Teknisk Dokumentation

Indholdsfortegnelse
Indholdsfortegnelse 2
1. Indledning 6
1.1 Formål 6
1.2 Læsevejledning 6
1.2.1 Dokument Punkter 6
1.2.2 Tekst Standarder 7
1.3 Bemærkninger 7
2. Netværk 8
2.1 Nuls lling af 3650 switche 8
2.2 Basic Konfigura on 9
2.2.1 Hostnavne 9
2.2.2 No IP Domain-Lookup 9
2.2.3 Banner 9
2.2.4 Service Encryp on 9
2.2.5 SSH 10
2.2.6 Spanning Tree 10
2.2.7 VTP 10
2.2.8 VLAN 11
2.2.8.1 VLAN tabel 11
2.2.9 NTP 13
2.2.10 Logging 13
2.2.11 Trunk Porte 14
2.2.12 Access Porte 14
2.2.13 Ubrugte Porte 14
2.3 Specifik Konfigura on 16
2.3.1 TP-CORE-DLS-01 16
2.3.2 TP-CORE-DLS-02 21
2.3.3 TP-DMZ-DLS-01 26
2.3.4 TP-DMZ-DLS-02 27
2.3.1 TP-SRV-ALS-01 28
2.3.2 TP-SRV-ALS-02 32
2.3.3 TP-USR-ALS-01 34
2.3 Firewall 37
2.3.1 So ware 37
2.3.2 Installa on 37
2.3.3 PfSense Setup Wizard 40
Side 2 af 210
2.3.4 Opsætning af Interfaces 44
2.3.5 HA-SYNC 45
2.3.6 NAT/PAT 47
2.3.7 CARP 49
2.3.8 FRR OSPF 50
2.3.9 OpenVPN 53
2.3.10 Brugeropre else 59
3. Fysisk Server Miljø 60

3.1 Nuls lling af Servere 60
3.1.1 Nuls lling af RAID 60
3.1.2 Nuls lling af iLO 60
3.1.3 Opre else af Array’s 60
3.1.4 Ski password for admin brugeren på iLO 60
3.1.5 iLO netværkskonfigura on 60
4. Hypervisor og vCenter 61
4.1 Hypervisor 61
4.1.1 Installa on af ESXi 61
4.2 vCenter 63
4.2.1 Install - Stage 1 Deploy vCenter Server 63
4.2.2 Install - Stage 2 Set Up vCenter Server 76
4.2.3 Cluster 85
4.2.3.1 lføjelse af 3 host l clusteret 85
4.2.4 DRS 89
4.2.5 HA vCenter 90
4.2.6 vSAN 91
4.2.4.1 lføjelse af de 3 sidste host l vsan 91
4.2.7 Upload l vSAN Datastore 93
4.2.8 Templates 95
4.2.9 Windows Server 2019 Datacenter Installa on 101
4.2.10 Ubuntu 18.04.5 LTS Installa on 116
4.2.11 Konverter opre ede vm l template 127
4.2.12 VM Customiza on Specifica on (Sysprep) 129
4.2.12.1 Windows Server 2019 Datacenter 129
4.2.12.2 Ubuntu 18.04.5 LTS 138
4.2.13 Deploy VM’s fra template 145
4.2.14 vCenter Netværk 152
5. Virtuelt Server Miljø 170

5.1 Domain controllere 170
Side 3 af 210
5.1.1 Domain Controller Promo on 170
5.1.1.1 Tilføj Role 170
5.1.1.2 Promote l Domain Controller 178
5.1.2 AD 186
5.1.3 DNS 187
5.1.4 DHCP 197
5.1.5 GPO 208
5.1.5.1 disable CMD 209
5.1.5.2 disable Powershell 213
5.1.5.3 Home folder 213
5.1.5.4 roaming profile 213
5.1.5.5 drive maps 213
5.1.5.6 Wallpaper 214
5.1.6 NTP 214
5.2 Filservere 216
5.2.1 Tilføj en disk 216
5.2.2 Installa on af DFS 227
5.2.3 Opre else af namespaces og mapper 231
5.2.5 Replica on Group 244
5.2.6 FSRM Quota 259
5.3 Backup Servere 263
5.3.1 Veeam Installa on 263
5.3.2 Veeam Konfigura on 268
5.4 PRTG Servere 286
PRTG 21 286
5.4.1 PRTG Installa on 286
5.4.2 Password Ændring 289
5.4.3 Monitorering 290
5.4.4 Konfigurering af SNMP Service 291
5.4.5 Tilføjelse af Netværk 294
5.4.6 PRTG Cluster 303
5.5 Exchange Servere 310
5.5.1 So ware 310
5.5.2 Exchange Prerequisites 310
5.5.3 Exchange Server 2019 Installa on 312
5.5.4 Witness Server Setup 314
5.5.5 DAG Cluster Opsætning 317
5.5.6 Mail Størrelse 319
5.5.7 Opsætning af Virtual Directories 320
Side 4 af 210
5.5.8 Mailboks Opre else 321
5.5.9 Mailboks Størrelse 321
5.5.10 Exchange Administrator Re gheder 322
5.5.11 Opsætning af Send Connectors 322
5.5.12 PRTG Distribu ons Gruppe 322
5.5.13 Exchange Edge Servere Prerequisites 323
5.5.13.1 Exchange Edge Prerequisites 323
5.5.13.1 Exchange Edge Installa on 325
5.5.13.2 Edge Subscrip on 325
5.5.13.3 Edge Connectors 326
5.6 Rsyslog 327
5.6.1 Rsyslog opsætning 327
5.6.2 DRBD 327
5.6.3 Mout af share og replikering der l 330
5.6.4 331
5.6.5 Winlogbeat 331
5.6.6 Linux 332
5.6.7 Cisco 332
5.7 Mediawiki 333
5.7.1 Apache 333
5.7.2 MariaDB 333
5.7.3 PHP 336
5.7.4 Mediawiki Site 336
5.7.5 Corosync 339
5.7.6 Pacemaker 340
Side 5 af 210
1. Indledning
Henvisning Afsnit & Overskri Side
Kravspecifika on 1. Indledning 5 l 12
Rapport 1. Indledning 4 l 10
Testmanual 1. Indledning 4 l5
Brugermanual 1. Indledning 3 l4
1.1 Formål
De e dokument har l formål at vise hvordan alt hardware og so ware er nuls llet sat op og
konfigureret i hele projektet i detaljerede træk, med tekst og billeder. Dokumentet er
udarbejdet undervejs så der er blevet taget skærmbilleder af alle konfigura onerne under
hele processen, og med tekst som forklaring l hvert enkelt billede.
1.2 Læsevejledning
Læsevejledningen har l formål at beskrive hvordan den tekniske dokumenta on skal læses.
Der vil forekomme akronymer, hvilkets betydning er l at finde i dokumentet bilag afsnit 2
side 6-9.
1.2.1 Dokument Punkter
Den tekniske dokumenta on er inddelt i 5 hovedpunkter.
● Indledning
Indeholder formålet med dokumentet, samt en læsevejledning om hvordan
dokumentet skal læses og forstås og de tekst standarder der er beny et.
● Netværk
Indeholder proceduren for nuls lling af netværksudstyr samt teknisk
dokumenta on af opsætningen af netværksenheder og firewalls.
● Fysisk Server Miljø
Indeholder proceduren for nuls lling af de fysiske servere.
● Hypervisor & vCenter
Indeholder teknisk dokumenta on for opsætningen af ESXi, vCenter, vSAN
med mere.
● Virtuelt Server Miljø
Indeholder teknisk dokumenta on for opsætningen af virtuelle servere,
blandt andet domain controllere, fil servere, backup servere.
Der vil for hvert hovedpunkt punkt være ét punkt der optræder flere gange:
Side 6 af 210
● Henvisninger vil være l at finde under hver hovedoverskri det går igen i
flere af dokumenterne, som eksempelvis indledningen. De vil referere l
samme emne i de øvrige dokumenter. Se eksemplet herunder:

Kravspecifika on 1. Indledning X af XX
Rapport 1. Indledning X af XX
Testmanual 1. Indledning X af XX
Brugermanual 1. Indledning X af XX
1.2.2 Tekst Standarder
Skri typer:
Krav l alle skri størrelserne samt skri type er defineret i diagrammet herunder.
Bemærk at farverne beny et, er ud fra Google Docs standard, farvernes navne kan
variere i andre tekstredigeringsprogrammer.
Navn Skri type Typografi Størrelse Farve
Normal tekst Calibri ingen 12 pkt. Sort
Titel Calibri Fed 38 pkt. Dark Blue 3
Overskri 1 Calibri Fed 24 pkt. Dark Blue 2
Overskri 2 Calibri Fed 18 pkt. Dark Blue 1
Overskri 3 Calibri Fed 14 pkt. Light Blue 1
Overskri 4 Calibri Fed 12 pkt. Light Blue 2
1.3 Bemærkninger
Der er i denne løsning, brugt ét enkelt password (Passw0rd!) for nemhedens skyld. Der
bruges trial licenser, som vil udløbe e er projektet slu er. Havde det været en samlet løsning
som skulle bruges i produk on, ville de passwords som bruges være unikke og følge end
strengere password policy af sikkerhedsmæssige årsager. Der ville derudover være brugt
korrekte licenser uden udløbsdato.
Der vil forekomme genbrugt tekst og materiale fra gruppemedlemmernes dligere projekter.
Side 7 af 210
2. Netværk
Kravspecifika on 2. Netværk 12 l 20
Rapport 2. Netværk 11 l 23
Testmanual 2. Netværk 6 l 27
Brugermanual 2. Netværk 5 l6
2.1 Nuls lling af 3650 switche
● Hold mode knappen 1 inde, på forsiden af switchen, og sæt strøm l.

● Slip knappen når SYST og ACT lyser orange (cirka 20 sekunder).
● Skriv følgende kommandoer:

○ flash_init (ini alize flash)
○ SWITCH_IGNORE_STARTUP_CFG=1 (ignorere startup config)
○ boot flash:packages.conf (Boot switchen med packages.conf)
● Skriv no l ini al configura on dialog.

○ enable (enter privileged EXEC mode)
○ copy running-config startup-config (Copy run start)
○ erase startup-config (Slet start con)
● Reload switchen: reload
● Hold mode knappen 1 inde, på forsiden af switchen (cirka 20 sekunder) og sæt strøm
l.
● Slip knappen når SYST og ACT lyser orange.

○ flash_init (ini alize flash)
○ SWITCH_IGNORE_STARTUP_CFG=0 (ignorere IKKE startup config)
○ boot flash:packages.conf (Boot switchen med packages.conf)
Side 8 af 210
2.2 Basic Konfigura on
Basic konfigura on, er ens på alle enheder. TP-CORE-DLS-01 er brugt som template.
Kommando Funktion
Først række er kommandoen, og anden er funk onen
2.2.1 Hostnavne
Navne på Enheder, se dokumentet bilag IP-Plan afsnit 13 side 21-22..
switch(config)# hostname
TP-CORE-DLS-01 Enhedens navn sæ es
2.2.2 No IP Domain-Lookup
TP-CORE-DLS-01(config)# no ip
DNS oversæ else disables
domain-lookup
2.2.3 Banner
TP-CORE-DLS-01(config)# banner Konfigurerer Message-Of-The-Day, som bliver

motd "En gang til, og saa falder
vist når der logges på enheden.
hammeren"
2.2.4 Service Encryp on
TP-CORE-DLS-01(config)# service Der kan ikke ses password i

password-encryption clear text i running config
Side 9 af 210
2.2.5 SSH
TP-CORE-DLS-01(config)#
Opre er en lokal bruger der kan bruges l at
username admin privilege 15
logge ind på enheden med SSH
secret Passw0rd!
ldeler brugernavn, privilege og password
på lokal bruger.
TP-CORE-DLS-01(config)# crypto Genererer en public og private key der bruges

key generate rsa general-keys l at krypterer kommunika onen mellem
modulus 2048
brugeren og routeren/switchen i henhold l
SSH.
TP-CORE-DLS-01(config)#ip ssh SSH 2 enables, da det bruger en mere forbedret

version 2 sikkerheds krypteringsalgoritme.
2.2.6 Spanning Tree
TP-CORE-DLS-01(config)#
Enabler Rapid Per-VLAN Spanning tree
spanning-tree mode rapid-pvst
2.2.7 VTP
Transparent mode synkroniserer ikke VLAN

TP-CORE-DLS-01(config)# vtp configura on med andre switche. VTP
mode transparent adver sements bliver ikke sat ind i VLAN
databasen.
Side 10 af 210
2.2.8 VLAN
TP-CORE-DLS-01(config)# vlan 10
Opre er VLAN. I de e lfælde på DLS-01
opre es VLAN 10
TP-CORE-DLS-01(config)# name
Navngiver VLAN 10 l Direk on
Direktion
2.2.8.1 VLAN tabel
VLAN Navn Konfigureret på
TP-CORE-DLS-01,TP-CORE-DLS
vlan 10 Direk on -01,TP-USR-ALS-01.
vlan 20 Personale -01,TP-USR-ALS-01.
vlan 30 Admin -01,TP-USR-ALS-01.
vlan 40 Salg -01,TP-USR-ALS-01.
vlan 50 Indkoeb -01,TP-USR-ALS-01.
vlan 60 Oekonomi -01,TP-USR-ALS-01.
vlan 70 IT -01,TP-USR-ALS-01.
Side 11 af 210
-01,TP-USR-ALS-01,
vlan 99 Management TP-SRV-ALS-01,
TP-SRV-ALS-02.
vlan 100 Server -01, TP-SRV-ALS-01,
TP-SRV-ALS-02.
vlan 101 vMo on -01, TP-SRV-ALS-01,
TP-SRV-ALS-02.
vlan 102 vSAN -01, TP-SRV-ALS-01,
TP-SRV-ALS-02.
TP-DMZ-DLS-01,TP-DMZ-DLS-0
vlan 200 DMZ 1.
vlan 666 Blackhole Samtlige
vlan 999 Na ve Samtlige
Side 12 af 210
2.2.9 NTP
Kommando Funktion
TP-CORE-DLS-01(config)# ntp
Konfigurer NTP server IP adressen
server 192.168.100.101 prefer
TP-CORE-DLS-01(config)#ntp
Konfigurer Backup NTP server IP adressen
server 192.168.100.102
TP-CORE-DLS-01(config)#clock
Sæ er dszone l CET +1
timezone CET 1
TP-CORE-DLS-01(config)# clock Definerer sommer d

summer-time CEST recurring last
Sun Mar 2:00 last Sun Oct 3:00
2.2.10 Logging
TP-CORE-DLS-01(config)# logging Definerer IP adressen l vores SYSLOG server

host 192.168.100.103
TP-CORE-DLS-01(config)# logging Specificerer source interfacet. Giver bedre

source-int vlan 100 sikkerhed, da det kun vil køre ud af vlan 100
TP-CORE-DLS-01(config)#logging Sæ er logging niveauet l level 4 warning

trap 4 condi ons
Side 13 af 210
2.2.11 Trunk Porte
TP-CORE-DLS-01(config)#switchpo
rt mode trunk Sæ er interfacet i permanent trunk mode
Tillader alle kendte Vlan at blive trunket, men

blackhole VLAN 666 llades ikke.
rt trunk allowed vlan remove 666
2.2.12 Access Porte

Denne konfigura on er fra TP-DMZ-DLS-01, da vi ikke har nogen access porte på
TP-CORE-DLS-01
Porten bliver access port, kan nu kun

