http://blog.ittoby.com/2013/06/windows-2012-nap-nps-with-dhcp.html
https://mizitechinfo.wordpress.com/2013/08/21/step-by-step-deploy-dfs-in-windows-server-2012-r2/
https://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx
CA uloga
- ad cs
- certification authority
- cert auth web enrollment
- online responder
- security
- client certificate mapping authentication
- iis slient certification mapping authentication
Konfiguracija autoriteta
- configure active directory certificate services on the srv
- certification authority
- cert auth web enrollment
- online responder
- enterprise, root ca
- create private key
- rsa sha1
Online responder – klijentima pruža informacije o opozvanim certifikatima na osnovi CRL liste. odgovori koji se saljju klijentu moraju biti potpisani certifikatom (izdajemo ga na temelju predlozaka za OCSP protokol)
- Certification Authority konzola
- certificate temlates – manage
- ocsp response signing – properties – security
- add – object types = computer + serverdc
- autoenroll i enroll
- ocsp response signing – properties – security
- certificate templates – new – certificate template to issue
- ocsp response signing
- certificate temlates – manage
Certifikat za IIS poslužitelj – IIS poslužitelj na kojem se nalazi online responder mora imati odgovoarajući certifikat – izdajemo ga na osnovu predložaka (koji ćemo prvo konfigurirati)
- Certification Authority konzola
- certificate templates – manage (konfiguracija)
- web server – properties – security
- add – object types = computer + serverdc
- enroll
- web server – duplicate template
- template display name = SERVERDC-IIS-CERT
- publich certificate in Active Directory
- security + server dc + enroll + autoenroll
- superseded templates + add + web server
- web server – properties – security
- certificate templates – (izdavanje) – new – certificate template to issue
- serverdc-iis-cert
- certificate templates – manage (konfiguracija)
IIS konfiguracija – na IIS poslužitelju certifikat asociramo s odgovarajućim web servisom
– izrada certifikata za cijelu domenu:
- IIS manager + serverdc
- server certificates + create domain certificates
- common name: serverdc.racunarstvo.edu
- organization: racunarstvo.edu
- OU: coreServeri; zg, zg, hr
- specify online cert auth: select + serverdc
- friendy name = serverdc.racunarstvo.edu
- server certificates + create domain certificates
- – SSL kriptiranje komunkacije za web servise IIS servera
- sites + default web sites
- edit bindings + add
- type= https
- ssl certificate = serverdc.racunarstvo.edu
- certSrv
- ssl setting + require ssl +apply
- edit bindings + add
- sites + default web sites
Konfiguracija mehanizma za opoziv certifikata
- online responder + revocation configuration + add revocation configuration
- name = SERVERDC-CA-REV
- select a certificate for an existing enterprise ca
- browse ca certificates published in AD + SERVER DC
- automatically select a signing cetificate + autoenroll
Pristup preko web wervisa preko kojeg klijent moze zatraziti certifikat:
ili preko mmc konzole
- file + add/remove snap-in
- certificates + add
- certificates + personel + all task + request new certificate + nextalica
- certificates + add
Opoziv certifikata
- certificate authority konzola
- issued certificates (select cert) – all task – revoke certificate (reason hold – certificate hold)
- revoked certificate – all tasks + publish
Automatsko izdavanje certifikata
– prvo konfigurirati predlozak za usera
- certificate tempaltes + manage
- user + duplicate template
- template display name = OSMIS korisnici + publsh….
- security – domain users + enroll + autoenroll
- subject mail – e-mail name iskljuciti
- user + duplicate template
– predlozak za racunalo
- certificate tempaltes + manage
- computer
- template display name = OSMIS racunala + publish….
- security – domain computers + enroll + autoenroll
- computer
– izdavanje stvorenh predlozaka
- certification authority + certificate templates + new certificate template to issue
- osmis racunala i osmis korinsici
– povezivanje predlozaka s korisnicima i racunalima preko GPa
- gp managemet + racunarstvo.edu + create…. and link it here
- name = certifikati + edit
- comp conf + policies + windows setting + publik key policies + certificate services client – auto -enrollment + enabled
- renew expired…..
- update….
