 |
Настройка служб управления файловыми хранилищами
|
|
|
|
Конкурсное задание
модуль B:
Windows island
Разработано экспертами WSR:
Дюгуров Д.В. 89226826677
Горбачев А.П.
Дата: 11.09.16
Версия: 4
Базовая настройка
• Проверьте и по необходимости настройте базовые параметры на всех виртуальных машинах согласно таблице 1. При первом доступе к операционным системам либо следуйте указаниям мастера, либо, при необходимости, используйте следующие реквизиты: Administrator/Pa$$w0rd для серверных систем; User/Pa$$w0rd для клиентских систем. Используемые логины и пароли сейчас и в дальнейшем документируйте. Обеспечьте наличие соответствующего документа на рабочем месте.
• Настройте разрешения файловой системы
• В домене kazan.wsr.ru на компьютере CLI1 предполагается использование файлов справки в формате.hlp. Для корректной работы справки найдите и удалите файл WinHlp32.exe. В дальнейшем вместо него будет использована нужная утилита.
• Настройте на CLI1 общую папку Distr. Обеспечьте полный доступ к ней и к ее содержимому для доменных администраторов; члены группы IT должны иметь возможность добавлять, изменять и удалять содержимое папки, но не должны иметь возможность удалить саму папку Distr; члены группы Sales должны иметь возможность просматривать содержимое папки и открывать файлы, но им должно быть запрещено удалять что-либо из содержимого папки. Все настройки должны быть выполнены с учетом правила предоставления наименьших необходимых привилегий.
• Настройте отказоустойчивость дисковой подсистемы
• В домене sochi.wsr.ru на сервере FS1 настройте программное зеркалирование системного диска. Используйте для этого один из имеющихся в составе сервера дополнительных дисков. Вносить изменения в настройки виртуальной машины при этом запрещается! Будьте внимательны, переразметить системный раздел после зеркалирования не удастся, поэтому можете использовать второй из имеющихся дополнительных на сервере дисков для создания резервных копий.
|
|
|
• В домене sochi.wsr.ru на сервере FS2 настройте RAID5-массив с участием диска D:\ и дополнительно имеющихся на сервере дисков. Помните, что на сервере должна функционировать система DFS, которая после настройки RAID должна сохранить работоспособность и функциональность.
Настройка сетевых служб
• На серверах RRAS1, RRAS2 и RRAS3 разверните соответствующие роли для обеспечения возможностей маршрутизации и удаленного доступа.
• Настройте протокол динамической маршрутизации RIP между офисами kazan.wsr.ru и sochi.wsr.ru.
• Настройте отказоустойчивость внутреннего шлюза в офисе kazan.wsr.ru. Сервера RRAS1 и RRAS2 должны функционировать в качестве граничных маршрутизаторов. В случае выхода из строя одного из серверов маршрутизация должна продолжать работать в штатном режиме без дополнительных сетевых настроек на рабочих станциях и серверах офиса.
• На серверах RRAS1, RRAS2 и RRAS3 разверните роль для динамической выдачи IP-адресов и других сетевых настроек клиентам соответствующих сетей, и настройте пулы адресов в соответствии с таблицей 2. Учтите, что при получении IP-адреса компьютеры должны автоматически регистрироваться в базе DNS соответствующего домена.
• В офисе kazan.wsr.ru обеспечьте отказоустойчивость автоконфигурации хостов: в случае выхода из строя сервера RRAS1 или сервера RRAS2 клиенты должны получать сетевые настройки в штатном режиме с наименьшим количеством административных вмешательств.
• Переведите клиентские компьютеры в обоих офисах в режим автоматического получения сетевых настроек. Убедитесь в правильности полученных настроек.
• На сервере RRAS1 настройте удаленный доступ с использованием DirectAccess.
|
|
|
• удаленное подключение разрешено только для пользователей группы VPN_users;
• используйте сервер DC1.kazan.wsr.ru в качестве NCA;
• используйте доменное имя da.kazan.wsr.ru для подключения клиентов DirectAccess;
• сгенерируйте SSL-сертификат на сервере MainCA и используйте его для подключения клиентов DirectAccess;
• используйте доменную аутентификацию;
• клиенты DirectAccess должны получать полный доступ к ресурсам сети kazan.wsr.ru.
• На сервере DC1 в офисе kazan.wsr.ru установите роль Службы политики сети и доступа.
• Добавьте клиентов RADIUS в соответствии с таблицей 5.
• Создайте новую политику доступа с названием CiscoTools для клиентов RADIUS. Действовать должна только созданная вами политика.
