Пусконаладка инфраструктуры на основе oc семейства windows

В рамках легенды конкурсного задания Вы – системный администратор компании, находящейся в городе Казань. В главном офисе вы управляете доменом skill39.wsr. Вам необходимо настроить сервисы в локальной сети головного офиса.

Компания, в которой вы работаете, хочет выйти на рынки северной Европы. Для этого она устанавливает партнерские отношения с одной из компаний, находящейся в Санкт-Петербурге. Вам нужно помочь администратору партнерской компании с настройкой своего домена (skill39.wsr), а потом настроить между доменами доверие.

Также Вам предстоит настроить канал связи между офисами с помощью статических маршрутов.

Внимательно прочтите задание от начала до конца – оно представляет собой целостную систему. При первом доступе к операционным системам либо следуйте указаниям мастера, либо используйте следующие реквизиты: Administrator/P@ssw0rd.

Если предоставленные виртуальные машины начнут самопроизвольно отключаться в процессе работы, попробуйте выполнить на них команду slmgr /rearm или обратитесь к техническому эксперту.

КОМПЛЕКТАЦИЯ КОНКУРСНОГО ЗАДАНИЯ

1. Текстовые файлы:
2. данный файл с конкурсным заданием;
3. файл дополнений к конкурсному заданию, содержащий: описание вида предустановок, описание используемых операционных систем, а также рекомендации по выделению ресурсов для виртуальных машин.
4. Программное обеспечение:
5. Windows10.ADMX.

Участники не имеют права пользоваться любыми устройствами, за исключением находящихся на рабочих местах устройств, предоставленных организаторами.

Участники не имеют права приносить с собой на рабочее место заранее подготовленные текстовые материалы. В итоге участники должны обеспечить наличие и функционирование в соответствии с заданием служб и ролей на указанных виртуальных машинах. При этом участники могут самостоятельно выбирать способ настройки того или иного компонента, используя предоставленные им ресурсы по своему усмотрению.

Базовая настройка

1. Адреса и хостнеймы сконфигурированы заранее. Удостоверьтесь, что конфигурация является корректной
2. Обеспечьте возможность работы протокола icmp, windows firewall при этом должен быть включен
3. Обеспечьте ввод машин в домен
   • В домене skill39.wsr должны присутствовать машины BRDC, BRWEB, BRCLI, HQDC, HQCLI, HQFS, RemoteCLI
   • Остальные машины должны быть сконфигурированы для участия в рабочей группе NONDOMAIN
4. На всех машинах обоих доменов отключите режим сна
5. Проверьте работоспособность отключенного режима сна. Без отключения режима сна проверка некоторых частей задания будет НЕВОЗМОЖНА.

Конфигурация систем централизованного управления пользователями и компьютерами

1. На машине HQDC разверните домен skill39.wsr
   • Импортируйте пользователей из файла C:Users.csv при помощи скрипта C:import_users.ps1. В скрипте могут быть допущены ошибки. Устраните ошибки в скрипте и сохраните его с названием C:import_users_v2.ps1. Создайте организационные единицы и группы внутри. В качестве названия используйте поле Job Title пользователя. Пользователи должны располагаться в корректных организационных подразделениях и должны быть добавлены в корректные группы
   • Для пользователей IT сконфигурируйте парольную политику со следующими параметрами:
     • Длина пароля не менее 10 символов
     • Срок действия пароля 15 дней
     • Пароль должен быть комплексным
     • Парольная политика применяется только к группе IT без использования GPO
     • Сконфигурируйте название политики ITPassPolicy
   • Так же создайте в домене пользователя Secret с паролем P@ssw0rd. В качестве Job Title данного пользователя укажите Secret User. Пользователь должен располагаться в OU Users и не должен быть включен ни в какие группы, кроме групп по умолчанию. Так же сконфигурируйте параметр City для данного пользователя. Укажите значение Secret City
   • Синхронизируйте время с сервером ISPS. Все остальные машины должны синхронизировать время с HQDC
   • Поместите все клиентские машины в OU Clients, Все сервера в OU Servers. При необходимости создайте данные организационные подразделения
2. На машине BRDC разверните контроллер домена skill39.wsr только для чтения;
   1. Разрешите репликацию паролей для группы competitors
   2. Запретите репликацию паролей для группы IT и администраторов домена
3. Сконфигурируйте групповые политики в домене skill39.wsr
   1. запретите анимацию при первом входе пользователей в систему на всех клиентских компьютерах домена;
   2. члены группы IT должны быть членами группы локальных администраторов на всех клиентских компьютерах домена;
   3. Сконфигурируйте стартовую страницу www.skill39.wsr для всех клиентских машин, в браузерах Internet Explorer и Microsoft edge.
   4. для каждого пользователя, члена группы IT, создайте автоматически подключаемую в качестве диска U: домашнюю папку внутри папки по адресу SRV1→d:sharesIT. Папки должны создаваться динамически, при первом входе пользователя в систему
   5. На всех клиентских компьютерах домена все пользователи должны видеть ярлык приложения калькулятор
   6. Сконфигурируйте заставку рабочего стола. Заставка должна обозначать принадлежность машины к офису, например в офисе HQ заставка должна содержать слово HQ, в офисе Branch, слово Branch.

