WiFi w firmie czyli Windows Radius (NPS) i Mikrotik

WiFi w firmie czyli Windows Radius (NPS) i Mikrotik

Wstęp

W dzisiejszych czasach WiFi w firmie to podstawa, o zaletach tego rozwiązania nie muszę nikomu pisać. Zabezpieczenie natomiast takiej współdzielonej sieci to już inna bajka. W zasadzie samo zabezpieczenie jest proste ale potem zarządzanie tym jest trudne.

Scenariusz pierwszy

Mamy sieć WiFi na mikrotiku o nazwie SSID: organizacja.pl, zrobiliśmy zabezpieczenie w postaci szyfrowania WPA2 PERSONAL z kluczem działającym ala hasło. Super rozwiązanie sprawdza się, nie mamy nikogo obcego w sieci. Mamy dodatkową sieć o nazwie SSID: organizacja.pl-goscie, niezabezpieczona z wolnym internetem, powiedzmy, że firewall zezwala na sprawdzenie poczty i przeglądanie podstawowych stron. Nie wdając się w szczegóły filtrowania działa wszystko dobrze. Teraz wyobraźmy sobie sytuację w której musimy odciąć dostęp do sieci jednej osobie, albo ktoś rozgadał hasło. W takiej sytuacji możemy zrobić filtrowanie dodatkowe po adresach MAC, w przypadku małej firmy to można bawić się w takie zabezpieczanie. Zmiana hasła również wchodzi w grę ale teraz musimy każdemu na komputerze wpisać od nowa hasło do sieci. I takie hasło również może szybko wypłynąć, stąd warto sięgnąć po inne rozwiązania.

Scenariusz drugi

Mamy sieć dla gości jak wyżej oraz sieć firmową pod nazwą SSID: organizacja.pl, natomiast jako szyfrowanie wykorzystujemy WPA2 ENTERPRISE (nie PERSONAL). Przy uwierzytelnianiu użytkownika wykorzystujemy jedyne jego poświadczenia (każdy z użytkowników ma swoje więc mamy z głowy problemy związane ze współdzielonym kluczem/hasłem).

Opis środowiska

Domena: organizacja.pl
kontroler domeny: sdc01.organizacja.pl - 10.18.0.10
sieć WiFi SSID: organizacja.pl
Mikrotik: 6.27, RB2011UiAS - 10.18.0.1
sieć WiFi dla gości: organizacja.pl-goscie

Zaczynamy od konfiguracji Mikrotika

dodajemy profil security dla sieci bezprzewodowej, który wiążemy z naszą siecią organizacja.pl

/interface wireless security-profiles add name=radius authentication-types=wpa2-eap management-protection=allowed mode=dynamic-keys

Następnie dodajemy serwer radius który zainstalujemy na sdc01 - rolę serwera radius będzie pełniła usługa NPS.

/radius add address=10.18.0.10 secret=P@ssw0rd service=wireless src-address=10.18.0.1

Zwracam uwagę na poprawne adresy. Myślę, że do tej pory wszystko proste i jasne. Po stronie Mikrotik-a to tyle, teraz przechodzimy na serwer sdc01.

Instalacja CA oraz przygotowanie certyfikatów

W zasadzie jest możliwe ominięcie wykorzystywania certyfikatów ale ma to same wady więc opisuję pełne wykorzystanie CA wraz z odpowiednimi certyfikatami. Instalujemy usługę w wydaniu enterprise. Więc dodajemy rolę...

Instalujemy tylko CA jak poniżej, więcej nie potrzebujemy chociaż gdybyśmy wykorzystywali urządzenia które korzystałyby z weryfikacji certyfikatów na poziomie samego połączenia (nie uwierzytelniania) to warto czasem doinstalować web services. Do Mikrotik-a nie jest to wymagane więc zostajemy przy tym co poniżej:

Konfiguracja CA pod NPS-a

Po instalacji przechodzimy do konfiguracji i wybieramy funkcjonalność którą chcemy konfigurować zgodnie z tym co poniżej.

Konfigurujemy jako Enterprise...

