Professional Documents
Culture Documents
Teknisk Dokumentation
Teknisk Dokumentation
Indholdsfortegnelse 2
1. Indledning 6
1.1 Formål 6
1.2 Læsevejledning 6
1.2.1 Dokument Punkter 6
1.2.2 Tekst Standarder 7
1.3 Bemærkninger 7
2. Netværk 8
2.1 Nuls lling af 3650 switche 8
2.2 Basic Konfigura on 9
2.2.1 Hostnavne 9
2.2.2 No IP Domain-Lookup 9
2.2.3 Banner 9
2.2.4 Service Encryp on 9
2.2.5 SSH 10
2.2.6 Spanning Tree 10
2.2.7 VTP 10
2.2.8 VLAN 11
2.2.8.1 VLAN tabel 11
2.2.9 NTP 13
2.2.10 Logging 13
2.2.11 Trunk Porte 14
2.2.12 Access Porte 14
2.2.13 Ubrugte Porte 14
2.3 Specifik Konfigura on 16
2.3.1 TP-CORE-DLS-01 16
2.3.2 TP-CORE-DLS-02 21
2.3.3 TP-DMZ-DLS-01 26
2.3.4 TP-DMZ-DLS-02 27
2.3.1 TP-SRV-ALS-01 28
2.3.2 TP-SRV-ALS-02 32
2.3.3 TP-USR-ALS-01 34
2.3 Firewall 37
2.3.1 So ware 37
2.3.2 Installa on 37
2.3.3 PfSense Setup Wizard 40
Side 2 af 210
2.3.4 Opsætning af Interfaces 44
2.3.5 HA-SYNC 45
2.3.6 NAT/PAT 47
2.3.7 CARP 49
2.3.8 FRR OSPF 50
2.3.9 OpenVPN 53
2.3.10 Brugeropre else 59
4. Hypervisor og vCenter 61
4.1 Hypervisor 61
4.1.1 Installa on af ESXi 61
4.2 vCenter 63
4.2.1 Install - Stage 1 Deploy vCenter Server 63
4.2.2 Install - Stage 2 Set Up vCenter Server 76
4.2.3 Cluster 85
4.2.3.1 lføjelse af 3 host l clusteret 85
4.2.4 DRS 89
4.2.5 HA vCenter 90
4.2.6 vSAN 91
4.2.4.1 lføjelse af de 3 sidste host l vsan 91
4.2.7 Upload l vSAN Datastore 93
4.2.8 Templates 95
4.2.9 Windows Server 2019 Datacenter Installa on 101
4.2.10 Ubuntu 18.04.5 LTS Installa on 116
4.2.11 Konverter opre ede vm l template 127
4.2.12 VM Customiza on Specifica on (Sysprep) 129
4.2.12.1 Windows Server 2019 Datacenter 129
4.2.12.2 Ubuntu 18.04.5 LTS 138
4.2.13 Deploy VM’s fra template 145
4.2.14 vCenter Netværk 152
Side 3 af 210
5.1.1 Domain Controller Promo on 170
5.1.1.1 Tilføj Role 170
5.1.1.2 Promote l Domain Controller 178
5.1.2 AD 186
5.1.3 DNS 187
5.1.4 DHCP 197
5.1.5 GPO 208
5.1.5.1 disable CMD 209
5.1.5.2 disable Powershell 213
5.1.5.3 Home folder 213
5.1.5.4 roaming profile 213
5.1.5.5 drive maps 213
5.1.5.6 Wallpaper 214
5.1.6 NTP 214
5.2 Filservere 216
5.2.1 Tilføj en disk 216
5.2.2 Installa on af DFS 227
5.2.3 Opre else af namespaces og mapper 231
5.2.5 Replica on Group 244
5.2.6 FSRM Quota 259
5.3 Backup Servere 263
5.3.1 Veeam Installa on 263
5.3.2 Veeam Konfigura on 268
5.4 PRTG Servere 286
PRTG 21 286
5.4.1 PRTG Installa on 286
5.4.2 Password Ændring 289
5.4.3 Monitorering 290
5.4.4 Konfigurering af SNMP Service 291
5.4.5 Tilføjelse af Netværk 294
5.4.6 PRTG Cluster 303
5.5 Exchange Servere 310
5.5.1 So ware 310
5.5.2 Exchange Prerequisites 310
5.5.3 Exchange Server 2019 Installa on 312
5.5.4 Witness Server Setup 314
5.5.5 DAG Cluster Opsætning 317
5.5.6 Mail Størrelse 319
5.5.7 Opsætning af Virtual Directories 320
Side 4 af 210
5.5.8 Mailboks Opre else 321
5.5.9 Mailboks Størrelse 321
5.5.10 Exchange Administrator Re gheder 322
5.5.11 Opsætning af Send Connectors 322
5.5.12 PRTG Distribu ons Gruppe 322
5.5.13 Exchange Edge Servere Prerequisites 323
5.5.13.1 Exchange Edge Prerequisites 323
5.5.13.1 Exchange Edge Installa on 325
5.5.13.2 Edge Subscrip on 325
5.5.13.3 Edge Connectors 326
5.6 Rsyslog 327
5.6.1 Rsyslog opsætning 327
5.6.2 DRBD 327
5.6.3 Mout af share og replikering der l 330
5.6.4 331
5.6.5 Winlogbeat 331
5.6.6 Linux 332
5.6.7 Cisco 332
5.7 Mediawiki 333
5.7.1 Apache 333
5.7.2 MariaDB 333
5.7.3 PHP 336
5.7.4 Mediawiki Site 336
5.7.5 Corosync 339
5.7.6 Pacemaker 340
Side 5 af 210
1. Indledning
Henvisning Afsnit & Overskri Side
Kravspecifika on 1. Indledning 5 l 12
Rapport 1. Indledning 4 l 10
Testmanual 1. Indledning 4 l5
Brugermanual 1. Indledning 3 l4
1.1 Formål
De e dokument har l formål at vise hvordan alt hardware og so ware er nuls llet sat op og
konfigureret i hele projektet i detaljerede træk, med tekst og billeder. Dokumentet er
udarbejdet undervejs så der er blevet taget skærmbilleder af alle konfigura onerne under
hele processen, og med tekst som forklaring l hvert enkelt billede.
1.2 Læsevejledning
Læsevejledningen har l formål at beskrive hvordan den tekniske dokumenta on skal læses.
Der vil forekomme akronymer, hvilkets betydning er l at finde i dokumentet bilag afsnit 2
side 6-9.
● Indledning
Indeholder formålet med dokumentet, samt en læsevejledning om hvordan
dokumentet skal læses og forstås og de tekst standarder der er beny et.
● Netværk
Indeholder proceduren for nuls lling af netværksudstyr samt teknisk
dokumenta on af opsætningen af netværksenheder og firewalls.
● Fysisk Server Miljø
Indeholder proceduren for nuls lling af de fysiske servere.
● Hypervisor & vCenter
Indeholder teknisk dokumenta on for opsætningen af ESXi, vCenter, vSAN
med mere.
● Virtuelt Server Miljø
Indeholder teknisk dokumenta on for opsætningen af virtuelle servere,
blandt andet domain controllere, fil servere, backup servere.
Der vil for hvert hovedpunkt punkt være ét punkt der optræder flere gange:
Side 6 af 210
● Henvisninger vil være l at finde under hver hovedoverskri det går igen i
flere af dokumenterne, som eksempelvis indledningen. De vil referere l
samme emne i de øvrige dokumenter. Se eksemplet herunder:
Skri typer:
Krav l alle skri størrelserne samt skri type er defineret i diagrammet herunder.
Bemærk at farverne beny et, er ud fra Google Docs standard, farvernes navne kan
variere i andre tekstredigeringsprogrammer.
1.3 Bemærkninger
Der er i denne løsning, brugt ét enkelt password (Passw0rd!) for nemhedens skyld. Der
bruges trial licenser, som vil udløbe e er projektet slu er. Havde det været en samlet løsning
som skulle bruges i produk on, ville de passwords som bruges være unikke og følge end
strengere password policy af sikkerhedsmæssige årsager. Der ville derudover være brugt
korrekte licenser uden udløbsdato.
Der vil forekomme genbrugt tekst og materiale fra gruppemedlemmernes dligere projekter.
Side 7 af 210
2. Netværk
Henvisning Afsnit & Overskri Side
Kravspecifika on 2. Netværk 12 l 20
Rapport 2. Netværk 11 l 23
Testmanual 2. Netværk 6 l 27
Brugermanual 2. Netværk 5 l6
● Hold mode knappen 1 inde, på forsiden af switchen (cirka 20 sekunder) og sæt strøm
l.
● Slip knappen når SYST og ACT lyser orange.
Side 8 af 210
2.2 Basic Konfigura on
Basic konfigura on, er ens på alle enheder. TP-CORE-DLS-01 er brugt som template.