• Введите машину RemoteCLI в домен при помощи функции оффлайн присоединения к домену. Файл для присоединения сохраните в корне диска C:

Конфигурация сетевой инфраструктуры

1. На сервере HQDC сконфигурируйте DHCP сервер для подсети офисов HQ и Branch
   1. в качестве диапазона выдаваемых адресов используйте все незанятые серверами адреса в подсети
   2. Обеспечьте отказоустойчивость DHCP между серверами  HQDC и HQFS
      • При выходе из строя DHCP сервера на HQDC в работу должен вступать сервер на HQFS. Все остальное время DHCP сервер на HQFS должен находится в режиме простоя
      • Обеспечьте автоматическое переключение между серверами не более чем за одну минуту
   3. Сконфигурируйте дополнительные опции (адреса DNS серверов и шлюз по умолчанию)
2. На машине WINRTR сконфигурируйте DHCP Relay
3. Сконфигурируйте DNS для домена skill39.wsr
   • Обеспечьте возможность разрешения обратных имен
   • Запретите использование нелатинских символов
   • Добавьте запись www.skill39.wsr таким образом, чтобы машины из офиса Branch обращались к BRWEB, а машины из офиса HQ к HQFS.

• На сервере ISP сконфигурируйте эмуляцию соединения с интернетом. При проверке наличия соединения с интернетом любой сервер и любой клиент любого офиса должны давать положительный ответ. Все машины всех офисов должны  считать, что они находятся в интернете

Конфигурация служб хранения данных

1. Из дополнительных жестких дисков создайте массив RAID1 и присвойте ему букву D:
2. создайте общие папки для подразделений по адресу SRV1→d:sharesdepartments.
   1. Просматривать и редактировать файлы в папках могут только члены соответствующей группы.
3. обеспечьте привязку общей папки подразделения к соответствующей группе пользователей в качестве диска G:.
4. пользователи домена при обращении к общим папкам, на доступ которым у них нет разрешений, должны получать вместо стандартного уведомление следующего вида: «You do not have permissions to use this path — [путь к папке]! Do not try it again!».
5. установите максимальный размер в 2 Gb для каждой домашней папки пользователя (U:);
6. запретите хранение в домашних папках пользователей файлов с расширениями .mp3 и .wav; учтите, что файлы остальных типов пользователи вправе хранить в домашних папках.
7. для хранения профилей пользователей в домене skill39.wsr используйте общую папку по адресу HQFS→D:Sharesprofiles;
8. каждый пользователь должен иметь доступ к файлам только своего профиля; при обращении к указанной общей папке средствами программы Проводник пользователь должен видеть в списке только папку со своим профилем.
9. Создайте каталог D:SharesSecret. Обеспечьте возможность доступа к данному каталогу только пользователям, Job Title которых установлен как Secret User, и параметр City — Secret City

Конфигурация веб- и почтовых служб

1. На HQFS создайте сайт www.skill39.wsr
   1. При переходе на сайт должна быть видна надпись Welcome to Head-Quater!
   2. Сайт должен быть доступен по https
      • Используйте сертификат, выданный HQDC
      • При переходе на сайт не должно возникать ошибок, связанных с сертификатами
      • Настройте автоматическое перенаправление http -> https
   3. Обеспечьте возможность доступа на сайт по имени www.skill39.wsr с клиентских машин обоих офисов
2. На BRWEB создайте сайт www.skill39.wsr
   1. При переходе на сайт должна быть видна надпись Welcome to Branch!!
   2. Сайт должен быть доступен по https
      • Используйте сертификат, выданный HQDC
      • При переходе на сайт не должно возникать ошибок, связанных с сертификатами
      • Настройте автоматическое перенаправление http -> https
   3. Обеспечьте возможность доступа на сайт по имени www.skill39.wsr с клиентских машин обоих офисов

