В рамках легенды конкурсного задания Вы – системный администратор компании, находящейся в городе Казань. В главном офисе вы управляете доменом skill39.wsr. Вам необходимо настроить сервисы в локальной сети головного офиса.
Компания, в которой вы работаете, хочет выйти на рынки северной Европы. Для этого она устанавливает партнерские отношения с одной из компаний, находящейся в Санкт-Петербурге. Вам нужно помочь администратору партнерской компании с настройкой своего домена (skill39.wsr), а потом настроить между доменами доверие.
Также Вам предстоит настроить канал связи между офисами с помощью статических маршрутов.
Внимательно прочтите задание от начала до конца – оно представляет собой целостную систему. При первом доступе к операционным системам либо следуйте указаниям мастера, либо используйте следующие реквизиты: Administrator/P@ssw0rd.
Если предоставленные виртуальные машины начнут самопроизвольно отключаться в процессе работы, попробуйте выполнить на них команду slmgr /rearm или обратитесь к техническому эксперту.
КОМПЛЕКТАЦИЯ КОНКУРСНОГО ЗАДАНИЯ
- Текстовые файлы:
- данный файл с конкурсным заданием;
- файл дополнений к конкурсному заданию, содержащий: описание вида предустановок, описание используемых операционных систем, а также рекомендации по выделению ресурсов для виртуальных машин.
- Программное обеспечение:
- Windows10.ADMX.
Участники не имеют права пользоваться любыми устройствами, за исключением находящихся на рабочих местах устройств, предоставленных организаторами.
Участники не имеют права приносить с собой на рабочее место заранее подготовленные текстовые материалы. В итоге участники должны обеспечить наличие и функционирование в соответствии с заданием служб и ролей на указанных виртуальных машинах. При этом участники могут самостоятельно выбирать способ настройки того или иного компонента, используя предоставленные им ресурсы по своему усмотрению.
Базовая настройка
- Адреса и хостнеймы сконфигурированы заранее. Удостоверьтесь, что конфигурация является корректной
- Обеспечьте возможность работы протокола icmp, windows firewall при этом должен быть включен
- Обеспечьте ввод машин в домен
- В домене skill39.wsr должны присутствовать машины BRDC, BRWEB, BRCLI, HQDC, HQCLI, HQFS, RemoteCLI
- Остальные машины должны быть сконфигурированы для участия в рабочей группе NONDOMAIN
- На всех машинах обоих доменов отключите режим сна
- Проверьте работоспособность отключенного режима сна. Без отключения режима сна проверка некоторых частей задания будет НЕВОЗМОЖНА.
Конфигурация систем централизованного управления пользователями и компьютерами
- На машине HQDC разверните домен skill39.wsr
- Импортируйте пользователей из файла C:Users.csv при помощи скрипта C:import_users.ps1. В скрипте могут быть допущены ошибки. Устраните ошибки в скрипте и сохраните его с названием C:import_users_v2.ps1. Создайте организационные единицы и группы внутри. В качестве названия используйте поле Job Title пользователя. Пользователи должны располагаться в корректных организационных подразделениях и должны быть добавлены в корректные группы
- Для пользователей IT сконфигурируйте парольную политику со следующими параметрами:
- Длина пароля не менее 10 символов
- Срок действия пароля 15 дней
- Пароль должен быть комплексным
- Парольная политика применяется только к группе IT без использования GPO
- Сконфигурируйте название политики ITPassPolicy
- Так же создайте в домене пользователя Secret с паролем P@ssw0rd. В качестве Job Title данного пользователя укажите Secret User. Пользователь должен располагаться в OU Users и не должен быть включен ни в какие группы, кроме групп по умолчанию. Так же сконфигурируйте параметр City для данного пользователя. Укажите значение Secret City
- Синхронизируйте время с сервером ISPS. Все остальные машины должны синхронизировать время с HQDC
- Поместите все клиентские машины в OU Clients, Все сервера в OU Servers. При необходимости создайте данные организационные подразделения
- На машине BRDC разверните контроллер домена skill39.wsr только для чтения;
- Разрешите репликацию паролей для группы competitors
- Запретите репликацию паролей для группы IT и администраторов домена
- Сконфигурируйте групповые политики в домене skill39.wsr
- запретите анимацию при первом входе пользователей в систему на всех клиентских компьютерах домена;
- члены группы IT должны быть членами группы локальных администраторов на всех клиентских компьютерах домена;
- Сконфигурируйте стартовую страницу www.skill39.wsr для всех клиентских машин, в браузерах Internet Explorer и Microsoft edge.
- для каждого пользователя, члена группы IT, создайте автоматически подключаемую в качестве диска U: домашнюю папку внутри папки по адресу SRV1→d:sharesIT. Папки должны создаваться динамически, при первом входе пользователя в систему
- На всех клиентских компьютерах домена все пользователи должны видеть ярлык приложения калькулятор
- Сконфигурируйте заставку рабочего стола. Заставка должна обозначать принадлежность машины к офису, например в офисе HQ заставка должна содержать слово HQ, в офисе Branch, слово Branch.
- Введите машину RemoteCLI в домен при помощи функции оффлайн присоединения к домену. Файл для присоединения сохраните в корне диска C:
Конфигурация сетевой инфраструктуры
- На сервере HQDC сконфигурируйте DHCP сервер для подсети офисов HQ и Branch
- в качестве диапазона выдаваемых адресов используйте все незанятые серверами адреса в подсети
- Обеспечьте отказоустойчивость DHCP между серверами HQDC и HQFS
- При выходе из строя DHCP сервера на HQDC в работу должен вступать сервер на HQFS. Все остальное время DHCP сервер на HQFS должен находится в режиме простоя
- Обеспечьте автоматическое переключение между серверами не более чем за одну минуту
- Сконфигурируйте дополнительные опции (адреса DNS серверов и шлюз по умолчанию)
- На машине WINRTR сконфигурируйте DHCP Relay
- Сконфигурируйте DNS для домена skill39.wsr
- Обеспечьте возможность разрешения обратных имен
- Запретите использование нелатинских символов
- Добавьте запись www.skill39.wsr таким образом, чтобы машины из офиса Branch обращались к BRWEB, а машины из офиса HQ к HQFS.
