Next.
  2. Prikazuje se ekran Replication Eligibility. On prikazuje poslužitelje s kojih je moguće  replicirati mapu. Kliknite gumb Next.
  3. Prikazuje se ekran Primary member. Iz izbornika odaberite SERVER1 i kliknite gumb Next.
  4. Prikazuje se ekran Topology Selection. Odaberite stavku Full Mesh i kliknite gumb Next.
  Naglasimo da je Hub-spoke topologija nedostupna jer zahtijeva najmanje tri poslužitelja.
  5. Prikazuje se ekran Replication Group Schedule and Bandwith. Ostavite predefinirane opcije i
  kliknite gumb Next.
  6. Prikazuje se sažetak odabranih opcija. Kliknite gumb Create.
  7. Pričekajte dok se replikacijska topologija ne uspostavi. Možebitne pogreške pri izradi topologije prikazuju se na kartici Errors.
  8. Kliknite gumb Close.
  9. Prikazuje se informacija o mogućem kašnjenju replikacije. Označite opciju Do not show this again i kliknite gumb OK.
  10. Minimizirajte DFS Management konzolu.

Tko želi isprobati evo upute:
http://windows.microsoft.com/en-us/windows/preview-download?ocid=tp_site_downloadpage

Part 1:

Part2: