Microsoft Word - Cproef

5/6/2018 Microsoft Word - Cproef - slidepdf.com

http://slidepdf.com/reader/full/microsoft-word-cproef-559aba29c9c78 1/74

Clarysse Thijs maandag 26 april 2010

C-proef 3de jaar

netwerkbeheerder.




Voorwoord

Deze c-proef gaat over het oprichten van een mixed environment met als doelstelling decommunicatiemogelijkheden te bepalen tussen Windows en Linux. Tevens test ik desamenwerking van Active Directory met Linux loginprocedures. Wat zijn de back-upmogelijkheden die in Linux ingebakken zijn. De voordelen van Active Directory en

centralisatie van configuratie in de praktijk worden bekeken. In meerdere grotere bedrijvenwordt echter de combinatie van verschillende besturingssystemen gebruikt. Dit omdatsommige systemen nu eenmaal beter beheerbaar zijn dan andere op verschillendebesturingssystemen. Een echte tegenhanger voor Active Directory (Windows Server) is ermomenteel niet. Die centrale database van gegevens en configuraties bied vele voordelen.Doordat Squid (Ubuntu Server) de mogelijkheid biedt om ook via Active Directory gegevensop te vragen, kunnen we ook deze instellingen centraliseren.We hebben hier verschillendeonderdelen die we bespreken. Het detail van het onderdeel wordt bepaald door het meerderemalen zien van configuraties in de lessen. Zoals Exchange, Active Directory en DNS wordenniet uitgebreid besproken.




-3-

Inhoudstabel

Voorwoord ................................................................................................................................. 2Opstelling ................................................................................................................................... 5

Server-opstelling .................................................................................................................... 5

Cliënt opstelling ..................................................................................................................... 6Installatie Servers ....................................................................................................................... 7

Linux-server ........................................................................................................................... 7Netwerkinstellingen ........................................................................................................... 8DHCP-server ...................................................................................................................... 9Werking van dhcp tussen cliënt en server........................................................................ 10

DHCP Discovery.......................................................................................................... 10DHCP Offers ................................................................................................................ 10DCHP Requests............................................................................................................ 11DHCP Acknowledgement ............................................................................................ 11Controle Windows 7 Cliënt .......................................................................................... 12

Router NAT...................................................................................................................... 12Squid Proxy Server........................................................................................................... 13Installatie Squid Proxy-server LDAP Authenticatie ........................................................ 13

Configuratie Squid Proxy-server.................................................................................. 14Configuratie Authenticatie LDAP-server..................................................................... 14Toegang verlenen aan Authenticated gebruikers ......................................................... 16Authenticatie Internet Explorer Windows 7................................................................. 17Controle van internet Access........................................................................................ 18

Installatie Squid Proxy 3.0 met ntlm_auth ....................................................................... 20Installatie pakketen....................................................................................................... 20Domein DNS-server toevoegen: .................................................................................. 20NTP .............................................................................................................................. 21Kerberos-configuratie................................................................................................... 22Testen van Kerberos..................................................................................................... 23Samba configueren ....................................................................................................... 23Squid configureren ....................................................................................................... 25Authenticatie Firefox Windows 7 ................................................................................ 27Werking NTLM............................................................................................................ 27

Back-up-server ................................................................................................................. 28Netwerkconnectie ......................................................................................................... 28Back-upsoftware Rsnapshot......................................................................................... 29

Configuratie rsnapshot ................................................................................................. 29Automatisatie rsnapshot ............................................................................................... 31Windows Server 2008 Standard Edition Domeincontroller................................................. 33

Updaten Windows Server 2008........................................................................................ 34Installatie AD ................................................................................................................... 34DNS-server....................................................................................................................... 35Configuratie ldap-toegang. ............................................................................................... 36Installatie bestandserver ................................................................................................... 37

Quota’s instellen........................................................................................................... 40Configuratie Roaming Profiles......................................................................................... 43

Hidden share................................................................................................................. 43

Roaming profile config gebruikers. ............................................................................. 43Group policy configuraties ............................................................................................... 44

Netwerkmappen via Group policy ............................................................................... 44Configuratie Proxy voor cliënts ................................................................................... 48




-4-

Dagelijks nemen van back-ups. ........................................................................................ 49Installatie software Windows Server back-up services................................................ 49Configuratie Back-up met Windows Server backup.................................................... 50

Configuratie Installatie-server met grouppollicy. ............................................................ 54Custom install creëren office 2007 pro. ....................................................................... 54

Group policies instellen op server................................................................................ 56Windows Server 2003 Standard Edition R2 Member.......................................................... 58

Installatie Mailserver........................................................................................................ 59Voordelen Exchange mailserver .................................................................................. 59Benodigdheden voor Exchange.................................................................................... 59Aanpassingen Active Directory Exchange Server 2003 .............................................. 60Installatie Microsoft Exchange Server 2003 ................................................................ 61Internet mail configuratie ............................................................................................. 62

Second DNS ..................................................................................................................... 62Installatie Second DNS ................................................................................................ 62Delen van zone i-wares Windows Server 2008 ........................................................... 63

Configuratie Second DNS............................................................................................ 65Cliënt analyse ........................................................................................................................... 68Technische Termen .................................................................................................................. 69Conclusie .................................................................................................................................. 72Bronvermelding:....................................................................................................................... 73




-5-

Opstelling

Internet

Windows Server 2003 R2

Member Exchange 2003,

Second DNS en

Fileserver voor software

Windows Server 2008

DC/DNS, fileserver en

Installation Server GPO

NAS -backup

Linux-Server

PROXY/dhcp/

Backup-server / Router

Client 1 Client 2 Client 3 Client 4

10.10.7.210

10.10.7.200

10.0.0.2

10.0.0.254

10.0.0.3

Afbeelding 1

Server-opstelling

Server MEMBER Windows Server 2003 Hostname: Exch01IP-adres: 10.0.0.2Statisch IP-adresRoles: Dns-Server, Exchange Server 2003, Bestandserver (netwerkshare voorinstallatiebronnen)1 netwerkkaart

Server Domein Controller Windows Server 2008 Hostname:WARESDC01IP-adres: 10.0.0.3Statisch IP-adres

Roles: Domein Controller, Bestandserver (profielen en gedeelde mappen), DNS-server1 netwerkkaart




-6-

Server Linux Ubuntu 9.10 Hostname:Unix-srv1A records in DNS: proxy,IP-adres: 10.0.0.254, 10.10.7.200Statisch IP-adres

Roles:Router, proxy, dhcp, back-up naar NAS2 netwerkkaarten

Cliënt opstelling:Alle cliënts worden voorzien van een ip-adres dat wordt bezorgd door de dhcp-server Linux-server.De range voor de cliënts loopt vanaf 10.0.0.10 tot en met 10.0.0.199DNS-servers en Gateway worden tevens meegeven door de DHCP-server Linux.Gebruikers-rechten worden geconfigureerd op AD. Netwerkdrives komen ook viagrouppolicy. Roaming profile doen we op AD voor desktopgebruikers en niet voorlaptopgebruikers. Dit voor de eenvoudige reden dat een laptopgebruiker zich niet altijd in hetbedrijf aanmeldt.




-7-

Installatie Servers

Linux-server

Standaard Ubuntu installatie Server edition.

We maken een ssh-connectie met putty via onze win xp host machine.Putty is een tool die verschillende connecties toelaat met andere toestellen zoals SSH, telnet,rlogin

Afbeelding 2

Afbeelding 3




-8-

We installeren webmin. Dit is een handige tool die kan worden gebruikt voor het instellen vanNAT (masquerade in Linux term) voor de routeer functie, samen met de configuratie en infovoor verschillende andere services zoals lopende op mijn server.De webmin tool wordt echter niet gebruikt om configuraties uit te voeren maar enkelinformatief. Voorbeelden van webmin Afbeeldingen.18,19

Netwerkinstellingen

Afbeelding 4

Dit zijn alle benodigde instellingen voor onze Linux-server.

Lo:Dit is het interne loopback-adres en dit is de 127 range. Dit adres is niet voornetwerkcommunicatie met andere pc’s maar enkel voor services die draaien onder de Linux-machine.

Eth0:Onze eerste netwerkadapter is geconfigureerd voor het ontvangen van een ip-adres van eendhcp-server. Dit biedt vele voordelen waardoor bijvoorbeeld nieuwe dns-servers van de ISPautomatisch ontvangen zullen worden. De configuratie met een vast IP-adres ligt meestal opeen mac-adres bij je account voor de internetverbinding.

Eth1:Onze tweede netwerkadapter is geconfigureerd met een statisch IP-adres. Dit omdat dit dezijde is die geconecteerd is met onze LAN.




-9-

DHCP-server

Voor de configuratie van de dhcp-server moeten we eerst de service installeren op de linux-server. Nadat deze geïnstalleerd is kunnen we verder gaan met de configuratie van het

uitdelen van ip-adressen naar printers en cliënts. Onze configuratie werkt als volgt. Onze eth0is de uplink met internet. De interface eth1 is de netwerkkaart met ons lokaal netwerk. Weconfigureren alles via vmware Workstation. Ons lokaal netwerk is vmnet3.

Dit is onze configuratie-file voor de instellingen van DHCP-serversudo vim /etc/dhcp3/dhcpd.conf

Afbeelding 5

Willen we enkele toestellen een vast IP-adres geven voor toegangsregels kunnen we dit alsvolgt:

host HOSTNAME {hardware ethernet 08:00:2b:4c:59:23;fixed-address 10.0.0.200;

}

Wat uitleg bij de configuratie.Ddns-update-style none wil zeggen dat er niet moet gekeken worden voor dynamische dns-update. Dns is geconfigureerd op Windows Server 2008 en back-up op Windows Server2003.