Конфигурация параметров безопасности и служб аутентификации

1. Сконфигурируйте корневой недоменный центр сертификации на машине RootCA
   1. имя центра сертификации – HQRootCA
   2. срок действия сертификата – 8 лет;
   3. Сконфигурируйте корректные CRL и AIA
   4. Подпишите сертификат для подчиненного центра сертификации и отключите сетевой адаптер средствами операционной системы
2. Сконфигурируйте подчиненный доменный центр сертификации на машине HQDC
   1. Имя центра сертификации — HQ Sub
   2. Срок действия 5 лет
   3. Сконфигурируйте корректные CRL и AIA
   4. Создайте шаблон для группы IT. В качестве названия шаблон укажите ITUsers, Subject Name = Common Name, обеспечьте автоматическую выдачу данного сертификата только группе IT
   5. Создайте шаблон Clients для всех клиентских компьютеров домена. В качестве названия шаблона укажите Clients, Subject Name = Common Name, обеспечьте автоматическую выдачу данного сертификата только для клиентских ПК.
3. Все машины офисов HQ и Branch должны доверять сертификатам обоих центров сертификации

Настройка маршрутизации

1. Сконфигурируйте WINRTR для достижения полной связанности между всеми офисами и интернетом.
2. Средствами Windows Firewall запретите icmp трафик из сети интернет до сети любого из офисов. Весь остальной трафик должен быть разрешен.

• Конфигурация служб мониторинга,резервного копирования, журналирования
• В данном модуле настройка не предусмотрена
• Конфигурация служб удаленного доступа
• В данном модуле настройка не предусмотрена
• Настройка подключений к глобальным сетям
• В данном модуле настройка не предусмотрена
• Конфигурация подсистемы телефонной связи
• В данном модуле настройка не предусмотрена
• Виртуализация
• В данном модуле настройка не предусмотрена
• СУБД
• В данном модуле настройка не предусмотрена
• Автоматизация администрирования
• В данном модуле настройка не предусмотрена
• Конфигурация и установка системы
• В данном модуле настройка не предусмотрена

ПРИЛОЖЕНИЕ

ВВЕДЕНИЕ. Настоящие дополнения содержат описание вида предустановок, описание используемых операционных систем, рекомендации по выделению ресурсов для виртуальных машин.

ОПИСАНИЕ ПРЕДУСТАНОВОК

1. На SRV1 должно быть установлено четыре (или пять) жестких диска: один не менее – 25 Gb, три (четыре) – 5 Gb .
2. Все остальные жесткие диски всех виртуальных машин должны иметь объем не менее 25 Gb.
3. После установки на всех виртуальных машинах необходимо выполнить сценарий Sysprep c опцией generalize.
4. После выполнения работ перезагрузка стендов остается на усмотрение экспертов.

ОПИСАНИЕ ПРИМЕНЯЕМЫХ ОПЕРАЦИОННЫХ СИСТЕМ

Имя компьютера	Операционная система
HQDC	Windows Server 2019 GUI
HQCLI	Windows 10 Enterprise
HQFS	Windows Server 2019 Core
BRDC	Windows 2019 GUI
ISPS	Windows 2019 GUI
RootCA	Windows Server 2019 Core
BRWEB	Windows Server 2019 Core
BRCLI	Windows 10 Enterprise
WINRTR	Windows Server 2019 GUI
RemoteCLI	Windows 10 Enterprise

Задание протестировано на 100% следующих сборках ОС:

·       Server 2019 – 17763.379.190312-0539;

·       Win 10 Ent  – 18362.30.190401-1528.

Модуль В: «Пусконаладка инфраструктуры на основе OC семейства Windows»

Версия 1 от 28.09.20

ВВЕДЕНИЕ

На выполнение задания отводится ограниченное время – подумайте, как использовать его максимально эффективно. Составьте план выполнения работ. Вполне возможно, что для полной работоспособности системы в итоге действия нужно выполнять не строго в той последовательности, в которой они описаны в данном конкурсном задании.

В рамках легенды конкурсного задания Вы – системный администратор компании, находящейся в городе Казань. В главном офисе вы управляете доменом skill39.wsr. Вам необходимо настроить сервисы в локальной сети головного офиса.

Компания, в которой вы работаете, хочет выйти на рынки северной Европы. Для этого она устанавливает партнерские отношения с одной из компаний, находящейся в Санкт-Петербурге. Вам нужно помочь администратору партнерской компании с настройкой своего домена (skill39.wsr), а потом настроить между доменами доверие.

Также Вам предстоит настроить канал связи между офисами с помощью статических маршрутов.

Внимательно прочтите задание от начала до конца – оно представляет собой целостную систему. При первом доступе к операционным системам либо следуйте указаниям мастера, либо используйте следующие реквизиты: Administrator/P@ssw0rd.

Если предоставленные виртуальные машины начнут самопроизвольно отключаться в процессе работы, попробуйте выполнить на них команду slmgr /rearm или обратитесь к техническому эксперту.

КОМПЛЕКТАЦИЯ КОНКУРСНОГО ЗАДАНИЯ

1. Текстовые файлы:
2. данный файл с конкурсным заданием;
3. файл дополнений к конкурсному заданию, содержащий: описание вида предустановок, описание используемых операционных систем, а также рекомендации по выделению ресурсов для виртуальных машин.
4. Программное обеспечение:
5. Windows10.ADMX.