• Создайте новую административную политику аутентификации с названием NewAuthPol в соответствии с которой члены доменной группы RadiusAdmins смогут аутентифицироваться по протоколу MSCHAP v2.
Настройка служб каталогов
• На сервере DC1 установите роль контроллера домена kazan.wsr.ru. В процессе установки так же установите роль DNS-сервера и настройте соответствующие зоны.
• На сервере DC2 установите роль контроллера домена sochi.wsr.ru. В процессе установки так же установите роль DNS-сервера и настройте соответствующие зоны.
• Создайте пользователей, группы и организационные подразделения в доменах согласно таблице 3. Учтите, что создавать каждого пользователя вручную накладно, используйте соответствующий скрипт. Все созданные учетные записи пользователей должны быть включены и иметь пароль P@ssw0rd1.
• Между доменами kazan.wsr.ru и sochi.wsr.ru установите односторонние доверительные отношения: пользователи домена kazan.wsr.ru должны иметь доступ к ресурсам домена sochi.wsr.ru (без дополнительных настроек в AD и DNS), но не наоборот.
• На серверах DC1 и DC2 настройте пересылку DNS-запросов между доменами kazan.wsr.ru и sochi.wsr.ru. При появлении новых DNS-серверов они должны получать соответствующие настройки автоматически.
• Введите компьютеры RDS, CLI1, RRAS1 и RRAS2 в домен kazan.wsr.ru.
• Введите компьютеры FS1, FS2, CLI2 и RRAS3 в домен sochi.wsr.ru.
• В домене kazan.wsr.ru настройте групповые политики, обеспечивающие выполнение следующих условий:
• пользователи группы IT должны быть членами локальных групп администраторов на всех компьютерах данного домена;
|
|
|
• для всех пользователей домена при открытии браузера IE должна открываться стартовая страница терминального сервера;
• на всех компьютерах домена для всех пользователей должен быть запрещен запуск любых программ из корня диска D:\.
• В домене sochi.wsr.ru настройте групповые политики, обеспечивающие выполнение следующих условий:
• удаленный рабочий стол включен на всех компьютерах домена и доступен для администраторов домена;
• для всех пользователей домена включено перенаправление папок Desktop и My Documents на файловый сервер FS1 в специально созданные для этого папки;
• сетевые папки Man_share и Work_share с файлового сервера FS2 подключены как сетевые диски (Z:\) для пользователей групп Managers и Workers соответственно;
• для всех пользователей домена, кроме группы Admins, запрещена «Корзина» на рабочем столе, запрещено менять тему и рисунок рабочего стола, отключена экранная заставка.
• В домене sochi.wsr.ru для членов группы Managers настройте перемещаемые профили. Для хранения профилей создайте папку D:\Profiles на сервере FS2.
• Проследите за тем, чтобы пользователь имел полный доступ к файлам своего профиля на сервере и не имел никакого доступа к файлам профилей других пользователей.
Настройка общих служб
• На сервере RDS установите и настройте роль терминального сервера.
• На сервере DC1 установите и настройте роль удостоверяющего центра с названием MainCA.
• Разверните терминальный сервер с лицензированием по компьютерам (используйте временную лицензию).
• Сконфигурируйте web-доступ RemoteApp к службам терминалов сервера.
• Опубликуйте программу Wordpad на web-портале RemoteApp для членов группы IT.
• Опубликуйте программу Notepad на web-портале RemoteApp для членов группы Sales.
• Web-интерфейс сервера должен быть настроен таким образом, чтобы пользователи могли автоматически получать доступ к форме входа на web-интерфейс удаленных рабочих столов при указании адресов http://rds.kazan.wsr.ru и https://rds.kazan.wsr.ru.
• С помощью доменного центра сертификации на сервере MainCA сгенерируйте и используйте для терминальных служб соответствующий SSL-сертификат. Сертификат должен быть использован для всех установленных компонентов терминальных служб. При обращении с любого компьютера в домене kazan.wsr.ru или sochi.wsr.ru к сайту по имени https://rds.kazan.wsr.ru сертификат должен распознаваться как доверенный и действительный.
|
|
|
• Настройте службу развертывания
• В домене sochi.wsr.ru разверните роль Службы развертывания Windows на сервере DC2. Система развертывания должна отвечать на запросы любых клиентских компьютеров.
• Обеспечьте интеграцию Cлужбы развертывания с Active Directory.
• В дисководе доменного контроллера DC2 установлен диск с дистрибутивом Windows 8. Используйте этот дистрибутив для распространения операционных систем для клиентских компьютеров.