-10-

Domain-name is de dns-suffix die wordt meegegeven via onze server op onze cliënts.Domain-name servers is het ip-adres waar onze dns-servers zich bevinden.Default lease time staat ingesteld op 11u 45 standaardMax-lease time staat ingesteld op 23u30 dit staat zo ingesteld omdat we niet zoveel ip-adressen ter beschikking hebben.

Authoritative wil zeggen dat de server dhcpack moet uitgevoerd worden.Log-facility local7 zijn de error codes die mogen worden teruggeven in het logbestand.Subnet is het netwerk dat we zullen gebruiken.Range is de IP-adressen range die mag worden uitgedeeld door de server voor cliënts.Option Routers is onze gateway die op onze cliënts terechtkomt.

Werking van dhcp tussen cliënt en server

DHCP Discovery

Afbeelding 6

Wanneer een cliënt geconnecteerd is met een DHCP-netwerk zal deze een broadcast zendenover het netwerk. Dit is een DHCPDISCOVER voor het vinden van de dhcp-server op het

netwerk. Indien de cliënt al eens geconnecteerd is geweest met het netwerk zal hij proberenhet laatste gebruikte IP-adres te verkrijgen.

DHCP Offers

Afbeelding 7

De DHCP-server zal een verzoek voor IP ontvangen van de cliënt. Hoelang de IP lease magworden gebruikt zal worden bepaald door de server. De DHCP-server zendt eenDHCPOFFER naar de cliënt waar de volgende informatie in terug te vinden is: tijd hoelanghet IP-adres mag worden geleased, IP-adres, subnetmask, mac-adres van cliënt en ip-adresvan DHCP-Server.




-11-

DCHP Requests

Afbeelding 8

Als de communicatie succesvol verlopen is en de cliënt de informatie heeft geaccepteerd,wordt dit verzonden naar de DHCP-server. Dit door middel van een broadcast met het IP-adres van de DHCP-server in. Zo kunnen ook eventueel andere DHCP-servers draaiend in hetnetwerk laten weten dat de cliënt al informatie verkregen heeft. Dit zou dan op eventueel

andere cliënts IP-adressen kunnen vrijgeven.

DHCP Acknowledgement

Afbeelding 9

DHCP acknowledgement is de laatste fase voor het verkrijgen van IP informatie. In deze fasebekijkt de server DHCPREQUEST van de cliënt en zend DHCPACK terug. Dit pakketverzendt de lease informatie + alle andere informatie die aangevraagd is door de cliënt.Hiervoor is authoritive nodig in onze config file van dhcp-server op Linux voor deze laatstestap. Dns-server Gateway Subnet IP-adres Dhcp-server Wins (optioneel)

Met deze configuratie in het nog niet mogelijk om een IP-adres te geven aan een cliënt in onsnetwerk. Op welke interface de adressen moeten worden uitgedeeld, moet nog bepaaldworden. Dit kan door een aanpassing te maken in deze file.

/etc/default/dhcp3-server

INTERFACES=eth1




-12-

Hiermee bepalen we welke interface IP-adressen moet uitdelen. Indien maar één netwerkkaartaanwezig dient dit niet ingesteld te worden.Na een herstart van de dhcp-service is de server klaar om IP-adressen uit te delen.

Controle Windows 7 Cliënt

Afbeelding 10

Op bovenstaande afbeelding zien we de instellingen van onze Windows 7 cliënt. Hier zien wedat alle instellingen die geconfigureerd staan op de dhcp-server allemaal correct zijn ingevuld.Daardoor kunnen alle vereiste services die netwerkcommunicatie nodig hebben, opstarten.

Router NAT

Voor het instellen van de NAT translatie voor het kunnen connecteren met internet via onzeLinux-server is het genoeg om enkele commando’s uit te voeren, de configuratie aan tepassen en daarna de server eens opnieuw op te starten. Dit gebeurt gewoon door hetcommando ip-tables. Dit commando heeft nog heel wat meer mogelijkheden zoals hier nu

getoond.

Aanpassen van configuratie-files:

sudo vim /etc/sysctl.conf

net.ipv4.ip_forward=1

Met deze configuratie maken we het mogelijk op IP-versie 4 door te geven. Dit regeltje isstandaard aanwezig in dit configuratie bestand maar dient uit commentaar gehaald te worden.




-13-

Configuratie-file

"/etc/rc.local"

Afbeelding 11

Het eerste commando is voor het toelaten van aanvragen en ze door te sturen.Het tweede commando is voor het routeren van alle aanvragen en deze door te sturen naareth0.Na het herstarten van de server zou dit echter mogelijk moeten blijken.Dit zorgt ervoor dat de instellingen permanent zijn en er niet voor zorgen dat doorverwijzingverdwijnt na herstarten van de server. Dit bestand wordt telkens doorlopen bij het opstarten

van de server. Hierdoor wordt de route elke maal opnieuw geconfigureerd. Standaard is hetbestand zonder commando’s en doet het niks. Het script moet zeker eindigen met een exit 0voor succesvolle uitvoering.

Squid Proxy Server

Squid proxy is een krachtig programma dat instaat voor proxy-server. Een proxy-server is eentussenpersoon tussen een Windows 7 cliënt en internet. Het heeft vele functies die kunnenworden gebruikt. Er kan worden gewerkt met authenticatie, verboden site, domeinblokkering,…De server houdt ook een cache die het mogelijk maakt minder internettrafiek te genereren. De

mogelijkheden zijn niet allemaal op te sommen. Hier zullen we 2 authenticatie mogelijkhedenbespreken.

Installatie Squid Proxy-server LDAP Authenticatie

Sudo apt-get install squid.

Zoals we ubuntu wel kennen kunnen we de meeste programma’s simpel installeren via sudoapt-get install commando. Echter wanneer we programma’s willen installeren die nog niet inhet grote software assortiment van ubuntu aanwezig zijn, kunnen we via het commanda dpkg

–i een afgehaalde .deb installeren. Dit is zo gebeurd bij onze webmin. Deze is wel standaardaanwezig maar ik wou de recentste versie gebruiken.




-14-

Configuratie Squid Proxy-server

Na de installatie dient er nog een configuratiebestand aangepast te worden.

/etc/squid/squid.conf

http_access allow localnetacl localnet 10.0.0.0/24

Hierdoor hebben we de mogelijkheid om te surfen met onze cliënts zonder aanmelden.Beter gezegd ons localnet dat hier gedefinieerd staat krijgt die mogelijkheid. Dit doen welouter om de proxy-server te testen zonder authenticatie.

Configuratie Authenticatie LDAP-server.

Doordat onze Linux-server niet in ons domein zit en we niet werken via onze dns-serverzullen we de host-file moeten aanpassen op onze server. Hierdoor kunnen we connectiemaken met de ldap-server via hostname. Die mogelijkheid wordt besproken in de ntml_authinstallatie.

We voegen volgende regels toe in /etc/hosts

10.0.0.3 waresdc01.i-wares.be

/etc/squid/squid.conf

http_port 8080

Bovenstaand zien we de aanpassing van de poort waar de server op moet luisteren vooraanvragen van de Windows 7 cliënttoestellen die willen surfen.

Afbeelding 12

Uitleg commando:

/usr/lib/squid/ldap_auth is het programma dat we zullen gebruiken voor de authenticatie. Ditis het volledig path zoals gekend op de Ubuntu Server.Parameters:

-R is nodig voor connectie te maken met een Windows Active Directory.-b is de base dn, in ons geval i-wares.be-D is de user die we zullen gebruiken om de LDAP-querries te maken.-W is het paswoord van de user dat gebruikt wordt om connectie te leggen met AD. Voor deveiligheid plaatsen we dit paswoord in een bestand en passen we de rechten aan.-f sAMAccountname=%s is de filter die we toepassen. Dit staat voor de input die gegeven

wordt op de cliënt.Waresdc01.i-wares.be is onze LDAP-server Active Directory.

Deze authenticatie is echter op die manier dat de naam en het paswoord ongecodeerd worden




-15-

verzonden over het netwerk. We kunnen dit aanpassen door met certificaten te werken. Dit isenkel voor de communicatie tussen Linux en de Ldap-server (Windows Server 2008 maarsecurity level forrest en domein 2003). Dus niet echt een goede oplossing.

Afbeelding 13

Auth_param basic children 50 zijn hoeveel processen er mogen gedraaid worden, momenteelworden er een 50 connecties toegelaten. Dit zijn de authenticaties, eenmaal geauthenticeerdkomt het proces terug vrij.Auth_param basic realm is de naam die moet worden weergeven bij authenticatie vraag op decliënt.Auth_param basic credentialsttl 2 hours. Is de tijd van hoelang de authenticatie geldig is. Hieris dit ingesteld als 2 uur.




-16-

Toegang verlenen aan Authenticated gebruikers

Afbeelding 14

Hier wordt toegang verleend om te surfen aan localhost en ldap-authAlle andere gebruikers krijgen een deny.

Afbeelding 15




-17-

Dit zijn de definities van de gebruikers: ldap-auth en dat er moet worden geauthenticeerd.Hierna mag natuurlijk het localnet terug in commentaar worden geplaatst omdat dit niet meervan toepassing is. Dit was enkel als test om de connectie met internet te proberen zonderauthenticatie. Andere configuraties zijn standaard en zullen we niet aanpassen. We zien hier

ook definities voor eventuele protocollen die de proxy moet aanvaarden zoals Safe_Ports. Ditkan handig zijn want momenteel hebben we enkel toegang verleend tot het http-protocol.Willen we toegang geven tot ftp kunnen we best de acl naam aanpassen en dan toegang gevenvoor die acl.