Kommando Funktion
2.2.1 Hostnavne
Navne på Enheder, se dokumentet bilag IP-Plan afsnit 13 side 21-22..
switch(config)# hostname
TP-CORE-DLS-01 Enhedens navn sæ es
2.2.2 No IP Domain-Lookup
TP-CORE-DLS-01(config)# no ip
DNS oversæ else disables
domain-lookup
2.2.3 Banner
Side 9 af 210
2.2.5 SSH
TP-CORE-DLS-01(config)#
Opre er en lokal bruger der kan bruges l at
username admin privilege 15
logge ind på enheden med SSH
secret Passw0rd!
ldeler brugernavn, privilege og password
på lokal bruger.
TP-CORE-DLS-01(config)#
Enabler Rapid Per-VLAN Spanning tree
spanning-tree mode rapid-pvst
2.2.7 VTP
Side 10 af 210
2.2.8 VLAN
TP-CORE-DLS-01(config)# vlan 10
Opre er VLAN. I de e lfælde på DLS-01
opre es VLAN 10
TP-CORE-DLS-01(config)# name
Navngiver VLAN 10 l Direk on
Direktion
TP-CORE-DLS-01,TP-CORE-DLS
vlan 10 Direk on -01,TP-USR-ALS-01.
TP-CORE-DLS-01,TP-CORE-DLS
vlan 20 Personale -01,TP-USR-ALS-01.
TP-CORE-DLS-01,TP-CORE-DLS
vlan 30 Admin -01,TP-USR-ALS-01.
TP-CORE-DLS-01,TP-CORE-DLS
vlan 40 Salg -01,TP-USR-ALS-01.
TP-CORE-DLS-01,TP-CORE-DLS
vlan 50 Indkoeb -01,TP-USR-ALS-01.
TP-CORE-DLS-01,TP-CORE-DLS
vlan 60 Oekonomi -01,TP-USR-ALS-01.
TP-CORE-DLS-01,TP-CORE-DLS
vlan 70 IT -01,TP-USR-ALS-01.
Side 11 af 210
TP-CORE-DLS-01,TP-CORE-DLS
-01,TP-USR-ALS-01,
vlan 99 Management TP-SRV-ALS-01,
TP-SRV-ALS-02.
TP-CORE-DLS-01,TP-CORE-DLS
vlan 100 Server -01, TP-SRV-ALS-01,
TP-SRV-ALS-02.
TP-CORE-DLS-01,TP-CORE-DLS
vlan 101 vMo on -01, TP-SRV-ALS-01,
TP-SRV-ALS-02.
TP-CORE-DLS-01,TP-CORE-DLS
vlan 102 vSAN -01, TP-SRV-ALS-01,
TP-SRV-ALS-02.
TP-DMZ-DLS-01,TP-DMZ-DLS-0
vlan 200 DMZ 1.
Side 12 af 210
2.2.9 NTP
Kommando Funktion
TP-CORE-DLS-01(config)# ntp
Konfigurer NTP server IP adressen
server 192.168.100.101 prefer
TP-CORE-DLS-01(config)#ntp
Konfigurer Backup NTP server IP adressen
server 192.168.100.102
TP-CORE-DLS-01(config)#clock
Sæ er dszone l CET +1
timezone CET 1
2.2.10 Logging
Side 13 af 210
2.2.11 Trunk Porte
TP-CORE-DLS-01(config)#switchpo
rt mode trunk Sæ er interfacet i permanent trunk mode
TP-DMZ-DLS-01(config)#switchport
access vlan 200 Definerer hvilket VLAN der er access l
TP-CORE-DLS-01(config)#switchpo
Sæ es l MAX 3 adresser
rt port-security max 3
Side 14 af 210
TP-CORE-DLS-01(config)#switchpo
Sker der en overtrædelse, tages switch porten
rt port-security violation
shutdown ud af dri og placeres i en err-disabled lstand.
Side 15 af 210
2.3 Specifik Konfigura on
2.3.1 TP-CORE-DLS-01
OSPF
Her konfigureres OSPF AREA 0, med process-id 1. Router ID konfigureres manuelt l
3.3.3.3 Network statements i OSPF konfigureres. Alle interface VLAN’s og Port-channel’s
gøres passive.
router ospf 1
router-id 3.3.3.3
passive-interface Vlan10
passive-interface Vlan20
passive-interface Vlan30
passive-interface Vlan40
passive-interface Vlan50
passive-interface Vlan60
passive-interface Vlan70
passive-interface Vlan99
passive-interface Vlan100
passive-interface Vlan101
passive-interface Vlan102
passive-interface Port-channel1
passive-interface Port-channel2
passive-interface Port-channel4
passive-interface Port-channel6
Side 16 af 210
HSRP
Hot standby router protocol (HSRP)konfigureres for at give en redundant gateway l klienter og
servere. TP-CORE-DLS-01 skal være Ac ve for server VLAN 99,100,101 og 102, derfor ldeles
priority 110. Preempt kommandoen bruges for at sikre at, hvis routeren med højest prio, går
ned vil den når den er oppe igen overtage ac ve rollen. Track 1 er sat l forbindelsen l PFsense
firewallen, hvis den går ned decreases priority værdien med 20, og den anden CORE switch
overtager ac ve rollen.
IPhelper (DHCP)
Der konfigureres IP helper-address på klient vlan 10,20,30,40,50,60,70
adresserne sæ es l 192.168.100.101 (DC1) og 192.168.100.102 (DC2)
interface Vlan10
ip address 192.168.10.2 255.255.255.0
ip helper-address 192.168.100.101
ip helper-address 192.168.100.102
standby 10 ip 192.168.10.1
standby 10 preempt
no shutdown
interface Vlan20
ip address 192.168.20.2 255.255.255.0
ip helper-address 192.168.100.101
ip helper-address 192.168.100.102
standby 20 ip 192.168.20.1
standby 20 preempt
no shutdown
interface Vlan30
ip address 192.168.30.2 255.255.255.0
ip helper-address 192.168.100.101
ip helper-address 192.168.100.102
standby 30 ip 192.168.30.1
standby 30 preempt
no shutdown
interface Vlan40
ip address 192.168.40.2 255.255.255.0
ip helper-address 192.168.100.101
ip helper-address 192.168.100.102
standby 40 ip 192.168.40.1
standby 40 preempt
no shutdown
interface Vlan50
ip address 192.168.50.2 255.255.255.0
ip helper-address 192.168.100.101
ip helper-address 192.168.100.102
Side 17 af 210
standby 50 ip 192.168.50.1
standby 50 preempt
no shutdown
interface Vlan60
ip address 192.168.60.2 255.255.255.0
ip helper-address 192.168.100.101
ip helper-address 192.168.100.102
standby 60 ip 192.168.60.1
standby 60 preempt
no shutdown
interface Vlan70
ip address 192.168.70.2 255.255.255.0
ip helper-address 192.168.100.101
ip helper-address 192.168.100.102
standby 70 ip 192.168.70.1
standby 70 preempt
no shutdown
interface Vlan99
ip address 192.168.99.2 255.255.255.0
standby 99 ip 192.168.99.1
standby 99 priority 110
standby 99 preempt
standby 99 track 1 decrement 20
no shutdown
interface Vlan100
ip address 192.168.100.2 255.255.255.0
standby 100 ip 192.168.100.1
standby 100 priority 110
standby 100 preempt
standby 100 track 1 decrement 20
no shutdown
interface Vlan101
ip address 192.168.101.2 255.255.255.0
standby 101 ip 192.168.101.1
standby 101 priority 110
standby 101 preempt
standby 101 track 1 decrement 20
no shutdown
interface Vlan102
ip address 192.168.102.2 255.255.255.0
standby 102 ip 192.168.102.1
standby 102 priority 110
Side 18 af 210
standby 102 preempt
standby 102 track 1 decrement 20
no shutdown
TRACK
Der sæ es track på interface pegende imod FW-01 med følgende kommandoer
ETHERCHANNEL
Layer 2 ether channels konfigureres med følgende kommandoer
interface GigabitEthernet2/0/1
description --> SRV-ALS-01
channel-group 2 mode active
no shutdown
interface GigabitEthernet2/0/2
description --> SRV-ALS-01
channel-group 2 mode active
no shutdown
interface GigabitEthernet2/0/3
description --> SRV-ALS-02
channel-group 4 mode active
no shutdown
interface GigabitEthernet2/0/4
description --> SRV-ALS-02
channel-group 4 mode active
no shutdown
interface GigabitEthernet2/0/5
description --> USR-ALS-01
channel-group 6 mode active
no shutdown
interface GigabitEthernet2/0/6
description --> USR-ALS-01
channel-group 6 mode active
no shutdown
interface GigabitEthernet2/0/7
Side 19 af 210
description --> DLS-02
channel-group 1 mode active
no shutdown
interface GigabitEthernet2/0/8
description --> DLS-02
channel-group 1 mode active
no shutdown
PORTCHANNEL
De forskellige Port-channels konfigureres med følgende kommandoer
interface Port-channel1
description --> DLS-02
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
interface Port-channel2
description --> SRV-ALS-01
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
interface Port-channel4
description --> SRV-ALS-02
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
interface Port-channel6
description --> USR-ALS-01
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
Side 20 af 210
2.3.2 TP-CORE-DLS-02
OSPF
Her konfigureres OSPF AREA 0, med process-id 1. Router ID konfigureres manuelt l
4.4.4.4 Network statements i OSPF konfigureres. Alle interface VLAN’s og Port-channel’s
gøres passive.
router ospf 1
router-id 4.4.4.4
passive-interface Vlan10
passive-interface Vlan20
passive-interface Vlan30
passive-interface Vlan40
passive-interface Vlan50
passive-interface Vlan60
passive-interface Vlan70
passive-interface Vlan99
passive-interface Vlan100
passive-interface Vlan101
passive-interface Vlan102
passive-interface Port-channel1
passive-interface Port-channel5
passive-interface Port-channel6
passive-interface Port-channel7
Side 21 af 210
HSRP
Hot standby router protocol (HSRP)konfigureres for at give en redundant gateway l klienter og
servere. TP-CORE-DLS-02 skal være Ac ve for klient VLAN 10,20,30,40,50,60 og 70, derfor
ldeles priority 110. Preempt kommandoen bruges for at sikre at, hvis routeren med højest
prio, går ned vil den når den er oppe igen overtage ac ve rollen. Track 1 er sat l forbindelsen l
PFsense firewallen, hvis den går ned decreases priority værdien med 20, og den anden CORE
switch overtager ac ve rollen.