TP-DMZ-DLS-01(config)#switchport
mode access kommunikere med andre enheder der er i
samme VLAN.
TP-DMZ-DLS-01(config)#switchport
access vlan 200 Definerer hvilket VLAN der er access l
2.2.13 Ubrugte Porte
TP-CORE-DLS-01(config)#switchpo Port-security hjælper med at sikre netværket,

rt port-security ved at forhindre ukendte enheder i at
videresende pakker
TP-CORE-DLS-01(config)#switchpo Lærer MAC adressen fra de enheder der er

rt port-security mac-address lstlu et switchporten. De indsæ es i adresse
sticky tabellen.
Sæ es l MAX 3 adresser
rt port-security max 3
Side 14 af 210
Sker der en overtrædelse, tages switch porten
rt port-security violation
shutdown ud af dri og placeres i en err-disabled lstand.
TP-CORE-DLS-01(config)#switchpo Porten bliver access port, kan nu kun

rt mode access kommunikere med andre enheder der er i
samme VLAN.
TP-CORE-DLS-01(config)#switchpo Definerer hvilket VLAN der er access l her

rt access vlan 666 er det l Blackhole
TP-CORE-DLS-01(config)# Lukker alle ubrugte porte ned

shutdown
Side 15 af 210
2.3 Specifik Konfigura on
2.3.1 TP-CORE-DLS-01
OSPF
Her konfigureres OSPF AREA 0, med process-id 1. Router ID konfigureres manuelt l
3.3.3.3 Network statements i OSPF konfigureres. Alle interface VLAN’s og Port-channel’s
gøres passive.
router ospf 1
router-id 3.3.3.3
passive-interface Vlan10
passive-interface Port-channel1
network 172.16.0.4 0.0.0.3 area 0

default-information originate
network 192.168.10.0 0.0.0.255 area 0
network 192.168.20.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
network 192.168.40.0 0.0.0.255 area 0
network 192.168.50.0 0.0.0.255 area 0
network 192.168.60.0 0.0.0.255 area 0
network 192.168.70.0 0.0.0.255 area 0
network 192.168.99.0 0.0.0.255 area 0
network 192.168.100.0 0.0.0.255 area 0
network 192.168.101.0 0.0.0.255 area 0
network 192.168.102.0 0.0.0.255 area 0
network 192.168.103.0 0.0.0.255 area 0
Side 16 af 210
HSRP
Hot standby router protocol (HSRP)konfigureres for at give en redundant gateway l klienter og
servere. TP-CORE-DLS-01 skal være Ac ve for server VLAN 99,100,101 og 102, derfor ldeles
priority 110. Preempt kommandoen bruges for at sikre at, hvis routeren med højest prio, går
ned vil den når den er oppe igen overtage ac ve rollen. Track 1 er sat l forbindelsen l PFsense
firewallen, hvis den går ned decreases priority værdien med 20, og den anden CORE switch
overtager ac ve rollen.
IPhelper (DHCP)
Der konfigureres IP helper-address på klient vlan 10,20,30,40,50,60,70
adresserne sæ es l 192.168.100.101 (DC1) og 192.168.100.102 (DC2)
interface Vlan10
ip address 192.168.10.2 255.255.255.0
ip helper-address 192.168.100.101
standby 10 ip 192.168.10.1
standby 10 preempt
no shutdown
interface Vlan20
ip address 192.168.20.2 255.255.255.0
standby 20 ip 192.168.20.1
standby 20 preempt
no shutdown
interface Vlan30
ip address 192.168.30.2 255.255.255.0
standby 30 ip 192.168.30.1
standby 30 preempt
no shutdown
interface Vlan40
ip address 192.168.40.2 255.255.255.0
standby 40 ip 192.168.40.1
standby 40 preempt
no shutdown
interface Vlan50
ip address 192.168.50.2 255.255.255.0
Side 17 af 210
standby 50 ip 192.168.50.1
standby 50 preempt
no shutdown
interface Vlan60
ip address 192.168.60.2 255.255.255.0
standby 60 ip 192.168.60.1
standby 60 preempt
no shutdown
interface Vlan70
ip address 192.168.70.2 255.255.255.0
standby 70 ip 192.168.70.1
standby 70 preempt
no shutdown
interface Vlan99
ip address 192.168.99.2 255.255.255.0
standby 99 ip 192.168.99.1
standby 99 priority 110
standby 99 preempt
standby 99 track 1 decrement 20
no shutdown
interface Vlan100
ip address 192.168.100.2 255.255.255.0
standby 100 ip 192.168.100.1
standby 100 preempt
no shutdown
interface Vlan101
ip address 192.168.101.2 255.255.255.0
standby 101 ip 192.168.101.1
standby 101 preempt
no shutdown
interface Vlan102
ip address 192.168.102.2 255.255.255.0
standby 102 ip 192.168.102.1
Side 18 af 210
standby 102 preempt
no shutdown
TRACK
Der sæ es track på interface pegende imod FW-01 med følgende kommandoer
track 1 interface GigabitEthernet2/0/24 line-protocol

delay down 5
ETHERCHANNEL
Layer 2 ether channels konfigureres med følgende kommandoer
interface GigabitEthernet2/0/1
description --> SRV-ALS-01
channel-group 2 mode active
no shutdown
no shutdown
no shutdown
no shutdown
description --> USR-ALS-01
no shutdown
no shutdown
Side 19 af 210
description --> DLS-02
no shutdown
no shutdown
PORTCHANNEL
De forskellige Port-channels konfigureres med følgende kommandoer
interface Port-channel1
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
no shutdown
no shutdown
no shutdown
Side 20 af 210
2.3.2 TP-CORE-DLS-02
OSPF
4.4.4.4 Network statements i OSPF konfigureres. Alle interface VLAN’s og Port-channel’s
gøres passive.
router ospf 1
router-id 4.4.4.4
network 172.16.0.8 0.0.0.3 area 0

network 192.168.10.0 0.0.0.255 area 0
network 192.168.20.0 0.0.0.255 area 0
network 192.168.30.0 0.0.0.255 area 0
network 192.168.40.0 0.0.0.255 area 0
network 192.168.50.0 0.0.0.255 area 0
network 192.168.60.0 0.0.0.255 area 0
network 192.168.70.0 0.0.0.255 area 0
network 192.168.99.0 0.0.0.255 area 0
network 192.168.100.0 0.0.0.255 area 0
network 192.168.101.0 0.0.0.255 area 0
network 192.168.102.0 0.0.0.255 area 0
network 192.168.103.0 0.0.0.255 area 0
Side 21 af 210
HSRP
Hot standby router protocol (HSRP)konfigureres for at give en redundant gateway l klienter og
servere. TP-CORE-DLS-02 skal være Ac ve for klient VLAN 10,20,30,40,50,60 og 70, derfor
ldeles priority 110. Preempt kommandoen bruges for at sikre at, hvis routeren med højest
prio, går ned vil den når den er oppe igen overtage ac ve rollen. Track 1 er sat l forbindelsen l
PFsense firewallen, hvis den går ned decreases priority værdien med 20, og den anden CORE
switch overtager ac ve rollen.
IPhelper (DHCP)
Der konfigureres IP helper-address på klient vlan 10,20,30,40,50,60,70
adresserne sæ es l 192.168.100.101 (DC1) og 192.168.100.102 (DC2)
interface Vlan10
ip address 192.168.10.3 255.255.255.0
standby 10 ip 192.168.10.1
standby 10 preempt
no shutdown
interface Vlan20
ip address 192.168.20.3 255.255.255.0
standby 20 ip 192.168.20.1
standby 20 preempt
no shutdown
interface Vlan30
ip address 192.168.30.3 255.255.255.0
standby 30 ip 192.168.30.1
standby 30 preempt
no shutdown
interface Vlan40
ip address 192.168.40.3 255.255.255.0
standby 40 ip 192.168.40.1
Side 22 af 210
standby 40 preempt
no shutdown
interface Vlan50
ip address 192.168.50.3 255.255.255.0
standby 50 ip 192.168.50.1
standby 50 preempt
no shutdown
interface Vlan60
ip address 192.168.60.3 255.255.255.0
standby 60 ip 192.168.60.1
standby 60 preempt
no shutdown
interface Vlan70
ip address 192.168.70.3 255.255.255.0
standby 70 ip 192.168.70.1
standby 70 preempt
no shutdown
interface Vlan99
ip address 192.168.99.3 255.255.255.0
standby 99 ip 192.168.99.1
standby 99 preempt
no shutdown
interface Vlan100
ip address 192.168.100.3 255.255.255.0
standby 100 ip 192.168.100.1
standby 100 preempt
no shutdown
Side 23 af 210
interface Vlan101
ip address 192.168.101.3 255.255.255.0
standby 101 ip 192.168.101.1
standby 101 preempt
no shutdown
interface Vlan102
ip address 192.168.102.3 255.255.255.0
standby 102 ip 192.168.102.1
standby 102 preempt
no shutdown
TRACK
Der sæ es track på interface pegende imod FW-02 med følgende kommandoer
track 1 interface GigabitEthernet1/0/24 line-protocol

delay down 5
ETHERCHANNEL
no shutdown
no shutdown
no shutdown
no shutdown
Side 24 af 210
no shutdown
no shutdown
no shutdown
no shutdown
PORTCHANNEL
description --> TP-CORE-DLS-01
no shutdown
description --> TP-SRV-ALS-01
no shutdown
description --> TP-SRV-ALS-02
no shutdown
description --> TP-USR-ALS-01
Side 25 af 210
no shutdown
2.3.3 TP-DMZ-DLS-01
OSPF
5.5.5.5 Network statements i OSPF konfigureres. VLAN 200 gøres passive.
router ospf 1
router-id 5.5.5.5
passive-interface Vlan 200
network 172.16.1.0 0.0.0.3 area 1
network 192.168.200.0 0.0.0.255 area 1
HSRP
Hot standby router protocol (HSRP)konfigureres for at give en redundant gateway.
TP-DMZ-DLS-01 skal være Ac ve for VLAN 200 derfor ldeles priority 110. Preempt
kommandoen bruges for at sikre at, hvis routeren med højest prio, går ned vil den når den er
oppe igen overtage ac ve rollen. Track 1 er sat l forbindelsen l PFsense firewallen, hvis den
går ned decreases priority værdien med 20, og TP-DMZ-DLS-02 overtager ac ve rollen.
interface Vlan 200

ip address 192.168.200.2 255.255.255.0
standby 200 ip 192.168.200.1
standby 200 preempt
no shutdown
LAYER 3 INTERFACE
Sæ es på porten imod TP-FW-01 med følgende kommandoer
description TP-FW-01
no switchport
ip address 172.16.1.2 255.255.255.252
no shutdown
Side 26 af 210
ACCESS
Access porte l TP-DMZ-DLS-02 konfigureres med følgende kommandoer
description --> TP-DMZ-DLS-02
switchport mode access
switchport access vlan 200
no shutdown
TRUNK
Trunk porte l DMZ Servernes ESXI konfigureres med følgende kommandoer
interface range GigabitEthernet 1/0/17-24

switchport trunk allowed vlan 200
no shutdown
2.3.4 TP-DMZ-DLS-02
OSPF
6.6.6.6 Network statements i OSPF konfigureres. VLAN 200 gøres passive.
router ospf 1
router-id 6.6.6.6
passive-interface Vlan 200
network 172.16.1.4 0.0.0.3 area 1
network 192.168.200.0 0.0.0.255 area 1
HSRP
Hot standby router protocol (HSRP)konfigureres for at give en redundant gateway.Preempt
kommandoen bruges for at sikre at, hvis routeren med højest prio, går ned vil den når den er
oppe igen overtage ac ve rollen.
interface Vlan 200

ip address 192.168.200.3 255.255.255.0
standby 200 ip 192.168.200.1
standby 200 preempt
no shutdown
Side 27 af 210
LAYER 3 INTERFACE
Sæ es på porten imod TP-FW-02 med følgende kommandoer
description TP-FW-02
no switchport
ip address 172.16.1.6 255.255.255.252
no shutdown
ACCESS
Access porte l TP-DMZ-DLS-01 konfigureres med følgende kommandoer
description --> TP-DMZ-DLS-01
no shutdown
TRUNK
Trunk porte l DMZ Servernes ESXI konfigureres med følgende kommandoer
interface range GigabitEthernet 1/0/17-24

switchport trunk allowed vlan 200
no shutdown
2.3.1 TP-SRV-ALS-01
MANAGEMENT
Da denne switch kun kører layer 2, skal der sæ es en IP l brug l SSH, der gøres med
følgende kommandoer
interface Vlan99
description MGMT
ip address 192.168.99.4 255.255.255.0
no ip route-cache
no shutdown
exit
ip default-gateway 192.168.99.1
Side 28 af 210
ETHERCHANNEL
no shutdown
no shutdown
no shutdown
no shutdown
PORTCHANNEL
no shutdown
no shutdown
Side 29 af 210
ACCESS
Access porte l Servernes iLO konfigureres med følgende kommandoer
description --> TP-SRV-ESXI-01 iLO
no shutdown
no shutdown
no shutdown
no shutdown
TRUNK
Trunk porte l Servernes ESXI konfigureres med følgende kommandoer
description --> TP-ESXI-01
no shutdown
no shutdown
Side 30 af 210
no shutdown
no shutdown
no shutdown
no shutdown
no shutdown
no shutdown
Side 31 af 210
2.3.2 TP-SRV-ALS-02
MANAGEMENT
interface Vlan99
description MGMT
ip address 192.168.99.5 255.255.255.0
no ip route-cache
no shutdown
ETHERCHANNEL
no shutdown
no shutdown
no shutdown
no shutdown
PORTCHANNEL
Side 32 af 210
no shutdown
no shutdown
TRUNK
Trunk porte l Servernes ESXI konfigureres med følgende kommandoer
no shutdown
no shutdown
no shutdown
no shutdown
Side 33 af 210
no shutdown
no shutdown
no shutdown
no shutdown
2.3.3 TP-USR-ALS-01
MANAGEMENT
interface Vlan99
description MGMT
ip address 192.168.99.6 255.255.255.0
no ip route-cache
no shutdown
exit
ETHERCHANNEL
no shutdown
Side 34 af 210
no shutdown
no shutdown
no shutdown
PORTCHANNEL
no shutdown
no shutdown
ACCESS
Access porte l klient netværkene konfigureres med følgende kommandoer
interface range GigabitEthernet1/0/5-6

no shutdown

Side 35 af 210
no shutdown

no shutdown

no shutdown

no shutdown

no shutdown

no shutdown
Side 36 af 210
2.3 Firewall
2.3.1 So ware
PfSense version 2.4.5-p1 kan hentes fra linket: h ps://www.pfsense.org/download/
2.3.2 Installa on
Installa onen af PFsense vil blive gennemgået i de e punkt. Der installeres PfSense 2.4.5-p1
på begge firewalls (TP-FW-01 & TP-FW-02).
Første skridt er at lave en bootable USB, via programmer som f.eks. Rufus, med PfSense på.
Og når det er klaret, sæ es USB-nøglen i PC’en hvor firewallen skal installeres. Sørg for at
boote fra USB.
Tryk ”Accept”.
Side 37 af 210
Tryk ”OK” l Install PfSense.
Vælg ”Danish” og tryk enter ved ”>>> Con nue with dk.kbd keymap”
Tryk ”OK” l ”Auto (UFS) - Guided Disk Setup” og vælg dere er ”En re Disk”
Side 38 af 210
Tryk ”OK” l ”MBR – DOS Par ons”
Når installa onen er færdig, skal du trykke ”No” l at gå l shell, og dere er trykker du
”Reboot”.
Side 39 af 210
2.3.3 PfSense Setup Wizard
PfSense serveren kan nu lgås via browser på IP-adressen 192.168.1.1, som er default ved ny
installa on, og logge ind med default-brugeren:
Brugernavn: admin
Password: pfsense
Under menuen ”System”, trykkes der på ”Setup Wizard”. Udfyld nedenstående og tryk
”Next”.
Side 40 af 210
Udfyld/Vælg NTP server inds llingerne som nedenstående og tryk ”Next”.
Angiv IP-adresse, subnet mask og gateway for outside (WAN) interface.
TP-FW-01
Ip adresse: 94.18.194.96
Subnetmask: /26
Gateway: 94.18.194.65
TP-FW-02
Ip adresse: 94.18.194.97
Subnetmask: /26
Gateway: 94.18.194.65
Nedenstående er et eksempel hvor felter udfyldes / vælges på TP-FW-01.
Side 41 af 210
LAN IP-adressen skal forblive default ind l Setup Wizard er færdiggjort, da det er den adresse
GUI’en er lgået via. Tryk ”Next”.
Ændre admin passwordet l: Passw0rd! og tryk ”Next”.
Tryk ”Reload”.
Side 42 af 210
Tryk ”Finish” hvore er PfSense serveren er klar l yderligere konfigura on.
Side 43 af 210
2.3.4 Opsætning af Interfaces
Via menuen ”interfaces” -> ”Assignments” skal hvert interface enables, navngives og ldeles
dens IP. Se dokumentet bilag IP-Plan afsnit 13 side 21-22.
Side 44 af 210
2.3.5 HA-SYNC
Naviger l menuen ”System” -> ”High Avail. Sync”. Og udfyld følgende felter.
Bemærk, punkt 4, 5, 6 og 7 i billedet herunder, skal kun gøres kun på TP-FW-01 da denne skal
være masteren.
Eksemplet herunder er fra TP-FW-01. Bemærk at på opsætningen på TP-FW-02 er peer IP’en
172.16.0.1.
Side 45 af 210
E erfølgende sæ es der en firewall regel op på begge firewalls der llader trafik på de
interfaces. Tryk på ”Firewall” -> ”Rules” og tryk nu
Side 46 af 210
2.3.6 NAT/PAT
NAT konfigureres så det interne netværk kan lgå interne et.

