projekt_final_ny by xiaopangnv

VIEWS: 12 PAGES: 105

									                SYDDANSK ERHVERVSSKOLE, VEJLE




Svendeforløbs Projekt
                           Rapport
Alexander Green, Dan Valentin, Daniel Davidsen og Zaid Mohammad Ali.

                            01-09-2011
2011    Svendeforløbs projekt



       Indholdsfortegnelse


       Problemformulering ................................................................................. 4

       Topologi ................................................................................................. 5

       Forefront TMG ........................................................................................ 6

         Netværksopsætning .............................................................................. 9

         Regler og policies ................................................................................11

         Oprettelse af en Access Rule .................................................................12

         Oprettelse af en Non-Web Server ..........................................................15

         Overvågning og logging ........................................................................17

       Domain Controller ..................................................................................18

         Installation og opsætning af domain Controller ........................................18

           Afinstallering af Active Directory .........................................................24

       Active Directory .....................................................................................25

       Logon Script ..........................................................................................26

       Global Catalog .......................................................................................27

       DNS .....................................................................................................28

       RODC ...................................................................................................28

       Namespace ...........................................................................................29

         Oprettelse af Namespace ......................................................................29

       Active Directory Replication .....................................................................31

         Hvordan spore man Replikering .............................................................32

         Opret Replikation af mapper .................................................................33

       DHCP....................................................................................................37

       Exchange 2010 ......................................................................................41
2011    Svendeforløbs projekt



         Hvad er MX Record ..............................................................................42

           Lidt om tjenesterne ...........................................................................43

           POP3: ..............................................................................................43

         SMTP .................................................................................................43

         IMAP ..................................................................................................44

         Installation af Exchange .......................................................................44

         Trin for trin guide til en vellykket installation ...........................................52

         Post Installation trin for trin ..................................................................53

       DMZ .....................................................................................................60

         Access point .......................................................................................60

         FTP ....................................................................................................61

         TMG regler .........................................................................................62

       System Deployment ...............................................................................66

       Antivirus ...............................................................................................66

       VPN ......................................................................................................66

       Proxy....................................................................................................67

       Grupper og brugere ................................................................................71

         Oprettelse af OU..................................................................................71

         Oprettelse af grupper ...........................................................................73

         Oprettelse af brugere ...........................................................................74

         Oprettelse af de resterende brugere.......................................................78

       Delte mapper ........................................................................................79

       Password politik .....................................................................................80

       RDP politik ............................................................................................82

       Printer løsning .......................................................................................83
2011    Svendeforløbs projekt



         Backup løsning ....................................................................................85

       Server tilbud .........................................................................................86

         Tilbud2 ...............................................................................................88

       Botnet ..................................................................................................90

         Hvad er botnet? ..................................................................................90

         Er det noget man skal tage alvorligt? .....................................................91

         Hvad gør man for at beskytte sig? .........................................................91

       Konklusion ............................................................................................92

       Bilag.....................................................................................................93

         Alexander's Dagbog .............................................................................93

         Dan's Dagbog .....................................................................................97

         Zaid's Dagbog .....................................................................................99

         Daniel's dagbog ................................................................................. 103
2011    Svendeforløbs projekt




       Problemformulering
       Vi har fået til opgave at installere en firewall med tre zoner.

       Det skal indeholde en DHCP server på indersiden, serveren skal fungere som
       print-server, backup-server og fil-server, AD og specifikke brugere skal have
       forskellige rettigheder bl.a. adgang til serveren og diverse drev. Backup og
       filserveren skal beskrives med løsninger og prisforslag.

       De interne klienter skal kunne benytte de mest almene ydelser i deres system.

       Netværket skal sættes op, således at der er 15 brugere. En backup bruger, en
       daglig superbruger, en webadministrator og resten bare almene brugere med
       rettigheder til fx ftp server. Brugerne skal kunne tilgå deres personlige drev,
       gruppe drev osv. Dette bliver tildelt ved hjælp at et script.

       Serverne skal have statiske IP adresser, der skal kunne udgive DHCP
       informationer til klienter på netværket.

       Der skal oprettes en mailserver. Mail skal kunne tilgås internt og eksternt

       Der skal oprettes en DMZ zone som også fungerer som DHCP, webserver og
       ftp server.

       Der skal gives forslag til server hardware, fra flere konkurrenter som man ville
       ude i firmaet.

       Hvis der skulle forekomme tid skal der laves proxyserver og sekundær DNS
       server.

       Alt skal dokumenteres og argumenteres for, således at andre IT supportere vil
       kunne bruge dokumentationen til at vedligeholde samt sætte systemet op på
       samme måde.




                                                                                          4
2011    Svendeforløbs projekt



       Topologi

            87.116.42.4 /27




                                                      Client         Client              10.1.1.10




                                                                                                                                         10.1.1.30
                                  10.1.1.0 /24
                                                                                       AD DC1
                                                                                        DHCP
                                G/W: 10.1.1.1                                           DNS
                                DNS: 10.1.1.10
                              ALT-DNS: 10.1.1.20
                                                                                                                                        Exchange
                          G/W: 10.2.1.1
                         DNS: 83.136.89.6
                            ALT-DNS:
                           83.136.89.4
                TMG
                                                                                       AD DC2
                                                                                        DNS
                                                                                        DHCP
                                                                                       10.1.1.20       Vi bruger DC Replikation med DFS hvis den ene DC svigter
                                                        10.2.1.10                                    Anlæget er splittet op i to Private netværk, en DMZ zone og en
                          10.2.1.0 /24                                                                                             forest.
                                                                                                     Dels fordi vi har en DMZ zone som skal tilgås hjemmefra og for
                                                                                                            at eksterne og interne kan tilgå trådløst netværk.




                                                       DMZ                VPN Client
          10.2.1.20
                                                      DHCP
                                                   FTP (filezilla)
                                                       VPN
                                                       WEB




       Vi har installeret Microsoft Windows Server 2008 standard edition, som basis
       på alle vores "Server maskiner", af simple årsager for at have en standard (for
       ikke at køre med forskellige systemer)




                                                                                                                                                        5
2011    Svendeforløbs projekt



       Forefront TMG
       Installation

       Forefront TMG 2010 skal installeres på serveren med de tre fysiske
       netværkskort og som har et netværkskabel der går videre ud til verden. Da
       Forefront TMG serveren har en forbindelse ud ad til skal den også have en
       public IP-adresse sammen med to andre private og interne adresse ranges.

       Netværkskorts opsætningerne for interfacene WAN, DMZ og LAN ser ud som
       følger:




                                                                                   6
2011    Svendeforløbs projekt



       Setup’en af selve programmet Forefront TMG startes og køres igennem på
       normal vis indtil der skal vælges hvilke adresser der skal inkluderes i
       netværket på den interne side.

       Adresserne der skal bruges ligger i netværkene 10.1.1.0/24 samt 10.2.1.0/24.




       Herefter skal der vælges hvilken netværksmodel der skal bruges til
       netværksscenariet. Mulighederne ses herunder og der vælges 3-leg perimeter
       da netværket har tre netværkskort og er opdelt i et external netværk(WAN),
       perimeter netværk(DMZ) samt et internal netværk(LAN).




                                                                                      7
2011    Svendeforløbs projekt



       Efterfølgende og til slut vil setupen have at vide hvilke af vores netværkskort
       der hører til hvad så den kan definere de forskellige netværks og være sikker
       på hvordan de skal håndteres.

       Herunder hentes netværksindstillinger ind for netværkskortet kaldet WAN som
       først er manuelt defineret i Windows og derefter nemt hentet ind i Forefront
       TMG setupen som her.




                                                                                         8
2011    Svendeforløbs projekt



       Netværksopsætning
       Under punktet "Networking" skal de korrekte IP adresser for hvert
       netværksnavn stå korrekt således at der bliver givet adgang for de korrekte IP
       adresse segmenter når der oprettes regler. Derfor skal der som på
       nedenstående billede indeholder præcise definitioner og IP adresse ranges af
       netværksgrupperne "External", "Internal", "Local Host" samt "Perimiter"

       External = Alle offentlige IP adresser som er ude i verden

       Internal = Det lokale LAN netværk 10.1.1.0 /24

       Local Host = Forefront TMG serveren

       Perimeter = DMZ netværket 10.2.1.0 /24 (Er som standard ikke defineret)




                                                                                        9
2011    Svendeforløbs projekt



       Efter at der er styr på definitionerne af de forskellige IP adresse ranges skal
       der også holdes styr på hvad Forefront TMG serveren skal gøre når den skal
       arbejde på tværs og sende imellem de forskellige netværk.

       De to vigtigste netværksregler som der skal være korrekte for at netværket
       kan fungere optimalt er de to nederste regler kaldet "Internet Access" og
       "Internal to Perimeter Relationship". De skal begge sættes til at operere med
       NAT således at Forefront TMG serveren eksempelvis skjuler en klients private
       IP adresse når den skal ud på nettet og i stedet oversætter den og erstatter
       den med sin egen adresse. I dette tilfælde vil den bruge adressen 87.116.42.4
       til at gå ud på nettet med.

       Internal Access = NAT

       Internal to Perimeter Relationship = NAT (Er som standard sat til at route)




                                                                                         10
2011    Svendeforløbs projekt



       Regler og policies
       Serveren hvori Forefront TMG er installeret skal agere som firewall for resten
       af netværket. Uden Forefront TMG vil alt være åbent på ydersiden da adressen
       87.116.42.4 er ubeskyttet. Derfor vil Forefront TMG programmet, når det er
       installeret på serveren, automatisk indeholde en "Deny all traffic" fra start som
       den eneste regel og man skal derfor selv ind og definere alle regler der skal til
       for at åbne op for de protokoller som man gerne vil have tilladt adgangen til.

       Følgende firewall policies er blevet lavet på Forefront TMG serveren og her er
       der tale om to forskellige typer af policies, nemlig en "Access Rule" og en
       "Non-Web Server", hvor den første har et ikon som en gul nøgle og den anden
       en blå server computer.




                                                                                        11
2011    Svendeforløbs projekt



       I firewall policies er der blevet åbnet op for de protokoller og porte som
       Forefront TMG serveren skal give tilladelse til at passere enten ind eller ud af
       netværket som defineret på ovenstående billede. Blandt noget af det første der
       åbnes op for er HTTP og HTTPS trafik som kører på henholdsvis port 80 og port
       443 så brugere kan gå på internettet ved hjælp af en webbrowser og se
       hjemmesider. Andre protokoller og porte som der også åbnes op for inkluderer
       PING, DNS, FTP, RDP og SMTP trafik på port 25 for at give tilladelse til at
       sende og modtage mails.



       Oprettelse af en Access Rule
       Der trykkes på "Create Access Rule" i punktet "Firewall Policy" og man tildeler
       et navn til sin nye regel.




       Dernæst vælger man om reglen skal tillade eller nægte.




                                                                                         12
2011    Svendeforløbs projekt



       Der udvælges hvilken protokol eller protokoller som reglen skal gælde for.




       Der vælges hvem afsenderen af de definerede protokoller må være.




                                                                                    13
2011    Svendeforløbs projekt



       Der vælges hvem modtageren af de definerede protokoller må være.




       Der vælges hvilke brugere reglen skal gælde for.




       Wizard'en fuldendes og konfigurationen vises i tekst.




                                                                          14
2011    Svendeforløbs projekt



       Oprettelse af en Non-Web Server
       Der trykkes på "Publish Non-Web Server Protocols" i punktet "Firewall Policy"
       og man tildeler et navn til sin nye regel.




       Der vælges hvilken intern server man vil offentliggøre og som der skal peges
       over på når der kommer forespørgsler eksternt fra.




                                                                                       15
2011    Svendeforløbs projekt



       Der vælges hvilken protokol serveren skal bruge. Når der skal offentliggøres en
       server vil den brugte protokol altid være inbound retning og hedde "server".




       Der vælges hvilken IP adresse på Forefront TMG serveren der skal bruges til at
       lytte efter forespørgsler.




       Wizard'en fuldendes og konfigurationen vises i tekst.