Участники не имеют права пользоваться любыми устройствами, за исключением находящихся на рабочих местах устройств, предоставленных организаторами.

Участники не имеют права приносить с собой на рабочее место заранее подготовленные текстовые материалы.

В итоге участники должны обеспечить наличие и функционирование в соответствии с заданием служб и ролей на указанных виртуальных машинах. При этом участники могут самостоятельно выбирать способ настройки того или иного компонента, используя предоставленные им ресурсы по своему усмотрению.

Базовая настройка

1. Адреса и хостнеймы сконфигурированы заранее. Удостоверьтесь, что конфигурация является корректной

Hostname

Ipconfig /all

Hostname	IP	MAC	Gi	DNS1	DNS2
HQDC	10.0.10.10	255.255.255.0	10.0.10.1	10.0.10.10	172.16.10.20
HQCLI	DHCP	DHCP	10.0.10.1	10.0.10.10
HQFS	10.0.10.20	255.255.255	10.0.10.1	10.0.10.10	172.16.10.20
BRDC	172.16.10.20	255.255.255	172.16.10.1	10.0.10.10	172.16.10.20
ISPS	200.100.100.100	255.255.255	200.100.100.1
RootCA	10.0.10.30	255.255.255	10.0.10.1	10.0.10.10	172.16.10.20
BRWEB	172.16.10.10	255.255.255	172.16.10.1	10.0.10.10	172.16.10.20
BRCLI	DHCP	DHCP	172.16.10.1	172.16.10.20
WINRTR	10.0.10.1 172.16.10.1 200.100.100.1	255.255.255 255.255.255 255.255.255	* 8.8.8.8 *	10.0.10.10 172.16.10.20
RemoteCLI	DHCP	DHCP	DHCP

• Обеспечьте возможность работы протокола icmp, windows firewall при этом должен быть включен

ЧЕРЕЗ GPO на HQDC

1

2

3

4

Или использовать команду в powershell

New-NetFirewallRule -DisplayName «icmp allow» -Action Allow -Protocol ICMPv4 -LocalPort Any

1. Обеспечьте ввод машин в домен

Для выполнения этого пункта задания необходимо сначала настроить active directory и dns

(См ниже)

1. В домене skill39.wsr должны присутствовать машины BRDC, BRWEB, BRCLI, HQDC, HQCLI, HQFS, RemoteCLI

ПРИМАНИЕ: ДОБАВЛЯЕМ DNS

 HQDC

5

6

7

8

HQFS

9

11

12

13

14

15

16

Или использовать команду в powershell

Add-Computer -DomainName «skill39.wsr»

1. Остальные машины должны быть сконфигурированы для участия в рабочей группе NONDOMAIN

Машины, которые не находиться в домене RootCA, ISPS, WINRTR это можно сделать, используя графический интерфейс

НА RootCA

17

18

Add-Computer -WorkgroupName «NONDOMAIN»

НА ISPS

19

НА WINRTR

20

На всех машинах обоих доменов отключите режим сна

21

22

23

Или использовать команду в powershell

powercfg -x standby-timeout-ac 0

powercfg -x monitor-timeout-ac 0

1. Проверьте работоспособность отключенного режима сна. Без отключения режима сна проверка некоторых частей задания будет НЕВОЗМОЖНА.

Можно проверить выбранный план работы энергоснабжения на ВМ командой

Powercfg –list

НАЧАЛО

Конфигурация систем централизованного управления пользователями и компьютерами

1. На машине HQDC разверните домен skill39.wsr

это можно сделать, используя графический интерфейс

1

2

3

4

5

6

7

8

9

10

11

12

13

15

14

15

16

17

18

19

Или использовать команду в powershell

Install-WindowsFeature -Name AD-Domain-Services, RSAT-AD-Tools -IncludeAllSubFeature

Install-ADDSForest -DomainName «skill39.wsr»

После чего вводим два раза пароль от базы банных для ADDS

Создаем обратную зону

1

2

3

4

5

Импортируйте пользователей из файла C:Users.csv при помощи скрипта C:import_users.ps1. В скрипте могут быть допущены ошибки. Устраните ошибки в скрипте и сохраните его с названием C:import_users_v2.ps1. Создайте организационные единицы и группы внутри. В качестве названия используйте поле Job Title пользователя. Пользователи должны располагаться в корректных организационных подразделениях и должны быть добавлены в корректные группы

1

2

Фикс CSV

First_Name

Last_Name

Role

Phone

OU

Street

ZIP

City

Country

Password

3

4

5

6

Import-Module ActiveDirectory

Import-Csv -Delimiter «;» «C:Usersdone.csv» | ForEach-Object {

$Fullname = $_.Last_Name + » » + $_.First_Name

$pass = ConvertTo-SecureString($_.Password) -AsPlainText -Force

New-ADOrganizationalUnit -Name $_.OU -Path «DC=skill39, DC=wsr»