- На сервере ISP сконфигурируйте эмуляцию соединения с интернетом. При проверке наличия соединения с интернетом любой сервер и любой клиент любого офиса должны давать положительный ответ. Все машины всех офисов должны считать, что они находятся в интернете
Конфигурация служб хранения данных
- Из дополнительных жестких дисков создайте массив RAID1 и присвойте ему букву D:
- создайте общие папки для подразделений по адресу SRV1→d:sharesdepartments.
- Просматривать и редактировать файлы в папках могут только члены соответствующей группы.
- обеспечьте привязку общей папки подразделения к соответствующей группе пользователей в качестве диска G:.
- пользователи домена при обращении к общим папкам, на доступ которым у них нет разрешений, должны получать вместо стандартного уведомление следующего вида: «You do not have permissions to use this path — [путь к папке]! Do not try it again!».
- установите максимальный размер в 2 Gb для каждой домашней папки пользователя (U:);
- запретите хранение в домашних папках пользователей файлов с расширениями .mp3 и .wav; учтите, что файлы остальных типов пользователи вправе хранить в домашних папках.
- для хранения профилей пользователей в домене skill39.wsr используйте общую папку по адресу HQFS→D:Sharesprofiles;
- каждый пользователь должен иметь доступ к файлам только своего профиля; при обращении к указанной общей папке средствами программы Проводник пользователь должен видеть в списке только папку со своим профилем.
- Создайте каталог D:SharesSecret. Обеспечьте возможность доступа к данному каталогу только пользователям, Job Title которых установлен как Secret User, и параметр City — Secret City
Конфигурация веб- и почтовых служб
- На HQFS создайте сайт www.skill39.wsr
- При переходе на сайт должна быть видна надпись Welcome to Head-Quater!
- Сайт должен быть доступен по https
- Используйте сертификат, выданный HQDC
- При переходе на сайт не должно возникать ошибок, связанных с сертификатами
- Настройте автоматическое перенаправление http -> https
- Обеспечьте возможность доступа на сайт по имени www.skill39.wsr с клиентских машин обоих офисов
- На BRWEB создайте сайт www.skill39.wsr
- При переходе на сайт должна быть видна надпись Welcome to Branch!!
- Сайт должен быть доступен по https
- Используйте сертификат, выданный HQDC
- При переходе на сайт не должно возникать ошибок, связанных с сертификатами
- Настройте автоматическое перенаправление http -> https
- Обеспечьте возможность доступа на сайт по имени www.skill39.wsr с клиентских машин обоих офисов
Конфигурация параметров безопасности и служб аутентификации
- Сконфигурируйте корневой недоменный центр сертификации на машине RootCA
- имя центра сертификации – HQRootCA
- срок действия сертификата – 8 лет;
- Сконфигурируйте корректные CRL и AIA
- Подпишите сертификат для подчиненного центра сертификации и отключите сетевой адаптер средствами операционной системы
- Сконфигурируйте подчиненный доменный центр сертификации на машине HQDC
- Имя центра сертификации — HQ Sub
- Срок действия 5 лет
- Сконфигурируйте корректные CRL и AIA
- Создайте шаблон для группы IT. В качестве названия шаблон укажите ITUsers, Subject Name = Common Name, обеспечьте автоматическую выдачу данного сертификата только группе IT
- Создайте шаблон Clients для всех клиентских компьютеров домена. В качестве названия шаблона укажите Clients, Subject Name = Common Name, обеспечьте автоматическую выдачу данного сертификата только для клиентских ПК.
- Все машины офисов HQ и Branch должны доверять сертификатам обоих центров сертификации
Настройка маршрутизации
- Сконфигурируйте WINRTR для достижения полной связанности между всеми офисами и интернетом.
- Средствами Windows Firewall запретите icmp трафик из сети интернет до сети любого из офисов. Весь остальной трафик должен быть разрешен.
- Конфигурация служб мониторинга,резервного копирования, журналирования
- В данном модуле настройка не предусмотрена
- Конфигурация служб удаленного доступа
- В данном модуле настройка не предусмотрена
- Настройка подключений к глобальным сетям
- В данном модуле настройка не предусмотрена
- Конфигурация подсистемы телефонной связи
- В данном модуле настройка не предусмотрена
- Виртуализация
- В данном модуле настройка не предусмотрена
- СУБД
- В данном модуле настройка не предусмотрена
- Автоматизация администрирования
- В данном модуле настройка не предусмотрена
- Конфигурация и установка системы
- В данном модуле настройка не предусмотрена
ПРИЛОЖЕНИЕ
ВВЕДЕНИЕ. Настоящие дополнения содержат описание вида предустановок, описание используемых операционных систем, рекомендации по выделению ресурсов для виртуальных машин.
ОПИСАНИЕ ПРЕДУСТАНОВОК
- На SRV1 должно быть установлено четыре (или пять) жестких диска: один не менее – 25 Gb, три (четыре) – 5 Gb .
- Все остальные жесткие диски всех виртуальных машин должны иметь объем не менее 25 Gb.
- После установки на всех виртуальных машинах необходимо выполнить сценарий Sysprep c опцией generalize.
- После выполнения работ перезагрузка стендов остается на усмотрение экспертов.
ОПИСАНИЕ ПРИМЕНЯЕМЫХ ОПЕРАЦИОННЫХ СИСТЕМ
Имя компьютера | Операционная система |
HQDC | Windows Server 2019 GUI |
HQCLI | Windows 10 Enterprise |
HQFS | Windows Server 2019 Core |
BRDC | Windows 2019 GUI |
ISPS | Windows 2019 GUI |
RootCA | Windows Server 2019 Core |
BRWEB | Windows Server 2019 Core |
BRCLI | Windows 10 Enterprise |
WINRTR | Windows Server 2019 GUI |
RemoteCLI | Windows 10 Enterprise |
Задание протестировано на 100% следующих сборках ОС:
· Server 2019 – 17763.379.190312-0539;
· Win 10 Ent – 18362.30.190401-1528.