                                                                                     16
2011    Svendeforløbs projekt



       Overvågning og logging
       Hvis man i Forefront TMG vil overvåge hvilke protokoller som der bliver sendt
       eller forsøges sendt så inkluderes der en "Logs & Reports" mulighed hvori man
       kan holde styr på alt dette. Øverst til højre kan man klikke på "Start Query" og
       derefter vil den som standard logge alle de forbindelser der går igennem
       Forefront TMG serveren. Der kan også vælges kun at logge og derfor fremvise
       forbindelser på port 80 HTTP protokollen.

       Loggen har tre forskellige farver den opererer med som er sort, grøn og rød,
       hvor den med en sort farve tekst er mere som en information der siger at en
       forbindelse enten er indledt eller lukket, hvor den med grøn fortæller at der er
       blevet tilladt forbindelse og hvor den med rød fortæller at forbindelsen er
       blevet nægtet.

       "Logs & Reports" er derfor et rigtigt fint overvågningsprogram samt perfekt til
       at fejlfinde når en forbindelse for eksempel bliver nægtet adgang.




                                                                                          17
2011    Svendeforløbs projekt



       Domain Controller

       Domain Controlleren" som er hjertet i dette projekt, hvor alting finder sted.

       En Domain Controller er ansvarlig for kontrol af tilladelse for brugere på en
       Windows domæne server. Den anmoder om sikkerhedsgodkendelse fra den
       enkelte bruger, i form af et brugernavn og password. Brugeren har derved
       adgang til en række resurser på serveren.



       Installation og opsætning af domain Controller


       Under ”Start” og ”Kør” taster man ( dcpromo.exe ), hvor efter den loader
       Installations-Wizarden.




       Du får valgmuligheden ”Use advanced mod installation”, som gør at der er et
       par ekstra ting at skulle tage stilling til. Vælger man ikke Advanced mode, vil
       disse ting blive valgt for dig, automatisk.




                                                                                         18
2011    Svendeforløbs projekt




       Klik på ”Next” for at fortsætte.



       På næste billede i guiden, fortæller den at i Windows Server 2008 er
       sikkerheden blevet forøget, og det kan påvirke Ældre versioner af Windows.

       Det vil sige at der er ting i Windows Server 2008, som tidligere versioner af
       Windows ikke understøtter. Så det mest optimale er at køre med server 2008
       eller nyere, hvis man har andre server maskiner, eller lignende.



       Klik på ”Next” for at foresætte.



       Næste billede i guiden, bliver man spurgt om som det første, om man vil
       oprette et nyt domæne i en ny ”Forrest”. Eller om man vil tilføje en domain
       controller, eller oprette et nyt domæne i en eksisterende ”Forrest”




                                                                                       19
2011    Svendeforløbs projekt



       I vores tilfælde skulle der vælges at oprette et nyt domæne i en ny ”Forrest”.



       Klik ”Next” for at fortsætte.



       På næste billede i guiden, skal du definere dit fulde domæne navn.
       Eksempelvis ”sdegr3.dk” som det er i vores tilfælde.




       Klik ”Next” for at fortsætte.



       Har man i starten af ”Installations Wizarden” ikke sat flueben under

       ”Use advanced mode installation”, ville dette billede ikke fremgå. I stedet ville
       computeren genere et ”default” NetBIOS Navn, som dette punkt i installation
       omhandler.)




                                                                                           20
2011    Svendeforløbs projekt



       Næste billede i guiden, bliver du bedt om at definere et NetBIOS navn.
       NetBIOS navnet bliver brugt til at navngive en computer inde på et ”site”, så
       snart computeren går ud på nettet, forsvinder navnet på maskinen. Så det er
       altså kun noget der kan bruges til at lokalisere en computer, på det interne
       netværk.



       Som vist på billede, generere computeren selv et ”default” NetBIOS navn.
       Dette kan ændres til noget andet, hvis man hellere vil tilgå sine resurser
       internt, på et andet navn end domæne-navnet.




       Klik på ”Next” for at fortsætte.



       på det næste billede i guiden bliver du spurgt om hvilket ”Forrest funktional
       level” din DC’er (Domain Controller) skal operere i. Valget står mellem Server




                                                                                        21
2011    Svendeforløbs projekt



       2000, 2003 og Server 2008. Det betyder hvis man vælger at den skal operere i
       server 2000 mode, kan den arbejde sammen med alt fra Windows server 2000
       og opefter, men der ville være ”funktioner”, ”features” og ”Roles” som man
       ikke kan tilføje, eftersom de ikke eksistere i server 2000 systemet. Omvendt
       vælger man at den skal operere i server 2008, kan den ikke arbejde sammen
       med tidligere versioner af Windows Server systemer. Til gengæld vil den kunne
       operere med alle de funktioner, Features og Roles, som server 2008
       indeholder.

       Der er valgt server 2008 mode, i dette senarie.

       Klik ”Next” for at fortsætte



       I guidens næste billede, får man mulighed for at vælge hvordan og hvad ens
       DC skal operere med. Er det den første Domain Controller i et ”forrest”, er
       funktionen ”Global Catalog” dedikeret automatisk og kan ikke fravælges. Igen
       hvis det er den første DC’er, kan RODC (Read Only Domain Controller) ikke
       aktiveres eftersom den ikke har en DC’er som den kan få Replication updates
       fra. Så disse to ”features” er som standard valgt for dig. Man kan så vælge om
       den skal operere som ”DNS server”.




                                                                                    22
2011    Svendeforløbs projekt



       Havde det eksempelvis været nummer to server i rækken, som man installere
       op som DC, kan man fravælge at den skal operere som ”Global Catalog”, efter
       som der i forvejen er en eller flere servere der har ”Global Catalog” i sig.
       yderligere kan man dedikere serveren ”RODC” Rollen.



       klik "Next" for at fortsætte



       Hvis du ikke har tildelt din server en statisk (fast) IP-adresse, vil der dukke et
       vindu op, der fortæller at denne computer køre med en dynamisk (tildelt) IP-
       adresse, og for at DNS'en skal operere optimalt, skal den ha' tildelt en statisk
       IP-adresse på alle netværks kort. I dette tilfælde kun et, som har fået tildelt
       adressen (10.1.1.10).



       Klik "Next" for at fortsætte



       Du vil nu få og vide at denne DNS server ikke kan få tildelt autoritet og ansvar
       for DNS, under "Parent zone", fordi den ikke kan finde en "Parent zone".
       Eftersom det er den første "Domain Controller" der bliver installeret, kan det så
       heller ikke blive tilfældet.



       klik "Yes" for at fortsætte



       Der bliver nu spurgt til hvor placeringen af mapperne, som indeholder
       database, log og SYSVOL filer, for Active Directory Domain Controller skal
       ligge. Som standard ligger mapperne under "C:\Windows\ "

       Dette er ikke ændret i dette senarie.



       Klik ”Next” for at fortsætte




                                                                                            23
2011    Svendeforløbs projekt



       På guidens næste billede, bliver du bedt om at angive et ”Directory Service
       Restore Mode Password”, som er et password der skal opgives under
       afinstallere af Active Directory på maskinen.




       Afinstallering af Active Directory
       For at man kan afinstaller Active Directory, skal man

       genstarte i ”Directory Service Restore Mode (DSRM)” tilstand. Genstarte din
       pc, og tryk på [F8] under startsekvensen. Du vil se følgende muligheder



       -fejlsikret tilstand

       -VGA-tilstand

       -Sidste kendte fungerende

       -Directory Services Restore




                                                                                     24
2011    Svendeforløbs projekt



       Her vælges ”Directory Service Restore mode. Efterfølgende har du mulighed
       for at afinstallere Active Directory, fordi den er sat i offline mode.



       Klik ”Next” for at fortsætte



       Det næste billede i guiden, giver en opsummering af dine valg, til DC’eren.

       Du har mulighed for at eksportere opsætningen af din DC, ud i en tekst fil.

       Den kan evt. bruges til at konfigurere en yderligere Domain Controller.



       Klik ”Next” for at fortsætte

       Guiden vil nu tilføje disse indstillinger til din server, som kan tage nogle
       minutter. Du kan vælge at maskinen skal genstarte automatisk, efter
       processen er færdig.



       Derefter klik på ”Finish”.

       Du har nu installeret en Domain Controller. Eftersom det er den første i
       Domain Controller i en Forest,




       Active Directory
       Active Directory er Microsofts implementering af et netværk objects database.
       Database filen som har navnet NTDS.DIT, ligger under biblioteket SYSVOL. Alle
       "objekter" (brugere, printere, DFS og drev, etc.) er repræsenteret i denne
       database og deres sikkerheds rettigheder er skrevet til denne database.
       Fordelen ved at ha’ et Active Directory, er hvis du eksempelvis har en server til
       at stå i Polen med en printer som man vil tilgå, og ens egen destination er i
       Danmark. Så kan du som bruger på domænet, søge efter en bestemt printer
       på serveren i Polen, og få den tildelt via Active Directory. Vel og mærke hvis
       det er rigtig sat op. Mulighederne i AD’et er f.eks. at oprette OU’er Objekter,
       rettigheder, Politikker og Delte Mapper osv.




                                                                                       25
2011       Svendeforløbs projekt



       Logon Script

       I dette scenarie, er logon-Script oprettet som batch-script, hvor der er brugt
       ”Net Use” kommandoer. Dette batch-script er tilpasset og tildelt via en GPO,
       som ligger i hver af de 5 afdelings OU’er under ”Virksomheds” OU’en. Her er et
       eksempel på et af disse batch-scripts, som er tildelt Produktions afdelingen:



       -

       net use F: \\dc1gr3\Faelles               //Tilkobling af fælles-drev



       net use G: \\dc1gr3\Produktion            //Tilkobling af Afdelings-drev



       net use P: \\dc1gr3\Projektdrev           //Tilkobling af Projekt drev, hvor de
                                                     kan dele oplysninger på tværs
                                                     af afdelingerne.



       net use ltp1: \\dc1gr3\Genericegr3        //Tilkobling af Netværks printer.

       -




                                                                                     26
2011    Svendeforløbs projekt



       Global Catalog

       Global Catalog (Global Katalog), indeholder en komplet kopi af alle objekter i
       Active Directory til sin værts domæne, og indeholder også en delvis kopi af alle
       objekter i Active Directory til alle andre domæner i Forest’en (Skoven).



       Det globale katalog er et distribueret datalager, der indeholder en søgbar,
       delvis gengivelse af hver eneste objekt på alle områder i en multidomain
       Active Directory Domain Services (AD DS) skov. Den globale katalog er gemt
       på domænecontrollere, der er blevet udpeget som den globale katalog servere
       og distribueres gennem MULTIMASTER replikation. Søgninger, der er rettet til
       det globale katalog er hurtigere, fordi de ikke indebærer henvisninger til andet
       domæne controllere.



       Ud over konfiguration og skema bibliotek partition reproduktioner, butikker
       hver domænecontroller i et Windows 2000 Server eller Windows Server 2003
       skov en fuld, skrivbar kopi af et enkelt domæne mappe partition. Derfor kan
       en domænecontroller lokalisere kun de objekter i sit domæne. Søgning efter et
       objekt i et andet domæne ville kræve, at brugeren eller anvendelsen at give
       domæne ønskede objekt.



        Den globale katalog giver mulighed for at lokalisere objekter fra enhver
       domæne uden at skulle kende domænenavn. Et globalt katalog server er en
       domænecontroller, der, i tillæg til sin fulde, skrivbar domænenavn mappe
       partition replika, også gemmer en delvis, read-only kopi afalle andet domæne
       mappe partitioner i skoven. Den ekstra domæne biblioteket partitioner er
       delvis, fordi kun et begrænset sæt attributter er medtaget for hvert objekt.
       Ved kun at medtage de attributter, der er mest brugt til at søge, kan enkelte
       objekter i hvert domæne i selv de største skov være repræsenteret i
       databasen af en enkelt global catalog server.




                                                                                          27
2011    Svendeforløbs projekt



       DNS

       DNS (Domain Name System) er et system der omdanner et navn til en IP-
       adresse. DNS'en består af to dele, en server og en resolver. Serveren
       indeholder informationen om, hvilke DNS-navne der svarer til hvilke IP
       adresser. Resolveren er den software på klienten (eks. Web-browser), som
       spørger serveren efter informationen. Går man på en internet-browser, og
       søger eksempelvis på "www.sdegr3.dk" som er DNS-navnet, så spørg internet-
       browseren DNS-serveren (Navne-serveren) om hvilken IP-adresse, dette navn
       dækker over eks. "87.116.42.4", og sender så IP-adressen tilbage til
       browseren, så den kan finder den WEB-server som "www.sdegr3.dk" ligger på.
       På internettet identificerer computere sig ved hjælp af IP-adresser. IP-adresser
       er numre bestående af tal, som er unikt for hver computer, ligesom et telefon
       nummer.