Resztę można przeklikać domyślnie.

Do uwierzytelniania za pomocą EAP-a wymagany jest certyfikat nadający się do tego, Microsoft przygotował taki szablon certyfikatu który spełnia nasze wymagania. Przechodzimy więc do konsolki certification authority, przechodzimy do zarządzania szablonami.

Teraz warto sobie skopiować szablon który możemy wykorzystać, kopia szablonu pozwoli nam na jego modyfikację bez wpływu na inne certyfikaty czy szablony które już ewentualnie możemy mieć w istniejącym CA. 

Na zakładce general wpisujemy nazwę szablonu - może być dowolna ale warto wpisać taką która coś znaczy. Natomiast na zakładce Security poustawiajmy sobie uprawnienia jak poniżej:

Dzięki temu będziemy mogli zrobić sobie automatyczne wydawanie oraz odświeżanie tego certyfikatu za pomocą GPO. Do pełni szczęścia zróbmy sobie jeszcze nazwę w tym szablonie na podstawie nazwy DNS-owej, dzięki temu certyfikaty zrobione za pomocą tego szablonu w Subject Name będą miały nazwę DNS-ową maszyny. Pamiętajmy, że robimy szablon pod certyfikaty dla NPS-a. Ustawiamy nazewnictwo jak poniżej.

Ok zatwierdzamy... OK. Zamykamy okno z szablonami i przechodzimy do włączenia szablonu.

Wybieramy nasz szablon (ten o nazwie jaką nadaliśmy).

Zatwierdzamy i powinien nam się pojawić na liście jak poniżej.

Ok jeżeli chodzi o CA to tyle. Mamy wszystko na miejscu, teraz możemy ręcznie zrobić żądanie certyfikacji i wydać certyfikat ale lepiej to zrobić za pomocą GPO - automatycznie będziemy mieli wydawane certyfikaty a do tego będą nam się automatycznie odświeżać przed wygaśnięciem. Dodajemy zatem polisę i ustawiamy jak poniżej.

Zatwierdzamy. Polisę powinniśmy podlinkować tak, żeby działała na nasz serwer na którym mamy NPS-a. Po gpupdate powinniśmy mieć już możliwość wygenerowania automatycznie certyfikatów do NPS-a. Zatem zainstalujmy taką rolę....

Instalacja NPS

Instalujemy usługę Network Policy and Access Services a w rolach tej usługi wybieramy jedynie NPS.

Po instalacji zabieramy się za konfigurację...

Po pierwsze aby nasz serwer radius miał dostęp do bazy danych Active Directory autoryzujemy go...

Poprzez "Register server in Active Directory". - Bez tego kroku nic nam nie zadziała więc upewnijcie się, że to jest wykonane. Następną czynnością jest dodanie naszego Mikrotik-a jako klienta usługi radius. Dodajemy...

Proponuję zwrócić uwagę na adres IP oraz hasło takie jakie wpisaliśmy w Mikrotik-u. Teraz klikamy na główną gałąź konsolki aby odpalić kreator wstępnej konfiguracji sieci WiFi, wybieramy "Radius Server for 802.1x Wireless or Wired connections" jak poniżej i klikamy "Configure 802.1X", zaznaczamy Wireless tak jak niżej.

Dalej powinien być widoczny nasz Mikrotik (możemy tutaj dodać kolejne urządzenia jeżeli mamy).

Przechodzimy dalej...

Na tym etapie nic nie zmieniamy potem dostosujemy sobie ustawienia szczegółowo... Przechodzimy dalej...

Tutaj możemy sobie zalimitować użytkowników którzy będą mogli korzystać z WiFi, ja nie limituję i przechodzę dalej... Aż do podsumowania...

Kreator konfiguracji zrobi nam dwie polisy. Edytujemy tę drugą...

Przechodzimy na zakładkę Constraints, i usuwamy wszystkie metody jakie są. Dodajemy jedynie PEAP jak poniżej.

Po dodaniu przechodzimy do edycji dodanej metody. Weryfikujemy czy mamy odpowiedni certyfikat jak poniżej...

