Microsoft Word - Cproef

Clarysse Thijs maandag 26 april 2010
de
C-proef 3 jaar
netwerkbeheerder.
Voorwoord
Deze c-proef gaat over het oprichten van een mixed environment met als doelstelling de
communicatiemogelijkheden te bepalen tussen Windows en Linux. Tevens test ik de
samenwerking van Active Directory met Linux loginprocedures. Wat zijn de back-
upmogelijkheden die in Linux ingebakken zijn. De voordelen van Active Directory en
centralisatie van configuratie in de praktijk worden bekeken. In meerdere grotere bedrijven
wordt echter de combinatie van verschillende besturingssystemen gebruikt. Dit omdat
sommige systemen nu eenmaal beter beheerbaar zijn dan andere op verschillende
besturingssystemen. Een echte tegenhanger voor Active Directory (Windows Server) is er
momenteel niet. Die centrale database van gegevens en configuraties bied vele voordelen.
Doordat Squid (Ubuntu Server) de mogelijkheid biedt om ook via Active Directory gegevens
op te vragen, kunnen we ook deze instellingen centraliseren.We hebben hier verschillende
onderdelen die we bespreken. Het detail van het onderdeel wordt bepaald door het meerdere
malen zien van configuraties in de lessen. Zoals Exchange, Active Directory en DNS worden
niet uitgebreid besproken.
Inhoudstabel
Voorwoord ................................................................................................................................. 2
Opstelling ................................................................................................................................... 5
Server-opstelling .................................................................................................................... 5
Cliënt opstelling ..................................................................................................................... 6
Installatie Servers ....................................................................................................................... 7
Linux-server ........................................................................................................................... 7
Netwerkinstellingen ........................................................................................................... 8
DHCP-server ...................................................................................................................... 9
Werking van dhcp tussen cliënt en server........................................................................ 10
DHCP Discovery.......................................................................................................... 10
DHCP Offers ................................................................................................................ 10
DCHP Requests............................................................................................................ 11
DHCP Acknowledgement ............................................................................................ 11
Controle Windows 7 Cliënt.......................................................................................... 12
Router NAT...................................................................................................................... 12
Squid Proxy Server........................................................................................................... 13
Installatie Squid Proxy-server LDAP Authenticatie ........................................................ 13
Configuratie Squid Proxy-server.................................................................................. 14
Configuratie Authenticatie LDAP-server..................................................................... 14
Toegang verlenen aan Authenticated gebruikers ......................................................... 16
Authenticatie Internet Explorer Windows 7................................................................. 17
Controle van internet Access........................................................................................ 18
Installatie Squid Proxy 3.0 met ntlm_auth ....................................................................... 20
Installatie pakketen....................................................................................................... 20
Domein DNS-server toevoegen: .................................................................................. 20
NTP .............................................................................................................................. 21
Kerberos-configuratie................................................................................................... 22
Testen van Kerberos..................................................................................................... 23
Samba configueren ....................................................................................................... 23
Squid configureren ....................................................................................................... 25
Authenticatie Firefox Windows 7 ................................................................................ 27
Werking NTLM............................................................................................................ 27
Back-up-server ................................................................................................................. 28
Netwerkconnectie......................................................................................................... 28
Back-upsoftware Rsnapshot......................................................................................... 29
Configuratie rsnapshot ................................................................................................. 29
Automatisatie rsnapshot ............................................................................................... 31
Windows Server 2008 Standard Edition Domeincontroller................................................. 33
Updaten Windows Server 2008........................................................................................ 34
Installatie AD ................................................................................................................... 34
DNS-server....................................................................................................................... 35
Configuratie ldap-toegang................................................................................................ 36
Installatie bestandserver ................................................................................................... 37
Quota’s instellen........................................................................................................... 40
Configuratie Roaming Profiles......................................................................................... 43
Hidden share................................................................................................................. 43
Roaming profile config gebruikers. ............................................................................. 43
Group policy configuraties............................................................................................... 44
Netwerkmappen via Group policy ............................................................................... 44
Configuratie Proxy voor cliënts ................................................................................... 48
-3-
Dagelijks nemen van back-ups......................................................................................... 49

Installatie software Windows Server back-up services................................................ 49
Configuratie Back-up met Windows Server backup.................................................... 50
Configuratie Installatie-server met grouppollicy. ............................................................ 54
Custom install creëren office 2007 pro. ....................................................................... 54
Group policies instellen op server. ............................................................................... 56
Windows Server 2003 Standard Edition R2 Member.......................................................... 58
Installatie Mailserver........................................................................................................ 59
Voordelen Exchange mailserver .................................................................................. 59
Benodigdheden voor Exchange.................................................................................... 59
Aanpassingen Active Directory Exchange Server 2003 .............................................. 60
Installatie Microsoft Exchange Server 2003 ................................................................ 61
Internet mail configuratie ............................................................................................. 62
Second DNS ..................................................................................................................... 62
Installatie Second DNS ................................................................................................ 62
Delen van zone i-wares Windows Server 2008 ........................................................... 63
Configuratie Second DNS............................................................................................ 65
Cliënt analyse ........................................................................................................................... 68
Technische Termen .................................................................................................................. 69
Conclusie.................................................................................................................................. 72
Bronvermelding:....................................................................................................................... 73
-4-
Opstelling
Internet
10.10.7.200
NAS -backup
10.0.0.2 10.10.7.210
10.0.0.3
Windows Server 2003 R2 Linux-Server Windows Server 2008

Member Exchange 2003, PROXY/dhcp/ DC/DNS, fileserver en
Second DNS en Backup-server / Router Installation Server GPO
Fileserver voor software 10.0.0.254
Client 1 Client 2 Client 3 Client 4

Afbeelding 1
Server-opstelling
Server MEMBER Windows Server 2003
Hostname: Exch01
IP-adres: 10.0.0.2
Statisch IP-adres
Roles: Dns-Server, Exchange Server 2003, Bestandserver (netwerkshare voor
installatiebronnen)
1 netwerkkaart
Server Domein Controller Windows Server 2008

Hostname:WARESDC01
IP-adres: 10.0.0.3
Statisch IP-adres
Roles: Domein Controller, Bestandserver (profielen en gedeelde mappen), DNS-server
1 netwerkkaart
-5-
Server Linux Ubuntu 9.10

Hostname:Unix-srv1
A records in DNS: proxy,
IP-adres: 10.0.0.254, 10.10.7.200
Statisch IP-adres
Roles:Router, proxy, dhcp, back-up naar NAS
2 netwerkkaarten
Cliënt opstelling:
Alle cliënts worden voorzien van een ip-adres dat wordt bezorgd door de dhcp-server Linux-
server.
De range voor de cliënts loopt vanaf 10.0.0.10 tot en met 10.0.0.199
DNS-servers en Gateway worden tevens meegeven door de DHCP-server Linux.
Gebruikers-rechten worden geconfigureerd op AD. Netwerkdrives komen ook via
grouppolicy. Roaming profile doen we op AD voor desktopgebruikers en niet voor
laptopgebruikers. Dit voor de eenvoudige reden dat een laptopgebruiker zich niet altijd in het
bedrijf aanmeldt.
-6-
Installatie Servers
Linux-server
Standaard Ubuntu installatie Server edition.
We maken een ssh-connectie met putty via onze win xp host machine.
Putty is een tool die verschillende connecties toelaat met andere toestellen zoals SSH, telnet,
rlogin
Afbeelding 2
Afbeelding 3
-7-
We installeren webmin. Dit is een handige tool die kan worden gebruikt voor het instellen van
NAT (masquerade in Linux term) voor de routeer functie, samen met de configuratie en info
voor verschillende andere services zoals lopende op mijn server.
De webmin tool wordt echter niet gebruikt om configuraties uit te voeren maar enkel
informatief. Voorbeelden van webmin Afbeeldingen.18,19
Netwerkinstellingen
Afbeelding 4
Dit zijn alle benodigde instellingen voor onze Linux-server.
Lo:
Dit is het interne loopback-adres en dit is de 127 range. Dit adres is niet voor
netwerkcommunicatie met andere pc’s maar enkel voor services die draaien onder de Linux-
machine.
Eth0:
Onze eerste netwerkadapter is geconfigureerd voor het ontvangen van een ip-adres van een
dhcp-server. Dit biedt vele voordelen waardoor bijvoorbeeld nieuwe dns-servers van de ISP
automatisch ontvangen zullen worden. De configuratie met een vast IP-adres ligt meestal op
een mac-adres bij je account voor de internetverbinding.
Eth1:
Onze tweede netwerkadapter is geconfigureerd met een statisch IP-adres. Dit omdat dit de
zijde is die geconecteerd is met onze LAN.
-8-
DHCP-server
Voor de configuratie van de dhcp-server moeten we eerst de service installeren op de linux-

server. Nadat deze geïnstalleerd is kunnen we verder gaan met de configuratie van het
uitdelen van ip-adressen naar printers en cliënts. Onze configuratie werkt als volgt. Onze eth0
is de uplink met internet. De interface eth1 is de netwerkkaart met ons lokaal netwerk. We
configureren alles via vmware Workstation. Ons lokaal netwerk is vmnet3.
Dit is onze configuratie-file voor de instellingen van DHCP-server

sudo vim /etc/dhcp3/dhcpd.conf
Afbeelding 5
Willen we enkele toestellen een vast IP-adres geven voor toegangsregels kunnen we dit als
volgt:
host HOSTNAME {
hardware ethernet 08:00:2b:4c:59:23;
fixed-address 10.0.0.200;
}
Wat uitleg bij de configuratie.