       Kortsagt kan en DNS-server sammenlignes med en telefonbog med alfabetisk
       navne register.




       RODC
       RODC (Read Only Domain Controller) betyder at Serveren kun kan modtage
       replikations Updates, hvis der er lavet ændringer. men den sender ikke selv
       Replikations Updates ud.




                                                                                      28
2011    Svendeforløbs projekt



       Namespace

       Namespaces bruges til at dele en mappe fra en Namespace-server, som kan
       tilgås af andre klienter ved at skrive domæne eller server navnet, efterfulgt af
       et share-navn. Den delte mappe (kan) sættes til at tilgå fra alle steder i et
       Forest. Share-navnet behøver ikke være det samme som mappen man deler,
       eksempelvis \\sdegr3.dk\Data, som er valgt i dette tilfælde. Det kunne i stedet
       ha’ været \\sdegr3.dk\Publich.



       Oprettelse af Namespace


       Et Namespace oprettes under ”DFS Management”, som findes under ”Start” og
       ”Administrative Tools”. For at oprette et nyt Namespace, højer-klik på punktet
       ”Namespace”, og vælg ”New Namespace”.

       På det første billede i Wizarden, bliver man bedt om og skrive navnet på den
       server som skal hoste Namespacet. Her er DC1gr3 valgt, som Namespace-
       server.




       Klik ”Next”



                                                                                      29
2011    Svendeforløbs projekt



       Der skal nu gives et navn til Namespacet. Det vil fremstå efter server, eller
       domæne navn i Namspace-stien eks. \\dc1gr3\data. Efter navnet er defineret,
       klik på ”Edit Settings”.




       Under ”Edit Settings” skal stien til den delte mappe defineres eks. C:\Data

       Der kan vælges hvilke retteigheder Administrator-brugere, og alle andre fra
       DC2gr3 skal have tilladelse til. Valget blev til at, Administratorer skal have fuld
       rettigheder til denne mappe, og dens undermapper. Alle andre skal have
       Læse/skrive rettigheder.



       Klik ”OK” og ”Next”




                                                                                         30
2011    Svendeforløbs projekt



       Efterfølgende spørges der til hvilken type Namespace, man vil oprette.

       Valget står mellem ”Domain based” eller ”Stand-alone”. Stand-alone er hvis
       man kun vil tilgå data fra en Namespace server. Domain-based, er hvor
       Namespaced er lageret i en eller flere Namespace-servere, hvor at dat kan
       tilgås fra flere servere. Standard står den til ”Domain-based”, som der er valg
       her. Fluebenet for punktet ”Enable Windows Server 2008 Namespace”, skal
       vinges af, hvis man kun har Server 2008 OS eller nyere, på alle servere i sit
       Forest, som er tilfældet i projekt.



       Klik ”Next”



       Der komme nu en opsummering på hvilke indstillinger du har valgt i dit
       Namespace. For at oprette Namespaced med disse indstillinger,

       ”vælg Create”



       Der er nu Oprettet et Namespace.




       Active Directory Replication

       Active Directory databasen bliver replikeret rundt til alle domain Controllers i
       en ”Forest”. Det data der bliver replikeret rundt til domain Controllerne som
       kaldes ”data”, bliver også kaldt ”naming context”. Når der bliver sat en ny
       domain controller op i Forest’en, er det kun det ændringer der er blevet
       fortaget på de andre domain controllers, som bliver replikeret til den nye.
       Active Directory bruger en model der hedder ”MULTIMASTER”, som betyder at
       der kan laves ændringer på hvilken som helst domain controllers et Forest og
       ændringerne er sendt til dem alle. Replikations metoden i Active Directory
       danner en ring hvor den sender replikations opdateringer ud. Det giver en
       mere stabil og pålidelig replikations proces.




                                                                                          31
2011    Svendeforløbs projekt



       Hvordan spore man Replikering
       Hvert objekt har et opdaterings løbenummeret som kaldes ”Update Sequence
       Numbers” (USN). Hvis objektet bliver ændret, øges USN nummeret. Dette
       nummer er forskelligt for hver domænecontroller.
       Hvert objekt har et stempel med versionsnummer, tidsstempel, og ”Globally
       Unique Identifiers” GUID for den domain controller, hvor ændringen blev
       foretaget på.
       Hver domain controller indeholder en "replika", som er en kopi af domain




       directory

       Directory opdaterings typen angiver, hvordan dataene bliver replikeret. De to
       typer der bruges er:

       Origination opdatering - En ændring, der foretages af en administrator på den
       lokale domain controller.
       Replicated opdatering - En ændring foretaget i replika’en på grund af en
       replikering fra en replikation partner.




                                                                                       32
2011    Svendeforløbs projekt



       Opret Replikation af mapper
       Disse Roller skal tilføjes til serveren inden man kan administrere DFS
       Replication. ”File Server”, ”Distributed File System” og underpunkterne ”DFS
       Namespace og ”DFS Replication”. Dette gøres under Server Manageren,
       ”Roles” og ”Add Roles”.



       Der er oprettet replication af mapper på fra DC1gr3 til DC2gr3 i dette projekt.

       Denne replikations type, oprettes under ”DFS Management”, som findes under
       ”Start” og ”Administrative Tools”.

       For at oprette en Replikations gruppe, højer-klik på punktet ”Replication” og
       vælg ”New Replication Group”.



       Der dukker nu en installations wizard op, hvor man skal vælge hvilken type
       replikations gruppe der skal oprettes.

       Standard står den til ”Multipurpose Replication Group”, som er valgt i dette
       tilfælde. Denne mulighed består i replikation mellem to eller flere servere, til
       offentliggørelse, indholds deling og andet.



       Klik ”Next”



       Dernæst skal der defineres et navn på replikations gruppen, og opgives et
       domænenavn. I dette tilfælde fik gruppen navnet ”DATA”, og domænet
       ”sdegr3.dk”.



       Klik ”Next”



       Der skal nu vælges to eller flere servere, som skal være medlem af
       replikations gruppen, for at kunne replikere til hinanden. Der er valgt DC1gr3
       og DC2gr3.




                                                                                          33
2011    Svendeforløbs projekt




       Klik ”Next”



       Der bliver spurgt til hvilken topologi, gruppen skal operere i, standard stå den
       til ”Full mesh”, som betyder at der skal replikeres mellem alle serverne i
       gruppen. Man kan også vælge ”No topology”, hvis man lave sin egen topologi,
       efter man har afsluttet denne wizard. Valget faldt på Full mesh.



       Klik ”Next”



       Der skal nu tages stilling til hvilket tidspunkt der skal køres replikation på, og
       hvor stor båndbredte der må benyttes til dette. Standard står den til at
       replikere 24 timer i døgnet, ved fuld båndbredte. Og det er der også valgt her.



       Klik ”Next”




                                                                                          34
2011    Svendeforløbs projekt




       Vælg den server, hvor indholdet skal replikeres. Der er valgt DC1gr3 i dette
       tilfælde.



       Klik ”Next”



       Her skal der vælges den folder, der skal køre replikering af eks.
       ”C:\Data\Virksomhed” . Standard vil den bruge sti-navnet (i dette tilfælde
       navnet ”Virksomhed”), til at repræsentere folderen, på alle serverne der er
       medlem af gruppen. Der er brugt ”custom name”, som er ”data”.



       Klik ”Next”




       Her vælger man hvilke servere der replikere denne mappen, og hvilken
       destination mappen skal skal gemmes på.

       På DC2gr3 serveren er der oprettet en mappe på roden af C-drevet,
       tilsvarenden den på DC1gr3, hvor den er sat til at replikere.




                                                                                      35
2011    Svendeforløbs projekt




       Klik ”OK” og ”Next”



       Den kommer så med et resume over de oplysninger der er givet.



       Klik ”create” og ”Finish”



       Der er nu oprettet en replikations gruppe.




                                                                       36
2011    Svendeforløbs projekt



       DHCP

       DHCP står for "Dynamic Host Configuration Protocol". DHCP bruger en service
       på en server og har til formål at konfigurere en klients TCP/IP indstillinger
       automatisk når maskinen starter op. Kort sagt, DHCP-serveren uddeler IP-
       adresser ud til klienter.

       DHCP fungerer over 4 stadier:

                1. DHCPDISCOVER, klienten broadcaster DISCOVER pakke og spørg:
                   kan nogen kunne give DHCP information?
                2. DHCPOFFER, alle de servere der kan på det subnet, sender svar
                   OFFER tilbage: jeg kan give dig DHCP information.
                3. DHCPREQUEST, klienten vælger en og broadcaster tilbage: jeg har
                   valgt X. X, her er min MAC adresse, hvad er min IP?
                4. DHCPACKNOWLEDGEMENT, konfiguration går ind i sidste fase.
                   Serveren sender information til klienten, fx lease tid og IP.




       I dette tilfælde skal det bruges til at udgive dynamiske IP’er til folk der logger
       på vores AP og interne klienter.



       Under installations wizarden vil

       dette være det første billede der

       stødes på, dette er standard

       indstillinger (på DMZ: 10.2.1.10)

       bare tryk ”next”.




                                                                                            37
2011    Svendeforløbs projekt




       Her bliver der valgt domain samt DNS adresserne. Dette er på DC1, vælg
       domain, og korrekte DNS indstillinger.

       På DMZ vil domainet ikke være sdegr3.dk, men ”WORKGROUP” og DNS:
       83.136.89.6 og 83.136.89.4



       Vi vælger ingen WINS da vi ikke har en.




       Scope range:

       Mask:
       255.255.255.0 Det
       her gør at når folk



                                                                                38
2011    Svendeforløbs projekt



       fx logger på vores AP får de en IP mellem 10.2.1.50-250.




       DC1’s scope. Her får klienter mellem 10.1.1.50-150. Vores DC2 har scope 151-
       250, det gør at hvis den ene server skulle stå af kan den anden server give IP
       adresser til alle 100 brugere.




       I SDEGR3 følte man der ingen grund var til at bruge DHCPv6.




                                                                                    39
2011    Svendeforløbs projekt




       Her kan du vælge at sætte DHCP administrators, her er der bare valgt
       administrator til at vedligeholde – der kan dog vælges andre under ”use
       alternate credentials”




                                                                                 40
2011    Svendeforløbs projekt




       Exchange 2010
       For at installere Exchange skal der sørges for at relevant hardware og software
       er installeret. For det første skal der tjekkes op på hvad slags Server den skal
       køre på. Der kan installeres på en fysisk såsom en virtuel server f.eks. Hyper-
       V.




       Da Exchange er et mere omfattende program er det en god ting at installere
       den på en større server.




       Kravene er således:




       Minimum 4 GB ram + 5 mb per postkasse

       En server der kører Microsoft server 2008 Standard eller Enterprise 64 bit med
       service pack 2, Microsoft server 2008 R2 Standard eller Enterprise.

       En relativ stor harddisk er også at rekommandere da brugere skal have nok
       plads i sin mailboks, en typisk størrelse er mellem 1 til 10 GB.

       En stabil CPU typ Intel Xeon’s server cpu eller AMD’s Opteron server cpu.




                                                                                          41
2011    Svendeforløbs projekt



       Exchange Server 2010 prerequisites

                             Microsoft Office 2007 Filter Pack
                  Microsoft .NET Framework 3.5 SP1
                             Windows PowerShell v2.0



       http://www.microsoft.com/exchange/en-us/system-requirements.aspx




       Der skal også installeres en Domain Controller med Active Directory til at styre
       brugere med samt at der vil være en fordel hvis Exchange serveren er medlem
       af Domain.




       Der skal opsættes en Send connector i Exchange serveren samt en MX record i
       DNS servern for at sende og modtage post. I send connectorn skal der stå en
       stjerne da den tillader at der sendes til alle domæner. Der kan selvfølelig
       specificeres hvilke domæner der må og ikke må sendes til.