Модуль В: «Пусконаладка инфраструктуры на основе OC семейства Windows»
Версия 1 от 28.09.20
ВВЕДЕНИЕ
На выполнение задания отводится ограниченное время – подумайте, как использовать его максимально эффективно. Составьте план выполнения работ. Вполне возможно, что для полной работоспособности системы в итоге действия нужно выполнять не строго в той последовательности, в которой они описаны в данном конкурсном задании.
В рамках легенды конкурсного задания Вы – системный администратор компании, находящейся в городе Казань. В главном офисе вы управляете доменом skill39.wsr. Вам необходимо настроить сервисы в локальной сети головного офиса.
Компания, в которой вы работаете, хочет выйти на рынки северной Европы. Для этого она устанавливает партнерские отношения с одной из компаний, находящейся в Санкт-Петербурге. Вам нужно помочь администратору партнерской компании с настройкой своего домена (skill39.wsr), а потом настроить между доменами доверие.
Также Вам предстоит настроить канал связи между офисами с помощью статических маршрутов.
Внимательно прочтите задание от начала до конца – оно представляет собой целостную систему. При первом доступе к операционным системам либо следуйте указаниям мастера, либо используйте следующие реквизиты: Administrator/P@ssw0rd.
Если предоставленные виртуальные машины начнут самопроизвольно отключаться в процессе работы, попробуйте выполнить на них команду slmgr /rearm или обратитесь к техническому эксперту.
КОМПЛЕКТАЦИЯ КОНКУРСНОГО ЗАДАНИЯ
- Текстовые файлы:
- данный файл с конкурсным заданием;
- файл дополнений к конкурсному заданию, содержащий: описание вида предустановок, описание используемых операционных систем, а также рекомендации по выделению ресурсов для виртуальных машин.
- Программное обеспечение:
- Windows10.ADMX.
Участники не имеют права пользоваться любыми устройствами, за исключением находящихся на рабочих местах устройств, предоставленных организаторами.
Участники не имеют права приносить с собой на рабочее место заранее подготовленные текстовые материалы.
В итоге участники должны обеспечить наличие и функционирование в соответствии с заданием служб и ролей на указанных виртуальных машинах. При этом участники могут самостоятельно выбирать способ настройки того или иного компонента, используя предоставленные им ресурсы по своему усмотрению.
Базовая настройка
- Адреса и хостнеймы сконфигурированы заранее. Удостоверьтесь, что конфигурация является корректной
Hostname
Ipconfig /all
Hostname | IP | MAC | Gi | DNS1 | DNS2 |
HQDC | 10.0.10.10 | 255.255.255.0 | 10.0.10.1 | 10.0.10.10 | 172.16.10.20 |
HQCLI | DHCP | DHCP | 10.0.10.1 | 10.0.10.10 | |
HQFS | 10.0.10.20 | 255.255.255 | 10.0.10.1 | 10.0.10.10 | 172.16.10.20 |
BRDC | 172.16.10.20 | 255.255.255 | 172.16.10.1 | 10.0.10.10 | 172.16.10.20 |
ISPS | 200.100.100.100 | 255.255.255 | 200.100.100.1 | ||
RootCA | 10.0.10.30 | 255.255.255 | 10.0.10.1 | 10.0.10.10 | 172.16.10.20 |
BRWEB | 172.16.10.10 | 255.255.255 | 172.16.10.1 | 10.0.10.10 | 172.16.10.20 |
BRCLI | DHCP | DHCP | 172.16.10.1 | 172.16.10.20 | |
WINRTR | 10.0.10.1 172.16.10.1 200.100.100.1 | 255.255.255 255.255.255 255.255.255 | * 8.8.8.8 * |
10.0.10.10 172.16.10.20 | |
RemoteCLI | DHCP | DHCP | DHCP |
- Обеспечьте возможность работы протокола icmp, windows firewall при этом должен быть включен
ЧЕРЕЗ GPO на HQDC
1
2
3
4
Или использовать команду в powershell
New-NetFirewallRule -DisplayName «icmp allow» -Action Allow -Protocol ICMPv4 -LocalPort Any
- Обеспечьте ввод машин в домен
Для выполнения этого пункта задания необходимо сначала настроить active directory и dns
(См ниже)
- В домене skill39.wsr должны присутствовать машины BRDC, BRWEB, BRCLI, HQDC, HQCLI, HQFS, RemoteCLI
ПРИМАНИЕ: ДОБАВЛЯЕМ DNS
HQDC
5
6
7
8
HQFS
9
11
12
13
14
15
16
Или использовать команду в powershell
Add-Computer -DomainName «skill39.wsr»
- Остальные машины должны быть сконфигурированы для участия в рабочей группе NONDOMAIN
Машины, которые не находиться в домене RootCA, ISPS, WINRTR это можно сделать, используя графический интерфейс
НА RootCA
17
18
Add-Computer -WorkgroupName «NONDOMAIN»
НА ISPS
19
НА WINRTR
20
На всех машинах обоих доменов отключите режим сна
21
22
23
Или использовать команду в powershell
powercfg -x standby-timeout-ac 0
powercfg -x monitor-timeout-ac 0
- Проверьте работоспособность отключенного режима сна. Без отключения режима сна проверка некоторых частей задания будет НЕВОЗМОЖНА.