Powinno być wszystko ok, gdybyśmy nie byli pewni to możemy zweryfikować certyfikaty w konsolce mmc.exe / certificates / computer.

No i jak widać ja nie mam poprawnego certyfikatu... brak certyfikatu z mojego szablonu.

Ale robimy gpupdate /force i refresh....

Ok od razu we właściwościach ustawmy pole Friendly Name (wymagane do poprawnego działania EAP).

Nazwa jest dowolna ale proponuję wpisać coś znaczącego. Zatwierdzamy, wracamy do okna wyboru certyfikatu i wybieramy ten właściwy.

Ok to właściwie wszystko, teraz omówię jeszcze kilka pobocznych tematów które znacznie mogą ułatwić dalszą konfigurację.

Kto ma mieć dostęp do WiFi, użytkownik czy komputer?

Przejdźmy do edycji polisy NPS-a i od razu do zakładki Conditions.

Jak widać jedynym warunkiem działania polisy, jest to, że NAS Port type ma być taki a nie inny. Możemy jednak dodać warunek kolejny - lista jest długa można godzinami wymieniać. Tutaj możemy zadecydować które komputery gdzie i kiedy mogą się łączyć, możemy też decydować którzy użytkownicy mogą się łączyć - oznacza to, że jeżeli komputer nie może się podłączyć na swoich poświadczeniach to użytkownik może mieć takie pozwolenie. Wszystko co tutaj ustalimy w tych warunkach tak będzie. Pamiętajmy, że możemy skopiować sobie taką polisę i zrobić obok drugą z innym zestawem warunków. Możliwości jest wiele. 

Ok ale nasze komputery dalej się nie łączą do naszego WiFi co z tym zrobić? GPO

Dodanie profilu WiFi do komputerów klienckich. 

Tworzymy nowe GPO i linkujemy tak gdzie trzeba - ja linkuję na domenę - czyli dla wszystkich komputerów. Ustawiamy jak niżej.

Ustawiamy jak powyżej, przechodzimy na zakładkę security...

Jak widać możemy ustawić od razu czy komputer ma łączyć się na poświadczeniach komputera czy użytkownika czy użytkownika i komputera. Mamy też CA i certyfikaty na miejscu więc nasz komputer będzie mógł sprawdzić czy AP do którego się łączymy napewno jest w naszej infrastrukturze AD (klient NPS-a, hasło itd), oraz czy certyfikat przekazywany przez AP z CA jest napewno certyfikatem z naszego CA. Weryfikacja taka musi nastąpić i w oknie zabezpieczeń definiujemy którymi certyfikatami CA będziemy sprawdzać certyfikat podawany przez NPS-a (za pośrednictwem AP). Jak widać spina nam się to w jedną całość. Odpalamy gpupdate na kliencie i za chwilę powinien nam się on automatycznie podłączyć do nowego WiFi bez problemów. 

Na zakończenie

Na zakończenie dodam, że całość konfiguracji zapewnia bardzo bezpieczne połączenie i finalnie bardzo proste w zarządzaniu. Warto spróbować wdrożyć takie rozwiązanie, bo znacznie zwiększa bezpieczeństwo naszej sieci oraz łatwość zarządzania. Jak to mówią u nas na wsi, "samo dobre". Warto również spiąć sobie takie rozwiązanie z CAPsMAN-em Mikrotikowym. Pozdrawiam i życzę dobrych zasięgów.

Active Directory - szybki start - Automatyzacja bezpieczeństwa

Active Directory - szybki start - automatyzacja bezpieczeństwa

Wstęp

Witam w kolejnej części. Teraz omówię kolejne zagadnienia dotyczące bezpieczeństwa oraz automatyzacji pewnych czynności, tak, żeby nas administratorów nie poganiano co chwilę z powtarzającymi się zadaniami.

Ok przejdźmy do rzeczy.