       Hvad er MX Record



       Denne record står for Mail eXchange record, dvs. den fortæller en mailserver
       noget om hvilken server der skal modtage mail til det enkelte domæne.




       Der er flere protokoller der understøttes: POP3, IMAP, SMTP, MAPI/RPC samt
       Active Sync. Active sync er den del der understøtter post på Windows Mobile
       samt andre mobile klienter, f.eks. mail for exchange til Nokias telefoner.




                                                                                      42
2011    Svendeforløbs projekt



       MAPI/RPC er den protokol der bruges i Outlook. Mail kan også tilgås via OWA
       Outlook Web Access hvor brugerens konto læses ind i et browservindue, det
       kan være Internet Explorer, Firefox eller Safari.

       Lidt om tjenesterne

       POP3:


       POP3 står for Post Office Protocol version 3
       (Post Kontor Protokol version 3)


       POP3 bruges til at hente post fra en e-mail server til ens egen computer
       gennem TCP/IP-protokollen.

       POP3, SMTP og IMAP virker alle gennem en internet-forbindelse.


       POP3 er en hent-protokol (klienten henter data fra serveren), hvorimod SMTP
       er en send-protokol (klienten sender data til serveren uden at blive
       forespurgt).


       En stor forskel mellem SMTP og POP3 er, at SMTP ikke kræver nogen form for
       identifikation såsom brugernavn og kodeord. Dette gør SMTP ubrugelig til at
       hente beskeder. POP3 virker over TCP-porten 110.


       SMTP
       Simple Mail Transfer Protocol (ofte forkortet til SMTP) er en protokol man
       bruger til at sende e-mail med.

       Ved SMTP er der ingen login-krav, som for eksempel POP3, og protokollen
       udnyttes derfor ofte til reklame-post (engelsk spammail). For at gøre det
       sværere at sende reklame-post konfigureres mail servere oftest til kun at
       tillade post sendt enten til egne domæner eller fra klienter på ens eget
       netværk - andre afvises.




                                                                                     43
2011    Svendeforløbs projekt



       IMAP

       IMAP (Internet Message Access Protocol, blev tidligere kaldt for Interactive Mail
       Access Protocol) er en datanetprotokol der i lighed med POP3 benyttes til at få
       adgang til e-mail fra en e-mail-server.

       Hvorfor Exchange?

       Exchange er hjertet i dit kommunikations system.


       Med en Exchange-server snakker din Outlook sammen med andre computere,
       pda'er og mobiltelefoner. Det betyder, at du kan dele kalender og
       adressekartotek med kollegerne, synkronisere kalenderaftaler ml. computer og
       mobiltelefon/pda, hente mails fra en anden computer end du plejer og en
       række andre ting, der gør arbejdsdagen nemmere og mere effektiv.




       Installation af Exchange



       For at installere Exchange skal der gøres følgende: der skal sættes en DC op
       med AD, .net framework 3.5 tjensten skal installeres. .Net installeres fra add
       feature fra servermanager samt IIS (Internet information Services) skal
       installeres fra Add roles i server manager.




       I IIS installationen er det vigtigt at vælge Performance /static og dynamic
       content compression, Basic authentication og Windows authentication samt
       managment tools. Da det skal bruges til Web Access delen.




       Når hardware og system er valgt er det bare at installere Exchange 2010.




                                                                                         44
2011   Svendeforløbs projekt




                               45
2011   Svendeforløbs projekt




                               46
2011   Svendeforløbs projekt




                               47
2011   Svendeforløbs projekt




                               48
2011   Svendeforløbs projekt




                               49
2011   Svendeforløbs projekt




                               50
2011   Svendeforløbs projekt




                               51
2011    Svendeforløbs projekt



       Trin for trin guide til en vellykket installation



       Se vedlagt billede dokumentation

              1. Log på den server som skal køre Exchange server med Domain
                 Administrator konto. For at kunne installere exchane skal der haves
                 de rigtige rettigheder. Derfor bruges Domæne administratorns
                 konto. I dette tilfælle blev det nødt til at tilføje en ny admin (den
                 kom til at hede Exchangeadmin) bruger med de rigtige retigheder
                 for at kunne installere.
              2. Kør setup fra Exchange 2010 media. Det kan gøre på 2 forskællige
                 måder, enten grafisk eller via komandoprompt , her skal der bruges
                 den grafiske. Tryk start og kør, skriv ”dit medie”:/setup.exe for at
                 starte installationen.
              3. klik på "Step 3: Choose Exchange language option" og vælg (Install
                 only languages from the DVD). Dette installerer de forskællige
                 sprog til server’n.
              4. Klik på "Step 4: Install Microsoft Exchange." Dette starter
                 installationen.
              5. Klik next på introduktionssiden.
              6. Acceptere license terms og klik Next. For at komme videre skal man
                 acceptere licens vilkårerene.
              7. Vælg send eller ikke send på Error Reporting page og klik Next. Hvis
                 man vil sende fejlraporter skal send være markeret og hvis ikke
                 skal don’t send være markeret.
              8. Fortsæt med the default "Typical Exchange Server Installation" og
                 klik Next. Dette er en standard installation.
              9. Vælg et navn på din Exchange Organization og klik Next.
              10.           Her vælges det hvilken type client der understøttes på,
                 Client Settings siden fortsæt med at klikke Next. Der kan gi støtte




                                                                                         52
2011    Svendeforløbs projekt



                  til Microsoft Entorage samt Outllook 2003. da dette system kun skal
                  køre nyere versioner skal det vælges
               11.           hvis din Exchange server skal være tilgænglig fra
                  ydersiden skal der vælges et domain name som i dette tilfælle
                  sdegr3.dk, klik Next.
               12.           Så skal der træffes et valg på Customer Experience
                  Improvement Program siden og klikkes på Next. Her har man
                  mulighed for at være med at forbedre programmet.
               13.           Hvis alle “prerequisites” er med kan der klikkes install.
               14.           Så er der tid til at snuppe en pause med hvad der nu vil
                  nydes da det tager lidt tid…….
               15.           Når installationen er færdig gå tilbags til Exchange
                  installations siden og klik på "Step 5: Get critical updates for
                  Microsoft Exchange." Det kan være en god idee at gøre dette da det
                  lukker eventuelle huller i programmet, fra eks. Hackere.
               16.           Installere Microsoft Update for at få de seneste
                  opdatteringer. Dette skal også gøres for at få sikkerheden i
                  systemet op.


       Post Installation trin for trin
       Nu skal der justeres I idstilligerne I selve Exchange 2010. Der er nogle basic
       indstillinger der skal gøres.

       Åben Exchange Management Console via Start >> All Programs >> Microsoft
       Exchange Server 2010 >> Exchange Management Console

       Ekspandere Microsoft Exchange On-Premises for at kunne se: Organization
       Configuration, Server Configuration, Recipient Configuration, og Toolbox

       Under Organization Configuration >> Hub Transport >> Send Connectors >>
       New Send Connector ... >> Vælg et navn F.eks. "SMTP Internet Send
       Connector" >> skift drop down til "Internet" >> Next >> Add ... >> enter "*"
       i Addresse feltet og markere boksen include all subdomains >> OK >> Next.




                                                                                         53
2011    Svendeforløbs projekt



       Under Server Configuration >> Hub Transport >> højre klik Default *** >>
       Properties >> Permission Groups tab, markere boksen til Anonymous users.
       Dette vil tillade Exchange at acceptere indgående mail fra remote mail servers.

       Under Recipient Configuration >> Mailbox, create mailboxes for your existing
       AD users (eller create a new user & mailbox)

       New Mailbox ... >> select User Mailbox >> Next >> Existing users >> Add ...
       >> select an existing AD account >> OK >> Next >> specificere et alias
       (F.eks. AD brugernavnet) >> Next >> New

        Hvis der skal bruges et SSL certificate for Outlook Web App, IMAP, POP, etc.




                klik Server Configuration og import eller create the certificate

                                Brug den anbefalede instilling




                                                                                       54
2011   Svendeforløbs projekt




                         Ligesom forige bruges standard indstilling




                                                                      55
2011   Svendeforløbs projekt




            Send connector skal konfigureres. Gi den et relevant navn f.eks. SMTP.




                                                                                     56
2011   Svendeforløbs projekt




       I address space vælges add, og der tastes * samt en markering i Include all
                    subdomains så der kan sendes til alle domæner.




                                                                                     57
2011   Svendeforløbs projekt




                               Vælg Use DNS.




                                               58
2011    Svendeforløbs projekt




                           vælg ad og tilføj den server Exchange ligger på




       Problemer der var

       Melde Exchange ind som DC da den skulle køre som medlem af Domain, fik
       afinstalleret DC på Exchange og det gav lidt problem da den ikke forsvandt
       helt.

       Der er vedlagt en guide til fjernelse af fejlet DC setup.




                                                                                    59
2011    Svendeforløbs projekt



       DMZ

       DMZ er en forkortelse af DeMilitarized Zone.

       Indenfor netværk bruges det i firewall sammenhæng. Typisk ønsker man ikke
       at resten af internettet kan se noget som helst af det man fortager sig på det
       indre netværk, men internettet er lavet til at kommunikere – dette er grunden
       til at DMZ har visse services, der ikke bliver brugt på det indre netværk.



       Denne DMZ (perimeter netværk) har flere funktioner.

       DHCP (AP)

       FTP

       Web-server

       Roles der skal bruges:

       DHCP server

       Web server (IIS)



       Access point

       Et Access Point (AP) har ikke selv indbygget router funktion, dhcp osv. Dens
       helt simple funktion er at den bare skal lave et trådløst netværk.



       For at komme ind at konfigurer AP’et før man sætter noget som helst op, er
       det en god ide at holde reset knappen inde så hele systemet på den bliver
       reset. Hvis man er på statisk IP med fx 10.x.x.x kan man ikke konfigurer
       routeren da dens adresse er 192.168.1.2, så ændre lige IP’en til 192.168.1.x,
       nu kan du ved at skrive i din browser ”192.168.1.2 komme ind på zyxel, nu
       skal du logge ind, standard password på den er ”1234”.

       Du skal så ændre addressen til det du ønsker det og selvfølgelig få ændret din
       IP tilbage.




                                                                                        60
2011    Svendeforløbs projekt



       SDEgr3 har ændret password og IP.

                       Password til at komme ind på AP’et: wirelessgr3

                            Password til forbindelsen: gr3wireless



       I dette scenarie bliver der brugt channel 6, da de andre grupper brugte 1 og
       11 og der skal helst være mindst 5 channels afstand for optimalt netværk.




           Subnet mask: 255.255.255.0. Her får AP’et statisk IP, client adresserne
                          kommer fra DMZ’ens DHCP funktion.

       FTP


       FTP står for ”File Transfer Protocol” og er en IP protokol der bruges til at
       overføre filer mellem to maskiner på internettet.

       Selvom Windows server har deres egen FTP server funktion, har man valgt at
       bruge ”FileZilla server” da FTP tit i fortiden har skabt grå hår og da det er den
       mest populære er det også hackers første valg.




                                                                                           61
2011    Svendeforløbs projekt



       TMG regler




       Første regel er en access rule der åbner for alt og alle, vel og mærke skal de
       have bruger og password.

       Anden regel er en non-webserver der sørger for at routeren faktisk sender
       trafikken til vores DMZ.

       For at ens brugere rent faktisk kan uploade skal man lige redigere FTP
       protokolen til ikke kun at være read only, vist på billedet:




                                                                                        62
2011    Svendeforløbs projekt



       Efter det og installation på FileZilla skal man have oprettet nogle brugere og
       deres rettigheder.

       Under ”edit” og ”users” skal der oprettes brugere.




       Det kunne fx se sådan her ud:



       Det her er det generelle setup for brugerne, der er valgt det samme password
       til alle, men ude i det virkelige liv ville det selvfølgelig se anderledes ud.

                                   Password = P@ssw0rd




                                                                                        63
2011    Svendeforløbs projekt



       Til mapper er der blevet lavet nogle mapper på selve DMZ’en, et home dir og
       undermapper til diverse grupper.




       Det her er hvordan setuppet ser ud, altså brugerne har ret til alt i deres egen
       mappe, men i de andre har de ikke ret til noget.