Ddns-update-style none wil zeggen dat er niet moet gekeken worden voor dynamische dns-
update. Dns is geconfigureerd op Windows Server 2008 en back-up op Windows Server
2003.
-9-
Domain-name is de dns-suffix die wordt meegegeven via onze server op onze cliënts.
Domain-name servers is het ip-adres waar onze dns-servers zich bevinden.
Default lease time staat ingesteld op 11u 45 standaard
Max-lease time staat ingesteld op 23u30 dit staat zo ingesteld omdat we niet zoveel ip-
adressen ter beschikking hebben.
Authoritative wil zeggen dat de server dhcpack moet uitgevoerd worden.
Log-facility local7 zijn de error codes die mogen worden teruggeven in het logbestand.
Subnet is het netwerk dat we zullen gebruiken.
Range is de IP-adressen range die mag worden uitgedeeld door de server voor cliënts.
Option Routers is onze gateway die op onze cliënts terechtkomt.
Werking van dhcp tussen cliënt en server
DHCP Discovery
Afbeelding 6
Wanneer een cliënt geconnecteerd is met een DHCP-netwerk zal deze een broadcast zenden
over het netwerk. Dit is een DHCPDISCOVER voor het vinden van de dhcp-server op het
netwerk. Indien de cliënt al eens geconnecteerd is geweest met het netwerk zal hij proberen
het laatste gebruikte IP-adres te verkrijgen.
DHCP Offers
Afbeelding 7
De DHCP-server zal een verzoek voor IP ontvangen van de cliënt. Hoelang de IP lease mag
worden gebruikt zal worden bepaald door de server. De DHCP-server zendt een
DHCPOFFER naar de cliënt waar de volgende informatie in terug te vinden is: tijd hoelang
het IP-adres mag worden geleased, IP-adres, subnetmask, mac-adres van cliënt en ip-adres
van DHCP-Server.
-10-
DCHP Requests
Afbeelding 8
Als de communicatie succesvol verlopen is en de cliënt de informatie heeft geaccepteerd,

wordt dit verzonden naar de DHCP-server. Dit door middel van een broadcast met het IP-
adres van de DHCP-server in. Zo kunnen ook eventueel andere DHCP-servers draaiend in het
netwerk laten weten dat de cliënt al informatie verkregen heeft. Dit zou dan op eventueel
andere cliënts IP-adressen kunnen vrijgeven.
DHCP Acknowledgement
Afbeelding 9
DHCP acknowledgement is de laatste fase voor het verkrijgen van IP informatie. In deze fase
bekijkt de server DHCPREQUEST van de cliënt en zend DHCPACK terug. Dit pakket
verzendt de lease informatie + alle andere informatie die aangevraagd is door de cliënt.
Hiervoor is authoritive nodig in onze config file van dhcp-server op Linux voor deze laatste
stap.
Dns-server
Gateway
Subnet
IP-adres
Dhcp-server
Wins (optioneel)
Met deze configuratie in het nog niet mogelijk om een IP-adres te geven aan een cliënt in ons
netwerk. Op welke interface de adressen moeten worden uitgedeeld, moet nog bepaald
worden. Dit kan door een aanpassing te maken in deze file.
/etc/default/dhcp3-server
INTERFACES=eth1
-11-
Hiermee bepalen we welke interface IP-adressen moet uitdelen. Indien maar één netwerkkaart
aanwezig dient dit niet ingesteld te worden.
Na een herstart van de dhcp-service is de server klaar om IP-adressen uit te delen.
Controle Windows 7 Cliënt
Afbeelding 10
Op bovenstaande afbeelding zien we de instellingen van onze Windows 7 cliënt. Hier zien we
dat alle instellingen die geconfigureerd staan op de dhcp-server allemaal correct zijn ingevuld.
Daardoor kunnen alle vereiste services die netwerkcommunicatie nodig hebben, opstarten.
Router NAT
Voor het instellen van de NAT translatie voor het kunnen connecteren met internet via onze
Linux-server is het genoeg om enkele commando’s uit te voeren, de configuratie aan te
passen en daarna de server eens opnieuw op te starten. Dit gebeurt gewoon door het
commando ip-tables. Dit commando heeft nog heel wat meer mogelijkheden zoals hier nu
getoond.
Aanpassen van configuratie-files:
sudo vim /etc/sysctl.conf
net.ipv4.ip_forward=1
Met deze configuratie maken we het mogelijk op IP-versie 4 door te geven. Dit regeltje is
standaard aanwezig in dit configuratie bestand maar dient uit commentaar gehaald te worden.
-12-
Configuratie-file
"/etc/rc.local"
Afbeelding 11
Het eerste commando is voor het toelaten van aanvragen en ze door te sturen.
Het tweede commando is voor het routeren van alle aanvragen en deze door te sturen naar
eth0.
Na het herstarten van de server zou dit echter mogelijk moeten blijken.
Dit zorgt ervoor dat de instellingen permanent zijn en er niet voor zorgen dat doorverwijzing
verdwijnt na herstarten van de server. Dit bestand wordt telkens doorlopen bij het opstarten
van de server. Hierdoor wordt de route elke maal opnieuw geconfigureerd. Standaard is het
bestand zonder commando’s en doet het niks. Het script moet zeker eindigen met een exit 0
voor succesvolle uitvoering.
Squid Proxy Server
Squid proxy is een krachtig programma dat instaat voor proxy-server. Een proxy-server is een
tussenpersoon tussen een Windows 7 cliënt en internet. Het heeft vele functies die kunnen
worden gebruikt. Er kan worden gewerkt met authenticatie, verboden site, domeinblokkering,
…
De server houdt ook een cache die het mogelijk maakt minder internettrafiek te genereren. De
mogelijkheden zijn niet allemaal op te sommen. Hier zullen we 2 authenticatie mogelijkheden
bespreken.
Installatie Squid Proxy-server LDAP Authenticatie
Sudo apt-get install squid .
Zoals we ubuntu wel kennen kunnen we de meeste programma’s simpel installeren via sudo
apt-get install commando. Echter wanneer we programma’s willen installeren die nog niet in
het grote software assortiment van ubuntu aanwezig zijn, kunnen we via het commanda dpkg
–i een afgehaalde .deb installeren. Dit is zo gebeurd bij onze webmin. Deze is wel standaard
aanwezig maar ik wou de recentste versie gebruiken.
-13-
Configuratie Squid Proxy-server

Na de installatie dient er nog een configuratiebestand aangepast te worden.
/etc/squid/squid.conf
http_access allow localnet

acl localnet 10.0.0.0/24
Hierdoor hebben we de mogelijkheid om te surfen met onze cliënts zonder aanmelden.

Beter gezegd ons localnet dat hier gedefinieerd staat krijgt die mogelijkheid. Dit doen we
louter om de proxy-server te testen zonder authenticatie.
Configuratie Authenticatie LDAP-server.

Doordat onze Linux-server niet in ons domein zit en we niet werken via onze dns-server
zullen we de host-file moeten aanpassen op onze server. Hierdoor kunnen we connectie
maken met de ldap-server via hostname. Die mogelijkheid wordt besproken in de ntml_auth
installatie.
We voegen volgende regels toe in /etc/hosts
10.0.0.3 waresdc01.i-wares.be
/etc/squid/squid.conf
http_port 8080
Bovenstaand zien we de aanpassing van de poort waar de server op moet luisteren voor
aanvragen van de Windows 7 cliënttoestellen die willen surfen.
Afbeelding 12
Uitleg commando:
/usr/lib/squid/ldap_auth is het programma dat we zullen gebruiken voor de authenticatie. Dit

is het volledig path zoals gekend op de Ubuntu Server.
Parameters:
-R is nodig voor connectie te maken met een Windows Active Directory.

-b is de base dn, in ons geval i-wares.be
-D is de user die we zullen gebruiken om de LDAP-querries te maken.
-W is het paswoord van de user dat gebruikt wordt om connectie te leggen met AD. Voor de
veiligheid plaatsen we dit paswoord in een bestand en passen we de rechten aan.
-f sAMAccountname=%s is de filter die we toepassen. Dit staat voor de input die gegeven
wordt op de cliënt.
Waresdc01.i-wares.be is onze LDAP-server Active Directory.
Deze authenticatie is echter op die manier dat de naam en het paswoord ongecodeerd worden
-14-
verzonden over het netwerk. We kunnen dit aanpassen door met certificaten te werken. Dit is
enkel voor de communicatie tussen Linux en de Ldap-server (Windows Server 2008 maar
security level forrest en domein 2003). Dus niet echt een goede oplossing.
Afbeelding 13
Auth_param basic children 50 zijn hoeveel processen er mogen gedraaid worden, momenteel
worden er een 50 connecties toegelaten. Dit zijn de authenticaties, eenmaal geauthenticeerd
komt het proces terug vrij.
Auth_param basic realm is de naam die moet worden weergeven bij authenticatie vraag op de
cliënt.
Auth_param basic credentialsttl 2 hours. Is de tijd van hoelang de authenticatie geldig is. Hier
is dit ingesteld als 2 uur.
-15-
Toegang verlenen aan Authenticated gebruikers
Afbeelding 14
Hier wordt toegang verleend om te surfen aan localhost en ldap-auth

Alle andere gebruikers krijgen een deny.
Afbeelding 15
-16-
Dit zijn de definities van de gebruikers: ldap-auth en dat er moet worden geauthenticeerd.
Hierna mag natuurlijk het localnet terug in commentaar worden geplaatst omdat dit niet meer
van toepassing is. Dit was enkel als test om de connectie met internet te proberen zonder
authenticatie. Andere configuraties zijn standaard en zullen we niet aanpassen. We zien hier
ook definities voor eventuele protocollen die de proxy moet aanvaarden zoals Safe_Ports. Dit
kan handig zijn want momenteel hebben we enkel toegang verleend tot het http-protocol.
Willen we toegang geven tot ftp kunnen we best de acl naam aanpassen en dan toegang geven
voor die acl.
Authenticatie Internet Explorer Windows 7
Afbeelding 16
We zien hier dat we ons moeten authenticeren tegenover de proxy-server Squid maar krijgen
echter ook de melding dat de gegevens niet veilig over het netwerk gaan.
Wanneer we dit gaan sniffen met een programma voor het ontleden van de netwerktrafiek dan
zien we effectief de data die niet gecodeerd is.
Dit is genomen met de software Wireshark. Afbeelding 17 is de communicatie die gebeurd is
naar onze LDAP-server. Deze kunnen we eventueel wel encrypteren via certificaten. Hier
zien we duidelijk in ons netwerkpakket dat de gebruiker thijs is en het wachtwoord Leen123!
Afbeelding 17
-17-
Controle van internet Access