Можно проверить выбранный план работы энергоснабжения на ВМ командой
Powercfg –list
НАЧАЛО
Конфигурация систем централизованного управления пользователями и компьютерами
- На машине HQDC разверните домен skill39.wsr
это можно сделать, используя графический интерфейс
1
2
3
4
5
6
7
8
9
10
11
12
13
15
14
15
16
17
18
19
Или использовать команду в powershell
Install-WindowsFeature -Name AD-Domain-Services, RSAT-AD-Tools -IncludeAllSubFeature
Install-ADDSForest -DomainName «skill39.wsr»
После чего вводим два раза пароль от базы банных для ADDS
Создаем обратную зону
1
2
3
4
5
Импортируйте пользователей из файла C:Users.csv при помощи скрипта C:import_users.ps1. В скрипте могут быть допущены ошибки. Устраните ошибки в скрипте и сохраните его с названием C:import_users_v2.ps1. Создайте организационные единицы и группы внутри. В качестве названия используйте поле Job Title пользователя. Пользователи должны располагаться в корректных организационных подразделениях и должны быть добавлены в корректные группы
1
2
Фикс CSV
First_Name | Last_Name | Role | Phone | OU | Street | ZIP | City | Country | Password |
3
4
5
6
Import-Module ActiveDirectory
Import-Csv -Delimiter «;» «C:Usersdone.csv» | ForEach-Object {
$Fullname = $_.Last_Name + » » + $_.First_Name
$pass = ConvertTo-SecureString($_.Password) -AsPlainText -Force
New-ADOrganizationalUnit -Name $_.OU -Path «DC=skill39, DC=wsr»
New-ADGroup -Name $_.Role -Path («OU=» +$_.OU + «,DC=skill39, DC=wsr») -GroupScope Global
New-ADUser -Name $Fullname -GivenName $_.First_Name -Surname $_.Last_Name -Title $_.Role -MobilePhone $_.Phone `
-Department $_.OU -StreetAddress $_.Street -PostalCode $_.ZIP -City $_.City `
-Country RU -Path («OU=» + $_.OU + «,DC=skill39,DC=wsr») `
-AccountPassword $pass -Enabled $true -CannotChangePassword $true `
Add-ADGroupMember -Identity $_.OU -Members $Fullname
}
7
8
9
10
11
12
- Для пользователей IT сконфигурируйте парольную политику со следующими параметрами:
- Длина пароля не менее 10 символов
- Срок действия пароля 15 дней
- Пароль должен быть комплексным
- Парольная политика применяется только к группе IT без использования GPO
- Сконфигурируйте название политики ITPassPolicy
Используем PSO
1
2
3
4
Так же создайте в домене пользователя Secret с паролем P@ssw0rd. В качестве Job Title данного пользователя укажите Secret User. Пользователь должен располагаться в OU Users и не должен быть включен ни в какие группы, кроме групп по умолчанию. Так же сконфигурируйте параметр City для данного пользователя. Укажите значение Secret City
5
6
7
9
10
11
- Синхронизируйте время с сервером ISPS. Все остальные машины должны синхронизировать время с HQDC
ПРЕМИЧАНИЕ: ДОЛЖНА РАБОТАТЬ МАРШРУТИЗАЦИЯ (см. нижее)
На HQDC, ISPS, WINRTR
1
2
3
4
5
6
7
New-NetFirewallRule -DisplayName «ntp allow» -Action Allow -Protocol UDP -LocalPort 123
На ISPS
8
9
10
11
12
На HQDC
13
14
w32tm /config /manualpeerlist:»200.100.100.100″ /syncfromflags:MANUAL /reliable:yes /update
restart-service w32time
w32tm /query /status
для других на HQDC
8
9
10
11
12
13
14
16
10
Проверка на HQFS
Для тех кто не в домене можно
1
2
Поместите все клиентские машины в OU Clients, Все сервера в OU Servers. При необходимости создайте данные организационные подразделения
2
3
ДОДЕЛАЬ
Или использовать команду в powershell
New-ADOrganizationalUnit -Name «Clients» -Path «DC= skill39, DC= wsr»
New-ADOrganizationalUnit -Name «Servers» -Path «DC= skill39, DC= wsr» На машине BRDC разверните контроллер домена skill39.wsr только для чтения
2
На машине BRDC разверните контроллер домена skill39.wsr только для чтения;
1
2
4
5
6
7
8
9
10
11
12
13
14
15
Или использовать команду в powershell
Install-WindowsFeature -Name AD-Domain-Services -IncludeAllSubFeature
Install-ADDSDomainController -DomainName «skill39.wsr» -SiteName «Default-First-Site-Name» -NoGlobalCatalog:$true -ReadOnlyReplica:$true -Credential(Get-Credential)
- Разрешите репликацию паролей для группы competitors
ПРИМЕЧАНИЕ: ЕСЛИ НЕТ СОЗДАЕМ OU и ГРУППУ
На HQDC
1
1
2
Запретите репликацию паролей для группы IT и администраторов домена
1
1
- Сконфигурируйте групповые политики в домене skill39.wsr
- запретите анимацию при первом входе пользователей в систему на всех клиентских компьютерах домена;
1
2
3
4
7
8
- члены группы IT должны быть членами группы локальных администраторов на всех клиентских компьютерах домена;
9
10
11
12
13
14
15
16
- Сконфигурируйте стартовую страницу www.skill39.wsr для всех клиентских машин, в браузерах Internet Explorer и Microsoft edge.
ПРИМЕЧАНЕ: УСТАНОВТЬ ADMX
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
- для каждого пользователя, члена группы IT, создайте автоматически подключаемую в качестве диска U: домашнюю папку внутри папки по адресу HQFS→d:sharesIT. Папки должны создаваться динамически, при первом входе пользователя в систему
ПРИМЕАНИЕ: ДЛЯ ТОГО НУЖНО СДЕЛАТЬ RAID
34
35
36
37
38
38
39
40
31
47
11
1
2
3
4
5
6
7
8
9
1
2
3
4
5
6
7
8
9
На всех клиентских компьютерах домена все пользователи должны видеть ярлык приложения калькулятор
10
11
1
2
Сконфигурируйте заставку рабочего стола. Заставка должна обозначать принадлежность машины к офису, например в офисе HQ заставка должна содержать слово HQ, в офисе Branch, слово Branch.