       Web-server

       En webserver lagrer og udleverer data på internettet. De opbevarede data kan
       webbrowsere hente via protokollen HTTP eller HTTPS. Webservere skal
       vedligeholdes med de nyeste sikkerhedsopdateringer, for at forhindre indbrud i
       systemet.

       En webserver kan bruges til en masse, der er hos SDEGR3 valgt primært at
       bruge det som hjemmeside funktion. Der er åbent op for http inbound fra
       ekstern til DMZ serveren så folk kan komme på hjemmesiden:




       For at kunne sætte en Web-server op skal man have installeret ”Web Server
       (IIS)” Role på DMZ’en.




                                                                                         64
2011    Svendeforløbs projekt



       Vi har lavet en hurtig kode i notepad som .htm bare for at der kommer lidt op
       på hjemmesiden.

       Det ser således ud:
                                 <html>

                                  <body bgcolor=”white”
                                 text=”blue”>

                                 <h1> SDEgr3 </h1>

                                 SDEgr3 din virksomhed for
                                 awesomeness.

                                 <br>

                                 Daniel.

                                 Dan.

                                 Alex.

                                 Zaid.

                                 </br>

                                 </body>

                                 </html>




       Når IIS er installeret kommer der en ny underfane til ”Roles” fanen, tryk på IIS
       efterfulgt af ”internet information services”, nu vil man se en skærm med IIS.
       Under sites vil der ligge en default side, slet den, højre klik på ”sites” og vælg
       add web site” vælg da dine informationer, fx:




       Her definere du først navnet som det skal stå på din server. Hvor den skal
       hente oplysninger fra. Hvor den skal hente net oplysninger. Og til sidst, navnet
       på hjemmesiden.



                                                                                        65
2011    Svendeforløbs projekt



       System Deployment

       Med system deployment kan man deploy, eller på dansk, udrulle forskellige
       systemer, det er en forvandling fra en pakke til operativt system – altså du
       tager noget fra et midlertidigt form til en fast arbejdsform. Det mest normale
       vil være at lave et image der indeholder programmer som windows, anti virus,
       java, adobe osv.

       Hvis dette var det virkelige liv ville man have sådan et image med windows,
       anti virus, osv.!




       Antivirus

       Der er valgt at bruge Forefront endpoint Protection da der i forvejen kun bliver
       brugt Microsoft baseret programmer og servers derfor blev det valgt at være
       mest passende. Der var andre valg oppe at vende, fx AVG – der blev dog valgt
       Endpoint pga. TMG’en og de andre Microsoft systemer.




       VPN

       VPN står for ”Virtual Private Network og bruges til at tilgå lokale netværk eller
       maskiner over internettet.



       For at sikresikkerheden bruges der ”tunneling” og kryptering, dét bruger vi
       PPTP til.

       PPTP’en er installeret på DC1 maskinen.



       Her er der lavet en non webserver med ”PPTP server protocol” fra ekstern til
       intern. Dette gør at når folk prøver at komme på nettet ude fra digerer TMG’en
       trafikken til DC1 for at hente information på domainet.



                                                                                           66
2011    Svendeforløbs projekt




       Under ”Active Directory Users” skal man gå ind på en bruger, ”højre klik” og
       under dial-in skal man ”allow access”.




       Proxy

       Proxy benyttes i netværkssammenhæng om noget der optræder på andres
       vegne. En maskine der er på Internettet via en webcache vil udadtil fremtræde
       med cacheserverens adresse og ikke med sin egen. Begrebet anvendes også i
       forbindelse med firewalls og NAT.

       En proxy har altid mindst et netværk på hver "side" af sig. Typisk vil
       maskinerne på "indersiden" benytte proxy'en til at komme ud på "ydersiden",
       altså fx internettet. Dette sker ved at maskinen på indersiden kontakter
       proxy'en for at nå en maskine på ydersiden.



       Proxy'en ser på hvad maskinen på indersiden vil og derefter laver proxy'en den
       samme forespørgsel til maskinen på ydersiden som maskinen på indersiden
       netop har foretaget. Når svaret kommer fra maskinen på ydersiden sendes
       dette videre til maskinen på indersiden.

       Denne teknik muliggør at der kan indsættes filtre eller diverse regler i
       proxy'en, som dermed kan bruges til at styre hvilken trafik der kan gå
       igennem proxy'en.

       Måden der blev sat proxy op i hos SDEGR3 gik man ind under ”Web Access
       Policy”




                                                                                      67
2011    Svendeforløbs projekt



       Under related tasks tryk ”configure Web Proxy” her bliver der valgt port 8080
       (alternative til port 80) – Authentication ”integrated” - Advanced ”unlimited”




       Så skal der vælges noget cache. Vælg ”configure web caching” og under drives
       vælg da ”configure” og sæt den til hvad du ønsker, hos SDEGR3 blev den sat
       til ”64 gb”.




                                                                                        68
2011    Svendeforløbs projekt




       Efter alt dette vil du under fanen ”Web access policy” i toppen se Web Access
       Settings, tryk da på ”Web Caching” – fanen Cache Rules



       Nu kommer der en wizard.



       Her bliver der tilføjet en ny rule under ”URL sets” hvor der bliver added diverse
       microsoft update sites.




                                                                                       69
2011    Svendeforløbs projekt



       I denne wizard brugte man default indstillinger til alt på nær:




       Og




       Under ”Cache Content” tilføjer vi ”dynamic content” Dette gør at hvis fx
       hjemmesiden er sagt ja til før og den så spørg igen vil den automatisk gå til
       cache.

       Under ”Cache Advanced Configuration” ændres objects til ikke højere end 1
       GB. Husk der er 64 GB.Og tilføjer ”Cache SSL responses”, cache vil som
       default ikke acceptere https forespørgsler, derfor skal den tilføjes.




                                                                                       70
2011    Svendeforløbs projekt



       Grupper og brugere
       Der skal på domænecontrolleren oprettes 100 brugere som skal være en del af
       servermiljøet. Først skal der dog kun oprettes nogle enkelte brugere rundt
       omkring i forskellige afdelinger og de resterende skal kunne oprettes nemt og
       hurtigt af administrator kontoen efterfølgende.



       Oprettelse af OU
       Allerførst oprettes der en OU(Organizational Unit) som er en Active Directory
       container hvori der kan placeres grupper og brugere samt andre oprettede
       OU'er. Dette gøres inde i ”Active Directory Users and Computers”, samme sted
       hvor vi efterfølgende også opretter grupper og tilhørende brugere.

       Processen for at oprette en OU er simpel. Først højreklikkes der på
       domænenavnet ”sdegr3.dk” og dernæst vælger man ”New” og trykker på
       ”Organizational Unit”. Efterfølgende popper følgende vindue op og man skriver
       blot navnet på den nye OU og klikker på ”OK”.




       Som det fremgår på billedet er der som standard sat flueben ved ”Protect
       container from accidental deletion”. Dette vil sige at man ikke bare kan slette
       OU’en uden videre med mindre man manuelt trykker på fanebladet ”View”,
       vælger ”Advanced Features”, højreklikker på OU’en man vil slette, trykker på
       ”Properties” og til slut går ind i fanebladet ”Object” og fjerner fluebenet fra
       ”Protect container from accidental deletion”. Derefter kan OU’en slettes.




                                                                                         71
2011    Svendeforløbs projekt



       Når OU’en ”Virksomheder” er blevet oprettet kan der oprettes under-OU’er,
       hvor det mest passende er en til hver afdeling. Dette gøres præcis på samme
       måde som når man laver alle andre OU’er, der skal dog bare huskes at
       højreklikkes på ”Virksomheder” OU’en når under-OU’erne skal oprettes.

       På nedenstående billede kan der ses et overblik over OU’en ”Virksomheder”
       samt alle under-OU’erne som repræsenterer de respektive afdelinger.




                                                                                     72
2011    Svendeforløbs projekt



       Oprettelse af grupper
       Efter OU’erne til hver afdeling er blevet oprettet kan der efterfølgende oprettes
       grupper. Dette gøres ved at højreklikke på OU’en ”IT”, vælge ”New” og
       derefter trykke på ”Group”. Som eksempel vises herunder oprettelsen af
       gruppen ”IT” under OU’en med samme navn. Først indtastes navnet på
       gruppen og derefter vælger man ”Group scope” og ”Group type”.

       Som ”Group scope” vælges der ”Global” der oftest bliver brugt når gruppen
       skal indeholde brugere eller gøres medlem af andre Windows Server
       predefinerede global grupper som for eksempel ”Domain Admins”. En ”Domain
       Local” og ”Universal” gruppe kan nemlig ikke blive medlem af en ”Global”
       gruppe.

       Som ”Group type” vælges der ”Security” da man skal kunne gå ind på delte
       mapper og lignende og tildele rettigheder som man ikke kan hvis det var en
       ”Distribution” group som derimod kun kan bruges med email programmer som
       Exchange til at sende emails til en samling af brugere.




                                                                                       73
2011    Svendeforløbs projekt



       Oprettelse af brugere
       Når OU’erne samt grupperne for hver afdeling er på plads kan brugerne
       oprettes. Brugerne inde i OU’en oprettes næsten på samme måde som grupper
       ved at højreklikke på OU’en ”IT”, vælge ”New” og derefter trykke på ”User”. I
       nedenstående eksempel tages der udgangspunkt i oprettelsen af brugeren
       Torkild Overby(TOV) som tilhører IT afdelingen.

       Først indtastes navn, efternavn, initialer samt brugerens logon navn.




       Efterfølgende vælges et password som brugeren i første omgang ikke behøves
       at lave om på og der klikkes på ”Next” og bagefter på ”Finish”.




                                                                                    74
2011    Svendeforløbs projekt



       Når brugeren Torkild Overby er oprettet vil den nu ligge under OU’en ”IT”
       sammen med de andre medlemmer som det fremgår af billedet herunder og
       man vil hurtigt kunne danne sig et overblik over hvor struktureret og nemt det
       er at organisere grupper og brugere med OU’er.




                                                                                    75
2011    Svendeforløbs projekt



       For at tilføje brugeren Torkild Overby flere indstillinger kan der højreklikkes på
       brugernavnet og vælges ”Properties”. I vinduet der popper op trykkes der på
       fanebladet ”Member Of” og der bliver nu mulighed for at gøre brugeren
       medlem af en gruppe ved at trykke på ”Add”.




       Efterfølgende popper nedenstående billede frem og så kan der søges efter
       gruppen ”IT” som så kan tilføjes til listen over grupper brugeren er medlem af.




                                                                                            76
2011    Svendeforløbs projekt



       Efter at have meldt brugeren ind i gruppen IT trykkes der på ”Profile” og der
       bliver nu mulighed for at tilføje et ”Home” drev til brugeren.

       I sektionen ”Home folder” klikkes der på ”Connect” og stien til det share hvor
       de personlige bruger mapper ligger skrives og der tilføjes variablen
       ”%username%” hvilket betyder at den automatisk vil hente den pågældende
       brugers navn ind som kommer til at gavne meget når der skal oprettes en
       anden bruger ved hjælp af ”Copy metoden” som vil blive forklaret nærmere i
       næste afsnit.




                                                                                        77
2011    Svendeforløbs projekt



       Oprettelse af de resterende brugere
       Når de resterende brugere som skal være en del af servermiljøet oprettes kan
       oprettelsen af mange brugere med ens medlemskab af grupper samt ens home
       drev struktur være både en langsom og svær proces hvis man skal ind og
       taster alt ind manuelt.

       Derfor er der oprettet en inaktiv skabelonbruger i hver afdelings OU som for
       eksempel for IT afdelingen er kaldet ”IT_standard”. Den bruger indeholder de
       ting en standard bruger inden for IT afdelingen skal have såsom at være
       medlem af gruppen ”IT” samt forbindelse til ”Home folder” som er blevet lavet
       med variablen ”%username%” som er rigtig effektiv her da den tilpasser sig
       den nye brugers brugernavn og dermed også automatiserer den proces.

       Oprettelsen af de resterende brugere af administrator kan derfor gøres ved at
       højreklikke på den oprettede standard bruger og trykke på ”Copy”. Derefter vil
       det normale brugeroprettelsesvindue poppe frem og når brugeren så er
       oprettet vil den automatisk blive tildelt de samme føromtalte indstillinger og
       der behøves som standard ikke at redigeres yderligere på den nye bruger inde
       i ”Active Directory Users and Computers”.