Installatie SARG
De volledige naam van SARG is Squid Analysis Report Generator. Deze software laat ons toe
om rapporten te generen op commandline basis. Gelukkig heeft opnieuw webmin hier een
grafische interface achter schuilen. Er worden html rapporten gegenereerd die worden
opgeslagen en eventueel later kunnen worden geraadpleegd. Het is echter ook mogelijk om
via cron te automatiseren zodat wekelijks een rapport wordt gemaakt.
Raadplegen van lijsten van internetverkeer doen we aan de hand van onze handige tool
webmin:
We surfen naar: https://proxy.i-wares.be:10000 vanuit ons intern netwerk en dus op een
cliënt.
Daar dienen we ons aan te melden. Dit kan standaard met de gebruikers die gekend zijn in het
Ubuntu systeem. Er kunnen ook nog specifieke gebruikers worden aangemaakt en rechten
aangepast om te werken met webmin.
Daar kiezen we voor de module Squid Report Generator.
Afbeelding 18 is een overzicht van alle gebruikers die gesurft hebben via de proxy-server.
Afbeelding 19 is het overzicht van de gebruiker Thijs met alle gebruikte sites. We kunnen zelf
via deze links rechtstreeks naar de site gaan.
Afbeelding 18
-18-
Afbeelding 19
-19-
Installatie Squid Proxy 3.0 met ntlm_auth
Eerst en vooral installeren we AD op een toestel (Windows 2008 standaard is ons OS),
Het beveiligingsniveau laten we op 2008 staan. Dit heeft geen problemen met Ubuntu en
Squid.
Installatie pakketen
Voor de configuratie van deze opstellingen hebben we verschillende pakketten nodig.
Opnieuw is onze server een router met een LAN en WAN poort, zie eerder beschreven.
We installeren ze met het welgekende commando.
Sudo apt-get install
Samba: Dit maakt het mogelijk om over het SMB-protocol windows dus, te kunnen
communiceren.
Winbind: Dit staat in voor de authenticatie die kan gebeuren tussen Samba en Kerberos.
Krb5-config: Dit is nodig om Kerberos te kunnen aanspreken.
Krb5-doc: Dit is louter informatie over het configureren.
Krb5-user: Dit zijn tools om de communicatie met Kerberos te kunnen testen.
NTP: Dit is nodig voor de synchronisatie van tijd met Active Directory. Een domeincontroller
is automatisch ook een NTP-server, dit is nodig voor een goede werking van Kerberos.
Anders kunnen er sporadisch weigeringen plaatsvinden.
Squid 3.0: proxy software
Domein DNS-server toevoegen:

Hier hebben we de regel toegevoegd prepend domain-name-servers 192.168.1.1, dit om de
dns-server van het domein te kunnen aanspreken. Het toestel heeft een statisch IP aan de LAN
zijde en een dynamisch aan de WAN zijde. Dit is belangrijk voor het terugvinden van de
Domein controller.
Afbeelding 20
-20-
NTP
Voor synchronisatie van de NTP-Server AD2008 dient er een NTP installatie te gebeuren op
de Ubuntu Server;
Sudo apt-get install ntp.
Aanpassen van /etc/ntp.conf
We passen de server in deze config aan door onze domeincontroller en deze is ook een NTP-
server. Meerdere servers zijn ook mogelijk. Het kan ook een apart toestel zijn.
Server waresdc01.i-wares.be
Afbeelding 21
Tijdsynchronisatie is OK.
-21-
Kerberos-configuratie
Eerst en vooral stellen we Kerberos in en hiervoor passen we de file aan /etc/krb5.conf
[libdefaults]
default_realm = I-WARES.BE
default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
[realms]
I-WARES.BE = {
kdc = WARESDC01.I-WARES.BE
admin_server = WARESDC01.I-WARES.BE
}
[domain_realm]
.i-wares.be = .I-WARES.BE
i-wares.be = I-WARES.BE
[login]
krb4_convert = true
krb4_get_tickets = false
Bij de tab [libdefaults]

Hier vullen we ons default domein in. We moeten opletten dat het domein in hoofdletters is.
Dit heeft te maken met een bug.
default_tgs_enctypes Ondersteunende encrypties tussen Ubuntu Server en Windows AD waar
we aes256 hebben aan toegevoegd omdat dit de encryptie is die Windows Server 2008
gebruikt.
default_tkt_enctypes Ondersteunende encrypties dat een Windows cliënt mag aanvragen. Hier
hebben we ook aes256 aan toegevoegd omdat dit de encryptie is die Windows 7 gebruikt.
Bij de tab [realms]

Opnieuw domeinnaam in hoofdletters
kdc = Key Distribution Center toestel dat Kerberos tickets uitdeelt.
admin_server = Toestel waar authenticatie op moet gebeuren.
Bij de tab [domain_realm]
Hier plaatsen we aliassen voor hostname aansprekingen die dan naar de Kerberos naamgeving
moeten worden geleid. Ook hier moeten we hoofdletters gebruiken.
Bij de tab [login]

Dit veld bevat standaard instellingen voor het aanspreken van het programma voor Kerberos.
-22-
Testen van Kerberos

wares@ubuntu-server1:~$ sudo kinit Administrator@I-WARES.BE
wares@ubuntu-server1:~$ sudo klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@I-WARES.BE
Valid starting Expires Service principal
03/19/10 00:35:26 03/19/10 10:35:20 krbtgt/I-WARES.BE@I-WARES.BE
renew until 03/20/10 00:35:26

Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
Verwijderen van dit ticket doen we via het commando:

Kdestroy dit kan enkel als sudo-user of root.
Samba configueren
Aanpassen /etc/samba/smb.conf
workgroup = I-WARES
realm = I-WARES.BE
server string = %h server (Samba, Ubuntu)
security = ADS
password server = 192.168.1.1
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind use default domain = yes
Dit zijn de opties die moeten worden aangepast:

Workgroup is de netbios domeinnaam.
Realm is de FQDN.
Server string is de naam voor deze server in AD
Security ADS is op domein niveau.
Password server is onze AD.
Idmap uid = welke id de gebruikers van AD op het locale Ubuntu systeem krijgen.
Idmap gui = welke id de groep krijgt van de user op het locale Ubuntu systeem.
Winbind use default domain moet zeker aanstaan voor NTML authenticatie omdat dan het
domein niet moet worden meegegeven bij de gebruikersnaam.
Controle of de configuratie correct is door command testparm:
wares@ubuntu-server1:~$ testparm
Load smb config files from /etc/samba/smb.conf

Processing section "[printers]"
Processing section "[print$]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
-23-
Daarna voegen we onze machine toe aan AD.
Dit gebeurt door het commando

sudo net ADS join Administrator%paswoord
Na verwerking zien we het volgende op onze AD.
Afbeelding 22
Aanpassen waar ons systeem allemaal gebruikers moet opzoeken.

We voegen bij volgende regels winbind toe in de config-file /etc/nsswitch.conf
passwd: compat winbind

group: compat winbind
shadow: compat winbind
Na herstart van de services samba en winbind kunnen we de gebruikers oproepen van AD.
We krijgen het volgende resultaat
wares@ubuntu-server1:~$ wbinfo -u
UBUNTU-SERVER1\wares
administrator
guest
krbtgt
test
root
test2
-24-
En zo ziet AD er uit.
Afbeelding 23
Squid configureren
Aanpassen rechten voor het authenticeren via winbind voor de proxy-user:
sudo gpasswd -a proxy winbindd_priv
Testen of authenticatie lukt. Dit dient te gebeuren op de gebruiker proxy.

Su proxy.
$ wbinfo -a test%Leen123
plaintext password authentication succeeded
challenge/response password authentication succeeded
TEST OK
Aanpassen van /etc/squid3/squid.conf

Programma voor de authenticatie.
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
De eerste 2 regels zijn voor domein computers en werken over winbindd samba en kerberos.
Volgende 4 regels zijn voor pc’s die niet in het domein zitten en toch willen connectie maken
met SQUID. Indien een geldige domein-login wordt ingegeven zal dit lukken.
Dit is zonder encryptie over het netwerk dus niet aan te raden. Deze aanmeldprocedure kan
niet actief worden gezet.
Rechten geven aan ntlm_users voor te surfen.
acl ntlm_users proxy_auth REQUIRED

Regel voor de ntlm_users die moeten authenticatie geven via het programma.
http_access allow ntlm_users

Regel om toegang te verlenen via de proxy.
-25-
Kijken naar /var/log/squid3/access.log
Afbeelding 24
Hier zien we dat de gebruikersnaam test meermaal terugkomt dus onze authenticatie werd
geregistreerd door Squid. Dit is over NTMLSSP.
-26-
Authenticatie Firefox Windows 7

Hier zien we de connectie via proxy-server. Dit is met een Windows 7 cliënt.
Afbeelding 25
Werking NTLM
1. Een gebruiker meldt zich aan op een cliënt toestel (Windows 7) en heeft een
domeinnaam, gebruikersnaam en paswoord. De cliënt rekent een cryptograpische hash
van het paswoord en maakt geen gebruik van het actuele paswoord.
2. De cliënt zend een gebruikersnaam naar de server in tekst.
3. De ubuntu-server genereert een 16-byte random nummer en zendt deze naar de cliënt.
Dit is de challenge.
4. De cliënt encrypteert the challenge met de hash van het paswoord van de user. Dit
wordt de response genoemd.
5. De ubuntu-server zendt de volgende 3 zaken naar de Domeincontroller:
o Gebruikersnaam
o Challenge verzonden naar de cliënt
o Response verkregen door de cliënt.
6. De domein controller gebruikt de gebruikersnaam om de hash van de user zijn
paswoord te bekomen via de Security Account Manager database (AD). En gebruikt
de hash om het paswoord te encrypteren.
7. De domeincontroller vergelijkt de stappen die gemaakt zijn door de cliënt stap 4 met
stap 6. Als deze identiek zijn is de authenticatie succesvol verlopen.
-27-
Back-up-server
Netwerkconnectie
Aanmaken van netwerkverbinding voor het back-uppeen van verschillende servers:
We dienen 2 netwerkverbindingen aan te maken die permanent zijn.
De ene is de verbinding met de NAS en de andere is de verbinding met de back-up-partitie die
verborgen gedeeld is over het netwerk. We passen onze configuratie aan in het bestand
/etc/fstab
Dit bestand staat in voor het mounten van de verschillende beschikbare partities.
Afbeelding 26
De volgende regels zijn voor het maken van de netwerkverbindingen.