ПРИМЕЧАНИЕ: В ГРУППЫ НАДО ДОБАВИТЬ ВСЕ НЕОХОДИМЫЕ УСТРОЙСТАВ ПО ЗАДАНИЮ
3
4
5
6
7
8
9
10
11
12
1
1
1
2
3
4
5
Введите машину RemoteCLI в домен при помощи функции оффлайн присоединения к домену. Файл для присоединения сохраните в корне диска C:
На HQDC
1
На RemoteCLI
2
Конфигурация сетевой инфраструктуры
- На сервере HQDC сконфигурируйте DHCP сервер для подсети офисов HQ и Branch
- в качестве диапазона выдаваемых адресов используйте все незанятые серверами адреса в подсети
для HQ
1
1
2
3
4
5
6
7
8
9
10
11
Для Branch
12
1
1
1
1
Обеспечьте отказоустойчивость DHCP между серверами HQDC и HQFS
1
2
3
1
1
1
1
- При выходе из строя DHCP сервера на HQDC в работу должен вступать сервер на HQFS. Все остальное время DHCP сервер на HQFS должен находится в режиме простоя
ПРИМЕЧАНИЕ: СНАЧАЛА ЛУЧШЕ СДЕЛАТЬ ОПЦИИ А ПОТОМ ФАЙЛОВЕР
1
1
1
Обеспечьте автоматическое переключение между серверами не более чем за одну минуту
1
- Сконфигурируйте дополнительные опции (адреса DNS серверов и шлюз по умолчанию)
Для HQ
1
1
1
Для BR
1
1
- На машине WINRTR сконфигурируйте DHCP Relay
ПРИМЕЧАНИЕ: ПОСЛЕ УСТАНОВКИРОЛИ
1
1
1
1
1
1
1
- Сконфигурируйте DNS для домена skill39.wsr
- Обеспечьте возможность разрешения обратных имен
ПРИМЕЧАНИЕ: СОЗДАТЬ ОБРАТНЫЕ ЗОНЫ
1
2
3
4
Запретите использование нелатинских символов
1
2
3
4
- Добавьте запись www.skill39.wsr таким образом, чтобы машины из офиса Branch обращались к BRWEB, а машины из офиса HQ к HQFS.
НА HQDC
1
2
3
4
5
На HQDC
Add-DnsServerClientSubnet -Name «BRSubnet» -IPv4Subnet «172.16.10.0/24» –PassThru
Add-DnsServerZoneScope -ZoneName «skill39.wsr» -Name «BRZoneScope» –PassThru
Add-DnsServerResourceRecord -ZoneName «skill39.wsr» -A -Name «www.skill39.wsr.» -IPv4Address «172.16.10.10» -ZoneScope «BRZoneScope» –PassThru
Add-DnsServerQueryResolutionPolicy -Name «BRPolicy» -Action ALLOW -ClientSubnet «eq,BRSubnet» -ZoneScope «BRZoneScope,1» -ZoneName «skill39.wsr» -PassThru
- На сервере ISP сконфигурируйте эмуляцию соединения с интернетом. При проверке наличия соединения с интернетом любой сервер и любой клиент любого офиса должны давать положительный ответ. Все машины всех офисов должны считать, что они находятся в интернете
На HQDC
1
1
1
1
1
1
1
1
1
1
НА ISPS
1
2
3
2
1
1
1
1
Лол
Конфигурация служб хранения данных
- Из дополнительных жестких дисков создайте массив RAID1 и присвойте ему букву D:
1
2
3
1
1
создайте общие папки для подразделений по адресу HQFS→d:sharesdepartments.
1
2
3
4
5
1
2
Просматривать и редактировать файлы в папках могут только члены соответствующей группы.
1
1
1
1
1
1
1
1
1
2
1
1
обеспечьте привязку общей папки подразделения к соответствующей группе пользователей в качестве диска G:
1
1
1
1
1
1
- пользователи домена при обращении к общим папкам, на доступ которым у них нет разрешений, должны получать вместо стандартного уведомление следующего вида: «You do not have permissions to use this path — [путь к папке]! Do not try it again!».
НА HQFS
1
2
3
На HQDC
1
1
1
1
2
3
установите максимальный размер в 2 Gb для каждой домашней папки пользователя (U:);
3
5
НА HQFS
1
1
1
1
1
1
запретите хранение в домашних папках пользователей файлов с расширениями .mp3 и .wav; учтите, что файлы остальных типов пользователи вправе хранить в домашних папках.
1
1
1
1
1
для хранения профилей пользователей в домене skill39.wsr используйте общую папку по адресу HQFS→D:Sharesprofiles;
1
1
1
1
1
1
1
1
1
1
1
1
каждый пользователь должен иметь доступ к файлам только своего профиля; при обращении к указанной общей папке средствами программы Проводник пользователь должен видеть в списке только папку со своим профилем.
2
Создайте каталог D:SharesSecret. Обеспечьте возможность доступа к данному каталогу только пользователям, Job Title которых установлен как Secret User, и параметр City — Secret City
1
1
1
1
1
1
1
1
1
1
1
1
1
2
3
1
1
1
1
1
1
1
2
3
1
3
1
1
1
1
1
1
1
1
1
Конфигурация веб- и почтовых служб
- На HQFS создайте сайт www.skill39.wsr
При переходе на сайт должна быть видна надпись Welcome to Head-Quater!
1
2
1
1
1
1
1
1
1
1
1
1
Net start WMSVC
1
1
1
1
1
1
1
1
1
1
Install-WindowsFeature -Name Web-Server –IncludeManagementTools
Set-Content -Path C:inetpubwwwrootiisstart.htm -Value ‘<html> Welcome to Head-Quater!</html>’
- Сайт должен быть доступен по https
ПРИМЕЧАНИЕ ПОСЛЕ УСТАНОВКИ И НАСТРОКИ Cab CA
- Используйте сертификат, выданный HQDC
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
- При переходе на сайт не должно возникать ошибок, связанных с сертификатами
ПРЕМЕЧАНИЕ НУНЫ ТЕМПЛЕТЫ АВТО ИНРУЛ
- Настройте автоматическое перенаправление http -> https
1
1
1
ПРИМЕАНИЕ ЕСЛИ НЕТУ ТО РЕКОНЕКТ К СЕРВЕРУ
1
1
1
1
- Обеспечьте возможность доступа на сайт по имени www.skill39.wsr с клиентских машин обоих офисов
ПРЕМЕЧАНИЕ СДЕЛАЛИ
- На BRWEB создайте сайт www.skill39.wsr
- При переходе на сайт должна быть видна надпись Welcome to Branch!!