                                                                                       78
2011    Svendeforløbs projekt



       Delte mapper
       Der er i firmaet oprettet mapper som senere skal shares ud via logonscripts til
       de forskellige brugere alt efter hvilke afdelinger de tilhører. Disse mapper vil
       fungere som netværksdrev. På nedenstående billede er der en oversigt over de
       mapper som er oprettet.




       Mappen "Faelles" vil blive shared til alle brugere og der vil derfor blive tildelt
       rettigheder til "Authenticated Users".

       Mappen "Gruppedrev" indeholder nogle undermapper til hver afdeling hvor der
       på de mapper er blevet tildelt rettigheder baseret på afdelingerne.

       Mappen "Home" har de forskellige brugeres personlige mapper som er angivet
       med initialer og rettighederne på hver mapper er blevet tildelt de respektive
       brugeres mapper.

       Mappen "Projektdrev" indeholder projekt mapper til hver af afdelingerne men
       som kan tilgås af alle "Authenticated Users" der også skal have muligheden for
       at oprette projekter på tværs af de forskellige afdelinger.

       Medlemmer af gruppen "Administrators" har adgang til alle mapper.




                                                                                            79
2011    Svendeforløbs projekt



       Password politik
       Der er skal laves en password politik som gælder for alle afdelingernes brugere
       i virksomheden. Først skal der laves en GPO(Group Policy Object) som derefter
       skal linkes til den oprettede OU(Organizational Unit) kaldet "Virksomheder". Da
       afdelingerne IT, produktion, salg, sekretariat og udvikling alle ligger under
       OU'en "Virksomhed", vil password politikken automatisk gælde for dem alle når
       den er blevet oprettet, linket og redigeret.

       I Windows Server er der nemlig en standard GPO kaldet "Default Domain
       Policy" som har nogle i forvejen definerede regler som gælder for alt i
       domænet. Hvis man opretter en GPO og linker den til eksempelvis en OU vil
       der som standard ikke være defineret nogle regler i den og alt vil stå til "Not
       Defined" og den vil derfor stadig bruge alle de i forvejen definerede politikker
       som ligger i "Default Domain Policy" GPO'en som altid vil ligge øverst og som
       kan ses herunder.




                                                                                          80
2011    Svendeforløbs projekt



       Derfor skal der efter oprettelsen af GPO'en kaldet "Password Policy"
       højreklikkes på den og trykkes på "Edit". Derefter skal der klikkes på "Windows
       Settings" under "Computer Configuration" og dernæst på "Security Settings",
       "Account Policies" og "Password Policy". Efterfølgende vil alle indstillinger
       omkring password politik blive vist og som nævnt tidligere vil de til at starte
       med stå til "Not Defined".

       Der er blevet lavet følgende ændringer omkring password politikken som der
       kan ses på billedet herunder.




       Med ovenstående password politik vil følgende regler gælde omkring brugernes
       password. Passwordet skal være på minimum 8 karakterer og være komplekst
       hvilket betyder at det blandt andet skal indeholde stort/småt bogstav, et tal og
       et ikke-alfabetisk tegn. Derudover må der maksimum gå 90 dage før brugerne
       skal ændre deres password igen og serveren vil ikke tillade at brugeren
       opretter et tidligere brugt password indtil der er blevet brugt 5 nye. Med sådan
       en password politik sikrer man at brugerne i virksomheden er rimelig godt
       sikret imod at uvedkommende kan "cracke" deres password og logge ind på
       deres konto og hente både personlige samt forretningsfølsomme data.




                                                                                      81
2011    Svendeforløbs projekt



       RDP politik
       RDP som står for Remote Desktop Protocol er en protokol udviklet af Microsoft
       og som standard står til at lytte på port 3389 når det er slået til på serveren.

       Der er på samtlige servere slået RDP til så serverne alle kan tilgås uden fysisk
       berøring. Der er i dette scenarie et par regler og politikker omkring
       indstillingerne og brugen af RDP baseret på viden og erfaringer.

       RDP er som standard sat op således at der udefra kan opnås forbindelse ved at
       køre en remote desktop connection ind til IP adressen 87.116.42.4(:3389) som
       er Forefront TMG serverens IP adresse udadtil. For at opnå dette er der i
       Forefront TMG lavet en ”Access Rule” der tillader RDP trafik udefra og ind og
       omvendt på standard RDP porten 3389.

       Udover det er der også sat flueben ved at Remote Desktop forbindelser kan
       oprettes til de enkelte servere, da næsten alle internt skal have muligheden for
       at tilgå alle servere ved hjælp af RDP på nær de brugere der kobler sig på
       trådløst via AP(Access Point) og ind i DMZ netværkszonen. Til disse brugere er
       der nemlig oprettet en særskilt ”Access Rule” som kun tillader dem at bruge
       RDP for at koble op til servere eksternt ude i verden hvis der skulle være brug
       for det.

       Efter at Forefront TMG serveren har været angrebet af ukendte gerningsmænd
       som har haft succes med at bryde ind i systemet og oprette brugere samt
       installere software er sikkerhedspolitikken for RDP blevet ændret for at gøre
       det betydeligt sværere for uvedkommende at trænge ind i systemet.

       1. RDP skal ikke længere kunne tilgås på standard porten 3389 men på 3390.

       2. Kodeordet på Forefront TMG skal være komplekst og meget svær at cracke.

       3. Tillad kun RDP forbindelser fra brugere med ”Network Level Authentication”.

       4. Deaktiver standard ”administrator” kontoen og opret en med et andet navn.




                                                                                          82
2011    Svendeforløbs projekt



       Printer løsning

       Der vil blive 3 multifunktionsprintere til rådighed på netværket, for at undgå
       evt. flaskehalse.

       Hvis 100 bruger printer på en gang er en printer ikke nok.

       Tilkobling af printere sker via server der pusher drivere ud til klienten, det sker
       via et script. Da det er netværks tilkobling på printer er det server der styrer
       share af printer, forstået på den måde at:

       Printere installeres på server med de relevante drivere til de forskellige
       styrsystemer, det kunne f.eks. være Windows XP og Windows 7 drivere.

       Valget af printer er HP da det er den der har de mest kompatible drivere.

       Eksempel på type af printer:

       HP LaserJet M3035xs MFP

       Produktbeskrivelse                HP LaserJet M3035xs MFP - multifunktion ( fax
                                         / kopimaskine / printer / scanner ) ( S/H )

       Enhedstype                        Fax / kopimaskine / printer / scanner

       Type kopimaskine                  Digital

       Type faxmaskine                   Almindeligt papir

       Dimensioner (B x D x H)           42.6 cm x 48.5 cm x 67 cm

       Vægt                              33.4 kg

       Lokalisering                      Dansk / Danmark

       Udskrivningsteknologi             Laser ( monokrom )

       Månedlig driftscyklus (maks.)     75000 aftryk

       Maksimal kopieringshastighed      Op til 33 spm

       Maksimal kopieringsopløsning      Op til 600 x 600 dpi

       Maksimal                          Op til 33 spm
       udskrivningshastighed




                                                                                         83
2011    Svendeforløbs projekt



       Maksimal                       Op til 1200 x 1200 dpi
       udskrivningsopløsning

       Maksimal                       33.6 Kbps
       faxtransmissionshastighed

       Faxopløsninger                 300 x 300 dpi, 200 x 200 dpi

       Scanning                       600 x 600 dpi

       Originalstørrelse              76 x 127 mm (minimum) - 216 x 297 mm
                                      (maks.)

       Originaltype                   Ark

       Dokumentføder kapacitet        50 ark

       Mediestørrelse                 Legal (216 x 356 mm) (maks.)

       Medietype                      Transparenter, konvolutter, almindeligt papir,
                                      kort, etiketter, genbrugspapir

       Standard mediekapacitet        1100 ark

       Maksimal mediekapacitet        1100 ark

       Bypass-feeder kapacitet        50 ark

       Udbakkekapacitet               250 ark

       Hæftemaskine                   Inkluderet

       Automatisk duplikering         Ja (kopiering)

       Mulighed for PC-tilslutning    Ja

       PC-forbindelse                 USB, Ethernet 10 Base-T/100 Base-TX

       Microsoft Certification        Works with Windows Vista

       Producentgaranti               1-års garanti



       Udfør mange opgaver på en gang - print, kopiering, scanning og fax med
       denne driftsikre og brugervenlige HP LaserJet MFP. Forøg produktiviteten med
       den integrerede send til e-mail/netværksmappe funktion samt mulighed for
       ekstraudstyr.



                                                                                       84
2011    Svendeforløbs projekt



       Backup løsning
       Valget af USB Harddisk er pga. mobiliteten, dvs. man kan gemme harddisk af
       vejen.

       Der er med en transportabel harddis mulighed for at brand og tyverisikre de
       data der laves backup af.

       Tilbud 1: 5

       Produktbeskrivelse       HP SimpleSave External Hard Drive harddisk - 1 TB -
                                Hi-Speed USB

       Type                     Harddisk - ekstern

       Dimensioner (B x D x H) 5.4 cm x 13 cm x 16.9 cm

       Vægt                     1 kg

       Fås i farverne           Blank sort

       Lokalisering             Mellemøsten, Afrika, Europa

       Kapacitet                1 TB

       Grænsefladetype          Hi-Speed USB

       Dataoverførselshastighed480 Mbps

       OS nødvendig             Microsoft Windows 7, Microsoft Windows Vista / XP

       Strømkilde               Inkluderet AC-adapter

       Effekt                   AC 120/230 V ( 50/60 Hz )

       Miljømæssige standarder ENERGY STAR kvalificeret

       Producentgaranti         2 års garanti




                                                                                      85
2011    Svendeforløbs projekt



       Server tilbud
       Tilbud 1: 5 stk. Pris 7.753/stk. hvor en skal opgraderes i ram og harddisk da
       den skal køre exchange samt 2 netkort til TMG

       Produktbeskrivelse        HP ProLiant ML110 G6 Performance - Xeon X3450
                                 2.66 GHz

       Type                      Server

       Model                     Minitower - 4U

       Dimensioner (B x D x H) 17.5 cm x 42.6 cm x 36.5 cm

       Vægt                      11.4 kg

       Lokalisering              Europa

       Serverskalerbarhed        Envejs

       Processor                 1 x Intel Xeon X3450 / 2.66 GHz ( 3.2 GHz ) ( 4
                                 kerner )

       Processor,                Hyper-Threading teknologi, Intel Turbo Boost
       hovedegenskaber           Technology

       Cachehukommelse           8 MB L3

       Cache pr. processor       8 MB

       RAM                       4 GB (installeret) / 16 GB (maks.) - DDR3 SDRAM -
                                 ECC - 1333 MHz - PC3-10600

       Controller for lagring    Serial ATA

       Harddisk                  2 x 250 GB - standard - Serial ATA-300

       Optisk lagring            DVD-ROM

       Monitor                   Ingen

       Netværk                   Netværksadapter - PCI Express - Ethernet, Fast
                                 Ethernet, Gigabit Ethernet

       Effekt                    AC 120/230 V ( 50/60 Hz )

       Producentgaranti          1-års garanti




                                                                                       86
2011    Svendeforløbs projekt




       HP ProLiant ML110 G6 er perfekt som den første server i virksomheder i
       vækst. Den er en økonomisk og funktionel løsning for små og mellemstore
       virksomheder, som er budgetbevidste og kun har grundlæggende eller slet
       ingen interne it-ressourcer. En blanding af PCI- og PCI Express-sokler, DIMM-
       sokler, drevpladser og serverekstraudstyr giver de nødvendige
       udvidelsesmuligheder. Den integrerede LO100i-fjernadministration reducerer
       driftsomkostningerne ved at reducere antallet af fysiske besøg. Samlet set er
       HP ProLiant ML110 G6-serveren mere effektiv, og den leverer fremragende
       værdi til virksomheder i vækst.

       Hvorfor vælge dette:

       HP er kendt for at være en stabil og pålidelig server den er lidt dyrere til
       forhold til hvad den indeholder men et godt valg til et firma der vil fremad.