//10.10.7.200/openshare en //10.0.0.3/backupwinservers$ zijn de netwerk gedeelde
mappen die beschikbaar zijn voor connectie.
/media/backup en /media winservers zijn de punten zoals het Linux systeem de locatie
moet kunnen aanspreken.
Cifs is het filesysteem dat de locaties om handen hebben.
Credentials zijn de bestanden die de gebruikersgegevens bevatten. We zien dat
wanneer we gebruik maken van een user in een domein, we het domein dienen mee te
geven.
Onze eerste 0 staat voor de dump frequentie: dit zorgt voor het archiveren van de
partitie in ons geval bij netwerkverbindingen niet aanleggen.
Onze tweede 0 staat voor de eventuele controle van het programma FSCK dit is
bestandcontrole op eventuele fouten. Dit is echter voor het opstarten van de Server. De
root / moet een 1 verkrijgen alle andere 2. Opnieuw in geval van netwerkverbindingen
een nul.
Hiervoor hebben we nood aan de software smbfs dat wordt geïnstalleerd door het welgekende
installatie commando sudo apt-get install. Volgende hebben we toegevoegd om de
netwerkverbinding aan te maken:
We kunnen ook de gebruiker hier ingeven en het paswoord. Dit is echter niet veilig want het
bestand fstab is door iedereen leesbaar en dit hoort zo te zijn. Onze NAS is van het merk
lacie.
Hiermee leggen we de connectie met de netwerkschijf.
De bestanden zijn beide met een gebruikersnaam en paswoord en de rechten zien er als volgt
uit:
Afbeelding 27
Enkel de root user heeft rechten om te lezen en schrijven in deze bestanden. Dus dit is
beveiligd.
-28-
Afbeelding 28
Bij het inloggen, zien we de nog beschikbare ruimte op de NAS. Dit is enkel informatief en
makkelijk doordat ook het percentage erbij is geplaatst. Dit zien we op afbeelding 28.
Back-upsoftware Rsnapshot
Met Rsnapshot wordt een back-up genomen van een directory en files naar een andere locatie.
De software heeft als voordeel dat de back-up incremental is. Dit komt de back-upopslag ten
goede. Er wordt gewerkt met hard links voor bestanden die niet gewijzigd zijn. Onderliggend
werkt het programma rsync. Dit is een programma dat synchronisatie tussen 2 locaties
uitvoert. Dit is één-richting synchronisatie.
Installatie command:
Sudo apt-get install rsnapshot.
Configuratie rsnapshot
Bestand: /etc/rsnapshot.conf
Afbeelding 29
-29-
Config_version 1.2 Default versie toch vereist.

snapshot_root: Plaats waar de back-up moet worden weggeschreven.
Interval daily 7: Dagelijks interval 7 dagen bijhouden..
Verbose 1: Welke errors er mogen worden teruggegeven. Dit is enkel wanneer de
back-up manueel gebeurt door het commando sudo /usr/bin/rsnapshot
-V daily
Loglevel 2: Welke errors er mogen worden weggeschreven in de log. Dit zijn
standaard enkel errors en waarschuwingen worden weggeschreven in de
log-file.
Logfile /var/log/rsnapshot:
Bestand waar de errors en waarschuwingen van loglevel 2 worden
weggeschreven.
Lockfile /var/run/rsnapshot.pid:
Pid-file die aangemaakt mag worden om de opdracht uit te voeren.
Include_conf Eventueel extra config-file die kan worden gebruikt.
No_create_root 1 of 0 Indien 1 zal de hoofddirectory niet aangemaakt worden snapshot_root
cmd_rsync volledige path naar het rsnyc programma.
Afbeelding 30
Dit zijn de mappen en bestanden die moeten worden geback-upped naar de snapshot_root.
/home/ Zijn eventuele gebruikersgegevens of downloads van ons voor
configuratie.
/etc/ Bevat alle configuratiebestanden van onze server onder /etc of
eventueel onderliggende mappen.
/media/winservers/ Bevat onze back-ups genomen door Windowsserver backup-
software.
/var/log/rsnapshot Bevat de log gegevens van de al genomen back-ups.
-30-
Automatisatie rsnapshot
Door de installatie van Rsnapshot werd het volgende bestand aangemaakt:

/etc/cron.d/rsnapshot
Afbeelding 31
Uitleg bij de 6 velden die staan voor datums en tijdbepalingen:
Eerste staat in voor de minuten bepaalbaar tussen 0 en 59

Tweede staat in voor de uren bepaalbaar tussen 0 en 23
Derde staat voor een dag van de maand dit van 0 tot 31.
Vierde staat voor een maand van 1 tot en met 12.
Vijfde staat voor een dag van de week bepaalt van 0 tot en met 6 waarbij 0 zondag is.
Hier is de configuratie voor het maken van de back-up dagelijks om 0u00.
Mapstructuur ziet er als volgt uit na een tijd:
Afbeelding 32
In dit voorbeeld zijn we 3 dagen ver en is daily.0 onze recentste back-up.

Iedere maal dat een back-up wordt genomen wordt de back-up verplaatst tot en met daily.6
Zo wordt er een dagelijks een back-up genomen en kan er tot 7 dagen worden teruggegaan.
mv /media/backup/srv_linux/daily.1/ /media/backup/srv_linux/daily.2/
native_cp_al("/media/backup/srv_linux/daily.0",
Er wordt een full back-up genomen en aan de hand van deze worden incremental back-ups
genomen. Dit wil zeggen dat enkel aangepaste bestanden opnieuw worden weggeschreven.
Bestanden die onveranderd zijn worden via een hardlink naar het betreffende bestand geleid.
Zo wordt tijdens het terugplaatsen van de back-up ook het juiste bestand gekopieerd.
In dit voorbeeld heb ik een lijst gemaakt van de dagelijkse back-ups. Daily.1 en daily.2
Daarna voeren we een grep uit naar verschillende bestanden die kunnen aangepast zijn of niet.
Hier zien we de aangepaste bestanden met een nieuwe inode. Dit is een plaatsbepaling op de
-31-
HDD. Voor de bestanden fstab en rc.local zien we 3 maal dezelfde Inode dit is een verwijzing
naar een bestaand bestand:
Afbeelding 33
Vergelijken van directories.
Vergelijken van directories:

rsnapshot diff daily.0 daily.1
Comparing daily.0 to daily.1
Between daily.0 and daily.1:
0 were added, taking 0 bytes;
0 were removed, saving 0 bytes;
Er zijn geen verandering gebeurd met de back-up van gisteren.
-32-
Windows Server 2008 Standard Edition Domeincontroller

Waarom Active Directory installeren?
Active Directory geeft verschillende voordelen zoals:

Centraal beheer van gebruikers and paswoorden.
Beter ondersteuning voor Exchange Mail Server.
Betere werkstation beveiliging.
Mogelijkheid door GPO om Centrale opslag ruimtes te creëren voor gebruikers en
groepen.
Centralisatie van configuratie instellingen.
Installatie via GPO van softwarepakketten.
Voordelen Windows Server 2008 tegenover Windows Server 2003.
1. Virtualisatie: Hyper-V : Software die instaat om virtuele servers te draaien ontwikkelt

door Microsoft belangrijkste concurrent is VMWARE.
2. Server Core: Mogelijk om enkel een commandline te installeren bedoeld voor rollen zoals
DHCP, printserver.
3. Betere beveiliging: Kan ik verwijzen naar LDAP connectie van Squid. Dit wordt niet meer
ondersteund in Windows server 2008.
4. Server Manager: Is een combinatie van Configure your server en enchanced security
wizard. Iedere rol van de server is hierin terug te vinden met de nodige extra informatie. -
5. Read Only Domein Controllers (RODC) Mogelijkheid om Domein controllers enkel
informatie te kunnen uitlezen en niet te kunnen wijzigen. Is interessant voor andere kantoren
die niet in de hoofdlocatie aanwezig zijn.
6. Enhanced terminal services: Veel verbeteringen zijn aangebracht voor Terminal server
zoals beveiliging van het aanmelden aan de juiste machine via TLS (Transport Layer
Security)
7. Network Access Protection: Oplossing van microsoft voor het tegengaan van wormen en
virussen op het netwerk.
8. PowerShell: Vernieuwing van de oude commandpromt die nieuwe mogelijkheden biedt en
werkt met een achterliggende .dotnet framework.
9. IIS: Internet Informatie Service: Is de software die het mogelijk maakt verschillende
services naar het web of intern te publiceren. Zoals een website en ftp. Nieuwe versie in
Windows Server 2008 Versie 7.0.
10. Bitlocker: Mogelijkheid om data op de server te encrypteren dit met als decryptie een
usb-stick en wanneer de server of data wordt gestolen is het echter niet mogelijk om de data
aan te spreken zonder de stick. Is ook beschikbaar in Windows Vista.
-33-
Updaten Windows Server 2008

Zoals we Windows kennen installeren we SP2 voor Windows Server 2008 en alle andere
updates via Windows update zodat we niet voor verassingen komen te staan.
Afbeelding 34
Afbeelding 35
Installatie AD
Uitvoeren van DCPROMO
We gaan een nieuw domein in een nieuwe forest aanmaken.
Tevens installeren we een dns-server op ons toestel.
Afbeelding 36
Eigenschappen van de installatie van het domein en forest.
-34-
Afbeelding 37
Forest Functional Level en Domain Functional Level is ingesteld op Windows Server 2003.
Dit is om de configuratie met Squid-proxy met LDAP-authenticatie mogelijk te maken.
en voor de installatie van Exchange 2003. Want AD 2008 laat niet toe om bij Exchange 2003
het Forest en de domein-partitie uit te breiden.
We installeren ook DNS op ons toestel met reverse zone. Dns laat ons toe om gebruik te
maken van naamgevingen. Een netwerk is standaard gebaseerd op IP-adres communicatie.
Voor het vergemakkelijken van dit proces kunnen we werken via DNS.. DNS is namelijk ook
nodig in een AD. Dit voor het terugvinden van de Domeincontroller.
DNS-server
Afbeelding 38
-35-
Op afbeelding 38 zien we onze structuur van de forward lookup zone van i-wares.be. Dit is
een zone die automatisch wordt aangemaakt indien de service nog niet aanwezig is bij
installatie van AD. Op ons voorbeeld zijn onze cliënts (Windows 7) toestellen ook al
aanwezig. Dit is door bij configuratie enkel secure updates toe te laten. We zien in ons
voorbeeld ook dat onze server exh01 en proxy een statisch IP-adres hebben. Proxy hebben we
manueel toegevoegd doordat de Linux machine geen lid is van het domein. Exch01 werd
toegevoegd bij member maken van de server in het domein.
Afbeelding 39
Dit is de configuratie voor de reverse lookup-zone