Naviger l ”Firewall” -> ”NAT” -> ”Outbound”. Første skridt er at ændre Outbound NAT
Mode l ”Manual Outbound NAT”. Tryk dere er ”Save” hvore er der automa sk opre es
en række Mappings. Disse Mappings er de samme regler som Automa c outbound NAT
arbejder ud fra, men de e giver mulighed for manuelt at styre/re e i samtlige NAT regler /
Mappings.
Side 47 af 210
Tryk dere er for at lave en ny Mapping der lægger sig øverst i listen. Der vælges
følgende i denne Mapping:
Side 48 af 210
2.3.7 CARP
Der sæ es CARP op på WAN siden for at sikre redundans i lfælde af at der skulle ske noget
med den ene firewall. Det er kun nødvendigt at sæ e CARP op på TP-FW-01 da HA-Sync vil
sørge for at sende konfigura onen l TP-FW-02. Udover at CARP’en automa sk opre es på
TP-FW-02, så sæ er den også skew værdien l 100. De e gør at TP-FW-01 er master for
denne CARP da den har en lavere skew værdi.
Gå l menuen ”Firewall” -> ”Virtuel IP” -> ”Add”, og udfyld følgende:
Side 49 af 210
2.3.8 FRR OSPF
OSPF skal konfigureres på begge firewalls da HA Sync ikke replikerer de e. NAT reglen
opre et under NAT opsætningen i punkt 2.1.7 NAT, sikrer internetadgang l PfSense
serverne hvilket er nødvendigt for at kunne hente OSPF pakken ”frr version 0.6.7_6”.
OSPF Pakken kan hentes ved at gå l ”System” -> ”Package Manager”. Her søges der e er
pakken ”frr” og trykkes ”install”. Bekræ dere er at pakken er installeret via ”System” ->
”Package Manager” -> ”Installet Packages”.
Side 50 af 210
Gå l ”services” -> ”FRR OSPF” -> ”OSPF se ngs”. Her gøres følgende:
● Slå ”Enable OSPF Rou ng” l.

● Angiv Router-ID 1.1.1.1 på TP-FW-01 og 2.2.2.2 på TP-FW-02
● Angiv default area som 0.0.0.0 svarende l area 0.
● Slå ”Redistribute a Default route to neighbours” l.
Side 51 af 210
Næste skridt er at fortælle hvilke interfaces der skal deltage i OSPF rou ng. De e gøres via
menuen ”Services” -> ”FRR OSPF” -> ”OSPF Interfaces”.
Tryk ”Add” for at lføje et interface.

Bemærk at OpenVPN interfacet skal have sat flueben i boksen ”Interface is Passive” da der
hverken skal sendes eller modtages OSPF pakker fra de e interface.
Bemærk DMZ interfacet skal have 0.0.0.1 skrevet i “Area” feltet, så det bliver en del af area
1. Ved de andre interfaces der skal være en del af default area 0, kan man bare lade de e felt
være blankt.
Tilføj også interfacene DMZ, SYNC og OpenVPN.
Gå nu l menuen ”Services” -> ”FRR Global/Zebra”. Herfra sæ es der flueben i ”Enable

FRR” og der angives et master-password som vist på billedet herunder. De e ak verer OSPF.
Side 52 af 210
2.3.9 OpenVPN
OpenVPN skal kun konfigureres på TP-FW-01 da HA Sync vil sørge for at TP-FW-02 får samme
konfigura on.
Start ved at lgå menuen ”VPN” -> ”OpenVPN” -> ”Wizards”. Herfra sæ es Type of Server l
at være Local User Access.
Der laves et nyt Cer ficate Authority via ”Add new CA”. Nedenstående felter udfyldes
således:
Side 53 af 210
Dere er lføjes der et Server Cer ficate.
Konfigurerer nu selve server delen af OpenVPN. Vælg WAN interfacet og navngiv VPN’en i
descrip on: TP-VPN. Bemærk der bruges default port 1194.
Side 54 af 210
IPv4 Tunnel netværket er 10.10.10.0 /24. Det er de e netværk VPN klienterne bliver en del
af. Bemærk at under Local Network er de interne netværk blevet summarized l to /16.
Der vil blive konfigureret følgende DNS og NTP servere under Client Se ngs.
- DNS server 1: 192.168.100.101
- DNS server 2: 192.168.100.102
- NTP Server: 192.168.100.101
Side 55 af 210
I sidste fane skal der sæ es flueben i felterne ”Firewall Rule” og ”OpenVPN rule”, så
wizarden opre er de firewall regler der skal l for at trafik vedrørende VPN’en er lladt.
Side 56 af 210
Afslut wizarden ved at trykke ”Finish”.
Opret nu en NAT outbound mapping for at trafik fra VPN netværket kan lgå de interne
netværk via LAN1 interfacene.
De e gøres via menuen ”Firewall” -> ”NAT” -> ”Outbound”. Herfra trykkes der
For at ski e VPN’en l at bruge CARP adressen for WAN’et, gå l ”Firewall” -> ”Rules” ->
”WAN”. I WAN firewall reglen OpenVPN TP-VPN wizard ændres følgende:
Side 57 af 210
Og l sidst skal selve OpenVPN serveren sæ es l at bruge det virtuelle WAN-interface. Gå l
”VPN” -> ”OpenVPN” og lav følgende ændringer i tunnelen TP-VPN.
Side 58 af 210
2.3.10 Brugeropre else
Opret brugerne der skal kunne lgå netværket via VPN.

Gå l ”System” -> ”User Manager” -> ”Add”.
Der laves sam digt et cer fikat l brugeren under samme fane. Se punkt 4, 5 og 6.
Side 59 af 210
3. Fysisk Server Miljø

Kravspecifika on 3. Fysisk Server Miljø 21 l 21
Rapport 3. Fysisk Server Miljø 24 l 24
Testmanual 3. Fysisk Server Miljø 27 l 30
3.1 Nuls lling af Servere

3.1.1 Nuls lling af RAID
Ved opstart af HP Proliant DL380 Gen10 serverne tryk “F9” for at lgå “System U li es”,
vælg “System Configura on” -> “HPE Smart Array P408i-a SR Gen10” -> “Configure
Controller Se ngs” -> “Clear Configura on” -> “Delete All Array Configura ons” ->
“Submit”
3.1.2 Nuls lling af iLO

Gå l “System U li es”, “System Configura on” -> “iLO5 Configura on U lity” -> “Set to
factory defaults” -> “Yes” -> “Ok”
3.1.3 Opre else af Array’s

Gå l “System Configura on” -> “HPE Smart Array P408i-a SR Gen10” -> “Disk U li es” ->
“Array Configura on” -> “Create Array” -> Vælg en disk -> “Raid0” -> “Create Array” ->
“Submit“
3.1.4 Ski password for admin brugeren på iLO

Gå l “System Configura on” -> iLO5 Configura on U lity” -> “User Management“ ->
“admin” -> “Change Password” -> indtast “Passw0rd!” -> “Save”
3.1.5 iLO netværkskonfigura on

Gå l “System Configura on” -> iLO5 Configura on U lity” -> “Network Op ons” -> Sæt
“DHCP” l “OFF” Indtast værdier i felterne “IP Address”, “Subnet” og “Gateway” jf. Bilag
Side 60 af 210
4. Hypervisor og vCenter

Kravspecifika on 4. Hypervisor & vCenter 22 l 24
Rapport 4. Hypervisor & vCenter 24 l 26
Testmanual 4. Hypervisor & vCenter 33 l 35
4.1 Hypervisor
4.1.1 Installa on af ESXi
Hent nyeste VMware vSphere Hypervisor (ESXi ISO) & VMware vCenterServer Appliance fra
h ps://my.vmware.com/en/group/vmware/evalcenter?p=vsphere-eval-7
Hent Rufus 3.13 h ps://github.com/pbatard/rufus/releases/download/v3.13/rufus-3.13.exe

og formater 4 ESXi bootable USB-s k med GPT og minimum 1 GB kapacitet
here er indsæ es USB-s kket i nederste port på fronten af serveren. Start serveren og klik
F11 for at at komme ind i bootmenuen og vælg USB (UEFI) og here er starter installa onen.
Welcome to VMware ESXi 7.0.1 Installa on

Tryk (Enter) Con nue
End User License Agreement (EULA)

Tryk (F11) Accept and Con nue
Select a Disk to Installl or Upgrade

Marker USB (UEFI) og tryk (Enter) Con nue
Please select a keyboard layout

Marker Danish og tryk (Enter) Con nue
Enter a root password

Indtast Passw0rd! på begge linjer og tryk (Enter) Con nue
Confirm Install
Tryk (F11) Install
Installa on Complete
Tryk (Enter) Reboot
E er genstart skal der opsæ es Management Network

Tryk (F2) Customize System/View Logs
Authen ca on Required
Login Name: root
Side 61 af 210
Password: Passw0rd!
Gå ind I Configure Management Network

Tryk IPv4 Configura on
IPv4 Configura on
Sæt flueben i Set sta c IPv4 address and network configura on:
IPv4 Address: 192.168.100.10
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.100.1
Tryk (Enter) OK
IPv6 Configura on
Sæt flueben i Disable IPv6 (restart required)
Tryk (Enter) OK
DNS Configura on
Sæt flueben i Use the following DNS server addresses and hostname:
Primary DNS Server: 192.168.100.101
Alternate DNS Server: 192.168.100.102
Hostname: TP-SRV-ESXI-01
Tryk (Enter) OK
Custom DNS Suffixes

Suffixes: tecpedia.dk
Tryk (Enter) OK
Tryk Esc knappen
Configure Management Network: Confirm

Tryk (Y) Yes
Nu lkobles en fysisk Windows maskine l netværket og here er kan serverne lgås via
følgende adresser:
TP-SRV-ESXI-01: h ps://192.168.100.10/
TP-SRV-ESXI-02: h ps://192.168.100.20/
TP-DMZ-ESXI-03: h ps://192.168.100.30/
TP-DMZ-ESXI-04: h ps://192.168.100.40/
Username: root
Password: Passw0rd!
Side 62 af 210
4.2 vCenter
4.2.1 Install - Stage 1 Deploy vCenter Server
Hent iso filen “VMware-VCSA-all-7.0.1-17327517.iso” fra h ps://www.vmware.com/,
dobbelt klik på den for at åbne den og naviger l “vcsa-ui-installer\win32\installer.exe” og
åben exe-filen for at starte deployment.
Side 63 af 210
Tryk “Install”
Side 64 af 210
Tryk “NEXT”
Side 65 af 210
Sæt flueben i ”I accept the terms of the license agreement” & klik ”NEXT”
Side 66 af 210
Indtast informa oner som vist forneden
ESXi host or vCenter Server name: TP-SRV-ESXI-01.tecpedia.dk
HTTPS port: 443
Username: root
Password: Passw0rd!
Tryk “NEXT”
Side 67 af 210
Da der ikke er opsat en Cer ficate authority (CA) vises en advarsel. For at acceptere &
fortsæ e tryk “YES”
Side 68 af 210
VM name: TP-SRV-VCEN-01
Set root password: Passw0rd!
Confirm root password: Passw0rd!
Tryk ”NEXT”
Side 69 af 210
Der ldeles ressourcer l vCenter e er behov på under 100 VMs
Deployment size: Tiny
Storage size: Default
Tryk “NEXT”
Side 70 af 210
Tryk på “Install on a new vSAN cluster containing the target host” og indtast nedenstående
Datacenter Name: TECpedia Datacenter
Cluster Name: TECpedia Cluster
Tryk “NEXT”
Side 71 af 210
Diskene er som standard “Claim for capacity”, 7 af diskene forbliver som capacity, hvore er
der sæ es flueben i 1 disk, og der trykkes “Claim for cache”
Der sæ es flueben i “Enable Thin Disk Mode” for at spare plads
Tryk “NEXT”
Side 72 af 210
Network: VM Network
IP version: IPv4
IP assignment: sta c
FQDN: TP-SRV-VCEN-01.tecpedia.dk
IP address: 192.168.100.100
Subnet mask or prefix length: 255.255.255.0
Default gateway: 192.168.100.1
DNS servers: 172.16.0.5,192.168.100.101,192.168.100.102
HTTP: 80
HTTPS: 443
Tryk "NEXT”
Side 73 af 210
Tryk “FINISH”
Side 74 af 210
Tryk “CONTINUE” for at fortsæ e l Stage 2 som er setup af vCenter
Side 75 af 210
4.2.2 Install - Stage 2 Set Up vCenter Server
Tryk “NEXT”
Side 76 af 210
Time synchronize mode: Synchronize me with NTP server
NTP servers (comma-separated list): 0.dk.pool.ntp.org
SSH access: Enabled
Tryk "NEXT”
Side 77 af 210
Vælg “Create a new SSO domain” og indtast informa oner som vist forneden
Single Sign-On domain name: vsphere.local
Single Sign-On user name: administrator
Single Sign-On password: Passw0rd!
Confirm password: Passw0rd!
Tryk “NEXT”
Side 78 af 210
Fjern flueben i “Join the VMware’s Customer Experience Improvement Program (CEIP)” &
Tryk “NEXT”
Side 79 af 210
Tryk “FINISH”
Side 80 af 210
Tryk “OK”
Side 81 af 210
Da installa on kan tage noget d kan og sessionen kan løbe ud skal der logges ind igen med
Password “Passw0rd!” og here er trykkes “LOG IN”
Side 82 af 210
Tryk “h ps://TP-SRV-VCEN-01.TECPEDIA.DK:443” og tryk “CLOSE”
Side 83 af 210
Example@domain.local: administrator@vsphere.local
Password: Passw0rd!
Tryk “LOGIN”
Side 84 af 210
4.2.3 Cluster
4.2.3.1 lføjelse af 3 host l clusteret