IPhelper (DHCP)
Der konfigureres IP helper-address på klient vlan 10,20,30,40,50,60,70
adresserne sæ es l 192.168.100.101 (DC1) og 192.168.100.102 (DC2)
interface Vlan10
ip address 192.168.10.3 255.255.255.0
ip helper-address 192.168.100.101
ip helper-address 192.168.100.102
standby 10 ip 192.168.10.1
standby 10 priority 110
standby 10 preempt
standby 10 track 1 decrement 20
no shutdown
interface Vlan20
ip address 192.168.20.3 255.255.255.0
ip helper-address 192.168.100.101
ip helper-address 192.168.100.102
standby 20 ip 192.168.20.1
standby 20 priority 110
standby 20 preempt
standby 20 track 1 decrement 20
no shutdown
interface Vlan30
ip address 192.168.30.3 255.255.255.0
ip helper-address 192.168.100.101
ip helper-address 192.168.100.102
standby 30 ip 192.168.30.1
standby 30 priority 110
standby 30 preempt
standby 30 track 1 decrement 20
no shutdown
interface Vlan40
ip address 192.168.40.3 255.255.255.0
ip helper-address 192.168.100.101
ip helper-address 192.168.100.102
standby 40 ip 192.168.40.1
standby 40 priority 110
Side 22 af 210
standby 40 preempt
standby 40 track 1 decrement 20
no shutdown
interface Vlan50
ip address 192.168.50.3 255.255.255.0
ip helper-address 192.168.100.101
ip helper-address 192.168.100.102
standby 50 ip 192.168.50.1
standby 50 priority 110
standby 50 preempt
standby 50 track 1 decrement 20
no shutdown
interface Vlan60
ip address 192.168.60.3 255.255.255.0
ip helper-address 192.168.100.101
ip helper-address 192.168.100.102
standby 60 ip 192.168.60.1
standby 60 priority 110
standby 60 preempt
standby 60 track 1 decrement 20
no shutdown
interface Vlan70
ip address 192.168.70.3 255.255.255.0
ip helper-address 192.168.100.101
ip helper-address 192.168.100.102
standby 70 ip 192.168.70.1
standby 70 priority 110
standby 70 preempt
standby 70 track 1 decrement 20
no shutdown
interface Vlan99
ip address 192.168.99.3 255.255.255.0
standby 99 ip 192.168.99.1
standby 99 preempt
no shutdown
interface Vlan100
ip address 192.168.100.3 255.255.255.0
standby 100 ip 192.168.100.1
standby 100 preempt
no shutdown
Side 23 af 210
interface Vlan101
ip address 192.168.101.3 255.255.255.0
standby 101 ip 192.168.101.1
standby 101 preempt
no shutdown
interface Vlan102
ip address 192.168.102.3 255.255.255.0
standby 102 ip 192.168.102.1
standby 102 preempt
no shutdown
TRACK
Der sæ es track på interface pegende imod FW-02 med følgende kommandoer
ETHERCHANNEL
Layer 2 ether channels konfigureres med følgende kommandoer
interface GigabitEthernet1/0/1
description --> SRV-ALS-02
channel-group 5 mode active
no shutdown
interface GigabitEthernet1/0/2
description --> SRV-ALS-02
channel-group 5 mode active
no shutdown
interface GigabitEthernet1/0/3
description --> USR-ALS-01
channel-group 7 mode active
no shutdown
interface GigabitEthernet1/0/4
description --> USR-ALS-01
channel-group 7 mode active
no shutdown
interface GigabitEthernet1/0/5
description --> SRV-ALS-01
Side 24 af 210
channel-group 6 mode active
no shutdown
interface GigabitEthernet1/0/6
description --> SRV-ALS-01
channel-group 6 mode active
no shutdown
interface GigabitEthernet1/0/7
description --> DLS-01
channel-group 1 mode active
no shutdown
interface GigabitEthernet1/0/8
description --> DLS-01
channel-group 1 mode active
no shutdown
PORTCHANNEL
De forskellige Port-channels konfigureres med følgende kommandoer
interface Port-channel1
description --> TP-CORE-DLS-01
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
interface Port-channel6
description --> TP-SRV-ALS-01
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
interface Port-channel5
description --> TP-SRV-ALS-02
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
interface Port-channel7
description --> TP-USR-ALS-01
switchport trunk native vlan 999
switchport mode trunk
Side 25 af 210
switchport trunk allowed vlan remove 666
no shutdown
2.3.3 TP-DMZ-DLS-01
OSPF
Her konfigureres OSPF AREA 1, med process-id 1. Router ID konfigureres manuelt l
5.5.5.5 Network statements i OSPF konfigureres. VLAN 200 gøres passive.
router ospf 1
router-id 5.5.5.5
passive-interface Vlan 200
network 172.16.1.0 0.0.0.3 area 1
default-information originate
network 192.168.200.0 0.0.0.255 area 1
HSRP
Hot standby router protocol (HSRP)konfigureres for at give en redundant gateway.
TP-DMZ-DLS-01 skal være Ac ve for VLAN 200 derfor ldeles priority 110. Preempt
kommandoen bruges for at sikre at, hvis routeren med højest prio, går ned vil den når den er
oppe igen overtage ac ve rollen. Track 1 er sat l forbindelsen l PFsense firewallen, hvis den
går ned decreases priority værdien med 20, og TP-DMZ-DLS-02 overtager ac ve rollen.
LAYER 3 INTERFACE
Sæ es på porten imod TP-FW-01 med følgende kommandoer
interface GigabitEthernet1/0/1
description TP-FW-01
no switchport
ip address 172.16.1.2 255.255.255.252
no shutdown
Side 26 af 210
ACCESS
Access porte l TP-DMZ-DLS-02 konfigureres med følgende kommandoer
interface GigabitEthernet1/0/2
description --> TP-DMZ-DLS-02
switchport mode access
switchport access vlan 200
no shutdown
TRUNK
Trunk porte l DMZ Servernes ESXI konfigureres med følgende kommandoer
OSPF
Her konfigureres OSPF AREA 1, med process-id 1. Router ID konfigureres manuelt l
6.6.6.6 Network statements i OSPF konfigureres. VLAN 200 gøres passive.
router ospf 1
router-id 6.6.6.6
passive-interface Vlan 200
network 172.16.1.4 0.0.0.3 area 1
default-information originate
network 192.168.200.0 0.0.0.255 area 1
HSRP
Hot standby router protocol (HSRP)konfigureres for at give en redundant gateway.Preempt
kommandoen bruges for at sikre at, hvis routeren med højest prio, går ned vil den når den er
oppe igen overtage ac ve rollen.