Hier kiezen we opnieuw voor allow only secure dynamic updates.
Deze laat enkel updates toe van geregistreerde Computers in AD.
Reverse DNS is om het IP-adres te linken aan een naam.
DNS staat in voor het linken van de naam aan het IP-adres.
Dit zijn computers die lid zijn van het domein en deze moeten we manueel lid maken of
kunnen we via een unattend install van Windows 7 automatiseren.
Configuratie ldap-toegang.
We maken gebruik van onze administrator van het domein om de ldapquerry uit te voeren.
Deze heeft rechten om authenticatie op te vragen. We moeten wel weten dat dit geen secure
verbinding toestaat op domein niveau 2008. Indien we de installatie verwezenlijken zoals hier
in het voorbeeld met Windows server 2003 domein niveau, kunnen we wel aan simpel bind
doen. Onze Squid laat echter maar simpel bind toe. We kunnen echter wel werken via
certificaten om de beveiliging te optimaliseren tussen Ubuntu Server en Domeincontroller.
Dit neemt niet weg dat de communicatie tussen de Windows cliënts en de Ubuntu-Server
(Squid) nog altijd in tekst over ons netwerk gaat. Dus voor beveiligingsredenen zou ik dit
nooit in een bedrijf implementeren. De conclusie door opzoekingswerk is dat het echter wel
frequent gebruikt wordt in bedrijven. Dit echter weliswaar met een Windows 2003 server als
AD.
-36-
Installatie bestandserver
Via servermanager zullen we een rol toevoegen welgenaamd Bestandserver.
Dit resulteert in een wizard.
Afbeelding 40
We kiezen voor File Services en hierdoor wordt de rol aan onze server toegewezen.
Afbeelding 41
We kiezen als extra optie File Server Resource Manager. Dit zorgt ervoor dat we rapporten
kunnen maken van de bestanden, Quota’s opleggen zodat de bestandserver niet vol kan
worden geschreven.
-37-
Afbeelding 42
Hier kunnen we kiezen van welke partities de server dient rapporten te maken. Doordat dit nu
een virtuele omgeving is hebben we maar één partitie. In productie zou ik het toestel toch wel
installeren met een ander partitie voor file beheer.
Afbeelding 43
Hier kunnen we instellen waar de rapporten moeten worden bewaard. Dit laten we op
standaard staan.
-38-
Afbeelding 44
Hier krijgen we de mogelijkheid om de installatie te starten met overzicht van onze gekozen
opties.
-39-
Quota’s instellen
Om onze bestandserver te beveiligen tegen gebruikers die grote bestanden zouden plaatsen
kunnen we quota’s inbouwen. Dit zijn beperkingen die worden opgelegd in verband met de
hoeveelheid data die mag worden geplaatst op een gedeelde map. Dit is gemakkelijk
beheerbaar als administrator.
Voor de configuratie van quota’s zullen we onder Server Manager naar Files Server en het
onderliggende deel Quotas gaan. Dit is een onderdeel dat als extra is aangevinkt in bij de
installatie.
Afbeelding 45
Abeelding 46
Nieuwe quota aanmaken voor de map die gedeeld is voor de afdeling IT.
We hebben verschillende voorbeelden van sjablonen om in te stellen welke beperking er moet
optreden. We zullen zelf een nieuwe beperking definiëren. We nemen Custom Properties. Zie
afbeelding 46
-40-
Afbeelding 47
We passen de belemmering aan tot 10 GB. Bij Notification thresholds kunnen we de

handelingen toevoegen die nodig zijn wanneer de belemmering wordt overschreven of dreigt
overschreven te worden.. We zullen de handeling aanmaken. We kunnen ook kiezen voor een
Hard Quota of Soft Quota. Een Hard Quota zal weigeren de data te kopiëren indien de 10 GB
wordt overschreden en een soft zal de overschrijding toe laten maar zal hiervan een melding
geven. Welke meldingen kunnen we instellen bij Threshold hieronder. We kiezen een Hard
Quota.
Afbeelding 48
Hier krijgen we de mogelijkheid de meldingen die moeten worden gegeven, in te stellen

wanneer de data 85 procent is van de belemmering. We willen hiervan een mail ontvangen en
stellen dit in. Alsook moet er een vermelding in de event manager komen + een rapport
worden genomen van de betreffende bestanden met alleen de grootste zie Afbeelding 49.
-41-
Afbeelding 49
Deze rapporten worden gemaakt in de locatie bepaald bij installatie van de Bestandserver. We
hadden dit op de standaardlocatie gelaten dus onder c:\storagereports.
Bij de configuratie dat een mail moet worden gezonden kregen we de melding dat er geen
smtp-server aanwezig was in de configuratie. We dienen dit nog apart in te stellen. Dit
gebeurt bij de eigenschappen van File Server Resource manager bij de console Server
manager.
Afbeelding 50
-42-
Configuratie Roaming Profiles
Hidden share
Eerst maken we een verborgen gedeelde map aan op onze server waar we de profielen
bewaren. Het dollarteken achteraan zorgt ervoor dat de folder niet wordt getoond bij
netwerkverkenning naar de server.
\\waresdc01\profiles$
Afbeelding 51
We stellen de rechten in voor de domein gebruikers.
Roaming profile config gebruikers.

Deze instelling gebeurt per gebruiker dus moeten we onze gebruikers aanpassen op AD.
Onder AD users and computers gaan we naar de betreffende gebruiker.
In ons voorbeeld thijs
Afbeelding 52
Profile tab vullen we Profile path in: \\waresdc01\profiles$\%username%
-43-
%username% is een variable die dan zich aanpast aan de gebruiker.
Na eens aanmelden en terug afmelden van gebruiker zien we het volgende op onze server.
Afbeelding 53
Voordeel van roaming profiles. Meldt de gebruiker zich aan op een ander toestel met zijn
login-gegevens zijn alle instellingen meegekomen. Is enkel haalbaar in een KMO +/- 100
gebruikers met een dergelijk netwerk. Anders wordt de aanmeldtijd van de gebruiker veel te
lang. De rechten worden automatisch aangepast. Geen enkele user kan in het profiel van
elkaar zelfs niet administrator. Daar is natuurlijk een mouw aan te passen. Meerdere
Domeincontrollers kan ook afgewogen worden. Indien het toestel ook buiten het bedrijf
gebruikt wordt is het niet interessant om te werken met een roaming profile. Daarom maken
we de instellingen manueel zodat iedere gebruiker kan worden ingesteld. Op deze directory
zou ik een Soft Quota plaatsen. Zo kunnen we het wat in de gaten houden dat gebruikers geen
grote bestanden in hun profiel plaatsen.
Group policy configuraties
Netwerkmappen via Group policy
We maken een nieuwe group policy aan via Group policy management op onze server.
We willen netwerk gedeelde mappen per afdeling.
Afbeelding 54
We geven de policy een gepaste naam Netwerkdrive Afdeling IT.
-44-
We maken een nieuwe groep aan voor het toepassen van de group policy. We zullen de groep
IT Afdeling noemen. Dit is om de administratie te vereenvoudigen. Wanneer we een nieuwe
gebruiker hebben die ook deze drive moet krijgen, is het voldoende om de gebruiker toe te
voegen aan de groep.
Afbeelding 55
We nemen voor groeptype de Security Group. Dit maakt het mogelijk om dit toe te passen.
Een distributie groep is enkel om mailgroepen te maken. Wanneer een mail wordt verzonden
naar de groep krijgen alle leden deze mail. Dit werkt ook via de security groep.
De groep scope nemen we global omdat er een goeie ondersteuning is voor mixed-mode en
native mode domein. De groep is enkel beschikbaar in het domein en niet in de complete
forest.
We plaatsen de gebruikers in de betreffende groep IT Afdeling. In ons voorbeeld is dit thijs.
Afbeelding 56
-45-
We maken een nieuwe netwerkgedeelde map aan op onze server

\\waresdc01\netwerkdrives$\IT
Afbeelding 57
We geven de groep IT afdeling volledige controle over de gedeelde map.

Daarna passen we onze specifieke Group policy aan.
Afbeelding 58
Hier maken we een nieuw netwerkstation aan onder de gebruikers configuratie. We geven de
drive de letter I en moet worden getoond. Als naam krijgt de drive Itnetwerkshare mee.
Dit moet ervoor zorgen dat het onder het gebruikersniveau gebeurt en de drives zichtbaar zijn
op eender welke pc die aanlogt op het domein.
-46-
Afbeelding 59
We passen onze rechten aan voor uitvoering van de GPO enkel leden van de IT afdeling
Group. Alle leden van deze groep moeten deze drive krijgen.
Als we aanmelden met Thijs die in de groep IT afdeling zit krijgen we het volgende resultaat.
Afbeelding 60
-47-
Configuratie Proxy voor cliënts

Voor het automatisch toekennen van onze proxy in internet Explorer maken we een nieuwe
GPO aan. Dit doen we opnieuw met de gepaste naam. Deze GPO is op gebruikers en moet
worden uitgevoerd aan alle authenticated users.
Afbeelding 61
We voegen de proxy toe voor http-verkeer. Belangrijk is we de proxy niet zullen gebruiken
voor lokale adressen. Dit zijn adressen die .i-wares.be in de naamgeving hebben. We doen dit
echter voor het niet overbelasten van onze proxy.
-48-
Dagelijks nemen van back-ups
Installatie software Windows Server back-up services