New-ADGroup -Name $_.Role -Path («OU=» +$_.OU + «,DC=skill39, DC=wsr») -GroupScope Global

New-ADUser -Name $Fullname -GivenName $_.First_Name -Surname $_.Last_Name -Title $_.Role -MobilePhone $_.Phone `

-Department $_.OU -StreetAddress $_.Street -PostalCode $_.ZIP -City $_.City `

-Country RU -Path («OU=» + $_.OU + «,DC=skill39,DC=wsr») `

-AccountPassword $pass -Enabled $true -CannotChangePassword $true `

Add-ADGroupMember -Identity $_.OU -Members $Fullname

}

7

8

9

10

11

12

1. Для пользователей IT сконфигурируйте парольную политику со следующими параметрами:
   1. Длина пароля не менее 10 символов
   1. Срок действия пароля 15 дней
   1. Пароль должен быть комплексным
   1. Парольная политика применяется только к группе IT без использования GPO
   1. Сконфигурируйте название политики ITPassPolicy

Используем PSO

1

2

3

4

Так же создайте в домене пользователя Secret с паролем P@ssw0rd. В качестве Job Title данного пользователя укажите Secret User. Пользователь должен располагаться в OU Users и не должен быть включен ни в какие группы, кроме групп по умолчанию. Так же сконфигурируйте параметр City для данного пользователя. Укажите значение Secret City

5

6

7

9

10

11

1. Синхронизируйте время с сервером ISPS. Все остальные машины должны синхронизировать время с HQDC

ПРЕМИЧАНИЕ: ДОЛЖНА РАБОТАТЬ МАРШРУТИЗАЦИЯ (см. нижее)

На HQDC, ISPS, WINRTR

1

2

3

4

5

6

7

New-NetFirewallRule -DisplayName «ntp allow» -Action Allow -Protocol UDP -LocalPort 123

На ISPS

8

9

10

11

12

На HQDC

13

14

w32tm /config /manualpeerlist:»200.100.100.100″ /syncfromflags:MANUAL /reliable:yes /update

restart-service w32time

w32tm /query /status

для других на HQDC

8

9

10

11

12

13

14

16

10

Проверка на HQFS

Для тех кто не в домене можно

1

2

Поместите все клиентские машины в OU Clients, Все сервера в OU Servers. При необходимости создайте данные организационные подразделения

2

3

ДОДЕЛАЬ

Или использовать команду в powershell

New-ADOrganizationalUnit -Name «Clients» -Path «DC= skill39, DC= wsr»

New-ADOrganizationalUnit -Name «Servers» -Path «DC= skill39, DC= wsr» На машине BRDC разверните контроллер домена skill39.wsr только для чтения

2

На машине BRDC разверните контроллер домена skill39.wsr только для чтения;

1

2

4

5

6

7

8

9

10

11

12

13

14

15

Или использовать команду в powershell

Install-WindowsFeature -Name AD-Domain-Services -IncludeAllSubFeature

Install-ADDSDomainController -DomainName «skill39.wsr» -SiteName «Default-First-Site-Name» -NoGlobalCatalog:$true -ReadOnlyReplica:$true -Credential(Get-Credential)

1. Разрешите репликацию паролей для группы competitors

ПРИМЕЧАНИЕ: ЕСЛИ НЕТ СОЗДАЕМ OU и ГРУППУ

На HQDC

1

1

2

Запретите репликацию паролей для группы IT и администраторов домена

1

1

1. Сконфигурируйте групповые политики в домене skill39.wsr
   1. запретите анимацию при первом входе пользователей в систему на всех клиентских компьютерах домена;

1

2

3

4

7

8

1. члены группы IT должны быть членами группы локальных администраторов на всех клиентских компьютерах домена;

9

10

11

12

13

14

15

16

1. Сконфигурируйте стартовую страницу www.skill39.wsr для всех клиентских машин, в браузерах Internet Explorer и Microsoft edge.

ПРИМЕЧАНЕ: УСТАНОВТЬ ADMX

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

1. для каждого пользователя, члена группы IT, создайте автоматически подключаемую в качестве диска U: домашнюю папку внутри папки по адресу HQFS→d:sharesIT. Папки должны создаваться динамически, при первом входе пользователя в систему

ПРИМЕАНИЕ: ДЛЯ ТОГО НУЖНО СДЕЛАТЬ RAID

34

35

36

37

38

38

39

40

31

47

11

1

2

3

4

5

6

7

8

9

1

2

3

4

5

6

7

8

9

На всех клиентских компьютерах домена все пользователи должны видеть ярлык приложения калькулятор

10

11

1

2

Сконфигурируйте заставку рабочего стола. Заставка должна обозначать принадлежность машины к офису, например в офисе HQ заставка должна содержать слово HQ, в офисе Branch, слово Branch.