1
1
1
1
1
1
1
1
1
1
1
1
1
Set-Content -Path C:inetpubwwwrootiisstart.htm -Value ‘<html> Welcome to Branch!!</html>’
- Сайт должен быть доступен по https
- Используйте сертификат, выданный HQDC
ПРИМЕАНИЕ МОЖНО ИСПОЛЬЗОВАТЬ ССЛ КАК И НА HQFS
1
1
1
1
1
- При переходе на сайт не должно возникать ошибок, связанных с сертификатами
- Настройте автоматическое перенаправление http -> https
1
1
1
1
1
1
1
1
- Обеспечьте возможность доступа на сайт по имени http://www.skill39.wsr с клиентских машин обоих офисов
ПРИМЕЧАНИЕ ОБЕСПЕЧЕЛ
Конфигурация параметров безопасности и служб аутентификации
- Сконфигурируйте корневой недоменный центр сертификации на машине RootCA
1
1
Set-Item WSMan:localhostClientTrustedHosts –Value “rootca.skill39.wsr”
1
1
1
1
1
1
2
1
1
1
1
1
1
имя центра сертификации – HQRootCA
1
- срок действия сертификата – 8 лет;
ПРИМЕЧАНИЕ: время!!!!
1
1
1
ПРЕМЕАНЕИ: УСТАНОВМ НА HQDC послу установке есть остнастка
1
1
1
Сконфигурируйте корректные CRL и AIA
CRL
http://hqdc.skill39.wsr/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
1
1
1
AIA
http://hqdc.skill39.wsr/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt
1
1
1
ПРИМЕЧАНЕ СКАЧАТЬ СЕРТ ROOTCA
1
1
1
1
ПРИМЕАНИЯ КОПИРУЕМ СЕРТЫ
Подпишите сертификат для подчиненного центра сертификации и отключите сетевой адаптер средствами операционной системы
1
1
1
1
1
1
1
1
1
1
1
ПОСЛЕ КОНФИГУРАЦИИ САВ
1
Сконфигурируйте подчиненный доменный центр сертификации на машине HQDC
1
1
1
1
1
1
1
Имя центра сертификации — HQ Sub
1
1
- Срок действия 5 лет
ПРИМЕАНИЕ ЧЕРЕЗ ТЕМПЛЕТЫ
- Сконфигурируйте корректные CRL и AIA
1
CRL
http://hqdc.skill39.wsr/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
1
1
AIA
http://hqdc.skill39.wsr/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt
1
ПРИМЕЧАНЕИ ИНСТАЛ РУТТ СЕРТА
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
- Создайте шаблон для группы IT. В качестве названия шаблон укажите ITUsers, Subject Name = Common Name, обеспечьте автоматическую выдачу данного сертификата только группе IT
ПРЕМЕЧАНИЕ УДАЛЯЕМ ВСЕ ТЕМПЛЕЙТЫ
1
1
1
1
1
2
1
1
Создайте шаблон Clients для всех клиентских компьютеров домена. В качестве названия шаблона укажите Clients, Subject Name = Common Name, обеспечьте автоматическую выдачу данного сертификата только для клиентских ПК.
1
1
1
1
1
1
ПРИМЕЧАНИЕ ЧТОБЫ РАБОТАЛ АВТОРУЛЛ НУЖНО ДВЕ ГПО
1
1
1
ПИМЕЧАНИЕ В НЕЕ ЖЕ ДОБАВЛЯЕМ НА ПОЛЬЗОВАТЕЛЕЙ
1
1
ПРЕМИАНИЕ ДЛЯ ВЕБА НУЖЕН БУДЕТ ЕЩЕ ОДИН ТЕМПЛЕЙТ
1
1
1
ПРИМЕЧАНИЕ ВТОРОЯ ГПО НА ТРАСТЫ РУТУ НИЖЕ
- Все машины офисов HQ и Branch должны доверять сертификатам обоих центров сертификации
1
1
1
1
Настройка маршрутизации
- Сконфигурируйте WINRTR для достижения полной связанности между всеми офисами и интернетом.
1
1
1
1
1
1
1
1
1
1
1
1
1
1
- Средствами Windows Firewall запретите icmp трафик из сети интернет до сети любого из офисов. Весь остальной трафик должен быть разрешен.
На всех серверах или через гпо
New-NetFirewallRule -DisplayName «Block» -Action Block -Protocol ICMPv4 -localAddress 172.16.10.0/24, 10.0.10.0/24 -RemoteAddress 200.100.100.0/24
Конфигурация служб мониторинга,резервного копирования, журналирования
В данном модуле настройка не предусмотрена
Конфигурация служб удаленного доступа
В данном модуле настройка не предусмотрена
Настройка подключений к глобальным сетям
В данном модуле настройка не предусмотрена
Конфигурация подсистемы телефонной связи
В данном модуле настройка не предусмотрена
Виртуализация
В данном модуле настройка не предусмотрена
СУБД
В данном модуле настройка не предусмотрена
Автоматизация администрирования
В данном модуле настройка не предусмотрена
Конфигурация и установка системы
В данном модуле настройка не предусмотрена
ПРИЛОЖЕНИЕ
ВВЕДЕНИЕ. Настоящие дополнения содержат описание вида предустановок, описание используемых операционных систем, рекомендации по выделению ресурсов для виртуальных машин.
ОПИСАНИЕ ПРЕДУСТАНОВОК
- На SRV1 должно быть установлено четыре (или пять) жестких диска: один не менее – 25 Gb, три (четыре) – 5 Gb .
- Все остальные жесткие диски всех виртуальных машин должны иметь объем не менее 25 Gb.
- После установки на всех виртуальных машинах необходимо выполнить сценарий Sysprep c опцией generalize.
- После выполнения работ перезагрузка стендов остается на усмотрение экспертов.