• Для локального хранения образов создайте и настройте папку E:\RemouteInstall. Используйте для этого дополнительный жесткий диск на DC2.
• Членам группы Admins предоставьте полный доступ к распространяемому образу операционной системы.
• Обеспечьте корректную совместную работу службы развертывания и системой автоконфигурации хостов в офисе sochi.wsr.ru.
• Установите на компьютер Test-CLI операционную систему с помощью настроенной вами Службы развертывания.
Настройка служб управления файловыми хранилищами
• В домене sochi.wsr.ru на серверах FS1 и FS2 установите соответствующие роли для организации распределенной файловой системы.
• Создайте папку C:\Share на сервере FS1 и папку D:\Share на сервере FS2. Внутри созданных папок создайте папки Man_share и Work_share.
• Создайте корень DFS с именем FS. Данный корень должен поддерживаться обоими серверами. Создайте под этим корнем папку с именем Share, ссылающуюся на сетевые директории с тем же именем (Share) созданные вами ранее на каждом сервере. Обеспечьте всем пользователям домена доступ к этой папке на запись. Настройте репликацию между папками средствами DFS. Установите жесткое ограничение 1 Гб на размер папки FS\Share.
• Запретите хранение аудио- и видео-файлов на серверах FS1 и FS2.
• Установите на серверах FS1 и FS2 файловые квоты согласно таблице 4.
Таблица 1. Базовая настройка.
| № п/п | Имя компьютера | Основной DNS-суффикс | IP-адрес | Имя локального администратора/пароль |
| DC1 | kazan.wsr.ru | 10.10.10.10/24 | admin/P@ssw0rd | |
| RDS | kazan.wsr.ru | 10.10.10.50/24 | ||
| CLI1 | kazan.wsr.ru | 10.10.10.62/24 | ||
| RRAS1 | kazan.wsr.ru | nic1: 10.10.10.1/24 nic2: 20.17.255.1/29 | ||
| RRAS2 | kazan.wsr.ru | nic1: 10.10.10.2/24 nic2: 20.17.255.2/29 | ||
| DC2 | sochi.wsr.ru | 10.20.20.10/24 | ||
| FS1 | sochi.wsr.ru | 10.20.20.20/24 | ||
| FS2 | sochi.wsr.ru | 10.20.20.30/24 | ||
| CLI2 | sochi.wsr.ru | 10.20.20.63/24 | ||
| Test-CLI | sochi.wsr.ru | 10.20.20.64/24 | ||
| RRAS3 | sochi.wsr.ru | nic1: 10.20.20.1/24 nic2: 20.17.255.3/29 | ||
| Teleworker | 20.17.255.4/29 |
Таблица 2. Диапазоны адресов.
| № п/п | Офис | Начальный адрес | Конечный адрес | Исключения |
| kazan.wsr.ru | 10.10.10.100/24 | 10.10.10.180/24 | 10.10.10.150 | |
| sochi.wsr.ru | 10.20.20.70/24 | 10.20.20.90/24 | - |
Таблица 3. Доменная иерархия.
|
|
|
| № п/п | Домен | Подразделение | Группа | Члены группы |
| kazan.wsr.ru | Employees | Sales | User1, …, User20 | |
| kazan.wsr.ru | Employees | IT | User30, …, User40 | |
| kazan.wsr.ru | VPN_Users | IT | ||
| kazan.wsr.ru | RADIUS | RadiusAdmins | Администраторы домена | |
| sochi.wsr.ru | Office | Workers | User1, …, User15 | |
| sochi.wsr.ru | Office | Managers | User16, …, User30 | |
| sochi.wsr.ru | Admins | Admin1 |
Таблица 4. Файловые квоты.
| № п/п | Путь | Тип квоты/размер | Уведомление | Отчет пользователю |
| D:\Share\Man_share | Жесткая/300Mb | по e-mail при 85% и 100% | о дублирующих файлах | |
| D:\Share\Work_share | С расширением/ 200Mb+50Mb | по e-mail при 100% | о больших файлах |
Таблица 5. Устройства-клиенты RADIUS.
| № п/п | Имя | IP-адрес | Пароль | Наименование вендора |
| Cisco-SW1 | 20.17.255.5 | Cisco1 | Cisco | |
| Cisco-SW2 | 20.17.255.6 | Cisco2 | ||
| Cisco-R1 | 20.17.255.7 | Cisco3 | ||
| Cisco-R2 | 20.17.255.8 | Cisco4 |
|
|
|