ПРИМЕЧАНИЕ: В ГРУППЫ НАДО ДОБАВИТЬ ВСЕ НЕОХОДИМЫЕ УСТРОЙСТАВ ПО ЗАДАНИЮ

3

4

5

6

7

8

9

10

11

12

1

1

1

2

3

4

5

Введите машину RemoteCLI в домен при помощи функции оффлайн присоединения к домену. Файл для присоединения сохраните в корне диска C:

На HQDC

1

На RemoteCLI

2

Конфигурация сетевой инфраструктуры

1. На сервере HQDC сконфигурируйте DHCP сервер для подсети офисов HQ и Branch

1. в качестве диапазона выдаваемых адресов используйте все незанятые серверами адреса в подсети

для HQ

1

1

2

3

4

5

6

7

8

9

10

11

Для Branch

12

1

1

1

1

Обеспечьте отказоустойчивость DHCP между серверами HQDC и HQFS

1

2

3

1

1

1

1

1. При выходе из строя DHCP сервера на HQDC в работу должен вступать сервер на HQFS. Все остальное время DHCP сервер на HQFS должен находится в режиме простоя

ПРИМЕЧАНИЕ: СНАЧАЛА ЛУЧШЕ СДЕЛАТЬ ОПЦИИ А ПОТОМ ФАЙЛОВЕР

1

1

1

Обеспечьте автоматическое переключение между серверами не более чем за одну минуту

1

1. Сконфигурируйте дополнительные опции (адреса DNS серверов и шлюз по умолчанию)

Для HQ

1

1

1

Для BR

1

1

1. На машине WINRTR сконфигурируйте DHCP Relay

ПРИМЕЧАНИЕ: ПОСЛЕ УСТАНОВКИРОЛИ

1

1

1

1

1

1

1

1. Сконфигурируйте DNS для домена skill39.wsr
   1. Обеспечьте возможность разрешения обратных имен

ПРИМЕЧАНИЕ: СОЗДАТЬ ОБРАТНЫЕ ЗОНЫ

1

2

3

4

Запретите использование нелатинских символов

1

2

3

4

1. Добавьте запись www.skill39.wsr таким образом, чтобы машины из офиса Branch обращались к BRWEB, а машины из офиса HQ к HQFS.

НА HQDC

1

2

3

4

5

На HQDC

Add-DnsServerClientSubnet -Name «BRSubnet» -IPv4Subnet «172.16.10.0/24» –PassThru

Add-DnsServerZoneScope -ZoneName «skill39.wsr» -Name «BRZoneScope» –PassThru

Add-DnsServerResourceRecord -ZoneName «skill39.wsr» -A -Name «www.skill39.wsr.» -IPv4Address «172.16.10.10» -ZoneScope «BRZoneScope» –PassThru

Add-DnsServerQueryResolutionPolicy -Name «BRPolicy» -Action ALLOW -ClientSubnet «eq,BRSubnet» -ZoneScope «BRZoneScope,1» -ZoneName «skill39.wsr» -PassThru

1. На сервере ISP сконфигурируйте эмуляцию соединения с интернетом. При проверке наличия соединения с интернетом любой сервер и любой клиент любого офиса должны давать положительный ответ. Все машины всех офисов должны считать, что они находятся в интернете

На HQDC

1

1

1

1

1

1

1

1

1

1

НА ISPS

1

2

3

2

1

1

1

1

Лол

Конфигурация служб хранения данных

1. Из дополнительных жестких дисков создайте массив RAID1 и присвойте ему букву D:

1

2

3

1

1

создайте общие папки для подразделений по адресу HQFS→d:sharesdepartments.

1

2

3

4

5

1

2

Просматривать и редактировать файлы в папках могут только члены соответствующей группы.

1

1

1

1

1

1

1

1

1

2

1

1

обеспечьте привязку общей папки подразделения к соответствующей группе пользователей в качестве диска G:

1

1

1

1

1

1

1. пользователи домена при обращении к общим папкам, на доступ которым у них нет разрешений, должны получать вместо стандартного уведомление следующего вида: «You do not have permissions to use this path — [путь к папке]! Do not try it again!».

НА HQFS

1

2

3

На HQDC

1

1

1

1

2

3

установите максимальный размер в 2 Gb для каждой домашней папки пользователя (U:);

3

5

НА HQFS

1

1

1

1

1

1

запретите хранение в домашних папках пользователей файлов с расширениями .mp3 и .wav; учтите, что файлы остальных типов пользователи вправе хранить в домашних папках.