ОПИСАНИЕ ПРИМЕНЯЕМЫХ ОПЕРАЦИОННЫХ СИСТЕМ
Имя компьютера | Операционная система | CPU | RAM | HDD | Net |
HQDC | Windows Server 2019 GUI | 2 | 2 | 20 | PG_HQ |
HQCLI | Windows 10 Enterprise | 2 | 2 | 20 | PG_HQ |
HQFS | Windows Server 2019 Core | 1 | 1 | 20/5/5 | PG_HQ |
BRDC | Windows 2019 GUI | 2 | 2 | 20 | PG_BRANCH |
ISPS | Windows 2019 GUI | 2 | 2 | 20 | PG_INET |
RootCA | Windows Server 2019 Core | 1 | 1 | 20 | PG_HQ |
BRWEB | Windows Server 2019 Core | 1 | 1 | 20 | PG_BRANCH |
BRCLI | Windows 10 Enterprise | 2 | 2 | 20 | PG_BRANCH |
WINRTR | Windows Server 2019 GUI | 2 | 2 | 20 | PG_INET PG_BRANCH PG_HQ |
RemoteCLI | Windows 10 Enterprise | 2 | 2 | 20 | PG_INET |
Задание протестировано на 100% следующих сборках ОС:
· Server 2019 – 17763.379.190312-0539;
· Win 10 Ent – 18362.30.190401-1528.
РЕКОМЕНДАЦИИ ПО ВЫДЕЛЕНИЮ ОПЕРАТИВНОЙ ПАМЯТИ ВИРТУАЛЬНЫХ МАШИН
· Windows Server 2019 Core: минимум – 1 Gb, рекомендовано – 1,5 Gb;
· Windows Server 2019 GUI: минимум – 1,5 Gb, рекомендовано – 2 Gb;
· Windows 10 Enterprise: минимум – 1,5 Gb, рекомендовано – 2 Gb.
Полное название
Дополнительная профессиональная программа повышения квалификации «Управление технологиями администрирования вычислительных сетей в условиях перехода на отечественное программное обеспечение»
Аннотация
Дополнительная профессиональная программа повышения квалификации «Управление технологиями администрирования вычислительных сетей в условиях перехода на отечественное программное обеспечение»
Программа повышения квалификации «Управление технологиями администрирования вычислительных сетей в условиях перехода на отечественное программное обеспечение» позволит слушателям приобрести навыки по комплексной пуско-наладке инфраструктуры на основе OC семейства Linux, семейства Windows, телекоммуникационного оборудования.
Общий объем программы — 72 академических часа.
Программа состоит из следующих разделов:
1. Актуальные требования рынка труда, современные технологии в профессиональной сфере
2. Требования охраны труда и техники безопасности
3. Практическое занятие на определение стартового уровня владения компетенцией
4. Комплексная пуско-наладка инфраструктуры на основе OC семейства Linux, семейства Windows, телекоммуникационного оборудования. Настройка телекоммуникационного оборудования, серверов под управлением ОС Windows и Linux.
Итоговая аттестация в форме дифференцированного зачёта. Обучающиеся выполняют итоговое практическое задание.
Целевое назначение | Повышение квалификации |
Категории обучающихся | Педагогические работники; Другие лица; Служащие; Рабочие |
Компетенция | Сетевое и системное администрирование |
Профессиональная область | Управление технологиями администрирования ВС в условиях перехода на отечественное ПО |
Проводит обучение | ГБПОУ КК АЮТ |
Объем | 72 Часа |
Продолжительность | 6 Недель |
Форма обучения | Очно-заочная |
Адрес | 352900, Краснодарский край, г. Армавир, ул. Урицкого 106а |
Содержание модуля
- Актуальные требования рынка труда, современные технологии в профессиональной сфере
Актуальная ситуация на региональном рынке труда
- Требования охраны труда и техники безопасности
Требования охраны труда и техники безопасности
- Практическое занятие на определение стартового уровня владения компетенцией
Практическое занятие на определение стартового уровня владения компетенцией
- Комплексная пуско-наладка инфраструктуры на основе OC семейства Linux, семейства Windows, телекоммуникационного оборудования. Настройка телекоммуникационного оборудования, серверов под управлением ОС Windows и Linux
Комплексная пуско-наладка инфраструктуры на основе OC семейства Linux, семейства Windows, телекоммуникационного оборудования. Настройка телекоммуникационного оборудования, серверов под управлением ОС Windows и Linux.
- Итоговая аттестация
Итоговая аттестация
Дополнительная информация
Отзывы о программе обучения
Отзывов еще нет
Полное название
Дополнительная профессиональная программа профессиональной переподготовки «Выполнение работ по управлению IT-сервисом предприятия на основе корпоративных вычислительных сетей (с учетом стандарта Ворлдскиллс по компетенции «Сетевое и системное администрирование»)
Аннотация
Дополнительная профессиональная программа профессиональной
переподготовки направлена на получение компетенции, необходимой для
выполнения нового вида профессиональной деятельности, приобретение новой
квалификации, с учетом спецификации стандарта Ворлдскиллс по компетенции
«Сетевое и системное администрирование».Рабочие места, которые возможно занять по итогам обучения по программе
(трудоустройство на вакансии в организации, самозанятость, работа в качестве
индивидуального предпринимателя): младший системный администратор,
специалист технической поддержки, инженер вычислительных сетей.
Целевое назначение | Профессиональная переподготовка |
Категории обучающихся | Обучающиеся общеобразовательных организаций; Другие лица; Обучающиеся профессиональных образовательных организаций; Служащие; Рабочие |
Компетенция | Сетевое и системное администрирование |
Профессиональная область | Выполнение работ по управлению IT-сервисом предприятия на основе корпоративных вычислитель |
Проводит обучение | ГАПОУ ПО ПКИПТ (ИТ-КОЛЛЕДЖ) |
Объем | 256 Часов |
Продолжительность | 12 Недель |
Форма обучения | Очная |
Адрес | 440066, РФ, г Пенза, пр-кт Строителей, д 7 |
Содержание модуля
- Новый раздел
Модуль 1. Стандарты Ворлдскиллс и спецификация стандартов Ворлдскиллс по компетенции «Сетевое и системное администрирование». Разделы спецификации
Модуль 2. Актуальные требования рынка труда, современные технологии в профессиональной сфере
Модуль 3. Общие вопросы по работе в статусе самозанятого
Модуль 4. Требования охраны труда и техники безопасности
Модуль 5. Практическое занятие на определение стартового уровня владения компетенцией
Модуль 6. Пуско-наладка инфраструктуры на основе OC семейства Linux
Модуль 7. Пуско-наладка инфраструктуры на основе OC семейства Windows
Модуль 8. «Пуско-наладка телекоммуникационного оборудования»
Модуль 9. «Пусконаладка инфраструктуры на основе OC семейства Linux и Windows»
Модуль 10. «Пусконаладка инфраструктуры на основе ОС семейства Linux и телекоммуникационного оборудования»
Модуль 11. «Пусконаладка инфраструктуры на основе OC семейства Windows и телекоммуникационного оборудования»
Дополнительная информация
Отзывы о программе обучения
Отзывов еще нет
Цифровые технологии в профессиональной деятельности специалистов по работе с информационными системами
Аннотация:
Дополнительная профессиональная программа повышения квалификации направлена на совершенствование и (или) получение новой компетенции, необходимой для профессиональной деятельности, и (или) повышение профессионального уровня в рамках имеющейся квалификации.