Authenticatie Internet Explorer Windows 7

Afbeelding 16

We zien hier dat we ons moeten authenticeren tegenover de proxy-server Squid maar krijgenechter ook de melding dat de gegevens niet veilig over het netwerk gaan.

Wanneer we dit gaan sniffen met een programma voor het ontleden van de netwerktrafiek danzien we effectief de data die niet gecodeerd is.Dit is genomen met de software Wireshark. Afbeelding 17 is de communicatie die gebeurd isnaar onze LDAP-server. Deze kunnen we eventueel wel encrypteren via certificaten. Hierzien we duidelijk in ons netwerkpakket dat de gebruiker thijs is en het wachtwoord Leen123!

Afbeelding 17




-18-

Controle van internet Access

Installatie SARGDe volledige naam van SARG is Squid Analysis Report Generator. Deze software laat ons toeom rapporten te generen op commandline basis. Gelukkig heeft opnieuw webmin hier een

grafische interface achter schuilen. Er worden html rapporten gegenereerd die wordenopgeslagen en eventueel later kunnen worden geraadpleegd. Het is echter ook mogelijk omvia cron te automatiseren zodat wekelijks een rapport wordt gemaakt.

Raadplegen van lijsten van internetverkeer doen we aan de hand van onze handige toolwebmin:We surfen naar: https://proxy.i-wares.be:10000 vanuit ons intern netwerk en dus op eencliënt.Daar dienen we ons aan te melden. Dit kan standaard met de gebruikers die gekend zijn in hetUbuntu systeem. Er kunnen ook nog specifieke gebruikers worden aangemaakt en rechtenaangepast om te werken met webmin.Daar kiezen we voor de module Squid Report Generator.Afbeelding 18 is een overzicht van alle gebruikers die gesurft hebben via de proxy-server.Afbeelding 19 is het overzicht van de gebruiker Thijs met alle gebruikte sites. We kunnen zelf via deze links rechtstreeks naar de site gaan.

Afbeelding 18




-19-

Afbeelding 19




-20-

Installatie Squid Proxy 3.0 met ntlm_auth

Eerst en vooral installeren we AD op een toestel (Windows 2008 standaard is ons OS),Het beveiligingsniveau laten we op 2008 staan. Dit heeft geen problemen met Ubuntu en

Squid.

Installatie pakketen

Voor de configuratie van deze opstellingen hebben we verschillende pakketten nodig.Opnieuw is onze server een router met een LAN en WAN poort, zie eerder beschreven.We installeren ze met het welgekende commando.Sudo apt-get install

Samba: Dit maakt het mogelijk om over het SMB-protocol windows dus, te kunnencommuniceren.

Winbind : Dit staat in voor de authenticatie die kan gebeuren tussen Samba en Kerberos.Krb5-config: Dit is nodig om Kerberos te kunnen aanspreken.Krb5-doc: Dit is louter informatie over het configureren.Krb5-user : Dit zijn tools om de communicatie met Kerberos te kunnen testen.

NTP: Dit is nodig voor de synchronisatie van tijd met Active Directory. Een domeincontrolleris automatisch ook een NTP-server, dit is nodig voor een goede werking van Kerberos.Anders kunnen er sporadisch weigeringen plaatsvinden.Squid 3.0: proxy software

Domein DNS-server toevoegen:

Hier hebben we de regel toegevoegd prepend domain-name-servers 192.168.1.1, dit om de

dns-server van het domein te kunnen aanspreken. Het toestel heeft een statisch IP aan de LANzijde en een dynamisch aan de WAN zijde. Dit is belangrijk voor het terugvinden van deDomein controller.

Afbeelding 20




-21-

NTP

Voor synchronisatie van de NTP-Server AD2008 dient er een NTP installatie te gebeuren opde Ubuntu Server;Sudo apt-get install ntp.Aanpassen van /etc/ntp.conf

We passen de server in deze config aan door onze domeincontroller en deze is ook een NTP-server. Meerdere servers zijn ook mogelijk. Het kan ook een apart toestel zijn.

Server waresdc01.i-wares.be

Afbeelding 21

Tijdsynchronisatie is OK.




-22-

Kerberos-configuratie

Eerst en vooral stellen we Kerberos in en hiervoor passen we de file aan /etc/krb5.conf

[libdefaults]

default_realm = I-WARES.BEdefault_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

[realms]

I-WARES.BE = {kdc = WARESDC01.I-WARES.BEadmin_server = WARESDC01.I-WARES.BE

}

[domain_realm]

.i-wares.be = .I-WARES.BEi-wares.be = I-WARES.BE

[login]

krb4_convert = truekrb4_get_tickets = false

Bij de tab [libdefaults]

Hier vullen we ons default domein in. We moeten opletten dat het domein in hoofdletters is.Dit heeft te maken met een bug.default_tgs_enctypes Ondersteunende encrypties tussen Ubuntu Server en Windows AD waarwe aes256 hebben aan toegevoegd omdat dit de encryptie is die Windows Server 2008gebruikt.

default_tkt_enctypes Ondersteunende encrypties dat een Windows cliënt mag aanvragen. Hierhebben we ook aes256 aan toegevoegd omdat dit de encryptie is die Windows 7 gebruikt.

Bij de tab [realms]

Opnieuw domeinnaam in hoofdletterskdc = Key Distribution Center toestel dat Kerberos tickets uitdeelt.admin_server = Toestel waar authenticatie op moet gebeuren.

Bij de tab [domain_realm]

Hier plaatsen we aliassen voor hostname aansprekingen die dan naar de Kerberos naamgevingmoeten worden geleid. Ook hier moeten we hoofdletters gebruiken.

Bij de tab [login]Dit veld bevat standaard instellingen voor het aanspreken van het programma voor Kerberos.




-23-

Testen van Kerberos

wares@ubuntu-server1:~$ sudo kinit [email protected]@ubuntu-server1:~$ sudo klistTicket cache: FILE:/tmp/krb5cc_0

Default principal: [email protected] starting Expires Service principal03/19/10 00:35:26 03/19/10 10:35:20 krbtgt/[email protected]

renew until 03/20/10 00:35:26Kerberos 4 ticket cache: /tmp/tkt0

klist: You have no tickets cached

Verwijderen van dit ticket doen we via het commando:Kdestroy dit kan enkel als sudo-user of root.

Samba configueren

Aanpassen /etc/samba/smb.conf

workgroup = I-WARESrealm = I-WARES.BEserver string = %h server (Samba, Ubuntu)security = ADSpassword server = 192.168.1.1

idmap uid = 10000-20000idmap gid = 10000-20000winbind use default domain = yes

Dit zijn de opties die moeten worden aangepast:Workgroup is de netbios domeinnaam.Realm is de FQDN.Server string is de naam voor deze server in ADSecurity ADS is op domein niveau.Password server is onze AD.Idmap uid = welke id de gebruikers van AD op het locale Ubuntu systeem krijgen.

Idmap gui = welke id de groep krijgt van de user op het locale Ubuntu systeem.Winbind use default domain moet zeker aanstaan voor NTML authenticatie omdat dan hetdomein niet moet worden meegegeven bij de gebruikersnaam.

Controle of de configuratie correct is door command testparm:

wares@ubuntu-server1:~$ testparm

Load smb config files from /etc/samba/smb.conf Processing section "[printers]"Processing section "[print$]"

Loaded services file OK.Server role: ROLE_DOMAIN_MEMBERPress enter to see a dump of your service definitions




-24-

Daarna voegen we onze machine toe aan AD.

Dit gebeurt door het commandosudo net ADS join Administrator%paswoord

Na verwerking zien we het volgende op onze AD.

Afbeelding 22

Aanpassen waar ons systeem allemaal gebruikers moet opzoeken.We voegen bij volgende regels winbind toe in de config-file /etc/nsswitch.conf

passwd: compat winbindgroup: compat winbind

shadow: compat winbind

Na herstart van de services samba en winbind kunnen we de gebruikers oproepen van AD.We krijgen het volgende resultaat

wares@ubuntu-server1:~$ wbinfo -uUBUNTU-SERVER1\waresadministratorguestkrbtgttest

roottest2




-25-

En zo ziet AD er uit.

Afbeelding 23

Squid configureren

Aanpassen rechten voor het authenticeren via winbind voor de proxy-user:

sudo gpasswd -a proxy winbindd_priv

Testen of authenticatie lukt. Dit dient te gebeuren op de gebruiker proxy.Su proxy.

$ wbinfo -a test%Leen123plaintext password authentication succeededchallenge/response password authentication succeeded

TEST OK

Aanpassen van /etc/squid3/squid.conf Programma voor de authenticatie.auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmsspauth_param ntlm children 30auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basicauth_param basic children 5auth_param basic realm Squid proxy-caching web serverauth_param basic credentialsttl 2 hours

De eerste 2 regels zijn voor domein computers en werken over winbindd samba en kerberos.

Volgende 4 regels zijn voor pc’s die niet in het domein zitten en toch willen connectie makenmet SQUID. Indien een geldige domein-login wordt ingegeven zal dit lukken.Dit is zonder encryptie over het netwerk dus niet aan te raden. Deze aanmeldprocedure kanniet actief worden gezet.

Rechten geven aan ntlm_users voor te surfen.

acl ntlm_users proxy_auth REQUIRED

Regel voor de ntlm_users die moeten authenticatie geven via het programma.

http_access allow ntlm_users

Regel om toegang te verlenen via de proxy.




-26-

Kijken naar /var/log/squid3/access.log

Afbeelding 24

Hier zien we dat de gebruikersnaam test meermaal terugkomt dus onze authenticatie werdgeregistreerd door Squid. Dit is over NTMLSSP.




-27-

Authenticatie Firefox Windows 7

Hier zien we de connectie via proxy-server. Dit is met een Windows 7 cliënt.