1

1

1

1

1

для хранения профилей пользователей в домене skill39.wsr используйте общую папку по адресу HQFS→D:Sharesprofiles;

1

1

1

1

1

1

1

1

1

1

1

1

каждый пользователь должен иметь доступ к файлам только своего профиля; при обращении к указанной общей папке средствами программы Проводник пользователь должен видеть в списке только папку со своим профилем.

2

Создайте каталог D:SharesSecret. Обеспечьте возможность доступа к данному каталогу только пользователям, Job Title которых установлен как Secret User, и параметр City — Secret City

1

1

1

1

1

1

1

1

1

1

1

1

1

2

3

1

1

1

1

1

1

1

2

3

1

3

1

1

1

1

1

1

1

1

1

Конфигурация веб- и почтовых служб

1. На HQFS создайте сайт www.skill39.wsr

При переходе на сайт должна быть видна надпись Welcome to Head-Quater!

1

2

1

1

1

1

1

1

1

1

1

1

Net start WMSVC

1

1

1

1

1

1

1

1

1

1

Install-WindowsFeature -Name Web-Server –IncludeManagementTools

Set-Content -Path C:inetpubwwwrootiisstart.htm -Value ‘<html> Welcome to Head-Quater!</html>’

1. Сайт должен быть доступен по https

ПРИМЕЧАНИЕ ПОСЛЕ УСТАНОВКИ И НАСТРОКИ Cab CA

1. Используйте сертификат, выданный HQDC

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1. При переходе на сайт не должно возникать ошибок, связанных с сертификатами

ПРЕМЕЧАНИЕ НУНЫ ТЕМПЛЕТЫ АВТО ИНРУЛ

1. Настройте автоматическое перенаправление http -> https

1

1

1

ПРИМЕАНИЕ ЕСЛИ НЕТУ ТО РЕКОНЕКТ К СЕРВЕРУ

1

1

1

1

1. Обеспечьте возможность доступа на сайт по имени www.skill39.wsr с клиентских машин обоих офисов

ПРЕМЕЧАНИЕ СДЕЛАЛИ

• На BRWEB создайте сайт www.skill39.wsr
  • При переходе на сайт должна быть видна надпись Welcome to Branch!!

1

1

1

1

1

1

1

1

1

1

1

1

1

Set-Content -Path C:inetpubwwwrootiisstart.htm -Value ‘<html> Welcome to Branch!!</html>’

1. Сайт должен быть доступен по https
   1. Используйте сертификат, выданный HQDC

ПРИМЕАНИЕ МОЖНО ИСПОЛЬЗОВАТЬ ССЛ КАК И НА HQFS

1

1

1

1

1

1. При переходе на сайт не должно возникать ошибок, связанных с сертификатами

1. Настройте автоматическое перенаправление http -> https

1

1

1

1

1

1

1

1

1. Обеспечьте возможность доступа на сайт по имени http://www.skill39.wsr с клиентских машин обоих офисов

ПРИМЕЧАНИЕ ОБЕСПЕЧЕЛ

Конфигурация параметров безопасности и служб аутентификации

1. Сконфигурируйте корневой недоменный центр сертификации на машине RootCA

1

1

Set-Item WSMan:localhostClientTrustedHosts –Value “rootca.skill39.wsr”

1

1

1

1

1

1

2

1

1

1

1

1

1

имя центра сертификации – HQRootCA

1

1. срок действия сертификата – 8 лет;

ПРИМЕЧАНИЕ: время!!!!

1

1

1

ПРЕМЕАНЕИ: УСТАНОВМ НА HQDC послу установке есть остнастка

1

1

1

Сконфигурируйте корректные CRL и AIA

CRL

http://hqdc.skill39.wsr/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

1

1

1

AIA

http://hqdc.skill39.wsr/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt

1

1

1

ПРИМЕЧАНЕ СКАЧАТЬ СЕРТ ROOTCA

1

1

1

1

ПРИМЕАНИЯ КОПИРУЕМ СЕРТЫ

Подпишите сертификат для подчиненного центра сертификации и отключите сетевой адаптер средствами операционной системы

1

1

1

1

1

1

1

1

1

1

1

ПОСЛЕ КОНФИГУРАЦИИ САВ

1

Сконфигурируйте подчиненный доменный центр сертификации на машине HQDC

1

1

1

1

1

1

1

Имя центра сертификации — HQ Sub

1

1

1. Срок действия 5 лет

ПРИМЕАНИЕ ЧЕРЕЗ ТЕМПЛЕТЫ

• Сконфигурируйте корректные CRL и AIA

1

CRL

http://hqdc.skill39.wsr/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

1

1

AIA

http://hqdc.skill39.wsr/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt

1

ПРИМЕЧАНЕИ ИНСТАЛ РУТТ СЕРТА

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1. Создайте шаблон для группы IT. В качестве названия шаблон укажите ITUsers, Subject Name = Common Name, обеспечьте автоматическую выдачу данного сертификата только группе IT

ПРЕМЕЧАНИЕ УДАЛЯЕМ ВСЕ ТЕМПЛЕЙТЫ

1

1

1

1

1

2

1

1

Создайте шаблон Clients для всех клиентских компьютеров домена. В качестве названия шаблона укажите Clients, Subject Name = Common Name, обеспечьте автоматическую выдачу данного сертификата только для клиентских ПК.