Вид программы:
Программы под заказ работодателей
Целевая аудитория:
Все
Модули
Итоговая аттестация
Проф. область:
Информационные и коммуникационные технологии
Компетенция:
Корпоративная защита от внутренних угроз информационной безопасности
Тема:
2. Итоговая аттестация
(6ч)
Стоимость
840.00
Модуль
1.8. Пуско-наладка телекоммуникационного оборудования
Проф. область:
Информационные и коммуникационные технологии
Компетенция:
Корпоративная защита от внутренних угроз информационной безопасности
Тема:
1.8.1. Понятие CRM системы. Обзор существующих систем и их классификация.
(П,
2ч)
Тема:
1.8.2. Разворачивание и настройка CRM системы
(П,
4ч)
Тема:
1.8.3. Работа в CRM
(Л,
4ч)
Стоимость
1400.00
Модуль
1.7. Пуско-наладка телекоммуникационного оборудования.
Проф. область:
Информационные и коммуникационные технологии
Компетенция:
Корпоративная защита от внутренних угроз информационной безопасности
Тема:
1.7.1. Базовая настройка телекоммуникационного оборудования
(П,
2ч)
Тема:
1.7.2. Настройка коммутации.
(П,
3ч)
Тема:
1.7.3. Настройка подключений к глобальным сетям
(П,
3ч)
Тема:
1.7.4. Настройка маршрутизации.
(П,
3ч)
Тема:
1.7.5. Настройка служб.
(Л,
3ч)
Тема:
1.7.6. Настройка механизмов безопасности.
(П,
3ч)
Тема:
1.7.7. Настройка параметров мониторинга и резервного копирования.
(П,
3ч)
Тема:
1.7.8. Конфигурация виртуальных частных сетей.
(П,
3ч)
Стоимость
3220.00
Модуль
1.6. Пуско-наладка инфраструктуры на основе OC семейства Windows
Проф. область:
Информационные и коммуникационные технологии
Компетенция:
Корпоративная защита от внутренних угроз информационной безопасности
Тема:
1.6.1. Базовая настройка хостов на базе ОС Windows 10 и Windows Server.
(П,
3ч)
Тема:
1.6.2. Конфигурирование доменной инфраструктуры ActiveDirectory.
(П,
3ч)
Тема:
1.6.3. Конфигурирование сетевой инфраструктуры.
(П,
2ч)
Тема:
1.6.4. Создание пользователей, сортировка по организационным единицам и группам.
(Л,
2ч)
Тема:
1.6.5. Конфигурирование групповых политик.
(П,
3ч)
Тема:
1.6.6. Конфигурация служб хранения данных.
(П,
3ч)
Тема:
1.6.7. Конфигурация параметров безопасности и центров сертификации.
(П,
3ч)
Тема:
1.6.8. Конфигурирование доверительных отношений между доменами ActiveDirectory.
(Л,
3ч)
Стоимость
3080.00
Модуль
1.5. Пуско-наладка инфраструктуры на основе OC семейства Linux.
Проф. область:
Информационные и коммуникационные технологии
Компетенция:
Корпоративная защита от внутренних угроз информационной безопасности
Тема:
1.5.1. Базовая конфигурация хостов на базе ОС Linux.
(П,
3ч)
Тема:
Тема 1.5.2. Конфигурация сетевой инфраструктуры.
(П,
3ч)
Тема:
1.5.3. Конфигурация служб централизованного управления и журналирования.
(Л,
3ч)
Тема:
1.5.4. Конфигурация служб удаленного доступа и центров сертификации.
(П,
3ч)
Тема:
1.5.5. Конфигурация веб-служб.
(П,
3ч)
Тема:
1.5.6 Конфигурация служб хранения данных
(П,
2ч)
Тема:
1.5.7 Конфигурация параметров безопасности и служб аутентификации
(П,
3ч)
Стоимость
2800.00
Модуль
1.4. Разработка политик безопасности, анализ выявленных инцидентов
Проф. область:
Информационные и коммуникационные технологии
Компетенция:
Корпоративная защита от внутренних угроз информационной безопасности
Тема:
1.4.1 Понятие аудита информационной безопасности. Теория и практика обследования организации с целью защиты от угроз информационной безопасности
(П,
6ч)
Тема:
1.4.2 Законодательство в области защиты конфиденциальной информации. Виды информации ограниченного доступа. Персональные данные. Коммерческая тайна.
(П,
8ч)
Стоимость
1960.00
Модуль
1.3. Разработка политик безопасности, анализ выявленных инцидентов
Проф. область:
Информационные и коммуникационные технологии
Компетенция:
Корпоративная защита от внутренних угроз информационной безопасности
Тема:
1.3.1 Разработка и тестирование политик в системе DLP IWTM
(П,
8ч)
Тема:
1.3.2 Мониторинг трафика. Проверка применения
(П,
6ч)
Стоимость
1960.00
Модуль
1.2. Технологии агентского мониторинга
Проф. область:
Информационные и коммуникационные технологии
Компетенция:
Корпоративная защита от внутренних угроз информационной безопасности
Тема:
1.2.1. Назначение агентского мониторинга. Установка и настройка агентского мониторинга.
(П,
8ч)
Тема:
Тема 1.2.2. Политики агентского мониторинга, особенности их настройки. Создание и проверка политик.
(П,
8ч)
Стоимость
2240.00
Модуль