                                                                                       87
2011    Svendeforløbs projekt



       Tilbud2
       5 stk. pris/stk. 5598 DKK Hvor den ene skal opgraderes i ram da den skal køre
       Exchange samt 2 netkort til TMG

       Produktbeskrivelse    Fujitsu PRIMERGY TX100 S2 - Xeon X3430 2.4 GHz

       Type                  Server

       Model                 Tower

       Dimensioner (B x D x 20.3 cm x 38.6 cm x 39 cm
       H)

       Vægt                  12 kg

       Serverskalerbarhed    Envejs

       Processor             1 x Intel Xeon X3430 / 2.4 GHz ( 4 kerner )

       Cachehukommelse       8 MB L3

       Cache pr. processor   8 MB

       RAM                   4 GB (installeret) / 16 GB (maks.) - DDR3 SDRAM - ECC
                             - 1333 MHz - PC3-10600

       Controller for lagring Serial ATA ( Serial ATA-300 )

       Harddisk              2 x 500 GB - standard - Serial ATA-300

       Optisk lagring        DVD±RW (±R DL) / DVD-RAM

       Monitor               Ingen

       Grafik controller     ATI ES1000

       Videohukommelse       64 MB

       Netværk               Netværksadapter - Ethernet, Fast Ethernet, Gigabit
                             Ethernet

       Effekt                AC 120/230 V ( 50/60 Hz )




                                                                                   88
2011    Svendeforløbs projekt



       PRIMERGY TX100 S2 er den perfekte server til mindre og mellemstore
       virksomheder, som ønsker at øge effektiviteten ved at centralisere deres IT
       opgaver. TX100 S2 tilbyder ikke blot en fantastisk pris/ydeevne, men er også
       meget støjsvag og derfor perfekt til kontormiljøer. Med sin revolutionerende
       zero watt funktionalitet i off-mode og en 88% effektiv strømudnyttelse
       minimerer TX100 S2 både kost og indvirkning på miljøet.

       Hvorfor vælge dette:

       Dette system er for den prisbevidste der ikke går op i hvad mærke der står på
       serveren, man får meget for pengene.




                                                                                       89
2011    Svendeforløbs projekt



       Botnet
       Hvad er botnet?
       Et botnet er et stort netværk af computere som alle er blevet ramt af en form
       for malware der har inficeret dem med en kode som er blevet lagt dybt inde i
       computerens rod hvor det er sværest for antivirusprogrammer og
       sikkerhedspakker at finde og slette dem. Når denne kode først har fundet vej
       til en computer kan den være svær at finde frem til og fjerne og som oftest vil
       den inficerede computer overhovedet ikke ligge mærke til at de er blevet
       inficeret og dermed en del af et botnet. De inficerede computere i et botnet
       bliver ofte kaldet for en zombie.

       Skaberen bag denne kode vil på et tidspunkt have meget kontrol over de
       inficerede computere og kan derfor også gøre næsten lige hvad der passer
       ham med dem. Det som et botnet oftest vil blive brugt til er at sende spam
       mail ud i store mængder fra de inficerede computere der er blevet en del af et
       botnet. Personen bag dette botnet kan sælge denne ydelse til andre
       interesserede personer og kriminelle grupper som vil sende mails i massevis
       med tilbud om diverse ting.

       Derudover kan alle disse mange computere som er blevet en del af et botnet
       også bruges til at sende DDoS(Distributed Denial of Service) angreb som for
       eksempel betyder at de alle sammen vil sende en masse forespørgsler til en
       webserver på samme tid og dermed gøre det meget svært for den at holde en
       hjemmeside kørende.




                                                                                         90
2011    Svendeforløbs projekt



       Er det noget man skal tage alvorligt?
       Hvis en computer modvilligt er blevet inficeret med kode og dermed blevet til
       en zombie i et stort netværk så kan den person som står bag kontrollere
       computerne. Altså kan computerne som nævnt bruges til at sende en masse
       spam samt ligge hjemmesider ned ved konstant at forespørge dem fra hver
       enkelt computer. Personen bag kan også indsamle private oplysninger fra
       computeren, da han ved hjælp af sin installerede kode har meget kontrol over
       den, såsom logins til diverse hjemmesider og banker samt kreditkort og andet
       følsomt data.

       Derfor bør både enkeltpersoner derhjemme samt firmaer tage udbredelsen af
       botnet alvorligt idet ingen har lyst til at ens computere bliver overtaget af en
       kriminel bagmand hvor man er i stor fare for at blive udsat for nogle af de ting
       som er blevet nævnt her og som bagmanden oftest nemt og enkelt kan styre
       uden at man ved at der foregår noget.



       Hvad gør man for at beskytte sig?
       Der er forskellige måder hvorpå en computer kan blive inficeret og som oftest
       er det er altid der hvor der er flest sikkerhedshuller som forsøges ramt af dem
       som prøvet at skabe et botnet. Det er derfor meget vigtigt at have et stykke
       fuldt opdateret antivirus/antispyware software installeret på computeren da de
       opfanger de mest udbredte virusser og andre typer sikkerhedstrusler som
       prøver at trænge ind på computeren.

       Mange tror dog det er nok at have et antivirusprogram på computeren og det
       er det langt fra. For mange af de koder som bliver brugt til at inficere en
       computer og gøre den til en zombie i et botnet kan ikke opfanges af
       antivirusprogrammer og trænger som oftest ind på computeren fordi man ikke
       har opdateret andre programmer såsom selve operativsystemet, Java, Flash og
       Adobe Reader. Derfor er det også meget vigtigt at holde alle sine programmer
       opdateret løbende så inficeret kode ikke kan udnytte sikkerhedshuller i dem og
       at man generelt er forsigtig med hvilke hjemmesider man besøger og hvilke
       programmer man downloader og kører.




                                                                                       91
2011    Svendeforløbs projekt



       Konklusion
       Vi havde fået til opgave at installere en firewall med tre zoner. Dette valgte vi
       at bruge TMG forefront til og sætte DMZ, internt og eksternt op. De interne
       klienter skal kunne benytte de mest almene ydelser i deres system. De kan alt
       det de skal, diverse restriktioner er sat op med GPO.

       Netværket skulle sættes op, således at der er 15 brugere. En backup bruger,
       en daglig superbruger, en webadministrator og resten bare almene brugere
       med rettigheder til fx ftp server. Brugerne skulle kunne tilgå deres personlige
       drev, gruppe drev osv. Dette bliver tildelt ved hjælp at et script. Vi valgte at
       oprette et domæne til dette så vi kunne oprette, slette og redigere i bruger
       kontoer samt rettighederne.Serverne skulle have statiske IP adresser, der skal
       kunne udgive DHCP informationer til klienter på netværket. Det brugte vi
       server 2008 DHCP server role til og fulgte en wizard hvor vi satte vores egen
       informationer ind.

       Der skal oprettes en mailserver. Mail skal kunne tilgås internt og eksternt,
       dette blev gjort med Exchange Server 2010 og OWA muligheden i Exchange.
       Der skal oprettes en DMZ zone som også fungerer som DHCP, webserver og
       ftp server. DHCP og webserver brugte vi igen server 2008 egne muligheder,
       med FTP brugte vi FileZilla Server og PPTP blev åbnet på TMG’en

       Der skal gives forslag til server hardware, fra flere konkurrenter som man ville
       ude i firmaet. Dette er gjort på en så realistisk måde vi nu kunne, der er blevet
       stillet tilbud op fra forskellige producenter – der er kigget på pris, ydeevne osv.

       Hvis der skulle forekomme tid skal der laves proxyserver og sekundær DNS
       server. Proxy er sat op på TMG’en, og sekundær DNS fungerer fra en DC2 med
       AD. At kunne yde support til hver bruger af et stort netværk er også vigtigt, da
       det både er tids-og ressourcesparende, hvis opsat effektivt. Netop derfor
       valgte vi at sætte RDP op denne måde ville vi kunne logge ind på hver maskine
       uanset hvilken anden maskine vi sidder ved. Hvis folk sidder derhjemme kunne
       man evt. installere et tredjeparts program.



                                                                                           92
2011    Svendeforløbs projekt



       Bilag

                                     Alexander's Dagbog



       Mandag 22. August



       Vi møder friske kl. 08:00 og begynder at finde PC’er, switches, AP, strøm,
       skærme, tastatur, mus osv.!



       Vi havde allerede ugen inden snakket om hvad første dag skulle og ville gå
       med, installation og opdatering af server, windows update, roles, features
       osv.! Dagen går og går og vi arbejder stadig kun med at få opdateret det hele.
       En anden gruppe lavede en lille fejl som alligevel betyder meget; de kaldte
       deres domain name: sdegrp1. Men det der står i opgaven er: sdegr1, så nu er
       vi ekstra opmærksomme på alt det vi laver – ikke bare trykke ”next, next,
       next” virkelig få læst det hele grundigt.



       Daniel er desværre kørt hjem da vi andre finder ud af at han har installeret
       ”server 2008 enterprise” vi er alle blevet enige om ”server 2008 standard” så
       derfor finder vi det nødvendigt at ominstallere.



       Tirsdag 23. August

       Dagen gik ikke særlig godt.



       Vi fik sat DFS, DHCP og RDP op, men ellers er dagen gået lidt med at Daniel
       lavede en meget stor fejl.

       Han kørte dcPromo på vores exchange maskine som gik helt i kage, derefter
       meldte han den ud af vores domain som også gik helt i kage.

       Er lidt indebrændt og stopper med at skrive.




                                                                                       93
2011    Svendeforløbs projekt




       Onsdag 24. August



       Vi lavede slagplan i morges. Fandt ud af hvad vi alle skulle lave.

       Daniel: exchange

       Zaid og Jeg: dmz på nettet

       Zaid og dan: Få kørt DC1 og DC2 mere op

       Green : DMZ



       Daniel kunne igen ikke få exchange til at virke og får tredje gang måtte han
       geninstall exchange serveren.Han havdeaf ukendte årsager slået IPv6 fra og
       prøvede at slette en masse fra regedit til han til sidst kl 1400

       Geninstallede hele serveren og kl 14:15 gik han hjem. Fred være med det, og
       jeg vil faktisk helst ikke have ham her.




       Dan, Zaid og jeg begyndte at install exchange selv.

       Og boom det spillede bare.

       Så nu er exchange oppe og i morgen skal alt hvad exchange indeholder køres
       op.



       Jeg fik ordnet trådløst netværk to gange, først med et gammel AP som ikke
       kunne wpa2-psk og så et nyt et. Udover det lavede jeg Web server og så sad
       Zaid, Dan og jeg, og fik sat en masse op på TMG og DC1 og 2.



       Alt i alt en god dag fra Dan, Zaid og jeg – endnu en skuffende dag fra Daniels
       side.




                                                                                        94
2011    Svendeforløbs projekt



       Torsdag 25. August

       VI sætter os og laver vores slagplan.

       Jeg sætter mig til at lave FTP. Jeg har dog ikke helt styr på det og får gjort lidt
       noget mandagsarbejde, heldigvis er Dan i topform og hjælper mig til et flot
       resultat.

       Udover det får vi lavet brugere og alt muligt andet jeg faktisk ikke kan huske.

       Grunden til jeg ikke husker meget er fordi vores exchange af ukendte årsager
       gik helt i tosset mode. Så vi satte os alle ved den i 2 timer og prøvede at løse
       det, da jeg tror alle var ved at give op gik jeg ind i vores roles og kiggede hvad
       fanden der skete. Af igen, ukendte årsager var web server (IIS) blevet slettet
       … det fik jeg så installeret og det kører igen.



       Fredag 26. August

       Zaid skulle noget med arbejde, så han var her ikke.

       Vi andre satte os til at få fixet vores ftp og hjemmeside da de ikke kunne tilgås
       internal ved at skrive ftp://ftp.sdegr3.dk og www.sdegr3.dk . så vi tilføjede
       Arecord til de forskellige ting og så virkede det. Resten af dagen var med at få
       oprettet forskellige drev og ellers bare blive enige om hvad folk skulle skrive i
       weekenden.



       Mandag 29. August

       Dagen er gået med at skrive lidt og få lavet de sidste ting på DC1.



       Dan har været flittig med at få DFS og netværksdrev til at virke, vi andre har
                hjulpet lidt og skrevet lidt rapport.

       Alt i alt stille dag, tror alle var trætte… på nær Dan, godt arbejde Dan.