Om een volledige back-up te nemen van onze Windows server 2008 inclusief AD dient een
nieuwe feature te worden geïnstalleerd op onze Server.
Afbeelding 62
Dit gebeurd via Server manager en bij Features kiezen we voor Add Features.
Afbeelding 63
We kiezen voor de feature Windows Server Back-up Features. Dit zal de benodigde
onderdelen installeren die we nodig hebben om de back-uptaak aan te maken en de
configuratie uit te voeren.
-49-
Na de installatie kunnen we de benodigde configuratie instellen via Administratieve taken

Windows Server Back-up. Dit is de vervanger van NT back-up die in vorige Windows Server
versies aanwezig waren.
Afbeelding 64
Configuratie Back-up met Windows Server backup

Voor we de effectieve taak aanmaken voor het maken van een back-up zullen we eerst
instellen of het een full of incremental back-up dient te zijn. We kunnen dit instellen per schijf
en dit op de volgende locatie. Menu action Configure Perfomance Settings.
Afbeelding 65
-50-
Hier stellen we per partitie in wat ermee dient te gebeuren. In ons voorbeeld zullen we
incremental back-up nemen van de schijf c: Zie afbeelding 66
Incremental back-ups is een back-up van enkel de gewijzigde bestanden. Dit bespaart
netwerkbandbreedte + opslag op back-up media.
Afbeelding 66
De 2de partitie laten we standaard staan want dit is niet van toepassing.
Bij de Server backup mmc kiezen we dan voor action en zullen we kijken voor een nieuwe
schedule back-up. Zie afbeelding 65
Afbeelding 67
We nemen een volledige back-up van het toestel dit wil zeggen ook AD + onze gedeelde
folders die gebruikersprofielen bevatten + netwerk gedeelde mappen van afdelingen. Dit is
wel verwerkt dus hier kan niet rechtstreeks worden naar gebrowsed. Het terugzetten van
eventuele bestanden moet ook gebeuren via de Windows server back-up manager.
-51-
Afbeelding 68
Hier hebben we de mogelijkheid om eventueel meerdere back-ups te nemen dagelijks of

eentje dagelijks. We hebben echter geen mogelijkheid om de configuratie van andere
tijdperiodes in te stellen zoals maandelijks bijvoorbeeld.
Afbeelding 69
Hier moeten we keuze maken in een locatie die beschikbaar is voor het plaatsen van de back-
up. Dit is echter alleen mogelijk op een lokale schijf. En niet mogelijk op een schijf waar een
besturingssysteem op geplaatst is. Dit uit veiligheid dat de server niet crasht door plaatsgebrek
bij het schrijven van een back-up. Standaard heeft de wizard dan de melding dat hij de partitie
waar de back-up dient worden geschreven niet meer wordt weergeven in Windows Explorer.
Dit is voor de veiligheid dat niet opeens de partitie wordt verwijderd of geformatteerd. De
partitie had eerst de letter E: gekregen in het voorbeeld.
-52-
Om de back-up te kunnen verwerken via onze Ubuntu-server dient deze zichtbaar gemaakt te
worden. We doen dit via Computermanagement. Daar zullen we aan de betreffende partitie
terug een letter aankoppelen. Hierdoor maken we de partitie terug beschikbaar. De letter is
voor de veiligheid de drive B: Dit om niet met overlappingen te komen zitten van eventuele
netwerkdrives.
Afbeelding 70
We maken ook nog een verborgen gedeelde map aan voor de connectie tussen de back-
uppartitie en onze Ubuntu back-up server.
Afbeelding 71
Voor de verwerking met onze Ubuntu back-up server dient er nog een extra user aangemaakt
te worden om dit veilig te laten verlopen. We maken de user aan backupsrv en geven die user
volledige rechten op de directory. We doen dit via Active Directory Users and Computers.
-53-
Configuratie Installatie-server met grouppollicy.

We kunnen normaal werken met software assign. Dit is echter alleen mogelijk met een .msi
pakket. Office beschikt ook over een msi-installer. Wanneer we willen werken met een
aangepaste configuratie is het niet mogelijk om de .msi te gebruiken. Daar gaan we nu niet
verder op in.
Custom install creëren office 2007 pro.
We kopiëren de office installatie naar een gedeelde map op onze installatie server.
Daarna voeren we de setup.exe uit met de parameter /admin.
Daarmee starten we de office Customization Tool. Hier hebben we de mogelijkheden om
verschillende instellingen aan te passen. Zoals een silent install uitvoeren. Nog een voordeel
bij deze instellingen is dat wanneer deze instellingen toegepast zijn ze niet permanent zijn.
Via een GPO kunnen ook instellingen aangepast worden. Deze zijn dan echter bij iedere
herstart opnieuw actief. Bij deze instellingen zijn het voorstellen maar dat kan nog aangepast
worden en de aanpassingen blijven actief bij een herstart.
Afbeelding 72
-54-
Hiermee maken we een config-file aan voor office die aan onze behoeften voldoet.
We geven de licentie in van ons office product + de installatiemogelijkheid die moet worden
teruggegeven. Hier kiezen we dat er niks hoeft worden aangetoond.
Afbeelding 73
Hier creëren we een nieuw profiel voor Outlook voor de automatische configuratie van alle
gebruikers in ons domein.
Afbeelding 74
-55-
Afbeelding 75
In bovenliggende screenshots zien we de configuratie van de mail-account voor onze

gebruikers.
Dit is een variabel die hier dient ingevoegd te worden en deze wordt uit AD uitgelezen.
Dit brengt als voordeel dat niet iedere account of nieuwe account dient te worden
geconfigureerd op de cliënt. We voegen ook 2 extra iconen bij die op het bureaublad moeten
worden teruggegeven namelijk van Word en Outlook. Om de installatie zich bewust te maken
van de aangepaste setup dient het bestand met extensie .msp gekopieerd te worden naar de
map Updates onder onze gedeelde map. Setup neemt automatisch deze map mee om te kijken
voor eventuele updates of configuraties.
Group policies instellen op server.

We kopiëren de office 2007 pro cd-rom lokaal naar onze server.
Daarna maken we een share aan voor de installatie bestanden.
Onze share is \\exch01\soft
Afbeelding 76
Bij de rechten voor deze gedeelde map verwijderen we Iedereen leesrechten en geven we
rechten aan de domein computers om de map uit te lezen.
-56-
Afbeelding 77
Op beveiligingsniveau geven we onze domein computers rechten om te lezen en uit te voeren.
Afbeelding 78
Voor gebruikersgemak en administratieve redenen maken we een nieuwe groep aan die
OFFICE 2007 COMPUTERS noemt. Daarin plaatsen we de computers die we willen
voorzien van een office 2007 installatie. Dus wanneer we een nieuwe computer of een
bestaand toestel willen voorzien met Office 2007 Pro is het voldoende om de computer hier
bij te voegen.
We maken een nieuwe GPO aan die de distributie naar de groep zal uitvoeren.
Dit is onder Group Policy Management. We geven de GPO een gepaste naam in ons
voorbeeld krijgt het de naam Office 2007 NL.
-57-
Afbeelding 79
We willen dat de installatie gebeurt op computerniveau dus zullen we in de betreffende GPO

via startup scripts een script plaatsen dat de installatie zal verzorgen. Voor de installatie van
microsoft Office 2007 moeten we echter met de setup.exe werken wanneer we een aangepaste
setup willen uitvoeren. Dit is echter ook nog mogelijk via een .xml bestand maar de opties
zijn dan niet zo uitgebreid.
Afbeelding 80
Uitleg script:
We zullen eerst een net use leggen op de o: drive en dan kopiëren we alle bestanden lokaal
naar het toestel (LIS) . We maken de lokale map aan op de systeemdrive. Dit is echter voor
wanneer het toestel updates ontvangt en de oorspronkelijke installatiebronnen nodig heeft. Dit
is met het commando xcopy parameter /e is voor het kopiëren van alle onderliggende mappen.
/q is voor het niet teruggeven van de bestanden die gekopieerd worden. Daarna gaan we naar
de lokale installatie bron. Daar voeren we de setup.exe uit. Dit met het command start en
parameter /wait. Deze parameter zorgt ervoor dat er geen andere .exe mag worden
geïnstalleerd zolang deze draaiende is. Daarna verwijderen we opnieuw de
netwerkverbinding. Bij deze configuratie wordt wel elke maal de pc opgestart het script
doorlopen en de bestanden niet opnieuw lokaal gekopieerd omdat de map al bestaat.
Wanneer we updates willen installeren is het enkel genoeg om de .msp (update-file) richting
de cliënt te kopiëren. De configuratie .msp-file gecreerd door OCT wordt niet meer toegepast
setup.exe weet echter dat dit een configuratiefile is voor office setup.
Windows Server 2003 Standard Edition R2 Member

We maken de server member van het domein en stellen een vast IP-adres in voor het toestel.
Waarom we Server 2003 nemen voor OS heeft de volgende reden. De exchange versie van
2007 wordt enkel ondersteund op een 64-bit OS en ik heb de hardware niet om dit mogelijk te
-58-
maken. Let wel op deze installatie op Server 2008 AD is enkel mogelijk wanneer de security
op Server 2003 is geplaatst van forest en domein-level.
Installatie Mailserver
Voordelen Exchange mailserver
Clustering tussen 4 of 8 nodes Active of passive. (Enkel enterprise Versie)

Meerdere storage groups. In grote ondernemingen werken per site of afdeling. (Enkel
Enterprise Versie)
Meerdere administratieve groepen – bruikbaar voor delegatie.
OWA (Outlook Web Access).
OMA (Outlook Mobile Access)
RPC over HTTP laat owa-cliënts to hun mail te lezen met enkel poort 80 te openen.
Volume Shadow Copy. Verzorgt communcatie tussen back-up programma en
exchange.
Query Gebaseerde Distributie Groepen. Maakt het mogelijk om een nieuwe groep te
creeën aan de hand van ingevulde waarden op de Exchange server bijvoorbeeld Email
gebruikers.
ExDeploy en ExMerge wizard die je helpen migreren en configureren.
Beter mail-queue beheer. Makkelijk voor probleemoplossing. (Verwerkt ook vlugger
de mails van cliënts)
Outlook Cached Mode een .ost file wordt gemaakt en bevordert de netwerktrafiek met
de server.
Junk email filter. (Niet perfect maar een stap in de goede richting)
Restore van een mailbox mogelijk niet volledige Storage Group die moet worden
teruggezet.
Verbeterde beschikbaarheid van de server.
Goede vertrouwbaarheid + betere beheertools.
Publieke mappen
Agenda-beheer.
Benodigdheden voor Exchange

Installatie van benodigde services voor mailserver op Windows Server 2003.
We gaan via Control Panel naar Software en kiezen daar Add/Remove Windows components.
Daar selecteren we de benodigde rollen die we moeten installeren voor Exchange 2003.
ASP.NET
SMTP
IIS Manager
Web server
NNTP
-59-
Afbeelding 81
Aanpassingen Active Directory Exchange Server 2003

We gaan het schema aanpassen en de forest uitbereiden.
Dit doen we door de installatie van exchange met een parameter mee te geven.
We gaan naar de installatie via commandline.
Daar gaan we naar de directory setup/I386
Daaruit voeren we het commando setup.exe /forestprep
Afbeelding 82
Daarna voeren we opnieuw setup.exe uit met de parameter /domainprep.

