10 Systeembeveiliging en databack-upusers.skynet.be/SessieVirussen/cno/Hst10.pdfkeren naar deze...

$: 10 Systeembeveiliging en databack-upusers.skynet.be/SessieVirussen/cno/Hst10.pdfkeren naar deze instellingen. Want, hoe dan ook uw domein blijft werken met een secundaire ... \\windows7server\docleer\6IB.Kimberley\Documents\Visual$
172

10 Systeembeveiliging en databack-up

Een belangrijke beheer- en beveiligingstaak bestaat uit het maken van back-ups. Ongelukkengebeuren, stroomstoringen komen voor, blikseminslag, inbraak... Een rampscenario bedenk-en is niet moeilijk.

Ook de wet van Murphy krijgt maar al te dikwijls zijn gelijk... ,’als er meer dan éénmanier is om een taak te doen en één van die manieren zal in een ramp resulte-ren, dan zal iemand het zo doen...’.

Mijn eigen interpretatie van die wet klinkt iets anders ‘neem je geen voorzorgendan gebeurt er zeker iets, neem je voldoende voorzorgen dan gebeurt er niets...’

Systeembeveiliging

De domeincontroller/Active directory is de besturing van ons domein. Is het zinvol om hiervaneen kopie te maken voor in het geval het toestel compleet crasht? Bedenk dan wel dat eenkopie terugplaatsen enkel kan op een identiek toestel... Bovendien, is het opzetten van eennieuw domein zo’n groot werk? Neen, behalve alle clients terug in het domein plaatsen...

Is het dan ook niet zinvoller om een tweede domeincontroller te gebruiken in het domein die eenreplica is van de primaire domeincontroller? Het komt alvast ons netwerk ten goede, want bijeen W indows Server 2008 is een secundaire domeincontroller ook een ‘Global Catalog’-ser-ver die o.a. ‘Logins’ kan verwerken. De secundaire domeincontroller is bovendien een supple-mentaire DNS-server wat ook de snelheid ten goede komt. W ordt de secundaire domeincon-troller gevirtualiseerd dan is hiervan een kopie maken heel eenvoudig. Dit kan bovendien zon-der de werking van het domein te onderbreken.

Maar wat als de primaire domeincontroller totaal uitvalt? Het antwoord is vrij eenvoudig, maar‘iets’ moeilijker om te realiseren: de secundaire domeincontroller promoten tot een primairedomeincontroller.... Het is een stappenplan dat zeer zorgvuldig moet uitgevoerd worden, maarhaalbaar is. Bovendien (nogmaals) als dit een virtuele server is dan is het maken van een snap-shot voordat je aan de ‘promotie’ begint heel eenvoudig. In het ergste geval kun je altijd terug-keren naar deze instellingen. Want, hoe dan ook uw domein blijft werken met een secundairedomeincontroller zonder primaire DC. Alles zal trager verlopen en je zal wel zo snel mogelijkeen oplossing moeten vinden om de data (de documenten van de leerlingen b.v.) bereikbaar temaken. M.a.w. een defecte voeding is geen rampscenario...

Databack-up

Ook hiervoor zijn er verschillende mogelijkheden. W indows Server 2008 bevat een heel dege-lijk back-upprogramma dat eenvoudig en efficiënt zijn werk doet. Ook individuele bestanden uitde back-up halen is niet zo moeilijk. Toch kiezen we voor een andere oplossing, het ‘gewoon’kopiëren van de documenten per dag naar een andere computer.

De reden hiervoor is de beperking van de lengte van bestandsnamen en/of ‘path’ binnen W in-dows. Heel duidelijk is dit niet, want de lengte van een ‘directory’ is groter dan de lengte van eenbestandsnaam, maar in totaal mag dit niet meer zijn dan zo’n 210 karakters.

Toch geen probleem denk je, een bestandsnaam/pad langer dan 210 karakters? Neen?

Een voorbeeldje:

\\windows7server\docleer\6IB.Kimberley\Documents\Visual Studio 2010\Projects \ToetsDisconectedToegang_KimberleyVanDoorslaer\ToetsDisconectedToegang_KimberleyVanDoorslaer\obj\x86\Debug\ToetsDisconectedToegang_KimberleyVanDoorslaer.frmOef3.resources

Dit lossen we op met een PowerShell-script...