Der navigeres l vCenter på ip-adressen “192.168.100.100”, her logges der ind med
Brugernavn: administrator@vsphere.local
Kode: Passw0rd!
I vCenter navigeres der l ”tp-srv-vcen.01.tecpedia.dk” -> “TECpedia Datacenter” ->

“TECpedia Cluster”
Her højreklikkes på ”TECpedia Cluster” og der vælges ”Add Hosts…”’
Side 85 af 210
Nu vil der være 3 step som der skal gennemgås.
I step 1 trykkes der på ”Use the name creden als for all hosts” dere er indtastes
oplysningerne på nedenstående billede, hvor pasword er “Passw0rd!”. Dere er trykkes
”ADD HOST”
Der vil prompte et vindue op hvor de 3 host kan ses, her vælges alle host og der trykkes ”OK”
og dere er trykkes ”NEXT”
Side 86 af 210
I næste step kan der ses en oversigt over de host som skal lføjes og der trykkes ”NEXT”
Her trykkes ”FINISH”
Side 87 af 210
Nu kan alle 3 host ses under “TECpedia Cluster”, serverne vil være i ”maintenance mode”.
Det ernes ved at der højreklikkes på hosten trykkes på “Maintenance Mode” og herunder
”Exit Maintenance Mode.
Side 88 af 210
4.2.4 DRS
Tryk på “TECpedia Cluster” -> “Configure” -> “vSphere DRS” -> “EDIT”
Tryk hvor der er markeret med et 1-tal forneden for at ak vere “vSphere DRS”
Automa on Level: Fully Automated
Sæt flueben i “Enable Virtual Machine Automa on”
Tryk “OK”
Side 89 af 210
4.2.5 HA vCenter
Tryk på “TECpedia Cluster” -> “Configure” -> “vSphere Availability” -> “EDIT”
Tryk hvor der er markeret med et 1-tal forneden for at ak vere “vSphere Availability”
Tryk hvor der er markeret med et 2-tal for at ak vere “Enable Host Monitoring”
Host Failure Response: Restart VMs
Tryk “OK”
Side 90 af 210
4.2.6 vSAN
4.2.4.1 lføjelse af de 3 sidste host l vsan
Nu skal alle 8 disk på de 3 andre server lføjes i VSAN. Der navigeres l ”TECpedia Cluster”
her vælges ”Configure” og der vælges ”Disk Management”, nu trykkes der på ”Claim Unused
Disk”.
”Recommend configura on” slåes fra og under “Claim for” vælges de første 7 diske på hver
af de 3 host l at være ”Capacity er” og den sidste disk på alle 3 hos vælges l at være
”Cache er”. Og der trykkes ”Create”.
Side 91 af 210
Når der er kørt igennem, kan der ses i statuslinjen nederst i vinduet at diskene er lføjet l
vSAN.
Side 92 af 210
4.2.7 Upload l vSAN Datastore
De e er et eksempel på upload af Windows Server 2019 iso fil
Der skal først opre es en mappe på vSAN Datastore med navnet “ISO”
Tryk “vsanDatastore”
Tryk “vsanDatastore”
Tryk “New Folder”
Enter a name for the new folder: ISO

Tryk “OK”
Tryk “Upload Folder”
Side 93 af 210
Naviger l iso-filen tryk på den & tryk “Åbn”
Den vil fejle første gang, da der ikke er opsat en cer ficate authority(CA), tryk blot på linket
h ps://tp-srv-esxi-03.tecpedia.dk og vent l at siden er indlæst og luk fanen igen, here er
gentages trin 3-4
Side 94 af 210
4.2.8 Templates
Højreklik på “TECpedia Cluster” og tryk på “New Virtual Machine”
Side 95 af 210
Tryk “Create a new virtual machine” & Tryk “NEXT”
Virtual machine name: Windows Server 2019 Datacenter

Tryk på “TECpedia Datacenter” & “NEXT”
Side 96 af 210
Tryk “TECpedia Cluster” & “NEXT”
Tryk på “vsanDatastore” & tryk “NEXT”
Side 97 af 210
Compa ble with: ESXI 7.0 U1 and later
Tryk “NEXT”
Guest OS Family: Windows

Guest OS Version: Microso Windows Server 2019 (64-bit)
Tryk “NEXT”
Side 98 af 210
CPU: 4
Memory: 16 GB
New Hard disk: 90 GB
New Network: VM Network
Sæt flueben i “Connect”
New CD/DVD Drive: Datastore ISO File
Der åbnes et nyt vindue, hvor der vælges iso-filen vi uploadede dligere
Sæt flueben i “Connect”
Tryk “NEXT”
Side 99 af 210
Tryk “FINISH”
Tryk på den opre e vm “Windows Server 2019 Datacenter” Tænd maskinen ved at trykke på
den grønne pil markeret ved 2-tallet
Side 100 af 210

4.2.9 Windows Server 2019 Datacenter Installa on
Language to install: English (United States)
Time and currency format: Danish (Denmark)
Keyboard or input method: Danish
Tryk “Next”
Side 101 af 210

Tryk (Install now)
Side 102 af 210

Tryk på “Windows Server 2019 Datacenter Evalua on (Desktop Experience)”
Tryk “Next”
Side 103 af 210

Sæt flueben i “I accept the license terms” & tryk “Next”
Side 104 af 210

Tryk “Custom: Install Windows only (advanced)”
Side 105 af 210

Tryk på “Drive 0 Unallocated Space” & tryk “Next”
Side 106 af 210

Password: Passw0rd!
Reenter password: Passw0rd!
Tryk “Finish”
Tryk på “Install VMware Tools”
Side 107 af 210

Tryk “MOUNT”
Åbn “This PC” & dobbeltklik på “DVD Drive (D:) VMware Tools”
Side 108 af 210

Tryk “Next”
Side 109 af 210

Tryk “Typical” & tryk på “Next”
Side 110 af 210

Tryk “Install”
Side 111 af 210

Tryk “Finish”
Tryk “Yes”
Side 112 af 210

Sæt hak i “Use the following IP address:” og indtast nedenstående
IP address: 192.168.100.111
Subnet mask: 255.255.255.0
Default gateway: 192.168.100.1
Sæt hak i “Use the following DNS server addresses:” og indtast nedenstående
Preferred DNS server: 8.8.8.8
Tryk “OK”
Side 113 af 210

Tjek for opdateringer ved klikke på “Check for updates”
Side 114 af 210

Sæt opdateringer på pause i 35 dage ved sæ e hak i “Temporarily pause updates from
being installed on this device for 35 days. When updates resume, this device will need to
get the latests updates before it can be paused again.”
Side 115 af 210

4.2.10 Ubuntu 18.04.5 LTS Installa on
Gentag Teknisk Dokumenta on punkt 4.2.8, trin 1-9 med følgende ændringer:
Trin 3
Virtual machine name: Ubuntu 18.04.5 LTS
Trin 7
Guest OS Family: Linux
Guest OS Version: Ubuntu Linux (64-bit)
Trin 8
CPU: 2
Memory: 4 GB
New Hard disk: 60 GB
Vælg “English” & tryk Enter
Side 116 af 210

Vælg nedenstående:
Layout: Danish
Variant: Danish
Vælg “Done” & tryk Enter
Side 117 af 210

Vælg “ens160”, vælg “Edit IPv4”, vælg “IPv4 Method”, vælg “Manual” & angiv følgende
Subnet: 192.168.100.0/24
Address: 192.168.100.112
Gateway: 192.168.100.1
Name: 172.16.0.5
Search domains: tecpedia.dk
Vælg “Save” & tryk Enter
Side 118 af 210

Side 119 af 210

Side 120 af 210

Vælg “Use an en re disk”, vælg “Done” & tryk Enter
Side 121 af 210

Side 122 af 210

Vælg “Con nue” & tryk Enter
Side 123 af 210

Indtast nedenstående
Your name: admin
Your server’s name: ubuntutemplate
Pick a username: administrator
Choose a password: Passw0rd!
Confirm your password: Passw0rd!
Side 124 af 210

Vælg “Install OpenSSH server”, vælg “Done” & tryk Enter
Side 125 af 210

Vælg “Reboot” & tryk Enter
Der logges ind på serveren med username “administrator” & password “Passw0rd!”,
here er køres nedenstående kommando for at opdatere templaten
sudo apt-get update && sudo apt-get upgrade -y
Side 126 af 210

4.2.11 Konverter opre ede vm l template
Højreklik på “Windows Server 2019 Datacenter”, i menuen “Template”, tryk på “Convert to

Template”
Side 127 af 210

Klik “YES”
Side 128 af 210

4.2.12 VM Customiza on Specifica on (Sysprep)
4.2.12.1 Windows Server 2019 Datacenter

Tryk på “Menu” og tryk på “Policies and Profiles”
Side 129 af 210

Tryk på “VM Customiza on Specifica ons” & tryk på “+ New…”
Indtast nedenstående:
VM Customiza on Specifica on
Name: Sysprep af Windows
Guest OS
Target Guest OS: Windows
Sæt hak i “Generate a new security iden ty (SID)”
Tryk “NEXT”
Side 130 af 210

Owner name: admin
Owner organiza on: tecpedia.dk
Tryk “NEXT”
Side 131 af 210

Sæt hak i “Use the virtual machine name” & tryk “NEXT”
Tryk “NEXT”
Side 132 af 210

Password: Passw0rd!
Confirm password: Passw0rd!
Sæt hak i “Automa cally logon as Administrator”
Number of mes to logon automa cally: 1
Tryk “NEXT”
Side 133 af 210

Vælg nedenstående
Timezone: (UTC+01:00) Brussels, Copenhagen, Madrid, Paris
Tryk “NEXT”
Tryk “NEXT”
Side 134 af 210

Tryk på “Manually select custom se ngs”, tryk på “NIC1” & “EDIT”
Tryk “Prompt the user for an IPv4 address when the specifica on is used” tryk “OK”
Side 135 af 210

Tryk “NEXT”
Tryk “NEXT”
Side 136 af 210

Tryk “FINISH”
Side 137 af 210

4.2.12.2 Ubuntu 18.04.5 LTS
Gentag punkt “4.2.12.1 Windows Server 2019 Datacenter, trin 1-2”
Name: Sysprep af Linux
Target guest OS: Linux
Tryk “NEXT”
Side 138 af 210

Tryk på “Use the virtual machine name”
Domain name: tecpedia.dk
Tryk “NEXT”
Side 139 af 210

Vælg nedenstående
Area: Europe
Loca on: Copenhagen
Hardware clock set to: UTC
Tryk “NEXT”
Side 140 af 210

Tryk “NEXT”
Tryk på “Manually select custom se ngs”, tryk på “NIC1” & tryk “EDIT”
Side 141 af 210

Vælg “Promt the user for an IPv4 address when the specifac on is used” & tryk “OK”
Tryk “NEXT”
Side 142 af 210

Primary DNS server: 192.168.100.101
Secondary DNS server: 192.168.100.102
Ter ary DNS server: 8.8.8.8
Tryk “NEXT”
Side 143 af 210

Tryk “FINISH”
Side 144 af 210

4.2.13 Deploy VM’s fra template
Højreklik på “TECpedia Cluster” & tryk på “New Virtual Machine...”
Side 145 af 210

Tryk “Deploy from template” & tryk “NEXT”
Tryk “Data Center”, tryk “Windows Server 2019 Datacenter” & tryk “NEXT”
Side 146 af 210

Virtual machine name: TP-SRV-DC-01
Tryk på “TECpedia Datacenter”
Tryk “NEXT”
Side 147 af 210

Tryk på “TECpedia Cluster”
Tryk “NEXT”
Tryk “vsanDatastore” & tryk “NEXT”
Side 148 af 210

Sæt flueben i “Customize the opera ng system” & tryk “NEXT”
Tryk på “Sysprep af Windows” & tryk “NEXT”
Side 149 af 210

IPv4 address: 192.168.100.101
IPv4 subnet mask: 255.255.255.0
IPv4 default gateway (op onal): 192.168.100.1
Tryk “NEXT”
Side 150 af 210

Tryk “Finish”
Side 151 af 210

4.2.14 vCenter Netværk
Netværksopsætning i vSphere.
Der skal sæ es netværk op i vCenter hvor netværks trafikken skal deles op i forskellige
retninger.
Der navigeres l netværksdelen af vCenter her højre klikkes der på ”TECpedia Datacenter”
og der trykkes på ”New Distributed Switch”
Her er 4 step som skal gennemgås. I step 1 skrives navnet l den første Distributed switch
Name: TP-DMZ-Dswitch
Der trykkes ”NEXT”
Side 152 af 210

I step 2 vælges
Specify a distributed switch version: 7.0.0 – ESXI 7.0 and later
Der trykkes ”NEXT”
Side 153 af 210

I step 3 vælges
Number of uplinks: 8
Network I/O Control: Enabled
Create a default port group: ern flueben.
Nu trykkes ”NEXT”
Side 154 af 210

I step 4 trykkes ”Finish”
Side 155 af 210

Der lføjes en Dswitch mere på samme måde, der ændres kun i step1 hvor navnet vil være
”TP-LAN-DSswitch” som vist på billedet herunder.
Nu skal der lføjes Distributed Port Group
Der højreklikkes på “TP-DMZ-DSwitch” og der trykkes “New Distributed Port Group”
Side 156 af 210

Der er 3 step som skal gennemgås
Step 1
Name: TP-DMZ-VLAN200-DPortGroup
Der trykkes “NEXT”
Side 157 af 210

I step 2 skrives oplysningerne i nedenstående billede og der trykkes “NEXT”
I step 3 kan der ses en overblik, her trykkes “FINISH”
Side 158 af 210

Der skal også laves port group l Distributed switchen TP-LAN-DSwitch. Denne skal laves på
samme måde hvor oplysningerne l dem er skrevet i skemaet herunder
name Port binding port alloca on number of port network resource pool vlan type vlan id
TP-LAN-VLAN100-DPortgroup Sta c binding Elas c 8 (default) VLAN 100
TP-MGMT-DPortgroup Ephemeral - no binding Elas c 8 (default) VLAN 100
TP-VMOTION-VLAN101-DPortgroup Sta c binding Elas c 8 (default) VLAN 101
TP-VSAN-VLAN102-DPortgroup Sta c binding Elas c 8 (default) VLAN 102
Der skal nu opre es VM kernel l TP-MGMT-DPortgroup, TP-VMOTION-VLAN101-DPortgroup

og TP-VSAN-VLAN101-DPortgroup.
Der navigeres l “TP-LAN-DSwitch” → Configure → Topology” her trykkes på de tre prikker

under “TP-MGMT-DPortgroup” som vist på billedet herunder, og der trykkes “Add VMkernel
adapter”
Side 159 af 210

Her er 4 step som skal gennemgås
I step 1 trykkes “A ached hosts”
Her vælges alle 4 host og der trykkes “OK” og “NEXT”
Side 160 af 210

I step 2 vælges “Management” og der trykkes “NEXT”
I step 3 vælges “Use Sta c IPv4 Se ngs” der lføjes oplysninger som står på billedet og
trykkes “NEXT”
Side 161 af 210