                                                                                         95
2011    Svendeforløbs projekt



       Tirsdag 30. August

       Dagen stod igen på at skrive rapport.

       Jeg fik personligt skrevet ca. 10 sider om DMZ, Anti virus, system deployment,
       AP, VPN og proxy – er stadig ikke færdig.

       Zaid fik skrevet en masse om tmg.

       Dan fik skrevet en masse om vores AD

       Daniel blev hjemme, men vi satser på han fik skrevet noget exchange.



       Onsdag 31. August

       Vi har alle skrevet.



       Torsdag 1. September

       Får skrevet det sidste jeg skal skrive da Zaid gerne vil se det hele i Verdana
       12. Det ødelægger helt vildt alt hvad jeg har lavet og bruger nok 30 min på at
       få alle billeder osv. Til at stå hvor de skal stå! Billeder fløj op og ned, ting
       under ftp var oppe i access point. Det er helt ude at skide.



       Vi går i gang med at samle rapporten sammen, rette og til slut afleverer.




                                                                                          96
2011    Svendeforløbs projekt



                                        Dan's Dagbog


       Mandag d. 22-8-2011

       Dag 1.

       I dag har vi opsat maskiner og netværket. Installeret OS på alle maskiner, plus
       opdateringer.

       Domain Controller, med rollerne DNS og DHCP, er installeret på den ene
       server. Serveren navngivet DC1gr3. Problemer med Exchange serveren, den
       skal ominstalleres. Ominstallation af Server OS, på Exchange serveren og
       DMZ’en.

       Tirsdag d. 23-8-2011

       Dag 2.

       Installation af sekundær Domain Controller, med DNS og DHCP. På TMG’en har
       vi tildelt de basale policies. Opsat klient pc, på domænet, på LAN-netværket.
       RDP trafik er tilknyttet hele det interne netværk. TMG’en kan tilgås udefra.
       Exchange serveren er stadig ikke oppe og køre.

       onsdag d. 24-8-2011

       Dag 3.

       Vi laver en slagplan, fra morgenstunden. Så vi går efter en ”to do liste”, for at
       mindske spildtiden, og organisere tingene i den rigtige rækkefølge. Vi har
       været i gang med at oprette OU’er, brugere og policies. Geninstallation af
       server OS plus exchange, Oprettet nye access rules på tmg’en. Ordnet problem
       med perimeter-netværket, fordi det ikke kørte med NAT.

       torsdag d. 25-8-2011

       Dag 4.

       Vi har vi fået Exchange-Serveren op og køre, med Mail-bokse og adgang til
       Outlook Web Access (OWA).

       Alle brugere er blevet oprettet i Active Directory og lagt i de rigtige grupper.

       Der er oprettet Parsword policy, for de 5 bruger-grupper. Filezilla FTP-Server
       er sat op, med bruger, rettigheder og mapper.

       Fredag d. 26-8.2011



                                                                                          97
2011    Svendeforløbs projekt



       Dag 5.

       Efter lidt bøvl har vi fået FTP, WEB-Server og OWA til at kunne tilgås indefra
       10.1.1.0 Lan nettet.

       Et TMG problem er løst, som gjorde at man ikke kunne oprette eller slette filer
       og mapper, fra bruger kontoerne der er oprettet.



       Mandag d. 29-8-2011

       Dag 6.

       Der er oprettet LogonScript til de forskellige grupper, så de får tildelt de rigtige
       network-maps. Redigering af rettigheder på de forskellige mapper, der er
       oprettet til de 5 grupper.

       Oprettet DFS replication, med Namespace og Replication. Installation af
       Forefront endpoint security antivirus på alle maskiner.

       Tirsdag d. 30-8-2011

       Dag 7.

       Påbegyndelse af rapportskrivning, emnerne ”Domain Controller”, ”Active
       Directory” og ”DNS” er påbegyndt.



       Onsdag d. 31-8-2011

       Dag 8.

       Skrevet færdig på de påbegyndt emner fra dagen før.

       Påbegynder ”Namespace”, ”DFS Replication”, ”Folder Replication” og ”Logon
       Script”



       Torsdag d. 1-9-2011

       Dag 9.

       Skrevet det sidste færdig plus finpudsning af emner. Sammensætning af
       rapport og renskrivning.




                                                                                          98
2011    Svendeforløbs projekt



                                       Zaid's Dagbog


       Fredag d. 19. august



       Vi får udleveret projektet og danner en gruppe på fire personer som skal
       arbejde sammen. Vi sætter os herefter over i kantinen og begynder at
       diskutere og planlægge hvordan vores server-scenarie skal se ud. Vi får
       designet hvordan det skal se ud på computeren og afleverer derefter vores
       diagram over netværket som vi får godkendt af læreren efter lidt rettelser.



       Mandag d. 22. august



       I dag mødte vi ind og startede med at sætte vores ting op på vores bord som
       vores gruppe har fået tildelt. Servere, PC'ere og switche fik vi sat op og kablet
       sammen. Vi trak vores gruppeemne som vi skal gå i dybden med i vores
       rapport. Alle server maskiner er blevet installeret med Windows Server 2008
       R2 Standard operativsystem. Alle serverne er blevet fuldt opdateret med
       Windows Update og vi har oprettet vores AD ved at køre DCPROMO på dc1gr3
       serveren.



       Tirsdag d. 23. august



       Vi har i dag kørt DCPROMO op på dc2gr3 og tilføjet den som Domain Controller
       til et eksisterende domæne så den per automatik replikerer med vores dc1gr3
       server. Vi har også tilkoblet vores klient-PC til vores inder-LAN netværk og fået
       DHCP op at køre. RDP er blevet sat op så vi kan tilgå de forskellige servere
       indefra samt bruge adressen 87.116.42.4 til at koble op til vores netværk
       udefra. Vi har fået lavet de vigtigste access rules på vores Forefront TMG
       server.




                                                                                           99
2011    Svendeforløbs projekt



       Onsdag d. 24. august



       Access point samt web server har vi fået sat op så det nu virker samt valgt
       hvilket IP adresse range der skal tildeles til de klienter som logger sig på det
       trådløse access point. DMZ som kører DHCP er sat til at tildele i dette adresse
       range 10.2.1.50-10.2.1.250. Ændringer er blevet lavet i Forefront TMG som
       ikke tillader at klienter på det trådløse kan RDP til de interne servere. De 5
       forskellige afdelinger er blevet oprettet som Organizational Unit(OU) og en
       gruppe til hver afdeling er også blevet oprettet under Active Directory Users
       and Computers. Vi har efter flere mislykkede forsøg fået installeret Exchange
       serveren.




       Torsdag d. 25. august



       De forskellige bruger er alle blevet oprettet i vores Active Directory og lagt ind
       i deres respektive grupper. Vi har lavet en GPO som gælder for alle 5
       afdelinger hvor vi indtil nu kun har defineret vores password policy. Exchange
       serveren har vi fået til at køre og vi har oprettet mailbox'es til alle brugere
       samt mulighed for bruge Outlook Web Access(OWA). Brugerne kan sende til
       hinanden internt og efter lidt SMTP rettelser i Forefront TMG kan vi nu også
       sende og modtage ud ad til på nettet. FTP er sat op og indeholder mapper for
       hver afdeling samt brugerlogon dertil.



       Fredag d. 26. august



       Ikke arbejdet på projekt på grund af firmaarrangement.



       Lørdag d. 27. august



       Rapportskrivning. Skrevet om TMG.



                                                                                          100
2011    Svendeforløbs projekt




       Søndag d. 28. august



       Rapportskrivning. Skrevet om Botnet.




       Mandag d. 29. august



       De sidste finpudsninger på Forefront TMG er lavet og alt er tjekket om det kan
       køre igennem som det skal uden problemer. Logonscripts er blevet lavet til de
       forskellige afdelinger med .bat filer som er blevet lagt ind i sysvol og der er
       efterfølgende blevet lavet en GPO til hver afdeling så logonscript systemet
       bliver automatiseret. De enkelte brugeres personlige home netværksdrev er
       også blevet lavet og vil således blive tildelt brugerne når de logger på ligesom
       logonscripts vil tildele de andre drevs. Vi har oprettet et namespace og fået
       lavet replikering så mappen data bliver replikeret over fra dc1 serveren over til
       dc2 serveren som fungerer lidt som vores "backup" server. Forefront Endpoint
       Security 2010 antivirus er blevet installeret på alle vores maskiner.



       Tirsdag d. 30. august



       Dagen starter med at vores antivirus program advarer os om at den har
       opfanget noget "HackTool" på vores Forefront TMG server. Ved nærmere
       undersøgelse finder vi ud af at der rent faktisk er brudt en uvelkommen person
       ind i vores netværk ved hjælp af standard RDP porten(3389) og har brugt en
       såkaldt "passwordfinder" til at søge en liste igennem med de mest brugte
       standard og avancerede passwords. Vi tog selvfølgelig hånd om sagen
       omgående og fik fjernet alt hvad personen havde lagt ind på serveren og
       ændrede passwordet til et mere avanceret. Efterfølgende blev der lavet
       rapportskrivning. Skrevet videre på TMG.




                                                                                      101
2011    Svendeforløbs projekt



       Onsdag d. 31. august



       Rapportskrivning i skole og hjem. Skrevet om grupper, brugere og password
       og RDP politik.



       Torsdag d. 1. september



       Skrevet kort om delte mapper samt hurtig finpudsning af rapporten da vi har
       haft kort tid til at skrive på rapport i dette projekt på grund af mange
       ominstallationer af blandt andet Exchange serveren.




                                                                                     102
2011    Svendeforløbs projekt



                                      Daniel's dagbog
       22-08-2011

       Jeg har installeret srv 2k8r2 til forberedelse for exchange

       Installeret en server til brug af DMZ

       Client pc er blevet installeret med Win7 Pro

       23-08-2011

       Begge DC kørt op med replikering TMG opsat

       Jeg lavede rav i exchange og er ved at geninstallere

       26-08-2001

       Knokleded med exhcange server, havde lavet srv til DC for at få adgang til AD.
       Men den skal køre på domain ikke som controler, og det gav store problemer
       da DC stadig havde informationer fra den dcpromo jeg lavede. Løsningen var
       at melde exchange ud af systemet og omdøbe den. Fik installeret srv2k8r2 2
       gange i løbet af dagen. Nu fungerer den.

       27-08-2011

       Nu er mail oppe at køre, man skal bare huske at logge ind som administrator
       for at få de rigtige retigheder

       Mail kan sende og modtage.

       28-08-2011

       Brugte det meste af dagen på Exchange

       29-08-2011

       Lavede tilbud på Server og skrev om Backup og print

       30-08-2011

       Tjekket op på det sidste inden aflevering




                                                                                     103
  Svendeforløbs projekt
2011




                 IP Adresse         Gateway       DNS                       Password          Brugernavn      Domæne pc navn

TMG              W:87.116.42.4/27   87.116.42.1   83.136.89.6/83.136.89.4   DanValentin1988   Administrator             tmggr3
                 L: 10.1.1.1                      10.1.1.10/10.1.1.20
                 DMZ: 10.2.1.1                    83.136.89.6/83.136.89.4

DC1 (DHCP)       10.1.1.10          10.1.1.1      10.1.1.10/10.1.1.20       P@ssw0rd          Administrator   sdegr3.dk dc1gr3

DC2 (DHCP)       10.1.1.20          10.1.1.1      10.1.1.10/10.1.1.20       P@ssw0rd          Administrator   sdegr3.dk dc2gr3

Exchange         10.1.1.30          10.1.1.1      10.1.1.10/10.1.1.20       P@ssw0rd          Administrator   sdegr3.dk exgr3

DMZ              10.2.1.10          10.2.1.1      83.136.89.6/83.136.89.4   P@ssw0rd          Administrator             dmzgr3

AP               10.2.1.20          10.2.1.1      83.136.89.6/83.136.89.4   P@ssw0rd          Administrator             sdegr3

                                                                                              Initialer på
Bruger pc'er     10.1.1.50 - 150    10.1.1.1      10.1.1.10/10.1.1.20       P@ssw0rd          brugerne                  pcxxgr3



Backup user                                                                 DanValentin1988
IT-Chef                                                                     DanValentin1988




                                                                                                                         107

								
To top