Systeembeveiliging en databack-up, hst. 10Een servergestuurd netwerk

(Windows 2008 R2)

173

10.1 Systeembeveiliging

10.1.1 Secundaire domeincontroller (ReplicaServer)

< Installeer Windows 2008 R2 (zie blz. 12 t.e.m. 24)

• Deze computer bevat één netwerkkaart met volgende instellingen:IP-adres: 10.0.0.3Subnetmask: 255.255.255.0Gateway: 10.0.0.2 (zonder ForeFront) 10.0.0.1 (met ForeFront)DNS: 10.0.0.2 (primair)

127.0.0.1 (secundair)

• Computernaam: ReplicaServer

< Plaats de computer in het domein

< Start de procedure om van deze server een domeincontroller te maken (hst. 4)

< Start dcpromo (blz. 36)

Vergeet niet ‘Use advanced mode installation’ (zie blz. 36) te gebruiken!


(Windows 2008 R2)

174

< Selecteer:

“Existing forest’”

< Selecteer:

‘Add a domain controller to an

existing domain’

< Klik op ‘Next’



(Windows 2008 R2)

175

Klik op ‘Next’



(Windows 2008 R2)

176

De supplementaire domeincontrollerwordt ook een ‘Global Catalog’-serveren kan dus ‘logins’ verwerken .

< Klik ‘Next’

Er is geen ‘authoritative parent zone’buiten het domein ‘school.cno’.

M.a.w. geen actie is vereist.

< Klik op ’Yes’

Klik op ‘Next’


(Windows 2008 R2)

177




(Windows 2008 R2)

178

< Geef in:

Tweemaal: Test123


.... de samenvatting ...



(Windows 2008 R2)

179

< Klik op ‘Finish’

< Herstart de computer

Gaat dit nu echt werken? .... natuurlijk niet, want onze tweede DNS-server heeft geentoegang tot het internet...

???? ... Even terug naar het begin. Voor deze nascholing hebben we een domeincon-troller geïnstalleerd met twee netwerkkaarten. Zoals reeds verschillende malen aan-gegeven is dit niet de goede methode, maar wel bruikbaar in een testomgeving.

In principe bevat de domeincontroller, de ‘W indows7Server’ zoals de ‘Replicaserver’maar één netwerkkaart. Beiden hebben een ‘gateway’ naar een router die de verbin-ding maakt tussen het internet (WAN) en uw lokaal netwerk (LAN).

Deze router kan ook een combinatie zijn van gateway, proxy, ...(b.v. ForeFront) als ermaar een vertaling gebeurt tussen de WAN en de LAN-poort (Network Adress Trans-lation of NAT)

Op de volgende blz. een overzicht van correcte instellingen van netwerkkaarten ge-koppeld aan een router.

Kan het dan echt niet werken ???? .... natuurlijk wel, maak van de Windows7serverook een router door ‘Remote Access Service (RAS)’ te installeren. Maar dan is nietalleen uw domeincontroller rechtstreeks verbonden met het internet, ook al uw lokalecomputers kunnen zo het internet op (... en omgekeerd). Veilig... niet direct... dezemethode is zeer sterk af te raden als te onveilig...


(Windows 2008 R2)

180

10.1.1.1 Correcte instelling netwerkkaarten

In het tabblad ‘Forwarders’ geef je de IP-nummers in van uw provider of van b.v.OpenDns.

(DNS, <DNS-server>, Properties)


(Windows 2008 R2)

181

10.1.1.2 Controle

< Open de’Server Manager’

< Ga naar:‘Active Directory Domain Services’

< Start ‘Best Practices Analyzer’

De foutmeldingen zijn verwaarloosbaar,wel is het systeem niet gelukkig met devirtualisatie.

< Herhaal deze test voor de DNS-

server

Er zijn geen opmerkingen meer:Noncompliant (0)

Bekijk eens bij ‘All(51)’ welke testen wor-den uitgevoerd

< Open Active Directory Sites and Services

(Start, Administrative Tools, Active directory Sites and Services)

< Open de onderverdeling ‘Servers’

< Controleer of beide domeincontrollers ‘Global Catalog’-servers zijn


(Windows 2008 R2)

182

10.1.2 Rampscenario

Hopelijk gebeurt het nooit, maar als de primaire domeincontroller er totaal de brui aangeeft moet desecundaire domeincontroller gepromoot worden tot primaire domeincontroller. Dit gebeurt in tweestappen:

• het overdragen van de ‘Roles’

• het verwijderen van de ‘metadata’

10.1.2.1 Overdragen van ‘Roles’

De ‘Active directory’ bevat vijf ’Flexible Single Master Operation’-roles (FSMO)°. Deze zijn:

• Schemamaster • Domeinnaamgevingsmaster • RID-master • PDC-master • Infrastructuurmaster

(°) spreek uit als ‘fiz-mo’

De rollen ‘schemamaster’ en ‘domeinnaamgevingsmaster’ zijn rollen die per ‘Forest’ worden gede-finieerd. Derhalve kan er slechts één schemamaster en één domeinnaamgevingsmaster per ‘Fo-rest’ aanwezig zijn. De rollen RID-master, PDC-master en infrastructuurmaster zijn rollen die perdomein worden gedefinieerd. Elk domein heeft dus een eigen RID-master, PDC-master en infra-structuurmaster.