Afbeelding 25

Werking NTLM

1. Een gebruiker meldt zich aan op een cliënt toestel (Windows 7) en heeft eendomeinnaam, gebruikersnaam en paswoord. De cliënt rekent een cryptograpische hashvan het paswoord en maakt geen gebruik van het actuele paswoord.

2. De cliënt zend een gebruikersnaam naar de server in tekst.3. De ubuntu-server genereert een 16-byte random nummer en zendt deze naar de cliënt.

Dit is de challenge.4. De cliënt encrypteert the challenge met de hash van het paswoord van de user. Dit

wordt de response genoemd.5. De ubuntu-server zendt de volgende 3 zaken naar de Domeincontroller:

o Gebruikersnaamo Challenge verzonden naar de cliënto Response verkregen door de cliënt.

6. De domein controller gebruikt de gebruikersnaam om de hash van de user zijnpaswoord te bekomen via de Security Account Manager database (AD). En gebruiktde hash om het paswoord te encrypteren.

7. De domeincontroller vergelijkt de stappen die gemaakt zijn door de cliënt stap 4 metstap 6. Als deze identiek zijn is de authenticatie succesvol verlopen.




-28-

Back-up-server

Netwerkconnectie

Aanmaken van netwerkverbinding voor het back-uppeen van verschillende servers:We dienen 2 netwerkverbindingen aan te maken die permanent zijn.

De ene is de verbinding met de NAS en de andere is de verbinding met de back-up-partitie dieverborgen gedeeld is over het netwerk. We passen onze configuratie aan in het bestand

/etc/fstabDit bestand staat in voor het mounten van de verschillende beschikbare partities.

Afbeelding 26

De volgende regels zijn voor het maken van de netwerkverbindingen. //10.10.7.200/openshare en //10.0.0.3/backupwinservers$ zijn de netwerk gedeelde

mappen die beschikbaar zijn voor connectie. /media/backup en /media winservers zijn de punten zoals het Linux systeem de locatie

moet kunnen aanspreken.Cifs is het filesysteem dat de locaties om handen hebben.

Credentials zijn de bestanden die de gebruikersgegevens bevatten. We zien datwanneer we gebruik maken van een user in een domein, we het domein dienen mee tegeven.

Onze eerste 0 staat voor de dump frequentie: dit zorgt voor het archiveren van departitie in ons geval bij netwerkverbindingen niet aanleggen.

Onze tweede 0 staat voor de eventuele controle van het programma FSCK dit isbestandcontrole op eventuele fouten. Dit is echter voor het opstarten van de Server. Deroot / moet een 1 verkrijgen alle andere 2. Opnieuw in geval van netwerkverbindingeneen nul.

Hiervoor hebben we nood aan de software smbfs dat wordt geïnstalleerd door het welgekendeinstallatie commando sudo apt-get install. Volgende hebben we toegevoegd om denetwerkverbinding aan te maken:We kunnen ook de gebruiker hier ingeven en het paswoord. Dit is echter niet veilig want hetbestand fstab is door iedereen leesbaar en dit hoort zo te zijn. Onze NAS is van het merk

lacie.Hiermee leggen we de connectie met de netwerkschijf.De bestanden zijn beide met een gebruikersnaam en paswoord en de rechten zien er als volgtuit:

Afbeelding 27

Enkel de root user heeft rechten om te lezen en schrijven in deze bestanden. Dus dit isbeveiligd.




-29-

Afbeelding 28

Bij het inloggen, zien we de nog beschikbare ruimte op de NAS. Dit is enkel informatief enmakkelijk doordat ook het percentage erbij is geplaatst. Dit zien we op afbeelding 28.

Back-upsoftware Rsnapshot

Met Rsnapshot wordt een back-up genomen van een directory en files naar een andere locatie.De software heeft als voordeel dat de back-up incremental is. Dit komt de back-upopslag tengoede. Er wordt gewerkt met hard links voor bestanden die niet gewijzigd zijn. Onderliggend

werkt het programma rsync. Dit is een programma dat synchronisatie tussen 2 locatiesuitvoert. Dit is één-richting synchronisatie.

Installatie command:Sudo apt-get install rsnapshot.

Configuratie rsnapshot

Bestand: /etc/rsnapshot.conf

Afbeelding 29




-30-

Config_version 1.2 Default versie toch vereist.snapshot_root: Plaats waar de back-up moet worden weggeschreven.Interval daily 7: Dagelijks interval 7 dagen bijhouden..Verbose 1: Welke errors er mogen worden teruggegeven. Dit is enkel wanneer de

back-up manueel gebeurt door het commando sudo /usr/bin/rsnapshot

-V daily Loglevel 2: Welke errors er mogen worden weggeschreven in de log. Dit zijn

standaard enkel errors en waarschuwingen worden weggeschreven in delog-file.

Logfile /var/log/rsnapshot:Bestand waar de errors en waarschuwingen van loglevel 2 wordenweggeschreven.

Lockfile /var/run/rsnapshot.pid:Pid-file die aangemaakt mag worden om de opdracht uit te voeren.

Include_conf Eventueel extra config-file die kan worden gebruikt.No_create_root 1 of 0 Indien 1 zal de hoofddirectory niet aangemaakt worden snapshot_root

cmd_rsync volledige path naar het rsnyc programma.

Afbeelding 30

Dit zijn de mappen en bestanden die moeten worden geback-upped naar de snapshot_root. /home/ Zijn eventuele gebruikersgegevens of downloads van ons voor

configuratie. /etc/ Bevat alle configuratiebestanden van onze server onder /etc of eventueel onderliggende mappen.

/media/winservers/ Bevat onze back-ups genomen door Windowsserver backup-software.

/var/log/rsnapshot Bevat de log gegevens van de al genomen back-ups.




-31-

Automatisatie rsnapshot

Door de installatie van Rsnapshot werd het volgende bestand aangemaakt: /etc/cron.d/rsnapshot

Afbeelding 31

Uitleg bij de 6 velden die staan voor datums en tijdbepalingen:

Eerste staat in voor de minuten bepaalbaar tussen 0 en 59 Tweede staat in voor de uren bepaalbaar tussen 0 en 23 Derde staat voor een dag van de maand dit van 0 tot 31. Vierde staat voor een maand van 1 tot en met 12. Vijfde staat voor een dag van de week bepaalt van 0 tot en met 6 waarbij 0 zondag is.

Hier is de configuratie voor het maken van de back-up dagelijks om 0u00.

Mapstructuur ziet er als volgt uit na een tijd:

Afbeelding 32

In dit voorbeeld zijn we 3 dagen ver en is daily.0 onze recentste back-up.Iedere maal dat een back-up wordt genomen wordt de back-up verplaatst tot en met daily.6Zo wordt er een dagelijks een back-up genomen en kan er tot 7 dagen worden teruggegaan.

mv /media/backup/srv_linux/daily.1/ /media/backup/srv_linux/daily.2/ native_cp_al("/media/backup/srv_linux/daily.0",

Er wordt een full back-up genomen en aan de hand van deze worden incremental back-upsgenomen. Dit wil zeggen dat enkel aangepaste bestanden opnieuw worden weggeschreven.Bestanden die onveranderd zijn worden via een hardlink naar het betreffende bestand geleid.Zo wordt tijdens het terugplaatsen van de back-up ook het juiste bestand gekopieerd.

In dit voorbeeld heb ik een lijst gemaakt van de dagelijkse back-ups. Daily.1 en daily.2Daarna voeren we een grep uit naar verschillende bestanden die kunnen aangepast zijn of niet.Hier zien we de aangepaste bestanden met een nieuwe inode. Dit is een plaatsbepaling op de




-32-

HDD. Voor de bestanden fstab en rc.local zien we 3 maal dezelfde Inode dit is een verwijzingnaar een bestaand bestand:

Afbeelding 33

Vergelijken van directories.

Vergelijken van directories:rsnapshot diff daily.0 daily.1

Comparing daily.0 to daily.1Between daily.0 and daily.1:

0 were added, taking 0 bytes;0 were removed, saving 0 bytes;

Er zijn geen verandering gebeurd met de back-up van gisteren.




-33-

Windows Server 2008 Standard Edition Domeincontroller

Waarom Active Directory installeren?

Active Directory geeft verschillende voordelen zoals: Centraal beheer van gebruikers and paswoorden.

Beter ondersteuning voor Exchange Mail Server. Betere werkstation beveiliging. Mogelijkheid door GPO om Centrale opslag ruimtes te creëren voor gebruikers en

groepen. Centralisatie van configuratie instellingen. Installatie via GPO van softwarepakketten.

Voordelen Windows Server 2008 tegenover Windows Server 2003.

1. Virtualisatie: Hyper-V : Software die instaat om virtuele servers te draaien ontwikkeltdoor Microsoft belangrijkste concurrent is VMWARE.2. Server Core: Mogelijk om enkel een commandline te installeren bedoeld voor rollen zoalsDHCP, printserver. 3. Betere beveiliging: Kan ik verwijzen naar LDAP connectie van Squid. Dit wordt niet meerondersteund in Windows server 2008.4. Server Manager: Is een combinatie van Configure your server en enchanced securitywizard. Iedere rol van de server is hierin terug te vinden met de nodige extra informatie. - 5. Read Only Domein Controllers (RODC) Mogelijkheid om Domein controllers enkelinformatie te kunnen uitlezen en niet te kunnen wijzigen. Is interessant voor andere kantorendie niet in de hoofdlocatie aanwezig zijn. 6. Enhanced terminal services: Veel verbeteringen zijn aangebracht voor Terminal server

zoals beveiliging van het aanmelden aan de juiste machine via TLS (Transport LayerSecurity)7. Network Access Protection: Oplossing van microsoft voor het tegengaan van wormen envirussen op het netwerk.8. PowerShell: Vernieuwing van de oude commandpromt die nieuwe mogelijkheden biedt enwerkt met een achterliggende .dotnet framework. 9. IIS: Internet Informatie Service: Is de software die het mogelijk maakt verschillendeservices naar het web of intern te publiceren. Zoals een website en ftp. Nieuwe versie inWindows Server 2008 Versie 7.0.10. Bitlocker: Mogelijkheid om data op de server te encrypteren dit met als decryptie eenusb-stick en wanneer de server of data wordt gestolen is het echter niet mogelijk om de data

aan te spreken zonder de stick. Is ook beschikbaar in Windows Vista.