Opis zagrożeń

1. Administrator lokalny na komputerze ma hasło puste albo przez nas nieznane.

Taka sytuacja powoduje problem, po pierwsze z tym, że jeżeli coś mamy zrobić na komputerze z tymi poświadczeniami (lokalnego administratora) to jest wieczny kłopot z tym, że nie znamy hasła bo ktoś przed podpięciem do domeny ustawił jakieś ale nie wie jakie. Albo co gorsza użytkownik zna to hasło. Może wtedy za pomocą tego konta dodać siebie do administratorów lokalnych i pozamiatać nam konkretnie na tym komputerze. Musimy zdecydowanie ogarnąć tą sytuację.

2. Nie wiadomo kto jest dodany do grupy Administratorzy na komputerach a nikt tam nie powinien napewno być. 

Jeżeli ktoś kiedyś dodał tam użytkownika na chwilę i go nie usunął to tak został. Jak by dobrze poprzeglądać komputery to się okaże, że na części istnieje użytkownik tworzony podczas instalacji systemu operacyjnego, najczęściej bez hasła i do tego dodany do grupy administratorów. Takie sytuacje są zdecydowanie niedopuszczalne ale się zdarzają.

3. Aktualizacje automatyczne są wykonywane bez naszej kontroli

Na każdym z komputerów są inne ustawienia i ciężko nad tym zapanować. Niestety na tym etapie możemy jedynie ujednolicić ustawienia. Do pełniejszej kontroli należy wykorzystać WSUS lub SCCM których narazie nie mamy. 

Ok zabieramy się do pracy. 

1. Administrator lokalny oraz członkowie grupy Administratorów.

Jak już mamy przygotowaną maszynę dla administratora to z niej będę korzystał. Zabieramy się do pracy uruchamiając konsolę Zarządzanie zasadami grupy. Tworzymy sobie nowy obiekt o nazwie adm_admin. Wyłączamy część użytkownika.

Od razu dodajmy ustawienia konta gościa jako ustawienie.

Wyłączam konto gościa. Nigdy nie było mi przydatne. Zatwierdzamy ale jeszcze nie linkujmy polisy. Załatwimy od razu Administratorów lokalnych. Dodajemy ustawienia grupy.

Jak widać wywalamy wszystkich z tej grupy i dodajemy grupę administratorów domenowych jako członka grupy Administratorów lokalnych oraz użytkownika Administrator (ręcznie wpisanego), który to jest kontem lokalnym. Ok wszystko mamy ustawione. Linkujemy.

Ok temat załatwiony. Teraz odświeżamy polisy przez gpupdate na jakimś komputerze lub czekamy do 90 minut na odświeżenie polis. Sprawdzamy grupy i użytkowników lokalnych. Administratorzy domenowi.

No i jak widać w grupie są tylko Ci których chcemy. W użytkownikach możemy sprawdzić, czy konto gościa i Administratora są wyłączone. Powinny być. Niestety od maja 2014 Microsoft nie pozwala na aktualizowanie konta Administratora lokalnego z ustawień GPP. 

Konta lokalne nawet bez haseł już nie są takie groźne bo zostały usunięte z grupy administratorów lokalnych. Niestety takie konta musimy usuwać ręcznie, są również metody automatyzacji takich prac ale to nie na tą serię szybkiego startu.

3. Aktualizacje automatyczne

Pewnie znacie to ze swojego środowiska, konfiguracja aktualizacji automatycznych, instalacja ich w najmniej odpowiednim momencie oraz najważniejsze - instalacja poprawki której nie chcemy. W tej części skupimy się na jednolitej konfiguracji dla naszych wszystkich komputerów bez zbędnych komunikatów dla użytkowników. Wszystkie te ustawienia znajdziemy w GPO. Zabieramy się więc do pracy, zakładamy nowym obiekt adm_updates, wyłączamy część ustawień użytkownika oraz przechodzimy do konfiguracji.

Jak widać mamy tutaj dość dużo ustawień, warto przejrzeć wszystkie i poczytać opisy poszczególnych ustawień. Moje ustawienia wyglądają tak:

To w zasadzie wszystko, będziemy mieli aktualizacje zapewnione, do tego za szczególnie nie będą denerwować naszych użytkowników.