Schemamaster (instructie: Schema Master) –> Forest

Het ‘Schemamaster’ is een database dat de attributen bevat van elk object in de ‘Active Directory’. Zo bestaat b.v. het ‘userobject’ uit een voornaam, achternaam, een telefoonnummer, enz. Als jemeer attributen aan objecten wil toevoegen, vertel je dit aan de ‘Schemamaster’.

Domeinnaamgevingsmaster (instructie:Naming Master) --> Forest

De ‘Domain naming master’ doet niets anders dan bijhouden welke namen de domeinen in het ‘Fo-rest’ hebben. Als je een nieuw domein aan de ‘Forest’ wil toevoegen controleert de ‘Domain namingmaster’ of de naam niet in gebruik is.

RID-master(instructie: RID Master) –> Domein

Elk object in de ‘Active Directory’ heeft een unieke identificatie code, een zogenaamde SID. Bij hetaanmaken van een object wordt er een unieke code gegenereerd. Om te voorkomen dat twee ver-schillende domeincontrollers tegelijkertijd een object aanmaken met dezelfde SID, krijgen ze alle-maal een groep met voorgedefinieerde RID’s toegewezen door de ‘RID’-master. Als de voorraadRID’s van een domeincontroller op is, wordt een nieuwe lijst aangevraagd bij de’ RID-master’.


(Windows 2008 R2)

183

PDC-master (instructie: PDC) –> Domein

De ‘Primary Domain Controller’ (PDC) is er om compatibiliteit te garanderen met Windows NT 4.0Backup Domain Controllers (BDC). Bovendien is de PCD-emulator de primaire tijdserver in hetdomein, de NetBios master browser en verantwoordelijk voor het wijzigen van wachtwoorden.

Infrastructuurmaster (instructie;Infrastructrure Master) –> Domein

De ‘Infrastructure Master’ bewaart de wijzigingen die worden uitgevoerd aan objecten die verplaatstworden, een andere naam krijgen, enz. van een OU naar een andere OU uit een ander domein ofbinnen hetzelfde domein. Dit is ook de functie van de ‘Global Catalog’, maar deze ’role’ houdt daar‘supervisie’ op.

< Open de ‘Command Prompt’

< Geef in: ntdsutil

< Geef in: roles

< Geef in: connections

< Geef in: connect to server < naam van de secundaire domeincontroller>


(Windows 2008 R2)

184

< Geef in: quit

< Geef in: seize Schema Master

< Klik op ‘Yes’

De overdracht is niet geslaagd. Dit is correct, want de primaire domeincontroller is uitgeschakeld. De ‘role’ werdwel toegekend aan de ‘Replicaserver’.

Dit zal voor elke ‘Role’ herhaald worden.


(Windows 2008 R2)

185

< Geef in: seize Naming Master

< Klik op ‘Yes’

< Geef in: seize PDC

< Klik op ‘Yes’


(Windows 2008 R2)

186

< Geef in: seize RID master

< Klik op ‘Yes’


(Windows 2008 R2)

187

< Geef in: seize infrastructure master

< Klik op ‘Yes’

< Geef tweemaal in: quit


(Windows 2008 R2)

188

10.1.2.2 ‘Cleanup’ time

De ‘Roles’ zijn overgedragen, maar de ‘Knowledge Consistency Check’ (KCC) is nog steeds opzoek naar de andere domeincontroller. Ook het ‘replication system’ probeert nog steeds om gege-vens tussen beide domeincontrollers te synchroniseren.

Dit wordt opgelost door de ‘Server Metadata’ te wissen in de ‘Active Directory Users and Computers’en in de ‘Active Directory Sites and Services’.

< Open ‘Active Directory Users and Computers’

< Klik op ‘Domain Controllers’

< Selecteer (rechts) ‘W indows7Server’

< Klik op ‘Delete’

< Klik op ‘Yes’

Er komt een extra waarschuwing, wanthet is wel een domeincontroller die ver-wijderd zal worden.

Bevestig dat deze domeincontrollerpermanent ‘off line’ is



(Windows 2008 R2)

189

Er wordt nogmaals gevraagd of je welzeker bent...

< Klik op ‘Yes’

< Open ‘Active Directory Sites and Services’

< Open de indeling ‘Default-First-Site-Name’

< Selecteer ‘Servers’

< Selecteer (rechts) ‘Windows7Server’


De ‘NTDS’-instellingen zijn al verwijderd,hetis enkel nog de naam die moet verwijderdworden.