I step 4 trykkes “FINISH”
Side 162 af 210

Der skal opre es 3 VMkernel mere på samme måde, oplysningerne l dem står i skemaet
herunder
Portgroup available service ESXI1-ip ESXI2-ip ESXI3-ip ESXI4-ip Gateway
TP-MGMT-DPortGroup Management 192.168.200.10 192.168.200.20 192.168.200.30 192.168.200.40 192.168.200.1
TP-VMo on-VLAN101-DPortGroup VMOTION 192.168.101.10 192.168.101.20 192.168.101.30 192.168.101.40 192.168.101.1
TP-VSAN-VLAN102-DPortGroup VSAN 192.168.102.10 192.168.102.20 192.168.102.30 192.168.102.40 192.168.102.1
Nu skal det hele sæ es sammen,

Der skal på “TP-DMZ-DSwitch” højre klikkes og vælges “Add and Manage Hosts”
Her er 6 step.
I step 1 skal der vælges “Add hosts” og trykkes “NEXT”
Side 163 af 210

I step 2 skal der trykke “New hosts”
Her skal alle 4 host vælges og der trykkes “OK”
Side 164 af 210

Her kan alle host ses at de er blevet valgt, nu trykkes “NEXT”
I step 3 vælges følgende

vmnic 4 “Assign to uplink 5” og der trykkes “Apply this uplink …“
Side 165 af 210

I step 4 trykkes “NEXT”
Der skal på “TP-LAN-DSwitch” højre klikkes og vælges “Add and Manage Hosts”
Her er 6 step.
I step 1 skal der vælges “Add hosts” og trykkes “NEXT”
I step 2 skal der vælges host og trykkes “NEXT”
Side 166 af 210

I step 3 vælges følgende
vmnic 0 “Assign to uplink 1“ og der trykkes “Apply this uplink …“
Side 167 af 210

I step 4 skal følgende vmk assignes l portgroups
vmk0 → TP-MGMT-DPortgroup
vmk1 → TP-MGMT-DPortgroup
vmk2 → TP-VMOTION-VLAN101-DPortgroup
vmk3 → TP-VSAN-VLAN101-DPortgroup
Dere er trykkes “NEXT”

TP-LAN-DSwitch topologien vil se sådan ud:
Side 168 af 210

TP-DMZ-DSwitch switch topologien vil se sådan ud:
Side 169 af 210

5. Virtuelt Server Miljø
Kravspecifika on 5. Virtuelt Server Miljø 24 l 33
Rapport 5. Virtuelt Server Miljø 26 l 37
Testmanual 5. Virtuelt Server Miljø 35 l 64
Brugermanual 3. Virtuelt Server Miljø 7 til 14
5.1 Domain controllere

5.1.1 Domain Controller Promo on
Der installeres 2 virtuelle Windows Server 2019 Datacenter (Desktop Experience) som skal
være domain controller, TP-SRV-DC-01 og TP-SRV-DC-02.
5.1.1.1 Tilføj Role

Når de er installeres skal der på TP-SRV-DC-01 åbnes “Server Manager” og der trykkes på
“Manage” her trykkes på “Add Roles and Features”
Side 170 af 210

Her er 10 step som skal gennemgås
I step 1 trykkes “Next >”
Side 171 af 210

I step 2 vælges “Role-based or feature-based installa on” og trykkes “Next >”
Side 172 af 210

I step 3 under “Select a server from the server pool” vælges serveren “TP-SRV-DC-01” og der
trykkes “Next >”
Side 173 af 210

I step 4 vælges “Ac ve Directory Domain Service”, “DHCP Server” og “DNS Server” og der
Side 174 af 210

Side 175 af 210

Side 176 af 210

I step 9 vælges “Restart the des na on server automa cally if required” og der trykkes
“NEXT”
I sidste step kan man trykke close og serveren vil genstarte når den er færdig med at lføje
rollerne.
Side 177 af 210

5.1.1.2 Promote l Domain Controller
TP-SRV-DC-01
E er genstart skal serveren promotes l at være domain controller. Når serveren starter op
trykkes på det grå flag i server manager og der trykkes ”Promote this server to a domain
controller”
Side 178 af 210

Her er 8 step som skal gennemgås.
I step 1 vælges “Add a new forest” og der indtastes domain navne under “Root domain
name” og der trykkes “Next >”
Side 179 af 210

I step 2 indtastes password 2 gange som er “Passw0rd!” og der trykkes “Next >”
Side 180 af 210

I step 3 trykkes der “Next >”
Side 181 af 210

I step 4 vil TECPEDIA netbios navn kunne ses og der trykkes “Next >”
Side 182 af 210

I step 5 trykkes der “Next >”
Side 183 af 210

I step 6 kan der ses et overblik over hvad der er valgt og der trykkes “Next >”
Side 184 af 210

I step 7 trykkes der “Install” og dere er vil ændringerne installeres.
Når den er færdig vil et blåt vindue poppe og hvor der advares imod at serveren vil logge af,
der trykkes “Close” og serveren vil genstarte.
Side 185 af 210

TP-SRV-DC-02
Nu skal punkt 5.2.1.1 køres på samme måde på TP-SRV-DC-02 og punkt 5.2.1.1 skal køres på
TP-SRV-DC-02 med ændring i step 1 hvor der vælges “Add a doman controller to an exis ng
domain” istedet. Her trykkes på “Change” og der indtastes “administrator” og “Passw0rd!”
I step 4 vælges “TP-SRV-DC-01.tecpedia.dk” under “Replicate from” og der trykkes “Next >”
Side 186 af 210

5.1.2 AD
Opre et ved med 2 Powershell scripts jf.
5.1.3 DNS
Alt konfigura on sæ es op i TP-SRV-DC-01 og vil replikere l TP-SRV-DC-02 på TP-SRV-DC-01
under Server Manager trykkes på “Tools” fanen her vælges “DNS”
I ”DNS Manager” rulles ned for ”TP-SRV-DC-01” dere er højre klikkes der på ”Reverse
Lookup Zones” og vælges ”New Zone”
Side 187 af 210

I første vindue trykkes “Next ->”.
I næste vindue vælges “Primary zone” og trykkes “Next >”
I næste vindue vælges “To all DNS servers running on domain controillers in this domain:
tecpedia.dk” og trykkes “Next >”
Side 188 af 210

Her vælges ”IPv4 reverse lookup Zone” og trykkes “Next >”
I næste vindue indstastes det første netværk som skal lføjes l dns reverse zonen og der
Side 189 af 210

I næste skærm vælges “Allow only secure dynamic updates(recommended for Ac ve
Directory)” og der trykkes “Next >”
I sidste vindue trykkes “Finish”
Side 190 af 210

Det samme skal gøre for følgende netværks adresse:
192.168.200
192.168.100
192.168.101
192.168.102
192.168.99
Nu skal der opre es en forward lookup zone der højreklikkes på “Forward Lookup Zones” og
trykkes “New Zone...”
Side 191 af 210

I første vindue trykkes “Next ->”
I næste vindue vælges “Primary zone” og trykkes “Next >”
Side 192 af 210

I næste vindue vælges ”To all DNS servers running on domain controillers in this domain:
tecpedia.dk” og trykkes “Next >”
I næste vindue navngives zonen l “tecpedia.dk” og der trykkes “Next >”
Side 193 af 210

I næste vindue vælges “Allow only secure dynamic (recommended for Ac ve Directory)” og
der trykkes “Next >”
I sidste vindue trykkes “Finish”
Side 194 af 210

Zonen for forward er også opre et nu skal record opsæ es l de forskellige enheder det
gøres inde i den nye forward zone som der blev lavet.
Der højre klikkes på den nye Forward Lookup Zone “tecpedia.dk” og trykkes ”New Host (A or
AAAA)...”
Navn l record gives samt ip adressen l enheden som skal opre es, eksemplet fornededen
er for TP-SRV-VEEAM-01 serveren
Side 195 af 210

Det samme gøres for alle enheder i tabellen herunder:
navn ip adresse
TP-SRV-ESXI-01 192.168.100.10
TP-SRV-ESXI-02 192.168.100.20
TP-SRV-ESXI-03 192.168.100.30
TP-SRV-ESXI-04 192.168.100.40
TP-SRV-ESXI-01-iLO 192.168.99.10
TP-SRV-ESXI-02-iLO 192.168.99.20
TP-SRV-ESXI-03-iLO 192.168.99.30
TP-SRV-ESXI-04-iLO 192.168.99.40
TP-SRV-VCEN-01 192.168.100.100
TP-SRV-SYS-01 192.168.100.104
TP-SRV-SYS-02 192.168.100.105
TP-SRV-VEEAM-02 192.168.100.107
TP-SRV-FIL-01 192.168.100.108
TP-SRV-FIL-02 192.168.100.109
Side 196 af 210

TP-SRV-PRTG-01 192.168.100.110
TP-SRV-PRTG-02 192.168.100.111
TP-SRV-MAIL-01 192.168.100.112
TP-SRV-MAIL-02 192.168.100.113
TP-DMZ-MWIKI-01 192.168.200.102
TP-DMZ-MWIKI-02 192.168.200.103
TP-DMZ-EDGE-01 192.168.200.104
TP-DMZ-EDGE-02 192.168.200.105
TP-DMZ-DNS-01 192.168.200.107
TP-DMZ-DNS-02 192.168.200.108
TP-CORE-DLS-01 192.168.99.2
TP-CORE-DLS-02 192.168.99.3
TP-SRV-ALS-01 192.168.99.4
TP-SRV-ALS-02 192.168.99.5
TP-USR-ALS-01 192.168.99.6
TP-DMZ-DLS-01 192.168.200.2
TP-DMZ-DLS-02 192.168.200.3
Side 197 af 210

5.1.4 DHCP
På TP-SRV-DC-01 skal der opre es scope i DHCP som vil replikere l TP-SRV-DC-02.
DHCP sæ es op så TP-SRV-DC-01 står for 50% DHCP ldelingen og TP-SRV-DC-02 står for 50%
DHCP ldeling
På TP-SRV-DC-01 åbnes “Server Manager”, her trykkes på ”Tools” og der trykkes på “DHCP”
I DHCP manager højre klikkes på “IPv4” og der trykkes “New Scope...”
Side 198 af 210

I første vindue trykkes “Next >”
I næste vindue indtastes følgende

Scope name: VLAN 10
Descrip on: Direk on
Der trykkes “Next >”
Side 199 af 210

I næste vindue skrives
Start IP address: 192.168.10.100
End IP address: 192.168.10.200
Subnet mask: 255.255.255.0
I næste vindue trykkes “Next >”
Side 200 af 210

I næste vindue sæ es lease d for DHCP’en
Days: 7
Side 201 af 210

I næste vindue vælges “Yes, I want to configure these op ons now” og der trykkes “Next >”
Side 202 af 210

I næste vindue sæ es gateway l “192.168.10.1” og der trykkes “Add” dere er trykkes
“Next >”
I næste vindue finder den selv ud af DNS server der trykkes “Next >”
Side 203 af 210

I næste vindue trykkes “Next >”
I næste vindue vælges “Yes, I want to ac vate this scope now” og der trykkes “Next >”
Side 204 af 210

I sidste vindue trykkes “Finish” og scopet vil være klar, det samme skal gøres for de andre
afdelinger i systemet, oplysninger l dem står i tabellen herunder
afddeling navn descrip on start ip end ip subnet lease gateway
Personale VLAN 20 PERSONALE 192.168.20.100 192.168.20.200 255.255.255.0 7 days 192.168.20.1
Admin VLAN 30 ADMIN 192.168.30.100 192.168.30.200 255.255.255.0 7 day 192.168.30.1
Salg VLAN 40 SALG 192.168.40.100 192.168.40.200 255.255.255.0 7 day 192.168.40.1
Indkøb VLAN 50 INDKØB 192.168.50.100 192.168.50.200 255.255.255.0 7 day 192.168.50.1
Økonomi VLAN 60 ØKONOMI 192.168.60.100 192.168.60.200 255.255.255.0 7 day 192.168.60.1
IT VLAN 70 IT 192.168.70.100 192.168.70.200 255.255.255.0 7 day 192.168.70.1
Når det er gjort skal failover sæ es op, der højreklikkes på “IPv4” og trykkes “Configure
Failover...”
Side 205 af 210

I første vindue vælges “Select all” og der trykkes “Next >”
Side 206 af 210

I næste vindue skrives
Partner Server: TP-SRV-DC-02.tecpedia.dk
Side 207 af 210

I næste vindue sæ es under “Load balance percentage”
Local Server: 50 %
Partner Server: 50 %
Shared Secret: Passw0rd!
I sidste vindue trykkes “Finish”.
Side 208 af 210

5.1.5 GPO
Der skal opsæ es GPO’er l at blokere for adgang l visse funk oner, montere brugernes
personlige Home drive, montere afdelings drev og sæ e baggrundsbillede der er specifikt for
afdelingen.
5.1.5.1 disable CMD

Der åbnes for TP-SRV-DC-01 og der navigeres l “Server Manager” her trykkes på “Tools” og
“Group Policy Management”
Der højre klikkes på “tecpedia.dk” og trykkes på “Create a GPO in this domain, and link it
here…”
Side 209 af 210

GPO’en navgives “Disable cmd” og der trykkes “OK”
Der højreklikkes på den nyopre ede GPO og trykkes “Edit…”
Side 210 af 210

Der navigeres l “User Configura on” > “Policies” > “Administra ve Templates” > “System”
> “Prevent access to the command prompt”
Her sæ es GPO’en l “Enabled” og der vælges “Yes” ved “Disable the command prompt
script processing also?” og der trykkes “OK”
Side 211 af 211

Der højreklikkes på alle afdelinger på nær IT-afdeling og linkes l GPO’en.
Side 212 af 212

5.1.5.2 disable Powershell
På samme måde som “disable cmd” GPO’en opre es en GPO, her navngives GPO’en
“Disable powershell”. Følg nedenstående billede
Nu sæ es gpo’en på samtlige afdelinger med undtagelse IT-afdeling ligesom på “disable

cmd” gpo’en
5.1.5.3 Home folder
5.1.5.4 roaming profile
5.1.5.5 drive maps

På samme måde som “disable cmd” GPO’en opre es en GPO, her navngives GPO’en “Drive
Maps”. Følg nedenstående billede
Side 213 af 213

Følgende er et eksempel for afdelingen “Administra on”
Ac on: Update
Loca on: \\tecpedia.dk\Data\Administra on
Reconnect: Sæt flueben
Label as: Administra on
Drive: Use: J
Åbn fanen “Common”
Run in logged-on user’s security context (user policy op on): Sæt flueben
Item-level targe ng: Sæt flueben
Tryk på “Targe ng…”
Targe ng Editor
Tryk på “New Item”, vælg “Security Group”
Tryk på “...”, vælg “Administra on - G” og tryk “OK”
Tryk på “Apply” og tryk “OK”
5.1.5.6 Wallpaper
Side 214 af 214

5.1.6 NTP
Log ind på TP-SRV-DC-01
Bruger: Administrator
Password: Passw0rd!
Tryk “Windows Key + R”, skriv “regedit” og klik “OK”
Registry Editor
Naviger l
“Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Param
eters\Type” højreklik på “Type”, vælg “Modify”, indtast nedenstående og klik “OK”
Value data: NTP
Naviger l
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\Announce
Flags”, højreklik på “AnnounceFlags”, vælg “Modify”, indtast nedenstående og klik “OK”
Value data: 5
Naviger l
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\Nt
pServer”, højreklik på “Enabled”, vælg “Modify”, indtast nedenstående og klik “OK”
Value data: 1
Naviger l
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters”,
højreklik på “NtpServer”, vælg “Modify”, indtast nedenstående og klik “OK”
Value data: dk.pool.ntp.org,0x9
Åben kommandoprompt som administrator og indtast “net stop w32 me && net start
w32 me” for at genstarte Windows Time Service.
Side 215 af 215