Side 27 af 210
LAYER 3 INTERFACE
Sæ es på porten imod TP-FW-02 med følgende kommandoer
interface GigabitEthernet1/0/1
description TP-FW-02
no switchport
ip address 172.16.1.6 255.255.255.252
no shutdown
ACCESS
Access porte l TP-DMZ-DLS-01 konfigureres med følgende kommandoer
interface GigabitEthernet1/0/2
description --> TP-DMZ-DLS-01
switchport mode access
switchport access vlan 200
no shutdown
TRUNK
Trunk porte l DMZ Servernes ESXI konfigureres med følgende kommandoer
2.3.1 TP-SRV-ALS-01
MANAGEMENT
Da denne switch kun kører layer 2, skal der sæ es en IP l brug l SSH, der gøres med
følgende kommandoer
interface Vlan99
description MGMT
ip address 192.168.99.4 255.255.255.0
no ip route-cache
no shutdown
exit
ip default-gateway 192.168.99.1
Side 28 af 210
ETHERCHANNEL
Layer 2 ether channels konfigureres med følgende kommandoer
interface GigabitEthernet1/0/1
description --> TP-CORE-DLS-1
channel-group 2 mode active
no shutdown
interface GigabitEthernet1/0/2
description --> TP-CORE-DLS-1
channel-group 2 mode active
no shutdown
interface GigabitEthernet1/0/3
description --> TP-CORE-DLS-2
channel-group 3 mode active
no shutdown
interface GigabitEthernet1/0/4
description --> TP-CORE-DLS-2
channel-group 3 mode active
no shutdown
PORTCHANNEL
De forskellige Port-channels konfigureres med følgende kommandoer
interface Port-channel2
description --> TP-CORE-DLS-01
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
interface Port-channel3
description --> TP-CORE-DLS-02
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
Side 29 af 210
ACCESS
Access porte l Servernes iLO konfigureres med følgende kommandoer
interface GigabitEthernet1/0/13
description --> TP-SRV-ESXI-01 iLO
switchport mode access
switchport access vlan 99
no shutdown
interface GigabitEthernet1/0/14
description --> TP-SRV-ESXI-02 iLO
switchport mode access
switchport access vlan 99
no shutdown
interface GigabitEthernet1/0/15
description --> TP-SRV-ESXI-03 iLO
switchport mode access
switchport access vlan 99
no shutdown
interface GigabitEthernet1/0/16
description --> TP-SRV-ESXI-04 iLO
switchport mode access
switchport access vlan 99
no shutdown
TRUNK
Trunk porte l Servernes ESXI konfigureres med følgende kommandoer
interface GigabitEthernet1/0/17
description --> TP-ESXI-01
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
interface GigabitEthernet1/0/18
description --> TP-ESXI-01
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
Side 30 af 210
interface GigabitEthernet1/0/19
description --> TP-ESXI-02
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
interface GigabitEthernet1/0/20
description --> TP-ESXI-02
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
interface GigabitEthernet1/0/21
description --> TP-ESXI-03
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
interface GigabitEthernet1/0/22
description --> TP-ESXI-03
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
interface GigabitEthernet1/0/23
description --> TP-ESXI-04
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
interface GigabitEthernet1/0/24
description --> TP-ESXI-04
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
Side 31 af 210
2.3.2 TP-SRV-ALS-02
MANAGEMENT
Da denne switch kun kører layer 2, skal der sæ es en IP l brug l SSH, der gøres med
følgende kommandoer
interface Vlan99
description MGMT
ip address 192.168.99.5 255.255.255.0
no ip route-cache
no shutdown
ip default-gateway 192.168.99.1
ETHERCHANNEL
Layer 2 ether channels konfigureres med følgende kommandoer
interface GigabitEthernet2/0/1
description --> TP-CORE-DLS-2
channel-group 5 mode active
no shutdown
interface GigabitEthernet2/0/2
description --> TP-CORE-DLS-2
channel-group 5 mode active
no shutdown
interface GigabitEthernet2/0/3
description --> TP-CORE-DLS-1
channel-group 4 mode active
no shutdown
interface GigabitEthernet2/0/4
description --> TP-CORE-DLS-1
channel-group 4 mode active
no shutdown
PORTCHANNEL
De forskellige Port-channels konfigureres med følgende kommandoer
interface Port-channel4
description --> TP-CORE-DLS-01
switchport trunk native vlan 999
Side 32 af 210
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
interface Port-channel5
description --> TP-CORE-DLS-02
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
TRUNK
Trunk porte l Servernes ESXI konfigureres med følgende kommandoer
interface GigabitEthernet2/0/17
description --> TP-ESXI-01
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
interface GigabitEthernet2/0/18
description --> TP-ESXI-01
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
interface GigabitEthernet2/0/19
description --> TP-ESXI-02
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
interface GigabitEthernet2/0/20
description --> TP-ESXI-02
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
interface GigabitEthernet2/0/21
description --> TP-ESXI-03
switchport trunk native vlan 999
switchport mode trunk
Side 33 af 210
switchport trunk allowed vlan remove 666
no shutdown
interface GigabitEthernet2/0/22
description --> TP-ESXI-03
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
interface GigabitEthernet2/0/23
description --> TP-ESXI-04
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
interface GigabitEthernet2/0/24
description --> TP-ESXI-04
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
2.3.3 TP-USR-ALS-01
MANAGEMENT
Da denne switch kun kører layer 2, skal der sæ es en IP l brug l SSH, der gøres med
følgende kommandoer
interface Vlan99
description MGMT
ip address 192.168.99.6 255.255.255.0
no ip route-cache
no shutdown
exit
ip default-gateway 192.168.99.1
ETHERCHANNEL
Layer 2 ether channels konfigureres med følgende kommandoer
interface GigabitEthernet1/0/1
description --> TP-CORE-DLS-1
channel-group 6 mode active
no shutdown
Side 34 af 210
interface GigabitEthernet1/0/2
description --> TP-CORE-DLS-1
channel-group 6 mode active
no shutdown
interface GigabitEthernet1/0/3
description --> TP-CORE-DLS-2
channel-group 7 mode active
no shutdown
interface GigabitEthernet1/0/4
description --> TP-CORE-DLS-2
channel-group 7 mode active
no shutdown
PORTCHANNEL
De forskellige Port-channels konfigureres med følgende kommandoer
interface Port-channel6
description --> TP-CORE-DLS-01
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
interface Port-channel7
description --> TP-CORE-DLS-02
switchport trunk native vlan 999
switchport mode trunk
switchport trunk allowed vlan remove 666
no shutdown
ACCESS
Access porte l klient netværkene konfigureres med følgende kommandoer
Side 35 af 210
switchport access vlan 20
no shutdown
Side 36 af 210
2.3 Firewall
2.3.1 So ware
2.3.2 Installa on
Installa onen af PFsense vil blive gennemgået i de e punkt. Der installeres PfSense 2.4.5-p1
på begge firewalls (TP-FW-01 & TP-FW-02).
Første skridt er at lave en bootable USB, via programmer som f.eks. Rufus, med PfSense på.
Og når det er klaret, sæ es USB-nøglen i PC’en hvor firewallen skal installeres. Sørg for at
boote fra USB.
Tryk ”Accept”.
Side 37 af 210
Tryk ”OK” l Install PfSense.
Vælg ”Danish” og tryk enter ved ”>>> Con nue with dk.kbd keymap”
Tryk ”OK” l ”Auto (UFS) - Guided Disk Setup” og vælg dere er ”En re Disk”
Side 38 af 210
Tryk ”OK” l ”MBR – DOS Par ons”
Når installa onen er færdig, skal du trykke ”No” l at gå l shell, og dere er trykker du
”Reboot”.
Side 39 af 210
2.3.3 PfSense Setup Wizard
PfSense serveren kan nu lgås via browser på IP-adressen 192.168.1.1, som er default ved ny
installa on, og logge ind med default-brugeren:
Brugernavn: admin
Password: pfsense
Under menuen ”System”, trykkes der på ”Setup Wizard”. Udfyld nedenstående og tryk
”Next”.
Side 40 af 210
Udfyld/Vælg NTP server inds llingerne som nedenstående og tryk ”Next”.
TP-FW-01
Ip adresse: 94.18.194.96
Subnetmask: /26
Gateway: 94.18.194.65
TP-FW-02
Ip adresse: 94.18.194.97
Subnetmask: /26
Gateway: 94.18.194.65
Side 41 af 210
LAN IP-adressen skal forblive default ind l Setup Wizard er færdiggjort, da det er den adresse
GUI’en er lgået via. Tryk ”Next”.
Tryk ”Reload”.
Side 42 af 210
Tryk ”Finish” hvore er PfSense serveren er klar l yderligere konfigura on.
Side 43 af 210
2.3.4 Opsætning af Interfaces
Via menuen ”interfaces” -> ”Assignments” skal hvert interface enables, navngives og ldeles
dens IP. Se dokumentet bilag IP-Plan afsnit 13 side 21-22.
Side 44 af 210
2.3.5 HA-SYNC
Naviger l menuen ”System” -> ”High Avail. Sync”. Og udfyld følgende felter.
Bemærk, punkt 4, 5, 6 og 7 i billedet herunder, skal kun gøres kun på TP-FW-01 da denne skal
være masteren.
Eksemplet herunder er fra TP-FW-01. Bemærk at på opsætningen på TP-FW-02 er peer IP’en
172.16.0.1.
Side 45 af 210
E erfølgende sæ es der en firewall regel op på begge firewalls der llader trafik på de
interfaces. Tryk på ”Firewall” -> ”Rules” og tryk nu
Side 46 af 210
2.3.6 NAT/PAT
Side 47 af 210
Tryk dere er for at lave en ny Mapping der lægger sig øverst i listen. Der vælges
følgende i denne Mapping:
Side 48 af 210
2.3.7 CARP
Der sæ es CARP op på WAN siden for at sikre redundans i lfælde af at der skulle ske noget
med den ene firewall. Det er kun nødvendigt at sæ e CARP op på TP-FW-01 da HA-Sync vil
sørge for at sende konfigura onen l TP-FW-02. Udover at CARP’en automa sk opre es på
TP-FW-02, så sæ er den også skew værdien l 100. De e gør at TP-FW-01 er master for
denne CARP da den har en lavere skew værdi.