< Klik op ‘Yes’


(Windows 2008 R2)

190

10.2 Databack-up

Voor de databack-up kiezen we voor een script in PowerShell om de data eerst te controleren en ineen aparte map te plaatsten indien bepaalde voorwaarden niet vervuld zijn.

In dit voorbeeld wordt nagegaan of de lengte van het pad van het bestand niet groter is dan 210karakters. Is dit wel het geval dan zal het kopiëren een foutmelding geven en in vele gevallen hetverder kopiëren beëindigen.

Gezien de foutmelding bij een automatische back-up niet op het scherm verschijnt is men erwaarschijnlijk gerust in dat de back-up geslaagd is, maar niets is minder waar!

Controleer dan ook regelmatig of alle data werd gekopieerd!

Resultaat:


(Windows 2008 R2)

191

Bespreking:

6 De naam van het bestand en het pad van alle bestanden in’ DocLeer’ worden in de tabel ‘CI’ geplaatst

7 In de variabele $Datum komt de systeemdatum te staan in het formaat ‘yyy-MM-dd’

8 De variabele $Teller wordt op 1 geplaatst. Deze variabele wordt gebruikt omdat de naam van hetbestand soms hetzelfde is, maar het pad anders is.

Voorbeeld: D:\DocLeer\1HA.Lisa\Eerste map\Brief1.docD:\DocLeer\1HA.Lisa\Tweede map\Brief1.doc

Kopieer je het bestand ‘Brief 1.doc’ naar een zelfde map dan krijg je een foutmelding(bestand bestaat al). Om dit te vermijden wordt de naam van de leerling uitgebreid meteen cijfer.

10 Herhalingslus. Voor elk element ($_.) in de tabel $CI)

12 Voorwaarde. Als de lengte van een tabelelement groter is dan 210

14 Elk element van de tabel wordt gesplitst in een nieuwe tabel. Elk element van de nieuwe tabel wordtbegrensd door ‘\’

$Naam[0] = D:$Naam[1] = Docleer$Naam[2] = <naam leerling> Voorbeeld: 1HA.Lisa

15 Als $Naam[2] een nieuwe naam is t.o.v. de vorige ($Naamll) wordt de teller op één geplaatst

16 Nieuw pad. De backslash (\) zorgt voor subdirectories

20 De nieuwe map wordt gemaakt als ze nog niet bestaat

22 Het bestand wordt verplaatst naar deze nieuwe map

26 Vanaf hier start de back-up naar de map ‘Backup’ op een andere computer in de nieuwe map ‘Datum’

28 De map wordt aangemaakt

30 De volledige map ‘DocLeer’ wordt gekopieerd naar de ‘Back-up’-map

10.2.1 Back-up automatiseren

Om de back-up dagelijks te laten uitvoeren gebruiken we het programma ‘Task Scheduler’

< Open Task Scheduler(Start, All programs, Aceessories,System Tools)


(Windows 2008 R2)

192

< Klik rechts op Task Scheduler (Local)

< Klik op ‘Create Basic Task...’

< Geef in:

BackUp DocLeer



(Windows 2008 R2)

193

< Selecteer: ‘Weekly’


< Verander de tijd naar een tijdstip

waarop er geen wijzigingen meer

aangebracht worden aan ‘Docleer’

< Selecteer:

alle dagen, behalve zaterdag en zon-

dag,...


‘Start a program’ is correct



(Windows 2008 R2)

194

< Geef in:

PowerShell.exe & C:\BackUpDocLeer.ps1

.... het systeem vertrouwt onze instructieniet.... het is toch juist....


< Klik op ‘Finish’

Een aantal instellingen moeten gewijzigd worden. Anders zal het niet werken...


(Windows 2008 R2)

195

< Selecteer:

‘Task Scheduler Library’

< Dubbelklik op de rule:

‘BackUp DocLeer’

< Selecteer:

‘Run whether user is logged on or not’

< Selecteer ‘Configure for:’

‘Windows® 7, Windows Server™ 2008 R2'

< Klik op ‘OK’

< Geef uw wachtwoord in

Vergeet niet als je uw wacht-woord wijzigt dit programmaniet meer werkt!

< Klik op ‘OK’


(Windows 2008 R2)

10 Systeembeveiliging en databack-upusers.skynet.be/SessieVirussen/cno/Hst10.pdfkeren naar deze...

Documents

Transcript of 10 Systeembeveiliging en databack-upusers.skynet.be/SessieVirussen/cno/Hst10.pdfkeren naar deze...