-34-

Updaten Windows Server 2008

Zoals we Windows kennen installeren we SP2 voor Windows Server 2008 en alle andereupdates via Windows update zodat we niet voor verassingen komen te staan.

Afbeelding 34

Afbeelding 35

Installatie AD

Uitvoeren van DCPROMOWe gaan een nieuw domein in een nieuwe forest aanmaken.Tevens installeren we een dns-server op ons toestel.

Afbeelding 36

Eigenschappen van de installatie van het domein en forest.




-35-

Afbeelding 37

Forest Functional Level en Domain Functional Level is ingesteld op Windows Server 2003.Dit is om de configuratie met Squid-proxy met LDAP-authenticatie mogelijk te maken.en voor de installatie van Exchange 2003. Want AD 2008 laat niet toe om bij Exchange 2003het Forest en de domein-partitie uit te breiden.We installeren ook DNS op ons toestel met reverse zone. Dns laat ons toe om gebruik temaken van naamgevingen. Een netwerk is standaard gebaseerd op IP-adres communicatie.Voor het vergemakkelijken van dit proces kunnen we werken via DNS.. DNS is namelijk ook nodig in een AD. Dit voor het terugvinden van de Domeincontroller.

DNS-server

Afbeelding 38




-36-

Op afbeelding 38 zien we onze structuur van de forward lookup zone van i-wares.be. Dit iseen zone die automatisch wordt aangemaakt indien de service nog niet aanwezig is bijinstallatie van AD. Op ons voorbeeld zijn onze cliënts (Windows 7) toestellen ook alaanwezig. Dit is door bij configuratie enkel secure updates toe te laten. We zien in onsvoorbeeld ook dat onze server exh01 en proxy een statisch IP-adres hebben. Proxy hebben we

manueel toegevoegd doordat de Linux machine geen lid is van het domein. Exch01 werdtoegevoegd bij member maken van de server in het domein.

Afbeelding 39

Dit is de configuratie voor de reverse lookup-zoneHier kiezen we opnieuw voor allow only secure dynamic updates.Deze laat enkel updates toe van geregistreerde Computers in AD.Reverse DNS is om het IP-adres te linken aan een naam.DNS staat in voor het linken van de naam aan het IP-adres.Dit zijn computers die lid zijn van het domein en deze moeten we manueel lid maken of kunnen we via een unattend install van Windows 7 automatiseren.

Configuratie ldap-toegang.

We maken gebruik van onze administrator van het domein om de ldapquerry uit te voeren.Deze heeft rechten om authenticatie op te vragen. We moeten wel weten dat dit geen secureverbinding toestaat op domein niveau 2008. Indien we de installatie verwezenlijken zoals hierin het voorbeeld met Windows server 2003 domein niveau, kunnen we wel aan simpel binddoen. Onze Squid laat echter maar simpel bind toe. We kunnen echter wel werken viacertificaten om de beveiliging te optimaliseren tussen Ubuntu Server en Domeincontroller.Dit neemt niet weg dat de communicatie tussen de Windows cliënts en de Ubuntu-Server(Squid) nog altijd in tekst over ons netwerk gaat. Dus voor beveiligingsredenen zou ik ditnooit in een bedrijf implementeren. De conclusie door opzoekingswerk is dat het echter welfrequent gebruikt wordt in bedrijven. Dit echter weliswaar met een Windows 2003 server alsAD.




-37-

Installatie bestandserver

Via servermanager zullen we een rol toevoegen welgenaamd Bestandserver.Dit resulteert in een wizard.

Afbeelding 40

We kiezen voor File Services en hierdoor wordt de rol aan onze server toegewezen.

Afbeelding 41

We kiezen als extra optie File Server Resource Manager. Dit zorgt ervoor dat we rapportenkunnen maken van de bestanden, Quota’s opleggen zodat de bestandserver niet vol kanworden geschreven.




-38-

Afbeelding 42

Hier kunnen we kiezen van welke partities de server dient rapporten te maken. Doordat dit nueen virtuele omgeving is hebben we maar één partitie. In productie zou ik het toestel toch welinstalleren met een ander partitie voor file beheer.

Afbeelding 43

Hier kunnen we instellen waar de rapporten moeten worden bewaard. Dit laten we opstandaard staan.




-39-

Afbeelding 44

Hier krijgen we de mogelijkheid om de installatie te starten met overzicht van onze gekozenopties.




-40-

Quota’s instellen

Om onze bestandserver te beveiligen tegen gebruikers die grote bestanden zouden plaatsenkunnen we quota’s inbouwen. Dit zijn beperkingen die worden opgelegd in verband met dehoeveelheid data die mag worden geplaatst op een gedeelde map. Dit is gemakkelijk

beheerbaar als administrator.

Voor de configuratie van quota’s zullen we onder Server Manager naar Files Server en hetonderliggende deel Quotas gaan. Dit is een onderdeel dat als extra is aangevinkt in bij deinstallatie.

Afbeelding 45

Abeelding 46

Nieuwe quota aanmaken voor de map die gedeeld is voor de afdeling IT.We hebben verschillende voorbeelden van sjablonen om in te stellen welke beperking er moetoptreden. We zullen zelf een nieuwe beperking definiëren. We nemen Custom Properties. Zieafbeelding 46




-41-

Afbeelding 47

We passen de belemmering aan tot 10 GB. Bij Notification thresholds kunnen we dehandelingen toevoegen die nodig zijn wanneer de belemmering wordt overschreven of dreigtoverschreven te worden.. We zullen de handeling aanmaken. We kunnen ook kiezen voor eenHard Quota of Soft Quota. Een Hard Quota zal weigeren de data te kopiëren indien de 10 GBwordt overschreden en een soft zal de overschrijding toe laten maar zal hiervan een meldinggeven. Welke meldingen kunnen we instellen bij Threshold hieronder. We kiezen een HardQuota.

Afbeelding 48

Hier krijgen we de mogelijkheid de meldingen die moeten worden gegeven, in te stellenwanneer de data 85 procent is van de belemmering. We willen hiervan een mail ontvangen enstellen dit in. Alsook moet er een vermelding in de event manager komen + een rapportworden genomen van de betreffende bestanden met alleen de grootste zie Afbeelding 49.




-42-

Afbeelding 49

Deze rapporten worden gemaakt in de locatie bepaald bij installatie van de Bestandserver. Wehadden dit op de standaardlocatie gelaten dus onder c:\storagereports.Bij de configuratie dat een mail moet worden gezonden kregen we de melding dat er geensmtp-server aanwezig was in de configuratie. We dienen dit nog apart in te stellen. Dit

gebeurt bij de eigenschappen van File Server Resource manager bij de console Servermanager.

Afbeelding 50




-43-

Configuratie Roaming Profiles

Hidden share

Eerst maken we een verborgen gedeelde map aan op onze server waar we de profielenbewaren. Het dollarteken achteraan zorgt ervoor dat de folder niet wordt getoond bij

netwerkverkenning naar de server. \\waresdc01\profiles$

Afbeelding 51

We stellen de rechten in voor de domein gebruikers.

Roaming profile config gebruikers.Deze instelling gebeurt per gebruiker dus moeten we onze gebruikers aanpassen op AD.Onder AD users and computers gaan we naar de betreffende gebruiker.In ons voorbeeld thijs

Afbeelding 52Profile tab vullen we Profile path in: \\waresdc01\profiles$\%username%




-44-

%username% is een variable die dan zich aanpast aan de gebruiker.

Na eens aanmelden en terug afmelden van gebruiker zien we het volgende op onze server.

Afbeelding 53

Voordeel van roaming profiles. Meldt de gebruiker zich aan op een ander toestel met zijnlogin-gegevens zijn alle instellingen meegekomen. Is enkel haalbaar in een KMO +/- 100gebruikers met een dergelijk netwerk. Anders wordt de aanmeldtijd van de gebruiker veel telang. De rechten worden automatisch aangepast. Geen enkele user kan in het profiel vanelkaar zelfs niet administrator. Daar is natuurlijk een mouw aan te passen. MeerdereDomeincontrollers kan ook afgewogen worden. Indien het toestel ook buiten het bedrijf gebruikt wordt is het niet interessant om te werken met een roaming profile. Daarom makenwe de instellingen manueel zodat iedere gebruiker kan worden ingesteld. Op deze directoryzou ik een Soft Quota plaatsen. Zo kunnen we het wat in de gaten houden dat gebruikers geengrote bestanden in hun profiel plaatsen.

Group policy configuraties

Netwerkmappen via Group policy

We maken een nieuwe group policy aan via Group policy management op onze server.We willen netwerk gedeelde mappen per afdeling.

Afbeelding 54

We geven de policy een gepaste naam Netwerkdrive Afdeling IT.




-45-

We maken een nieuwe groep aan voor het toepassen van de group policy. We zullen de groepIT Afdeling noemen. Dit is om de administratie te vereenvoudigen. Wanneer we een nieuwegebruiker hebben die ook deze drive moet krijgen, is het voldoende om de gebruiker toe tevoegen aan de groep.