Dit voor het aanpassen van het domeinschema.
-60-
Afbeelding 83
Installatie Microsoft Exchange Server 2003

Dit is onze eerste Exchange Server in onze organisatie dus kiezen we.voor een nieuwe
organisatie.
Afbeelding 84
We kiezen de standaard naam voor de nieuwe organisatie van onze exchange.
-61-
Afbeelding 85
We vervolledigen de Exchange Setup.
Internet mail configuratie
Afbeelding 86
We werken met Internet Mail Wizard voor te kunnen mailen naar andere domeinen. We
zullen gebruik maken van een smarthost. De SMTP-Server van onze ISP.
Daarna kunnen we mailen naar andere domeinen. De MX-record van onze zone zorgt voor de
bezorging van onze mail. Dit dient geconfigureerd te worden bij de DNS-zone die moet
worden geconfigureerd bij een externe firma die dns-records beheert.
Second DNS
Installatie Second DNS

Ter beveiliging zullen we een tweede dns installeren. Zo creëren we een meer fouttoleranter
naamresolving-omgeving.
-62-
Afbeelding 87
We zullen via run of uitvoeren control aanspreken. In het configuratiescherm kunnen we dan
nieuwe componenten toevoegen.
Afbeelding 88
Bij het Add or Remove Programs nemen we Add/Remove Windows Components. Hieronder
kiezen we dan Networking Services en zullen we DNS aanvinken. Nu is Domain Name
Service geïnstalleerd op ons toestel. Nu kunnen we over gaan tot de configuratie.
Delen van zone i-wares Windows Server 2008

Voor we de zone kunnen aanspreken dienen we deze beschikbaar te maken voor de 2de DNS
server. We doen dit ook volgens de MMC-console van DNS op onze Domeincontroller.
We dienen dit te doen voor de forward en reverse zone.
-63-
Afbeelding 89
We gaan naar de eigenschappen van de zone i-wares.be. Daar nemen we de eigenschappen.

Krijgen we de volgende mogelijkheden. We zullen onze nieuwe Name Server toevoegen.
Afbeelding 90
Hier voegen we de volledige naam van onze server in. Dan krijgen we het juiste IP-adres
automatisch. De server is toegevoegd.
Afbeelding 91
Nu kunnen we de configuratie maken voor enkel toelaten van transfer zone i-wares.be tussen
betreffende server in deze tap.De configuratie voor de forwardzone is ingesteld. We doen dit
echter nu nog maal voor de reverse zone.
-64-
Configuratie Second DNS
Afbeelding 92
We kiezen voor Action Configure a DNS Server. Door de aanpassing op onze eerste DNS-
server kunnen we nu de zone laden.
Afbeelding 93
We krijgen een wizard om onze zone aan te maken. We nemen de optie maak een forward en
reverse zone aan.
-65-
Afbeelding 94
We willen een forward zone aanmaken en kiezen hier voor Next.
Afbeelding 95
We zullen een Secondary zone aanmaken dit is een zone die een kopie neemt van een
bestaande server. In ons geval de server waresdc01 die ook als DNS-server werkt.
Afbeelding 96
We moeten de naam van onze zone opgeven of kunnen ook via browse het domein opzoeken.
-66-
Afbeelding 97
Hier moeten we het IP-adres van de bestaande DNS-server opgeven bij ons is dit 10.0.0.3.
Opnieuw krijgen we de mogelijkheid om deze te gaan verkennen tot de juiste server.
Afbeelding 98
Hier krijgen we de mogelijkheid om ook de reverse zone in te stellen en dit proces

vervolledigen we ook maar is gelijkaardig aan bovenstaand.
-67-
Cliënt analyse
Hoe gaat dit nu allemaal in zijn werk? Bij het opstarten van onze Windows 7 cliënt wordt
eerst een IP-adres uitgereikt aan ons toestel. Dit door de Ubuntu Server. Wanneer het adres is
toegekend kan er worden gezocht naar de Domeincontroller dit via de DNS-server die bij de
informatie zit van IP toekenning. Bij ons is dit onze Windows Server 2008 en Windows
Server 2003. Eens deze gevonden is krijgen we het aanlogscherm. Achterliggend worden
controles gedaan in verband met Group Policy voor eventuele configuraties voor de
betreffende machine. De identificatie van de betreffende machine is aan de hand van de
hostname. Zo is het toestel ook toegevoegd in AD. Dus voor de installatie van Office 2007 in
ons voorbeeld diende enkel het toestel opgestart te zijn en met het login scherm te staan. Moet
natuurlijk ook in de juiste groep zitten voor installatie. Terwijl ons toestel nog niet aangemeld
was werd de installatie al uitgevoerd. Na aan te melden word opnieuw de Group Policy
geraadpleegd ditmaal voor eventuele configuratie op user of groep niveau. Bij de gebruiker
Thijs die in de groep IT-afdeling zit werd een drive gecreëerd. Alsook werd er gekeken op
AD of de user een Roaming Profiel had. Configuratie van de proxy word ook ingesteld.
Indien ja word het geladen van de server. Na het opstarten kunnen we mailen via de
geïnstalleerde office outlook. Wanneer we outlook voor de eerste maal opstarten zal de
configuratie van account bijna automatisch verlopen. Dit door onze aangepaste office
installatie. De vooraf ingegeven exchange server wordt gezocht via de DNS-servers. Na
succesvol terug te vinden is de communicatie tussen cliënt en mailserver mogelijk. Wanneer
we willen surfen, zullen we opnieuw een naam moeten opzoeken via onze DNS-server
namelijk proxy.i-wares.be. Na het terugvinden van de proxy zullen we ons als cliënt
authenticeren tegenover de proxy. Via het LDAP voorbeeld niet erg secure geven we eerst de
gegevens aan de proxy die ze controleert op zijn beurt bij AD. Via NTML kunnen we
terugvallen op de werking van NTML uitgedokterd op pagina 27.
-68-
Technische Termen
ACL Access Control List: Is de manier om een
user rechten te geven aan bepaalde bronnen
of domeinen. Bijvoorbeeld internet.
AD Active Directory: Is de eigen oplossing van
microsoft om een LDAP-server secure te
maken via kerberos en DNS.
Authenticeren Aan de hand van beveiliging controleren of
een persoon wel degelijk de persoon is die hij
beweerd. In ons voorbeeld is dit met een
wachtwoord.
CIFS Common Internet File System: Is een
bestandsysteem dat het delen van bestanden
printers en mappen toelaat tussen
verschillende besturingssystemen. Is een
variant van het SMB protocol.
DHCP Dynamic Host Configuration Protocol: Is een
protocol dat instaat voor het leveren van IP-
adressen aan andere toestellen in het
netwerk.
DNS Domain Name System: systeem dat is
opgezet om het mogelijk te maken website’s
te bezoeken via een naam. www.google.be
als we opzoeken welk IP-adres is het gelinkt
aan meerdere adressen.
FQDN Fully Qualifed Domain Name: Volledige
DNS-naam van het toestel. In ons voorbeeld
is “waresdc01.i-wares.be” een FQDN.
FSCK Is een programma dat in UNIX
besturingssystemen gebakken zit. Dit
programma staat in voor controle van
bestanden op beschadigingen. Het
programma is deel van de opstart.
FTP File Transfer Protocol: Is een protocol dat het
vermakkelijkt om bestanden te wisselen
tussen verschillende computers.
GPO Group Policy Objects: Is een microsoft
ontwikkelde methode. Deze methode
ondersteunt centralisatie van configuratie
voor computers, gebruikers en applicaties.
hard links Is een link die gelegd wordt indien een
bestand niet aangepast is. Dit komt de
opslagmedia ten goede. Nadeel: er kan maar
op één bestandsysteem worden gewerkt.
Hash Is een bewerking die wordt gebruikt voor het
vergrendelen van wachtwoorden. Zeer veilig.
HOSTNAME Is een naam die een toestel krijgt in een
netwerk. Dit is om het te kunnen
onderscheiden van toestellen, een identiteit
als het ware.
-69-
Inode Is de creatie van een soort index. Dit is om te

kunnen verwijzen naar de locatie van een
bestand op de plaats van de HDD.
IP Internet Protocol: Is een manier waardoor
netwerkcomponenten makkelijker kunnen
worden onderscheiden.
ISP Internet Service Provider: bedrijf dat de
internetservice levert.
Kerberos Is een netwerkprotocol dat op een veilige
manier de cliënt kan authenticeren zonder dat
de gebruiker dit altijd moet gaan ingeven.
LAN Local Area Network: Verzameling van
computers, servers, printers en andere
netwerkonderdelen die communiceren. Terug
te vinden bij scholen, bedrijven.
LDAP Lightweigt Directory Access Protocol: Dit is
een protocol dat al jaren wordt gebruikt en in
meerdere besturingssystemen terug te vinden
is. Werkt standaard op poort 38 en kan mee
geauthenticeerd worden of enkele gegevens
opzoeken. Werkt niet op een secure manier.
LIS Local Installation Source: Hiermee maken
we de installatiebronnen beschikbaar lokaal
op de cliënt . Zie ons voorbeeld Office 2007.
MMC Is een beheerprogramma van Microsoft
waarin verschillende configuraties kunnen
gebeuren.
MOUNTEN Aankoppelen van media voor het
besturingssysteem. Hiervoor dient eerst een
lokale map aangemaakt te worden als mount
point.
NAS Network Attached Storage: Opslagmedium
dat op het netwerk is aangesloten en zich
gedraagt als een harde schijf.
NAT Network Adress Transalation: Protocol dat
het mogelijk maakt om met meerdere
toestellen te surfen via 1 publiek IP-adres.
NTLMSSP NT LAN Manager Security Support
Provider: is een protocol dat gebruikt wordt
voor authenticatie met Microsoft Windows
besturingsystemen.
NTP Network Time Protocol: Dit is een protocol
ontworpen om toestellen in een netwerk
allemaal dezelfde tijd te bezorgen. Is voor
sommige handelingen nodig zoals kerberos.
OS Operating System: Systeem dat instaat om de
nodige configuraties te kunnen uitvoeren
voor verschillende doeleinden. Voorbeelden
zijn Windows Server 2008, Ubuntu Server
9.10, Red Hat en AIX.
-70-
PID Unix Process ID bestand: Bestand dat