5.2 Filservere
5.2.1 Tilføj en disk
Tryk på “TP-SRV-FIL-01” tryk på “ACTIONS” og tryk “Edit Se ngs”
Side 216 af 216

Tryk på “ADD NEW DEVICE” -> “Hard Disk”
Side 217 af 217

Tildel den nyes disk “1000 GB” og tryk “OK”
Naviger l “Server Manager” -> “File and Storage Services” -> “Volumes” -> “Disks”
Højreklik på disk med nummer 1 og tryk “New Volume”
Side 218 af 218

5
Side 219 af 219

6
Side 220 af 220

8
Side 221 af 221

9
Side 222 af 222

10
Side 223 af 223

11
Side 224 af 224

12
Side 225 af 225

13
Side 226 af 226

5.2.2 Installa on af DFS
1
Side 227 af 227

3
Side 228 af 228

5
Side 229 af 229

7
Side 230 af 230

5.2.3 Opre else af namespaces og mapper
1
Side 231 af 231

2
Side 232 af 232

3
Side 233 af 233

5
Side 234 af 234

7
Side 235 af 235

8
Side 236 af 236

9
Side 237 af 237

10
Side 238 af 238

11
Side 239 af 239

12
Side 240 af 240

13
Side 241 af 241

14
15
Side 242 af 242

16
Side 243 af 243

5.2.5 Replica on Group
1
Side 244 af 244

2
Side 245 af 245

3
Side 246 af 246

4
Side 247 af 247

5
Side 248 af 248

6
Side 249 af 249

7
Side 250 af 250

8
Side 251 af 251

9
Side 252 af 252

10
Side 253 af 253

11
Side 254 af 254

12
Side 255 af 255

13
Side 256 af 256

14
Side 257 af 257

15
Side 258 af 258

5.2.6 FSRM Quota
1
Side 259 af 259

2
Side 260 af 260

5
Side 261 af 261

7
Side 262 af 262

9
5.3 Backup Servere

5.3.1 Veeam Installa on
Veeam backup filen hentes fra veeam hjemmesiden
“h ps://www.veeam.com/downloads.html” og den uploades l vsan Datastore, det gøres
via vCenter, i vCenter trykkes på “Storage” dere er trykkes på “vsanDatastore” og på
mappen “ISO” her kan der trykkes “Upload files” og filen veeam kan uploades.
Når filen er uploaded skal den mountes på TP-SRV-VEEAM-01 og TP-SRV-VEEAM-02.
Side 263 af 263

Installa onen af VEEAM skal gøres på samme måde, for TP-SRV-VEEAM-01 og
TP-SRV-VEEAM-02.
Når VEEAM er mountet, åbnes serveren og der klikkes på “DVD Drive (D:) Veeam Backup
and Replica on” inde i “This PC” for at starte installa onen.
Side 264 af 264

Der trykkes “Install”
Licensbe ngelserne accepteres og der trykkes “Next >”
Side 265 af 265

Der uploades licens og trykkes “Next >”
Der vælges “Veeam Backup & Replica on” og trykkes “Next >”
Side 266 af 266

Der trykkes ”Install” de røde failed viser at der mangler nogle features som den selv vil
installere, det ser man bort fra.
Her kan ses at dem som var “Failed” er “Passed” nu, nu trykkes der ”Next >”
Side 267 af 267

Tryk ”Install” igen og installa onen startes.
5.3.2 Veeam Konfigura on

På TP-SRV-VEEAM-01 og på TP-SRV-VEEAM-02 skal der laves en repository på veeam
serveren først, som skal fortælle veeam serveren hvor alt backup skal sæ es på. ”Veeam
backup” åbnes der trykkes på ”Backup infrastructure” og der højreklikkes på ”Backup
Repositories” og trykkes ”Add backup repository”
Side 268 af 268

Her vælges ”Direct a ached storage” da backup skal lokaliseres på selve veeam serverne,
senere skal der konfigureres så den også sender et backup l et cloud lager.
Side 269 af 269

Her vælges ”Microso Windows” da veeam serverne er en af typen Windows Server.
Side 270 af 270

Der skrives navn l backuppen og trykkes ”Next >”
Side 271 af 271

Der trykkes ”populate” for at scanne e er drev, her vælges ”B” drevet da B drevet blev sat
op med 6tb plads under installa onen af serveren og derfor har den kapacitet som skal l for
at opbevare backups. dere er trykkes ”Next”
Side 272 af 272

Der tjekkes at loka onen er sat l ”B:\Backups” og at ”limit maximum ...” er sat l ”4” det vil
sørge for at der kun bliver taget 4 jobs af gangen for ikke at overbelaste veeam serverne ved
at backup alt på en gang. og der trykkes ”Next”.
Side 273 af 273

Næste side trykkes ”Next >”
Næste side trykkes ”Apply”
Side 274 af 274

Næste side trykkes ”Next >”
Summary tjekkes og der trykkes ”Finish”
Side 275 af 275

”Veeam Backup and Replica on 10” åbnes og der trykkes på server og dere er trykkes der
på ”ADD SERVER”
Side 276 af 276

Her vælges “vSphere” og der trykkes “Next >”
Side 277 af 277

Her skrives vCenter IP adressen “192.168.100.100” og der trykkes “Next >”
Side 278 af 278

Nu trykkes ”Add...” og der indtastes administrator brugeren for vCenter som er
”administrator@vsphere.local” samt koden som er ”Passw0rd!” og der trykkes ”OK”
e erfølgende trykkes ”Apply”
Der vil dukke en alarm op da vCenter ikke har installeret cer fikat. der trykkes “Con nue” da
vCenter er l at stole på.
Side 279 af 279

Der trykkes “Finish”
Nu trykkes på ”HOME” og dere er trykkes ”Backup Job” og ”Virtual machine...”
Side 280 af 280

Her skrives TP-SRV-VEEAM-01-JOB1 og trykkes “Next >”
Side 281 af 281

Her trykkes “Add” og samtlig servere vælges og der trykkes “Add” og der trykkes “Next >”
Side 282 af 282

Her vælges “Advanced” og der vælges “Ac ve full backup” om fredagen. Der vælges “Create
synthe c full backup periodically” og der vælges “Transfom previous backup chains into
rollbacks”, der trykkes “OK” og “Next >”
Side 283 af 283

Her vælges “Enable applica on-aware processing” og der trykkes “Next >”
Side 284 af 284

Run the job automa cally: Sæt flueben
Daily at this me: 23:00 Everyday
Retry failed items processing: 3 mes
Wait before each retry a empt: 10 minutes
Der trykkes “Finish”
TP-SRV-VEEAM-02 sæ es op på samme måde, når sidste step er færdig sæ es den l at være

“Disable” så den er klar l at sæ es l “enable” hvis TP-SRV-VEEAM-01 skulle have nedbrud
Side 285 af 285

5.4 PRTG Servere
PRTG skal installeres på 2x Windows 2019 servere, “TP-SRV-PRTG-01” (192.168.100.110) og

“TP-SRV-PRTG-02” (192.168.100.111)
PRTG hentes her: PRTG Download ᐅ Official Download - latest version (paessler.com)
Version 21
Build 21.1.65
PRTG 21 21.1.65
5.4.1 PRTG Installa on
Installa onsfilen køres, Tryk “RUN”. De e skal gøres på “TP-SRV-PRTG-01” og

“TP-SRV-PRTG-02”
“OK” på “TP-SRV-PRTG-01” og “TP-SRV-PRTG-02”
Side 286 af 286

“Next” på “TP-SRW-PRTG-01” og “TP-SRW-PRTG-02”
Indtast email adressen “prtg@tecpedia.dk”

Ansa e i IT-afdelingen vil modtage mails fra PRTG serverne på denne adresse.
Side 287 af 287

Installa onen færdiggøres på “TP-SRV-PRTG-01” og “TP-SRV-PRTG-02”
E er afslu et installa on, lgås web gui’en på den primære server ”TP-SRV-PRTG-01” på
navnet via h p i default browseren.
h ps://tp-srv-prtg-01.tecpedia.dk
Side 288 af 288

5.4.2 Password Ændring
Der logges ind med default creden als som er:
Login Name: prtgadmin
Password: prtgadmin
E er login, trykkes der på knappen som vist, for at ændre admin brugerens password
Der ændres passwordet og Login name for default brugeren ”admin”. Det nye password er
”Passw0rd!” for at overholde standarden for passwords.
Side 289 af 289

5.4.3 Monitorering
Der navigeres l ”System Administra on” -> ”Monitoring”
Side 290 af 290

Der navigeres l ”Setup” -> ”System Administra on” -> ”Core & Probes”
5.4.4 Konfigurering af SNMP Service

For at PRTG kan bruge SNMP sensorer på windows servere, skal windows serverne
konfigureres med SNMP service featuren. Følgende gøres på samtlige Windows Servere:
”Server Manager” åbnes
Der trykkes ”Manage” -> ”Add Roles and Features”
Side 291 af 291

Der trykkes ”NEXT” l ”Features” nås
Der lvælges ”SNMP Service”, e erfølgende trykkes der ”Next” -> ”Install”
E er installa onen, trykkes der fra skrivebordet på start ikonet, og dere er søges der på
”Services”. E erfølgende højreklikkes der og der trykkes ”Run as administrator”
Side 292 af 292

Der højreklikkes på servicen ”SNMP Service” og der trykkes ”Proper es”
Der navigeres l ”Security” tab’en
Under ”Accepted community names” lføjes ”public” som default community name for
PRTG, ved at trykke ”Add” og skrive under ”Community Name:”Public”. Der trykkes
e erfølgende ”Add”
Side 293 af 293

Der trykkes ”OK”
5.4.5 Tilføjelse af Netværk
Side 294 af 294

Under ”Cluster Probe” trykkes der ”Add Group”
Der opre es nu en ny gruppe ved navn ”tecpedia”
Side 295 af 295

Der fravælges at Windows Systems skal inherit creden als fra cluster proben. De e gøres
ved at klikke boksen fra, så den lyser gråt, og e erfølgende udfylder informa oner for den
service account der er opre et i ad’et l de e formål, som vist på næste billede.
Windows creden als sæ es l user: “administrator” og Password: “Passw0rd!”
Linux creden als sæ es l user: “administrator” og Password: “Passw0rd!”
Side 296 af 296

Med udgangspunkt i opre elsen af en ny gruppe, som vist over denne tekst, opre es der nu
følgende grupper, med undtagelse af inds llingen for Windows og Linux Systems Creden als,
som skal inherit fra gruppen ”tecpedia”, under den nyopre ede gruppe ”tecpedia” som vist
på næste billede.
Side 297 af 297

De forskellige devices skal nu implementeres i PRTG serveren, “TP-FW-01” bruges som
udgangspunkt.
Med udgangspunkt i ovenstående, opre es alle devices som vist i tabellen i ”Network”
gruppen
EDGE
TP-FW-01 172.16.0.5
TP-FW-02 172.16.0.9
CORE
TP-CORE-DLS-01 192.168.99.2
TP-CORE-DLS-02 192.168.99.3
TP-DMZ-DLS-01 192.168.200.2
TP-DMZ-DLS-02 192.168.200.3
ACCESS
TP-SRV-ALS-01 192.168.99.4
TP-SRV-ALS-02 192.168.99.5
TP-USR-ALS-01 192.168.99.6
Side 298 af 298

Side 299 af 299
Med udgangspunkt i ovenstående, opre es alle devices som vist i tabellen i ”Server”
gruppen
SRV
TP-SRV-VCEN-01 192.168.100.100
TP-SRV-DC-01 192.168.100.101
TP-SRV-DC-02 192.168.100.102
TP-SRV-SYS-01 192.168.100.104
TP-SRV-SYS-02 192.168.100.105
TP-SRV-VEEAM-01 192.168.100.106
TP-SRV-VEEAM-02 192.168.100.107
TP-SRV-FIL-01 192.168.100.108
TP-SRV-FIL-02 192.168.100.109
TP-SRV-PRTG-01 192.168.100.110
TP-SRV-PRTG-02 192.168.100.111
TP-SRV-MAIL-01 192.168.100.112
TP-SRV-MAIL-02 192.168.100.113
DMZ
TP-DMZ-MWIKI-01 192.168.200.102
TP-DMZ-MWIKI-02 192.168.200.103
TP-DMZ-EDGE-01 192.168.200.104
TP-DMZ-EDGE-02 192.168.200.105
TP-DMZ-DNS-01 192.168.200.107
TP-DMZ-DNS-02 192.168.200.108
Side 300 af 300

Side 301 af 301
Der højreklikkes på Devicet ”TP-FW-01” og der trykkes ”Add Sensor..”
Der søges på ordet ”ping” og der trykkes på boksen med tlen ”Ping”
Med udgangspunkt i ovenstående, opre es der følgende sensorer for samtlige devices i
grupperne
”Network”: Ping
”SRV”: Run Auto-Discovery
”DMZ”: Run Auto-Discovery
Side 302 af 302

5.4.6 PRTG Cluster
For at opre e PRTG clusteret, som giver high availability for overvågningssystemmet, åbnes
der fra serveren ””TP-SRV-PRTG-01”, ”PRTG Administra on Tool” fra start menu’en, som vist
i næste billede
Side 303 af 303

Der navigeres l tab’en ”Cluster”, og der trykkes på ”Create a Cluster”
Side 304 af 304

Der trykkes ”Save & Close”
”Cluster Access Key” kopieres l brug på den sekundære server ”TP-SRV-PRTG-02”
Service restartes
Side 305 af 305

Der navigeres nu l den sekundære server ”TP-SRV-PRTG-02” , og der åbnes ”PRTG
Administra on Tool” fra start menu’en, som vist i næste billede
Side 306 af 306

Der navigeres l tab’en ”Cluster”, og der trykkes på ”Join a Cluster”
Side 307 af 307

Der udfyldes navnet på den primære server i clusteret ”TP-SRV-PRTG-01.TECPEDIA.DK” og
der udfyldes cluster access key’en som blev kopieret dligere i denne dokumenta on. Der
trykkes ”Join”
Side 308 af 308

Fra de e punkt, foregår al konfigura on gennem web-gui for den primære server
”TP-SRV-PRTG-01” på addressen: h ps://tp-srv-prtg-01.tecpedia.dk
Der navigeres l ”Setup” -> ”System Administra on” -> ”Cluster”
Under den sekundære node, vælges der at node status skal være ”Ac ve” som vist på næste
billede. Der trykkes e erfølgende ”SAVE”
Side 309 af 309

Der navigeres l ”Setup” -> ”PRTG Status” -> ”Cluster status”
Her vises at clusteret er connected.
5.5 Exchange Servere

5.5.1 So ware
Der er installeret 2 virtuelle servere (TP-SRV-MAIL-01 & TP-SRV-MAIL-02) med Windows

Server 2019 Datacenter der skal kører Exchange Server 2019 Update 8. Der installeres
Mailbox rollen på begge disse servere, og de skal ligge i et DAG cluster sammen.
5.5.2 Exchange Prerequisites
Inden installa onen af Exchange server 2019 kan påbegynde, skal der installeres følgende
so ware på både TP-SRV-MAIL-01 og TP-SRV-MAIL-02, samt opre es trust l mail serverne
på TP-SRV-DC-01.
● Download og installer .Net Framework 4.8 De e kan hentes via linket:

h ps://dotnet.microso .com/download/dotnet-framework/net48
Side 310 af 310

● Download og installer Microso Unified Communica ons Managed API 4.0 De e kan
hentes via linket:
h ps://www.microso .com/en-us/download/details.aspx?id=34992
● Download og installer Visual C++ 2013 Redistributable Package De e kan hentes via
linket: h ps://www.microso .com/en-us/download/details.aspx?id=40784
● Kør Powershell som administrator og installer følgende tools via powershell

kommandoen:
Der skal nu opre es trust l mail serverne på TP-SRV-DC-01.