Podsumowanie

Mamy już bardzo dużo rzeczy zautomatyzowanych. Kolejny etap za nami, zbliżamy się do końca całego cyklu szybki start.  Jak sama nazwa wskazuje, mam nadzieję, że te kilka tekstów z obrazkami pozwala w miarę bez problemów wystartować z Active Directory. W następnej części pokażę "wisienki na torcie" - czyli narzędzia które wykorzystują wszyscy administratorzy do codziennej pracy. Pozdrawiam i zapraszam.

Active Directory - szybki start - bezpieczeństwo

Active Directory - szybki start - bezpieczeństwo

Wstęp

Do zagadnień związanych z bezpieczeństwem można podejść na wiele sposobów. Poniżej omówię i dwa podejścia i przećwiczymy dwa tematy z tym związane.

Podział bezpieczeństwa

W moim rozumieniu bezpieczeństwo można podzielić na dwie kategorie. Jedna kategoria mówi o tym, że usługi świadczone przez serwer (dla przykładu), muszą być dostępne w czasie kiedy ktoś z nich korzysta. Czyli jak nam się popsuje serwer to jest to zagrożenie - niebezpieczeństwo dla zachowania procesów biznesowych. Poniżej przykład.

Mamy serwer a na nim mamy bazę danych powiedzmy Firebird, mamy również stanowisko pracownika który ma kasę fiskalną. Na komputerze użytkownika mamy uruchomioną aplikację do fakturowania która korzysta z bazy danych na serwerze - zdejmuje nam ze stanu produkty które sprzedaliśmy, robi wstępne księgowania itd. Nie wdając się w szczegóły, mamy tutaj proces biznesowy sprzedaży produktów w jakimś sklepie. Naszym zadaniem jest zapewnienie działania usług (bazy danych, aplikacji, komputerów, serwera, kabli sieciowych, switchy, prądu itd) od których ten proces jest zależny. Niebezpieczeństwo przy takim podejściu definiuje się szacowaną wysokością strat w złotówkach za każdą godzinę kiedy proces nie może zachodzić - czyli nie sprzedajemy. Wychodzi powiedzmy 300 zł za każdą godzinę. Na tej podstawie możemy określić z ewentualnym serwisem (albo z nami jeżeli jesteśmy zewnętrzną firmą świadczącą takie usługi) czasy w umowie serwisowej. 

Teraz drugie podejście. To bezpieczeństwo danych. Zakładamy, że mamy taką samą firmę jak w przykładzie powyżej. Teraz jakiś sprytny gość włamał nam się do naszego WiFi, dobrał się do naszej bazy danych i podgląda co sprzedajemy i w jakich cenach. Otwiera swój biznes obok i sprzedaje tylko takie produkty których nie mamy na stanie oraz te które najlepiej się nam sprzedają ale po cenach niższych o grosze. Dodatkowo widzi ile czego mamy na stanie. My o tym w ogóle nie wiemy. To jest niebezpieczeństwo również wpływające na biznes ale nie w bezpośredni sposób. Musimy więc zadbać o to, żeby nikt nie korzystał z zasobów z których korzystać nie może oraz wtedy kiedy nie może. Aby to zapewnić musimy dbać o poprawność konfiguracji szczegółowych zabezpieczeń o których już była mowa w poprzednich częściach.

Mam nadzieję, że rozumiecie, że bezpieczeństwo jest to zapewnienie, że biznes się po prostu poprawnie kręci.

Zadania na dzisiaj

Przychodzi szef i mówi nam, że Pani Krysia Złotówka może się logować tylko na komputerze PC01 i to tylko w godzinach pracy. Szef również mówi, że dobrze by było gdybyśmy mieli możliwość jakoś w prosty sposób odzyskać pliki z dysku księgowości jak ktoś przypadkiem je usunie albo nadpisze. W ogóle w przypadku awarii sprzętu musimy mieć możliwość odzyskania danych i to w miarę szybko - szef nigdy nie określa jak szybko ale jak to określa szef to oznacza, że natychmiast. 