Side 49 af 210
2.3.8 FRR OSPF
OSPF skal konfigureres på begge firewalls da HA Sync ikke replikerer de e. NAT reglen
opre et under NAT opsætningen i punkt 2.1.7 NAT, sikrer internetadgang l PfSense
serverne hvilket er nødvendigt for at kunne hente OSPF pakken ”frr version 0.6.7_6”.
OSPF Pakken kan hentes ved at gå l ”System” -> ”Package Manager”. Her søges der e er
pakken ”frr” og trykkes ”install”. Bekræ dere er at pakken er installeret via ”System” ->
”Package Manager” -> ”Installet Packages”.
Side 50 af 210
Gå l ”services” -> ”FRR OSPF” -> ”OSPF se ngs”. Her gøres følgende:
Side 51 af 210
Næste skridt er at fortælle hvilke interfaces der skal deltage i OSPF rou ng. De e gøres via
menuen ”Services” -> ”FRR OSPF” -> ”OSPF Interfaces”.
Bemærk DMZ interfacet skal have 0.0.0.1 skrevet i “Area” feltet, så det bliver en del af area
1. Ved de andre interfaces der skal være en del af default area 0, kan man bare lade de e felt
være blankt.
Side 52 af 210
2.3.9 OpenVPN
OpenVPN skal kun konfigureres på TP-FW-01 da HA Sync vil sørge for at TP-FW-02 får samme
konfigura on.
Start ved at lgå menuen ”VPN” -> ”OpenVPN” -> ”Wizards”. Herfra sæ es Type of Server l
at være Local User Access.
Der laves et nyt Cer ficate Authority via ”Add new CA”. Nedenstående felter udfyldes
således:
Side 53 af 210
Dere er lføjes der et Server Cer ficate.
Konfigurerer nu selve server delen af OpenVPN. Vælg WAN interfacet og navngiv VPN’en i
descrip on: TP-VPN. Bemærk der bruges default port 1194.
Side 54 af 210
IPv4 Tunnel netværket er 10.10.10.0 /24. Det er de e netværk VPN klienterne bliver en del
af. Bemærk at under Local Network er de interne netværk blevet summarized l to /16.
Der vil blive konfigureret følgende DNS og NTP servere under Client Se ngs.
- DNS server 1: 192.168.100.101
- DNS server 2: 192.168.100.102
- NTP Server: 192.168.100.101
Side 55 af 210
I sidste fane skal der sæ es flueben i felterne ”Firewall Rule” og ”OpenVPN rule”, så
wizarden opre er de firewall regler der skal l for at trafik vedrørende VPN’en er lladt.
Side 56 af 210
Afslut wizarden ved at trykke ”Finish”.
Opret nu en NAT outbound mapping for at trafik fra VPN netværket kan lgå de interne
netværk via LAN1 interfacene.
De e gøres via menuen ”Firewall” -> ”NAT” -> ”Outbound”. Herfra trykkes der
For at ski e VPN’en l at bruge CARP adressen for WAN’et, gå l ”Firewall” -> ”Rules” ->
”WAN”. I WAN firewall reglen OpenVPN TP-VPN wizard ændres følgende:
Side 57 af 210
Og l sidst skal selve OpenVPN serveren sæ es l at bruge det virtuelle WAN-interface. Gå l
”VPN” -> ”OpenVPN” og lav følgende ændringer i tunnelen TP-VPN.
Side 58 af 210
2.3.10 Brugeropre else
Side 59 af 210
3. Fysisk Server Miljø
Side 60 af 210
4. Hypervisor og vCenter
4.1 Hypervisor
4.1.1 Installa on af ESXi
Hent nyeste VMware vSphere Hypervisor (ESXi ISO) & VMware vCenterServer Appliance fra
h ps://my.vmware.com/en/group/vmware/evalcenter?p=vsphere-eval-7
Confirm Install
Tryk (F11) Install
Installa on Complete
Tryk (Enter) Reboot
Authen ca on Required
Login Name: root
Side 61 af 210
Password: Passw0rd!
IPv4 Configura on
Sæt flueben i Set sta c IPv4 address and network configura on:
IPv4 Address: 192.168.100.10
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.100.1
Tryk (Enter) OK
IPv6 Configura on
Sæt flueben i Disable IPv6 (restart required)
Tryk (Enter) OK
DNS Configura on
Sæt flueben i Use the following DNS server addresses and hostname:
Primary DNS Server: 192.168.100.101
Alternate DNS Server: 192.168.100.102
Hostname: TP-SRV-ESXI-01
Tryk (Enter) OK
Nu lkobles en fysisk Windows maskine l netværket og here er kan serverne lgås via
følgende adresser:
TP-SRV-ESXI-01: h ps://192.168.100.10/
TP-SRV-ESXI-02: h ps://192.168.100.20/
TP-DMZ-ESXI-03: h ps://192.168.100.30/
TP-DMZ-ESXI-04: h ps://192.168.100.40/
Username: root
Password: Passw0rd!
Side 62 af 210
4.2 vCenter
4.2.1 Install - Stage 1 Deploy vCenter Server
Hent iso filen “VMware-VCSA-all-7.0.1-17327517.iso” fra h ps://www.vmware.com/,
dobbelt klik på den for at åbne den og naviger l “vcsa-ui-installer\win32\installer.exe” og
åben exe-filen for at starte deployment.
Side 63 af 210
Tryk “Install”
Side 64 af 210
Tryk “NEXT”
Side 65 af 210
Sæt flueben i ”I accept the terms of the license agreement” & klik ”NEXT”
Side 66 af 210
Indtast informa oner som vist forneden
ESXi host or vCenter Server name: TP-SRV-ESXI-01.tecpedia.dk
HTTPS port: 443
Username: root
Password: Passw0rd!
Tryk “NEXT”
Side 67 af 210
Da der ikke er opsat en Cer ficate authority (CA) vises en advarsel. For at acceptere &
fortsæ e tryk “YES”
Side 68 af 210
Indtast informa oner som vist forneden
VM name: TP-SRV-VCEN-01
Set root password: Passw0rd!
Confirm root password: Passw0rd!
Tryk ”NEXT”
Side 69 af 210
Der ldeles ressourcer l vCenter e er behov på under 100 VMs
Deployment size: Tiny
Storage size: Default
Tryk “NEXT”
Side 70 af 210
Tryk på “Install on a new vSAN cluster containing the target host” og indtast nedenstående
Datacenter Name: TECpedia Datacenter
Cluster Name: TECpedia Cluster
Tryk “NEXT”
Side 71 af 210
Diskene er som standard “Claim for capacity”, 7 af diskene forbliver som capacity, hvore er
der sæ es flueben i 1 disk, og der trykkes “Claim for cache”
Der sæ es flueben i “Enable Thin Disk Mode” for at spare plads
Tryk “NEXT”
Side 72 af 210
Indtast informa oner som vist forneden
Network: VM Network
IP version: IPv4
IP assignment: sta c
FQDN: TP-SRV-VCEN-01.tecpedia.dk
IP address: 192.168.100.100
Subnet mask or prefix length: 255.255.255.0
Default gateway: 192.168.100.1
DNS servers: 172.16.0.5,192.168.100.101,192.168.100.102
HTTP: 80
HTTPS: 443
Tryk "NEXT”
Side 73 af 210
Tryk “FINISH”
Side 74 af 210
Tryk “CONTINUE” for at fortsæ e l Stage 2 som er setup af vCenter
Side 75 af 210
4.2.2 Install - Stage 2 Set Up vCenter Server
Tryk “NEXT”
Side 76 af 210
Indtast informa oner som vist forneden
Time synchronize mode: Synchronize me with NTP server
NTP servers (comma-separated list): 0.dk.pool.ntp.org
SSH access: Enabled
Tryk "NEXT”
Side 77 af 210
Vælg “Create a new SSO domain” og indtast informa oner som vist forneden
Single Sign-On domain name: vsphere.local
Single Sign-On user name: administrator
Single Sign-On password: Passw0rd!
Confirm password: Passw0rd!
Tryk “NEXT”
Side 78 af 210
Fjern flueben i “Join the VMware’s Customer Experience Improvement Program (CEIP)” &
Tryk “NEXT”
Side 79 af 210
Tryk “FINISH”
Side 80 af 210
Tryk “OK”
Side 81 af 210
Da installa on kan tage noget d kan og sessionen kan løbe ud skal der logges ind igen med
Password “Passw0rd!” og here er trykkes “LOG IN”
Side 82 af 210
Tryk “h ps://TP-SRV-VCEN-01.TECPEDIA.DK:443” og tryk “CLOSE”
Side 83 af 210
Example@domain.local: administrator@vsphere.local
Password: Passw0rd!
Tryk “LOGIN”
Side 84 af 210
4.2.3 Cluster
Side 85 af 210
Nu vil der være 3 step som der skal gennemgås.