aangemaakt wordt door Linux/Unix voor het
uitvoeren van een proces.
Rlogin Commandline Interface om aanpassingen uit
te voeren aan een Remote computer. Werkt
op TCP-poort 513 makkelijk te omzeilen.
Rsync Ideale software om directory structuren te
kopiëren. Werkt standaard op poort 873.
Samba Verschillende programma’s die ervoor
zorgen dat communicatie met NT toestellen.
Windows mogelijk wordt.
SMB Server Message Block: Dit is het protocol dat
bestanduitwisseling voor meerdere Windows
computers mogelijk te maakt. Dit is een
netwerkprotocol dat door microsoft is
ontwikkeld en de bron hiervan is niet
vrijgegeven.
SMBFS Een bestandssysteem dat het mogelijk maakt
voor communicatie tussen Linux en
Windows.
SMTP Simple Mail Transfer Protocol: De standaard
voor het uitwisselen van e-mail tussen
verschillende domeinen. Alsook op het
internet.
SNIFFEN Is het uitlezen van het netwerkverkeer. Dit
met de bedoeling te controleren of het
verkeer veilig is of voor hack doeleinden.
SSH Secure Shell: Commandline Interface om
aanpassingen uit te voeren aan een Remote
computer via een Secure manier.
Werkt op TCP-poort 22
Synchronisatie In ons voorbeeld een exacte kopie nemen van
het besturingssysteem op het moment zelf.
Maar enkel de aangepaste bestanden
kopiëren.
Telnet TELetype NETwork: Commandline Interface
om aanpassingen uit te voeren aan een
Remote computer via een niet Secure manier.
Gebruikers, wachtwoorden worden in tekst
over het netwerk verplaatst.
Werkt op TCP-poort 23
TLS Transport Layer Security: Is een protocol dat
gebruikt wordt over het internet. Het zorgt
voor de encryptie van de data die over het
netwerk wordt verstuurd.
WAN Wide Area Network: Hiermee wordt een
geografische ligging van een netwerk
bedoeld.
-71-
Conclusie
Wanneer we willen werken in mixed environment moeten we eerst en vooral ons de vraag
stellen wat we allemaal nodig hebben in ons netwerk. Het onderzoek moet vooraf worden
gedaan en een labo moet worden opgezet. De mogelijkheden voor samenwerking zijn
aanwezig. Ik ben niet pro Windows of pro Linux maar iedere fabrikant heeft zijn betere
producten. Bijvoorbeeld Microsoft Exchange Server is voor mij een goede mail server en er is
niet echt een gelijkwaardige Linux variant. Daarin tegen vind ik op Linux de Squid proxy-
server een heel goed programma dat ook de mogelijkheid biedt voor integratie met Windows
Server 2003 en 2008. ISA-server vind ik persoonlijk geen goed programma.
-72-
Bronvermelding:
Dhcp-server:
http://lists.debian.org/debian-user-portuguese/2006/03/msg00414.html
http://learn-networking.com/definitions/dynamic-host-configuration-protocol-dhcp-definition
rc.local
http://www.oreillynet.com/linux/blog/2007/08/etcrclocal.html
Squid Configuration:
-Ldap_auth
http://linux.die.net/man/8/squid_ldap_auth
http://wiki.squid-cache.org
http://www.cyberciti.biz/tips/howto-configure-squid-ldap-authentication.html
-ntml_auth
http://docs.hp.com/en/B2355-90696/krb5.conf.4.html
http://www.faqs.org/docs/securing/chap29sec284.html
http://www.cyberciti.biz/faq/squid-ntlm-authentication-configuration-howto/
http://www.citefa.gov.ar/SitioSI6_EN/downloads/Squid-NTLM-EN.pdf
http://msdn.microsoft.com/en-us/library/aa378749%28VS.85%29.aspx
http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/winbind.html
http://nl.wikipedia.org/wiki/Kerberos_%28protocol%29
Netwerkdrive creation
https://wiki.ubuntu.com/MountWindowsSharesPermanently
http://ubiqx.org/cifs/Intro.html#INTRO.2
http://webscript.princeton.edu/~pug/faqwiki/index.php?title=Using_SAMBA/CIFS_to_access
_Windows_Shares
http://en.wikipedia.org/wiki/Fstab
Crontab
http://www.mkssoftware.com/docs/man1/crontab.1.asp
Deployment Office 2007 pro

http://blogger.xs4all.nl/wvdw/articles/340881.aspx
http://technet.microsoft.com/en-us/library/cc179097.aspx
Exchange server
http://www.computerperformance.co.uk/exchange2003/exchange_2003_migrate_benefits.htm
http://articles.techrepublic.com.com/5100-10878_11-6089015.html
http://support.microsoft.com/kb/822896
-73-
Windows Server 2008

http://wiki.answers.com/Q/What_are_the_differences_between_Windows_Server_2003_and_
Windows_Server_2008
http://en.wikipedia.org/wiki/Windows_Server_2008
http://technet.microsoft.com/en-us/magazine/2008.11.pvterminal.aspx
http://www.microsoft.com/windowsserver2008/en/us/security-policy.aspx
http://www.microsoft.com/windowsserver2008/en/us/server-management.aspx
Active Directory:
http://oit.utk.edu/helpdesk/kb/entry/1043
http://www.memphis.edu/itd/accounts/activedirectory/docs/ad-benefits.php
http://technet.microsoft.com/en-us/library/bb727067.aspx
Rsnapshot:
http://www.maxsworld.org/index.php/how-tos/rsnapshot-backups
Windows 2008 Server backup:

http://technet.microsoft.com/en-us/library/cc770266%28WS.10%29.aspx
http://technet.microsoft.com/en-us/magazine/2008.05.adbackup.aspx
-74-

Microsoft Word - Cproef

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Microsoft Word - Cproef

Uploaded by

Copyright:

Available Formats

Clarysse Thijs maandag 26 april 2010

Dagelijks nemen van back-ups......................................................................................... 49

Windows Server 2003 R2 Linux-Server Windows Server 2008

Client 1 Client 2 Client 3 Client 4

Server Domein Controller Windows Server 2008

Server Linux Ubuntu 9.10

Dit zijn alle benodigde instellingen voor onze Linux-server.

Voor de configuratie van de dhcp-server moeten we eerst de service installeren op de linux-

Dit is onze configuratie-file voor de instellingen van DHCP-server

Wat uitleg bij de configuratie.

Werking van dhcp tussen cliënt en server

Als de communicatie succesvol verlopen is en de cliënt de informatie heeft geaccepteerd,

Controle Windows 7 Cliënt

Aanpassen van configuratie-files:

sudo vim /etc/sysctl.conf

Squid Proxy Server

Installatie Squid Proxy-server LDAP Authenticatie

Sudo apt-get install squid .

Configuratie Squid Proxy-server

http_access allow localnet

Hierdoor hebben we de mogelijkheid om te surfen met onze cliënts zonder aanmelden.

Configuratie Authenticatie LDAP-server.

We voegen volgende regels toe in /etc/hosts

/usr/lib/squid/ldap_auth is het programma dat we zullen gebruiken voor de authenticatie. Dit

-R is nodig voor connectie te maken met een Windows Active Directory.

Toegang verlenen aan Authenticated gebruikers

Hier wordt toegang verleend om te surfen aan localhost en ldap-auth

Authenticatie Internet Explorer Windows 7

Controle van internet Access

Installatie Squid Proxy 3.0 met ntlm_auth

Domein DNS-server toevoegen:

Bij de tab [libdefaults]

Bij de tab [realms]

Bij de tab [login]

Testen van Kerberos

renew until 03/20/10 00:35:26

klist: You have no tickets cached

Verwijderen van dit ticket doen we via het commando:

Dit zijn de opties die moeten worden aangepast:

Controle of de configuratie correct is door command testparm:

Load smb config files from /etc/samba/smb.conf

Daarna voegen we onze machine toe aan AD.

Dit gebeurt door het commando

Na verwerking zien we het volgende op onze AD.

Aanpassen waar ons systeem allemaal gebruikers moet opzoeken.

passwd: compat winbind

Testen of authenticatie lukt. Dit dient te gebeuren op de gebruiker proxy.

Aanpassen van /etc/squid3/squid.conf

Rechten geven aan ntlm_users voor te surfen.

acl ntlm_users proxy_auth REQUIRED

http_access allow ntlm_users

Kijken naar /var/log/squid3/access.log

Authenticatie Firefox Windows 7

De volgende regels zijn voor het maken van de netwerkverbindingen.

Config_version 1.2 Default versie toch vereist.

Door de installatie van Rsnapshot werd het volgende bestand aangemaakt:

Uitleg bij de 6 velden die staan voor datums en tijdbepalingen:

Eerste staat in voor de minuten bepaalbaar tussen 0 en 59

Hier is de configuratie voor het maken van de back-up dagelijks om 0u00.

Mapstructuur ziet er als volgt uit na een tijd:

In dit voorbeeld zijn we 3 dagen ver en is daily.0 onze recentste back-up.

Vergelijken van directories.

Vergelijken van directories:

Er zijn geen verandering gebeurd met de back-up van gisteren.