- comp conf + policies + windows setting + publik key policies + certificate services client – auto -enrollment + enabled
- name = certifikati + edit
EFS
new folder + properties + sharing + advanced sharing + share this folder + permission + full permissions
- račun za povrat podataka
- group policy management + racunarstvo.edu + certifikati (gore kreirani) + edit
- comp conf + policy + wind settings + security settings + public key policies – encrypting file system + create data recovery agent + gpupdte/force
- group policy management + racunarstvo.edu + certifikati (gore kreirani) + edit
Backup baze certifikata
- certification authority – server dc – all task + backup ca
- item to backup = private key and ca certifikate + cert database + log
- path
- item to backup = private key and ca certifikate + cert database + log
NAP – DHCP
NAP – zaduzen za provjeru zdravlja klijenta koji se zele spojiti na domensku mrezu – ovisno o zdravlju, NAM će dopustiti pristup mrezi, potpuno izolirati klijenta ili mu dopustiti pristup smo najnuznijim resursima. zdravlje klijenta se određuje prema nekoliko kategorija
- windows firewall – ukljucen na svim mreznim vezama i na svim profilima
- antivirus – ukljucen i instaliran s najnovijim definicijama
- antisypware aplikacija – isto kao antivirus
- windows azuriranja – instalirana azuriranja operacijskog sustava – moguce je odrediti i vrstu azuriranja koja nuzno mra biti instalirana (npr kriticne sigurnosne nadogradnje)
Klijenti koji od DHCP servera traze tcp/ip postavke moraju zadovoljiti uvijete nametnute NAP kriterijima – ako ne zadovlje, dhcp server ce klijentu polati postvake koje ce mu nemoguciti komunikaciju s ostalim racunalima na mrezi (npr. mreznu masku 255.255.255.255 – ip adresa bez klase) – ova vrrsta napa je najlaksa za konfiguraciju i ne zahtijeva certifikacijske servise – klijentima se eventualno moze dopustiti pristup nuznim resursima (npr serveru s javnim dijeljenm mapama) dok ne isprave propust u zdravstvenom stanju
- osnovna konfguracija
- dodat ćemo grupu koja ce poslužiti za smještaj računala koja podliježu nap provjeri
- OU racunala + new group (domain local) + properties + add cli1
- na cli1 – mrezne postavke=dhcp + firewall off
- dodat ćemo grupu koja ce poslužiti za smještaj računala koja podliježu nap provjeri
instalacija i konfiguracija potrebnih uloga (dc)
- add role = network policy and access services (dhcp instaliran od prije)
konfiguracija nap-a
- network policy server -> nps local -> configre nap
- network connection method = dhcp
- policy name = OSMIS
- nextalica + finish
konfiguracija sigurnosno – zdravstvenih uvijeta za nap klijente
- network access protection -> system health validators -> windows security health validator + settings + new
- friendly name = firewall
- windows security health validator- iskljuciti sve osim firewalla
- friendly name = firewall
asocijacija vatrozida sa nap postavkama
- policies -> helath policies
- osmis compliant
- clinet passes one or more SHV checks
- setting = firewall
- osmis noncompliant
- clinet failes one or more SHV checks
- setting = firewall
- osmis compliant
asocijacija nap postavki s dhcp posluziteljem
- dhcp -> ipv4 -> scope propertis -> network access protection
- enable for this scope
- use custom profile (profil name = osmis)
definicija posebnih opcija koje ce koristiti izolirani klijenti:
- dhcp -> policies -> new policy
- policy name=osmis
- add
- criteria = user class
- operator= equals
- value= default network protection class
- no (configure setting for the policy)
- 015 dns domain name
- string name = izolacija.racunarstvo.edu
NAP postavke moramo preko Group Policyja povezati s računalima. GP objekt postavljamo na organizacijsku jedinicu Racunala. Budući da ta organizacijska jedinica sadržava i poslužitelj SERVER1, primijenit ćemo sigurnosni filtar (sjetite se kolegija AOS) na grupu NAP_Racunala koju smo izradili na početku vježbe. Tako smo povezali NAP postavke samo s računalima u grupi NAP_Racunala, a ne sa svim računalima unutar organizacijske jedinice. Jednako ćemo tako u ovom koraku konfigurirati i tekst poruke koju će NAP servis prikazati korisnicima čija računala ne zadovoljavaju sigurnosne kriterije.