I step 1 trykkes der på ”Use the name creden als for all hosts” dere er indtastes
oplysningerne på nedenstående billede, hvor pasword er “Passw0rd!”. Dere er trykkes
”ADD HOST”
Der vil prompte et vindue op hvor de 3 host kan ses, her vælges alle host og der trykkes ”OK”
og dere er trykkes ”NEXT”
Side 86 af 210
I næste step kan der ses en oversigt over de host som skal lføjes og der trykkes ”NEXT”
Side 87 af 210
Nu kan alle 3 host ses under “TECpedia Cluster”, serverne vil være i ”maintenance mode”.
Det ernes ved at der højreklikkes på hosten trykkes på “Maintenance Mode” og herunder
”Exit Maintenance Mode.
Side 88 af 210
4.2.4 DRS
Tryk på “TECpedia Cluster” -> “Configure” -> “vSphere DRS” -> “EDIT”
Tryk hvor der er markeret med et 1-tal forneden for at ak vere “vSphere DRS”
Automa on Level: Fully Automated
Sæt flueben i “Enable Virtual Machine Automa on”
Tryk “OK”
Side 89 af 210
4.2.5 HA vCenter
Tryk på “TECpedia Cluster” -> “Configure” -> “vSphere Availability” -> “EDIT”
Tryk hvor der er markeret med et 1-tal forneden for at ak vere “vSphere Availability”
Tryk hvor der er markeret med et 2-tal for at ak vere “Enable Host Monitoring”
Host Failure Response: Restart VMs
Tryk “OK”
Side 90 af 210
4.2.6 vSAN
Nu skal alle 8 disk på de 3 andre server lføjes i VSAN. Der navigeres l ”TECpedia Cluster”
her vælges ”Configure” og der vælges ”Disk Management”, nu trykkes der på ”Claim Unused
Disk”.
”Recommend configura on” slåes fra og under “Claim for” vælges de første 7 diske på hver
af de 3 host l at være ”Capacity er” og den sidste disk på alle 3 hos vælges l at være
”Cache er”. Og der trykkes ”Create”.
Side 91 af 210
Når der er kørt igennem, kan der ses i statuslinjen nederst i vinduet at diskene er lføjet l
vSAN.
Side 92 af 210
4.2.7 Upload l vSAN Datastore
De e er et eksempel på upload af Windows Server 2019 iso fil
Der skal først opre es en mappe på vSAN Datastore med navnet “ISO”
Tryk “vsanDatastore”
Tryk “vsanDatastore”
Tryk “New Folder”
Side 93 af 210
Naviger l iso-filen tryk på den & tryk “Åbn”
Den vil fejle første gang, da der ikke er opsat en cer ficate authority(CA), tryk blot på linket
h ps://tp-srv-esxi-03.tecpedia.dk og vent l at siden er indlæst og luk fanen igen, here er
gentages trin 3-4
Side 94 af 210
4.2.8 Templates
Højreklik på “TECpedia Cluster” og tryk på “New Virtual Machine”
Side 95 af 210
Tryk “Create a new virtual machine” & Tryk “NEXT”
Side 96 af 210
Tryk “TECpedia Cluster” & “NEXT”
Side 97 af 210
Compa ble with: ESXI 7.0 U1 and later
Tryk “NEXT”
Side 98 af 210
CPU: 4
Memory: 16 GB
New Hard disk: 90 GB
New Network: VM Network
Sæt flueben i “Connect”
New CD/DVD Drive: Datastore ISO File
Der åbnes et nyt vindue, hvor der vælges iso-filen vi uploadede dligere
Sæt flueben i “Connect”
Tryk “NEXT”
Side 99 af 210
Tryk “FINISH”
Tryk på den opre e vm “Windows Server 2019 Datacenter” Tænd maskinen ved at trykke på
den grønne pil markeret ved 2-tallet
Åbn “This PC” & dobbeltklik på “DVD Drive (D:) VMware Tools”
Tryk “Yes”
Der logges ind på serveren med username “administrator” & password “Passw0rd!”,
here er køres nedenstående kommando for at opdatere templaten
sudo apt-get update && sudo apt-get upgrade -y
Indtast nedenstående:
VM Customiza on Specifica on
Name: Sysprep af Windows
Guest OS
Target Guest OS: Windows
Sæt hak i “Generate a new security iden ty (SID)”
Tryk “NEXT”
Tryk “NEXT”
Tryk “NEXT”
Tryk “Prompt the user for an IPv4 address when the specifica on is used” tryk “OK”
Tryk “NEXT”
Tryk på “Manually select custom se ngs”, tryk på “NIC1” & tryk “EDIT”
Tryk “NEXT”
Tryk “Data Center”, tryk “Windows Server 2019 Datacenter” & tryk “NEXT”
Netværksopsætning i vSphere.
Der skal sæ es netværk op i vCenter hvor netværks trafikken skal deles op i forskellige
retninger.
Der navigeres l netværksdelen af vCenter her højre klikkes der på ”TECpedia Datacenter”
og der trykkes på ”New Distributed Switch”
Her er 4 step som skal gennemgås. I step 1 skrives navnet l den første Distributed switch
Name: TP-DMZ-Dswitch
Number of uplinks: 8
Nu trykkes ”NEXT”
Step 1
Name: TP-DMZ-VLAN200-DPortGroup
name Port binding port alloca on number of port network resource pool vlan type vlan id
I step 3 vælges “Use Sta c IPv4 Se ngs” der lføjes oplysninger som står på billedet og
trykkes “NEXT”
Her er 6 step.
I step 1 skal der vælges “Add hosts” og trykkes “NEXT”
Der skal på “TP-LAN-DSwitch” højre klikkes og vælges “Add and Manage Hosts”
Her er 6 step.
I step 1 skal der vælges “Add hosts” og trykkes “NEXT”
I step 2 skal der vælges host og trykkes “NEXT”
I sidste step kan man trykke close og serveren vil genstarte når den er færdig med at lføje
rollerne.
Når den er færdig vil et blåt vindue poppe og hvor der advares imod at serveren vil logge af,
der trykkes “Close” og serveren vil genstarte.
Nu skal punkt 5.2.1.1 køres på samme måde på TP-SRV-DC-02 og punkt 5.2.1.1 skal køres på
TP-SRV-DC-02 med ændring i step 1 hvor der vælges “Add a doman controller to an exis ng
domain” istedet. Her trykkes på “Change” og der indtastes “administrator” og “Passw0rd!”
I step 4 vælges “TP-SRV-DC-01.tecpedia.dk” under “Replicate from” og der trykkes “Next >”
I ”DNS Manager” rulles ned for ”TP-SRV-DC-01” dere er højre klikkes der på ”Reverse
Lookup Zones” og vælges ”New Zone”
I næste vindue vælges “To all DNS servers running on domain controillers in this domain:
tecpedia.dk” og trykkes “Next >”
I næste vindue indstastes det første netværk som skal lføjes l dns reverse zonen og der
trykkes “Next >”
192.168.200
192.168.100
192.168.101
192.168.102
192.168.99
Nu skal der opre es en forward lookup zone der højreklikkes på “Forward Lookup Zones” og
trykkes “New Zone...”
navn ip adresse
TP-SRV-ESXI-01 192.168.100.10
TP-SRV-ESXI-02 192.168.100.20
TP-SRV-ESXI-03 192.168.100.30
TP-SRV-ESXI-04 192.168.100.40
TP-SRV-ESXI-01-iLO 192.168.99.10
TP-SRV-ESXI-02-iLO 192.168.99.20
TP-SRV-ESXI-03-iLO 192.168.99.30
TP-SRV-ESXI-04-iLO 192.168.99.40
TP-SRV-VCEN-01 192.168.100.100
TP-SRV-SYS-01 192.168.100.104
TP-SRV-SYS-02 192.168.100.105
TP-SRV-VEEAM-02 192.168.100.107
TP-SRV-FIL-01 192.168.100.108
TP-SRV-FIL-02 192.168.100.109
TP-SRV-PRTG-02 192.168.100.111
TP-SRV-MAIL-01 192.168.100.112
TP-SRV-MAIL-02 192.168.100.113
TP-DMZ-MWIKI-01 192.168.200.102
TP-DMZ-MWIKI-02 192.168.200.103
TP-DMZ-EDGE-01 192.168.200.104
TP-DMZ-EDGE-02 192.168.200.105
TP-DMZ-DNS-01 192.168.200.107
TP-DMZ-DNS-02 192.168.200.108
TP-CORE-DLS-01 192.168.99.2
TP-CORE-DLS-02 192.168.99.3
TP-SRV-ALS-01 192.168.99.4
TP-SRV-ALS-02 192.168.99.5
TP-USR-ALS-01 192.168.99.6
TP-DMZ-DLS-01 192.168.200.2
TP-DMZ-DLS-02 192.168.200.3
På TP-SRV-DC-01 åbnes “Server Manager”, her trykkes på ”Tools” og der trykkes på “DHCP”
I næste vindue finder den selv ud af DNS server der trykkes “Next >”
I næste vindue vælges “Yes, I want to ac vate this scope now” og der trykkes “Next >”
Når det er gjort skal failover sæ es op, der højreklikkes på “IPv4” og trykkes “Configure
Failover...”