Afbeelding 55

We nemen voor groeptype de Security Group. Dit maakt het mogelijk om dit toe te passen.Een distributie groep is enkel om mailgroepen te maken. Wanneer een mail wordt verzondennaar de groep krijgen alle leden deze mail. Dit werkt ook via de security groep.De groep scope nemen we global omdat er een goeie ondersteuning is voor mixed-mode ennative mode domein. De groep is enkel beschikbaar in het domein en niet in de completeforest.

We plaatsen de gebruikers in de betreffende groep IT Afdeling. In ons voorbeeld is dit thijs.

Afbeelding 56




-46-

We maken een nieuwe netwerkgedeelde map aan op onze server \\waresdc01\netwerkdrives$\IT

Afbeelding 57

We geven de groep IT afdeling volledige controle over de gedeelde map.Daarna passen we onze specifieke Group policy aan.

Afbeelding 58

Hier maken we een nieuw netwerkstation aan onder de gebruikers configuratie. We geven dedrive de letter I en moet worden getoond. Als naam krijgt de drive Itnetwerkshare mee.Dit moet ervoor zorgen dat het onder het gebruikersniveau gebeurt en de drives zichtbaar zijnop eender welke pc die aanlogt op het domein.




-47-

Afbeelding 59

We passen onze rechten aan voor uitvoering van de GPO enkel leden van de IT afdelingGroup. Alle leden van deze groep moeten deze drive krijgen.

Als we aanmelden met Thijs die in de groep IT afdeling zit krijgen we het volgende resultaat.

Afbeelding 60




-48-

Configuratie Proxy voor cliënts

Voor het automatisch toekennen van onze proxy in internet Explorer maken we een nieuweGPO aan. Dit doen we opnieuw met de gepaste naam. Deze GPO is op gebruikers en moetworden uitgevoerd aan alle authenticated users.

Afbeelding 61

We voegen de proxy toe voor http-verkeer. Belangrijk is we de proxy niet zullen gebruikenvoor lokale adressen. Dit zijn adressen die .i-wares.be in de naamgeving hebben. We doen ditechter voor het niet overbelasten van onze proxy.




-49-

Dagelijks nemen van back-ups

Installatie software Windows Server back-up services

Om een volledige back-up te nemen van onze Windows server 2008 inclusief AD dient een

nieuwe feature te worden geïnstalleerd op onze Server.

Afbeelding 62

Dit gebeurd via Server manager en bij Features kiezen we voor Add Features.

Afbeelding 63

We kiezen voor de feature Windows Server Back-up Features. Dit zal de benodigdeonderdelen installeren die we nodig hebben om de back-uptaak aan te maken en deconfiguratie uit te voeren.




-50-

Na de installatie kunnen we de benodigde configuratie instellen via Administratieve taken Windows Server Back-up. Dit is de vervanger van NT back-up die in vorige Windows Serverversies aanwezig waren.

Afbeelding 64

Configuratie Back-up met Windows Server backup

Voor we de effectieve taak aanmaken voor het maken van een back-up zullen we eerstinstellen of het een full of incremental back-up dient te zijn. We kunnen dit instellen per schijf en dit op de volgende locatie. Menu action Configure Perfomance Settings.

Afbeelding 65




-51-

Hier stellen we per partitie in wat ermee dient te gebeuren. In ons voorbeeld zullen weincremental back-up nemen van de schijf c: Zie afbeelding 66Incremental back-ups is een back-up van enkel de gewijzigde bestanden. Dit bespaartnetwerkbandbreedte + opslag op back-up media.

Afbeelding 66

De 2de partitie laten we standaard staan want dit is niet van toepassing.

Bij de Server backup mmc kiezen we dan voor action en zullen we kijken voor een nieuweschedule back-up. Zie afbeelding 65

Afbeelding 67

We nemen een volledige back-up van het toestel dit wil zeggen ook AD + onze gedeeldefolders die gebruikersprofielen bevatten + netwerk gedeelde mappen van afdelingen. Dit iswel verwerkt dus hier kan niet rechtstreeks worden naar gebrowsed. Het terugzetten vaneventuele bestanden moet ook gebeuren via de Windows server back-up manager.




-52-

Afbeelding 68

Hier hebben we de mogelijkheid om eventueel meerdere back-ups te nemen dagelijks of eentje dagelijks. We hebben echter geen mogelijkheid om de configuratie van anderetijdperiodes in te stellen zoals maandelijks bijvoorbeeld.

Afbeelding 69

Hier moeten we keuze maken in een locatie die beschikbaar is voor het plaatsen van de back-up. Dit is echter alleen mogelijk op een lokale schijf. En niet mogelijk op een schijf waar eenbesturingssysteem op geplaatst is. Dit uit veiligheid dat de server niet crasht door plaatsgebrek bij het schrijven van een back-up. Standaard heeft de wizard dan de melding dat hij de partitiewaar de back-up dient worden geschreven niet meer wordt weergeven in Windows Explorer.Dit is voor de veiligheid dat niet opeens de partitie wordt verwijderd of geformatteerd. Departitie had eerst de letter E: gekregen in het voorbeeld.




-53-

Om de back-up te kunnen verwerken via onze Ubuntu-server dient deze zichtbaar gemaakt teworden. We doen dit via Computermanagement. Daar zullen we aan de betreffende partitieterug een letter aankoppelen. Hierdoor maken we de partitie terug beschikbaar. De letter isvoor de veiligheid de drive B: Dit om niet met overlappingen te komen zitten van eventuelenetwerkdrives.

Afbeelding 70

We maken ook nog een verborgen gedeelde map aan voor de connectie tussen de back-uppartitie en onze Ubuntu back-up server.

Afbeelding 71

Voor de verwerking met onze Ubuntu back-up server dient er nog een extra user aangemaaktte worden om dit veilig te laten verlopen. We maken de user aan backupsrv en geven die uservolledige rechten op de directory. We doen dit via Active Directory Users and Computers.




-54-

Configuratie Installatie-server met grouppollicy.

We kunnen normaal werken met software assign. Dit is echter alleen mogelijk met een .msipakket. Office beschikt ook over een msi-installer. Wanneer we willen werken met eenaangepaste configuratie is het niet mogelijk om de .msi te gebruiken. Daar gaan we nu niet

verder op in.

Custom install creëren office 2007 pro.

We kopiëren de office installatie naar een gedeelde map op onze installatie server.Daarna voeren we de setup.exe uit met de parameter /admin.Daarmee starten we de office Customization Tool. Hier hebben we de mogelijkheden omverschillende instellingen aan te passen. Zoals een silent install uitvoeren. Nog een voordeelbij deze instellingen is dat wanneer deze instellingen toegepast zijn ze niet permanent zijn.Via een GPO kunnen ook instellingen aangepast worden. Deze zijn dan echter bij iedere

herstart opnieuw actief. Bij deze instellingen zijn het voorstellen maar dat kan nog aangepastworden en de aanpassingen blijven actief bij een herstart.

Afbeelding 72




-55-

Hiermee maken we een config-file aan voor office die aan onze behoeften voldoet.We geven de licentie in van ons office product + de installatiemogelijkheid die moet wordenteruggegeven. Hier kiezen we dat er niks hoeft worden aangetoond.

Afbeelding 73

Hier creëren we een nieuw profiel voor Outlook voor de automatische configuratie van allegebruikers in ons domein.

Afbeelding 74




-56-

Afbeelding 75

In bovenliggende screenshots zien we de configuratie van de mail-account voor onzegebruikers.Dit is een variabel die hier dient ingevoegd te worden en deze wordt uit AD uitgelezen.Dit brengt als voordeel dat niet iedere account of nieuwe account dient te wordengeconfigureerd op de cliënt. We voegen ook 2 extra iconen bij die op het bureaublad moetenworden teruggegeven namelijk van Word en Outlook. Om de installatie zich bewust te makenvan de aangepaste setup dient het bestand met extensie .msp gekopieerd te worden naar de

map Updates onder onze gedeelde map. Setup neemt automatisch deze map mee om te kijkenvoor eventuele updates of configuraties.

Group policies instellen op server.

We kopiëren de office 2007 pro cd-rom lokaal naar onze server.Daarna maken we een share aan voor de installatie bestanden.Onze share is \\exch01\soft

Afbeelding 76

Bij de rechten voor deze gedeelde map verwijderen we Iedereen leesrechten en geven werechten aan de domein computers om de map uit te lezen.




-57-

Afbeelding 77

Op beveiligingsniveau geven we onze domein computers rechten om te lezen en uit te voeren.

Afbeelding 78

Voor gebruikersgemak en administratieve redenen maken we een nieuwe groep aan dieOFFICE 2007 COMPUTERS noemt. Daarin plaatsen we de computers die we willenvoorzien van een office 2007 installatie. Dus wanneer we een nieuwe computer of eenbestaand toestel willen voorzien met Office 2007 Pro is het voldoende om de computer hierbij te voegen.

We maken een nieuwe GPO aan die de distributie naar de groep zal uitvoeren.Dit is onder Group Policy Management. We geven de GPO een gepaste naam in onsvoorbeeld krijgt het de naam Office 2007 NL.




-58-

Afbeelding 79

We willen dat de installatie gebeurt op computerniveau dus zullen we in de betreffende GPOvia startup scripts een script plaatsen dat de installatie zal verzorgen. Voor de installatie vanmicrosoft Office 2007 moeten we echter met de setup.exe werken wanneer we een aangepastesetup willen uitvoeren. Dit is echter ook nog mogelijk via een .xml bestand maar de optieszijn dan niet zo uitgebreid.

Afbeelding 80

Uitleg script:We zullen eerst een net use leggen op de o: drive en dan kopiëren we alle bestanden lokaalnaar het toestel (LIS) . We maken de lokale map aan op de systeemdrive. Dit is echter voorwanneer het toestel updates ontvangt en de oorspronkelijke installatiebronnen nodig heeft. Ditis met het commando xcopy parameter /e is voor het kopiëren van alle onderliggende mappen.