- group policy management + racunala + create a gpo….. name= nap_dhcp + edit
- Computer Configuration-> Policies-> Windows Settings-> Security Settings-> Network Access Protection-> NAP Client Configuration + enforcement clients
- DHCP Quarantine Enforcement Client + enable
- User Interface Settings + ser interface
- title = obavijest admina
- description = U tijeku je konfiguracija vašeg računala
- nap_dhcp
- security filtering
- remove authenticated users
- add NAPgrupa
- gpupdate /force
- Computer Configuration-> Policies-> Windows Settings-> Security Settings-> Network Access Protection-> NAP Client Configuration + enforcement clients
klijentski nap servis
- services.msc
- Network Access Protection Agent + start
pristup nuznim servisima – dc
- Network Policy Server + policies + network policies + OSMIS Non NAP-Capable
- settings + nap enforcement + configure
- new group
- add server dc + resolve
- OSMIS Noncompliant
- settings + nap enforcement + configure + domenski sevisi
- settings + nap enforcement + configure
automatsko uskladivanje s nap zahtijevima
- privremeno onemoguciti nap da bi klijent mogao primijeniti gp postavke
- dhcp + raspon + propertis + network access protection + use default nap profile + apply + disable for this scope + apply
Sada možemo preko Group Policyja konfigurirati NAP klijentski servis koji će automatski usuglasiti računalo s NAP stavkama, ali i prikazati poruku koju smo u prethodnoj cjelini konfigurirali za prikaz korisnicima. Iako smo u prethodnoj cjelini taj servis uključili na računalu CLI1, to nije dovoljno. NAP će provjeravati veliki broj računala u produkcijskom okruženju i svako od njih mora imati uključen pripadajući servis.
Group Policy Management Editor konzola. Proširite mapu Computer Configuration-> Policies-> Windows Settings-> Security Settings-> System Services. + nap + enable
ponovno ukljucivanje dhcp nap:
- enable for this scope(vidi gore)
- use osmis
DFS
add role – DFS namespace i DFS replication (na 2 servera)
- DFS Management
- Namesapce -> New namespace
- NAmespace server = “SERVER1”
- NAmespace NAme and settings -> ime poslovanje,
- Edit settings – Administrators have full access; other users
have read-only permissions - next, next create
- Edit settings – Administrators have full access; other users
- proširite Namespaces
- desnim gumbom miša \\racunarstvo.edu\Poslovanje -> Add Namespace Server -> dodati SERVERDC
- desni klik na \\racunarstvo.edu\Poslovanje-> Properties
- Advanced tab -> Uključite opciju Enable access-based enumeration for this namespace
- desni klik na \\racunarstvo.edu\Poslovanje-> Properties
- desnim gumbom miša kliknite na \\racunarstvo.edu\Poslovanje i iz
kontekstualnog izbornika odaberite opciju New Folder. - Prikazuje se New Folder ekran. U polje Name upišite Arhiva.
- Add -> Add Folder Target ekran. Kliknite gumb Browse.
- Prikazuje se Browse for Shared Folders ekran. Kliknite gumb New Shared Folder.
- Prikazuje se Create Share ekran. Postavite opcije:
a. Share name: upišite Arhiva
b. Local path of shared folder: upišite C:\DFS_Shares\Arhiva
c. Shared folder permissions: označite opciju Use custom permissions i kliknite gumb Customize -> Prikazuje se ekran Permissions for Arhiva. Grupi Everyone dodijelite Full Control
dozvolu i kliknite gumb OK
- desnim gumbom miša \\racunarstvo.edu\Poslovanje -> Add Namespace Server -> dodati SERVERDC
- next, next, ok
- Desni klik na mape -> replicate folder
- potrebne dvije mape -> dodati mapu sa drugog servera
- Nakon što smo uspješno povezali dvije mape na različitim poslužiteljima, konfiguriramo replikaciju:
1. Prikazuje se ekran Replicated Group and Replicated Folder Name. U polje Replication group
name upišite REP_Arhiva i kliknite gumb Next.
2. Prikazuje se ekran Replication Eligibility. On prikazuje poslužitelje s kojih je moguće replicirati mapu. Kliknite gumb Next.
3. Prikazuje se ekran Primary member. Iz izbornika odaberite SERVER1 i kliknite gumb Next.
4. Prikazuje se ekran Topology Selection. Odaberite stavku Full Mesh i kliknite gumb Next.
Naglasimo da je Hub-spoke topologija nedostupna jer zahtijeva najmanje tri poslužitelja.
5. Prikazuje se ekran Replication Group Schedule and Bandwith. Ostavite predefinirane opcije i
kliknite gumb Next.
6. Prikazuje se sažetak odabranih opcija. Kliknite gumb Create.
7. Pričekajte dok se replikacijska topologija ne uspostavi. Možebitne pogreške pri izradi topologije prikazuju se na kartici Errors.
8. Kliknite gumb Close.
9. Prikazuje se informacija o mogućem kašnjenju replikacije. Označite opciju Do not show this again i kliknite gumb OK.
10. Minimizirajte DFS Management konzolu.