1

1

1

1

1

1

ПРИМЕЧАНИЕ ЧТОБЫ РАБОТАЛ АВТОРУЛЛ НУЖНО ДВЕ ГПО

1

1

1

ПИМЕЧАНИЕ В НЕЕ ЖЕ ДОБАВЛЯЕМ НА ПОЛЬЗОВАТЕЛЕЙ

1

1

ПРЕМИАНИЕ ДЛЯ ВЕБА НУЖЕН БУДЕТ ЕЩЕ ОДИН ТЕМПЛЕЙТ

1

1

1

ПРИМЕЧАНИЕ ВТОРОЯ ГПО НА ТРАСТЫ РУТУ НИЖЕ

1. Все машины офисов HQ и Branch должны доверять сертификатам обоих центров сертификации

1

1

1

1

Настройка маршрутизации

1. Сконфигурируйте WINRTR для достижения полной связанности между всеми офисами и интернетом.

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1. Средствами Windows Firewall запретите icmp трафик из сети интернет до сети любого из офисов. Весь остальной трафик должен быть разрешен.

На всех серверах или через гпо

New-NetFirewallRule -DisplayName «Block» -Action Block -Protocol ICMPv4 -localAddress 172.16.10.0/24, 10.0.10.0/24 -RemoteAddress 200.100.100.0/24

Конфигурация служб мониторинга,резервного копирования, журналирования

В данном модуле настройка не предусмотрена

Конфигурация служб удаленного доступа

В данном модуле настройка не предусмотрена

Настройка подключений к глобальным сетям

В данном модуле настройка не предусмотрена

Конфигурация подсистемы телефонной связи

В данном модуле настройка не предусмотрена

Виртуализация

В данном модуле настройка не предусмотрена

СУБД

В данном модуле настройка не предусмотрена

Автоматизация администрирования

В данном модуле настройка не предусмотрена

Конфигурация и установка системы

В данном модуле настройка не предусмотрена

 

ПРИЛОЖЕНИЕ

ВВЕДЕНИЕ. Настоящие дополнения содержат описание вида предустановок, описание используемых операционных систем, рекомендации по выделению ресурсов для виртуальных машин.

ОПИСАНИЕ ПРЕДУСТАНОВОК

1. На SRV1 должно быть установлено четыре (или пять) жестких диска: один не менее – 25 Gb, три (четыре) – 5 Gb .
2. Все остальные жесткие диски всех виртуальных машин должны иметь объем не менее 25 Gb.
3. После установки на всех виртуальных машинах необходимо выполнить сценарий Sysprep c опцией generalize.
4. После выполнения работ перезагрузка стендов остается на усмотрение экспертов.

ОПИСАНИЕ ПРИМЕНЯЕМЫХ ОПЕРАЦИОННЫХ СИСТЕМ

Имя компьютера	Операционная система	CPU	RAM	HDD	Net
HQDC	Windows Server 2019 GUI	2	2	20	PG_HQ
HQCLI	Windows 10 Enterprise	2	2	20	PG_HQ
HQFS	Windows Server 2019 Core	1	1	20/5/5	PG_HQ
BRDC	Windows 2019 GUI	2	2	20	PG_BRANCH
ISPS	Windows 2019 GUI	2	2	20	PG_INET
RootCA	Windows Server 2019 Core	1	1	20	PG_HQ
BRWEB	Windows Server 2019 Core	1	1	20	PG_BRANCH
BRCLI	Windows 10 Enterprise	2	2	20	PG_BRANCH
WINRTR	Windows Server 2019 GUI	2	2	20	PG_INET PG_BRANCH PG_HQ
RemoteCLI	Windows 10 Enterprise	2	2	20	PG_INET

Задание протестировано на 100% следующих сборках ОС:

·       Server 2019 – 17763.379.190312-0539;

·       Win 10 Ent  – 18362.30.190401-1528.

 

РЕКОМЕНДАЦИИ ПО ВЫДЕЛЕНИЮ ОПЕРАТИВНОЙ ПАМЯТИ ВИРТУАЛЬНЫХ МАШИН

·   Windows Server 2019 Core: минимум – 1 Gb, рекомендовано – 1,5 Gb;

·   Windows Server 2019 GUI: минимум – 1,5 Gb, рекомендовано – 2 Gb;

·   Windows 10 Enterprise: минимум – 1,5 Gb, рекомендовано – 2 Gb.