Der højre klikkes på “tecpedia.dk” og trykkes på “Create a GPO in this domain, and link it
here…”
Her sæ es GPO’en l “Enabled” og der vælges “Yes” ved “Disable the command prompt
script processing also?” og der trykkes “OK”
5.1.5.6 Wallpaper
Registry Editor
Naviger l
“Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Param
eters\Type” højreklik på “Type”, vælg “Modify”, indtast nedenstående og klik “OK”
Naviger l
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\Announce
Flags”, højreklik på “AnnounceFlags”, vælg “Modify”, indtast nedenstående og klik “OK”
Value data: 5
Naviger l
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\Nt
pServer”, højreklik på “Enabled”, vælg “Modify”, indtast nedenstående og klik “OK”
Value data: 1
Naviger l
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters”,
højreklik på “NtpServer”, vælg “Modify”, indtast nedenstående og klik “OK”
Åben kommandoprompt som administrator og indtast “net stop w32 me && net start
w32 me” for at genstarte Windows Time Service.
Naviger l “Server Manager” -> “File and Storage Services” -> “Volumes” -> “Disks”
Højreklik på disk med nummer 1 og tryk “New Volume”
15
Når VEEAM er mountet, åbnes serveren og der klikkes på “DVD Drive (D:) Veeam Backup
and Replica on” inde i “This PC” for at starte installa onen.
Der vælges “Veeam Backup & Replica on” og trykkes “Next >”
Her kan ses at dem som var “Failed” er “Passed” nu, nu trykkes der ”Next >”
Der vil dukke en alarm op da vCenter ikke har installeret cer fikat. der trykkes “Con nue” da
vCenter er l at stole på.
PRTG hentes her: PRTG Download ᐅ Official Download - latest version (paessler.com)
Version 21
Build 21.1.65
E er afslu et installa on, lgås web gui’en på den primære server ”TP-SRV-PRTG-01” på
navnet via h p i default browseren.
h ps://tp-srv-prtg-01.tecpedia.dk
E er login, trykkes der på knappen som vist, for at ændre admin brugerens password
Der ændres passwordet og Login name for default brugeren ”admin”. Det nye password er
”Passw0rd!” for at overholde standarden for passwords.
E er installa onen, trykkes der fra skrivebordet på start ikonet, og dere er søges der på
”Services”. E erfølgende højreklikkes der og der trykkes ”Run as administrator”
Under ”Accepted community names” lføjes ”public” som default community name for
PRTG, ved at trykke ”Add” og skrive under ”Community Name:”Public”. Der trykkes
e erfølgende ”Add”
Med udgangspunkt i ovenstående, opre es alle devices som vist i tabellen i ”Network”
gruppen
EDGE
TP-FW-01 172.16.0.5
TP-FW-02 172.16.0.9
CORE
TP-CORE-DLS-01 192.168.99.2
TP-CORE-DLS-02 192.168.99.3
TP-DMZ-DLS-01 192.168.200.2
TP-DMZ-DLS-02 192.168.200.3
ACCESS
TP-SRV-ALS-01 192.168.99.4
TP-SRV-ALS-02 192.168.99.5
TP-USR-ALS-01 192.168.99.6
SRV
TP-SRV-VCEN-01 192.168.100.100
TP-SRV-DC-01 192.168.100.101
TP-SRV-DC-02 192.168.100.102
TP-SRV-SYS-01 192.168.100.104
TP-SRV-SYS-02 192.168.100.105
TP-SRV-VEEAM-01 192.168.100.106
TP-SRV-VEEAM-02 192.168.100.107
TP-SRV-FIL-01 192.168.100.108
TP-SRV-FIL-02 192.168.100.109
TP-SRV-PRTG-01 192.168.100.110
TP-SRV-PRTG-02 192.168.100.111
TP-SRV-MAIL-01 192.168.100.112
TP-SRV-MAIL-02 192.168.100.113
DMZ
TP-DMZ-MWIKI-01 192.168.200.102
TP-DMZ-MWIKI-02 192.168.200.103
TP-DMZ-EDGE-01 192.168.200.104
TP-DMZ-EDGE-02 192.168.200.105
TP-DMZ-DNS-01 192.168.200.107
TP-DMZ-DNS-02 192.168.200.108
Der søges på ordet ”ping” og der trykkes på boksen med tlen ”Ping”
Med udgangspunkt i ovenstående, opre es der følgende sensorer for samtlige devices i
grupperne
”Network”: Ping
”SRV”: Run Auto-Discovery
”DMZ”: Run Auto-Discovery
Service restartes
Under den sekundære node, vælges der at node status skal være ”Ac ve” som vist på næste
billede. Der trykkes e erfølgende ”SAVE”
Inden installa onen af Exchange server 2019 kan påbegynde, skal der installeres følgende
so ware på både TP-SRV-MAIL-01 og TP-SRV-MAIL-02, samt opre es trust l mail serverne
på TP-SRV-DC-01.
● Download og installer Visual C++ 2013 Redistributable Package De e kan hentes via
linket: h ps://www.microso .com/en-us/download/details.aspx?id=40784
Herfra indtastes følgende i feltet hvore er der trykkes “Add”. Tilføj også TP-SRV-MAIL-02.
Første skridt under installa onen af Exchange 2019 er at mounte Exchange Server 2019
installa ons-filen l de virtuelle mail servere TP-SRV-MAIL-01 & TP-SRV-MAIL-02.
De e gøres via vCenteret på følgende måde:
Under punktet CD/DVD drive 1 vælges ”Datastore ISO File” hvore er Exchange Server 2019
ISO’en kobles l de e drev. Husk at sæ e flueben i feltet ”Connected”.
Dere er åbnes Powershell som administrator og følgende kommando køres for at ændre
directory l D drevet hvor Exchange setup iso’en er koblet på.
1. Første vindue under installa onen er der mulighed for enten at søge online e er
update
eller ikke. Her vælges:
5. Femte vindue (Server Role Selec on) sæ es der flueben i både ”Mailbox role” og
”Automa cally install Windows Server roles and features that are required to install
Exchange Server”.
6. Sje e vindue (Installa on Space and Loca on) bruges default s en som
installa onss .
7. Syvende vindue (Malware Protec on Se ngs) trykkes der på ”No” for at beholde
malware protec on.
Der skal sæ es en witness server op, l de e formål bruges den eksisterende filserver
TP-SRV-FIL-01.
Første skridt er at sikre at filserveren har installeret fil server rollen i “Roles and Features”.
Når de e er bekræ et fortsæ es opsætningen herunder på TP-SRV-FIL-01.
Åben “Run” ved at søge e er det, og skriv “lusrmgr.msc” og afslut med “OK”.
Der skal nu opre es en mappe som skal bruges ved opre elsen af DAG clusteret senere.
Sæt flueben i boksen “Share this folder” og afslut ved at trykke “OK”.
Dere er vil TP-SRV-MAIL-01 & TP-SRV-MAIL-02 blive sat op l at være en del af DAG01
clusteret.
Tryk på “Gennemse” og marker TP-SRV-MAIL-02 og tryk “OK”, og afslut ved at trykke “Gem”.
Der opsæ es værdier for hvor store mails må være både når de sendes og modtages.
De e gøres ved at lgå menuen ude l venstre kaldet “Mailflow” og dere er fanen
“Modtagelsesforbindelser”. Her trykkes der på de “3 prikker” -> “Inds llinger for
organisa onstransport”.
Der konfigureres nu Virtual Directories som vil sikre at brugerne kan lgå webmailen via
h ps://mail.tecpedia.dk og web administra onen via h ps://mail.tecpedia.dk/ecp.
Tilgå Menuen “Servere” -> “Virtuelle mapper”. Herfra vælges “owa” og “ecp” sites for både
TP-SRV-MAIL-01 & TP-SRV-MAIL-02 hvore er de hver især sæ es op l at beny e de links
beskrevet. Herunder er et eksempel på opsætningen af “owa” på TP-SRV-MAIL-01. Afslut
med “Gem”.
Tryk “Gennemse” for og vælg brugeren der skal opre es en mailboks l. Da brugeren er
opre et i AD’et tager Exchange oplysninger lkny et brugeren derfra. Se eksempel på
resultatet af opre elsen af brugeren Anders Larsen herunder.
Standarden for størrelsen af mailboksene når de opre es, skal konfigureres. De e gøres via
Exchange ECP browser GUI’en. Tilgå ”Servere” -> ”Databaser”. Marker ”Mailbox Database
0916676386” og tryk på “Rediger” knappen. Til venstre vælges ”Grænser”. Her indtastes
følgende værdier ind:
Brugerne i IT afdelingen skal kunne administrer Exchange via ECP web gui. Så der gives
lladelse l at deres brugere kan logge ind på ECP’en.
Der skal opre es 2 send connectors. De e gøres via Exchange ECP browser GUI’en. Første
skridt er at navigere l ”Mailflow” -> ”Afsenderforbindelser” og trykke på “plustegnet”.
Der opre es en PRTG distribu onsgruppe hvor ansa e i IT-afdelingen vil modtage mails fra
PRTG serverne.
Ligesom de forrige mail servere skal disse Edge servere sæ es op med Exchange. De e
betyder at de prerequisites der var for TP-SRV-MAIL-01 & TP-SRV-MAIL-02 også gælder for
disse servere.