No i zdarzył się incydent w administracji. Ktoś w nocy nadrukował tam jakiś pewnie prywatnych rzeczy aż do wyczerpania toneru. Szef mówi, żeby zrobić tak, żeby można było drukować tylko od 8:00 do 17:00 a w pozostałych godzinach długopis i kartka. 

No dobra podsumujmy:
1. możliwość drukowania tylko w godzinach 8:00 - 17:00
2. kzlotowka może logować się tylko na PC01, tylko w godzinach od 8:00 - 16:00
3. musimy zapewnić jakiś mechanizm szybkiego odzyskiwania plików na dysku księgowości
4. musimy zapewnić kopię zapasową serwera

No to zaczynamy!

1. Drukujemy tylko w godzinach 8:00 - 17:00

Jak to osiągnąć? Możemy usuwać i dodawać użytkowników do grup jakimś mechanizmem (harmonogramem zadań), ale nie będzie to działało tak fajnie i dynamicznie jak byśmy chcieli bo użytkownicy będą musieli się przelogowywać itd. Bardzo upierdliwe. Odpada. Koncepcja numer dwa to pomysł, żeby jakoś bardziej dynamicznie wyłączać dostęp do drukarki. Ok zgadza się. Zaglądamy do opcji udostępniania drukarki.

O kurczę! Mamy od razu takie ustawienia, ustawiamy tak jak wyżej. Pierwszy punkt z głowy! Jedziemy dalej!

2. Krystyna Złotówka może logować się tylko na PC01 i tylko w godzinach pracy

Ok wyszukajmy ją w AD UaC (Active Directory Users and Computers), konsolkę odpalamy z Server Manager oczywiście.

W zakładce Account (powyżej), mamy takie przyciski jak Logon Hours oraz Log On To. Ustawiamy tam nasze żądane opcje.

godziny...

oraz komputer...

Zatwierdzamy i zamykamy. Zrobione! Oczywiście powinniśmy sprawdzić czy to działa...

Uruchamiamy PC01 jest godzina 20:00... No i Pani Krysia może się zalogować... Dlatego, że niestety te ustawienia też nie są odświeżane na żywo. Musimy czekać aż "załapią". Dodatkowo po upływie czasu jeżeli Pani Krysia będzie zalogowana to jej z komputera system automatycznie nie wyloguje, będzie mogła pracować dopóki się nie wyloguje sama, natomiast kolejne logowania powinny już zabronione. Tak to wygląda:

No ale zaraz na PC01 dalej może się logować... Ok a na serwerze - jeżeli ustawiamy wszystko na serwerze przez RDP, jaką mamy ustawioną strefę czasową? Zmieńmy strefę na prawidłową i poprawmy godziny. Zadziała napewno. Po weryfikacji...

Po weryfikacji przechodzimy dalej.

3. Musimy zapewnić jakiś mechanizm szybkiego odzyskiwania plików na dysku księgowości

Mechanizm który wykorzystamy nazywa się "kopie w tle" lub "shadow copy", no to jedziemy.

Wchodzimy we właściwości dysku w którym mamy udostępniony folder (ustawienia są na dysk/partycję).

No i możemy ustawić tak jak na screen-ach. W pierwszym oknie w ogóle włączamy cały mechanizm przyciskiem Enable, w Settings ustawiamy limit miejsca jaki przeznaczamy na takie kopie. Następnie możemy zdefiniować harmonogram, ja dodałem dwa zadania. Jedno zadanie to kopia o 7 rano codziennie (pamiętajcie o ustawionej strefie czasowej), a drugie zadanie to codzienna kopia o 12:00.

To w zasadzie wszystko... Co z tym możemy zrobić? Zobaczymy... Po czasie po którym harmonogram zrobi nam kopię lub dwie zaglądamy do właściwości folderu i przechodzimy na zakładkę previous versions (poprzednie wersje).