Åben “Ac ve Directory Domains and Trusts”. Højreklik here er på “Ac ve Directory
Domains and Trusts” og gå l “Proper es”.
Herfra indtastes følgende i feltet hvore er der trykkes “Add”. Tilføj også TP-SRV-MAIL-02.
Side 311 af 311

5.5.3 Exchange Server 2019 Installa on
Første skridt under installa onen af Exchange 2019 er at mounte Exchange Server 2019
installa ons-filen l de virtuelle mail servere TP-SRV-MAIL-01 & TP-SRV-MAIL-02.
De e gøres via vCenteret på følgende måde:
Højreklik på ”TP-SRV-MAIL-01” og tryk ”Edit Se ngs”.
Under punktet CD/DVD drive 1 vælges ”Datastore ISO File” hvore er Exchange Server 2019
ISO’en kobles l de e drev. Husk at sæ e flueben i feltet ”Connected”.
Næste skridt er at forberede Ac ve Directory på at Exchange Server 2019 installeres.

De e gøres på TP-SRV-MAIL-01 & TP-SRV-MAIL-02 ved at logge ind med domæne
administrator kontoen: Tecpedia.dk\administrator
Dere er åbnes Powershell som administrator og følgende kommando køres for at ændre
directory l D drevet hvor Exchange setup iso’en er koblet på.
Dere er indtastes følgende kommando:
Side 312 af 312

Installer nu Exchange Server 2016 via ISO’en lkny et CD/DVD drive1. Først lgå
TP-SRV-MAIL-01 & TP-SRV-MAIL-02 og åben CD/DVD drevet med ISO’en.
Kør here er:
1. Første vindue under installa onen er der mulighed for enten at søge online e er
update
eller ikke. Her vælges:
2. Andet vindue (Introduc on) trykkes der ”Next”.
3. I tredje vindue (License Agreement) skal Microso ’s License Agreement accepteres.
4. I erde vindue (Recommended Se ngs) vælges ”Use recommended se ngs”.
5. Femte vindue (Server Role Selec on) sæ es der flueben i både ”Mailbox role” og
”Automa cally install Windows Server roles and features that are required to install
Exchange Server”.
6. Sje e vindue (Installa on Space and Loca on) bruges default s en som
installa onss .
7. Syvende vindue (Malware Protec on Se ngs) trykkes der på ”No” for at beholde
malware protec on.
Side 313 af 313

8. Når Wizarden er færdig med at installere Exchange Server 2016, trykkes der ”Finish”.
5.5.4 Witness Server Setup
Der skal sæ es en witness server op, l de e formål bruges den eksisterende filserver
TP-SRV-FIL-01.
Første skridt er at sikre at filserveren har installeret fil server rollen i “Roles and Features”.
Når de e er bekræ et fortsæ es opsætningen herunder på TP-SRV-FIL-01.
Først skal witness serveren have re gheder l Exchange objekter.
Åben “Run” ved at søge e er det, og skriv “lusrmgr.msc” og afslut med “OK”.
Klik på “Groups” og dobbeltklik på “Administrators”.
Side 314 af 314

Klik på “Add” og søg e er Exchange. Vælg “Exchange Trusted Subsystem” og tryk “OK”.
Afslut ved at trykke “OK”.
Der skal nu opre es en mappe som skal bruges ved opre elsen af DAG clusteret senere.
Opret en mappe i roden af C:\ drevet. Opkald denne mappe “FileShareWitness”.
Side 315 af 315

Højreklik på mappen og gå ind i “Proper es”. Tryk på “Sharing” fanen, og dere er på
“Advanced Sharing”.
Sæt flueben i boksen “Share this folder” og afslut ved at trykke “OK”.
Side 316 af 316

5.5.5 DAG Cluster Opsætning
Log på TP-SRV-MAIL-01 og lgå Exchange webgui via URL’en: “h ps://tp-srv-mail-01/ecp”.

Her logges der ind med brugeren “tecpedia.dk\administrator”.
Tryk på “Servere” -> “Grupper for database lgængelighed”.

Tryk på “plus tegnet” for at opre e DAG clusterert.
Udfyld følgende felter og afslut med “Gem”.
Side 317 af 317

Tryk here er på server ikonet med et tandhjul (“Administrer DAG-medlemskab”) og
e erfølgende på “plus tegnet” for at lføje TP-SRV-MAIL-01 & TP-SRV-MAIL-02.
Når de e er gjort, afslut med “Gem”.
Dere er vil TP-SRV-MAIL-01 & TP-SRV-MAIL-02 blive sat op l at være en del af DAG01
clusteret.
Side 318 af 318

Næste skridt er at sæ e database kopier op af hver mail server.
Naviger l fanen “Databaser”. Tryk på den ene database og e erfølgende på de tre prikker
og tryk “Tilføj databasekopi”.
Tryk på “Gennemse” og marker TP-SRV-MAIL-02 og tryk “OK”, og afslut ved at trykke “Gem”.
Når den er færdig med at lave en kopi af TP-SRV-MAIL-02 databasen på TP-SRV-MAIL-01

databasen, skal det samme gøres for den anden database. Det vil sige der skal også laves en
kopi af TP-SRV-MAIL-01 databasen på TP-SRV-MAIL-02’s database.
5.5.6 Mail Størrelse
Der opsæ es værdier for hvor store mails må være både når de sendes og modtages.
De e gøres ved at lgå menuen ude l venstre kaldet “Mailflow” og dere er fanen
“Modtagelsesforbindelser”. Her trykkes der på de “3 prikker” -> “Inds llinger for
organisa onstransport”.
Vælg følgende værdier og afslut med at trykke “Gem”.
Side 319 af 319

5.5.7 Opsætning af Virtual Directories
Der konfigureres nu Virtual Directories som vil sikre at brugerne kan lgå webmailen via
h ps://mail.tecpedia.dk og web administra onen via h ps://mail.tecpedia.dk/ecp.
Tilgå Menuen “Servere” -> “Virtuelle mapper”. Herfra vælges “owa” og “ecp” sites for både
TP-SRV-MAIL-01 & TP-SRV-MAIL-02 hvore er de hver især sæ es op l at beny e de links
beskrevet. Herunder er et eksempel på opsætningen af “owa” på TP-SRV-MAIL-01. Afslut
med “Gem”.
Side 320 af 320

5.5.8 Mailboks Opre else
Brugerne hos TECpedia vil hver især få ldelt en postkasse.

De e gøres ved at gå l menuen “Modtagere” -> “plustegnet” -> “Brugerpostkasse”.
Tryk “Gennemse” for og vælg brugeren der skal opre es en mailboks l. Da brugeren er
opre et i AD’et tager Exchange oplysninger lkny et brugeren derfra. Se eksempel på
resultatet af opre elsen af brugeren Anders Larsen herunder.
5.5.9 Mailboks Størrelse
Standarden for størrelsen af mailboksene når de opre es, skal konfigureres. De e gøres via
Exchange ECP browser GUI’en. Tilgå ”Servere” -> ”Databaser”. Marker ”Mailbox Database
0916676386” og tryk på “Rediger” knappen. Til venstre vælges ”Grænser”. Her indtastes
følgende værdier ind:
Gentag de e trin for mailboks databasen 2101840688.
Side 321 af 321

5.5.10 Exchange Administrator Re gheder
Brugerne i IT afdelingen skal kunne administrer Exchange via ECP web gui. Så der gives
lladelse l at deres brugere kan logge ind på ECP’en.
Tilgå menuen “Tilladelser” og dobbeltklik på “Organiza on Management”.

Under punktet “Medlemmer” trykkes på “plustegnet”. Hvore er IT afdelingens brugere
markeres og der trykke “ lføj ->”. Afslut ved at trykke “OK” og dere er “Gem”.
5.5.11 Opsætning af Send Connectors
Der skal opre es 2 send connectors. De e gøres via Exchange ECP browser GUI’en. Første
skridt er at navigere l ”Mailflow” -> ”Afsenderforbindelser” og trykke på “plustegnet”.
Skriv i feltet navn “Partner”.
5.5.12 PRTG Distribu ons Gruppe
Der opre es en PRTG distribu onsgruppe hvor ansa e i IT-afdelingen vil modtage mails fra
PRTG serverne.
De e gøres ved at lgå menuen “Modtagere” -> “Grupper” og trykke på “Plustegnet”.

Indtast følgende og lføj medlemmer som vist på billedet herunder:
Side 322 af 322

5.5.13 Exchange Edge Servere Prerequisites
Der opsæ es 2 exchange servere i DMZ netværket (TP-DMZ-EDGE-01 & TP-DMZ-EDGE-02)

der skal sæ es op med rollen Edge.
De e betyder at den vil stå for at modtage mails udefra og aflevere dem l de interne
exchange mailboks servere TP-SRV-MAIL-01 & -TP-SRV-MAIL-02, og omvendt.
5.5.13.1 Exchange Edge Prerequisites
Ligesom de forrige mail servere skal disse Edge servere sæ es op med Exchange. De e
betyder at de prerequisites der var for TP-SRV-MAIL-01 & TP-SRV-MAIL-02 også gælder for
disse servere.
● Download og installer .Net Framework 4.8 De e kan hentes via linket:

h ps://dotnet.microso .com/download/dotnet-framework/net48
Side 323 af 323

● Download og installer Microso Unified Communica ons Managed API 4.0 De e kan
hentes via linket:
h ps://www.microso .com/en-us/download/details.aspx?id=34992
● Download og installer Visual C++ 2013 Redistributable Package De e kan hentes via
linket: h ps://www.microso .com/en-us/download/details.aspx?id=40784
● Kør Powershell som administrator og installer følgende tools via powershell

kommandoen:
Som det næste skal der sæ es et Primært DNS suffix l hver af EDGE serverne.
De e gøres ved at lgå “Explorer” og højreklikke på “This PC” -> “Proper es”.
Under menuen “Computer name, domain and workgroup se ngs” trykkes der på “Change
Se ngs”. Tryk nu på “Change” -> “More” og indtast “tecpedia.dk” på både
TP-DMZ-EDGE-01 og TP-DMZ-EDGE-02. Afslut med “OK”.
Der skal installeres AD LDS (Ac ve Directory Lightweight Directory Services) på begge edge
servere. De e gøres ved at skrive følgende kommando ind i Powershell:
Side 324 af 324

5.5.13.1 Exchange Edge Installa on
De e trin foregår på præcis samme måde som installa on af Exchange serverne i punkt
“5.6.3 Exchange Server 2019 Installa on”. Den eneste forskel af at rollen der skal vælges er
“Edge Transport Role”.
5.5.13.2 Edge Subscrip on
Der skal laves et forhold mellem mailboks serverne (TP-SRV-MAIL-01 & TP-SRV-MAIL-02) og
edge serverne (TP-DMZ-EDGE-01 & TP-DMZ-EDGE-02). De e gøres ved at exportere en fil
gereneret på Edge serverne over l Mailboks serverne.
For at kunne begynde processen, skal der installeres nogle værktøjer / cmdlets først.
Start med at skrive nedenstående kommando i Powershell:
Så skrives nedenstående kommando for at generere subscrip on xml filen som skal
importeres l serverne (TP-SRV-MAIL-01 & TP-SRV-MAIL-02) senere. Bemærk at samme
kommando skal laves på TP-DMZ-EDGE-02, med følgende fil navn “edge02.xml”.
Når filerner er generet på hver Edge server, skal de fly es l TP-SRV-MAIL-01. Brug gerne en
USB s ck l de e.
Når filen er fly et over på C drevet på TP-SRV-MAIL-01, skal følgende kommando køres fra
Exchange Management Shell for både “edge01.xml” filen samt “edge02.xml”:
E erfølgende skrives følgende kommando for at verificerer at Edge Synchroniza onen

virkede og alt kører som det skal:
Side 325 af 325

5.5.13.3 Edge Connectors
Da MX recordene (mx1.tecpedia.dk & mx2.tecpedia.dk) der peger på Edge serverne ikke

hedder det samme som selve edge servernes FQDN, skal deres receive connectors omdøbes.
Det gøres ved at skrive følgende kommandoer i Powershell (eksemplet herunder er lavet på
TP-DMZ-EDGE-02):
Side 326 af 326

5.6 Rsyslog
5.6.1 Rsyslog opsætning
Begge noder:
sudo nano /etc/rsyslog.conf
# provides UDP syslog recep on
module(load="imudp")
input(type="imudp" port="514")
# provides TCP syslog recep on

module(load="imtcp")
input(type="imtcp" port="514")
# Save logs in format: hostname/programName.log in specified folder

$template
remote-incoming-logs,"/var/rsyslogs/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs
sudo mkdir /var/rsyslogs
sudo chown syslog /var/rsyslogs
sudo apt-get install drbd-u ls -y
sudo nano /etc/hosts

192.168.100.104 tp-srv-sys-01
192.168.100.105 tp-srv-sys-02
5.6.2 DRBD
Begge noder:
Installer ntp
sudo apt-get install ntp -y
Opret en ny primary par on på disk 2
sudo fdisk /dev/sdb
n -> p -> 1 -> enter -> enter -> w
Overskriv disken
sudo dd if=/dev/zero of=/dev/sdb1 bs=1M oflag=direct status=progress
Side 327 af 327

Opret DRBD resourcen “r0” og lføj noderne her l
sudo nano /etc/drbd.conf
global { usage-count no; }
common { protocol C; }
resource r0 {
on tp-srv-sys-01 {
device /dev/drbd0;
disk /dev/sdb1;
address 192.168.100.104:7788;
meta-disk internal;
}
on tp-srv-sys-02 {
device /dev/drbd0;
disk /dev/sdb1;
address 192.168.100.105:7788;
meta-disk internal;
}
}
Indlæs DRBD kernel module

sudo modprobe drbd
sudo drbdadm create-md r0
sudo drbdadm up r0
sudo drbd-overview
sudo cat /proc/drbd
###################################
#Skal kun skrives på primary node#
###################################
sudo drbdadm -- --overwrite-data-of-peer primary r0/0
sudo watch cat /proc/drbd
sudo mkfs.ext4 /dev/drbd0

sudo mount /dev/drbd0 /var/rsyslogs
sudo nano /etc/corosync/corosync.conf
Side 328 af 328

totem {
version: 2
cluster_name: debian
secauth: off
transport:udpu
interface {
ringnumber: 0
bindnetaddr: 192.168.100.0
broadcast: yes
mcastport: 5405
}
}
nodelist {
node {
ring0_addr: 192.168.100.104
name: tp-srv-sys-01
nodeid: 1
}
node {
ring0_addr: 192.168.100.105
name: tp-srv-sys-02
nodeid: 2
}
}
quorum {
provider: corosync_votequorum
two_node: 1
wait_for_all: 1
last_man_standing: 1
auto_ e_breaker: 0
}
sudo systemctl restart corosync

sudo systemctl start pacemaker
sudo apt-get install crmsh -y

sudo crm status
Side 329 af 329

sudo crm configure
> property stonith-enabled=false
> property no-quorum-policy=ignore
> primi ve drbd_res ocf:linbit:drbd params drbd_resource=r0 op monitor interval=29s
role=Master op monitor interval=31s role=Slave
> ms drbd_master_slave drbd_res meta master-max=1 master-node-max=1 clone-max=2
clone-node-max=1 no fy=true
> primi ve fs_res ocf:heartbeat:Filesystem params device=/dev/drbd0
directory=/var/rsyslogs fstype=ext4
> coloca on fs_drbd_colo INFINITY: fs_res drbd_master_slave:Master
> order i_a er_drbd mandatory: drbd_master_slave:promote fs_res:start
> primi ve floa ng_ip ocf:heartbeat:IPaddr params ip=192.168.100.103 nic='ens160'
cidr_netmask='24' broadcast='192.168.100.255'
> coloca on ip_drbd_colo INFINITY: floa ng_ip drbd_master_slave:Master
> order ip_a er_drbd mandatory: drbd_master_slave:promote floa ng_ip:start
> commit
> show
> quit
5.6.3 Mout af share og replikering der l