/q is voor het niet teruggeven van de bestanden die gekopieerd worden. Daarna gaan we naarde lokale installatie bron. Daar voeren we de setup.exe uit. Dit met het command start enparameter /wait. Deze parameter zorgt ervoor dat er geen andere .exe mag wordengeïnstalleerd zolang deze draaiende is. Daarna verwijderen we opnieuw denetwerkverbinding. Bij deze configuratie wordt wel elke maal de pc opgestart het scriptdoorlopen en de bestanden niet opnieuw lokaal gekopieerd omdat de map al bestaat.Wanneer we updates willen installeren is het enkel genoeg om de .msp (update-file) richtingde cliënt te kopiëren. De configuratie .msp-file gecreerd door OCT wordt niet meer toegepastsetup.exe weet echter dat dit een configuratiefile is voor office setup.

Windows Server 2003 Standard Edition R2 Member We maken de server member van het domein en stellen een vast IP-adres in voor het toestel.Waarom we Server 2003 nemen voor OS heeft de volgende reden. De exchange versie van2007 wordt enkel ondersteund op een 64-bit OS en ik heb de hardware niet om dit mogelijk te




-59-

maken. Let wel op deze installatie op Server 2008 AD is enkel mogelijk wanneer de securityop Server 2003 is geplaatst van forest en domein-level.

Installatie Mailserver

Voordelen Exchange mailserver

Clustering tussen 4 of 8 nodes Active of passive. (Enkel enterprise Versie) Meerdere storage groups. In grote ondernemingen werken per site of afdeling. (Enkel

Enterprise Versie) Meerdere administratieve groepen – bruikbaar voor delegatie. OWA (Outlook Web Access). OMA (Outlook Mobile Access) RPC over HTTP laat owa-cliënts to hun mail te lezen met enkel poort 80 te openen. Volume Shadow Copy. Verzorgt communcatie tussen back-up programma en

exchange.

Query Gebaseerde Distributie Groepen. Maakt het mogelijk om een nieuwe groep tecreeën aan de hand van ingevulde waarden op de Exchange server bijvoorbeeld Emailgebruikers.

ExDeploy en ExMerge wizard die je helpen migreren en configureren. Beter mail-queue beheer. Makkelijk voor probleemoplossing. (Verwerkt ook vlugger

de mails van cliënts) Outlook Cached Mode een .ost file wordt gemaakt en bevordert de netwerktrafiek met

de server. Junk email filter. (Niet perfect maar een stap in de goede richting) Restore van een mailbox mogelijk niet volledige Storage Group die moet worden

teruggezet. Verbeterde beschikbaarheid van de server. Goede vertrouwbaarheid + betere beheertools. Publieke mappen Agenda-beheer.

Benodigdheden voor Exchange

Installatie van benodigde services voor mailserver op Windows Server 2003.We gaan via Control Panel naar Software en kiezen daar Add/Remove Windows components.Daar selecteren we de benodigde rollen die we moeten installeren voor Exchange 2003. ASP.NET

SMTP IIS Manager Web server NNTP




-60-

Afbeelding 81

Aanpassingen Active Directory Exchange Server 2003

We gaan het schema aanpassen en de forest uitbereiden.Dit doen we door de installatie van exchange met een parameter mee te geven.We gaan naar de installatie via commandline.Daar gaan we naar de directory setup/I386Daaruit voeren we het commando setup.exe /forestprep

Afbeelding 82

Daarna voeren we opnieuw setup.exe uit met de parameter /domainprep.Dit voor het aanpassen van het domeinschema.




-61-

Afbeelding 83

Installatie Microsoft Exchange Server 2003

Dit is onze eerste Exchange Server in onze organisatie dus kiezen we.voor een nieuweorganisatie.

Afbeelding 84

We kiezen de standaard naam voor de nieuwe organisatie van onze exchange.




-62-

Afbeelding 85

We vervolledigen de Exchange Setup.

Internet mail configuratie

Afbeelding 86

We werken met Internet Mail Wizard voor te kunnen mailen naar andere domeinen. Wezullen gebruik maken van een smarthost. De SMTP-Server van onze ISP.Daarna kunnen we mailen naar andere domeinen. De MX-record van onze zone zorgt voor debezorging van onze mail. Dit dient geconfigureerd te worden bij de DNS-zone die moetworden geconfigureerd bij een externe firma die dns-records beheert.

Second DNS

Installatie Second DNS

Ter beveiliging zullen we een tweede dns installeren. Zo creëren we een meer fouttoleranternaamresolving-omgeving.




-63-

Afbeelding 87

We zullen via run of uitvoeren control aanspreken. In het configuratiescherm kunnen we dannieuwe componenten toevoegen.

Afbeelding 88Bij het Add or Remove Programs nemen we Add/Remove Windows Components. Hieronderkiezen we dan Networking Services en zullen we DNS aanvinken. Nu is Domain NameService geïnstalleerd op ons toestel. Nu kunnen we over gaan tot de configuratie.

Delen van zone i-wares Windows Server 2008

Voor we de zone kunnen aanspreken dienen we deze beschikbaar te maken voor de 2de DNSserver. We doen dit ook volgens de MMC-console van DNS op onze Domeincontroller.We dienen dit te doen voor de forward en reverse zone.




-64-

Afbeelding 89

We gaan naar de eigenschappen van de zone i-wares.be. Daar nemen we de eigenschappen.Krijgen we de volgende mogelijkheden. We zullen onze nieuwe Name Server toevoegen.

Afbeelding 90

Hier voegen we de volledige naam van onze server in. Dan krijgen we het juiste IP-adresautomatisch. De server is toegevoegd.

Afbeelding 91

Nu kunnen we de configuratie maken voor enkel toelaten van transfer zone i-wares.be tussenbetreffende server in deze tap.De configuratie voor de forwardzone is ingesteld. We doen ditechter nu nog maal voor de reverse zone.




-65-

Configuratie Second DNS

Afbeelding 92

We kiezen voor Action Configure a DNS Server. Door de aanpassing op onze eerste DNS-server kunnen we nu de zone laden.

Afbeelding 93

We krijgen een wizard om onze zone aan te maken. We nemen de optie maak een forward enreverse zone aan.




-66-

Afbeelding 94

We willen een forward zone aanmaken en kiezen hier voor Next.

Afbeelding 95

We zullen een Secondary zone aanmaken dit is een zone die een kopie neemt van eenbestaande server. In ons geval de server waresdc01 die ook als DNS-server werkt.

Afbeelding 96

We moeten de naam van onze zone opgeven of kunnen ook via browse het domein opzoeken.




-67-

Afbeelding 97

Hier moeten we het IP-adres van de bestaande DNS-server opgeven bij ons is dit 10.0.0.3.

Opnieuw krijgen we de mogelijkheid om deze te gaan verkennen tot de juiste server.

Afbeelding 98

Hier krijgen we de mogelijkheid om ook de reverse zone in te stellen en dit procesvervolledigen we ook maar is gelijkaardig aan bovenstaand.




-68-

Cliënt analyseHoe gaat dit nu allemaal in zijn werk? Bij het opstarten van onze Windows 7 cliënt wordteerst een IP-adres uitgereikt aan ons toestel. Dit door de Ubuntu Server. Wanneer het adres istoegekend kan er worden gezocht naar de Domeincontroller dit via de DNS-server die bij deinformatie zit van IP toekenning. Bij ons is dit onze Windows Server 2008 en WindowsServer 2003. Eens deze gevonden is krijgen we het aanlogscherm. Achterliggend wordencontroles gedaan in verband met Group Policy voor eventuele configuraties voor debetreffende machine. De identificatie van de betreffende machine is aan de hand van dehostname. Zo is het toestel ook toegevoegd in AD. Dus voor de installatie van Office 2007 inons voorbeeld diende enkel het toestel opgestart te zijn en met het login scherm te staan. Moetnatuurlijk ook in de juiste groep zitten voor installatie. Terwijl ons toestel nog niet aangemeldwas werd de installatie al uitgevoerd. Na aan te melden word opnieuw de Group Policygeraadpleegd ditmaal voor eventuele configuratie op user of groep niveau. Bij de gebruikerThijs die in de groep IT-afdeling zit werd een drive gecreëerd. Alsook werd er gekeken op

AD of de user een Roaming Profiel had. Configuratie van de proxy word ook ingesteld.Indien ja word het geladen van de server. Na het opstarten kunnen we mailen via degeïnstalleerde office outlook. Wanneer we outlook voor de eerste maal opstarten zal deconfiguratie van account bijna automatisch verlopen. Dit door onze aangepaste officeinstallatie. De vooraf ingegeven exchange server wordt gezocht via de DNS-servers. Nasuccesvol terug te vinden is de communicatie tussen cliënt en mailserver mogelijk. Wanneerwe willen surfen, zullen we opnieuw een naam moeten opzoeken via onze DNS-servernamelijk proxy.i-wares.be. Na het terugvinden van de proxy zullen we ons als cliëntauthenticeren tegenover de proxy. Via het LDAP voorbeeld niet erg secure geven we eerst degegevens aan de proxy die ze controleert op zijn beurt bij AD. Via NTML kunnen weterugvallen op de werking van NTML uitgedokterd op pagina 27.




-69-

Technische TermenACL Access Control List: Is de manier om een

user rechten te geven aan bepaalde bronnenof domeinen. Bijvoorbeeld internet.

AD Active Directory: Is de eigen oplossing vanmicrosoft om een LDAP-server secure temaken via kerberos en DNS.

Authenticeren Aan de hand van beveiliging controleren of een persoon wel degelijk de persoon is die hijbeweerd. In ons voorbeeld is dit met eenwachtwoord.