No i widać, że mamy kopię z konkretnej daty. Możemy otworzyć sobie stan tego folderu z konkretnego dnia, możemy również wykonać sobie kopię z danego dnia w inne miejsce oraz przywrócić stan folderu na dany dzień. Pamiętajcie, że to nie jest kopia zapasowa ale podręczne narzędzie do ratowania tyłka. Teraz na tym dysku (u mnie akurat C:\ co jest złe - powinniśmy trzymać udziału na innych dyskach) wszystkie foldery oraz pliki zawierają swoje poprzednie wersje zgodnie z limitem miejsca który ustawiliśmy na te kopie. Polecam poeksperymentować sobie na jakiś nieistotnych danych działanie tego mechanizmu. Pamiętajmy też, że użytkownicy również dostali możliwość przywracania i otwierania kopii (działa im po prostu ta zakładka).

Przejdźmy dalej...

4. Musimy zapewnić kopię zapasową serwera czyli Windows Backup

Żeby w ogóle zacząć zainstalujmy sobie taką funkcjonalność jak Windows Backup. W Server Manager klikamy Add Roles and Features. Wybieramy instalację w oparciu o role, oraz serwer (sdc1) i przechodzimy do ról, tutaj nic nie zaznaczamy, przejdźmy dalej do funkcjonalności, tutaj zaznaczamy Windows Server Backup.

Zatwierdzamy instalację...

Następnie w Server Manager z menu Tools uruchamiamy konsolkę Windows Server Backup.

Jak widać nie wykonujemy kopii serwera. Pewnie wszyscy znacie powiedzenie o kopiach.

"Administratorzy dzielą się na dwie grupy, Ci którzy robią kopie zapasowe i Ci którzy będą robić"

Ok, co teraz? Zastanówmy się co chcemy osiągnąć? Proponuję kopiować cały serwer na dysk który będzie służył tylko na kopie zapasowe. Tak więc zróbmy.

Z menu możemy wybrać Wykonywanie kopii zapasowej w harmonogramie, wykonanie kopii raz, przywracanie kopii oraz ustawienia wydajności. Aby nie przeciągać zróbmy sobie harmonogram kopii. Wybieramy zatem Backup Schedule.

Wybieramy tak jak wyżej pełną kopię zapasową. W następnym kroku określamy kiedy ma się wykonywać, zależnie od naszych potrzeb ustalamy harmonogram. Następnie wybieramy miejsce docelowe dla kopii zapasowej.

Możemy ustawić kopię na dedykowany dysk, na wskazany volumen (partycja) lub na udział sieciowy. Tak naprawdę najlepszą opcją jest udział sieciowy na innym serwerze a najlepiej jeszcze w innej lokalizacji fizycznej tak żeby w przypadku zalania serwerowni lub jakiś zdarzeń z prądem kopia leżała sobie gdzieś bezpieczna. Do nauki jestem zmuszony wybrać tutaj dedykowany dysk, tak też wybieram i przechodzę dalej.

Zaznaczamy dysk który chcemy wykorzystać pod kopie (zostanie sformatowany). Przeglądamy podsumowanie.

Okazuje się, że będziemy mieli w kopii zapasowej Bare metal recovery (czyli możliwość odzyskania systemu operacyjnego na czysty sprzęt), EFI - zawartość nowego "biosu". Oraz inne elementy w tym System state w którym znajduje się aktualny stan systemu - ustawienia itd. Czyli mamy kompletną kopię. Klikamy finish. O godzinie w której ma się wykonać kopia obserwujemy sobie jak się wykonuje. Z naszego serwera korzystają użytkownicy więc nie będziemy nic z nim robić ale tak naprawdę powinniśmy w pierwszej chwili sobie zapewnić taką kopię i opracować sposób postępowania w przypadku awarii. Wypisać sobie krok po kroku co mamy zrobić, żeby odzyskać taki system. Powinniśmy też zapewnić wszystkie niezbędne informacje do odzyskania systemu - ewentualne hasła, ścieżki gdzie są kopie itd. Poświęcę osobny odcinek na pokaz awarii oraz odzyskiwania. 

Podsumowanie

Wykonaliśmy wszystkie zalecenia szefa oraz zabezpieczyliśmy sobie serwer cyklicznymi kopiami zapasowymi. Cóż nam pozostaje... Przechodzimy do kolejnej części gdzie mam nadzieję, nauczymy się również czegoś ciekawego. Zapraszam.