#######
#BEGGE#
#######
sudo apt-get install cifs-u ls keyu ls -y
sudo nano /etc/win_creds
#######################
username=administrator
password=Passw0rd!
#######################
sudo chown root: /etc/win_creds
sudo chmod 600 /etc/win_creds
sudo nano /etc/fstab
###########################################################################
############
//tecpedia.dk/syslog /mnt/win_share cifs creden als=/etc/win_creds,x-systemd.automount
###########################################################################
############
sudo mkdir /mnt/win_share
Side 330 af 330

sudo mount -a
sudo apt-get install rsync -y
sudo nano /mnt/win_share/backup.sh
######################################
rsync -av /var/rsyslogs /mnt/win_share
######################################
sudo crontab -e
*/1 * * * * /bin/sh /mnt/win_share/backup.sh
5.6.4
5.6.5 Winlogbeat
For at Windows opera v systemmet kan forwarde sine systemlogs l en remote syslogserver,
kræves der en agent. Der installeres winlogbeat på samtlige Windows servere, som
konfigureres l at forwarde sine syslogs l Graylog serveren
Winglogbeat kan hentes fra: h ps://www.elas c.co/downloads/beats/winlogbeat

Versionen der bruges er: winlogbeat-7.10.2-windows-x86_64.zip
Der lgås, via en RPD forbindelse, serveren ”TP-SRV-VEEAM-01” og der downloades

winlogbeat. E erfølgende extractes .zip filen og mappen renames fra
”winlogbeat-7.9.2-windows-x86_64” l ”winlogbeat”.
Der redigeres i ”winlogbeat.yml” ved brug af notepad. ”winlogbeat.yml” ligger i den

extractede mappe og er konfigura onsfilen der indeholder parametrene for hvad winlogbeat
skal forwarde af logs og l hvem. I konfigura onsfilen ersta es parametrene under emnet
”Winlogbeat specific op ons” l at indeholde følgende parametere
winlogbeat.event_logs:
- name: Applica on
ignore_older: 72h
level: cri cal, error
Under emnet ”Logstash Output” ændre parameteren ”hosts” l at være følgende
hosts: ["192.168.100.103:5044"]
E erfølgende fly es ”winlogbeat” mappen l s en ”C:/Program Files” og der åbnes en
powershell konsol med administra ve re gheder.
Der indtastes følgende kommando i powershell konsolen for at navigere l winlog mappen
”C:\Program Files\winlogbeat”
cd ”C:\Program Files\winlogbeat”
Side 331 af 331

Der ændres execu onpolicy l Bypass for at llade at kunne køre scripts på systemmet
Set-Execu onPolicy -Execu onPolicy Bypass –Force
Der køres installa ons scriptet for winlogbeat, som følger med pakken
.\install-service-winlogbeat.ps1
Servicen startes
Start-service winlogbeat
Med udgangspunkt i de e emne, gøres det samme på samtlige windows servere
5.6.6 Linux
På samtlige linux maskiner udover TP-SRV-SYS-01 og TP-SRV-SYS-02 skal der gøres følgende
Der redigeres i konfigura onsfilen for rsyslog

sudo nano /etc/rsyslog.conf
Følgende linie lføjes i slutningen af filen for at forwarde authen ca on syslogs l

TP-SRV-SYS-01 og TP- SRV-SYS-02 serverne på port 514 UDP
auth,authpriv.* @192.168.100.103:514
Rsyslog servicen startes og enables for at sikre at servicen starter e er en reboot
sudo systemctl start rsyslog
sudo systemctl enable rsyslog
5.6.7 Cisco
På samtligt Cisco udstyr, køres følgende i configura ons terminalen, via en SSH forbindelse.
For at forwarde syslogs l TP-SRV-SYS-01 og TP-SRV-SYS-02 serverne. Der bruges VLAN99 som
source interface, da de e er management vlan’et og indeholder addresserne på udstyret
som forventes at se når en syslog besked modtages. Der vælges ”informa onal” er det level
som skal forwardes af events, da det ønskes alt skal forwardes l rsyslog serverne på cisco
udstyr
logging source-interface Vlan99

logging host 192.168.100.103
logging trap informa onal
Side 332 af 332

5.7 Mediawiki
Der installeres 2 virtuelle Ubuntu servere, TP-DMZ-MWIKI-01 og TP-DMZ-MWIKI-02. der vil
være beskrevet i hver step, hvilken server kommandoen skal køres på.
Der skal på begge server opdateres.
5.7.1 Apache
Der skal installeres apache2 på begge servere.
På begge servere skal der disabled Directory Lis ng af sikkerhedsmæssige årsager. Hvis
directory lis ng forbliver enabled, vises der en liste over filer og mapper, hvis der ikke findes
nogen directory indexes.
Apache 2 service genstartes på begge servere
Der enables apache2 servicen på begge servere for at sikre servicen startes e er reboot
5.7.2 MariaDB
Der installeres MariaDB på begge servere da Mediawiki data’en gemmes i sql databaser, og
der opsæ es master-master replikering imellem de 2 servere, for at opnå high-availability og
redundans.
Side 333 af 333

Der genstartes mariadb på begge servere.
Der enables på begge servere mariadb servicen for at sikre servicen startes e er reboot
På begge servere skal der ak veres prompten for en sikker installa on af sql serveren. Der
sæ es nyt root password, ernes test databaser og der ernes mulighed for root remote
login
enter current password for root (enter if none): tryk enter

Change the root password? [Y/n] Y
new password: Passw0rd!
Re-enter new password:Passw0rd!
Remove anonymous users [Y/n]Y
Disallow root login remotely? [Y/n]Y
Remove test database and access to it? [Y/n]Y
reload privilege tables now? [Y/n]Y
mariadb servicen genstartes på begge servere, for at ændringerne kan træde i kra
For begge server skal der redigeres i mariadb server konfig filen, hvori der defineres
bind-address for at allowe inbound connec ons, som er nødvendigt for replikering mellem
serverne, server-id, som er unikt, og loka on for hvor index og log filer skal placeres.
For TP-DMZ-MWIKI-01:
Side 334 af 334

For TP-DMZ-MWIKI-02:
mariadb servicen genstartes på begge servere, for at ændringerne kan træde i kra
På begge servere logges der ind på database serveren
På begge servere skal der opre es en bruger som bruges l replikering imellem serverne,
samt adgang l Mediawiki databasen.
På begge server skal der stoppes for slave funk onen imens replika on imellem serverne
konfigureres
På begge servere skal der bruges output fra følgende kommando l konfigurering af
replikering
TP-DMZ-MWIKI-01
TP-DMZ-MWIKI-01
Side 335 af 335

På TP-DMZ-MWIKI-01 skal master sæ es l TP-DMZ-MWIKI-02 med ovenstående
informa oner og ip adressen l TP-DMZ-MWIKI-02.
På TP-DMZ-MWIKI-02 skal master sæ es l TP-DMZ-MWIKI-01 med ovenstående

informa oner og ip adressen l TP-DMZ-MWIKI-01.
På begge servere startes slave funk onen igen.
På TP-DMZ-WMIKI-01 skal der opre es en database der bruges l mediawiki dataen og der
gives adgang, l brugeren der bruges l replikering mellem serverne, l databasen.
På begge servere køres kommandoen :
5.7.3 PHP
Mediawiki kræver PHP og PHP relaterede moduler, så der installeres de nødvendige moduler
på begge server køres kommandoen:
5.7.4 Mediawiki Site

På begge server skal der navigeres l /tmp mappen og der downloades sidste stable version
af mediawiki open source
På begge servere skal der udpakkes den downloaded fil som er komprimeret
På begge servere skal der opre es en mappe l website data delen af mediawiki
På begge servere skal de udpakkede filer fly es l mappen der skal indeholde website data
delen af mediawiki
Side 336 af 336

På begge servere skal der ændres ownership på alt i mappen /var/www/html, inklusiv
mappen selv, l www-data brugeren som er en default bruger der installeres automa sk
gennem apache2 installa onen, l brug af opera ons
På begge servere skal der gives read+write+execute l owner, og der gives read+execute l
group og other på alt i mappen /var/www/html/, inklusiv mappen selv, for at sikre kun
owner kan ændre på filerne
På begge servere skal der opre es en konfigura onsfil for mediawiki sitet, hvori der
defineres hvor DocumentRoot er, som er folderen med mediawiki dataen for apache2, og
hvor logs skal opbevares
På begge servere skal der indsæ es følgende i filen, og e erfølgende gemmes og lukkes filen
På begge servere skal der ak veres mediawiki sitet
På begge servere skal der deak veres default sitet for apache2 for at undgå at have flere
sites kørende sidelæns
På begge servere skal der genstartes apache2 servicen for ændringerne lavet, træder i kra
Side 337 af 337

Der lgås nu sitet på den primære server ”TP-DMZ-MWIKI-01.tecpedia.dk” via en web
browser.
der trykkes på linket “set up the wiki”
Der indtastes følgende oplysninger og der trykkes e erfølgende ”Con nue”
Side 338 af 338

Installa onen køres færdig.
Der er nu opre et en .php fil med konfigura onerne for sitet defineret i sig, som downloades
lokalt. Der trykkes på ”Download”. Filen ”LocalSe ngs.php” åbnes lokalt med notepad, og
kopieres ind i ”LocalSe ngs.php” filen på begge servere, ved brug af ”sudo nano
/var/www/html/mediawiki/LocalSe ngs.php” kommandoen, for at sørge for begge
instanser kører med samme konfigura oner
E erfølgendepå begge servere redigeres filen LocalSe ngs.php og feltet $wgServer ændres
for mediawiki’en kan svare på forespørgsler på andre navne end sit eget hostnavn, hvilket er
nødvendigt når sitet skal lgås udefra.
Side 339 af 339

5.7.5 Corosync
på begge server skal der installeres pacemaker pakken, da corosync er en dependency for
pacemaker, og pacemaker også bruges. Corosync l at serverne kan kommunikere som et
cluster.
på begge server skal der ændres i konfigura ons filen for corosync servicen for at sikre
servicen start e er en reboot
på begge server skal der lføjes i slutningen af filen følgende linie
Corosync servicen startes på begge servere
5.7.6 Pacemaker
Corosync er dependency for pacemaker, derfor enables pacemaker servicen ved
at sæ e prioriteten l 20, hvilket er højere end corosyncs prioritet som er 19,
hvilket betyder at corosync starter før pacemaker, som ønsket
på begge servere skal der ændres password for brugeren ”hacluster” som opre es gennem
installa onen for pacemaker
New password : Passw0rd!

Retype new password: Passw0rd!
på begge servere skal der startes servicen pcsd som er daemon servicen for pacemaker
Begge servere autoriseres, for at kunne opre e et cluster med dem de e gøres på
TP-DMZ-MWIKI-01
Side 340 af 340

Teknisk Dokumentation

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Teknisk Dokumentation

Uploaded by

Copyright:

Available Formats

Indholdsfortegnelse

3. Fysisk Server Miljø 60

5. Virtuelt Server Miljø 170

1.2.1 Dokument Punkter

Den tekniske dokumenta on er inddelt i 5 hovedpunkter.

Henvisning Afsnit & Overskri Side

1.2.2 Tekst Standarder

Navn Skri type Typograﬁ Størrelse Farve

Normal tekst Calibri ingen 12 pkt. Sort

Titel Calibri Fed 38 pkt. Dark Blue 3

Overskri 1 Calibri Fed 24 pkt. Dark Blue 2

Overskri 2 Calibri Fed 18 pkt. Dark Blue 1

Overskri 3 Calibri Fed 14 pkt. Light Blue 1

Overskri 4 Calibri Fed 12 pkt. Light Blue 2

2.1 Nuls lling af 3650 switche

● Hold mode knappen 1 inde, på forsiden af switchen, og sæt strøm l.

● Skriv følgende kommandoer:

● Skriv no l ini al conﬁgura on dialog.

● Skriv følgende kommandoer:

● Reload switchen: reload

● Skriv følgende kommandoer:

Først række er kommandoen, og anden er funk onen

TP-CORE-DLS-01(config)# banner Konﬁgurerer Message-Of-The-Day, som bliver

2.2.4 Service Encryp on

TP-CORE-DLS-01(config)# service Der kan ikke ses password i

TP-CORE-DLS-01(config)# crypto Genererer en public og private key der bruges

TP-CORE-DLS-01(config)#ip ssh SSH 2 enables, da det bruger en mere forbedret

2.2.6 Spanning Tree

Transparent mode synkroniserer ikke VLAN

2.2.8.1 VLAN tabel

VLAN Navn Konfigureret på

vlan 666 Blackhole Samtlige

vlan 999 Na ve Samtlige

TP-CORE-DLS-01(config)# clock Deﬁnerer sommer d

TP-CORE-DLS-01(config)# logging Deﬁnerer IP adressen l vores SYSLOG server

TP-CORE-DLS-01(config)# logging Speciﬁcerer source interfacet. Giver bedre

TP-CORE-DLS-01(config)#logging Sæ er logging niveauet l level 4 warning

Tillader alle kendte Vlan at blive trunket, men

2.2.12 Access Porte

Porten bliver access port, kan nu kun

2.2.13 Ubrugte Porte

TP-CORE-DLS-01(config)#switchpo Port-security hjælper med at sikre netværket,

TP-CORE-DLS-01(config)#switchpo Lærer MAC adressen fra de enheder der er

TP-CORE-DLS-01(config)#switchpo Porten bliver access port, kan nu kun

TP-CORE-DLS-01(config)#switchpo Deﬁnerer hvilket VLAN der er access l her

TP-CORE-DLS-01(config)# Lukker alle ubrugte porte ned

network 172.16.0.4 0.0.0.3 area 0

track 1 interface GigabitEthernet2/0/24 line-protocol

network 172.16.0.8 0.0.0.3 area 0

track 1 interface GigabitEthernet1/0/24 line-protocol

interface Vlan 200

interface range GigabitEthernet 1/0/17-24

interface Vlan 200

interface range GigabitEthernet 1/0/17-24

interface range GigabitEthernet1/0/5-6

interface range GigabitEthernet1/0/7-8

interface range GigabitEthernet1/0/9-10

interface range GigabitEthernet1/0/11-12

interface range GigabitEthernet1/0/13-14

interface range GigabitEthernet1/0/15-16

interface range GigabitEthernet1/0/17-18

PfSense version 2.4.5-p1 kan hentes fra linket: h ps://www.pfsense.org/download/

Angiv IP-adresse, subnet mask og gateway for outside (WAN) interface.