CIFS Common Internet File System: Is eenbestandsysteem dat het delen van bestandenprinters en mappen toelaat tussen

verschillende besturingssystemen. Is eenvariant van het SMB protocol.

DHCP Dynamic Host Configuration Protocol: Is eenprotocol dat instaat voor het leveren van IP-adressen aan andere toestellen in hetnetwerk.

DNS Domain Name System: systeem dat isopgezet om het mogelijk te maken website’ste bezoeken via een naam. www.google.be als we opzoeken welk IP-adres is het gelinktaan meerdere adressen.

FQDN Fully Qualifed Domain Name: VolledigeDNS-naam van het toestel. In ons voorbeeldis “waresdc01.i-wares.be” een FQDN.

FSCK Is een programma dat in UNIXbesturingssystemen gebakken zit. Ditprogramma staat in voor controle van

bestanden op beschadigingen. Hetprogramma is deel van de opstart.

FTP File Transfer Protocol: Is een protocol dat hetvermakkelijkt om bestanden te wisselentussen verschillende computers.

GPO Group Policy Objects: Is een microsoftontwikkelde methode. Deze methodeondersteunt centralisatie van configuratievoor computers, gebruikers en applicaties.

hard links Is een link die gelegd wordt indien eenbestand niet aangepast is. Dit komt deopslagmedia ten goede. Nadeel: er kan maarop één bestandsysteem worden gewerkt.

Hash Is een bewerking die wordt gebruikt voor hetvergrendelen van wachtwoorden. Zeer veilig.

HOSTNAME Is een naam die een toestel krijgt in eennetwerk. Dit is om het te kunnenonderscheiden van toestellen, een identiteitals het ware.




-70-

Inode Is de creatie van een soort index. Dit is om tekunnen verwijzen naar de locatie van eenbestand op de plaats van de HDD.

IP Internet Protocol: Is een manier waardoornetwerkcomponenten makkelijker kunnen

worden onderscheiden.ISP Internet Service Provider: bedrijf dat de

internetservice levert.

Kerberos Is een netwerkprotocol dat op een veiligemanier de cliënt kan authenticeren zonder datde gebruiker dit altijd moet gaan ingeven.

LAN Local Area Network: Verzameling vancomputers, servers, printers en anderenetwerkonderdelen die communiceren. Terugte vinden bij scholen, bedrijven.

LDAP Lightweigt Directory Access Protocol: Dit iseen protocol dat al jaren wordt gebruikt en inmeerdere besturingssystemen terug te vindenis. Werkt standaard op poort 38 en kan meegeauthenticeerd worden of enkele gegevensopzoeken. Werkt niet op een secure manier.

LIS Local Installation Source: Hiermee makenwe de installatiebronnen beschikbaar lokaalop de cliënt . Zie ons voorbeeld Office 2007.

MMC Is een beheerprogramma van Microsoftwaarin verschillende configuraties kunnen

gebeuren.MOUNTEN Aankoppelen van media voor het

besturingssysteem. Hiervoor dient eerst eenlokale map aangemaakt te worden als mountpoint.

NAS Network Attached Storage: Opslagmediumdat op het netwerk is aangesloten en zichgedraagt als een harde schijf.

NAT Network Adress Transalation: Protocol dathet mogelijk maakt om met meerderetoestellen te surfen via 1 publiek IP-adres.

NTLMSSP NT LAN Manager Security SupportProvider: is een protocol dat gebruikt wordtvoor authenticatie met Microsoft Windowsbesturingsystemen.

NTP Network Time Protocol: Dit is een protocolontworpen om toestellen in een netwerk allemaal dezelfde tijd te bezorgen. Is voorsommige handelingen nodig zoals kerberos.

OS Operating System: Systeem dat instaat om denodige configuraties te kunnen uitvoerenvoor verschillende doeleinden. Voorbeeldenzijn Windows Server 2008, Ubuntu Server9.10, Red Hat en AIX.




-71-

PID Unix Process ID bestand: Bestand dataangemaakt wordt door Linux/Unix voor hetuitvoeren van een proces.

Rlogin Commandline Interface om aanpassingen uit

te voeren aan een Remote computer. Werktop TCP-poort 513 makkelijk te omzeilen.

Rsync Ideale software om directory structuren tekopiëren. Werkt standaard op poort 873.

Samba Verschillende programma’s die ervoorzorgen dat communicatie met NT toestellen.Windows mogelijk wordt.

SMB Server Message Block: Dit is het protocol datbestanduitwisseling voor meerdere Windowscomputers mogelijk te maakt. Dit is eennetwerkprotocol dat door microsoft isontwikkeld en de bron hiervan is nietvrijgegeven.

SMBFS Een bestandssysteem dat het mogelijk maaktvoor communicatie tussen Linux enWindows.

SMTP Simple Mail Transfer Protocol: De standaardvoor het uitwisselen van e-mail tussenverschillende domeinen. Alsook op hetinternet.

SNIFFEN Is het uitlezen van het netwerkverkeer. Dit

met de bedoeling te controleren of hetverkeer veilig is of voor hack doeleinden.

SSH Secure Shell: Commandline Interface omaanpassingen uit te voeren aan een Remotecomputer via een Secure manier.Werkt op TCP-poort 22

Synchronisatie In ons voorbeeld een exacte kopie nemen vanhet besturingssysteem op het moment zelf.Maar enkel de aangepaste bestandenkopiëren.

Telnet TELetype NETwork : Commandline Interface

om aanpassingen uit te voeren aan eenRemote computer via een niet Secure manier.Gebruikers, wachtwoorden worden in tekstover het netwerk verplaatst.Werkt op TCP-poort 23

TLS Transport Layer Security: Is een protocol datgebruikt wordt over het internet. Het zorgtvoor de encryptie van de data die over hetnetwerk wordt verstuurd.

WAN Wide Area Network: Hiermee wordt eengeografische ligging van een netwerk bedoeld.




-72-

ConclusieWanneer we willen werken in mixed environment moeten we eerst en vooral ons de vraagstellen wat we allemaal nodig hebben in ons netwerk. Het onderzoek moet vooraf wordengedaan en een labo moet worden opgezet. De mogelijkheden voor samenwerking zijnaanwezig. Ik ben niet pro Windows of pro Linux maar iedere fabrikant heeft zijn betereproducten. Bijvoorbeeld Microsoft Exchange Server is voor mij een goede mail server en er isniet echt een gelijkwaardige Linux variant. Daarin tegen vind ik op Linux de Squid proxy-server een heel goed programma dat ook de mogelijkheid biedt voor integratie met WindowsServer 2003 en 2008. ISA-server vind ik persoonlijk geen goed programma.




-73-

Bronvermelding:Dhcp-server:http://lists.debian.org/debian-user-portuguese/2006/03/msg00414.html http://learn-networking.com/definitions/dynamic-host-configuration-protocol-dhcp-definition

rc.localhttp://www.oreillynet.com/linux/blog/2007/08/etcrclocal.html

Squid Configuration:-Ldap_authhttp://linux.die.net/man/8/squid_ldap_auth http://wiki.squid-cache.org http://www.cyberciti.biz/tips/howto-configure-squid-ldap-authentication.html

-ntml_authhttp://docs.hp.com/en/B2355-90696/krb5.conf.4.html http://www.faqs.org/docs/securing/chap29sec284.html http://www.cyberciti.biz/faq/squid-ntlm-authentication-configuration-howto/ http://www.citefa.gov.ar/SitioSI6_EN/downloads/Squid-NTLM-EN.pdf http://msdn.microsoft.com/en-us/library/aa378749%28VS.85%29.aspx http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/winbind.html http://nl.wikipedia.org/wiki/Kerberos_%28protocol%29

Netwerkdrive creationhttps://wiki.ubuntu.com/MountWindowsSharesPermanently http://ubiqx.org/cifs/Intro.html#INTRO.2 http://webscript.princeton.edu/~pug/faqwiki/index.php?title=Using_SAMBA/CIFS_to_access_Windows_Shares http://en.wikipedia.org/wiki/Fstab

Crontabhttp://www.mkssoftware.com/docs/man1/crontab.1.asp

Deployment Office 2007 pro

http://blogger.xs4all.nl/wvdw/articles/340881.aspx http://technet.microsoft.com/en-us/library/cc179097.aspx http://technet.microsoft.com/en-us/library/cc179214.aspx http://technet.microsoft.com/en-us/library/cc179134.aspx

Exchange serverhttp://www.computerperformance.co.uk/exchange2003/exchange_2003_migrate_benefits.htm http://articles.techrepublic.com.com/5100-10878_11-6089015.html http://support.microsoft.com/kb/822896




-74-

Windows Server 2008http://wiki.answers.com/Q/What_are_the_differences_between_Windows_Server_2003_and_Windows_Server_2008 http://en.wikipedia.org/wiki/Windows_Server_2008 http://technet.microsoft.com/en-us/magazine/2008.11.pvterminal.aspx

http://www.microsoft.com/windowsserver2008/en/us/security-policy.aspx http://www.microsoft.com/windowsserver2008/en/us/server-management.aspx

Active Directory:

http://oit.utk.edu/helpdesk/kb/entry/1043http://www.memphis.edu/itd/accounts/activedirectory/docs/ad-benefits.php http://technet.microsoft.com/en-us/library/bb727067.aspx

Rsnapshot:

http://www.maxsworld.org/index.php/how-tos/rsnapshot-backups

Windows 2008 Server backup:http://technet.microsoft.com/en-us/library/cc770266%28WS.10%29.aspx http://technet.microsoft.com/en-us/magazine/2008.05.adbackup.aspx

Microsoft Word - Cproef

Documents

Transcript of Microsoft Word - Cproef