● Download og installer Visual C++ 2013 Redistributable Package De e kan hentes via
linket: h ps://www.microso .com/en-us/download/details.aspx?id=40784
Som det næste skal der sæ es et Primært DNS suffix l hver af EDGE serverne.
De e gøres ved at lgå “Explorer” og højreklikke på “This PC” -> “Proper es”.
Under menuen “Computer name, domain and workgroup se ngs” trykkes der på “Change
Se ngs”. Tryk nu på “Change” -> “More” og indtast “tecpedia.dk” på både
TP-DMZ-EDGE-01 og TP-DMZ-EDGE-02. Afslut med “OK”.
Der skal installeres AD LDS (Ac ve Directory Lightweight Directory Services) på begge edge
servere. De e gøres ved at skrive følgende kommando ind i Powershell:
De e trin foregår på præcis samme måde som installa on af Exchange serverne i punkt
“5.6.3 Exchange Server 2019 Installa on”. Den eneste forskel af at rollen der skal vælges er
“Edge Transport Role”.
Der skal laves et forhold mellem mailboks serverne (TP-SRV-MAIL-01 & TP-SRV-MAIL-02) og
edge serverne (TP-DMZ-EDGE-01 & TP-DMZ-EDGE-02). De e gøres ved at exportere en fil
gereneret på Edge serverne over l Mailboks serverne.
For at kunne begynde processen, skal der installeres nogle værktøjer / cmdlets først.
Start med at skrive nedenstående kommando i Powershell:
Så skrives nedenstående kommando for at generere subscrip on xml filen som skal
importeres l serverne (TP-SRV-MAIL-01 & TP-SRV-MAIL-02) senere. Bemærk at samme
kommando skal laves på TP-DMZ-EDGE-02, med følgende fil navn “edge02.xml”.
Når filerner er generet på hver Edge server, skal de fly es l TP-SRV-MAIL-01. Brug gerne en
USB s ck l de e.
Når filen er fly et over på C drevet på TP-SRV-MAIL-01, skal følgende kommando køres fra
Exchange Management Shell for både “edge01.xml” filen samt “edge02.xml”:
Begge noder:
sudo nano /etc/rsyslog.conf
# provides UDP syslog recep on
module(load="imudp")
input(type="imudp" port="514")
5.6.2 DRBD
Begge noder:
Installer ntp
sudo apt-get install ntp -y
Opret en ny primary par on på disk 2
sudo fdisk /dev/sdb
n -> p -> 1 -> enter -> enter -> w
Overskriv disken
sudo dd if=/dev/zero of=/dev/sdb1 bs=1M oflag=direct status=progress
sudo drbdadm up r0
sudo drbd-overview
sudo cat /proc/drbd
###################################
#Skal kun skrives på primary node#
###################################
sudo drbdadm -- --overwrite-data-of-peer primary r0/0
sudo watch cat /proc/drbd
nodelist {
node {
ring0_addr: 192.168.100.104
name: tp-srv-sys-01
nodeid: 1
}
node {
ring0_addr: 192.168.100.105
name: tp-srv-sys-02
nodeid: 2
}
}
quorum {
provider: corosync_votequorum
two_node: 1
wait_for_all: 1
last_man_standing: 1
auto_ e_breaker: 0
}
sudo crontab -e
*/1 * * * * /bin/sh /mnt/win_share/backup.sh
5.6.4
5.6.5 Winlogbeat
For at Windows opera v systemmet kan forwarde sine systemlogs l en remote syslogserver,
kræves der en agent. Der installeres winlogbeat på samtlige Windows servere, som
konfigureres l at forwarde sine syslogs l Graylog serveren
winlogbeat.event_logs:
- name: Applica on
ignore_older: 72h
level: cri cal, error
Under emnet ”Logstash Output” ændre parameteren ”hosts” l at være følgende
hosts: ["192.168.100.103:5044"]
E erfølgende fly es ”winlogbeat” mappen l s en ”C:/Program Files” og der åbnes en
powershell konsol med administra ve re gheder.
Der indtastes følgende kommando i powershell konsolen for at navigere l winlog mappen
”C:\Program Files\winlogbeat”
cd ”C:\Program Files\winlogbeat”
5.6.6 Linux
På samtlige linux maskiner udover TP-SRV-SYS-01 og TP-SRV-SYS-02 skal der gøres følgende
5.6.7 Cisco
På samtligt Cisco udstyr, køres følgende i configura ons terminalen, via en SSH forbindelse.
For at forwarde syslogs l TP-SRV-SYS-01 og TP-SRV-SYS-02 serverne. Der bruges VLAN99 som
source interface, da de e er management vlan’et og indeholder addresserne på udstyret
som forventes at se når en syslog besked modtages. Der vælges ”informa onal” er det level
som skal forwardes af events, da det ønskes alt skal forwardes l rsyslog serverne på cisco
udstyr
5.7.1 Apache
Der skal installeres apache2 på begge servere.
På begge servere skal der disabled Directory Lis ng af sikkerhedsmæssige årsager. Hvis
directory lis ng forbliver enabled, vises der en liste over filer og mapper, hvis der ikke findes
nogen directory indexes.
Der enables apache2 servicen på begge servere for at sikre servicen startes e er reboot
5.7.2 MariaDB
Der installeres MariaDB på begge servere da Mediawiki data’en gemmes i sql databaser, og
der opsæ es master-master replikering imellem de 2 servere, for at opnå high-availability og
redundans.
Der enables på begge servere mariadb servicen for at sikre servicen startes e er reboot
På begge servere skal der ak veres prompten for en sikker installa on af sql serveren. Der
sæ es nyt root password, ernes test databaser og der ernes mulighed for root remote
login
mariadb servicen genstartes på begge servere, for at ændringerne kan træde i kra
For begge server skal der redigeres i mariadb server konfig filen, hvori der defineres
bind-address for at allowe inbound connec ons, som er nødvendigt for replikering mellem
serverne, server-id, som er unikt, og loka on for hvor index og log filer skal placeres.
For TP-DMZ-MWIKI-01:
mariadb servicen genstartes på begge servere, for at ændringerne kan træde i kra
På begge servere skal der opre es en bruger som bruges l replikering imellem serverne,
samt adgang l Mediawiki databasen.
På begge server skal der stoppes for slave funk onen imens replika on imellem serverne
konfigureres
På begge servere skal der bruges output fra følgende kommando l konfigurering af
replikering
TP-DMZ-MWIKI-01
TP-DMZ-MWIKI-01
På TP-DMZ-WMIKI-01 skal der opre es en database der bruges l mediawiki dataen og der
gives adgang, l brugeren der bruges l replikering mellem serverne, l databasen.
5.7.3 PHP
Mediawiki kræver PHP og PHP relaterede moduler, så der installeres de nødvendige moduler
på begge server køres kommandoen:
På begge servere skal der opre es en mappe l website data delen af mediawiki
På begge servere skal de udpakkede filer fly es l mappen der skal indeholde website data
delen af mediawiki
På begge servere skal der gives read+write+execute l owner, og der gives read+execute l
group og other på alt i mappen /var/www/html/, inklusiv mappen selv, for at sikre kun
owner kan ændre på filerne
På begge servere skal der opre es en konfigura onsfil for mediawiki sitet, hvori der
defineres hvor DocumentRoot er, som er folderen med mediawiki dataen for apache2, og
hvor logs skal opbevares
På begge servere skal der indsæ es følgende i filen, og e erfølgende gemmes og lukkes filen
På begge servere skal der deak veres default sitet for apache2 for at undgå at have flere
sites kørende sidelæns
På begge servere skal der genstartes apache2 servicen for ændringerne lavet, træder i kra
Der er nu opre et en .php fil med konfigura onerne for sitet defineret i sig, som downloades
lokalt. Der trykkes på ”Download”. Filen ”LocalSe ngs.php” åbnes lokalt med notepad, og
kopieres ind i ”LocalSe ngs.php” filen på begge servere, ved brug af ”sudo nano
/var/www/html/mediawiki/LocalSe ngs.php” kommandoen, for at sørge for begge
instanser kører med samme konfigura oner
E erfølgendepå begge servere redigeres filen LocalSe ngs.php og feltet $wgServer ændres
for mediawiki’en kan svare på forespørgsler på andre navne end sit eget hostnavn, hvilket er
nødvendigt når sitet skal lgås udefra.
på begge server skal der ændres i konfigura ons filen for corosync servicen for at sikre
servicen start e er en reboot
5.7.6 Pacemaker
Corosync er dependency for pacemaker, derfor enables pacemaker servicen ved
at sæ e prioriteten l 20, hvilket er højere end corosyncs prioritet som er 19,
hvilket betyder at corosync starter før pacemaker, som ønsket
på begge servere skal der ændres password for brugeren ”hacluster” som opre es gennem
installa onen for pacemaker
på begge servere skal der startes servicen pcsd som er daemon servicen for pacemaker
Begge servere autoriseres, for at kunne opre e et cluster med dem de e gøres på
TP-DMZ-MWIKI-01